Digital
Schweiz

So arbeiten die Kreditkarten-Detektive, die uns vor der Cyber-Mafia schützen

Ein Betrugsbekämpfer prüft eine verdächtige Kreditkartentransaktion.
Ein Betrugsbekämpfer prüft eine verdächtige Kreditkartentransaktion.bild: watson

Eine Untergrund-Industrie plündert Kreditkarten – so schützen uns die Karten-Detektive

Kaum eine «Branche» ist erfinderischer als Kreditkartenbetrüger. Wir haben mit den Menschen gesprochen, die einen sechsten Sinn für Kartenmissbrauch haben und uns rund um die Uhr vor Betrügern schützen.
13.01.2020, 09:3328.12.2020, 14:30
Mehr «Digital»

Mehrere Onlineeinkäufe mit der selben Karte innert Minuten? Allenfalls auch noch in verschiedenen Ländern? Die Kreditkartendetektive treten in Aktion, wenn eine Transaktion verdächtig wirkt oder Kunden einen potenziellen Betrugsfall melden. Das kann auch mitten in der Nacht sein. Kriminelle halten sich nicht an Bürozeiten. Das Anti-Fraud-Team beim Schweizer Kartenherausgeber Swisscard steht daher rund um die Uhr im Einsatz.

«Mit der Zeit und der entsprechenden Erfahrung entwickelt man ein Gefühl für verdächtige Transaktionen», sagt Hélder da Costa, der das 15-köpfige Betrugsbekämpfungsteam leitet.

Pro Tag bearbeitet das Team im Schnitt 250 Fälle manuell, wovon längst nicht alle betrügerischer Natur sind. Pro Jahr vereiteln sie rund 10'000 Betrugsfälle. Wie viele Betrüger es dennoch schaffen, will Swisscard nicht sagen.

Wer die Zentrale der Betrugsbekämpfer besuchen will, muss zunächst zwei Sicherheitsschleussen überwinden. Die mehrheitlich männlichen Experten arbeiten in einem modernen Glasgebäude ob Horgen (ZH). Draussen lockt der Zürichsee, aber an diesem nasskalten Wintertag haften die Blicke an den Monitoren. Dort tauchen die neusten «Fraud Alerts» auf, die nach Dringlichkeit bearbeitet werden.

Die Kreditkartenanbieterin Swisscard ist im Besitz von Credit Suisse und American Express. Sie betreut über 1,5 Millionen Karten und beschäftigt in Horgen (ZH) rund 700 Mitarbeiter.
Die Kreditkartenanbieterin Swisscard ist im Besitz von Credit Suisse und American Express. Sie betreut über 1,5 Millionen Karten und beschäftigt in Horgen (ZH) rund 700 Mitarbeiter.bild: watson

Bevor die Betrugsbekämpfer eingreifen, prüft eine selbstlernende Software jede Autorisierungsanfrage innert Sekunden auf ihre Plausibilität. Da Costa erklärt:

«Das System schlägt zum Beispiel Alarm, wenn eine Kreditkarte zunächst in Zürich und wenige Minuten später irgendwo in den USA eingesetzt wird. Oder wenn unvermittelt mehrere Flug- oder Bahntickets in einem fremden Land gekauft werden.»

Eine alte Masche der Kriminellen ist beispielsweise, mit geklauten Kartendaten gekaufte Flugtickets über gefälschte Reisebüro-Webseiten weiterzuverkaufen.

Auch eine Zahlung an der Kasse mit dem veralteten Magnetstreifen anstelle des sicheren Chips ist suspekt. In solchen Fällen könnte es sich um einen Betrug mit geklauten Kartendaten handeln und da Costas Team erhält einen Alarm. Wenn es in einem bestimmten Land oder bei einem Online-Shop zuletzt vermehrt zu Betrug gekommen ist, wird besonders genau hingeschaut.

Da Costa sitzt hinter einem grossen Bildschirm und führt mit einem Test-Account vor, wie das Sicherheitssystem funktioniert:

  1. Geht die Software von Betrug aus, sperrt sie die Karte temporär.
  2. In einem solchen Fall wird beim Karteninhaber automatisch per SMS nachgefragt, ob er die Bestellung getätigt habe.
  3. Bestätigt er den Kauf, wird die Karte ebenfalls automatisiert wieder freigegeben.
  4. Reagiert er nicht, versucht ihn ein Betrugsexperte telefonisch zu kontaktieren.

In einem solchen Fall schauen die Kreditkartendetektive auch alte Transaktionen des Kunden an: «Sehe ich zum Beispiel, dass der Kunde in der Vergangenheit im gleichen Elektronik-Shop bereits mehrfach für ähnliche Beträge bestellt hat, dürfte alles in Ordnung sein», sagt da Costa.

Die Betrugsexperten sehen, wo, wann und für welche Beträge etwas gekauft wurde, aber nicht was die Karteninhaber kaufen.
Die Betrugsexperten sehen, wo, wann und für welche Beträge etwas gekauft wurde, aber nicht was die Karteninhaber kaufen.bild: watson

Die grösste Genugtuung eines Betrugsbekämpfers? Natürlich wenn den Kreditkartengaunern das Handwerk gelegt wird. Vor ein paar Jahren kam es vermehrt zu Betrugsversuchen bei Express- bzw. Same-Day-Lieferungen, erinnert sich da Costa. Kriminelle bestellten mit erbeuteten Kartendaten teure Waren an Schweizer Adressen, wobei Handlanger die Paketboten bei der Ablieferung abfingen. Mit der Paketverfolgungsfunktion waren auch die Ganoven im Bilde, wann das Paket geliefert wurde.

«Die Betrüger gehen immer auf das schwächste Glied los.»
Özlem Civelek, Head of Risk Swisscard

Die Betrugsbekämpfer kamen der Masche auf die Schliche und die Polizei erwischte die Betrüger in flagranti. An die Hintermänner, die mutmasslich irgendwo in Osteuropa sitzen, gelangte man nicht, aber die Schweiz sei seitdem für diese Betrugsmasche ein zu heisses Pflaster, sprich nicht mehr attraktiv genug.

Die Kriminellen lösen sich natürlich nicht in Luft auf, sie weichen aber auf Länder aus, die weniger in die Betrugsbekämpfung investieren. «Die Betrüger gehen immer auf das schwächste Glied los», sagt Özlem Civelek, Chief Risk Officer bei Swisscard. Man versuche daher den Aufwand für die Kriminellen so hoch wie möglich zu halten, damit sich Angriffe gegen Schweizer Kreditkartennutzer weniger lohnen.

Wer im Anti-Fraud-Team arbeitet, wird ein halbes Jahr intern geschult, bis er oder sie auf die echten Fälle losgelassen wird. Für Kreditkartendetektive gibt es weder Lehre noch Studium. «Meine Mitarbeiter sind teils Quereinsteiger», sagt da Costa. Wichtiger als akademische Zeugnisse ist Erfahrung. Wer bei ihm arbeitet, spricht mindestens drei bis vier Sprachen fliessend. Um missbräuchliche von legitimen Transaktionen zu unterscheiden, helfe es auch, wenn die Teammitglieder aus verschiedenen Branchen kommen und mit deren Abläufen vertraut sind.

Haben da Costas Spürnasen einen Fall gelöst, ist die Sache längst nicht erledigt. Nun kommen die Analysten ins Spiel, welche aus den abgeschlossenen Fällen die richtigen Schlüsse ziehen sollen. Das Ziel: Die Prävention verbessern, also Kriminellen künftig weniger Angriffsfläche bieten. Die aufwändige Nachbearbeitung der Fälle beinhaltet nicht zuletzt auch die Zusammenarbeit mit der Polizei.

Die unsichtbare Mafia schlägt online zu

Seit der Schutz der physischen Karten mit zusätzlichen Sicherheitsmerkmalen verbessert wurde, steigen die Betrüger aufs Internet um. Gegen 80 Prozent des Kreditkartenbetrugs findet heute im Netz statt. Gerade das Phishing, also der Versuch über gefälschte Webseiten, E-Mails oder Kurznachrichten persönliche Daten eines Kreditkarten-Nutzers abzugreifen, wird immer raffinierter. Im Sommer plünderten Unbekannte per Phishing-Angriff mehrere Konten Schweizer Revolut-Nutzer. Die Smartphone-Bank erhöhte danach ihre Sicherheitsmassnahmen, aber gegen Phishing ist bislang kein Kraut gewachsen. So lange Menschen darauf hereinfallen und den verdeckt agierenden Betrügern ihre Daten selbst übergeben, lassen sich die ausgeklügeltsten Sicherheitssysteme aushebeln.

Kreditkartenbetrug wandelt sich

Kartenfälschungen (blaue Linie) sind seit der Einführung von Chip & PIN vor über zehn Jahren von 70 auf knapp 20 Prozent zurückgegangen. Dafür macht Online-Betrug (rot) seit einigen Jahren fast 80 ...
Kartenfälschungen (blaue Linie) sind seit der Einführung von Chip & PIN vor über zehn Jahren von 70 auf knapp 20 Prozent zurückgegangen. Dafür macht Online-Betrug (rot) seit einigen Jahren fast 80 Prozent des Gesamtbetrugs aus. grafik: swisscard

Fakt ist: Kreditkartenbetrug lohnt sich weiterhin. Das liegt auch daran, dass manche Online-Shops weiterhin auf grundlegende Schutzmechanismen wie 3-D-Secure verzichten. Dabei muss sich der Kunde wie beim E-Banking per Code identifizieren, den er per SMS oder als Push-Benachrichtigung in der Kreditkarten-App erhält. «Die meisten Schweizer Online-Shops bieten 3-D-Secure an, aber einige grosse internationale Händler verzichten bewusst auf diese zusätzliche Sicherheit», sagt da Costa. Sie befürchten, damit Kunden zu verlieren.

Verzichtet ein Händler auf 3-D-Secure, haftet er und nicht der Kartenanbieter im Betrugsfall. Grosse Online-Shops wie Amazon können dieses Risiko problemlos tragen und wälzen die Kosten aus den Betrugsschäden auf die Kunden ab.

Ganz verhindern könne man Betrugsfälle nie, «aber die Hürde für die Kriminellen muss so gross werden, dass sich Angriffe kaum mehr lohnen», sagt Civelek. Die Risikochefin setzt deshalb auch auf Prävention. Je informierter die Kunden, desto grösser wird der Aufwand für die Kriminellen.

Eine Hürde, die Kriminelle bislang offenbar nicht überwinden, sind mobile Bezahlverfahren mit dem Handy. Der Sicherheitsvorteil: Die Kreditkartennummer wird bei Apple Pay, Google Pay und Co. nie auf dem Smartphone gespeichert. Somit kann die echte Kreditkartennummer im Prinzip nicht erbeutet werden, da nur eine virtuelle Kartennummer, ein sogenannter Token, hinterlegt ist. Das heisst, selbst wenn das Gerät gestohlen wird, hat der Dieb keine Kreditkartennummer.

Eine weitere Barrikade für Betrüger stellt Swisscards Sicherheits-App Transakt dar: Beim Online-Einkauf müssen Nutzer die Zahlung in der App nochmals bestätigen.

Sicherheits-Apps wie Transakt reduzieren das Betrugsrisiko: Beim Online-Einkauf mit Kreditkarte wird man in der separaten App nochmals aufgefordert, die Transaktion zu bestätigen.
Sicherheits-Apps wie Transakt reduzieren das Betrugsrisiko: Beim Online-Einkauf mit Kreditkarte wird man in der separaten App nochmals aufgefordert, die Transaktion zu bestätigen.bild: swisscard

Wettrüsten zwischen Kartenanbietern und Betrügern

Das Wettrüsten zwischen Kartenanbietern und der unsichtbaren Cybermafia – die Hintermänner der Kreditkartenkriminalität werden kaum je gefasst – geht über Sicherheits-Apps und Prävention hinaus: Wie andere Kartenanbieter hat auch Swisscard eine selbstlernende Software lizenziert, die neue Betrugstrends frühzeitig erkennen soll. Die Algorithmen suchen nach Auffälligkeiten, die Menschen normalerweise nicht machen, etwa mehrere Male hintereinander an Tankstellen bezahlen. Hierzu wird die Künstliche Intelligenz (KI) mit den gelösten Betrugsfällen der Kreditkartendetektive gefüttert. So soll sie Betrugsmuster aufdecken, betrügerische Transaktionen mit grösserer Wahrscheinlichkeit erkennen und irrtümliche Kartensperrungen minimieren. Naturgemäss sind die Kunden wenig erfreut, wenn ihre Karte grundlos gesperrt wird.

Doch auch die Künstliche Intelligenz stösst an ihre Grenzen: «Bei betrügerischen Käufen mit kleinen Beträgen in App-Stores beispielsweise springt das Präventionssystem nicht immer sofort an, da solche Transaktionen sehr häufig vorkommen und per se nicht ungewöhnlich sind», sagt da Costa. Die Software kann unmöglich wissen, ob der Kunde eine App mit Abo-Funktion erwirbt – oder Betrüger seine Kartendaten missbrauchen. Gerade kleine Beträge bleiben auf Kartenabrechnungen oft länger unerkannt, was die Kriminellen nur zu gut wissen.

Den Menschen ersetzen kann die Künstliche Intelligenz bis auf Weiteres nicht. Wird ein Kunde Opfer eines Betrugs, möchten die meisten mit einem Mitarbeiter aus Fleisch und Blut sprechen – und nicht mit einem Chat-Roboter.

Man gebe jährlich eine siebenstellige Summe (ohne Löhne) für die Betrugsbekämpfung aus, sagt Civelek, sprich mehrere Millionen fliessen in die IT-Infrastruktur. Das zeige Wirkung: «Die Betrugssumme im Verhältnis zum Gesamtumsatz liegt im niedrigen einstelligen Promillebereich», sagt die Risikochefin.

Überprüfen lassen sich solche Aussagen nicht. Da die effektiven Betrugskosten ein streng gehütetes Geheimnis der Branche sind, lässt sich nicht sagen, ob Bargeld bezüglich Sicherheit wirklich so viel schlechter als Kartengeld abschneidet, wie es die Kartenanbieter gerne darstellen.

Immerhin: Ist das Portemonnaie weg, ist das Geld verloren. Beim Kartengeld bleiben Geprellte auch im Betrugsfall vor finanziellem Schaden geschützt – solange sie die grundlegende Sorgfaltspflicht nicht grob fahrlässig verletzt haben (z.B sofortiges Sperren der Karte oder Überprüfen der Monatsabrechnungen). Shops und Kartenanbieter holen sich die Kosten aus den Betrugsschäden über höhere Preise und Gebühren natürlich wieder zurück.

Bleibt festzuhalten: Der Kampf gegen die Kreditkarten-Mafia verursacht Kosten, die schlussendlich wir Kunden mitbezahlen – aber er lohnt sich. Zwar können Betrugsbekämpfer längst nicht jeden Betrugsversuch vereiteln. Aber ihre Arbeit macht den Kriminellen das Leben schwerer, so dass wir im Vergleich zum Ausland, das teils weniger in die Betrugsprävention investiert, nicht die «dankbarsten» Opfer sind.

Gratulation, du hast den Artikel erfolgreich beendet. Als Belohnung hätten wir noch diesen Artikel! 😄

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das sind die zehn reichsten Schweizer 2019
1 / 12
Das sind die zehn reichsten Schweizer 2019
Platz 1: Familie Kamprad. Geschätztes Vermögen: 55 Milliarden Franken. Möbel, Immobilien.
Auf Facebook teilenAuf X teilen
So manipulieren Karten unser Kaufverhalten
Video: srf
Das könnte dich auch noch interessieren:
23 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Don Quijote
13.01.2020 09:47registriert April 2015
Für solche spannenden, tiefgründigen, gut recherchierten und wissenswerten Artikel liebe ich Watson. Merci viumau!
3446
Melden
Zum Kommentar
avatar
Madison Pierce
13.01.2020 09:58registriert September 2015
Das System und die Leute arbeiten gut. Musste mal eine Software für ein paar Tausend Dollar bei einer Firma in Hongkong kaufen. Keine zehn Minuten später der Anruf von Swisscard mit der Frage, ob das in Ordnung sei. Musste mich mit Geburtsdatum, letzten Transaktionen etc. authentifizieren und habe dann gesagt, es sei jetzt und auch in Zukunft OK. Sofort wurde die Transaktion freigegeben und spätere Updates konnte ich problemlos kaufen.

Kompliment und Danke!
1842
Melden
Zum Kommentar
avatar
Meyer Andrej
13.01.2020 10:16registriert August 2019
Funktioniert tadellos. Gebühren bezahlt bei Ricardo, Bestellung in Amerika bezahlt und Überweisung an Digitec innert 15 Minuten, unmittelbar nach der letzten Zahlung schellte das Telefon. Einwandfrei, man kann sich nicht genug schützen.
781
Melden
Zum Kommentar
23
Wer seine Lebensmitteleinkäufe mit der App des Bundes verzollt, zahlt zu viel
Einkaufstouristen können die Mehrwertsteuer statt am Zoll bequem mit einer App des Bundes bezahlen. Der Haken: es kommt sie unter Umständen teurer zu stehen als am Schalter. Der Bund will das erst 2027 ändern – trotz geplanter Senkung der Freigrenze.

Ein Nutzer lässt seinem Frust freien Lauf. «Reinste Abzocke» sei das, kritisiert er, und bilanziert: «App unbrauchbar». Auslöser des Ärgers ist die sogenannte Quickzoll-App des Bundes, mit der Privatpersonen Waren verzollen können: Einkaufstouristen können mit der App die Mehrwertsteuer sowie allfällige Zollabgaben beispielsweise für Fleisch oder Wein berechnen lassen und gleich bezahlen.

Zur Story