Sådan opruster bankerne mod kreditkort-svindel med NemID og sms-koder

28. august 2013 kl. 10:4224
Fra den 30. oktober går de danske banker over til at sende en engangskode via sms i stedet for at bruge et fast kodeord, når man skal betale med sit Visa eller Mastercard på nettet.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det bliver snart lidt vanskeligere at svindle med danskudstedte kreditkort. Fra den 30. oktober går de danske banker nemlig over til at bruge engangskoder i stedet for et fast kodeord, når man skal bekræfte en kreditkortbetaling med Verified by Visa eller Mastercard Securecode.

»Misbruget med internationale kreditkort stiger, og bankerne ønsker at øge sikkerheden, så det bliver sværere at svindle. Nu går bankerne over til en dynamisk genereret kode i stedet for en statisk kode,« siger kommunikationskonsulent Ulrik Marshall fra Nets til Version2.

Det er Nets, som står for at implementere den nye løsning for bankerne i Danmark.

Verified by Visa og Mastercard Securecode er et ekstra sikkerhedstrin, som bankerne kan kræve, når man betaler med et Visa-kort eller Mastercard-kort på nettet. Det indebærer i dag, at man opretter et kodeord hos banken.

Artiklen fortsætter efter annoncen

Når man i forbindelse med en kreditkortbetaling på nettet har udfyldt og indsendt sine kreditkortoplysninger, kan banken bede om, at brugeren indtaster sin kode, før betalingen bliver endeligt godkendt.

Det bliver fra den 30. oktober erstattet med en engangskode, som bliver sendt til det mobilnummer, man har oplyst til sin bank.

»Man skal knytte et telefonnummer til sit kreditkort. Første gang skal man gøre det med NemID, derefter skal man blot bekræfte, at det er det mobilnummer, man har, når man skal oplyse sin kode. Hvis man vil ændre sit mobilnummer, skal man igen bruge NemID,« forklarer Ulrik Marshall.

Mobiltelefonen er en udbredt metode til implementering af såkaldt to-faktor-autentificering, hvor man både skal kende noget og være i besiddelses af noget. I dette tilfælde skal man kende sine kreditkortoplysninger, og man skal have en telefon med det mobilnummer, som banken kender.

Artiklen fortsætter efter annoncen

Banken sender via Nets en engangskode til telefonen, som man skal indtaste, før man kan afslutte sin betaling. Det sker dog kun, når man bruger sit kreditkort. Hvis man betaler med Dankort-delen af et Visa/Dankort, bliver man ikke bedt om en kode.

Verified by Visa og Mastercard Securecode har været genstand for adskillige phishing-kampagner, hvor svindlere via e-mail forsøger at overbevise modtagerne om, at de skal følge et link for at opdatere deres Verified by Visa eller Mastercard Securecode-oplysninger.

Det kan dels udnyttes til at få de almindelige kreditkortoplysninger ud af brugere, som ikke kender til de to sikkerhedsforanstaltninger, men også til at lokke det ekstra kodeord ud af brugerne.

Med en engangskode på mobiltelefonen vil denne type svindel være mindre effektiv, om end den vil være sårbar over for man-in-the-middle-angreb i stil med de angreb, der har været mod danske netbanker, som bruger NemID.

Sikkerhedsekspert: Skridt i rigtig retning

Alligevel er bankernes tiltag med til at øge sikkerheden, vurderer it-sikkerhedskonsulent Peter Kruse fra sikkerhedsfirmaet CSIS, som blandt andet rådgiver finanssektoren om svindel på internettet.

»Et ekstra kodeord er relativt nemt at fiske ud af folk, og hvis der er malware på maskinen, så har det ingen effekt. Engangskoder er et skridt i den rigtige retning, som jeg tror, vi vil se flere steder end bare herhjemme. Det vi har i dag er ikke tidssvarende. Det er blot et irritationsmoment for brugerne, som ikke løfter sikkerheden tilstrækkeligt,« siger Peter Kruse til Version2.

Tofaktor-autentificering ved hjælp af engangskoder til mobiltelefonen benyttes af flere internettjenester som eksempelvis Google og Microsoft. Flere banker bruger også denne metode, hvis NemID-loginsystemet er ude af drift.

Danske Bank oplyser i et brev til bankens privatkunder med internationale kreditkort, at de automatisk vil blive tilmeldt den nye ordning, medmindre kunderne framelder sig inden den 14. oktober.

24 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
24
4. februar 2014 kl. 19:14

Jeg er ikke enig. Eksempelvis har jeg lige forsøgt at købe en flybillet fra Singapoore til Jacarta med et asiatisk flyselskab. Det kunne ikke lade sig gøre uden den sms kode, iøvrigt heller ikke billetten med Lufthansa. Det var altså ikke en dansk forretning. Så jeg måtte låne en mobil for at kunne betale

23
30. august 2013 kl. 20:02

Hvad så med de unge mennesker under 15 år der ikke kan få nemid men har visa electron eller mastercard debit?

16
28. august 2013 kl. 14:39

... der vil til at bruge one-time-passwords i stedet for statiske. Der er intet til hinder for, at du fortæller din bank dit telefonnummer på en anden måde end ved at logge på din netbank med NemID -- at møde op i en endnu eksisterende filial eksempelvis. (Netbank kan du i øvrigt bruge uden OCES klistret på NemID.) At blande NemID ind i sagen er ret beset bare at forplumre billedet.

Men hvorfor skal vi bruge SMS i stedet for Google Authenticator? Vi kan vel lige så godt scanne en QR-kode fra netbank. Måske det er for svært at få brugerne med på?

17
28. august 2013 kl. 15:19

Men hvorfor skal vi bruge SMS i stedet for Google Authenticator? Vi kan vel lige så godt scanne en QR-kode fra netbank. Måske det er for svært at få brugerne med på?

At scanne en kode med sin mobil kræver at man har en smartphone.

Så nu skal vi altså have Visa kort, NemID login og Smartphone med 3 parts QR kodescanner for at betale for vores varer på nettet.

Ja ja, om ikke andet kan det da være det kommer til at komme de fysiske butikker til gode når folk opgiver at handle på nettet pga. det bliver for bøvlet.

18
28. august 2013 kl. 16:04

Andelen af folk uden smartfoner kommer næppe til at stige de nærmeste år. Det kræver også en internetforbindelse at foretage fjernkøb; det sker ikke mange handler over telefon længere -- selvom det kan være nemmere at sige "en farvepatron til en Brother XMP-foobar-32" end det er at klikke sig gennem en webside og finde den rette. Verden flytter sig.

I min verden er det hurtigere at starte Google Authenticator end det er at vente på at modtage en SMS (som i øvrigt ikke nødvendigvis kommer frem med det samme; SMS-data prioriteres typisk relativt lavt på mobilnettet).

Du kan i øvrigt købe din OTP-generator som hardware-dims, hvis du skulle have de lyster -- brugen forudsætter naturligvis at du kan sync'e den med din ACS provider.

Jeg ser dog lidt et problem i at man nu bare kan stjæle en taske med både kreditkort og telefon i og så kan man køre transaktioner med 3D Secure. Det er ikke længere 2-faktor i forstanden "noget man har (kortet)" og "noget man ved (kodeordet)", men i stedet 2-faktor i forstanden "noget man har (kortet)" og "noget man har (telefonen)".

22
29. august 2013 kl. 08:42

Med mindre kortudsteder fremover påtager sig risikoen (...)

De ser næppe deres snit til at påtage sig større ansvar. Tværtom.

I øvrigt bliver det formentlig sværere at lave "fjernangreb" netop fordi det er OTP, så fra den ene vinkel bliver det bedre og fra den anden vinkel værre. Alt i alt? Tjah, det afhænger af sandsynlighederne for at de sker und so weiter.

Mit hurtige slag på tasken er at det bliver lidt bedre af det; mest fordi fjernmisbrug har et stort potentiale, om man så må sige. Analysen bag kunne være interessant læsning -- både for at se om mit gæt er det samme som deres og for at se hvor grundige de har været.

15
28. august 2013 kl. 14:37

Er det bank NemID eller "Oces" NemID der kræves?

14
28. august 2013 kl. 14:35

Jeg sidder i Korsør med en PC, en fastnettelefon, et TV og en transistorradio.

Hvilken af de fire modtager den omtalte SMS? eller kommer den på papir med snail mail?

9
28. august 2013 kl. 13:30

... dem som ikke har en mobil telefon? Kan de så ikke længere bruge deres Visa?

10
28. august 2013 kl. 14:05

Jamen, det har alle da, ikke? Ellers ville de jo ikke lave sådan et tiltag. (sarkasme slut).

Fremover kan man vel ikke få et internationalt kreditkort uden at have en mobiltelefon, eller også må man fraskrive sig muligheden for internethandel.

6
28. august 2013 kl. 13:14

SMS løsningen bruges allerede af SEB Kort på f.eks. GlobeCard (MasterCard).

3
28. august 2013 kl. 11:32

Det er ikke bankerne der kræver Verified by VISA og MasterCard Secure Code. Det er det såkaldte 3D Secure, som den enkelte web shop skal købe til.

12
28. august 2013 kl. 14:17

Muligvis ikke, men det ændre ikke på at den foreskrevne metode går gennem Nets, og det (tilsyneladende) kun kan lade sig gøre, hvis man har NemID.

Du skal bruge NemID når du registrerer dit mobilnummer hos din bank/Nets, eller ikke. I princippet kunne din bank også tilbyde dig en anden mulighed end NemID for at registrere dit mobilnummer hos Nets.

Du skal kun bruge sms koder, hvis butikken anvender 3D Secure (Verified by Visa eller MasterCard SecureCode). Hvis du ikke gider sms koder, kan du bare fravælge butikker som bruger 3D Secure. Det er langt fra alle som bruger det. Formentlig under 10% af alle netbutikker (guestimat baseret på hvor ofte jeg ser det).

5
28. august 2013 kl. 12:36

Nej, men det har betydning for hvorvidt det bliver afkrævet alle steder - for det gør det ikke når det skal købes til.

7
28. august 2013 kl. 13:14

I givet er artiklens overskrift og det brev jeg har fået fra min bank stærkt misvisende !

Og det gør det sådant set endnu mere uoverskueligt, for hvilket internationale betalingsløsninger kræver så ikke NemID ?

8
28. august 2013 kl. 13:25

Det kommer an på hvilken butik det er. Dog er der mange steder man tilkøber det - bl.a. fordi butikken skal betale beløbet tilbage + et gebyr til banken hvis kortet er blevet misbrugt og banken trækker pengene tilbage.

2
28. august 2013 kl. 10:58

Som Krebs skrev for nyligt er tilsvarende SMS-tjenester allerede blevet brudt. Der går sikkert ikke længe før de bliver tilpasset danske forhold:

https://krebsonsecurity.com/2013/08/a-closer-look-perkele-android-malware-kit/

Og ja, ovenstående kræver at brugerne svarer "ja" til en masse ting de ikke burde; men erfaring viser, at et par procent af brugerne gør de særeste ting de ikke "burde".

21
29. august 2013 kl. 08:09

Ja, bankerne er nødt til at øge sikkerheden. De har tidligere været villige til at afskære store kundegrupper fra NemID. Så det er vel heller ikke noget problem at sige, at din telefon ikke må være et Android device, aller at man skal have anti-virus på sin Android, da man ellers handler groft uansvarligt, og derfor kan have øget selvrisiko.

13
28. august 2013 kl. 14:23

Som Krebs skrev for nyligt er tilsvarende SMS-tjenester allerede blevet brudt. Der går sikkert ikke længe før de bliver tilpasset danske forhold:

Det er ikke specielle danske forhold, da 3D Secure med sms otp koder er en international standard. Så selvfølgelig vil der komme angreb mod det, ligesom de tidligere versioner af 3D Secure er blevet angrebet.

Malware på smartphones er helt oplagt, når samme enhed bruges til at lave transaktionen (web) og modtage OTP koden (sms).

1
28. august 2013 kl. 10:51

er jo fint med mere sikkerhed, er ikke fint at man tvingest til havde nemid for at bruge sine egene penge.