Visa-kort kan knækkes gennem distribuerede forsøg i store webbutikker

Den trecifrede kode på kreditkortet kan ikke opfanges med skimming af magnetstriben, men til gengæld kan man gætte den ved at prøve sig frem.

Den trecifrede CVV-kode på bagsiden af et kreditkort skal forhindre misbrug, men i praksis er det nemt at gætte koden, hvis man bare spreder sine gæt ud over mange netbutikker på samme tid. Det har en gruppe forskere fra Newcastle University demonstreret i et paper.

Ved at sprede forsøgene ud over eksempelvis 30 butikker så går det for det første hurtigt med at ramme den rigtige kode. Ud fra forskernes resultater vil det det tage blot fire sekunder at få verificeret den korrekte værdi.

For det andet undgår man de begrænsninger, som den enkelte webbutik opstiller for, hvor mange forsøg man kan gennemføre inden for en vis tidsramme.

Metoden virker ifølge forskerne kun på Visa-kort, i det Mastercard ser ud til at overvåge forsøg på at gætte koder, selvom de sker igennem forskellige butikker. Mens den enkelte butik eller betalingsgateway kan forsøge at opdage misbrug, så er det i sidste ende kun kortudbyderen, der kan overvåge al aktivitet på et bestemt kort på tværs af butikker og gateways.

Nets har automatisk overvågning

Nets, der blandt andet overvåger sikkerheden på Dankortet og bankernes internationale kreditkort, foretager også en overvågning på tværs af butikker, så forsøg på misbrug af danske Visa-kort vil blive opdaget, oplyser Nets.

»Vi har etableret alarmer på tværs af Dankort, Mastercard og Visa, som udløses, hvis der sker forsøg på at gætte kortnummer, udløbsdato eller CVV. Det er en kendt metode, og det er ikke noget, vi ser misbrug af i Danmark,« siger pressechef Søren Winge fra Nets til Version2.

Den britiske undersøgelse tjekkede sikkerheden i 389 netbutikker udvalgt fra listen over de største sider målt i besøgende af Alexa. Af disse butikker var det blot 47, der havde implementeret Visas to-faktor-autentificering 3D Secure. 238 af butikkerne tillod op til 10 forsøg på at gætte CVV-koden.

CVV, eller helt præcist CVV2, står for Card Verification Value og er beregnet til at beskytte mod 'card not present' misbrug. Det vil sige misbrug, hvor der er mistanke om, at svindleren ikke har kreditkort, men blot har fået fat i oplysningerne, der eksempelvis ligger på kortets magnetstribe.

Magnetstriben kan aflæses med 'skimmere', der kan skjules på kortlæserne på hæveautomater eller benzinstandere. Derfor kræver de fleste netbutikker, at man ikke blot kender kortnummer og udløbsdato, men også kender CVV-koden, som ikke ligger på magnetstriben.

Forskernes metode med distribuerede gæt har været kendt længe, men har hovedsageligt været brugt til at forsøge at gætte eksempelvis udløbsdato eller adresseoplysninger, hvor postnummer eller husnummer også kan bruges til verificering af kortet.

Det mest interessante ved undersøgelsen er derfor dels, hvor hurtigt det kan lade sig gøre at gætte en manglende oplysning, og dels at der altså fortsat er butikker, der kan misbruges.

Kreditkortfirmaerne stiller endnu ikke krav om obligatorisk brug af to-faktor-autentifikation, men for Dankortet vil Nets fra 2017 kræve en engangskode ved køb på over 450 kroner for at beskytte mod stigende forsøg på misbrug.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kim Kaos

Der er heldigvis en del butikker der kræver en to-faktor-autentifikation for os med Visa

Det er måske lidt irriterende at skulle fiske mobilen frem og taste de 6 cifre ind når handlen skal afsluttes - men det er sgu betryggende at vide at der alligevel bliver holdt øje med ens penge.

Det bør gøres obligatorisk for alle kort ved alle handler over et vist beløb.

Det kunne suppleres med at man modtager en SMS når ens kort er blevet brugt uanset beløb størrelsen - på den måde kan man hurtigt nå at reagere hvis ens kort misbruges.

  • 9
  • 0
Michael Eriksen

Det er måske lidt irriterende at skulle fiske mobilen frem og taste de 6 cifre ind når handlen skal afsluttes...

Hvis en webshop ikke kan holde på mit kortnummer (inkl. navn) og CVV, hvorfor skulle de så kunne holde på mit telefonnummer? Kort sagt opnår jeg kun at kompromittere min telefon også. Måske jeg har misforstået noget, men ebay er venlige og lader mig vælge hvilket kort jeg vil bruge ("last four digits are ####"), ergo kender de mit kortnummer. Jeg har ingen aftale med at VISA/Nets kender mit telefonnummer. Så det må også ligge hos ebay. Ergo nul ekstra sikkerhed.

  • 1
  • 4
Eskild Nielsen

Kort sagt opnår jeg kun at kompromittere min telefon også. Måske jeg har misforstået noget, ....

Den måde, det virker på er at der sendes en engangskode til det telefonnummer, der er registreret hos kortudbyderen. Den kode skal du så sende retur via websiden.

Det hjælper selvfølgelig intet, hvis din kortudbyder er blevet hacket, så der nu er et fremmed mobilnummer registreret, men hvis dit kort der er blevet fotograferet, og dit mobilnummer ikke umiddelbart jan søges på nettet, så burde det da hjælpe noget?

  • 1
  • 0
Michael Eriksen

Den måde, det virker på er at der sendes en engangskode til det telefonnummer, der er registreret hos kortudbyderen. Den kode skal du så sende retur via websiden.

Jeg har absolut ingen aftale med Nets (der håndtere VISA) om at de kender mit telefonnummer. Jeg er aktivt registreret på Robinsonlisten, så bortset fra at denne liste er hacket, så har Nets nul viden om mit telefonnummer. Altså kan de ikke sende mig en sms.

Nu har jeg desværre netop ryddet min telefon, så jeg kan ikke præsentere en "case" bortset fra at Yahoo i går ville verificere min konto med to-faktor. Det er så uden kreditkort, men princippet er det samme: Yahoo kender min ID og mit telefonnummer = ingen sikkerhed.

Inden nogen hidser sig op: Yahoo adressen er kun til useriøse ting.

  • 0
  • 0
Michael Eriksen

Det er ikke dit telefonnummer, der er den anden faktor. Det er den engangskode, som du modtager som SMS, der er den anden faktor.

Jamen, hvis svindleren har gjort sig den umage at hacke en webshop for at hugge mit navn, kortnummer, CVV og telefonnummer, så er der næppe meget arbejde i at sende mig en sms og jeg har ikke en kinamands chance for at vide hvor den sms kommer fra.

Se, hvis jeg nu havde en kryptografisk nøgle også indeholdende mit telefonnummer, hos Nets, hvor jeg alene sidder med den private nøgle, så ville det ligne noget. Men sådan er det ikke. Jeg får bare en anonym sms, der siger jeg skal taste "1234" på en falsk hjemmeside.

  • 0
  • 4
Palle Due Larsen

Se, hvis jeg nu havde en kryptografisk nøgle også indeholdende mit telefonnummer, hos Nets, hvor jeg alene sidder med den private nøgle, så ville det ligne noget. Men sådan er det ikke. Jeg får bare en anonym sms, der siger jeg skal taste "1234" på en falsk hjemmeside.


Det er jo ikke det 3D secure beskytter imod. Hvis andre bruger dit kortnummer på en webshop, bliver der sendt en sms til DIN telefon. Der står kun koden, ikke nogen webadresse, hvor du skal taste noget ind. Du har ikke initieret noget køb, så du kan være ligeglad, men skurken som skal indtaste koden har den ikke. Dermed kan købet ikke fuldbyrdes. Mission accomplished.
Nets har kun dit telefonnummer, hvis du har tilmeldt dig 3D secure. Det har du så åbenbart ikke, og derfor kan 3D secure ikke hjælpe dig.

  • 4
  • 0
Kevin Harritsø

I teorien kan man lave MITM angreb, der via et svindler website får dig til skrive kort nr, dato, cvv ind og så vise dig en side der ligner 3dsecure siden. Brugeren kan ikke se udfra nets smsen hvor koden vil blive brugt, så angriber kan bare videreformidle smskoden på et køb han foretager på en anden side. Det virker dog ret omstændigt.

Det jeg ikke kan lide ved 3dsecure er 1) at Nets sider nærmest ligner fishing sider 2) at du sætter det op første du skal bruge det, hvilket virker meget mistænksomt 3) At det ikke sættes op i netbanken for alle kort. 4) at netbanken ikke kan virke som token generator istedet

Herudover synes jeg det er dumt at VISA/Dankort ikke sender sms beskeder, når udenlandske firmaer trækker på ens kort. Så vidt jeg ved er det kun Mastercard, og det er en rar ting, især på ens ferie rejser, da man nemt kan se at fx en restaurant ikke har trukket mere end hvad regningen lød på*

*) Dog virker det ikke så godt fx når det benyttes som Oyster card. Her får man kun at vide at der er trukket 1 pund, men reelt kan de sagtens ha' hævet 5-6 pund.

  • 0
  • 0
Log ind eller Opret konto for at kommentere