Sådan opruster bankerne mod kreditkort-svindel med NemID og sms-koder

Det bliver snart lidt vanskeligere at svindle med danskudstedte kreditkort. Fra den 30. oktober går de danske banker nemlig over til at bruge engangskoder i stedet for et fast kodeord, når man skal bekræfte en kreditkortbetaling med Verified by Visa eller Mastercard Securecode.

»Misbruget med internationale kreditkort stiger, og bankerne ønsker at øge sikkerheden, så det bliver sværere at svindle. Nu går bankerne over til en dynamisk genereret kode i stedet for en statisk kode,« siger kommunikationskonsulent Ulrik Marshall fra Nets til Version2.

Det er Nets, som står for at implementere den nye løsning for bankerne i Danmark.

Verified by Visa og Mastercard Securecode er et ekstra sikkerhedstrin, som bankerne kan kræve, når man betaler med et Visa-kort eller Mastercard-kort på nettet. Det indebærer i dag, at man opretter et kodeord hos banken.

Når man i forbindelse med en kreditkortbetaling på nettet har udfyldt og indsendt sine kreditkortoplysninger, kan banken bede om, at brugeren indtaster sin kode, før betalingen bliver endeligt godkendt.

Det bliver fra den 30. oktober erstattet med en engangskode, som bliver sendt til det mobilnummer, man har oplyst til sin bank.

»Man skal knytte et telefonnummer til sit kreditkort. Første gang skal man gøre det med NemID, derefter skal man blot bekræfte, at det er det mobilnummer, man har, når man skal oplyse sin kode. Hvis man vil ændre sit mobilnummer, skal man igen bruge NemID,« forklarer Ulrik Marshall.

Mobiltelefonen er en udbredt metode til implementering af såkaldt to-faktor-autentificering, hvor man både skal kende noget og være i besiddelses af noget. I dette tilfælde skal man kende sine kreditkortoplysninger, og man skal have en telefon med det mobilnummer, som banken kender.

Banken sender via Nets en engangskode til telefonen, som man skal indtaste, før man kan afslutte sin betaling. Det sker dog kun, når man bruger sit kreditkort. Hvis man betaler med Dankort-delen af et Visa/Dankort, bliver man ikke bedt om en kode.

Verified by Visa og Mastercard Securecode har været genstand for adskillige phishing-kampagner, hvor svindlere via e-mail forsøger at overbevise modtagerne om, at de skal følge et link for at opdatere deres Verified by Visa eller Mastercard Securecode-oplysninger.

Det kan dels udnyttes til at få de almindelige kreditkortoplysninger ud af brugere, som ikke kender til de to sikkerhedsforanstaltninger, men også til at lokke det ekstra kodeord ud af brugerne.

Med en engangskode på mobiltelefonen vil denne type svindel være mindre effektiv, om end den vil være sårbar over for man-in-the-middle-angreb i stil med de angreb, der har været mod danske netbanker, som bruger NemID.

Sikkerhedsekspert: Skridt i rigtig retning

Alligevel er bankernes tiltag med til at øge sikkerheden, vurderer it-sikkerhedskonsulent Peter Kruse fra sikkerhedsfirmaet CSIS, som blandt andet rådgiver finanssektoren om svindel på internettet.

Hent Profilanalysen og årets ranglister

Profilanalysen 2023

»Et ekstra kodeord er relativt nemt at fiske ud af folk, og hvis der er malware på maskinen, så har det ingen effekt. Engangskoder er et skridt i den rigtige retning, som jeg tror, vi vil se flere steder end bare herhjemme. Det vi har i dag er ikke tidssvarende. Det er blot et irritationsmoment for brugerne, som ikke løfter sikkerheden tilstrækkeligt,« siger Peter Kruse til Version2.

Tofaktor-autentificering ved hjælp af engangskoder til mobiltelefonen benyttes af flere internettjenester som eksempelvis Google og Microsoft. Flere banker bruger også denne metode, hvis NemID-loginsystemet er ude af drift.

Danske Bank oplyser i et brev til bankens privatkunder med internationale kreditkort, at de automatisk vil blive tilmeldt den nye ordning, medmindre kunderne framelder sig inden den 14. oktober.