View article…

SFs sajt blev bedragarens vapen

Flera svenska sajter används för att ta fram information om kontokort. En kontokortskund drabbades nyligen av ett bedrägeri som konstade honom 15 000 kronor sedan cvv-koden knäckts.

Den som drabbades av kontokortsbedrägeriet berättade för en kollega om det inträffade. Eftersom kollegan är systemutvecklare började han av eget intresse att undersöka hur hackaren hade gått till väga.

På kontoutdraget framgick att hackarna först hade gjort ett köp för mindre än 100 kronor på SF Bios sajt, innan de shoppade loss ordentligt.

Från den sajten verkade hackaren ha kunnat ta reda på kreditkortsuppgifter. Efter ett manuellt test på sajten ifråga genom att mata in ett giltigt kreditkortsnummer och prova olika cvv-koder visade det sig att testet kunde göras cirka 30 gånger från samma ip-adress utan att kortet spärrades. Slutsatsen är att det i praktiken är möjligt för hackare att skriva ett program som automatiskt provar sig fram till rätt cvv-kod.

Thomas Runfors, informationschef på SF Bio, säger att det är första gången han har hört talas om det här.

– Det är aldrig roligt. Vi följer de rekommendationer vi har fått gällande säkerhet.

– Men är det inte en bra lösning tycker jag att det kan vara aktuellt att byta transaktionsbolag och bank, säger han.

SF Bio har sålt biljetter via webben sedan 2001 och av nio miljoner sålda biljetter per år säljs 20 procent on¬line. Mattias Lannegren som är systemsansvarig säger att han har hört från polisen att bedragare gör så kallade testköp på sajter som deras.

Att de fiskar ny information om kontokort är dock nytt för honom.

– Det är tekniskt möjligt att lägga in en spärr på hur många försök man kan få med cvv-koden, och nu kommer vi att göra det. Vi vill ju alltid skydda våra konsumenter i den mån det går, säger Mattias Lannegren.

Enligt Svensk Handels säkerhetsexpert Dick Malmlund finns det inga regler för hur många gånger en felaktig kod får slås i butiker. Mellan butik och bank finns det dock en kommunikationskedja så att alla försök registreras på båda sidor.

– Det vore rimligt att butiken hade någon form av försöksspärr, säger Dick Malmlund.
Källa: http://www.idg.se/2.1085/1.166255

file://///S – som själv använder e-kort om det behöver handlas…