41 mio her og 41 mio der...

En flok kriminelle er taget med 41 mio kreditkort.

Kreditkort sikkerheden er som al anden computer sikkerhed stokastisk.

Sandsynligheden for at gætte en pinkode er omkring 1:9000, man udsteder ikke pinkoder som '0000' så tallet er lidt mindre end 1:10000.

Med 41 mio kreditkort og et brute force angreb vil de kriminelle kunne forvente at finde 4500 korrekte pinkoder, hvis de kun forsøger hvert kort en gang, dobbelt så mange hvis de prøver to gange på hvert kort.

Og dette helt uden at tænde nogen alarmer hos bankerne, der først reagerer ved den tredje forkerte pinkode.

Selvom det er store tal, så er vi meget langt fra bankernes påstand om at "den eneste måde forbrydere kan få fat i pinkoder, er hvis folk sløser med dem".

At lave sikkerhed med holdningen "den går nok" er ikke godt nok mere, og da sikkerheds sandsynlighederne for kreditkort var aldrig baseret på at forbrydere kunne få fat på 41 mio kort, så skal vi tilbage til trin 1 med hensyn til designet.

Når forbrydere kan få adgang til 41 mio kort, skyldes det naturligvis butikskæder der gemmer alle mulige data for at lave data-mining.

Faktisk er kreditkort blevet det nye index i markedsføring: Man kender folks kreditværdighed og kan korrelere deres indkøb på kryds og tværs, helt uden begrænsninger, for der er ikke en egentlig identitet tilknyttet, kun et kortnummer.

Og når det kommer til stykket, så interesserer butikskæder sig ikke for hvem folk er, men blot for hvor meget man kan få dem til at købe.

Bankerne er naturligvis medskyldige, for de tjener penge på brug af kreditkort, særligt hvis folk er dumme nok til at overtrække dem, så jo mere folk fristes, jo bedre for bankerne.

Taget i betragtning at vi om forbrugere absolut ingen inflydelse har på design af sikkerhedsfunktionerne i kreditkort, det så vi da de trods bred folkelig modstand fjernede billedet, så kan jeg ikke se rimeligheden i, at forbrugeren har et erstatningsansvar ved misbrug.

Bankerne investerer ikke i kreditkortsikkerhed hvis det ikke kan betale sig, så læg hele ansvaret for misbrug på deres regning, så kan de vurdere om de vil leve med et givent niveau af svindel, eller om de vil forbedre sikkerheden.

phk

Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Martin René Pedersen

Nu er pinkoden heldigvis ikke det eneste sikkerhedselement, der indgår i betalingskortløsninger. Som phk skriver laves der datamining på forbrugsmønstrene - og det gør man altså også i kortselskaberne for at sikre os forbrugere. Er man rigtig go' kan man på baggrund af forbrugsmønstret spærre kortet efter blot én hævning (også selvom den rigtige pinkode eller måned/år/bagsidekode bliver brugt). Som forbruger kan man iøvrigt gøre indsigelse mod en hævning, hvis det ikke er ens egen - og i langt de fleste tilfælde dækker banken eller kortselskabet tabet, så forbrugeren ikke mister pengene.

  • 0
  • 0
#2 Ricco Førgaard

Kunderne tvinges i princippet ikke til at bruge kreditkort, så man siger sig vel enig i vilkårene (inkl erstatningsansvar) for brug, dersom man bestiller og bruger kreditkort.

Nu er det længe siden jeg sidst har hørt om beløbsstørrelser, men er selvrisikoen ikke kun omkring 1.200,- kr?

  • 0
  • 0
#4 Peter B. Juul

Jeg var sidste år ude for at nogen købte to £50 taletidskort på mit VISA-kort. PBS reagerede prompte ved at sige, at det var usædvanligt og spærrede kortet (jeg formoder, at de har haft andre lignende hævninger omkring samme tidspunkt).

Jeg betalte ikke en rød reje i selvrisiko, men fik blot pengene tilbage og et nyt kort.

  • 0
  • 0
#5 Deleted User

Jeg mener at kunne huske, at kortholder kun pålægges en selvrisiko på 1200 kr. såfremt det kan påvises, at den enkelte har sløset med sikkerheden omkring kreditkortet. F.eks. at groft uforsvarlig adfærd har muliggjort den uberettigede brug, f.eks. at man har været så letsindig at opbevare pinkoden sammen med kortet. Ved normal fornuftig brug af kortet, hvor kun indehaveren kender koden er der ingen selvrisiko.

Det blev tillige understreget i Radioavisen, at kortholderne ikke gøres erstatningsansvarlige i denne svindelsag.

For øvrigt: Den dårligere sikkerhed med kreditkort er sikkert økonomisk begrundet. Hvorfor lave et stort og dyrt sikkerhedsapparat, når svindel med kreditkort trods alt er i småtingsafdelingen, i forhold til værdien af transaktionerne. Sikkert ikke den post, der bugner mest på bankernes tabskonti.

Hans-Henrik Holm-Hansen

  • 0
  • 0
#11 Tore Green

Hvordan handler man via terminal uden at kortet eller kunden er tilstede? Jeg ved ikke om det fungerer anderledes i andre lande, men herhjemme opgiver man da aldrig PIN-kode ved fjernsalg/postordre el.lign.

Det er selvfølgelig muligt hvis banditten selv har en terminal, men den ville forhåbentlig tiltrække sig opmærksomhed hvis unaturligt mange transaktioner blev afvist med forkert PIN-kode.

  • 0
  • 0
#14 Martin Otzen

Hvordan handler man via terminal uden at kortet eller kunden er tilstede?

Man kunne fks. bryde ind i Føtex's EDB system, og forsøge sig frem med en del falske køb, via deres terminal linje. Det er ikke usædvanligt at et større indkøbshus som føtex samler alle dankort terminallinjer, via en central server og kører alle transaktioner via én linje.

  • 0
  • 0
#16 Martin René Pedersen

Der er meget fokus på sikkerhed omkring kreditkort - også fra kortselskaberne (eller bankerne som køber kortselskabernes produkter). Det er naivt at tro, at man slækker på sikkerheden for at spare penge. For at betalingskortsystemerne kan fungere er det en fundamental forudsætning, at der er tillid til systemerne. Det ville der ikke være, hvis vi hver dag hører historier eller oplever venner og familie, der bliver rippet for tusinder af kroner. Faktisk er det sjældent man hører, at forbrugeren mister penge - med mindre banken kan påvise, man har opført sig tåbeligt á la skrive sin pinkode på sit kort eller lignende. Meget høj grad af sikkerhed er altså en forudsætning for, at systemet kan fungere - og både banker og butikker er selvfølgelig interesserede i det, da det er lettere at administrere betalinger med kort end kontanter.

I forhold til brute force metoden, så er det selvfølgelig ikke praktisk umuligt - men så lad os kalde det praktisk bøvlet. Hvis én forretning "gennemfører" f.eks. 100 hævninger samme dag, hvor alle afvises på grund af forkert pinkode - og ingen af dem efterfølgende gennemføres med en rigtig pinkode - så tiltrækker man sig selvfølgelig en vis opmærksomhed fra kortselskaberne - og det kan man nok ikke gøre to dage i træk før nogen reagerer. 41 mio / 100 = mange forretninger... (og måske skal der ikke engang 100 til). Skulle man alligevel gøre det, så skal man næsten have forretningen med på snyderiet for at få pengene ud af det - og normalt afregner kortselskaber med forretninger en, to, tre uger efter en hævning - og allertidligst første efterfølgende bankdag.

PHK - det ville trods alt være interessant at høre din version af indflydelse på sikkerheden. Jeg forestiller mig en situation, hvor min far skal have et Dankort:

Bankrådgiver: "Vil du have 64Kbit eller 128Kbit sikring af dine hævninger ?" Min far: "Øhhh - det ved jeg ikke. Hvad er forskellen ?" Bankrådgiver: "Øhhh - det ved jeg ikke. Men 128Kbit er det sikreste - og det koster det samme." Min far: "Nå - hm - jamen så må jeg nok heller få det."

  • 0
  • 0
#18 Henrik Kramselund Jereminsen Blogger

Faktisk ER det præcis hvad der gøres indenfor sikkerhed.

Det giver ikke mening at sikre et aktiv med sikringsforanstaltninger som koster mere end værdien. Det kaldes risikoanalyse og udføres i høj grad for at sikre indtjening, konkurrenceevne, overlevelse af egen virksomhed m.v.

Som PHK flere gange har omtalt, og som jeg gerne vil være med til at plædere for er, bankerne skubber med strategiske overvejelser flere og flere byrder i retning af forbrugerne - uden at forbugerne reelt har noget valg eller er medvirkende til at påvirke situationen.

Bankerne har som deres forretning dem selv at tænke på, inklusiv aktionærerne - lad dig ikke snyde af dette, det er PRÆCIS hvad de skal - det er deres forretning.

Da de fjernede billedet fra Dankortet blev det præcis magen til alle andre kort i verden, og derfor valgte jeg med vilje at skifte til et andet.

Bankerne himlede op med at det var mere sikkert, men er det reelt mere sikkert i den verden vi befinder os i? Jeg mener det ikke. Bevisbyrder og sagerne viser at flere og flere forbrugere kommer i klemme, på nær de åbenlyse sager hvor kreditkortselskaberne/bankerne kan se hvad der er foregået og pengene ikke er mistet - kan føres tilbage.

Det drejer sig om penge, og om at minimere det tab som bankerne har - og hvis du stadig tvivler så find en i din omgangskreds som har en indløsningsaftale med et kreditkortselskab og se aftalen ;-)

  • 0
  • 0
#19 Thomas Ammitzbøll-Bach

Bankrådgiver: "Vil du have 64Kbit eller 128Kbit sikring af dine hævninger ?" Min far: "Øhhh - det ved jeg ikke. Hvad er forskellen ?" Bankrådgiver: "Øhhh - det ved jeg ikke. Men 128Kbit er det sikreste - og det koster det samme." Min far: "Nå - hm - jamen så må jeg nok heller få det."

Er vi ved kernen af dansk sødmælkslogik: Enhver borger i landet har ret til at stole på, at banken, realkreditinstitutet, ejendomsmægleren og telefonselskabet giver saglige og upartiske vejledninger til deres kunder, og staten skal komme efter dem, hvis de ikke gør. Hvis vi havde en kultur i Danmark, hvor vi selv købte vores rådgivning hos finansmæglere, advokater og revisorer, så ville der komme helt andre boller på suppen.

Nej, jeg ved ikke ret meget om biler. Men når jeg køber bil, så har jeg altid en rådgiver med, der har check på det mekaniske. Når jeg køber hus, så taler jeg med min advokat inden. Og når jeg shopper bank, så har jeg også en rådgiver. Nogle af disse er venner, der gør det som en vennetjeneste, andre er mennesker, jeg betaler for at gøre det. Men fælles er, at de er på min side.

Når alt kommer til alt, så tror jeg ikke banken over en dørtærskel. Banken og jeg har modsat rettede interesser, og jeg har ikke en chance, hvis jeg ikke får noget rådgivning.

I henved hundrede år har organiseringen af arbejdskraften i fagforeninger hjulpet til at sikre bedre vilkår for arbejderne. Men forbrugerbevægelser har aldrig haft samme magt. (LIC, FB o.lig. er dog et skridt på vejen.) Vi bliver jo taget i r0ven, hvis vi bare laller ind i bankernes logik.

Det er ikke Rasmus Klump Land, hvor alle tvister kan løses ved at bage en stabel pandekager.

Thomas

  • 0
  • 0
#20 Poul-Henning Kamp Blogger

Nej, jeg ved ikke ret meget om biler. Men når jeg køber bil, så har jeg altid en rådgiver med, der har check på det mekaniske.

Men hvis det viser sig at der er konstruktions- eller materialefejl i din bil, så er bilfabrikken forpligtet til at tilbagekalde den og få det rettet.

Det er bankerne ikke.

Det er softwareproducenter heller ikke.

Hvorfor ikke ?

Poul-Henning

  • 0
  • 0
#21 Thomas Ammitzbøll-Bach

Men hvis det viser sig at der er konstruktions- eller materialefejl i din bil, så er bilfabrikken forpligtet til at tilbagekalde den og få det rettet.

Det er bankerne ikke.

Jeg er helt enig! Men så længe vi som bank-forbrugere står svagt, så sker der i alt fald intet.

... men jeg stopper her inden jeg begynder at udtrykke min mening om PBS' monopolvirksomhed, statsgaranteret uden konkurrence men befriet for demokratisk indflydelse ...

Thomas

  • 0
  • 0
#22 Michael Deichmann

... men jeg stopper her inden jeg begynder at udtrykke min mening om PBS' monopolvirksomhed, statsgaranteret uden konkurrence men befriet for demokratisk indflydelse ...

Nå? Det kunne da ellers være interessant at få uddybet? PBS ejes mig bekendt af bankerne - og deres monopol er ikke længere end hvis nogen af bankerne ser deres fordel ved at hoppe ud og starte op ved siden af. DB har vist lyst til at gøre det men er talt fra det af de andre banker. Jeg ved ikke hvorfra det statsgaranterede kommer fra? At PBS driver noget e-Faktura er da vist noget de har vundet i en ærlig licitation? Og en af fordelene som jeg ser det er at vi idag kan vælge imellem og bruge mange af de internationale kort fordi PBS på vegne af bankerne har forhandlet det på plads for Danmark. Det betyder at disse kort umiddelbart kunne benytte det net PBS har opbygget med DKKort terminaler og det var faktisk også grunden til at IBM Danmark fik en intern opgave for IBM WW med at etablere en betalinsgfunktion til IBM's webshop bl.a. IBM Danmark kunne med een simpel netværksforbindelse etablere connectivity til stort set samtlige betydende kreditkortselskaber i verden. I udlandet skulle man lave een til hvert selskab.

  • 0
  • 0
#23 Thomas Stenlund

Så vidt jeg ved er det de informationer, som blev fundet på de kriminelle, såkaldte online informationer og altså ikke fysiske kort.

Sikkerheden på de fysiske kort kan diskuteres, men den er ihvertfald bedre end online sikkerheden.

Først havde vi kun kortnummeret og udløbsdatoen som kontrol ved handel online. Da bankerne opdagede at kriminelle kunne få fat i disse informationer, så tilføjede de 3 tal mere i form af et sikkerhedsnummer, som man skulle indtaste sammen med de normale informationer, hvilket jo ikke ligefrem gjorde de sværere for kriminelle, der jo bare skulle snuppe 3 tal mere med samme metoder som tidligere.

Dette system kører stadigvæk og de kriminelle kan derfor angribe butikker på nettet og få samtlige kunders informationer, hvilket sandsynligvis er måpden de 41 millioner kreditkort oplysninger er fremskaffet på.

Det nye er at VISA er ved at indføre et "verified by VISA"-princip, som kræver at man godkender betalingen i ens egen netbank før den gennemføres og dette sker på bankens hjemmeside og ikke på butikkens. Dette har den betydning at butikken nu ikke længere ligger inde med alle informationer til at gennemføre en handel på nettet, men det gør maskinerne, som benyttes af de handlende, så dette bliver det nye mål for kriminelle.

Når målet for angrebene rettes mod de handlende, så skal sikkerheden pludselig klares af helt normale mennesker uden viden indenfor dette område, og vi ved jo alle hvor svært folk har med at beskytte sig mod virus, adware spyware og andre former for malware.

Det kunne jo selvfølgelig tænkes at bankerne, så ville gøre en indsat på i det mindste at beskytte deres netbank, men langt de fleste netbanker stoler blindt på en såkaldt nøglefil placeret på brugerens computer.

Imidlertid er den ikke særligt sikker idet en kriminel der har adgang til en brugers computer, via noget af før omtalte malware, typisk også vil have adgang til nøglefilen og dermed kan tilgå netbanken lige så let som brugeren.

En nøglefil beskytter altså ikke brugeren mod denne type angreb, men der er faktisk en løsning! Nogle få banker benytter en såkaldt engangsnøgle, hvilket er en kode, der kun virker en gang.

Jyske Bank benytter et nøglekort, hvor en nøgle skal indtastes for at tilgå eller flytte penge i netbanken, samt til at godkende køb med "Verified by VISA". Dette betyder at kriminelle kan have så godt som fuld kontrol over computeren og alligevel ikke få de nødvendige informationer til at trække penge ud af brugeren.

Så vidt jeg ved benytter Nordea vist en engangskode via en lille elektronisk kodegenerator. Man skal vist dog spørge efter denne feature for at få den, idet man ellers får den normale nøglefil.

Ulempen ved denne metode er at brugeren skal have et lille stykke papir eller elektronik med rundt for at benytte sin netbank, hvilket fylder ca. det samme som selve kreditkortet, og det kan de fleste nok overkomme.

En anden ulempe er at det koster penge for banken. Jyske Bank skal sende et brev med koder når det gamle er ved at være brugt op (et kort indeholder 80 koder), hvilket selvfølgelig koster lidt. Nordea skal betale lidt for elektronik dimsen, som også koster i anskaffelse, men der er så ingen porto omkostninger.

Fordelen er at brugeren/den handlende kan være ret sikker på at kreditkortet ikke kan misbruges, når både "Verified by VISA" og netbank med engangskoder benyttes.

Man kan så begynde med risikoanalyser i forhold til omkostninger, men som bruger er jeg sådan set ligeglad med dem, idet jeg ikke ønsker at stå en dag og mangle et par tusinde kroner til regninger og mad, fordi en eller anden kriminel tror han kan slippe afsted med det og en bank, der ikke lige med det samme tilbagebetaler beløbet fordi det var handlingen var lavet via min egen netbank med min egen kode.

Bankerne siger altid at systemet er sikkert og der ikke er ret mange tilfælde af angreb mod det, men spørgsmålet er om de tilfælde, hvor en brugeres konto er benyttet til at købe en bog på amazon.com eller et andet sted for et relativt lille beløb og som bankerne afviser som et angreb da brugeren ikke kan bevise det, faktisk også tæller med i bankernes statistikker.

Den normale bruger, der kommer ud i den situation, kan ikke rigtigt bevise noget overfor nogen, så det eneste han kan er at skifte bank, men langt de fleste brugere har ingen anelse om at der er andre sikkerhedsmetoder, så de går til en tilfældig bank og får samme løsning igen.

Så længe brugerne er i denne situation vil bankerne kunne affærdige alle anklager og så er der ingen grund til at bruge penge på sikkerheden.

Det vi kan håbe på er at en af de få banker med engangskoder benytter dette i en storstilet reklamekampagne og dermed får sat dette punkt på den offentlige dagsorden.

  • 0
  • 0
Log ind eller Opret konto for at kommentere