Nets: Derfor fortæller vi dig ikke, hvorfor du skal have nyt kort

Baggrunden bag disse er ikke bedre sikkerhed. Det er at hvis der sker misbrug så har man givet sit password ud (frivilligt eller ej) og så hænger man selv på beløbet i stedet for banken.

men i disse "ALT SKAL FOREGÅ MED NEMID" tider er det bare ikke en mulighed for hvorfor lave fleksible systemer

Men DK Host(host,host, host)master er hverken til at hugge eller stikke i - et firma der har ligget på samme adresse i 12 år, med samme CVR nummer, og som har betalt regninger i umindelige tider til DK Hostmaster skal nu validere sig med det såkaldte NemID, for at kunne vedligeholde domæner der har været firmaets i dekader.

Beklageligvis kan jeg ikke som med teleselskaberne vælge en anden leverandør end den der har kongeligt hofmonopol på .dk domæner.

Det paradoksale er så at sikkerheden omkring at få paphalløjet jo bare kræver at det anmeldes på en hjemmeside (uden nogen som helst form for garanti for den der gør det er legitim) og så sendes hele halløjet (bevares over et par dage) til den brevkasse der står ude ved vejen, og som ikke ligefrem er Fort Knox - det er jo en farce at tale om sikkerhed på den måde.

Det er jo lige netop den mulighed som en person der har opsnappet dine kortoplysninger også ville kunne bruge.</p>
<p>Fordelen er jo at det trods alt ikke kunne automatiseres af en hacker.

Enig, en korrupt medarbejder kunne sagtens nedskrive mine oplysninger på samme tid som han taster dem ind i deres eget system.

Dog vil logning nok rimeligt hurtigt afsløre at :

Alle kunder der er ramt har købt billetter ved det færgeselskab.

Alle kunder der er blevet ramt, har snakket med kunderådgiver X.

Ergo er sandsynligheden for at slippe afsted med det noget nær 0 %

Men det ER muligt, vi så jo for få år siden hvordan en ansat hos et rejsebureau fodrede hendes kriminelle venner med info om hvilke huse der stod tomme fordi folk var på ferie.

Men igen....De blev også snuppet.

Argumentet om at folk er dovne er simpelthen ikke en brugbar undskyldning. Hvis man ikke har NemID, kan jeg være tilbøjelig til at synes man så "slipper" for sikkerheden, men ellers så kan det ikke være rigtigt at man ikke skal lukke ned for svindel fordi folk er dovne.</p>
<p>Som minimum kunne man give folk muligheden for at tilvælge at man ikke kan omgå 2-factor auth ved betalinger med ens egne kort.

Det handler vel ikke så meget om at være doven, men mere om at løsningen åbenbart er så omfattende at benytte at mange ikke magter at få det aktiveret.

Husk at løsningen kræver at man både har NemID, PC og en mobiltelefon (Til at modtage SMS'er til bekræftelse af betalingen).

Sikkerhed kommer først, ingen tvivl om det, men man er bare nødt til at finde en metode som både er sikker og brugbar.

For at føre den lidt ud i ekstremen så er et password på 24 tegn, der skal bestå at mindst 3 tegn fra hver af de 4 hovedgrupper (små bogstaver, store bogstaver, tal og specialtegn) meget meget sikkert, men lige så sikkert er det at forlanger man at folk skal have et så langt password (Som skal skiftes hver 3 måned og ikke må ligne det foregående) så vil folk ende med at skrive det ned og så er sikkerheden ringere end et password på 9 tegn, kun med krav om 2 tegngrupper.

For den gruppe som fravælger 2 faktor, fordi det SKAL aktiveres med NemID og de ikke har NemID, kunne den lavpraktiske løsning jo være at man kunne få sin betroede bankrådgiver til at indtaste ens mobilnummer så det blev parret med kortet, men i disse "ALT SKAL FOREGÅ MED NEMID" tider er det bare ikke en mulighed for hvorfor lave fleksible systemer når man kan lave rigide systemer og tvinge folk til at bruge dem.

I mit tilfælde er der ikke meget mulighed for social engineering da jeg jo af egen drift ringede til selskabet fordi jeg ønskede at købe en ydelse.

Det er jo lige netop den mulighed som en person der har opsnappet dine kortoplysninger også ville kunne bruge.

Fordelen er jo at det trods alt ikke kunne automatiseres af en hacker.

/Henning

Du ser det som noget positivt at du var i stand til at omgå al eksisterende sikkerhed på samme måde som en hacker ville med social engineering?

Nej, jeg prøver at forklare at selskabet bagved åbenbart havde så store problemer med den løsning de var tvunget af deres betalingsudbyder til at bruge, at de endte med at finde en løsning så de kunne få nogle kunder i butikken.

Det svarer vel lidt til når IT afdelingen i en IT-Sikkerhedsrus går totalt amok og sætter voldsomme kompleksitetskrav på login (Og gerne forskellig kompleksitet til login på forskellige interne programmer) at det ender med at folk skriver koderne ned på en post-it note for at kunne huske det.

Så er spørgsmålet jo om sikkerheden blev bedre eller ringere med den løsning som man valgte.

I mit tilfælde er der ikke meget mulighed for social engineering da jeg jo af egen drift ringede til selskabet fordi jeg ønskede at købe en ydelse.

PS .. det er IKKE hensigtsmæssigt at rende rundt med 20.000 kroner i kontanter i Sao Paulo.

Det kommer da helt an på hvor attraktiv man har lyst til at være ;-)

Nej.</p>
<p>Du er velkommen til begrunde din mistillid.

Hvis folk i al almindelighed nærer mistillid til "systemet", fordi det gang på gang fejler, så er der nok også en overvejende sandsynlighed for at de heller ikke nærer tillid til andre systemer som er kontrolleret af "systemet".

Og her i landet er stat og bank jo på det nærmeste forbundne kar, eksempelvis ved at hele landets SSO system er ejet af Nets.

Sikkert ikke, fordi de mange, ikke havde NemID og så videre, men fordi for mange er proceduren for at få det oprettet, samt at rende og huske på koden, så bøvlet og "ikke døjet værd" at de ikke gider forsøge.</p>
<p>Måske er det, det eneste sted de bruger deres kort online og at skulle igennem en oprettelse for noget man skal bruge en gang hver 2. år, ikke giver mening for dem.

Argumentet om at folk er dovne er simpelthen ikke en brugbar undskyldning. Hvis man ikke har NemID, kan jeg være tilbøjelig til at synes man så "slipper" for sikkerheden, men ellers så kan det ikke være rigtigt at man ikke skal lukke ned for svindel fordi folk er dovne.

Som minimum kunne man give folk muligheden for at tilvælge at man ikke kan omgå 2-factor auth ved betalinger med ens egne kort.

Min løsning var at han fik mit kortnummer via telefonen og tastede det ind i deres system for så kunne man godt undgå "verified by visa".

Du ser det som noget positivt at du var i stand til at omgå al eksisterende sikkerhed på samme måde som en hacker ville med social engineering?

"Dit kort er lukket for visa transaktioner og online handel, de næste 14 dage, men du kan stadigvæk købe mælk og gryn nede i Fakta".

Det er faktisk også, hvad man har gjort i denne sag - man kan se lidt af SMS'en i artiklen fra Skive Folkeblad https://www.skivefolkeblad.dk/artikel/hundredvis-pa-skive-egnen-ramt-af-risiko-svindel-betalingskort-skal-byttes

Derudover så giver flere danske banker selv kunderne mulighed for, at lukke ned f.eks for Internet transaktioner eller transaktioner foretaget i specifikke lande/regioner. Nogle, specielt Svenske banker, har pr default lukket ned for ikke 3D validerede Internettransaktioner, så kunden skal ind i sin mobilbank for at åbne kortet.

Jeg har f.eks. et kort udstedt i UK hvor jeg også kan lukke ned for magnetstribe, pengeautomat og kontaktløse transaktioner

Ville det ikke være muligt i visse tilfælde blot at lukke for den ene del af kortet.</p>
<p>Det jeg her tænker på er, hvis vi nu f.eks leger med tanken om at det er en udenlandsk butik som har lækket (Lad os tage OnePlus som eksempel) så er alle transaktionerne vel foretaget med Visa delen.</p>
<p>Er det ikke teknisk muligt, straks at lukke for visa delen af kortet eller måske endda "betal online" delen af kortet, men at kortet stadigvæk fungerede med chip/pin i butikker.

På mit svenske kort har jeg selv mulighed for at åbne og lukke. Så det har jeg åbent for anvendelse i Danmark og Sverige - og når jeg har brug for at bruge det over nettet åbner jeg det kortvarigt. Jeg havde haft muligheden i mange år, men et tømt konto (fik dog pengene tilbage) for et par år siden fik mig til aktivt at anvende det.

Det forhindrer selvfølgelig ikke at mit kort kan misbruges i Danmark og Sverige - og England, skulle jeg komme på ferie der - men det holder forhåbentlig det værste snavs væk.

Ville det ikke være muligt i visse tilfælde blot at lukke for den ene del af kortet.

Det jeg her tænker på er, hvis vi nu f.eks leger med tanken om at det er en udenlandsk butik som har lækket (Lad os tage OnePlus som eksempel) så er alle transaktionerne vel foretaget med Visa delen.

Er det ikke teknisk muligt, straks at lukke for visa delen af kortet eller måske endda "betal online" delen af kortet, men at kortet stadigvæk fungerede med chip/pin i butikker.

Jeg vil mene der er en stor forskel på hvor irriterende det er, alt efter om det er :

"Dit kort er totalt lukket, du får en nyt indenfor 14 dage"

Eller

"Dit kort er lukket for visa transaktioner og online handel, de næste 14 dage, men du kan stadigvæk købe mælk og gryn nede i Fakta".

But why.... i mit hovede giver det ikke mening at lade brugeren bestemme, da det åbentlyst kan bruges til svindel.

Mon ikke man har afvejet fordelene ved at beskytte sig mod svindel op mod ulempen ved at miste de kunder som ikke har "verified by visa".

Jeg har ikke NemID og kan derfor ikke handle på sider som benytter "verified by visa".

Dette har flere gange betydet at en leverandør er gået glip af en ordre, som så er gået til en tilsvarende leverandør som ikke bruger "verified by visa".

Lige før jul skulle jeg bestille nogle færgebilletter og indtastede alle oplysningerne og sidste step var så betaling og vupti, igen "verified by visa".

Heldigvis var bookningen oprettet så jeg havde et booking nummer, så jeg ringede til selskabet og sagde at jeg havde booket men ikke kunne betale.

Ekspedienten i den anden ende gav et suk og sagde "Du kan ikke gennemføre betalingen fordi du ikke kan finde ud af det der verified noget".

Fik en lille snak med ham og han indrømmede at der var MANGE kunder som ringede ind og måtte betale via telefonen.

Sikkert ikke, fordi de mange, ikke havde NemID og så videre, men fordi for mange er proceduren for at få det oprettet, samt at rende og huske på koden, så bøvlet og "ikke døjet værd" at de ikke gider forsøge.

Måske er det, det eneste sted de bruger deres kort online og at skulle igennem en oprettelse for noget man skal bruge en gang hver 2. år, ikke giver mening for dem.

Min løsning var at han fik mit kortnummer via telefonen og tastede det ind i deres system for så kunne man godt undgå "verified by visa".

Om det så er mere sikkert at oplæse sit kortnummer, udløbsdato og CVV kode til en tilfældig medarbejder i et tilfældigt firma, lader jeg banken om at tænke lidt over.

Nej.

Du er velkommen til begrunde din mistillid.

Denne artikel handlede om hvorvidt vi kan have tillid til finansinstitutterne, hvilket underbygges af en række eksempler på sikkerhedssvigt i den offentlige sektor.

Jeg tillod mig blot at pointere at der er en lovgivning, målrettet finanssektoren, der forsøger at holde sikkerheden i centrum.

De nævnte sager stammer ikke fra finansverdenen, bortset fra Se&Hør sagen.

Vi lever i et af de mest gennemregulerede nationer i verden, med en høj grad af sikkerhedskrav ifm. vores digitaliseringstiltag, men har ikke tillid til systemet.

Kan du slet ikke selv se (forstå) det?

“Og mon ikke sådan noget som Dansk Genom center, ulovlig profilering af skoleelever og førskolebørn, data som kommuner mv. mister i en uendelighed, mørklægningslov, Søren Papes registersammenkøringsønsker og totale foragt for GDPR, samt CSC sagen, "Se&Hør sagen" (burde hedde Netssagen) osv. osv, er en meget god forklaring på den manglende tillid.”

De nævnte sager stammer ikke fra finansverdenen, bortset fra Se&Hør sagen.

Det er min påstand, at man ikke kan gardere sig mod at en betroet medarbejder lækker data han legalt har afgang til.

Man beskytter netop bankerne ved at lukke præventivt - således at bankerne ikke får et tab. Medens kortholderen sidder med ulempen.

Hvis der f.eks. er tale om svindel hos en webshop, så vil det i langt de fleste tilfælde ikke være bankens tab men derimod webshoppen. Det er faktisk kun, hvis forretningen benytter 3D Secure (Verified by Visa / MasterCard SecureCode) at de ikke står tilbage med tabet.

Det er ikke helt så enkelt. Hvis man f.eks. kigger på den store kompromittering hos Home Depot i 2014, så blev der distribueret malware til deres betalingsterminaler som fra april til september opsnappede oplysningerne fra alle kort der blev kørt igennem. Oplysninger fra 56 millioner kort blev opsnappet, og det var jo først da kortene begyndte at blive misbrugt i september, at man opdagede at noget var helt galt. Så selv om et hack ligger tilbage i tid, kan det sagtens være at svindlen først begynder lang tid efter.

https://forums.oneplus.net/threads/jan-19-update-an-update-on-credit-card-security.752415/

Vi lever i et af de mest gennemregulerede nationer i verden, med en høj grad af sikkerhedskrav ifm. vores digitaliseringstiltag, men har ikke tillid til systemet.

Det er jo ikke ligefrem fordi det skorter på eksempler.

De har allerede dit samtykke. Det fremgår af den aftale du får tilsendt med dit kort og som gælder fra når du modtager kortet og du accepterer ved at tage kortet i brug.

Du har helt ret, jeg var vag i min udtalelse, jeg tænkte primært på det ikke kræver aktivt samtykke, hvilket er helt i tråd med betingelserne, men man kan betvivle hvor fantastisk en praksis dette er.

Sat lidt på en spids, siger Nets at de til enhver tid forbeholder sig retten til at spære kort uden kortholders samtykke

De har allerede dit samtykke. Det fremgår af den aftale du får tilsendt med dit kort og som gælder fra når du modtager kortet og du accepterer ved at tage kortet i brug.

Skal lige tilføje, at Nets, i lighed med andre finansielle virksomheder, sammen med sit regnskab skal levere en revisorerklæring fra en statsautoriseret revisor på at sikkerheden er testet og fundet betryggende. Hvis der står “mindre betryggende” eller værre, vil Finanstilsynet prompte udbede sig en forklaring og en handlingsplan, eller det der er værre.

Vi lever i et af de mest gennemregulerede nationer i verden, med en høj grad af sikkerhedskrav ifm. vores digitaliseringstiltag, men har ikke tillid til systemet. Det giver ikke mening.

I betragtning af at kreditkortet er ens livline rent pengemæssigt, så vil det være katastrofalt at få spærret kortene når der er 17 timers flyvning hjem

Men grundreglen om at have flere kort, og gerne af forskellig type holder stadigvæk. Det er ikke sjældent at Visa eller MC netværket er nede i en butik og nogle gange i en hel region...

Bortset fra det, så mener jeg ikke at security by obscurity er sikkerhed; men det er noget op ad bakke når man taler om Nets. Desværre kommer mange af tosserierne direkte fra Visa og MC...

“De andre betalingsmuligheder banker HÅRDT på døren.”

Jeg hører ikke nogen banke lyd ?

Sat lidt på en spids, siger Nets at de til enhver tid forbeholder sig retten til at spære kort uden kortholders samtykke og uden at oplyse grundlaget hvorpå denne beslutning er truffet, sådan at kortholder ikke har en jordisk chance for til dels at undgå shady webshops el. lign. i fremtiden og til dels sige "Det er ikke misbrug/svindel, lad venligst være".

Jeg finder noget poetisk over Nets som lever højt på deres Dankort i bund og grund siger "Det kan godt være du har et Dankort, men du ved ikke om det virker i morgen" og på den måde giver folk endnu mere incitament til at bruge mobile betalinger som ikke kører over Dankortet såsom Apple Pay eller deres største konkurrent p.t., Mobilepay (hvis jeg husker rigtigt)

Men beskyttelsen af forbrugeren består vel i at der ingen selvrisiko er ved misbrug, og du til hver en tid på en hvilken som helst transkation kan lave chargeback og få det fulde beløb tilbage.

Det kan selvfølgelig ikke stå alene og alle involverede parter i en transaktion skal naturligvis overholde gældende standarder.

Men kan ikke se at det giver værdi for nogen at der bliver slynget om sig med navne på betalingsgateways eller andre som selv håndterer kortinformationer, fordi de er mistænkte for at de har været udsat for angreb af en eller anden art.

Man beskytter netop bankerne ved at lukke præventivt - således at bankerne ikke får et tab. Medens kortholderen sidder med ulempen.

Man beskytter IKKE bankerne. For de står vel med udgiften. Jeg tror at man er bange for at lave precedens i tilfælde af, at det en dag skulle være en bank der er problemet. Jeg mener også at der bør komme ud, og efter 25. maj så kan man vel som udgangspunkt forlange det. Et kortnummer er jo en unik personhenførbar identifier, og klart dækket af Artikel 4, pkt 1.

Tak for det - så har jeg slået SMS preview fra på min telefon!

Har du så samtidig husket at have en ordentlig adgangskode på din telefon?

Det hjælper jo ikke noget ( eller i hver fald meget lidt ) at stoppe sms-preview, hvis det tager 30 sekunder at låse telefonen op.

/Henning

Så længe folk ikke bare lige kan vælge en anden leverandør SKAL Nets fortælle hvad der sker og have fuld offentlighed omkring deres forretning!

Var der nu reel konkurrence kunne vi nemt skifte til en mere åben, sikker, stabil eller hvad vi nu ønsker at prioritere leverandør af den slags ydelser.

Heldigvis går det i den retning allerede og Nets får ikke lov at fortsætte den lukkethed ustraffet i den nærmeste fremtid.

De andre betalingsmuligheder banker HÅRDT på døren.

Jeg rejser meget regelmæssigt til Sydamerika og oplever i den sammenhæng store problemer. For det første bruger flere netbanker at bede om sms-kode hvis de kan se transaktionen kommer fra en unormal IP-adresse. I Sydamerika kan sms'ere i flere lande være op til 24 timer undervejs, hvilket gør at administration af netbank er umulig. Tilsvarende når man køber flybilletter o.l. med kort, så registreres IP-adressen som unormal - og samme problem opstår. I betragtning af at kreditkortet er ens livline rent pengemæssigt, så vil det være katastrofalt at få spærret kortene når der er 17 timers flyvning hjem og man befinder sig 1000 km fra nærmeste kystlinje. Derfor er de nuværende systemer ikke gode nok. De har IKKE den kombinerede fleksibilitet og sikkerhed, som er nødvendig. PS .. det er IKKE hensigtsmæssigt at rende rundt med 20.000 kroner i kontanter i Sao Paulo.

Jeg finder det helt betryggende at Nets konsekvent undlader at oplyse om årsagen. Dette fordi der, fra sag til sag, kan være forskel på om man kan/må oplyse årsagen til ombytningen og dels fordi man som forbruger skal have tillid til Nets og at man, såfremt denne tillid ikke holder, må være bedre stillet ved en evt. erstatningssag end hvis man “burde vide” at en netbutik har problemer med sikkerheden.

Tak for det - så har jeg slået SMS preview fra på min telefon!

Et andet problem ved to-faktor beskyttelse er, at nogle webshops tilbyder både betaling med og uden to-faktor. Norwegian.com gjorde dette tidligere, hvilket jeg personligt opleve ved misbrug på mit MasterCard. I løbet af natten mens jeg sov modtog jeg en SecureCode SMS. Opdagede det først morgenen efter. Det virkede mystisk og tænkte at det måske var en fejl. Tjekkede med banken, og kunne se på transaktionen at der var købt 2 billetter fra Oslo to Hurghada i Egypten. Kortet blev spærret og jeg fik pengene tilbage. Norwegians kundeservice var ligeglade, da de ikke kunne slå bookinger op ud fra kortnummeret, og jeg ikke havde booking-koden. Tjekkede senere Norwegian.com og man kunne faktisk vælge mellem MasterCard med og uden SecureCode og tilsvarende med VISA og 3DSecure.

But why.... i mit hovede giver det ikke mening at lade brugeren bestemme, da det åbentlyst kan bruges til svindel.

Mange netbutikker bruger et system, hvor kortejeren får en kode på email eller SMS, som de skal taste ind for at gennemføre betalingen. Det kan virke overfor hackere, der trækker betalingskortoplysninger ud af en database, men det virker dårligt overfor tyve, der stjæler en håndtaske. For denne taske vil typisk indeholde både betalingskort og mobiltelefon, så tyven kan læse beskeden med SMS-koden. Man kan selvfølgelig beskytte sin telefon med pinkode eller lignende, men mange telefoner viser den første linje af seneste SMS-besked på startskærmen, inden man har låst telefonen op.

En app (som MobilePay), der kræver særskilt login, selv når telefonen er åben, er (som Simon siger) bedre, men at bruge telefonnummeret som identifikation bryder jeg mig ikke om. Jeg har ikke lyst til, at tilfældige webshops får mit telefonnummer.

hvem der ikke kan holde på sine data.

Det udstiller forøvrigt et andet problem med betalingskort generelt: Vi har disse her kort hvor alle netbutikker får de samme oplysninger og så er det klart de slipper ud fra tid til anden. Det er jo ikke bedre end et genbrugeligt kodeord. Kan vi ikke snart få noget bedre - engangs kortnumre ol

Counterpoint:My Bank Tracker: "Why Virtual Credit Card Numbers Aren't Worth It"

Men jeg er af den overbevisning at åbenhed er bedre, fortæl hvad i ved.

"Sunshine is said to be the best disinfectant." -- Louis Brandeis

Hvem er det de vil beskytte? Mon ikke det er bankerne. Mig giver det kun bøvl. 8 - 10 dage uden kort er sku ikke sjovt.

Jeg mener kort fortalt, at det er en gang “pølsesnak” som Nets fremkommer med.

Det er fair nok at butikker kan være hacket og ikke vidste det pga. Zeroday exploits, men Nets er nød til at “stå på mål” for deres fejl og åbenlyse mangel på sikkerhed.

Hvis et hack ligger måneder bagud i tiden så har tiden jo dokumenteret, at der ikke er en tvingende årsag til øjeblikkeligt at lukke kredit- og betalingskort i tusindvis. Med det resultat at sagesløse kortbrugerne bliver taget som gidsler i en kamp som de ikke har kendskab til.

Nets kunne jo begynde med at bestille nye kort og over en periode udskifte de berørte kort. Nets kunne også udvikle en App som sammen med kreditkortet udgør en 2 faktor godkendelse, således at kortholderen ikke bliver taget som gidsel, pga. Nets svage sikkerhedskoncept.

Jeg synes at der burde indføres præventive beslaglæggelser/indefrysning af aktieudbytter fra selskaber som Nets, som er ejet af kapitalfonde. For det kunne jo være at de ville snyde i skat!

Men jeg er af den overbevisning at åbenhed er bedre, fortæl hvad i ved.

Når vi ikke sætter navn på berørte butikker, kan det være fordi, butikkerne selv er ofre for en kriminel handling

På internettet er man nød til at beskytte sig. Modsat den virkelige verden, kan man ikke forvente at politiet kommer og anholder forbryderen. Hvis butikker ikke sikrer sig godt nok, kan deres data blive lækket og så må de stå til regnskab overfor kunderne. Hvis det er deres betalingsformidler der har sparet på sikkerheden, er det dem som må stå til regnskab.

Jeg kan ikke beskytte mig selv mod angreb hvis jeg ikke får så basale informationer som hvem der ikke kan holde på sine data.

Det udstiller forøvrigt et andet problem med betalingskort generelt: Vi har disse her kort hvor alle netbutikker får de samme oplysninger og så er det klart de slipper ud fra tid til anden. Det er jo ikke bedre end et genbrugeligt kodeord. Kan vi ikke snart få noget bedre - engangs kortnumre ol. I Danmark er Mobile Pay ved at gøre den del bedre.