Danske betalingskort er blevet lænset af it-kriminelle, som benytter ny og avanceret software til i løbet af få sekunder at foretage over 100 transaktioner i et mønster, hvor den enkelte handel ser legal ud.
»Jeg sidder og kigger på et eksempel, hvor der blev foretaget 30 transaktioner inden for 15 sekunder på et betalingskort, herunder på Facebook Virtual Goods, Paypal og Dominos,« fortæller Kaspar Kock Kristensen, vicedirektør i Nets med ansvar for misbrugsovervågning.
»Derefter blev kortet spærret, fordi kreditmaksimum var nået. Men i løbet af det næste halve minut kom yderligere 100 transaktioner.«
»For forretninger ser det ud, som om det er enkelte transaktioner. Men vi kan se, at det er misbrug foretaget ved hjælp af software. Intet menneske kan handle så hurtigt,« tilføjer han.
Nets har advaret flere danske forretninger, så de undlod at sende varer til de kriminelle, og har inddraget politiet for at få igangsat en international efterforskning af angrebene.
Ifølge Kaspar Kock Kristensen har politiet gjort ‘fremskridt’ i efterforskningen, men hvilke fremskridt der er tale om, ønsker Kim Aarenstrup, chef for politiets Nationale Cyber Crime Center (NC3), ikke at uddybe:
»Det er den slags, vi løbende drøfter med finanssektoren. Vi rykker typisk med det samme, når vi ser nye angrebstyper som disse, der efterligner den menneskelige adfærd for ikke at blive fanget af kontrol-systemerne, der skal forhindre misbrug,« siger han.
Kreditkortnumre stammer fra internationale datalæk
Svindlerne kan få adgang til de danske betalingskortnumre på mange måder, men oftest har de fået det gennem datalæk fra internationale kæder. Nets nævner specifikt hotelkæden Hilton, hvor hackere skaffede sig adgang til 5.000 danske kortnumre, hvoraf en del blev lænset i automatiserede angreb ved hjælp af software.
Internationalt har der været stribevis af eksempler på, at millioner af betalingskort er kompromitteret, og at numrene bliver handlet mellem kriminelle.
Tendensen er så ny, at det endnu er meget sparsomt med information om den, også internationalt. Partner Peter Kruse fra sikkerhedsfirmaet CSIS Security Group, der blandt andet hjælper myndigheder med at spore og forhindre it-kriminalitet, kendte således intet til den, før Vesion2s henvendelse fik ham til at lede i sit internationale netværk.
Han konstaterer, at den automatiserede software stadig ikke har stor udbredelse, men at der kan være store gevinster for de kriminelle, der bruger den:
»Det åbner for en langt højere volumen af transaktioner. Men de, som gør det her, er hardcore, organiserede kriminelle, for det tager tid at bygge systemet omkring det op,« siger han.
Automatiseret svindel er nyt i Danmark
Betalingskorteksperten Henning N. Jensen, der driver sit eget konsulentfirma, er ikke overrasket over, at de kriminelle har automatiseret svindlen med betalingskort.
»De store svindelnumre bliver mere og mere avancerede, og når de lykkes, bliver der flere og flere penge i dem,« konstaterer han.
Nets registrerede for første gang den automatiserede svindel i andet halvår af 2015. Da blev tabene på snyd med danske betalingskort fordoblet, fordi Nets ikke kunne nå at spærre kortene, før svindlerne havde lænset dem, typisk op til grænsen på 25.000 kr. på almindelige Visa-kort.
»Tidligere kom der ved en mistænkelig transaktion en alarm op, som en af vores agenter i løbet af to minutter vurderede. Men robotsoftwaren gør, at det ikke længere kunne forhindre misbrug,« fortæller Kaspar Kock Kristensen.
Derfor indførte Nets i februar i stilhed en ny og omfattende online-validering af samtlige 105 millioner månedlige transaktioner på Visa/Dankort.
Dermed blev det muligt at afvise mistænkelige transaktioner og spærre kortet allerede i løbet af de 300 millisekunder, som valideringen af en transaktion tager.
Læs Version2s historie om Nets nye online overvågningssystem her.
Systemet bygger på kunstig intelligens ud fra samtlige købs- og svindelmønstre, foruden på logiske regler. Ifølge Kaspar Kock Kristensen er det lykkedes at nedbringe svindlen med 70 procent, hvilket svarer til 18 millioner kroner om måneden.
Denne artikel stammer fra avisen Ingeniøren fredag d. 29. april