Stripe - Achtung Kreditkartenbetrug

Hallo Zusammen,

wir nutzen schon seit einiger Zeit Stripe, bisher ohne Probleme. Nun scheint ein ordentlicher Sch…regen auf uns zuzukommen. Wir haben bereits eine Mail von Stripe erhalten, dass ein Kartenmissbrauch vorlag und das Geld (über 2000€) zurückgeholt wird und wir noch eine Gebühr von 15€ zahlen müssen. Soweit ich das verstehe, bleiben wir auf dem Schaden sitzen, genau weiß ich es noch nicht, warte noch auf Rückmeldung von Stripe. Heute sind mir zwei Bestellungen aufgefallen, bei der eine ähnliche E-Mail-Adresse verwendet wurde ...@tutanota.com oder ...@tutamail.com  (Ein Anbieter für verschlüsselte Mailaccounts). In beiden Fällen wurde an eine Adresse in DE bestellt, die Karten stammten jedoch aus Schweiz und Australien… 

Zusätzlich hat sich jetzt noch ein Kreditkarten-Inhaber aus Belgien gemeldet, dessen Kreditkartendaten wohl auch für eine Bestellung in unserem Shop missbraucht wurden. Hier erwartet und vermutlich sehr bald ebenfalls eine solche E-Mail von Stripe und eine Rückbuchung. 

Bei den beiden Bestellungen von heute konnte ich glücklicherweise Schlimmeres verhindern. Beim Prüfen der verwenden Kundenkonten ist mir jedoch aufgefallen, dass wir an eine Adresse bereits zwei Mal im Juni geliefert haben. Vermutlich werden hier identiäten missbraucht und DHL Wunschort Option verwendet oder die Pakete vor der Haustür abgefangen. Wir informieren gerade die entsprechenden Personen per Brief. Auch hier erwartet uns wohl sehr bald eine entsprechende Rückbuchung der Kreditkarteninhaber. 

Meine Fragen an andere Stripe-Nutzer: 

• Hattet bereits Erfahrungen mit so einem Fall?
• Ist es tatsächlich so, dass der Händler auf dem Schaden sitzen bleibt?
• Müsste nicht das Kreditkarten-Unternehmen bzw. die Bank dahinter den Schaden ersetzen? 
• Welche Möglichkeiten gibt es solche Fälle zu erkennen und Betrug zu vermeiden? (Bei allen betroffenen Transaktionen schreibt Stripe „Stripe risk evaluation: normal“)
• Gibt es Einstellungsmöglichkeiten bei Stripe? (z.B. das die Karte aus dem Lieferland stammen muss etc?)

Danke für Euer Feedback! 

Wir hatten schon ein paar mal Bestellungen mit geklauten Kreditkarten (aber nicht per Stripe, zugegeben). Da wir keine Kreditkarten selbst abwickeln sondern immer einen Treuhänder benutzt haben (in deinem Fall Stripe) gab es da nie Probleme. Das Geld wurde zwar vorläufig einbehalten, aber nachdem wir die Lieferung gegenüber dem Treuhänder bestätigt haben wurde Sie freigegeben. Dafür ist ein Treuhänder da, dass er das Risiko trägt und (mit unter) dafür bezahlt wird. Auch ist es in seinem interesse eine vorläufige Prüfung der Transaktion vorzunehmen, bevor er die Zahlung akzeptiert (oder ablehnt). 

Bitte sei so nett und schreib den Ausgang der geschichte. Wenn Stripe wirklich Transaktionen genehmigt und dann hinterher ätschibätsch Rückbucht, werden wir diesen Dienstleister bestimmt nie verwenden.

Danke für Dein Feedback. Ich gebe hier auf jeden Rückmeldung wie die Sache ausgegangen ist. Möchte Stripe hier aber auf keinen Fall schlecht reden. Ich gehe davon aus, dass auch Stripe Risiko trägt. 

@motorg

Bietest Du Kreditkarte mit oder ohne 3D-Secure an? Verwendest Du 3D-Secure haftest Du als Händler nicht für betrügerische Transaktionen, die über 3D Secure erfolgt sind.

@artep schrieb:

@motorg

Bietest Du Kreditkarte mit oder ohne 3D-Secure an? Verwendest Du 3D-Secure haftest Du als Händler nicht für betrügerische Transaktionen, die über 3D Secure erfolgt sind.

Nein Stripe bietet das (noch) nicht an. 3D-Secure ist natürlich sehr sicher, aber auch ein extremer usability & conversion killer. Viele wissen gar nicht was das ist. Und wenn sie es dann mal eingerichtet haben, wissen beim nächsten Mal schon nicht mehr wie das Passwort war. 

Stripe: 3D Secure for Visa and MasterCard support currently in preview.

@motorg schrieb:

Nein Stripe bietet das (noch) nicht an. 3D-Secure ist natürlich sehr sicher, aber auch ein extremer usability & conversion killer. Viele wissen gar nicht was das ist. Und wenn sie es dann mal eingerichtet haben, wissen beim nächsten Mal schon nicht mehr wie das Passwort war. 

Doch, Stripe bietet es an! Das kannst Du unter Zahlarten aktivieren. Dort steht zweimal Kreditkarte, ohne und mit 3d-Secure!    Soweit ich das gelesen habe ist das nur bei dem kostenlosen Plugin von Stripe!

Ich biete nicht ohne 3D-Secure an und mir ist es egal wenn Leute das nicht eingerichtet haben. Dann kaufen sie halt mit ner anderen Zahlart ein oder lassen es bleiben. Die Sicherheit geht mir hier vor dem Umsatz!

Bisher hatte ich nur ein paar kunden die einen chargeback einleiten wollten weil sie sich an die käufe nicht mehr erinnern konnten. Als ich dann rechnung und sendungsverfolgung einreichte haben die sich wieder dran erinnert.

Aber direkten kreditkartenbetrug hatten wir noch nicht.

@artep schrieb:

@motorg schrieb:

Nein Stripe bietet das (noch) nicht an. 3D-Secure ist natürlich sehr sicher, aber auch ein extremer usability & conversion killer. Viele wissen gar nicht was das ist. Und wenn sie es dann mal eingerichtet haben, wissen beim nächsten Mal schon nicht mehr wie das Passwort war. 

Doch, Stripe bietet es an! Das kannst Du unter Zahlarten aktivieren. Dort steht zweimal Kreditkarte, ohne und mit 3d-Secure!    

Oh stimmt, das wusste ich gar nicht. Vielen Dank für  den Tipp! Ich warte mal ab was Stripe sagt, ggf. wechsel ich dann auch auf die Zahlung mit 3D. 

Hatte auch mal son Betrug trotz 3D-Secure (Heidelpay). Zig Karten ausprobiert, Brasilien, Australien etc. Eine ging durch und die Bestellung war schon sehr komisch, bzw. die Adressen! Natürlich nicht ausgeliefert und direkt Anzeige erstattet und Heidelpay informiert. Ob die die Betrüger jemals kriegen ist fraglich und irgendwann wirds eingestellt.

Würde sagen diese Thema betrifft fast alle Anbieter von Kreditkartenzahlungen. Darf man nicht nur auf Stripe beziehen.

Wie schon von @artep erwähnt, einfach nur Zahlungen mit 3D-secure annehmen. Dann ist man auf der sicheren Seite !! Jetzt muss @motorg wieder viel Umsatz machen, bis er den Schaden kompensiert hat. Deshalb 3D-secure vor Umsatz.

Je mehr Händler nur 3D-secure anbieten, umso mehr Kunden aktivieren diesen Dienst. Ausserdem ist ja kein Password mehr zu merken, man bekommt ja jeweils ein One-Time-Password aufs Mobiltelefon.

lg spiro 

@spirotech schrieb:

Ausserdem ist ja kein Password mehr zu merken, man bekommt ja jeweils ein One-Time-Password aufs Mobiltelefon.

Ok das kannte ich noch nicht. Meiner Meinung nach haben hier besonders die Kreditkarten-Institute und Banken ihre Hausaufgaben nicht gemacht und viel zu wenig dazu beigetragen das 3D-Secure bekannt und anerkannt wird.  

@motorg „Ok das kannte ich noch nicht. Meiner Meinung nach haben hier besonders die Kreditkarten-Institute und Banken ihre Hausaufgaben nicht gemacht“

Ja, da muss ich dir vollkommen recht geben. Und das obwohl die wissen, dass man Kreditkarten-Daten im Darknet für ein paar Euros kaufen kann.

Danke für den Hinweis, werde ggf. KK deaktivieren - *hmm* - dann kann ich Stripe ja gleich wieder ganz löschen. 
Den 3D-Secure-Rotz tue ich mir persönlich nicht an, und werde es auch möglichen Kunden nicht zumuten (alleine schon immer ein Blödphone in der nähe haben zu müssen…) Gibt immer andere Shops, wo man ohne Kundengängelung kaufen kann   Keine meiner KK hat das aktiviert, und bin auch noch nie im Vorhaben etwas zu kaufen daran gescheitert   Warum? Weil 3D-Secure alle Verantwortung auf den Karteninhaber abwälzt - Beweislastumkehrung!
 

Hallo Sonic,

na, dann hast bis jetzt wohl viel Glück gehabt.

Mach mal einen Shop in Italien auf und versuch ohne 3D-secure zu verkaufen. Dann Gute Nacht !! … und da sich die osteuropäischen Betrügerbanden nun in Italien immer schwieriger tun, ist nun Deutschland dran.

Aber bitte nicht wundern, wenn dann mal dein Shop um ein paar tausend Euro abgezockt wird. 

3D-Secure ist auch nicht sicher - gilt als genau so unsicher und komprimitiert, wie andere mTan-Verfahren diverser Banken. Selbst das BSI warnt vor mTan-Verfahren. Nur wird hier der Karteninhaber zum Verarschten. Vor Stripe hatte ich keine KK (ausser indirekt via PayPal) - hat also nichts mit Glück zu tun, somal wir nur innerhalb Deutschland verkaufen - also nicht Italien.
Die KK-Unternehmen verdienen die Kohle und wollen sich aus der Verantwortung stehlen, und da mache ich persönlich nunmal nicht mit. KK geht auch über PayPal - aber da ist man als Händler bei Betrug ja auch der Depp 
Ohne “3D-Secure” wird ab nächstes Jahr eh zuende sein, wenn die neue Richtlinie für elektronische Zahlung etc. gültig wird. Denn reichen die einfachen Daten der KK nicht mehr für eine rechtsgültige Transaktion aus.

Paar “tausen Euro” geht bei uns aus diversen Gründen eh nicht, in der Preisklasse sind wir bei Vorkasse und unsere Artikel werden per Spedition mit Vorlage vom Ausweis geliefert, und auch nur in D. Auch schließen wir abweichende Lieferadressen aus.

Für mich ist das ganz einfach: Stripe windet sich aus der Verantworten ohne 3D-Secure? Entweder sie stehen zu Transaktion, oder sie lassen es sein - WischiWaschi ist nicht. Ich MUSS Stripe ja nicht weiter einsetzen.

Was bei den “Italienern” die KK sein mag, ist in Deutschlad bei der miesen Zahlungsmoral die “Rechnung” - da ist das Risiko für Totalausfall WESENTLICH größer.

Hat jetzt aber alles nichts mit der Headline zu tun.

So, hier die erste Antwort von Stripe. Sieht mir ganz danach aus, das wir auf dem Schaden sitzen bleiben. Meine Frage was wir im konkreten Fall tun können, wurde eher ausweichend beantwortet. Natürlich fechtet der Kunde die Zahlung nicht an weil er die Bestellung vergessen hat, sondern weil seine Kreditkartendaten missbraucht wurden. Ich habe also nochmal konkret nachgefragt und werde die Antwort dann ebenfalls hier reinstellen. 

Womöglich habe ich jetzt ne Menge Lehrgeld bezahlt. In meinem Bekanntenkreis haben fast alle eine Kreditkarte, habe mir gestern und heute mal den Spaß gemacht und ca. 5-8 Leute gefragt was 3D-Secure-Code ist. Ihr könnt es euch denken. NIEMAND wusste was das sein soll. 

Den Conversion-Killer 3D-Secure-Code werde ich in keinem Fall aktivieren. Vorher verzichte ich ganz auf KK. 

Hier die Mail von Stripe zu meinen Fragen:

(…)

“ Ich wüsste gerne wie wir damit umgehen. Offensichtlich bleiben wir jetzt auf dem Schaden von 2.169 € sitzen und müssen auch noch Gebühren von 15 € bezahlen. Verstehe ich das richtig?”

Es ist so, dass von den Banken eine Gebühr von 15 EUR erhoben wird, wenn eine Zahlung angefochten wird. Sollte eine Anfechtung zu deinem Gunsten entschieden werden, werden dir die 15 EUR aber erstattet werden.

“ Was können wir in diesem konkreten Fall tun?”

Ich kann hier nur allgemeine Antworten geben:
In der Regel kommt es zu einer angefochtenen Zahlung gekommen, weil der Kunde die Zahlung nicht auf seinem Kreditkartenauszug wiedererkennen kann. In solch einem Fall ist es am besten, sich direkt an den Kunden zu wenden und diesen zu bitten, die Zahlungsanfechtung zurückzuziehen. Für Dich als Händler ist es immer am besten, einen Disput seitens des Kunden schließen zu lassen.

Auch wenn der Kunde sich entschließt, die Zahlungsanfechtung zurückzuziehen, solltest Du unbedingt Dein Beweismaterial hochladen. Hier solltest Du auch jegliche Kommunikationsverläufe mit dem Kunden hinzufügen, um zu beweisen, dass dieser die Zahlungsanfechtung zurückgezogen hat. Falls vorhanden, solltest Du auch eine Bestätigung der Bank über die Stornierung der Zahlungsanfechtung hinzufügen.

Unter dem folgenden Link findest Du viele weitere hilfreiche Informationen betreffend des Verfahrens bei Zahlunsanfechtungen “ Disputes “ :
https://stripe.com/docs/disputes

Wenn Du Beweismaterial hochladen möchtest, findest Du hier noch weitere detaillierte Hinweise, wie dabei vorzugehen ist:
https://stripe.com/docs/disputes/evidence

Es steht der Bank vollkommen frei zu beurteilen, welche Beweise akzeptiert werden. Stripe leitet nur die Unterlagen weiter und hat leider keinerlei Einfluss auf den Ausgang des Verfahrens.
Ich empfehle dir, dich mit deinem Kunden in Verbindung zu setzen und es ist wichtig zu beachten, dass du in jedem Fall Beweise hochlädst.

“Wie können wir so etwas zukünftig verhindern?”

Es gibt verschieden Optionen das Risiko von Keditkartenbetrug zu reduzieren, Stripe hat hier ein spezielles Dokument erstellt mit generellen Hinweisen, ich habe hier den Link beigelegt:
https://support.stripe.com/questions/avoiding-fraud-and-disputes

“Ist Kreditkarte für Händler keine sichere Zahlungsart?”

Dies ist eine schwierige Frage. Generell hat jeder Karteninhaber die Möglichkeit sich an seine Bank zu wenden und eine Zahlung anzufechten, im Rahmen dieser Anfechtung hast du dann die Möglichkeit Dokumente vorzulegen um zu belegen, dass die Zahlung korrekt ist. Doch ich muss betonen, dass die Entscheidung, wie die vorgelegten Dokument bewertet werden, alleine bei Bank liegt, welche die Kreditkarte ausgestellt hat. Stripe hier leider keinerlei Einfluss and leitet nur die Information zwischen dir und der Bank weiter. WIe oben bereits erwähnt, gibt es aber Schritte, welche das Risiko doch reduzieren.

OK - Geld machen, aber die Arschkarte weiterreichen - dazu brauch ich kein STRIPE. Hier machen sich VISA und MasterCard aber nen recht schlanken Fuß.
Wie sind denn nun die Bedingungen bei STRIPE bezüglich 3D-Secure? mTan ist ja auch gehackt - dann bleibe ich ja auch bei 3D-Secure auf dem Ausfall sitzen. Müsste sich jetzt Chef mal tiefer mit Stripe ausandersetzen - ich mach nur das „technische“. Nur für „Giropay“ und „Sofort“ brauche ich dann Stripe auch nicht mehr.

Ok, dann bin ich froh dass unsere Treuhänder so nicht verfahren. Schlußfolgerung für mich: Kein Stripe benutzen.

Aktuell gibt es hierfür noch keine klare Aussage von Stripe, dass wir tatsächlich als Händler für den Schaden haften. Also bevor wir hier Stripe schlecht reden, bitte warten bis ich dazu eine defintive Aussage von Stripe habe. Sobald ich da was habe, melde ich mich hier. 

Also als ich vor jahren das pech hatte eine zahlung durch sofortüberweisung nicht zu erhalten, sind ja auch nicht alle auf einmal von sofortüberweisung weggegangen. 

Mich wundert dass hier fast keiner weiss dass alle kreditkartenanbieter für betrugsfälle oder missbrauch nicht haften. Das ist doch nix neues leute.

Im gegenteil sind die 15 euro bei stripe für einen chargeback noch super günstig. Schaut mal bei anderen kk anbietern. Die verlangen da 50 euro für nen chargeback

Man kann für zahlungen wie sofort, kk, pp usw. Ja auch eine begrenzung im backend einrichten. Also dass die zahlarten nur bis 250 euro oder so verfügbar sind.

Das ist alles nix neues sondern schon alte Stiefel.

Gruss

Matthias