Väldig många som jobbar med IT-säkerhet är naiva. Lösningarna skall tydligen vara enkla och användarvänliga för tjyvarna. De som är mest naiva är bankanställda och IT konsulter.
"Bara 43 procent av sajterna kräver CVC-kod
Det tar bara sekunder för bedragaren att komma över offrets kortuppgifter. Sen kan bedragaren antingen sälja uppgifterna, eller använda dem för att själv handla på någon av alla sajter som inte kräver den 3-siffriga CVC-koden på kortets baksida.
Kortföretaget American Express har gjort en utredning som visar att 43 procent av alla e-handelssajter i USA inte kräver någon CVC-kod.
Vissa av de bedragare som använder sig av metoden har appar i sina telefoner som de kan använda för att skanna sina offers kort, även om de ligger i plånboken. Andra placerar skimningsutrustning på bankomater."
"Bara 43 procent av sajterna kräver CVC-kod
Det tar bara sekunder för bedragaren att komma över offrets kortuppgifter. Sen kan bedragaren antingen sälja uppgifterna, eller använda dem för att själv handla på någon av alla sajter som inte kräver den 3-siffriga CVC-koden på kortets baksida.
Kortföretaget American Express har gjort en utredning som visar att 43 procent av alla e-handelssajter i USA inte kräver någon CVC-kod.
Vissa av de bedragare som använder sig av metoden har appar i sina telefoner som de kan använda för att skanna sina offers kort, även om de ligger i plånboken. Andra placerar skimningsutrustning på bankomater."
Jag skulle nog snarare säga att American express etc är medvetna om riskerna men accepterar de. Cvc är vi vana med att det står på baksidan av kortet, men på mitt Amex stod det även på framsidan...
I USA är det ovanligt att man använder PIN-kod till korten. På bensinstationer brukar man behöva betala inne i butiken (förskott) om man inte har amerikanskt kontokort. Med amerikanskt kort kan man betala vid pumpen genom att som kod ange ditt postnummer!
Den handlare som kräver PIN tappar kunder.
Man ser att det blir en hel del bedrägerier, men räknar ändå hem det. Säg att man har bedrägerier för 100 miljoner dollar varje år (påhittad siffra). Man räknar med att kunderna kommer minska användningen av korten om man inför en säkrare lösning då den normalt är krångligare att använda. Om minskningen gör att man tjänar 200 miljoner dollar mindre varje år så genomför man den inte. Så enkelt är det.
Att skylla på att personalen är naiv eller it-konsulterna är det är inte helt rättvis. Som konsult inom IT-säkerhet rekommenderar jag olika lösningar till olika kunder och det är inte alltid mina förslag accepteras ändå.
I USA är det ovanligt att man använder PIN-kod till korten. På bensinstationer brukar man behöva betala inne i butiken (förskott) om man inte har amerikanskt kontokort. Med amerikanskt kort kan man betala vid pumpen genom att som kod ange ditt postnummer!
Den handlare som kräver PIN tappar kunder.
Man ser att det blir en hel del bedrägerier, men räknar ändå hem det. Säg att man har bedrägerier för 100 miljoner dollar varje år (påhittad siffra). Man räknar med att kunderna kommer minska användningen av korten om man inför en säkrare lösning då den normalt är krångligare att använda. Om minskningen gör att man tjänar 200 miljoner dollar mindre varje år så genomför man den inte. Så enkelt är det.
Att skylla på att personalen är naiv eller it-konsulterna är det är inte helt rättvis. Som konsult inom IT-säkerhet rekommenderar jag olika lösningar till olika kunder och det är inte alltid mina förslag accepteras ändå.
Kostnaden för samhället pga av kriminalitet är alldeles för stort för att t.ex. Amex skall få hålla på sådär. Tvinga de att redovisa kostnaden i kvartalsrapporten.Fairlane skrev:
Jag tror du befinner dig i fel land för att ställa de kraven på AMEX...
Bara förbjuda Amex i Sverige då.
Samma med Visa och Mastercard....
Vi kanske kan gå tillbaks till endast kontanter så blir det knepigt för de kriminella? Har du räknat på samhällets kostnader för det?
Vi kanske kan gå tillbaks till endast kontanter så blir det knepigt för de kriminella? Har du räknat på samhällets kostnader för det?
Låter som om du inte är så förändringsbenägen.
Jodå, jag kan gärna ha förändringar, men de ska vara genomtänkta och vettiga. Att förbjuda AMEX, Visa och Mastercard för att det går att missbruka är inte genomtänkt och vettigt enligt mig. Det har inte heller något att göra med BankID eller att folk skriver sig på andras adress.
Samhällets kostnader för bedrägerier är förvisso hög, men det är inte säkert att det blir en lägre kostnad om man stärker skyddet. I all form av säkerhet måste man väga fördelar mot nackdelar (gäller inte bara säkerhet för övrigt). Det finns inget helt säkert sätt och ökar man säkerheten någonstans så kommer angreppet på ett annat ställe. Om man ökar säkerheten till en nivå där angreppen blir så svåra och dyra att de inte längre genomförs så får man två saker:
1. De kriminella angriper något annat (det ser vi hela tiden)
2. Man får ett system som är snudd på omöjligt att använda för den legitima brukaren.
Samhällets kostnader för bedrägerier är förvisso hög, men det är inte säkert att det blir en lägre kostnad om man stärker skyddet. I all form av säkerhet måste man väga fördelar mot nackdelar (gäller inte bara säkerhet för övrigt). Det finns inget helt säkert sätt och ökar man säkerheten någonstans så kommer angreppet på ett annat ställe. Om man ökar säkerheten till en nivå där angreppen blir så svåra och dyra att de inte längre genomförs så får man två saker:
1. De kriminella angriper något annat (det ser vi hela tiden)
2. Man får ett system som är snudd på omöjligt att använda för den legitima brukaren.
hsd
Medlem
· Kalmar län, Östra Götaland
· 6 816 inlägg
hsd
Medlem
- Kalmar län, Östra Götaland
- 6 816 inlägg
Förbjud rfid-chipen i korten eller lagstadga att bankerna som ger ut rfidcgip-kort måste stå för alla omkostnader för den enskilda kunden
Förbud eller lagstadgande kring enskilda tekniker brukar sällan vara rätt väg att gå. Utvecklingen fortsätter och lagen hinner inte med. Då är det bättre med krav på information om risker, och ge kunderna en valmöjligheter att välja kort utan chip.
Rent generellt brukar väl bankerna ersätta om man inte delat ut sina uppgifter eller varit ovarsam med dem?
Rent generellt brukar väl bankerna ersätta om man inte delat ut sina uppgifter eller varit ovarsam med dem?
Jag har nfc i kortet och det känns osäkert. Jag använder den dock gladeligen i telefonen med samsung pay
Tja, många som jobbar med it-säkerhet är inkompetenta.
"Svenska privatpersoners samtal till Vårdguiden har funnits öppet tillgängliga på nätet. Ljudfilerna innehåller känsliga uppgifter om sjukdomar och diagnoser, rapporterar Computer Sweden."
"Svenska privatpersoners samtal till Vårdguiden har funnits öppet tillgängliga på nätet. Ljudfilerna innehåller känsliga uppgifter om sjukdomar och diagnoser, rapporterar Computer Sweden."
Min gissning är att ingen som kan något om IT-säkerhet har varit involverad i arbetet, alternativt att det som rekommenderats av IT-säkerhetsexperten helt negligerats.
Jag har sett journalisten som varit ungefär lika lyckade säkerhetsmässigt. All information i journalerna lagrades som rena textfiler på en server. Det fanns två sätt att nå informationen:
1. Genom journalsystemet, då det krävdes smartcard-inloggning etc
2. Genom att helt enkelt läsa filerna på servern, vilket bara krävde åtkomst till servern.
Den senare vägen skapade inga loggar heller.
Jag påpekade detta för leverantören av journalsystemet och fick bara en axelryckning och ett "det är ingen som kravställt att det ska skyddas på servern". Företaget som levererade journalsystemet var bra på att programmera men kunde inget om säkerhet och beställaren hade missat.
Jag har även varit med om att man gjort penetrationstester på ett system som skulle produktionssättas (bra), men när testerna visade en brist så valde man att sjösätta ändå och satte fart på utveckling av en fix.
Att gnälla på den som jobbar med IT-säkerhet i detta läge är ungefär som att påstå att elektriker generellt är klåpare för att någon som inte är elektriker kopplar in en livsfarlig lösning.
Däremot är finns det såklart även inom säkerhetsområdet folk som inte är så duktiga.
Jag har sett journalisten som varit ungefär lika lyckade säkerhetsmässigt. All information i journalerna lagrades som rena textfiler på en server. Det fanns två sätt att nå informationen:
1. Genom journalsystemet, då det krävdes smartcard-inloggning etc
2. Genom att helt enkelt läsa filerna på servern, vilket bara krävde åtkomst till servern.
Den senare vägen skapade inga loggar heller.
Jag påpekade detta för leverantören av journalsystemet och fick bara en axelryckning och ett "det är ingen som kravställt att det ska skyddas på servern". Företaget som levererade journalsystemet var bra på att programmera men kunde inget om säkerhet och beställaren hade missat.
Jag har även varit med om att man gjort penetrationstester på ett system som skulle produktionssättas (bra), men när testerna visade en brist så valde man att sjösätta ändå och satte fart på utveckling av en fix.
Att gnälla på den som jobbar med IT-säkerhet i detta läge är ungefär som att påstå att elektriker generellt är klåpare för att någon som inte är elektriker kopplar in en livsfarlig lösning.
Däremot är finns det såklart även inom säkerhetsområdet folk som inte är så duktiga.