Mehrere Onlineeinkäufe mit der selben Karte innert Minuten? Allenfalls auch noch in verschiedenen Ländern? Die Kreditkartendetektive treten in Aktion, wenn eine Transaktion verdächtig wirkt oder Kunden einen potenziellen Betrugsfall melden. Das kann auch mitten in der Nacht sein. Kriminelle halten sich nicht an Bürozeiten. Das Anti-Fraud-Team beim Schweizer Kartenherausgeber Swisscard steht daher rund um die Uhr im Einsatz.
«Mit der Zeit und der entsprechenden Erfahrung entwickelt man ein Gefühl für verdächtige Transaktionen», sagt Hélder da Costa, der das 15-köpfige Betrugsbekämpfungsteam leitet.
Pro Tag bearbeitet das Team im Schnitt 250 Fälle manuell, wovon längst nicht alle betrügerischer Natur sind. Pro Jahr vereiteln sie rund 10'000 Betrugsfälle. Wie viele Betrüger es dennoch schaffen, will Swisscard nicht sagen.
Wer die Zentrale der Betrugsbekämpfer besuchen will, muss zunächst zwei Sicherheitsschleussen überwinden. Die mehrheitlich männlichen Experten arbeiten in einem modernen Glasgebäude ob Horgen (ZH). Draussen lockt der Zürichsee, aber an diesem nasskalten Wintertag haften die Blicke an den Monitoren. Dort tauchen die neusten «Fraud Alerts» auf, die nach Dringlichkeit bearbeitet werden.
Bevor die Betrugsbekämpfer eingreifen, prüft eine selbstlernende Software jede Autorisierungsanfrage innert Sekunden auf ihre Plausibilität. Da Costa erklärt:
Eine alte Masche der Kriminellen ist beispielsweise, mit geklauten Kartendaten gekaufte Flugtickets über gefälschte Reisebüro-Webseiten weiterzuverkaufen.
Auch eine Zahlung an der Kasse mit dem veralteten Magnetstreifen anstelle des sicheren Chips ist suspekt. In solchen Fällen könnte es sich um einen Betrug mit geklauten Kartendaten handeln und da Costas Team erhält einen Alarm. Wenn es in einem bestimmten Land oder bei einem Online-Shop zuletzt vermehrt zu Betrug gekommen ist, wird besonders genau hingeschaut.
Da Costa sitzt hinter einem grossen Bildschirm und führt mit einem Test-Account vor, wie das Sicherheitssystem funktioniert:
In einem solchen Fall schauen die Kreditkartendetektive auch alte Transaktionen des Kunden an: «Sehe ich zum Beispiel, dass der Kunde in der Vergangenheit im gleichen Elektronik-Shop bereits mehrfach für ähnliche Beträge bestellt hat, dürfte alles in Ordnung sein», sagt da Costa.
Die grösste Genugtuung eines Betrugsbekämpfers? Natürlich wenn den Kreditkartengaunern das Handwerk gelegt wird. Vor ein paar Jahren kam es vermehrt zu Betrugsversuchen bei Express- bzw. Same-Day-Lieferungen, erinnert sich da Costa. Kriminelle bestellten mit erbeuteten Kartendaten teure Waren an Schweizer Adressen, wobei Handlanger die Paketboten bei der Ablieferung abfingen. Mit der Paketverfolgungsfunktion waren auch die Ganoven im Bilde, wann das Paket geliefert wurde.
Die Betrugsbekämpfer kamen der Masche auf die Schliche und die Polizei erwischte die Betrüger in flagranti. An die Hintermänner, die mutmasslich irgendwo in Osteuropa sitzen, gelangte man nicht, aber die Schweiz sei seitdem für diese Betrugsmasche ein zu heisses Pflaster, sprich nicht mehr attraktiv genug.
Die Kriminellen lösen sich natürlich nicht in Luft auf, sie weichen aber auf Länder aus, die weniger in die Betrugsbekämpfung investieren. «Die Betrüger gehen immer auf das schwächste Glied los», sagt Özlem Civelek, Chief Risk Officer bei Swisscard. Man versuche daher den Aufwand für die Kriminellen so hoch wie möglich zu halten, damit sich Angriffe gegen Schweizer Kreditkartennutzer weniger lohnen.
Wer im Anti-Fraud-Team arbeitet, wird ein halbes Jahr intern geschult, bis er oder sie auf die echten Fälle losgelassen wird. Für Kreditkartendetektive gibt es weder Lehre noch Studium. «Meine Mitarbeiter sind teils Quereinsteiger», sagt da Costa. Wichtiger als akademische Zeugnisse ist Erfahrung. Wer bei ihm arbeitet, spricht mindestens drei bis vier Sprachen fliessend. Um missbräuchliche von legitimen Transaktionen zu unterscheiden, helfe es auch, wenn die Teammitglieder aus verschiedenen Branchen kommen und mit deren Abläufen vertraut sind.
Haben da Costas Spürnasen einen Fall gelöst, ist die Sache längst nicht erledigt. Nun kommen die Analysten ins Spiel, welche aus den abgeschlossenen Fällen die richtigen Schlüsse ziehen sollen. Das Ziel: Die Prävention verbessern, also Kriminellen künftig weniger Angriffsfläche bieten. Die aufwändige Nachbearbeitung der Fälle beinhaltet nicht zuletzt auch die Zusammenarbeit mit der Polizei.
Seit der Schutz der physischen Karten mit zusätzlichen Sicherheitsmerkmalen verbessert wurde, steigen die Betrüger aufs Internet um. Gegen 80 Prozent des Kreditkartenbetrugs findet heute im Netz statt. Gerade das Phishing, also der Versuch über gefälschte Webseiten, E-Mails oder Kurznachrichten persönliche Daten eines Kreditkarten-Nutzers abzugreifen, wird immer raffinierter. Im Sommer plünderten Unbekannte per Phishing-Angriff mehrere Konten Schweizer Revolut-Nutzer. Die Smartphone-Bank erhöhte danach ihre Sicherheitsmassnahmen, aber gegen Phishing ist bislang kein Kraut gewachsen. So lange Menschen darauf hereinfallen und den verdeckt agierenden Betrügern ihre Daten selbst übergeben, lassen sich die ausgeklügeltsten Sicherheitssysteme aushebeln.
Fakt ist: Kreditkartenbetrug lohnt sich weiterhin. Das liegt auch daran, dass manche Online-Shops weiterhin auf grundlegende Schutzmechanismen wie 3-D-Secure verzichten. Dabei muss sich der Kunde wie beim E-Banking per Code identifizieren, den er per SMS oder als Push-Benachrichtigung in der Kreditkarten-App erhält. «Die meisten Schweizer Online-Shops bieten 3-D-Secure an, aber einige grosse internationale Händler verzichten bewusst auf diese zusätzliche Sicherheit», sagt da Costa. Sie befürchten, damit Kunden zu verlieren.
Verzichtet ein Händler auf 3-D-Secure, haftet er und nicht der Kartenanbieter im Betrugsfall. Grosse Online-Shops wie Amazon können dieses Risiko problemlos tragen und wälzen die Kosten aus den Betrugsschäden auf die Kunden ab.
Ganz verhindern könne man Betrugsfälle nie, «aber die Hürde für die Kriminellen muss so gross werden, dass sich Angriffe kaum mehr lohnen», sagt Civelek. Die Risikochefin setzt deshalb auch auf Prävention. Je informierter die Kunden, desto grösser wird der Aufwand für die Kriminellen.
Eine Hürde, die Kriminelle bislang offenbar nicht überwinden, sind mobile Bezahlverfahren mit dem Handy. Der Sicherheitsvorteil: Die Kreditkartennummer wird bei Apple Pay, Google Pay und Co. nie auf dem Smartphone gespeichert. Somit kann die echte Kreditkartennummer im Prinzip nicht erbeutet werden, da nur eine virtuelle Kartennummer, ein sogenannter Token, hinterlegt ist. Das heisst, selbst wenn das Gerät gestohlen wird, hat der Dieb keine Kreditkartennummer.
Eine weitere Barrikade für Betrüger stellt Swisscards Sicherheits-App Transakt dar: Beim Online-Einkauf müssen Nutzer die Zahlung in der App nochmals bestätigen.
Das Wettrüsten zwischen Kartenanbietern und der unsichtbaren Cybermafia – die Hintermänner der Kreditkartenkriminalität werden kaum je gefasst – geht über Sicherheits-Apps und Prävention hinaus: Wie andere Kartenanbieter hat auch Swisscard eine selbstlernende Software lizenziert, die neue Betrugstrends frühzeitig erkennen soll. Die Algorithmen suchen nach Auffälligkeiten, die Menschen normalerweise nicht machen, etwa mehrere Male hintereinander an Tankstellen bezahlen. Hierzu wird die Künstliche Intelligenz (KI) mit den gelösten Betrugsfällen der Kreditkartendetektive gefüttert. So soll sie Betrugsmuster aufdecken, betrügerische Transaktionen mit grösserer Wahrscheinlichkeit erkennen und irrtümliche Kartensperrungen minimieren. Naturgemäss sind die Kunden wenig erfreut, wenn ihre Karte grundlos gesperrt wird.
Doch auch die Künstliche Intelligenz stösst an ihre Grenzen: «Bei betrügerischen Käufen mit kleinen Beträgen in App-Stores beispielsweise springt das Präventionssystem nicht immer sofort an, da solche Transaktionen sehr häufig vorkommen und per se nicht ungewöhnlich sind», sagt da Costa. Die Software kann unmöglich wissen, ob der Kunde eine App mit Abo-Funktion erwirbt – oder Betrüger seine Kartendaten missbrauchen. Gerade kleine Beträge bleiben auf Kartenabrechnungen oft länger unerkannt, was die Kriminellen nur zu gut wissen.
Den Menschen ersetzen kann die Künstliche Intelligenz bis auf Weiteres nicht. Wird ein Kunde Opfer eines Betrugs, möchten die meisten mit einem Mitarbeiter aus Fleisch und Blut sprechen – und nicht mit einem Chat-Roboter.
Man gebe jährlich eine siebenstellige Summe (ohne Löhne) für die Betrugsbekämpfung aus, sagt Civelek, sprich mehrere Millionen fliessen in die IT-Infrastruktur. Das zeige Wirkung: «Die Betrugssumme im Verhältnis zum Gesamtumsatz liegt im niedrigen einstelligen Promillebereich», sagt die Risikochefin.
Überprüfen lassen sich solche Aussagen nicht. Da die effektiven Betrugskosten ein streng gehütetes Geheimnis der Branche sind, lässt sich nicht sagen, ob Bargeld bezüglich Sicherheit wirklich so viel schlechter als Kartengeld abschneidet, wie es die Kartenanbieter gerne darstellen.
Immerhin: Ist das Portemonnaie weg, ist das Geld verloren. Beim Kartengeld bleiben Geprellte auch im Betrugsfall vor finanziellem Schaden geschützt – solange sie die grundlegende Sorgfaltspflicht nicht grob fahrlässig verletzt haben (z.B sofortiges Sperren der Karte oder Überprüfen der Monatsabrechnungen). Shops und Kartenanbieter holen sich die Kosten aus den Betrugsschäden über höhere Preise und Gebühren natürlich wieder zurück.
Bleibt festzuhalten: Der Kampf gegen die Kreditkarten-Mafia verursacht Kosten, die schlussendlich wir Kunden mitbezahlen – aber er lohnt sich. Zwar können Betrugsbekämpfer längst nicht jeden Betrugsversuch vereiteln. Aber ihre Arbeit macht den Kriminellen das Leben schwerer, so dass wir im Vergleich zum Ausland, das teils weniger in die Betrugsprävention investiert, nicht die «dankbarsten» Opfer sind.
Kompliment und Danke!