Betrugsfälle bei Kreditkartenzahlung mit 3-D-Secure-Verfahren

Kreditkartenzahlung

In letzter Zeit sind uns mehrere Fälle bekannt geworden, bei denen Online-Händler in eine böse Falle getappt sind: Suggeriert das 3-D-Secure-Verfahren normalerweise die sogenannte „Haftungsumkehr“, bei der der Händler durch Anbieten von MasterCard SecureCode und Verified by Visa kein Risiko eingeht (wir berichteten dazu bereits in der Vergangenheit in unserem Blog und auch die Wikipedia schreibt, dass die kartenausgebende Bank für Schäden aus missbräuchlich eingesetzten Karten haftet: Wikipedia), so gibt es eben doch tückische Ausnahmen, bei denen Händler meist erst aufmerksam werden, wenn es bereits zu spät ist.

Beim 3D-Secure Verfahren gibt es nämlich unterschiedliche Rückmeldungen der Authentifizierungsprüfung. Diese können mal positiv, mal negativ und mal einfach einen unzuverlässigen Status zurück melden. Während bei positiven Prüfungen alles in Butter ist, werden negative Prüfungen automatisch abgelehnt und keine Transaktion findet statt. Anders ist es jedoch bei der Überprüfung mit unzuverlässigem Status. Die Transaktion wird durchgeführt, jedoch die Haftungsumkehr gilt nicht: Der Online-Händler ist jetzt wieder selbst in der Verantwortung!

Wir haben dies mal anhand des Ipayment Gateways, das von 1&1 betrieben wird, näher untersucht, da Ipayment bei den meisten unserer Kunden zur Zahlungsabwicklung im Einsatz ist. Inwieweit auch andere Payment-Gateways diese Lücke aufweisen und wie sie damit umgehen wird nicht in diesem Artikel behandelt.

Laut 1&1 Ipayment Handbuch (aktuellste Fassung aus dem Jahre 2010, siehe Seite 62 , pdf Download ) erfolgt diese Rückmeldung der Authentifizierungsprüfung im Antwort-Parameter trx_payauth_status der SOAP-Response. Dieser Parameter kann dabei folgende Werte annehmen:

I (Issuer Authenticated): Vollständige und erfolgreiche Authentifizierung des Karteninhabers. Eine Haftungsumkehr besteht.
M (Merchant Attempted): Die Kreditkarte war nicht für das Sicherheitsverfahren freigeschaltet. Der Händler hat das Sicherheitsverfahren angeboten, die Haftungsumkehr besteht.
U (Unavailable): Eine Prüfung ist nicht möglich, es besteht keine Haftungsumkehr. Diese Transaktion sollte sorgfältig geprüft werden!

Dieser kleine entscheidende Hinweis auf den „Status U“ ist ein Schlupfloch, das gelegentlich von Betrügern ausgenutzt wird. Das heißt jetzt nicht, dass jede Karte, für die ein Status U zurückgemeldet wird, automatisch ein Betrugsfall ist. Jedoch gibt es dokumentierte Fälle, bei denen Käufer in betrügerischer Absicht mit derartigen Karten Einkäufe tätigen, die Ware vom Händler geliefert bekommen, und anschließend ein Charge-Back durchführen bzw. die Abbuchung platzt. Beruft sich ein geschädigter Online-Händler in einem solchen Fall auf die Haftungsumkehr, muss er dann schmerzhaft erfahren, dass es diese bei Status U eben nicht gibt.

Der nett gemeinte Hinweis „Diese Transaktion sollte sorgfältig geprüft werden!“ im 1&1 Ipayment Handbuch, das sicherlich die wenigsten Kunden vollständig gelesen haben, fühlt sich an wie Hohn, wird Ipayment ja in der Regel in Shop-Systeme mit Hilfe eines Zahlungsmoduls integriert. Viele unserer Kunden nutzen dazu die OXID eShop Software in Kombination mit dem Ipayment PRO Modul. In diesem Modul gibt es schlichtweg überhaupt keinen Hinweis für den Online-Händler, welchen Transaktions-Status eine bestimmte Transaktion hat oder wie damit im Einzelfall umzugehen wäre. Der Händler kann also die von Ipayment im Handbuch empfohlene sorgfältige Prüfung gar nicht durchführen, da er vom Status U normalerweise gar nichts mitbekommt.
erweiterte-protokollierung

screenshot-ipayment
Lösungsweg für den Händler ist dort aktuell lediglich, die erweiterte Protokollierung des Ipayment PRO Moduls im OXID eShop zu aktivieren (siehe Screenshot), die laut Hilfetext im Modul Tooltip jedoch lediglich zur Analyse von Problemen empfohlen wird. Von Status U Bestellungen ist hier keine Rede. Die meisten Händler dürften die Option daher deaktiviert haben. Bei aktivierter erweiterter Protokollierung kann dann durch Klick auf die jeweilige Bestellung im Protokoll der trxPayauthStatus abgelesen werden. Der Übersichtlichkeit halber im Screenshot rot markiert. Dies ist zur schnellen Überprüfung von Bestellungen sicherlich nicht geeignet.

Alternativ kann der Händler nach jeder erfolgreichen Kreditkarten-Transaktion in das Ipayment Backend von 1&1 eingeloggt werden, um dort anhand der Transaktions-ID den Status des 3-D-Secure Verfahrens abzufragen. Auch dort ist die Übersichtlichkeit jedoch nicht besser.

Beide Lösungsansätze sind daher überhaupt nicht pragmatisch, insbesondere für Shops mit hohen Transaktionsvolumina.

Unserer Meinung nach sollte es bei 1&1 Ipayment konfigurierbar gemacht werden, wie mit solchen Status U Transaktionen umgegangen werden soll. Händler sollten sich zum Beispiel selbst dazu entscheiden können, generell keine Bestellungen mit Status U zu akzeptieren, und den Kunden zurück zur Zahlungsarten-Auswahl zu leiten. Auf unsere Nachfrage teilte uns 1&1 am 31. Oktober 2012 folgendes mit:

Es ist von Visa so vorgegeben, dass bei einem 3D-Secure-Status „U“ die Zahlung trotzdem abgewickelt wird. Daher können wir von Ipayment die Zahlung nicht ablehnen. Dies müssten Sie wenn auf Ihrer Seite tun und die Zahlung eventuell im Nachhinein stornieren.

Wir halten diese Aussage für wenig hilfreich und haben uns auch im Internet nach anderen Payment-Anbietern umgeschaut, die diesbezüglich andere Lösungsansätze verfolgen. Einen vorbildlichen Ansatz haben wir dabei bei der Schweizer Datatrans AG entdeckt. Download unter „3D Secure – Status U oder der U-Case“ auf Seite 6-7. Dort haben Händler die Möglichkeit, eben diese Entscheidung selbst zu treffen, nämlich Status U Bestellungen generell zu erlauben, abzulehnen oder bei Status U Bestellungen zusätzlich eine E-Mail an den Händler zu verschicken, der dann tatsächlich vor dem Versand eine manuelle Prüfung durchführen kann.

Wir haben zwischenzeitlich den Hersteller des Ipayment PRO Moduls für den OXID eShop gebeten, das Modul entsprechend anzupassen, so dass auch OXID Shop-Betreiber diese Entscheidung selbst treffen können. Ob und wann diese Anpassung allerdings auf die Agenda des Herstellers aufgenommen wird, ist uns noch nicht bekannt. In der Zwischenzeit empfehlen wir allen Online-Händlern, die das Ipayment PRO Modul im Einsatz haben, jede Kreditkartenzahlung genau zu überprüfen – aber auch Kunden, die generell noch nicht über die Status U Problematik gestolpert sind, einmal zu recherchieren wie ihr Payment Provider mit derartigen Bestellungen umgeht. Wenn der Betrug erst passiert ist, ist es zu spät.

Statistisch betrachtet sind bei unseren Kunden-Shops ca. 1 % aller Kreditkarten-Transaktionen von Status U betroffen (der weltweite Durchschnitt kann natürlich abweichen). Hiervon sind wie gesagt nicht zwingend 100% Betrüger. Stichprobenartige Prüfungen unsererseits haben durchaus Fälle gezeigt, bei denen Status U festgestellt wurde, und die Zahlung trotzdem erfolgreich funktioniert hat. Wir reden daher vermutlich nur über 0,5 % aller Kreditkarten-Transaktionen.

Wir danken unserem Kunden www.colludo.de , der sachdienliche Hinweise zu den Erkenntnissen in diesem Blog-Artikel geliefert hat.

Schreibe einen Kommentar

Bitte logge dich mit einer dieser Methoden ein, um deinen Kommentar zu veröffentlichen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: