Verwenden Carding Bots Ihre E-Commerce-Website, um Betrug zu begehen?

Die meisten von uns sind daran gewöhnt, Bots zu spammen oder sogar Bots auf unseren Websites anzuklicken. Aber was ist mit Carding-Bots?

Carding ist ein zunehmend problematisches Thema für Online-Händler, mit rund 30 Milliarden US-Dollar Verlust durch Kreditkartenbetrug im Jahr 2020. Tatsächlich ist Card-Non-Present-Betrug heute die häufigste Art von Kreditkartenbetrug, mit einer Wahrscheinlichkeit von etwa 81 %.

Und da immer mehr Unternehmen auf ihre Online-Plattformen angewiesen sind, können Kriminelle oft einen Weg finden, minderwertige Sicherheitsvorkehrungen auszunutzen, um ihre Gewinne zu validieren.

Aber was genau ist Kardieren und wie funktioniert es?

Was ist Kardieren?

Carding ist eine Praxis, bei der gestohlene Kreditkarten- oder Geschenkkartendaten auf Einzelhandels-Websites oder Zahlungsportalen verwendet werden. Betrüger sollen herausfinden, welche gestohlenen Karten tatsächlich funktionieren, normalerweise durch die Verarbeitung mehrerer Kartentransaktionen in kurzer Zeit.

Dies kann zu betrügerischen Einkäufen, verzerrten Analysen, falschen Leads und Bestandsproblemen führen. Sie können auch zu Rückbuchungen führen, die sich auf den Ruf eines Unternehmens bei einem Kartenaussteller auswirken können.

Diese Praxis ist auch als Kreditkartenfüllung, Kartenüberprüfungsangriff und Carding-Bot-Angriffe bekannt.

Carding Bots sind automatisierte Skripte, die die Aufgabe übernehmen, die Kartendaten einzugeben, um sie für ihre Besitzer zu validieren. Diese gestohlenen oder in betrügerischer Weise erlangten Karten können dann online für nur 45 $ verkauft werden.

Wenn Sie eine Website mit irgendeiner Form von Checkout-Funktion verwalten, besteht leider die Gefahr eines Carding-Bot-Angriffs.

Wie kommt man an diese gestohlenen Karten?

Die Karten, die bei einem Carding-Angriff verwendet werden, können sowohl physische Karten als auch gestohlene Daten sein. Hacker, die auf schlecht gespeicherte Daten zugreifen, können bei einem Angriff oft Tausende oder sogar Millionen von Kreditkartendaten sammeln.

Natürlich sind nicht alle dieser Karten gültig, daher ist hier das Kardieren nützlich. Durch den Einsatz von Bots zum Kartenlegen können Betrüger schnell erkennen, welche gestohlenen Karten es wert sind, verkauft oder verwendet zu werden.

Es gibt viele Online-Foren, normalerweise im Tor-Netzwerk, in denen Kriminelle gestohlene Kartendaten verkaufen und austauschen können.

Wie funktioniert ein Carding-Angriff?

Wie jede Form von Betrugsangriff mit böswilligen Bots kann das Kardieren sehr schnell und in großen Mengen erfolgen.

Zunächst wird die Transaktion wie ein normales menschliches Verhalten erscheinen, was sie oft auch ist. Bei Bedarf kann ein Konto angelegt und einige Artikel in den Warenkorb gelegt werden. Durch die Nachahmung des echten Benutzerverhaltens kann der Bot die Aufgabe erfüllen, für die er programmiert wurde.

An der Kasse übernimmt der Bot.

Hier werden mehrere Kreditkarten oder Debitkarten verarbeitet, um eine Liste funktionierender Karten zu erstellen.

Der Bot führt normalerweise eine Transaktion mit geringem Wert durch, normalerweise nur ein paar Dollar. Sobald diese Transaktion mit geringem Wert bestätigt ist, kann die Karte dann für Einkäufe mit höherem Wert oder hohem Risiko verwendet werden.

So erkennen Sie einen Carding-Angriff

Wie bei den meisten Bot-Aktivitäten gibt es oft eine Reihe von Signalen, die darauf hindeuten, dass etwas nicht stimmt.

Indem Sie auf diese Anzeichen achten, können Sie feststellen, ob Ihre Website Opfer eines Carding-Angriffs geworden sein könnte:

• Ein hohes Volumen an fehlgeschlagenen Zahlungsautorisierungen
• Niedrigere durchschnittliche Korbgröße
• Eine Spitze in der Zahl der aufgegebenen Warenkörbe
• Dieselbe Benutzer-IP verursacht eine große Anzahl fehlgeschlagener Zahlungsautorisierungen
• Mehrere Besuche auf derselben Checkout-Seite in Bezug auf Website-Besuche
• Karten mit unterschiedlichen Adressen werden verwendet oder Karten werden aufgrund von Adresskonflikten abgelehnt

Obwohl der Kardier-Bot scheinbar ein echtes Benutzerverhalten zeigt, kommt die Wahrheit bis zu einem gewissen Punkt an der Kasse ans Licht.

Diese Bots könnten auch Cyborgs sein. Das bedeutet, dass sie bis zum Checkout-Schritt von einem menschlichen Benutzer betrieben werden, wenn der Betrüger nur den Bot-Code ausführt.

Für viele Bot-Präventionsplattformen ist es hier natürlich zu spät. Der Schaden ist angerichtet und Sie haben betrügerische Bestellungen, unzählige Rückbuchungen oder ein durcheinander geratenes Analyse-Dashboard.

Also, was kannst du machen?

Carding-Bot-Angriffe verhindern

Es gibt eine Reihe von Möglichkeiten, wie ein Websitebesitzer diese Art von Bot-Angriff verhindern kann.

Captchas

Eine der ursprünglichen Möglichkeiten, Bots daran zu hindern, auf Ihre Website zu klicken, ist das Captcha, das immer noch wirksam ist. Es kann jedoch für echte Kunden, die an die Ein-Klick-Kasse gewöhnt sind, abschreckend sein.

Verwenden Sie AVS

Das Address Verification System (AVS) hilft dabei, die Adresse des Kartenbenutzers mit der Konto- oder Lieferadresse abzugleichen. Da Carding-Bots oft versuchen, mehrere Karten von verschiedenen Personen zu verifizieren, ist es sehr wahrscheinlich, dass die Adressen nicht übereinstimmen.

Verhaltensanalyse

Die Verwendung einer externen Betrugslösung, die echtes Benutzerverhalten analysiert, ist eine gute Möglichkeit, Carding-Bots zu blockieren. Diese Form der Betrugsprävention nutzt maschinelles Lernen, um Anzeichen von Bot-Verhalten zu erkennen und Aktivitäten in Echtzeit zu blockieren.

Browser-Validierung

Viele Bots arbeiten in ihrem eigenen Fenster. Dies bedeutet, dass sie möglicherweise vorgeben müssen, einen bestimmten Browser wie Chrome zu verwenden, um auf Ihre Website zugreifen zu können. Browser-Validierungssoftware kann überprüfen, ob der Benutzer wirklich den Browser verwendet, für den er sich ausgibt, und diese Art von Betrugs-Bots eliminieren.

API-Sicherheit

Die meisten Websites mit integrierter Zahlung verfügen häufig über API-Zertifikate zur Validierung von Zahlungsinformationen. Dies ist anfällig für Brute-Force-Angriffe von Carding-Bots, daher verwenden E-Commerce-Sites Transport Layer Security (TLS) und andere Autorisierungsmechanismen, um Transaktionen zu überprüfen.

Geschwindigkeitskontrollen

Diese einfache Lösung zur Betrugsprüfung hilft dabei, jemanden daran zu hindern, innerhalb kurzer Zeit mehrere verschiedene Karten zu verwenden. Es ist unwahrscheinlich, dass ein echter Benutzer (z. B. ein Mensch) mehr als eine Handvoll Transaktionen auf einer Plattform durchführt. Sie können den Schwellenwert für diese Art von Transaktion bei Ihrem Zahlungsabwickler angeben, was eine der einfachsten Möglichkeiten ist, Kartenbetrug auf Ihrer Website zu verhindern.

Bot-Klicks verhindern

Wie auch immer Sie Ihr Geschäft online verwalten, Bots können störend und sogar schädlich sein. Vom Klicken auf Ihre Anzeigen oder Spamming bis hin zum betrügerischen Aufblähen Ihrer Analysen wird das Blockieren von Bots für Unternehmen immer wichtiger.

Melden Sie sich kostenlos für ClickCease an, um Bot-Klicks auf Ihre Google- und Facebook-Anzeigen zu verhindern.