Samfunnsinformatikk
... mer enn bare Marx!
Pensum:
IT og svindel med kredittkort
Svært mange av oss har én eller flere ganger handlet på nettet, men mange anser fortsatt netthandel som utrygt. Men er det så skummelt å bruke kredittkort på Internett?
De vanligste måtene å få tak i opplysninger om andres kredittkort på er for eksempel ved å kopiere opplysninger når kortet brukes i butikken, minibanken eller på Internett, eller ved å stjele det. Kredittkortbedragerier rammes av straffeloven § 270, jf. § 271.
VISA har sammen med andre internasjonale aktører utviklet e-handelsstandarden SET (Secure Electronic Transactions). Kort forklart vil dette si at hver og en av oss handler med et unikt digitalt sertifikat. På den måten er sikkerheten garantert både for oss og butikken/nettstedet.
Handler du på
norske nettsteder bør du se etter Nsafe-merket — en merkevareordning
som er ment å garantere at nettstedet er konstruert for sikker netthandel.
VISA arbeider også med en generell kravliste til nettbutikker som
vil sikre brukerne mot de mest grunnleggende sikkerhetsriskene, deriblant
brannmurer for å sikre at uvedkommende ikke bryter seg inn i kredittkortnummerdatabasene.
Når du er ute for å handle på nett er det lurt å
tenke på følgende:
1. Gi
aldri ut kredittkortnummeret ditt, med mindre du er 100 % sikker på
at firmaet er seriøst.
2. Ikke oppgi kredittkortnummeret ditt på pornosider.
3. Oppgi aldri kredittkortnummeret ditt for å bekrefte alderen din.
Dette er alltid ren bløff.
4. Se etter om sidene du oppgir konfidensiell informasjon på er
sikre sider (se etter hengelåsikonet i bunnen av nettleserbildet.
Er hengelåsen lukket, er siden sikker). Informasjonen som sendes
til og fra sikre sider blir kryptert.
5. Har du mistanke om at noe er galt eller om at du er blitt forsøkt
svindlet, så nøl ikke med å kontakte banken din.
6. Bruk sunn fornuft!
Hva kan så uvedkommende gjøre med den informasjon du sender ut når du handler via Internett? Den informasjon du sender ut er kontonummer og betalingskortsnummer, og kanskje også din kode til konto og betalingskort. Dersom denne informasjonen blir snappet opp, kan uvedkommende benytte det til å tappe kontoen din eller handle varer og tjenester med kredittkortet ditt.
Men hva så? Hva betyr dette for deg, bortsett fra at kontoen din plutselig er tom?
Nå er det slik at kredittkortselskapene/bankene dekker deler av tap (minus egenandel) dersom du gir beskjed med en gang om at kortet ditt er misbrukt. Butikkene du handler med dekker noe av tapet dersom sikkerhetsbristen kan påvises hos dem. Du som kunde slipper stort sett med ubehaget, med mindre du har opptrådt uaktsomt. Og her ligger selvsagt kimen til et problem for deg - hva er uaktsomt? Når du handler på Internett er det DU som velger å stole på en nettbutikk. Hva om dennes websider ikke var kryptert? Hva om butikken egentlig var useriøs og du ikke foretok en bakgrunnssjekk før du handlet? Lar du husets tenåring handle på nett med ditt kredittkort, bare fordi hun vet mer om data enn deg?
Kontrakten du fikk
sammen med kredittkortet gir som regel en grei oversikt over hva ditt
kortselskap, eller bank, anser som uaktsomt.
Betyr så dette at å handle på Internett er utrygt? Statistisk
sett er det nok atskillig farligere å gi fra seg kredittkortet til
en kelner i utlandet og la ham, eller henne, ta det med ut på bakrommet.
På samme måte er det en større risiko for å bli
ranet når du tar ut penger av minibanken, enn at noen flytter penger
fra kontoen din. Men slike forflytninger har forekommet, og mens bankene
tidligere benektet at slikt var mulig, har de i de senere år innrømmet
at sikkerheten for bankkort ikke er god nok. Dette er ingen overraskelse
for meg. Da jeg skrev min hovedfagsoppgave om sikkerhetssystemer for minibankkort
(1990), opplyste en sikkerhetssjef i en av våre banker på
telefonen at de overhode ikke kunne garantere sikkerheten i minibankkort.
På samme måte kan ingen garantere sikkerheten ved betaling
på Internett.
Sikkerhet koster penger,
og den regningen vil vi kortkunder måtte betale. Men vil vi det?
For slik svindel skjer da aldri oss? Og siden kortselskaper og banker
er i bransjen for å tjene penger, helst uten altfor store egenkostnader,
vil sikrere teknologi ikke være noe som kommer for tilbydernes egen
regning. Eller? Hva mener du? Er det kanskje slik at gode sikkerhetsløsninger
automatisk blir tilbudt brukerne for å holde på kundene? Eller
er det så mange av oss som synes kredittkort og bankkort er så
lettvint, at vi bruker dem uansett?
Da jeg drev på med mitt hovedfag diskuterte man magnetstripekort
kontra smartkort. Dette var altså i perioden 1989-90, og nå
i 2004 er det fortsatt magnetstripekort som benyttes.
Smartkort er kort der et micro-chip benyttes i stede for magnetstripe. Smartkortene skal være bedre sikret mot kopiering og annet misbruk, og kan dessuten lagre tusen ganger mer informasjon enn magnetstripekortene.
Dette med kopiering og misbruk har alltid vært et problem med magnetstripekortene, og man har forsøkt å unngå dette ved å gi hvert kort et beskyttet magnetisk "fingeravtrykk". Innenfor dette området er det i hovedsak to metoder (Lipis:21-20):
1. Magnetiske blekkstreker
Dette er magnetiske mønstre som blir trykket inn i selve plastkortet.
I tillegg kan kortet inneholde varme- og trykksensitive materialer som
hindrer forsøk på å kopiere de magnetiske strekene.
Tidligere kunne magnetstriper kopieres ved blant annet bruk av strykejern.
2. Ikke-dødelige
radioaktive isotoper
Denne metoden går ut på å legge slike isotoper inn i
plastkortet, noe som vil gi hvert kort et unikt sett med identifikasjonsegenskaper.
Disse kan så maskinleses og verifiseres, samtidig som de vil være
umulig å kopiere.
Det vanligste i dag er å legge inn kryptografiske verdier som verifiserer at kortet er ekte og ikke manipulert. Disse ligger i det såkalte "Spor 3" på magnetstripen.
Smartkort kan beskyttes på andre måter, som for eksempel ved hjelp av biometriske systemer (se forelesningene om biometri 1 og 2).
Norsk banknæring regner med at man innen 2005 i hovedsak vil ha erstattet de nåværende kort med Smartkort. Men hvorfor har dette tatt så lang tid?
Vi skal ikke gå nærmere inn på dette temaet i kurset. Som samfunnsinformatikere skal dere vite at problematikken er mer reell en det folk flest tror. Når vi benytter kredittkort på Internett bør dette helst være et klart valg, og en kalkulert risiko, vi tar på bakgrunn av kunnskap og ikke bare fordi venner og bekjente mener det er trygt.
Her er en samling lenker som tar opp problematikken. Sommeren 2004 fikk vi en liten oppblomstring av svindeltilfeller. Legg merke til bruken av sosiale knep, samt annen kartlegging via Trojanske hester (se også forelesning om Personellsikkerhet). Hva sier det oss om trusselbildet i forbindelse med kredittkort og Internett? Hvor er den reelle sikkerhetsbristen?:
http://www.digi.no/php/art.php?id=107232
http://itavisen.no/art/1304092.html
http://itavisen.no/art/1304011.html
http://www.nrk.no/nyheter/okonomi/3952161.html
http://www.dagbladet.no/dinside/2002/12/11/356061.html
http://www.itavisen.no/art/1303083.html
http://pub.tv2.no/nettavisen/it/article166702.ece
http://www.visa.no/ny/visa/article.jhtml?articleID=2646
http://www.dagbladet.no/dinside/2002/06/24/339635.html
http://www.digi.no/php/art.php?id=37087
http://www.bsk.no/kortsystemet.htm#magnetstripen
http://forbrukerportalen.no/Emner/bankkort
http://forbrukerportalen.no/Emner/netthandel
http://www.theregister.co.uk/2004/08/13/clueless_chip_and_pin/
Ellers er sikkerhetsinformasjon noe vi finner i de fora og diskusjonsgrupper som behandler denne type tema, og ikke på generelle diskusjonsgrupper.
Sjekk ut:
Comp.Security
It.sikkerhet.diverse
(kredittkort
på nett)
InfoWar
GRC Discussions
