Management

IT beheer
Online shoppen

Met Visa-creditcard zit je online nu goed fout

Visa en webshops geven klassieke voorbeeld waarom wetgever nu echt moet ingrijpen.

6 december 2016

Visa en webshops geven klassieke voorbeeld waarom wetgever nu echt moet ingrijpen.

Als je de bevinding van onderzoekers even op je laat inwerken, krijg je steeds minder begrip voor de slordigheid van partijen die op legitieme manier aan de consument proberen te verdienen. 6 seconden blijken genoeg om de benodigde betaalinformatie van een creditcard te stelen.

Het is eigenlijk van de gekke dat het bestaat, het lek in online betalen dat wetenschappers van de Newcastle University ontdekten. Zelf spreken ze in hun onderzoeksrapport nog van 'onbewust'. Maar als je leest hoe de diefstal van creditcardinformatie in zijn werk gaat, is de indruk onontkoombaar dat de betrokkenen beter hadden moeten weten.

    Want het gaat zo: eerst stel je een legertje bots samen. Dan bemachtig je de nodige creditcardnummers. Die koop je op de zwarte markt of skim je met een smartphone met near field communication. Desnoods raad je ze. Dat is minder lastig dan het lijkt. Een groot deel van het 16-cijferige nummer wordt immers berekend met het Luhn algoritme - dat bedoeld is vergissingen tegen te gaan.

    Dan verzamel je de adressen van een paar honderd webshops, waarbij je erop let dat die verschillende regels hanteren bij autorisatie van creditcardbetalingen. De onderzoekers namen de 400 grootste webshops uit Alexa's ranglijst naar omzet op de korrel. En presto - met de juiste software kun je dan de autorisatiegegevens raden door gewoon verschillende vervaldata en CVC-codes uit te proberen bij websites die verschillende regels hanteren. Je zoekt dan eerst websites die genoegen nemen met kaartnummer en vervaldatum. Dat kost in de regel 60 pogingen - een creditcard is meestal 60 maanden geldig. Als je die twee gegevens gevalideerd hebt, ga je op zoek naar webshops die ook de CVC-code vragen. Daarvoor zijn 999 pogingen genoeg. Met enig doorzettingsvermogen achterhaal je daarna ook nog de adresinformatie bij de webshops die die informatie vragen voor de betaling te accepteren. Hoe dat allemaal in zijn werk gaat, staat beschreven in het onderzoeksrapport Does the online payment landscape unwittingly facilitate fraud?.

    Ongelimiteerd proberen, dat mag

    Dat betrokkenen zich niet gerealiseerd hebben dat op deze manier creditcardinformatie simpelweg door raden te achterhalen is, dat is nog wel te begrijpen. Maar lastiger te begrijpen is, dat veel webshops het raden wel erg makkelijk maken door nauwelijks grenzen te stellen aan het aantal pogingen dat je mag wagen. Het vereist geen hoger intellect om te begrijpen dat inloggen onveiliger wordt naarmate je een kwaadwillende meer mogelijkheden biedt om combinaties uit te proberen. Sommige webshops accepteren een ongelimiteerd aantal pogingen, andere staan wel 50 toe. Dat zo veel webshops daar dan geen probleem mee hebben bij het autoriseren van creditcards is verbazingwekkend. Hoewel, de webshop heeft er natuurlijk geen last van als een creditcard na afronding van een transactie gekraakt wordt. De goede niet te na gesproken, natuurlijk. Van de 400 websites waren er 58 niet kwetsbaar voor deze aanval.

    Betere beveiliging 'te lastig'

    Je kunt ook vraagtekens zetten bij de beslissing van heel vele webshops om geen gebruik te maken van de extra 3D Secure-verificatietechniek met een inlog rechtstreeks bij de creditcardmaatschappij ter afronding van de transactie. American Express' SafeKey, de ‘Verified by Visa’-techniek [4] en MasterCards SecureCode beschermen tegen deze vorm van raden van creditcardinformatie. Ze zijn echter niet populair bij webshops, omdat ze een afbreukrisico voor de transactie inhouden en dus tot omzetderving kunnen leiden, en ook omdat er kosten mee gemoeid zijn.

    Ook de uitgevers van creditcardinformatie zouden meer kunnen doen, door te registreren of er ongebruikelijk veel transacties met een creditcard worden gedaan. Mastercard doet dat; dat sloot de raadpogingen steeds na 10 keer af, waardoor deze manier van achterhalen van de gegevens ondoenlijk werd. Visa deed dat niet. De systemen van Visa zijn kennelijk niet in staat een ongewoon hoog aantal transacties met een creditcard te  signaleren wanneer deze op verschillende systemen worden gegenereerd. Hoe dat met andere creditcards zit, hebben de wetenschappers niet onderzocht.

    Er is dus wel wat tegen dit raadspelletje te doen. Uitgevers van creditcards zouden maatregelen kunnen nemen om te signaleren of er ongebruikelijk veel transacties met een creditcard worden gedaan, ook als dat vanaf verschillende systemen gebeurt. Uitbaters van webshops zouden een maximum moeten opleggen aan het aantal toegestane pogingen om een betaling per creditcard te doen - dat zou de methode een stuk arbeidsintensiever en daardoor minder aantrekkelijk maken. En gezien de bevindingen van de wetenschappers zou je eigenlijk ook een uniforme wijze van afrekenen met de creditcard moeten afdwingen, bij voorkeur met 3D Secure eraan toegevoegd. Maar dat zijn aanpassingen die niet van vandaag op morgen gerealiseerd zullen zijn. En sommige zullen er wel nooit komen, als de wetgever niet ingrijpt.

    Praktische conclusie met betrekking tot online creditcardbetalingen op dit moment is daarom:

    • Gebruik voor je online-betalingen liefst een aparte creditcard
    • Stel het bestedingsplafond op je creditcard voor online betalingen niet te hoog in
    • Controleer regelmatig of er met je creditcard geen betalingen door anderen worden gedaan
    • Gebruik online geen Visa-card totdat Visa maatregelen heeft genomen - en houd er rekening mee dat andere creditcards ook kwetsbaar kunnen zijn.
    • Wees extra alert op je rekeningoverzicht als je in het verleden online een nu nog geldige VISA-card hebt gebruikt; de kans dat kwaadwillenden dit mechanisme nu uit gaan proberen is natuurlijk groot.
    • Vraag bij je creditcardmaatschappij na wat ze aan dit probleem doet.
    Lees meer over
    Zie ook Management op AG Connect Intelligence
    6
    Reacties
    Mark 07 december 2016 14:11

    @Kees: Hoe veilig je eigen betaalmethoden, iDeal of PayPal zijn, is niet het issue. Het gaat puur om het bezit van een 'onveilige' creditcard, waarvan iemand ergens op de wereld via een willekeurige andere, minder kritische betaalmethode misbruik kan maken.

    Kees 06 december 2016 17:05

    Gelukkig bestaat voor betalen via iDeal dit probleem niet.
    Is PayPal wel veilig?

    Mark 06 december 2016 14:00

    De aanbevelingen om zelf geen online gebruik te maken van een (bepaalde) creditcard helpen niet. Als men de nummers kan raden of skimmen, hoef je zelf nooit online te zijn om bestolen te worden. De enige relevante maatregelen zijn dus: 1. beperk of blokkeer 'onveilige' kaarten en 2. bewaak de rekeningafschriften. Maar ja, hoe realistisch is dat ?

    Erik 06 december 2016 13:53

    Als wetgever kun je creditcard maatschappijen die aan Nederlandse burgers diensten aanbieden regels opleggen.
    Het niet toestaan dat er meer dan 20 pogingen om met een kaart te betalen wordt gedaan in een korte tijd is er daar 1 van. Ook zou die creditcard maatschappij geen diensten moeten verlenen aan webshops die onveilig omgaan met de creditcard gegevens.

    Maar heel simpel zou je de creditcard maatschappij gewoon kunnen laten betalen voor alle fraude gevallen. En normaal gesproken doen ze dat ook/al. Dus dit is dan ook een veel groter probleem voor de creditcard maatschappij dan voor de gebruiker.

    Leo 06 december 2016 12:42

    Voor de aankomende fraudeurs.............
    Wil je weten hoe dit moet ?
    Lees bovenstaande handleiding !

    Erwin 06 december 2016 12:16

    Waarom moet de wetgever ingrijpen ? Het is voor de Nederlandse Wet toch onmogelijk een webshop in Frankrijk te dwingen anders met de acceptatie van cards om te gaan ?
    Klaarblijkelijk wordt er door creditcard maatschappijen nog steeds meer dan genoeg verdiend om de eventuele verliezen door fraude af te kunnen schrijven. En omdat je als kaarthouder de fraude zelf moet bewijzen, en dit zeker voor kleinere bedragen erg omslachtig, tijdrovend en dus prijzig is, zal het in de praktijk pas bij grotere bedragen tot actie van de kaarthouder leiden.
    Dit probleem lost zich pas op als de kosten voor de kaartmaatschappij dermate hoog worden, dat deze fraude-kosten niet meer afgedekt kunnen worden door de winsten (of de belasting-afschrijvingen, want ja, diefstal kan je afschrijven van belastingen)

    Reactie toevoegen