Verified by VISA och kapprustning inom IT-säkerhet

Ett blogginlägg hos Optinet satte fingret på den kapprustning och utveckling av offensiva kontra defensiva metoder inom IT-säkerhet. (Ja, jag är medveten om att det inte bara gäller IT-säkerhet, utan generellt. Folk anpassar sig till förutsättningarna och försöker hitta nya metoder och vägar att nå sina mål.)

Som ett sätt att öka säkerheten vid kortbetalningar på Internet har VISA och sedan andra kreditkortsbolag infört ett system kallat 3-D Secure. Systemet bygger på att kopla tre domäner till varandra (därav namnet 3-D) – Domänen för mottagaren av betalningen, domänen för utbetalande institut och domänen för den som tillhandahåller transaktionen. De olika kortföretagen har sedan lanserat systemet under olika namn, ex Verified by VISA eller MasterCard SecureCode.

För dig som användare  märks systemet genom att du hamnar på en sida som ser ut ungefär så här (om du använder VISA):

Verified by VISA
Verified by VISA

Som användare får du mata in ett lösenord för att transaktionen skall accepteras. Lösenordet har du tidigare varit tvungen att registerera hos din kortutgivare – din bank eller liknande.

Säkerheten hos kreditkorten byggde från början på enbart kreditkortsnummer och namnet till kortinnehavaren samt viss sidoinformation som datum.  Nästa steg var att införa säkerhetskoder som inte är inpräglade i kortet och oftast ej heller finns lagrat i magnetremsan (kallas Card Security Code eller CVV). Men fortfarande är informationen som behövs för att verifiera en transaktion tillgänglig för den som kommer över informationen på det fysiska kortet. Det är bland annat detta Secure-3D ändrar på (så vida du inte har lösenordet skrivet på kortet).

Bedrägerierna mot kort har också utvecklats (och drivit fram de nya metoderna). Från början plockades kortnummer och information från prägligen genom att samla in karbonpapper och kvitton. När detta försvårades genom koderna på baksidan dök skimming upp och har blivit allt mer avancerad. I dag är korten ofta utrustade med inbyggda chip som tillsammans med PIN-kod ska höja säkerheten lokalt och skydda mot skimming. Tyvärr är protokollet som används i Chip+PIN trasigt, vilket öppnar för lokala bedrägerier med stulna kort.

Blogginlägget Verify by VISA-bedrägeri visar att skurkarna är i full gång med att försöka gå runt även Secure-3D-skyddet. I det här fallet handlar det om rent phishing via mail:

Phising mot Verified by VISA
Phising mot Verified by VISA

Texten ovan är vad som skickats ut till användare i mail. Man försöker uppebarligen får det att se ut att komma från kortföretagen och vill få dig att lämna ut lösenordet. Kallas för Phising, eller när det är riktat direkt mot en enskild måltavla Spear Phising.

För att denna attack ska lyckas krävs naturligtvis att skurkarna även har kortnummer, namn, utgångsdatum och Card Security Cocde. Men det hindrar dom inte från att försöka. Och även om dom inte själva har kortinformationen är ett lösenord i sig värt pengar på den svarta marknaden.

Bloggpostningen är värd att läs och har många bra tips. Jag vill dock upprepa det viktigaste av dom:

Din bank eller kreditkortsleverantör kommer aldrig under några som helst omständigheter att via mail fråga om ditt lösenord eller be dig att nollställa det. De kommer inte heller att fråga om ditt kortnummer. Detta är det enda man behöver komma ihåg för att inte bli lurad i denna typ av bedrägeri.

Som användare blir det allt fler moment och information som ska tillhandahållas. Men än så länge finns det (så vitt jag vet) ingen ny teknisk lösning som ger både högre säkerhet och enklare användning för denna typ av transaktioner.

2 reaktioner på ”Verified by VISA och kapprustning inom IT-säkerhet

  1. Verified by VISA är djävulens påfund!

    Jag törs nog säga att mina webköp har gått ner med ~70%. Antingen har jag inte den där jävla dosan med mig, eller så orkar jag inte leta på den. Av de sista 30% så står nog PayPal för 9/10 betalningar.

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *

Följande HTML-taggar och attribut är tillåtna: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>