Sådan opruster bankerne mod kreditkort-svindel med NemID og sms-koder

Fra den 30. oktober går de danske banker over til at sende en engangskode via sms i stedet for at bruge et fast kodeord, når man skal betale med sit Visa eller Mastercard på nettet.

Det bliver snart lidt vanskeligere at svindle med danskudstedte kreditkort. Fra den 30. oktober går de danske banker nemlig over til at bruge engangskoder i stedet for et fast kodeord, når man skal bekræfte en kreditkortbetaling med Verified by Visa eller Mastercard Securecode.

»Misbruget med internationale kreditkort stiger, og bankerne ønsker at øge sikkerheden, så det bliver sværere at svindle. Nu går bankerne over til en dynamisk genereret kode i stedet for en statisk kode,« siger kommunikationskonsulent Ulrik Marshall fra Nets til Version2.

Det er Nets, som står for at implementere den nye løsning for bankerne i Danmark.

Verified by Visa og Mastercard Securecode er et ekstra sikkerhedstrin, som bankerne kan kræve, når man betaler med et Visa-kort eller Mastercard-kort på nettet. Det indebærer i dag, at man opretter et kodeord hos banken.

Når man i forbindelse med en kreditkortbetaling på nettet har udfyldt og indsendt sine kreditkortoplysninger, kan banken bede om, at brugeren indtaster sin kode, før betalingen bliver endeligt godkendt.

Det bliver fra den 30. oktober erstattet med en engangskode, som bliver sendt til det mobilnummer, man har oplyst til sin bank.

»Man skal knytte et telefonnummer til sit kreditkort. Første gang skal man gøre det med NemID, derefter skal man blot bekræfte, at det er det mobilnummer, man har, når man skal oplyse sin kode. Hvis man vil ændre sit mobilnummer, skal man igen bruge NemID,« forklarer Ulrik Marshall.

Læs også: Danske netbankbrugere frastjålet 2,1 millioner kroner på 6 måneder

Mobiltelefonen er en udbredt metode til implementering af såkaldt to-faktor-autentificering, hvor man både skal kende noget og være i besiddelses af noget. I dette tilfælde skal man kende sine kreditkortoplysninger, og man skal have en telefon med det mobilnummer, som banken kender.

Banken sender via Nets en engangskode til telefonen, som man skal indtaste, før man kan afslutte sin betaling. Det sker dog kun, når man bruger sit kreditkort. Hvis man betaler med Dankort-delen af et Visa/Dankort, bliver man ikke bedt om en kode.

Eksempel på phishing-mail fra august.

Verified by Visa og Mastercard Securecode har været genstand for adskillige phishing-kampagner, hvor svindlere via e-mail forsøger at overbevise modtagerne om, at de skal følge et link for at opdatere deres Verified by Visa eller Mastercard Securecode-oplysninger.

Det kan dels udnyttes til at få de almindelige kreditkortoplysninger ud af brugere, som ikke kender til de to sikkerhedsforanstaltninger, men også til at lokke det ekstra kodeord ud af brugerne.

Med en engangskode på mobiltelefonen vil denne type svindel være mindre effektiv, om end den vil være sårbar over for man-in-the-middle-angreb i stil med de angreb, der har været mod danske netbanker, som bruger NemID.

Sikkerhedsekspert: Skridt i rigtig retning

Alligevel er bankernes tiltag med til at øge sikkerheden, vurderer it-sikkerhedskonsulent Peter Kruse fra sikkerhedsfirmaet CSIS, som blandt andet rådgiver finanssektoren om svindel på internettet.

»Et ekstra kodeord er relativt nemt at fiske ud af folk, og hvis der er malware på maskinen, så har det ingen effekt. Engangskoder er et skridt i den rigtige retning, som jeg tror, vi vil se flere steder end bare herhjemme. Det vi har i dag er ikke tidssvarende. Det er blot et irritationsmoment for brugerne, som ikke løfter sikkerheden tilstrækkeligt,« siger Peter Kruse til Version2.

Tofaktor-autentificering ved hjælp af engangskoder til mobiltelefonen benyttes af flere internettjenester som eksempelvis Google og Microsoft. Flere banker bruger også denne metode, hvis NemID-loginsystemet er ude af drift.

Danske Bank oplyser i et brev til bankens privatkunder med internationale kreditkort, at de automatisk vil blive tilmeldt den nye ordning, medmindre kunderne framelder sig inden den 14. oktober.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (24)

Michael Thomsen

Som Krebs skrev for nyligt er tilsvarende SMS-tjenester allerede blevet brudt. Der går sikkert ikke længe før de bliver tilpasset danske forhold:

http://krebsonsecurity.com/2013/08/a-closer-look-perkele-android-malware...

Og ja, ovenstående kræver at brugerne svarer "ja" til en masse ting de ikke burde; men erfaring viser, at et par procent af brugerne gør de særeste ting de ikke "burde".

Johnny Rose Larsen

Jamen, det har alle da, ikke? Ellers ville de jo ikke lave sådan et tiltag. (sarkasme slut).

Fremover kan man vel ikke få et internationalt kreditkort uden at have en mobiltelefon, eller også må man fraskrive sig muligheden for internethandel.

Jesper Lund

Muligvis ikke, men det ændre ikke på at den foreskrevne metode går gennem Nets, og det (tilsyneladende) kun kan lade sig gøre, hvis man har NemID.

Du skal bruge NemID når du registrerer dit mobilnummer hos din bank/Nets, eller ikke. I princippet kunne din bank også tilbyde dig en anden mulighed end NemID for at registrere dit mobilnummer hos Nets.

Du skal kun bruge sms koder, hvis butikken anvender 3D Secure (Verified by Visa eller MasterCard SecureCode). Hvis du ikke gider sms koder, kan du bare fravælge butikker som bruger 3D Secure. Det er langt fra alle som bruger det. Formentlig under 10% af alle netbutikker (guestimat baseret på hvor ofte jeg ser det).

Jesper Lund

Som Krebs skrev for nyligt er tilsvarende SMS-tjenester allerede blevet brudt. Der går sikkert ikke længe før de bliver tilpasset danske forhold:

Det er ikke specielle danske forhold, da 3D Secure med sms otp koder er en international standard. Så selvfølgelig vil der komme angreb mod det, ligesom de tidligere versioner af 3D Secure er blevet angrebet.

Malware på smartphones er helt oplagt, når samme enhed bruges til at lave transaktionen (web) og modtage OTP koden (sms).

Albert Nielsen

Jeg sidder i Korsør med en PC, en fastnettelefon, et TV og en transistorradio.

Hvilken af de fire modtager den omtalte SMS? eller kommer den på papir med snail mail?

Casper Thomsen

... der vil til at bruge one-time-passwords i stedet for statiske. Der er intet til hinder for, at du fortæller din bank dit telefonnummer på en anden måde end ved at logge på din netbank med NemID -- at møde op i en endnu eksisterende filial eksempelvis. (Netbank kan du i øvrigt bruge uden OCES klistret på NemID.) At blande NemID ind i sagen er ret beset bare at forplumre billedet.

Men hvorfor skal vi bruge SMS i stedet for Google Authenticator? Vi kan vel lige så godt scanne en QR-kode fra netbank. Måske det er for svært at få brugerne med på?

Henrik Madsen

Men hvorfor skal vi bruge SMS i stedet for Google Authenticator? Vi kan vel lige så godt scanne en QR-kode fra netbank. Måske det er for svært at få brugerne med på?

At scanne en kode med sin mobil kræver at man har en smartphone.

Så nu skal vi altså have Visa kort, NemID login og Smartphone med 3 parts QR kodescanner for at betale for vores varer på nettet.

Ja ja, om ikke andet kan det da være det kommer til at komme de fysiske butikker til gode når folk opgiver at handle på nettet pga. det bliver for bøvlet.

Casper Thomsen

Andelen af folk uden smartfoner kommer næppe til at stige de nærmeste år. Det kræver også en internetforbindelse at foretage fjernkøb; det sker ikke mange handler over telefon længere -- selvom det kan være nemmere at sige "en farvepatron til en Brother XMP-foobar-32" end det er at klikke sig gennem en webside og finde den rette. Verden flytter sig.

I min verden er det hurtigere at starte Google Authenticator end det er at vente på at modtage en SMS (som i øvrigt ikke nødvendigvis kommer frem med det samme; SMS-data prioriteres typisk relativt lavt på mobilnettet).

Du kan i øvrigt købe din OTP-generator som hardware-dims, hvis du skulle have de lyster -- brugen forudsætter naturligvis at du kan sync'e den med din ACS provider.

Jeg ser dog lidt et problem i at man nu bare kan stjæle en taske med både kreditkort og telefon i og så kan man køre transaktioner med 3D Secure. Det er ikke længere 2-faktor i forstanden "noget man har (kortet)" og "noget man ved (kodeordet)", men i stedet 2-faktor i forstanden "noget man har (kortet)" og "noget man har (telefonen)".

Povl H. Pedersen

Ja, bankerne er nødt til at øge sikkerheden. De har tidligere været villige til at afskære store kundegrupper fra NemID. Så det er vel heller ikke noget problem at sige, at din telefon ikke må være et Android device, aller at man skal have anti-virus på sin Android, da man ellers handler groft uansvarligt, og derfor kan have øget selvrisiko.

Casper Thomsen

Med mindre kortudsteder fremover påtager sig risikoen (...)

De ser næppe deres snit til at påtage sig større ansvar. Tværtom.

I øvrigt bliver det formentlig sværere at lave "fjernangreb" netop fordi det er OTP, så fra den ene vinkel bliver det bedre og fra den anden vinkel værre. Alt i alt? Tjah, det afhænger af sandsynlighederne for at de sker und so weiter.

Mit hurtige slag på tasken er at det bliver lidt bedre af det; mest fordi fjernmisbrug har et stort potentiale, om man så må sige. Analysen bag kunne være interessant læsning -- både for at se om mit gæt er det samme som deres og for at se hvor grundige de har været.

Finn Petersen

Jeg er ikke enig. Eksempelvis har jeg lige forsøgt at købe en flybillet fra Singapoore til Jacarta med et asiatisk flyselskab. Det kunne ikke lade sig gøre uden den sms kode, iøvrigt heller ikke billetten med Lufthansa. Det var altså ikke en dansk forretning. Så jeg måtte låne en mobil for at kunne betale

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Affecto Denmark reaches highest Microsoft Partner level

Affecto Denmark, a leading provider of data-driven solutions, has reached the highest level in the Microsoft partner ecosystem: Managed Partner.
22. jun 2017

Innovate your business with Affecto's IoT Explorer Kit

Are you unsure if Internet of Things fits your business strategy?
31. maj 2017

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017