Hackere kan gætte dit Visa-korts hemmeligheder på seks sekunder

Det er »skræmmende let« at gætte sig til de nødvendige oplysninger på kreditkortet, siger britiske forskere - og så kan man købe for andres penge uden at have kortet i hånden.

Foto: Nikolai Linares. De fleste danskere har et dankort med »indbygget« Visa-kort - og det er let at gætte sig til de ellers fortrolige oplysninger om udløbsdato og den trecifrede kode på bagsiden. Arkivfoto: Nikolai Linares, Scanpix
Læs mere
Fold sammen

På kun seks sekunder er det muligt at gætte sig til et Visa-kreditkorts nummer, udløbsdato og sikkerhedskode - og få sekunder senere misbruge kortet uden at have det i hånden.

Det har forskere på Newcastle University i Storbritannien påvist, og det er muligt, fordi ingen netværk eller banker er i stand til at opdage, når en hacker gentagne gange forsøger at gætte kreditkortoplysningerne.

Forskerne, der beskriver deres opdagelse i det akademiske tidsskrift »IEEE Security & Privacy«, formåede at omgå alle de sikkerhedsforanstaltninger, som ellers netop skulle beskytte onlinebetalinger mod svindel.

Forskellige gæt til forskellige netsteder

De satte kraftige computere til automatisk og systematisk at sende forskellige varianter af kortenes sikkerhedsdata af sted til forskellige netsteder. Få sekunder senere ramte de plet og kunne få bekræftet alle de nødvendige sikkerhedsoplysninger, fordi beskyttelsessystemerne ikke er bygget til at opdage, hvis man sender forskellige gæt til forskellige netsteder. Tilmed beder netbutikkerne om forskellige oplysninger, så hackeren kan forsøge at gætte en oplysning ad gangen.

Det var tilsyneladende den teknik, som blev brugt, da 20.000 kunder i den britiske Tesco-bank for ikke så længe siden blev lænset for 2,5 millioner pund, svarende til 22,1 millioner kroner.

Tilsvarende forsøg med Mastercard blev opdaget. Her lukkede systemet efter ti forsøg, selv når der blev brugt forskellige netsteder, som ikke havde noget med hinanden at gøre.

Visa-kort er særdeles udbredt i Danmark, hvor de oftest er koblet sammen med dankortet, så man også kan betale i udlandet. Visakortet har sit eget kortnummer, en udløbsdato og den trecifrede kode, som står på bagsiden. Kender man alle tre oplysninger, vil man kunne bestille og betale varer på nettet, også uden fysisk at have selve kortet i hånden.

Skræmmende let

De tre oplysninger er ellers tænkt som en ekstra sikkerhed, ganske som når man bruger sin NemID til at logge på f.eks. sin netbank. Her skal man også først indtaste sig brugernavn (enten CPR-nummeret eller et selvvalgt navn) og sin adgangskode, og som en tredje oplysning skal man bruge sit papkort og finde den rigtige kode.

Forskerne kalder opdagelsen af svindelmulighederne »skræmmende let, hvis man har en bærbar PC og en internetforbindelse«.

»Denne slags angreb udnytter to svagheder, som i sig selv ikke er så alvorligt, men - når de bruges sammen - udgør en alvorlig risiko for hele betalingssystemet,« forklarer Mohammed Ali, Ph.D.-studerende ved Newcastle University og medforfatter til artiklen.

Mange hackere har som udgangspunkt fundet kortnumrene på gyldige kreditkort. Det kræver højst 60 forsøg at gætte udløbsdatoen og op til 1.000 forsøg at regne den trecifrede talkode på bagsiden ud.

Forskernes råd, indtil Visa får løst problemet, er, at man kun anvender ét og samme kort til al onlinehandel, og at man fastlægger et maksimumbeløb, som man betaler pr. gang.

 

Laes mere