Dieser Bericht liefert Trends und Kennzahlen zur Zahlungskartenbetrugslandschaft im Jahr 2022 und identifiziert die Händler, die am häufigsten kompromittiert oder als Testhändler missbraucht wurden. Die Zielgruppe dieses Berichts sind Betrugs- und Cyber-Threat-Intelligence-Teams (CTI) bei Finanzinstituten und Handelsdienstleistungsunternehmen.

Executive Summary

Das Jahr 2022 war ein Jahr der Systemschocks, und der Markt für Zahlungskartenbetrug kam nicht unbeschadet davon. Russlands hartes Vorgehen gegen Cyberkriminalität – unmittelbar gefolgt von der groß angelegten Invasion der Ukraine im Februar 2022 – führte für den Rest des Jahres zu geringeren Carding-Volumina. Insgesamt wurden im Jahr 2022 45,6 Millionen Card-Not-Present- (CNP) und 13,8 Millionen Card-Present- (CP) Zahlungskartendatensätze zum Verkauf an Carding-Shops im Dark Web angeboten. Diese Zahlen lagen deutlich unter den 60 Millionen CNP- und 36 Millionen CP-Datensätzen, die im Jahr 2021 zum Verkauf angeboten wurden. Zusammengenommen prägten dieser Rückgang bei Angebot, Nachfrage und Umsatz den Markt und die Bedrohungslandschaft im Bereich Zahlungskartenbetrug im gesamten Jahr 2022.

Trotzdem bewiesen der Markt für Kartenbetrug und die ihn bevölkernden Bedrohungsakteure eine bemerkenswerte Widerstandsfähigkeit. Die Akteure von Magecart starteten Kampagnen, bei denen gefälschte Zahlungskartenformulare verwendet wurden, die Web-Infrastruktur legitimer Händler ausgenutzt wurde, um E-Skimmer einzusetzen, und HTTP-Referrer-Header verwendet wurden, um Sicherheitsanalysten an der Behebung der Probleme zu hindern. Im Rahmen einer dieser Kampagnen wurden zwei Online-Bestellplattformen kompromittiert – eine gängige Taktik, die Händler, die diese Plattformen nutzen, der Gefahr einer Kompromittierung aussetzt. Mittlerweile wurden namhafte Händler zunehmend von einzelnen Bedrohungsakteuren und Prüfdiensten im Darknet ausgenutzt, um die Gültigkeit gestohlener Karten zu überprüfen. Und schließlich behinderte der Krieg in der Ukraine die Möglichkeiten von Cyberkriminellen, Kartenbetrug zu begehen. Ein führender Kreditkartendienstleister nutzte die Angebotsflaute aus, indem er den Markt mit recycelten Zahlungskartendaten überschwemmte. Obwohl sie von der schlechten Qualität dieser Datensätze frustriert sind, können findige Bedrohungsakteure sie dennoch als günstige Quelle für persönlich identifizierbare Informationen (PII) nutzen, die sie als Waffe für gezielte Account-Takeover-Angriffe (ATO) gegen ihre Opfer einsetzen können.

Durch den Einsatz proaktiver Betrugsbekämpfungsstrategien, die Informationen aus dem gesamten Lebenszyklus des Zahlungsbetrugs integrieren, können Finanzinstitute und Kartenaussteller im Jahr 2023 Verluste durch Kartenbetrug reduzieren. Das allgemeine Ausmaß der Kreditkartenbetrugsaktivitäten im Jahr 2023 wird stark davon abhängen, ob der Krieg zwischen Russland und der Ukraine weitergeht oder nicht. Sollte dies der Fall sein, werden die Möglichkeiten der Bedrohungsakteure zum Kartenbetrug wahrscheinlich weiterhin eingeschränkt bleiben. Sollte der Krieg jedoch enden, könnte es erneut zu einem erneuten oder sogar verstärkten Betrug mit Zahlungskarten kommen.

Wichtige Erkenntnisse

• Im Jahr 2022 wurden in Darknet-Carding-Shops 45,6 Millionen CNP-Zahlungskartendatensätze veröffentlicht, 24 % weniger als im Jahr 2021. Es ist sehr wahrscheinlich, dass die relativ niedrigen CNP-Volumina in diesem Jahr das Ergebnis des harten Vorgehens Russlands gegen Cyberkriminalität Anfang 2022 und der anschließenden groß angelegten Invasion der Ukraine sind. Im Jahr 2022 betrafen die CNP-Verstöße mit den schwerwiegendsten Auswirkungen Online-Bestellplattformen.
• Im Jahr 2022 wurden in Darknet-Carding-Shops 13,8 Millionen CP-Zahlungskartendatensätze veröffentlicht, 62 % weniger als im Jahr 2021. Es ist möglich, dass die Ereignisse des Jahres zu diesem Rückgang beigetragen haben. Allerdings sind auch die CP-Volumina im Jahresvergleich aufgrund der zunehmenden weltweiten Nutzung sicherer persönlicher Zahlungsmethoden stetig zurückgegangen. Im Jahr 2022 waren vor allem kleine Restaurants und Bars von CP-Verstößen betroffen.
• Das Magecart Overwatch-Programm Recorded Future ® entdeckte zu jedem Zeitpunkt im Jahr 2022 1.520 einzigartige bösartige Domänen, die an der Infektion von 9.290 einzigartigen E-Commerce-Domänen beteiligt waren.
• Vollständige primäre Kontonummern (PANs) für mindestens 20,5 Millionen kompromittierte Zahlungskarten wurden als Klartext oder Bilder in verschiedenen Ressourcen veröffentlicht, darunter Darknet-Foren, Pastebins und soziale Medien.
• 21 von Recorded Future überwachte Kartenprüfdienste missbrauchten 2.953 einzelne Händler mit 660 einzigartigen Händleridentifikationsnummern (MIDs) für illegale Kartenprüfungen.
• Die Bedrohungsakteure konzentrierten sich darauf, die durch das 3-D Secure (3DS)-Protokoll gebotenen Schutzmechanismen zu vermeiden oder zu umgehen und diskutierten zunehmend den Missbrauch von Kundendienst-Callcentern als Möglichkeit, ihre Angriffe zu erleichtern. Darüber hinaus vergrößerte ein Anstieg billiger, erneut veröffentlichter Zahlungskartendatensätze im Laufe des Jahres 2022 die Angriffsfläche für ATO-Angriffe.
• Der Lebenszyklus des Zahlungsbetrugs ähnelt stark einem realen Markt, der durch Lieferketten, einen koordinierten Austausch zwischen Käufern und Verkäufern und die Bereitstellung von Diensten wie beispielsweise Prüfern gestützt wird. Dieser hohe Organisationsgrad erhöht zwar die Möglichkeiten und Auswirkungen von Kartenbetrug, führt jedoch auch zu einer datenreichen Umgebung. Daher sollten Kartenaussteller, Acquirer und Händlerdienstleister Informationen aus dem gesamten Lebenszyklus des Zahlungsbetrugs einbeziehen und integrieren, um Betrug proaktiv zu bekämpfen.

Hintergrund

Zahlungskartenbetrug ist Teil einer hochentwickelten Schattenwirtschaft. Produktionsnetzwerke, Lieferketten und Darknet-Carding-Shops bieten Bedrohungsakteuren die Möglichkeit, kriminelle Dienste und Waren an ihre Konkurrenten zu vermarkten oder gestohlene Daten an Endbenutzer weiterzugeben, die Kartenbetrug begehen. Innerhalb dieser Schattenwirtschaft unterliegt der Zahlungskartenbetrug einem bestimmten „Lebenszyklus“, wie in Abbildung 1 unten dargestellt.

Zu Beginn des Lebenszyklus erleichtern physische Kompromittierungen den Diebstahl von Zahlungskartendaten bei Card-Present-Transaktionen (CP) der Händler. In der Zwischenzeit nutzen Cyberkriminelle digitale Angriffe – häufig mithilfe von Magecart-E-Skimmer-Infektionen – um Kartendaten aus Online-Transaktionen ohne Karte (CNP) zu stehlen. Diese gestohlenen Kartendaten werden im Darknet zum Verkauf angeboten, wo Teildaten der Zahlungskarten zur Schau gestellt werden, damit kriminelle Käufer einen „Schaufensterbummel“ machen können. Gelegentlich geben Carding-Shops die gesamten gestohlenen Zahlungskartendaten zu Werbezwecken frei, was für Kriminelle eine der vielen Möglichkeiten darstellt, sich vollständige primäre Kontonummern (PANs) zu sichern. Vor einem Verkauf setzen Carding-Shops sogenannte Checker ein, um gestohlene Kartensätze zu bewerten; einzelne Kriminelle verwenden dieselben Checker, um die Gültigkeit ihrer Daten vor oder nach einem Kauf zu überprüfen. Sobald betrügerische „Endbenutzer“ in den Besitz der gewünschten Zahlungskartendaten gelangen, machen sie diese zu Geld, normalerweise durch betrügerische Transaktionen. Wenn es den Akteuren gelingt, genügend personenbezogene Daten (PII) eines Opfers zu erlangen, können sie sogar versuchen, mithilfe von Account-Takeover-Angriffen (ATO) das Bankkonto ihres Opfers leerzuräumen.

Im Laufe des Jahres 2022 beobachtete Recorded Future diese Schattenwirtschaft, um Kunden in die Lage zu versetzen, Betrug in jeder Phase des Lebenszyklus des Zahlungskartenbetrugs zu unterbinden. Im Rahmen unseres Monitorings konnten wir sowohl anhaltende Trends aus dem Jahr 2021 als auch neuartige Trends beobachten, die sich organisch aus den Ereignissen des Jahres 2022 ergeben haben.

Anmerkung der Redaktion: Dies ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse mit Endnoten zu lesen, Klicken Sie hier um den Bericht als PDF herunterzuladen.