Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Ein Betrugsbekämpfer prüft eine verdächtige Kreditkartentransaktion. bild: watson

Eine Untergrund-Industrie plündert Kreditkarten – so schützen uns die Karten-Detektive

Kaum eine «Branche» ist erfinderischer als Kreditkartenbetrüger. Wir haben mit den Menschen gesprochen, die einen sechsten Sinn für Kartenmissbrauch haben und uns rund um die Uhr vor Betrügern schützen.



Mehrere Onlineeinkäufe mit der selben Karte innert Minuten? Allenfalls auch noch in verschiedenen Ländern? Die Kreditkartendetektive treten in Aktion, wenn eine Transaktion verdächtig wirkt oder Kunden einen potenziellen Betrugsfall melden. Das kann auch mitten in der Nacht sein. Kriminelle halten sich nicht an Bürozeiten. Das Anti-Fraud-Team beim Schweizer Kartenherausgeber Swisscard steht daher rund um die Uhr im Einsatz.

«Mit der Zeit und der entsprechenden Erfahrung entwickelt man ein Gefühl für verdächtige Transaktionen», sagt Hélder da Costa, der das 15-köpfige Betrugsbekämpfungsteam leitet.

Pro Tag bearbeitet das Team im Schnitt 250 Fälle manuell, wovon längst nicht alle betrügerischer Natur sind. Pro Jahr vereiteln sie rund 10'000 Betrugsfälle. Wie viele Betrüger es dennoch schaffen, will Swisscard nicht sagen.

Wer die Zentrale der Betrugsbekämpfer besuchen will, muss zunächst zwei Sicherheitsschleussen überwinden. Die mehrheitlich männlichen Experten arbeiten in einem modernen Glasgebäude ob Horgen (ZH). Draussen lockt der Zürichsee, aber an diesem nasskalten Wintertag haften die Blicke an den Monitoren. Dort tauchen die neusten «Fraud Alerts» auf, die nach Dringlichkeit bearbeitet werden.

Bild

Die Kreditkartenanbieterin Swisscard ist im Besitz von Credit Suisse und American Express. Sie betreut über 1,5 Millionen Karten und beschäftigt in Horgen (ZH) rund 700 Mitarbeiter. bild: watson

Bevor die Betrugsbekämpfer eingreifen, prüft eine selbstlernende Software jede Autorisierungsanfrage innert Sekunden auf ihre Plausibilität. Da Costa erklärt:

«Das System schlägt zum Beispiel Alarm, wenn eine Kreditkarte zunächst in Zürich und wenige Minuten später irgendwo in den USA eingesetzt wird. Oder wenn unvermittelt mehrere Flug- oder Bahntickets in einem fremden Land gekauft werden.»

Eine alte Masche der Kriminellen ist beispielsweise, mit geklauten Kartendaten gekaufte Flugtickets über gefälschte Reisebüro-Webseiten weiterzuverkaufen.

Auch eine Zahlung an der Kasse mit dem veralteten Magnetstreifen anstelle des sicheren Chips ist suspekt. In solchen Fällen könnte es sich um einen Betrug mit geklauten Kartendaten handeln und da Costas Team erhält einen Alarm. Wenn es in einem bestimmten Land oder bei einem Online-Shop zuletzt vermehrt zu Betrug gekommen ist, wird besonders genau hingeschaut.

Da Costa sitzt hinter einem grossen Bildschirm und führt mit einem Test-Account vor, wie das Sicherheitssystem funktioniert:

  1. Geht die Software von Betrug aus, sperrt sie die Karte temporär.
  2. In einem solchen Fall wird beim Karteninhaber automatisch per SMS nachgefragt, ob er die Bestellung getätigt habe.
  3. Bestätigt er den Kauf, wird die Karte ebenfalls automatisiert wieder freigegeben.
  4. Reagiert er nicht, versucht ihn ein Betrugsexperte telefonisch zu kontaktieren.

In einem solchen Fall schauen die Kreditkartendetektive auch alte Transaktionen des Kunden an: «Sehe ich zum Beispiel, dass der Kunde in der Vergangenheit im gleichen Elektronik-Shop bereits mehrfach für ähnliche Beträge bestellt hat, dürfte alles in Ordnung sein», sagt da Costa.

Bild

Die Betrugsexperten sehen, wo, wann und für welche Beträge etwas gekauft wurde, aber nicht was die Karteninhaber kaufen. bild: watson

Die grösste Genugtuung eines Betrugsbekämpfers? Natürlich wenn den Kreditkartengaunern das Handwerk gelegt wird. Vor ein paar Jahren kam es vermehrt zu Betrugsversuchen bei Express- bzw. Same-Day-Lieferungen, erinnert sich da Costa. Kriminelle bestellten mit erbeuteten Kartendaten teure Waren an Schweizer Adressen, wobei Handlanger die Paketboten bei der Ablieferung abfingen. Mit der Paketverfolgungsfunktion waren auch die Ganoven im Bilde, wann das Paket geliefert wurde.

«Die Betrüger gehen immer auf das schwächste Glied los.»

Özlem Civelek, Head of Risk Swisscard

Die Betrugsbekämpfer kamen der Masche auf die Schliche und die Polizei erwischte die Betrüger in flagranti. An die Hintermänner, die mutmasslich irgendwo in Osteuropa sitzen, gelangte man nicht, aber die Schweiz sei seitdem für diese Betrugsmasche ein zu heisses Pflaster, sprich nicht mehr attraktiv genug.

Die Kriminellen lösen sich natürlich nicht in Luft auf, sie weichen aber auf Länder aus, die weniger in die Betrugsbekämpfung investieren. «Die Betrüger gehen immer auf das schwächste Glied los», sagt Özlem Civelek, Chief Risk Officer bei Swisscard. Man versuche daher den Aufwand für die Kriminellen so hoch wie möglich zu halten, damit sich Angriffe gegen Schweizer Kreditkartennutzer weniger lohnen.

Wer im Anti-Fraud-Team arbeitet, wird ein halbes Jahr intern geschult, bis er oder sie auf die echten Fälle losgelassen wird. Für Kreditkartendetektive gibt es weder Lehre noch Studium. «Meine Mitarbeiter sind teils Quereinsteiger», sagt da Costa. Wichtiger als akademische Zeugnisse ist Erfahrung. Wer bei ihm arbeitet, spricht mindestens drei bis vier Sprachen fliessend. Um missbräuchliche von legitimen Transaktionen zu unterscheiden, helfe es auch, wenn die Teammitglieder aus verschiedenen Branchen kommen und mit deren Abläufen vertraut sind.

Haben da Costas Spürnasen einen Fall gelöst, ist die Sache längst nicht erledigt. Nun kommen die Analysten ins Spiel, welche aus den abgeschlossenen Fällen die richtigen Schlüsse ziehen sollen. Das Ziel: Die Prävention verbessern, also Kriminellen künftig weniger Angriffsfläche bieten. Die aufwändige Nachbearbeitung der Fälle beinhaltet nicht zuletzt auch die Zusammenarbeit mit der Polizei.

Die unsichtbare Mafia schlägt online zu

Seit der Schutz der physischen Karten mit zusätzlichen Sicherheitsmerkmalen verbessert wurde, steigen die Betrüger aufs Internet um. Gegen 80 Prozent des Kreditkartenbetrugs findet heute im Netz statt. Gerade das Phishing, also der Versuch über gefälschte Webseiten, E-Mails oder Kurznachrichten persönliche Daten eines Kreditkarten-Nutzers abzugreifen, wird immer raffinierter. Im Sommer plünderten Unbekannte per Phishing-Angriff mehrere Konten Schweizer Revolut-Nutzer. Die Smartphone-Bank erhöhte danach ihre Sicherheitsmassnahmen, aber gegen Phishing ist bislang kein Kraut gewachsen. So lange Menschen darauf hereinfallen und den verdeckt agierenden Betrügern ihre Daten selbst übergeben, lassen sich die ausgeklügeltsten Sicherheitssysteme aushebeln.

Kreditkartenbetrug wandelt sich

Bild

Kartenfälschungen (blaue Linie) sind seit der Einführung von Chip & PIN vor über zehn Jahren von 70 auf knapp 20 Prozent zurückgegangen. Dafür macht Online-Betrug (rot) seit einigen Jahren fast 80 Prozent des Gesamtbetrugs aus. grafik: swisscard

Fakt ist: Kreditkartenbetrug lohnt sich weiterhin. Das liegt auch daran, dass manche Online-Shops weiterhin auf grundlegende Schutzmechanismen wie 3-D-Secure verzichten. Dabei muss sich der Kunde wie beim E-Banking per Code identifizieren, den er per SMS oder als Push-Benachrichtigung in der Kreditkarten-App erhält. «Die meisten Schweizer Online-Shops bieten 3-D-Secure an, aber einige grosse internationale Händler verzichten bewusst auf diese zusätzliche Sicherheit», sagt da Costa. Sie befürchten, damit Kunden zu verlieren.

Verzichtet ein Händler auf 3-D-Secure, haftet er und nicht der Kartenanbieter im Betrugsfall. Grosse Online-Shops wie Amazon können dieses Risiko problemlos tragen und wälzen die Kosten aus den Betrugsschäden auf die Kunden ab.

Ganz verhindern könne man Betrugsfälle nie, «aber die Hürde für die Kriminellen muss so gross werden, dass sich Angriffe kaum mehr lohnen», sagt Civelek. Die Risikochefin setzt deshalb auch auf Prävention. Je informierter die Kunden, desto grösser wird der Aufwand für die Kriminellen.

Eine Hürde, die Kriminelle bislang offenbar nicht überwinden, sind mobile Bezahlverfahren mit dem Handy. Der Sicherheitsvorteil: Die Kreditkartennummer wird bei Apple Pay, Google Pay und Co. nie auf dem Smartphone gespeichert. Somit kann die echte Kreditkartennummer im Prinzip nicht erbeutet werden, da nur eine virtuelle Kartennummer, ein sogenannter Token, hinterlegt ist. Das heisst, selbst wenn das Gerät gestohlen wird, hat der Dieb keine Kreditkartennummer.

Eine weitere Barrikade für Betrüger stellt Swisscards Sicherheits-App Transakt dar: Beim Online-Einkauf müssen Nutzer die Zahlung in der App nochmals bestätigen.

Bild

Sicherheits-Apps wie Transakt reduzieren das Betrugsrisiko: Beim Online-Einkauf mit Kreditkarte wird man in der separaten App nochmals aufgefordert, die Transaktion zu bestätigen. bild: swisscard

Wettrüsten zwischen Kartenanbietern und Betrügern

Das Wettrüsten zwischen Kartenanbietern und der unsichtbaren Cybermafia – die Hintermänner der Kreditkartenkriminalität werden kaum je gefasst – geht über Sicherheits-Apps und Prävention hinaus: Wie andere Kartenanbieter hat auch Swisscard eine selbstlernende Software lizenziert, die neue Betrugstrends frühzeitig erkennen soll. Die Algorithmen suchen nach Auffälligkeiten, die Menschen normalerweise nicht machen, etwa mehrere Male hintereinander an Tankstellen bezahlen. Hierzu wird die Künstliche Intelligenz (KI) mit den gelösten Betrugsfällen der Kreditkartendetektive gefüttert. So soll sie Betrugsmuster aufdecken, betrügerische Transaktionen mit grösserer Wahrscheinlichkeit erkennen und irrtümliche Kartensperrungen minimieren. Naturgemäss sind die Kunden wenig erfreut, wenn ihre Karte grundlos gesperrt wird.

Doch auch die Künstliche Intelligenz stösst an ihre Grenzen: «Bei betrügerischen Käufen mit kleinen Beträgen in App-Stores beispielsweise springt das Präventionssystem nicht immer sofort an, da solche Transaktionen sehr häufig vorkommen und per se nicht ungewöhnlich sind», sagt da Costa. Die Software kann unmöglich wissen, ob der Kunde eine App mit Abo-Funktion erwirbt – oder Betrüger seine Kartendaten missbrauchen. Gerade kleine Beträge bleiben auf Kartenabrechnungen oft länger unerkannt, was die Kriminellen nur zu gut wissen.

Den Menschen ersetzen kann die Künstliche Intelligenz bis auf Weiteres nicht. Wird ein Kunde Opfer eines Betrugs, möchten die meisten mit einem Mitarbeiter aus Fleisch und Blut sprechen – und nicht mit einem Chat-Roboter.

Man gebe jährlich eine siebenstellige Summe (ohne Löhne) für die Betrugsbekämpfung aus, sagt Civelek, sprich mehrere Millionen fliessen in die IT-Infrastruktur. Das zeige Wirkung: «Die Betrugssumme im Verhältnis zum Gesamtumsatz liegt im niedrigen einstelligen Promillebereich», sagt die Risikochefin.

Überprüfen lassen sich solche Aussagen nicht. Da die effektiven Betrugskosten ein streng gehütetes Geheimnis der Branche sind, lässt sich nicht sagen, ob Bargeld bezüglich Sicherheit wirklich so viel schlechter als Kartengeld abschneidet, wie es die Kartenanbieter gerne darstellen.

Immerhin: Ist das Portemonnaie weg, ist das Geld verloren. Beim Kartengeld bleiben Geprellte auch im Betrugsfall vor finanziellem Schaden geschützt – solange sie die grundlegende Sorgfaltspflicht nicht grob fahrlässig verletzt haben (z.B sofortiges Sperren der Karte oder Überprüfen der Monatsabrechnungen). Shops und Kartenanbieter holen sich die Kosten aus den Betrugsschäden über höhere Preise und Gebühren natürlich wieder zurück.

Bleibt festzuhalten: Der Kampf gegen die Kreditkarten-Mafia verursacht Kosten, die schlussendlich wir Kunden mitbezahlen – aber er lohnt sich. Zwar können Betrugsbekämpfer längst nicht jeden Betrugsversuch vereiteln. Aber ihre Arbeit macht den Kriminellen das Leben schwerer, so dass wir im Vergleich zum Ausland, das teils weniger in die Betrugsprävention investiert, nicht die «dankbarsten» Opfer sind.

Gratulation, du hast den Artikel erfolgreich beendet. Als Belohnung hätten wir noch diesen Artikel! 😄

DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Das sind die zehn reichsten Schweizer 2019

So manipulieren Karten unser Kaufverhalten

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Analyse

3 Hauptargumente der KVI-Gegner auf dem Prüfstand

Der Kampf um die Konzernverantwortungsinitiative (KVI) tobt unerbittlich. Dabei argumentieren die Gegner auch mit Vorwürfen, die sich bei genauerer Betrachtung als falsch herausstellen. Drei Argumente im Prüfstand.

Im Abstimmungskampf zur KVI gehen die Wogen hoch. Ja-Fahnen zieren jeden zweiten innerstädtischen Balkon, die Initianten machten diese Abstimmung zur teuersten aller Zeiten. Auf der anderen Seite werden die Initianten auf Facebook in einer Verleumdungskampagne als «linke Krawallanten» verunglimpft und Ueli Maurer wird «bei der Arroganz, die hinter dieser Initiative steckt, fast schlecht».

So hart die Bandagen in diesem Kampf sind, so knapp wird wohl auch das Ergebnis werden. Momentan liegen …

Artikel lesen
Link zum Artikel