Es sieht täuschend echt aus: Beim Start des Kurznachrichtenprogramms Whatsapp erscheint die Meldung, es sei eine Altersüberprüfung notwendig, bevor man die App weiter benutzen könne (siehe Whatsapp-Screenshots im PDF). Als Altersnachweis müsse eine Kreditkarte vorgelegt werden. «Die Karte wird nicht belastet und dient nur zu Überprüfungszwecken», heisst es.
Die Meldung stammt nicht von Whatsapp, sondern von Betrügern. Sie wollen damit an Kreditkartendaten von Handybesitzern gelangen und die Daten für eigene Zwecke missbrauchen. Wer die Meldung erhält, hat zuvor auf seinem Android-Smartphone unbemerkt die Schadsoftware Flubot installiert – etwa indem er in einem bestimmten SMS auf einen Link klickte. Flubot übernahm dann die Kontrolle über die SMS-Funktion des Handys und fängt so die vom Kartenherausgeber gesendeten SMS-Authentifizierungscodes ab. Mit den über Whatsapp abgeschöpften Daten können die Betrüger die Kreditkarte dann benutzen.
Das ist nur eine von verschiedenen Betrugsmaschen, mit denen sich die Abteilung zur Betrugsbekämpfung der Swisscard AECS GmbH zurzeit herumschlägt. Das Unternehmen gehört der Credit Suisse und der Kartenlizenzgeberin American Express und ist eine der grössten Kartenherausgeberinnen der Schweiz. Rund 40 Angestellte versuchen dort, Betrug frühzeitig zu erkennen, gegen erfolgten Kartenmissbrauch vorzugehen und Geld zurückzufordern. Ein wichtiger Teil ist auch die Betrugsprävention. Beim Besuch von K-Geld sind die Büros, hoch über Horgen ZH gelegen und mit traumhafter Aussicht auf den Zürichsee, nur spärlich besetzt. Die grosse Mehrheit der Angestellten arbeitet im Homeoffice.
In vier von fünf Fällen geht es um Betrug im Internet
Die Art der Betrugsfälle veränderte sich in den vergangenen 15 Jahren stark. 2006 standen Kartenfälschungen mit zwei Drittel aller Missbrauchsfälle an der Spitze. Dabei wurde an Zahlterminals oder Geldautomaten der Magnetstreifen von Kreditkarten heimlich kopiert und die PIN durch Minikameras oder Tastaturattrappen ausgespäht. Doch inzwischen ist der Anteil dieser Betrugsart auf unter 10 Prozent aller Fälle gesunken. Denn in Europa kommt heute bei Transaktionen vor Ort ausschliesslich der fälschungssichere Chip auf der Karte zum Einsatz – der Magnetstreifen hingegen wird nur noch auf anderen Kontinenten verwendet. Es dominiert der Betrug mit Hilfe des Internets: Über 80 Prozent aller Manipulationen entfallen auf diese Kategorie. Der Rest sind Fälle wie Kartendiebstahl oder betrügerische Kartenanträge, zum Beispiel mit gefälschter Unterschrift. Diese Kategorie bewegt sich schon seit mehreren Jahren im einstelligen Prozentbereich.
Bei Swisscard überprüft ein Computersystem jede Transaktion vor der Ausführung hinsichtlich bestimmter Regeln. Entdeckt das System etwas Verdächtiges, schlägt es Alarm. Bestimmte Muster von Transaktionen können verdächtig sein. Beispielsweise, wenn innert kurzer Zeit zahlreiche Abbuchungen in Kleinstbeträgen zugunsten des gleichen ausländischen Händlers stattfinden. Oder wenn zum Beispiel ein Kunde in einem Zürcher Ladengeschäft etwas kauft und einige Stunden später angeblich in einem New Yorker Restaurant die Rechnung mit der gleichen Karte begleicht.
Im Alarmfall kann es vorkommen, dass das System eine Transaktion automatisch stoppt und die zugehörige Karte sperrt. Der Kundendienst fragt dann beim betroffenen Kunden nach, ob er die Transaktion tatsächlich selber ausgeführt hat. Teilweise werden auffällige Zahlungen zwar zugelassen, aber nachträglich von Betrugsexperten untersucht.
Swisscard will Betrügereien vermeiden, die Kunden aber nicht mit ständigen Blockaden verärgern. Das ist nicht immer einfach. Nadia Benitez, Chefin Risikomodelle, erklärt: «Wir versuchen eine gesunde Balance zu finden zwischen Sperren und alles Zulassen.» Vor allem bei Neukunden, deren Kaufverhalten noch nicht bekannt sei, komme es vor, dass das System mal falsch anschlage. Je länger und öfter jemand seine Kreditkarte benutze, desto treffsicherer mache das System Betrugsversuche aus.
Die Betrüger ändern ihre Methoden ständig
Doch auch die Betrüger sind nicht untätig. Sie verbessern die Qualität ihrer Methoden ständig oder ändern das Betrugsmuster. Es sei ein fortwährendes gegenseitiges Aufrüsten, sagt Claude Häggi, Leiter Sicherheit. Und trotz allen Anstrengungen räumt er ein: «Nur etwas ist sicher: dass nichts absolut sicher ist. Damit müssen wir leben.»
Swisscard ist es laut eigenen Angaben seit dem Jahr 2004 gelungen, die eigenen Verluste durch Betrüge um 90 Prozent zu senken. Verluste entstehen aber auch für andere Beteiligte, etwa Händler, Zahlungsdienstleister und Karteninhaber. Sicherheitschef Claude Häggi vergleicht den Ablauf bei Schadenfällen mit dem Schwarzpeterspiel. Zuerst werde abgeklärt, ob einer der Beteiligten ein Fehler gemacht habe und den Schaden übernehmen müsse. Einige Internethändler verlangen bei Käufen mit Kreditkarte weder die dreistellige Kartenprüfnummer (CVC) noch eine zusätzliche Authentifizierung via SMS-Code oder Ähnliches (3D-Secure). Dazu gehört gemäss K-Geld-Recherchen etwa der Internethändler Amazon. Wichtiger als Sicherheit ist Amazon, dass Kunden möglichst bequem zahlen können. Kommt es dann zu einem Kartenmissbrauch, muss der Versandhändler den Schaden übernehmen.
In manchen Fällen bleibt der betrogene Kunde auf dem Schaden sitzen
Ab und zu bleibt ein Schaden auch am Kunden hängen. Das ist vor allem dann der Fall, wenn er eine Zahlung mit PIN oder Sicherheitsmerkmalen wie CVC und SMS-Code autorisiert hat. Swisscard zeigt sich beispielsweise unerbittlich, wenn ein Kunde per Kreditkarte Zahlungen an eine dubiose Firma macht, die das Geld durch Investition in Kryptowährungen angeblich auf wundersame Weise vermehren kann, und plötzlich der ganze Betrag «verschwunden» ist. Fordert der betroffene Kunde sein Geld zurück, fragt Swisscard beim betrügerischen Unternehmen nach. Kann dieses belegen, dass es alle Regeln des Kartennetzwerks eingehalten hat und alle Zahlungen korrekt autorisiert wurden, bleibt der Kunde auf dem Schaden sitzen. Nur wenn die betreffende Firma innert 45 Tagen keine Antwort gibt oder in der Zwischenzeit aufgelöst wurde, übernimmt die betroffene Händlerbank den Schaden.
Swisscard will nicht verraten, wie viel Geld Karteninhaber sich letztlich wegen Kreditkartenbetrugs ans Bein streichen müssen. Swisscard sagt nur, dass es sich um einen tiefen einstelligen Promilleanteil des Gesamtumsatzes handle. «Den überwiegenden Teil erstattet Swiss-card an die Kunden zurück.»
Tipps: Schutz vor Kreditkartenbetrug
- Kaufen Sie im Internet nur bei vertrauenswürdigen Shops. Googeln Sie den Shop, bevor Sie dort einkaufen. Suchen Sie nach Kommentaren und Bewertungen. Seriöse Shops übertragen Kartendaten verschlüsselt. Achten Sie auf das Schlosssymbol in der Adresszeile Ihres Internetbrowsers.
- Speichern Sie Ihre Kreditkartendaten nie im Browser.
- Misstrauen Sie E-Mails, SMS oder Websites, die Kartenangaben und persönliche Daten verlangen.
- Veranlassen Sie bei Verlust oder Diebstahl sofort die Sperrung der Kreditkarte. Denn ein Finder oder ein Dieb kann wegen der Kontaktlosfunktion der Karte Transaktionen bis 80 Franken tätigen.
- Überprüfen Sie die Monatsrechnung Ihrer Karte. Entdecken Sie Fehler, sollten Sie dies dem Kartenherausgeber mitteilen und schriftlich eine Stornierung beantragen. Die Rechnung kann man bis 30 Tage nach Erhalt beanstanden – zum Teil auch länger (K-Geld 3/2020).