Das Protokoll 3D Secure fügt beim Online-Kauf mit Kreditkarte eine Authentifizierungsschritt hinzu. Seit der vollständigen Umsetzung der europäischen Richtlinie DSP2 ist diese starke Authentifizierung zur Norm für die Mehrheit der Transaktionen geworden. Einige Händler aktivieren dieses System nicht, entweder aus technischen Gründen oder weil sie von regulatorischen Ausnahmen profitieren. Der Kauf auf diesen Plattformen birgt spezifische Risiken, sowohl für den Karteninhaber als auch für den Händler.
Übertragung der Verantwortung im Falle von Betrug ohne starke Authentifizierung
Der für den Käufer am wenigsten sichtbare Mechanismus ist auch der strukturellste. Wenn eine Zahlung über 3D Secure abgewickelt wird, wechselt die Verantwortung für eine betrügerische Transaktion vom Händler zur ausstellenden Bank der Karte. Ohne diese Authentifizierung kehrt sich das Schema um.
Auch interessant : Die Schlüssel zum Erfolg und zur Steigerung Ihres Geschäfts im Jahr 2024
Die Banque de France erinnert in ihrem Panorama der Betrugsfälle im Zahlungsverkehr 2024 daran, dass die Regeln des Währungs- und Finanzgesetzbuchs weiterhin gelten: der Aussteller muss den Zahler sofort erstatten, es sei denn, es bestehen Verdachtsmomente auf Betrug seitens des Letzteren. Die Verantwortung für die Rückerstattung liegt beim Zahlungsdienstleister, wenn eine Zahlung ohne starke Authentifizierung erfolgt ist, obwohl diese erforderlich war.
In der Praxis bedeutet dies, dass der Verbraucher durch das Gesetz geschützt bleibt. Die Situation ist für den Händler, der sich entscheidet, 3D Secure nicht zu aktivieren, weitaus riskanter: Im Falle einer Anfechtung trägt er den finanziellen Verlust. Um zu verstehen, warum einige Händler diese Entscheidung trotz allem treffen, beschreibt eine Liste der Seiten ohne 3D Secure auf Geekfinity die geschäftlichen Motivationen hinter dieser Entscheidung.
Auch lesenswert : Tipps und Strategien zur Steigerung des Wachstums Ihres Unternehmens im Jahr 2024
Betrug mit Kreditkarten auf Seiten ohne 3D Secure: eine höhere Rate
Der letzte Bericht des Observatoriums für die Sicherheit der Zahlungsmethoden (OSMP) bestätigt einen klaren Trend: Die Betrugsrate bei Online-Zahlungen mit Kreditkarte ist kontinuierlich rückläufig im Zeitraum 2023-2024, dank der Verbreitung der starken Authentifizierung und von 3D Secure 2.
Der Bericht stellt fest, dass Transaktionen, die ohne starke Authentifizierung durchgeführt werden, selbst wenn sie durch eine regulatorische Ausnahme erlaubt sind, einen deutlich höheren Anteil an Betrug aufweisen als authentifizierte Transaktionen. Der Kauf auf einer Seite, die diese Überprüfung nicht auslöst, platziert die Transaktion somit in die statistisch am stärksten exponierte Kategorie.
Wie ein Betrüger die Abwesenheit von 3D Secure ausnutzt
Ohne starke Authentifizierung benötigt ein betrügerischer Kauf nur drei Informationen: die Kartennummer, das Ablaufdatum und den dreistelligen Sicherheitscode auf der Rückseite. Forscher haben gezeigt, dass diese Daten durch Brute-Force-Angriffe erraten werden können, indem sie die Antworten der Zahlungssysteme bestimmter Seiten ausnutzen, wie die Seite Korben berichtet.
Das typische Szenario verläuft wie folgt:
- Ein Betrüger erhält eine Kartennummer über eine Phishing-Seite oder einen Datenleck.
- Er testet die Karte auf einer Seite ohne 3D Secure, wo kein SMS-Code oder biometrische Validierung angefordert wird.
- Die Transaktion wird in wenigen Sekunden genehmigt, ohne dass der Karteninhaber vor Erhalt seines Kontoauszugs gewarnt wird.
Diese Art von Angriff wird erheblich erschwert, wenn die starke Authentifizierung einen zusätzlichen Faktor erfordert, den der Betrüger nicht besitzt (Zugriff auf das Telefon, Fingerabdruck).
Ausnahmen DSP2: Warum einige Zahlungen ohne Authentifizierung erfolgen
Alle Online-Zahlungen ohne 3D Secure sind nicht illegitim. Die DSP2 sieht Ausnahmen von der starken Authentifizierung in bestimmten geregelten Fällen vor:
- Transaktionen mit geringem Betrag, unterhalb eines durch die Regulierung definierten Schwellenwerts.
- Wiederkehrende Transaktionen bei demselben Händler nach einer ersten erfolgreichen Authentifizierung.
- Transaktionen, die durch die Echtzeitanalyse des Zahlungsdienstleisters als geringes Risiko eingestuft werden (sogenannter “frictionless”-Ansatz von 3D Secure 2).
- Einkäufe bei vertrauenswürdigen Empfängern, die zuvor vom Karteninhaber bei seiner Bank registriert wurden.
Der “frictionless”-Modus von 3D Secure 2 verdient besondere Aufmerksamkeit. Die Authentifizierung findet tatsächlich statt, aber sie ist still: Das System analysiert im Hintergrund Dutzende von Parametern (verwendetes Gerät, Standort, Kaufhistorie), um zu entscheiden, ob eine aktive Überprüfung des Karteninhabers erforderlich ist. Das Fehlen eines Pop-ups bedeutet nicht das Fehlen von Schutz.
Die Unterscheidung ist wichtig. Eine Seite, die von einer DSP2-Ausnahme profitiert, bleibt im Rahmen einer regulierten Kontrolle. Eine Seite, die einfach kein 3D Secure anbietet, oft außerhalb des Europäischen Wirtschaftsraums gehostet, profitiert von keinem dieser Schutzmaßnahmen.
Die Sicherheit einer Seite vor einem Online-Karteneinkauf überprüfen
Bevor Sie Bankdaten auf einer Seite eingeben, die keine Authentifizierung auslöst, gibt es mehrere Punkte, die es ermöglichen, das tatsächliche Risikoniveau zu bewerten.
Das Vorhandensein des HTTPS-Schlosses in der Adressleiste garantiert die Verschlüsselung der Daten im Transit, sagt aber nichts über die Zuverlässigkeit des Händlers aus. Eine betrügerische Seite kann durchaus über ein SSL-Zertifikat verfügen.
Alternative Zahlungsmethoden bieten eine zusätzliche Schutzschicht. Virtuelle Kreditkarten, die von den meisten Banken und Fintechs angeboten werden, generieren eine einmalig verwendbare Kartennummer, die nach der Transaktion unbrauchbar wird. Selbst im Falle eines Datenlecks ermöglichen die gesammelten Informationen keine weiteren Einkäufe.
Die Website des Ministeriums für Wirtschaft empfiehlt außerdem, niemals seine Bankdaten auf einer Handelsseite zu speichern und öffentliche WLAN-Netzwerke zu vermeiden, um Transaktionen durchzuführen.
Der regulatorische Trend geht in Richtung einer Verstärkung der Authentifizierung, nicht in Richtung einer Lockerung. Die zukünftige Richtlinie DSP3 sieht eine noch strengere Regelung der Ausnahmen und eine Erweiterung des Anwendungsbereichs der starken Authentifizierung vor. Die Seiten, die heute 3D Secure aus kommerziellen Gründen umgehen, müssen ihre Praktiken anpassen oder akzeptieren, dass sie bei jeder Anfechtung einer Transaktion ein wachsendes finanzielles Risiko tragen.