Autor: Christian Radny
Veröffentlicht: 28.09.2023
Kategorie: Blog

Card Testing Angriffe erkennen und abwehren

Szene, die einen Kriminellen zeigt, der Kreditkarten testet

Inhaltsverzeichnis

Was ist Card Testing?
So lief ein Angriff bei mir ab
Abwehr von Card Testing

Was ist Card Testing?

Mit Card Testing wird ein automatisiertes oder manuelles Testen von gestohlenen Kreditkartendaten bezeichnet. Der Test soll aktive Kreditkarten finden, die für Kreditkartenbetrügereien eingesetzt werden können.

Häufig werden viele Transaktionen mit sehr geringen Rechnungsbeträgen getestet, die bei Erfolg von den Beteiligten als nicht verdächtig eingestuft werden.

Die Beteiligten an einer Transaktion mit Kreditkarte sind:

Händler (Merchant)
Zahlungsdienstleister (PSP)
Bank des Händlers (Acquirer)
Mastercard, Visa, etc. (Card Scheme)
kartenausstellende Bank (Issuer)

Erkannt werden kann ein laufender Card Testing Angriff an einer hohen Anzahl von erfolglosen Transaktionen.

So lief ein Angriff bei mir ab

Eines Morgens fiel mir eine Bestellung mit durcheinander eingetippten Buchstaben im Vor- und Nachnamen, mit Lieferung in die USA auf. Nachdem ich bei meinem Zahlungsdienstleister über 150 verweigerte Transaktionen innerhalb von 10 Minuten sehen konnte, habe ich meinen Onlineshop in den Wartungsmodus versetzt. Der Angriff hörte nach einigen Minuten auf, weil der Bestellablauf nicht mehr verfügbar war.

In den Serverlogs ist mir aufgefallen, dass der Angreifer oder die Angreiferin zehn verschiedene IP-Adressen benutzte. Für eine Transaktion wurde immer die gleiche IP-Adresse im Bestellablauf benutzt. Der User-Agent änderte sich nicht. Die IP-Adressen stammten aus Ländern wie den USA, Indien, Argentinien, Finnland, Japan, Israel, der Slowakei, und weitere.

Als erste Maßnahme habe ich den User-Agent gesperrt und den Onlineshop wieder aktiviert. Zwei Stunden später erfolgte ein weiterer Angriff. Dieses Mal änderte sich innerhalb der Transaktion die IP-Adresse. Der Warenkorb blieb bestehen, da sich die Session-ID im Cookie innerhalb des Bestellablaufs nicht änderte. Gezählt habe ich mindestens 30 verschiedene IP-Adressen. Der User-Agent blieb wieder unverändert. Dadurch wurden alle Zugriffe geblockt.

Am Abend erfolgte ein letzter Angriff, der ein weiteres Mal wegen des gesperrten User-Agents abgewehrt wurde.

Abwehr von Card Testing

Card Testing kann durch eine Auswertung von IP-Adressen, Session-IDs, Geräte-Fingerabdrücken, Fehlermeldungen des Zahlungsdienstleisters und dem Einsatz von Google reCAPTCHA abgewehrt werden.

Beispielsweise kann eine Transaktion auf fünf Versuche pro IP-Adresse oder Session-ID oder Gerät innerhalb einer Stunde beschränkt werden.

Bei Zugriffen aus nicht EU Ländern kann Google reCAPTCHA v3 den Bestellablauf auf Bot-Aktivitäten prüfen, und im Zweifel im letzten Schritt des Bestellablaufs eine Google reCAPTCHA v2 Bestätigung mit “Ich bin kein Roboter” auslösen.

Zusätzlich kann eine reCAPTCHA-Bestätigung ausgelöst werden, wenn zehn Fehlermeldungen innerhalb einer Stunde mit einem Hinweis auf Betrug erfasst wurden, wie etwa: blocked card, stolen card oder issuer suspected fraud.

Sinnvoll ist ebenfalls eine reCAPTCHA-Bestätigung, wenn sich das Momentum von erfolglosen Transaktionen erhöht, zum Beispiel bei fünf erfolglose Transaktionen innerhalb von einer Minute.

Schlusswort

Ich beantworte Fragen gerne auf X. Einfach eine Frage stellen und mich mit meinem Usernamen: @ChrisRadny erwähnen.

Externe Weblinks

Captcha: Google reCAPTCHA
Geräte-Fingerabdrücke: FingerprintJS