Kender du nogen, der arbejder med betalingskort-svindel i de store banker? Hvis du gør, har vedkommende nok rigeligt at lave i dagligdagen. Nationalbanken opgør i en ny analyse svindlen med digitale betalinger til 627 mio. kr. i 2023. Heraf vedrører knap halvdelen svindel med betalingskort.
Så der er nok at tage fat på, og mon ikke sådan en fraud manager ville sælge sin gamle bedstemor for en sikkerhedsløsning, som præsenterer beløb, valuta og butiksnavn i en sikker operativsystem-dialog, og derefter får kortejeren til at signere disse data med en signeringsnøgle, aktiveret med lokal biometri og hardware-bundet til kortejerens enhed?
Sådan en løsning, Secure Payment Confirmation (SPC), er faktisk standardiseret fra EMVCo og FIDO Alliance for nogle år tilbage, og nu er den også ved at være bredt understøttet af Apple, Google og Microsoft browsere med SPC i WebAuthn.
3-D Secure og SPC.
Betalingskort transaktioner beskyttes i Danmark af 3-D Secure teknologien. Seneste version af standarden omfatter SPC, som understøtter anvendelse af FIDO-nøgler til signering af betalingstransaktioner igennem WebAuthn. For brugeren kan det se således ud:
Butikkens navn, betalingsmetoden, beløb og valuta vises altså i en operativsystem-dialog over browservinduet, her vist på en Windows enhed. Når man klikker ”Verificer”, får man den almindelige Windows Hello dialog:
Det er jo stærkt. Så er kreditkortudbyderne jo temmelig sikker på, at transaktionens detaljer er ”vist på glasset” ude hos kortejeren, og at kortejer faktisk også har godkendt transaktionen med lokal biometri eller pinkode. Det er vist svært at gøre bedre?
Der er selvfølgelig nogle forudsætninger som skal være på plads, herunder at vi har en sikker registrering af kortejers enheder, sådan at svindlere ikke bare kan registrere sig med ofrenes kreditkortdetaljer, for så er vi jo lige vidt.
Man kan selv prøve brugeroplevelsen i denne Glitch demo.
Når man tænker på, hvor kreditkortområdet kommer fra rent sikkerhedsmæssigt, så begynder det at ligne noget, som kan begrænse en af svindlernes største finansieringskilder.
Kreditkortenes lange vej til sikkerhed på Internet.
Kreditkortområdet har jo ellers levet en omtumlet tilværelse på Internettet, siden eCommerce blev et must for kortselskaberne sidst i halvfemserne. Jeg har ved flere konferencer muntret mig med at fremdrage de tidlige anvendelser af kreditkort på Internet, som noget af det mest håbløse man kunne forestille sig rent sikkerhedsmæssigt: Du giver et 16 cifret fast tal til dine kunder, som så skal give tallet videre til alle de hjemmesider, hvor de gerne vil handle. I øvrigt optrådte kortnummeret i starten også på butikkernes fysiske kvitteringer fra ”Flusmækkere”, som nogle af os kan huske, (en dingenot som butikker brugte til at lave en fysisk kopi af forsiden af et kreditkort). Ret hurtigt kom der ekstra “sikkerhed” ved kortbetalinger på Internet, sådan at brugerne også skulle indtaste tre fast cifre (CVC) fra bagsiden af kreditkortet. Disse tre cifre var trods alt ikke (altid) på de fysiske kvitteringer 😊. Men begrebet “shared secret” fik da en noget anden betydning, når vi var så mange om at dele.
Siden har kreditkortbranchen og teknologileverandøren forsøgt at etablere mange forskellige sikkerhedsløsninger, som skulle reparere på det sårbare design, og de mange tyverier af kreditkort-databaser rundt omkring. Branchens standhaftighed omkring de forskellige sikkerhedstiltag målrettet slutbrugerne har dog været begrænset af, at man for alt i verden ikke ville lægge hindringer i vejen for folk, der gerne vil bruge deres penge!
Her 25 år efter, er man så endelig ved at kunne få sikkerheden forlænget det sidste svære stykke ud til kundernes skærme. Forudsætningerne var i første omgang udviklingen af 3-D Secure og samspillet med sikker autentifikation i netbanker og de nationale eID løsninger. Og som det nyeste vigtige element kommer nu den dybe integration i operativsystemer, hardware og browsere, så vi får sikkerheden helt ud på glasset hos kortejeren!
EMVCo og FIDO Alliancen fortsætter i øvrigt samarbejdet, og har senest specificeret en videreudbygning, som giver mulighed for flere implementeringsmodeller. Umiddelbart ser SPC-modellen dog ud til at passe fint til den nuværende danske kortbetalingsinfrastruktur.
Markedet for gamle bedstemødre?
Så hvis du kender en fraud-manager i en af de store banker, kan du godt give hende et tip om, at det er nu, hun skal have sat sin gamle bedstemor til salg, så hun kan få fat i det her nye SPC til sine kunder.
Men hvem køber i det hele taget gamle bedstemødre nu om dage? Som det kan ses herunder, er der måske stadig nogen aktivitet på markedet. Pas dog på, hvis Store Klaus gerne vil have dit kreditkortnummer, når I forhandler prisen på bedstemor.
