Bankerne og betalingskortselskaberne er begyndt at udsende de nye såkaldte kontaktløse kort, der anvender samme teknologi som f.eks. Rejsekortet, og de har i deres uendelige visdom besluttet at droppe PIN-koden til små-betalinger under 200 kr.
Det er jo slemt nok at de bare gør den slags, og sørme om de ikke har den frækhed at sende os disse usikre kort uden at have spurgt os om vi er interesserede først, min mor fik f.eks. et fra MasterCard og hun fattede ganske ikke enkelt hvad de talte om.
Ekstra Bladet har så demonstreret at man med en mobilapp kan aflæse hvad der svarer til forsiden af et kontaktløst kort, dog ikke det navn der er trykt på og de får heller ikke adgang til bagsiden af kortet, men det viser sig at f.eks. Amazon.com ikke kræver CVC koden, de tre tal der står på bagsinden af et betalingskort og som giver en ekstra sikkerhed når man handler på nettet.
Jeg har selv testet at der ikke spørges efter CVC når man opretter sit betalingskort på Amazon!
Dette gælder jo nok en hel del netbutikker, og det er en MEGET større skandale end jeg havde fantasi til at forestille mig.
Og her er hvad engelsk Wikipedia skriver:
It is not mandatory for a merchant to require the security code for making a transaction, hence the card may still be prone to fraud even if only its number is known to phishers.
Wikipedia contributors, “Card security code,” Wikipedia, The Free Encyclopedia, https://en.wikipedia.org/w/index.php?title=Card_security_code&oldid=676859636 (accessed August 30, 2015).
Nets skriver dog at det er et krav at bruge CVC i forbindelse med netbetalinger, men vi er jo ligevidt hvis det ikke er et generelt krav i udlandet og f.eks. hos store kanoner som Amazon.
Det Ekstra Bladet har demonstreret er, at allerede kendte svagheder i netbutikker, nu giver yderligere muligheder for misbrug, da det nu er blevet alt for let af aflure kortoplysninger efter indførslen af de kontaktløse kort, og der er ingen tvivl om at aflurede betalingskortoplysninger bliver handlet.
Jeg har dog ikke prøvet at gennemføre et køb hos Amazon, men det har Ekstra Bladet, og der blev IKKE spurgt efter CVC koden, kun navnet, og Ekstra Bladet demonstrerede også at navnet på forsiden ikke bliver valideret når man opretter kortet.
Jeg har i øvrigt testet at man kan oprette betalingskort uden at opgive CVC koden både hos Amazon.com og Amazon.co.uk, så det er ikke et rent amerikansk problem.
For at vende tilbage til udfordringen med de kontaktløse kort, så synes jeg også det er underligt, at man så let kan aflæse de basale oplysninger på kortet, nemlig i såkaldt klartekst (menneskelæsbart). Det er jo ikke hak mere sikkert end den gode gamle magnetstribe, og jeg spørger mig selv om det ville være raketvidenskab at undgå klartekst?
Bankerne kan naturligvis forsvare sig med at det er samme teknologi som Rejsekortet, og det har vi jo accepteret gennem et andet diktat! Jeg synes da det er praktisk med kontaktløse betalinger, selv om det virker ganske unødvendigt på mig, det er da ikke meget tid der spares ved ikke at have PIN-koder og sikkerhedsrisikoen er efter min mening for høj.
I øvrigt er det også en skandale at Rejsekortet sender aktiverede rejsekort med posten, jeg håber ikke at disse kort også er det når de sender dem (tror jeg bestemt ikke, bankerne har, trods alt, meget mere styr på det end Rejsekortet har).
Men da det egentlig handler om noget helt andet end usikre kort, nemlig at nethandel er meget mere usikker end jeg var klar over, så er mit løsningsforlag dette:
Gør det muligt at bede ens bank om at blokere for ens betalingskort til indkøb i netbutikker, der ikke kræver CVC-koden. Mon ikke butikkerne så retter ind!
Tjek også dette Facebook-opslag:
Lene Andersen spørger om Presseansvarlig i Nets Ulrik Marschall er idiot?Næh, han mener det faktisk helt alvorligt, så…
Posted by Kim Bach on Sunday, 30 August 2015
Også her:
Ny artikel på Kim Bach . Org: "Skandaløst: Nethandel er komplet usikker, selv Amazon kræver ikke CVC ved handel"
Posted by Kim Bach on Sunday, 30 August 2015