Anzeige
TIBCO
Anzeige
HP
Eine betrügerische Veränderung des Bezahlvorgangs am POS-Terminal beschäftigt aktuell den Handel. (Foto: iStock/jacoblund)
A- A A+
Payment  |

Kartenterminals immer im Blick behalten

Kriminelle Energie kennt keine Grenzen. Betrogen wird überall dort, wo es möglich ist. Kleinste Sicherheitslücken werden ausspioniert und ausgenutzt. Das zeigt ein Kreditkartenbetrug vom 7. April 2017 in Dresden: „An diesem Tag erschienen zwei männliche Personen in einem Uhren- und Schmuckfachgeschäft in der Dresdner Innenstadt. Sie interessierten sich für eine Uhr der Marke Rolex“, berichtet Steffen Schmieder, Erster Kriminalhauptkommissar der Polizeidirektion Dresden und Experte für Zahlungskartenkriminalität. Nachdem ihnen der Verkäufer einige Modelle gezeigt hatte, entschieden sich die Kunden für den Kauf einer Rolex Cellini im Wert von 3.860 Euro.

Statt der PIN geben die Täter ausgespähte Daten
einer Kreditkarte manuell ein.
Steffen Schmieder
Polizeidirektion Dresden

Die Bezahlung sollte per Kreditkarte erfolgen. Die „Kunden“ legten eine Doublette einer Kreditkarte vor, bei der zuvor ausgespähte Daten einer echten Kreditkarte auf den Magnetstreifen geschrieben worden waren. „Das Terminal zur Abwicklung des Zahlungsvorgangs im Juweliergeschäft meldete, dass der Kreditkarten-Chip nicht lesbar sei. Aus diesem Grund las der Verkäufer die Kreditkarte über den Magnetstreifen im Terminal ein“, so Schmieder weiter. Anschließend übergab er das Terminal zur PIN-Eingabe an den Kunden. Etwa 20 Sekunden später bekam der Verkäufer das Terminal zurück. Auf dem ausgedruckten Beleg stand „Zahlung erfolgt“. Nach dem Einpacken der Uhr verließen die beiden Kunden das Geschäft. Der Verkäufer ging davon aus, dass die Autorisierung mittels PIN-Eingabe korrekt abgeschlossen wurde.

Ausgespähte Daten statt PIN

Dann jedoch das böse Erwachen: „Es stellte sich heraus, dass die Täter die PIN-Eingabe abgebrochen und das Gerät auf „manuelle Eingabe“ umgestellt hatten. Diese Kreditkartenfunktion kommt vor allem beim Kauf von Ware im Internet ("Mailorder") zum Einsatz. Dabei entfällt der Ausdruck eines Beleges mit Unterschriftszeile.  

„Statt der PIN gaben die Täter nun die ausgespähten Daten einer Kreditkarte manuell ein und bestätigen die Eingabe. Im Anschluss erfolgten die Belegausdrucke für Kunde und Händler“, erklärt der Kriminalbeamte das weitere Vorgehen der Täter. Auf dem Beleg war anhand des  sogenannten „AS-Proc-Code 00 012 00“ zu erkennen, dass es sich um eine manuelle Eingabe ohne Eingabe eines PIN handelte. Dem Verkäufer war jedoch weder die Bedeutung des Codes bekannt, noch der Umstand, dass eine solche Vorgehensweise technisch überhaupt möglich ist. Dennoch ging der Schaden zu  Lasten des Juweliers.

Taten mit gleicher Vorgehensweise wurden bislang in Berlin, Stuttgart, Ludwigsburg, Sulzbach, Frankfurt am Main, Wiesbaden, Offenbach, Leipzig und Düsseldorf bekannt. Dies veranlasste den Kartenzahlungsdienstleister und Netzbetreiber Elavon, Frankfurt am Main, bereits im Frühjahr 2017 seinen Kunden entsprechende Warnhinweise zu geben. Demnach sollen die Mitarbeiter im Handel auf Käufer-Duos oder -Gruppen achten, die wenige, hochwertige Artikel kaufen und mit Karte zahlen wollen. Dabei soll vor allem die zahlende Person im Auge behalten werden, auch wenn eine Begleitperson oder ein anderer Kunde den Verkaufsmitarbeiter befragt oder abzulenken versucht. „Lassen Sie auch das Terminal rund um den Bezahlvorgang niemals aus den Augen“, heißt es weiter in den Empfehlungen von Evalon. Außerdem wird die Deaktivierung der manuellen Karteneingabe am Terminal empfohlen.

Foto: iStock/jacoblund 

Weitere Informationen: redaktion@remove-this.ehi.org

Interview

Ärgernis und Imageschaden

Ärgernis und Imageschaden

Worin besteht im Kern der wunde Punkt, den Betrüger ausnützen?

Voraussetzung für die beschriebene Art eines Betrugs bei Zahlung mit Kreditkarte ist die Ablenkung des Kassenpersonals. Der wunde Punkt besteht in der Möglichkeit, Zahlungen durch die manuelle Eingabe von Kartendaten in ein Terminal vornehmen zu können – ein Vertrauens-Privileg, das in der Regel nur guten Stammkunden vorbehalten sein sollte. Statt mit Eingabe einer PIN oder mit Unterschrift den Zahlungsvorgang abzuschließen, werden dabei unbemerkt die Daten einer gestohlenen Kreditkarte eingegeben.

Ist diese Betrugsmasche für Ihre Branche ein großes Thema?

Rückbelastungen aufgrund von Manipulationen kommen immer mal wieder vor. Sie sind zwar kein großes Thema, aber doch ein Ärgernis – vor allem für die betroffenen Händler – und sie schaden dem Image der Kreditkarten als Zahlungsmittel.

Lässt sich die geschilderte Betrugsmache ausschließen?

Vor allem sollten die Verkaufsmitarbeiter das Terminal beim Bezahlvorgang nicht aus den Augen lassen. Eine besonders hilfreiche Maßnahme zur Betrugsvermeidung ist zudem eine Terminal-Konfiguration, bei der die Handeingabe von Kreditkartendaten nicht mehr standardmäßig, sondern nur nach Eingabe der Autorisierungs-PIN durch einen Verkäufer möglich ist.

Hört sich einfach an.

Ist es auch. Allerdings kommen dabei zwei weitere Aspekte ins Spiel. Der Händler muss entscheiden, ob er jedem seiner Verkäufer diese PIN nennt. Das kann bei großer Personalfluktuation ein Sicherheitsrisiko sein. Andererseits: Wenn ein Verkäufer im Kundengespräch nicht die PIN kennt, die das Terminal für eine Handeingabe freigibt, so muss er erst den entsprechenden Kollegen hinzuziehen. Das kann dauern und geht zu Lasten der Kundenfreundlichkeit beim Bezahlen.