Spørg Scientariet: Hvorfor er sikkerheden på betalingskort så ringe?
more_vert
close
close

Vores nyhedsbreve

close
Ved at tilmelde dig accepterer du vores Brugerbetingelser, og at Mediehuset Ingeniøren og IDA-gruppen lejlighedsvis kan kontakte dig om arrangementer, analyser, nyheder, tilbud mm via telefon, SMS og email. I nyhedsbreve og mails fra Mediehuset Ingeniøren kan findes markedsføring fra samarbejdspartnere.

Spørg Scientariet: Hvorfor er sikkerheden på betalingskort så ringe?

Illustration: MI Grafik

Vores læser Rasmus Schultz spørger:

Hvorfor er der ingen rigtig sikkerhed på betalingskort?

For nylig blev der lavet en uautoriseret transaktion på mit kort, som så måtte spærres - det er ikke første gang, det er sket for mig, og der er jo bestemt ikke første gang, man har hørt, at det sker.

Når først man giver sit kortnummer til nogen, er det i princippet en ubegrænset tilladelse til at trække hvad som helst, når som helst, nu eller i fremtiden. Og den såkaldte sikkerhedskode - de ekstra cifre, der blev tilføjet for en del år siden - giver jo ingen ekstra sikkerhed, det er bare en forlængelse af kortnummeret.

Læs også: Spørg Scientariet: Hvorfor er tastaturet ikke ens på dankort-terminalerne?

Hvorfor har udbyderne af betalingskort ikke bare et system, hvor enhver betaling skal bekræftes af kortholderen? Det burde da være relativt simpelt at implementere. Det ville spare alle for en masse bøvl - kortudbyderne kunne spare på administration og sagsbehandling, sælgere kunne undgå svind, og fordelen for mig som kunde skulle vist være indlysende nok.

Jeg har boet en del år i USA, hvor det er almindeligt, at kort ikke engang har chip - de virker endnu mindre interesserede i at sikre deres betalingskort end her i Europa.

Jeg fandt dog en plausibel forklaring i USA, hvor det er helt almindeligt, at man køber et abonnement på en sikkerhedstjeneste, som underretter en, hvis der bliver foretaget mistænkelige transaktioner på ens kort. Disse tjenester udbydes åbenbart af de samme interessenter, som står bag kortprodukterne. Med andre ord, de tjener flere penge på disse sikkerhedsprodukter, end de taber på erstatningssager og kortsvindel.

Hvordan er det overhovedet lovligt at have sådan et system i drift? Er der noget indlysende, jeg har overset eller misforstået, eller ville det være pinligt nemt at forbedre sikkerheden ved betaling på internettet?

Ligger vi under for pres fra amerikanske megavirksomheder med for meget magt, eller er der en reel teknisk eller praktisk årsag til, at sikkerhed på betalingskort er så ringe?

Læs også: Nets nøler med ekstra sikkerhed på Dankort: Useriøst, lyder kritikken

Søren Winge, pressechef i Nets, svarer:

I Europa, og i Danmark i særdeleshed, er sikkerheden i forbindelse med håndtering af betalingsoplysninger meget høj. Vi bruger i Danmark konsekvent chip, når vi benytter kortet i fysiske terminaler eller automater.

Det er med til at gøre, at misbruget med falske kort, som de kriminelle ind imellem forsøger sig med, ikke finder sted i Danmark – men desværre i andre lande som USA, hvor man fortsat læser magnetstriben som det primære.

Kommer kriminelle i besiddelse af dine kortoplysninger, kan du ikke lave en falsk chip, men en falsk magnetstribe, som så kan anvendes andre steder i verden.

Læs også: Leder: Rystende it-sikkerhed - mere potens til Datatilsynet

Når det drejer sig om misbrug af betalingskort på nettet, arbejder man både med at forhindre, at kompromittering af data sker, og med at forhindre misbrug af kompromitterede data – både på nettet og evt. også i pengeautomater og terminaler i andre lande, hvor man endnu ikke læser chippen konsekvent.

For at forhindre kompromittering af data skal netbutikkerne leve op til en række internationale sikkerhedsstandarder for at kunne få lov til at tage imod kortbetalinger i deres netbutik (PCI-krav). Disse krav bliver hele tiden opdateret i forhold til den teknologiske udvikling.

Det er altså webbutikkens ansvar, at betalinger bliver håndteret på en korrekt og sikker måde. Der er stor forskel på, hvor høj sikkerheden er omkring betalinger, når du bevæger dig rundt i verden.

For at forhindre misbrug af kompromitterede data findes der forskellige sikkerhedsløsninger til handel på nettet. I Danmark er forbrugerbeskyttelsen rigtig høj, og kortholdere får dækket deres tab, hvis der er fortaget træk fra deres konto og køb med deres betalingskort, som de ikke kan vedkende sig at have foretaget. I netbutikkerne er det en balance mellem sikkerhed og brugervenlighed.

Læs også: Nets: Ja, trådløse betalingskort kan scannes med en smartphone

En løsning kan være så sikker, at forbrugeren ikke gennemfører købet, og det ønsker butikken naturligvis ikke. Omvendt kan butikken miste retten til at tage imod kortbetalinger, hvis den ikke lever op til de internationale sikkerhedskrav, der er stillet fra kortselskaberne. Derfor skal man finde den rette balance.

For at dæmme op for et stigende misbrug på internationale kort indførte bankerne i Danmark for nogle år siden en sikkerhedsløsning, 3D Secure, på internationale kort (Visa og Mastercard).

Ved 3D Secure knytter man et mobilnummer til sit kort og modtager en sms med en kode, som man skal bruge for at kunne afslutte/bekræfte sit køb. 3D Secure var med til at mindske misbruget markant på internationale kort udstedt af danske banker.

Det har hidtil været frivilligt for webshops at tilkøbe sig muligheden for at bruge 3D Secure, men det har især været populært for de butikker, der ofte oplever misbrug, da det i sidste ende er butikkerne, der står med tabet, hvis der bliver handlet med stjålne kortoplysninger i deres butik.

Derudover indførte Nets i 2016 et såkaldt ’fraud prevention’-værktøj, som ved hjælp af kunstig intelligens analyserer misbrugsmønstre og tendenser. Resultaterne af analyserne bruger man til at identificere og afvise forsøg på misbrug og evt. spærre kortet, inden det bliver misbrugt. Dette tiltag vurderes årligt at forhindre misbrug for et trecifret millionbeløb i Norden.

Læs også: Nyt dansk adgangskort jammer sig til superhøj sikkerhed

Misbrug med Dankort har hidtil været meget lavt, og derfor har der ikke været behov for ekstra sikkerhedstiltag, men for at komme et stigende misbrug til livs bliver ovenstående sikkerhedstiltag også indført på Dankort i løbet af 2017.

Dankort Secured by Nets, hvor man knytter mobilnummer til sit betalingskort, bliver obligatorisk for alle netkøb over 450 kroner for alle netbutikker, der tager imod Dankort. Samtidig indføres fraud prevention også på Dankort.

Disse sikkerhedstiltag forventes at mindske misbruget på Dankort markant, hvilket er til gavn for både forbrugere, netbutikker og banker.

Den trecifrede sikkerhedskode har den effekt, at du både skal have 'set' forsiden og bagsiden af kortet. Det er en ekstra kontrolfunktion, som har en vis effekt, når man skal verificere et køb på nettet. Hvor stor er svær at sige.

Spørg Scientariet

Du kan spørge om alt inden for teknologi og naturvidenskab. Redaktionen udvælger indsendte spørgsmål og finder den bedste ekspert til at svare – eller sender spørgsmålet videre til vores kloge læsere. Klik her for at stille dit spørgsmål til Scientariet.

For udstederne af kreditkort, dvs. Visa/MasterCard, Nets og bankerne, handler det om at tjene penge.

Hvis en tilføjelse af en given sikkerhedsfeature ville koste mere end den udgift til svindel den kunne afværge for udstederne, bliver den ikke tilføjet, det er simpel forretningslogik.

Den gyldne regel i sikkerhed er at den der bestemmer hvor meget sikkerhed der skal være også betaler når der ikke var nok sikkerhed.

Denne regel stritter kortudbyderne naturligvis imod med alle midler og derfor prøver de konsekvent at vælte skylden og ansvaret overpå kortholderne, selvom disse ingen indflydelse har på hvor sikkert kortene og systemet skal være.

Skolebogseksemplet er at billedet af kortholderen på bagsiden af dankortet blev fjernet, fordi en bank tabte en svindelsag i byretten og måtte erstatte kundens tab.

Ross Anderssons forskningsgruppe på Cambridge Universtitet er en af de få uafhængige parter der følger dette emne tæt og deres blog er bestemt værd at følge:

https://www.lightbluetouchpaper.org/

  • 29
  • 2

Det er altså webbutikkens ansvar, at betalinger bliver håndteret på en korrekt og sikker måde.

Det er helt absurd! Hvorfor har webbutikken noget som helst med betalingsoplysningerne at gøre? En moderne service som Paypal ville aldrig acceptere noget så bagvendt.

Men bankerne er ligeglade, for de kan enten tørre tabet af på kunden eller på butikken. Det er ALDRIG bankens skyld, det står i betingelserne. På trods af at hverken kunden eller butikken har nogen som helst chance for at forhindre snyden, mens banken har alt det som skal til.

  • 18
  • 3

de konsekvent at vælte skylden og ansvaret overpå kortholderne, selvom disse ingen indflydelse har på hvor sikkert kortene og systemet skal være.

Kortholderne og butikkerne. Ved onlinesalg er det typisk butikken der står med hele ansvaret, også selvom al sikkerheden er udliciteret til en betalingsgateway (der så skal være PCI-godkendt). Når man er butik, har man om muligt endnu mindre indflydelse på kortene og systemet - hvis man ikke vil tage mod en bestemt betalingsmulighed, ja, så handler folk bare ved konkurrenten.

Angående 3D Secure så kom det til Danmark for mange år siden med en adgangskode-løsning (altså den helt indlysende løsning at man vælger en adgangskode og så skal så taste den ind, i stedet for at adgangskoden/CVV står trykt på kortet - ja, man kunne vel også have brugt pin-koden, men det var jo nok for indlysende?), men Nets fuckede fuldstændig op i implementeringen. Så i stedet for at alle danskerne fik at vide at de skulle vælge en adgangskode inde i deres bank, så blev man omdirigeret ved første betaling til en phishing-lignende side.

Jeg kontaktede dengang Nets, og fik svaret at det havde de ikke nogen indflydelse på (?!) men de vil gerne tage sagen op på et internt møde. Mere skete der ikke i det, ud over at det gik op for mig, som PHK skriver ovenfor, at der egentlig ikke er et særligt stort incitament for Nets til at havne på en brugervenlig løsning. De har ikke nogen større konkurrence.

Og Dankort ER faktisk utroligt billigt i sammenligning med VISA/Mastercard.

Nu er det så åbenbart ved at blive et krav at man skal have en mobiltelefon for kunne handle på nettet. Smart. What could possibly go wrong?

  • 12
  • 0