Kriminelle kan dræne din konto, mens kortet stadig ligger i din pung
Det kræver blot ét uforsigtigt køb eller en enkelt hævning ved en hæveautomat. Kriminelle er i stand til at tømme din bankkonto, selv når dit kort fysisk befinder sig i din tegnebog.
I flere år har angreb mod betalingskort været stigende – både ved hæveautomater og i netbutikker. Metoderne bliver stadig mere raffinerede og er ofte fuldstændig usynlige for den almindelige bruger. Resultatet er typisk det samme: tusindvis af kroner forsvinder fra kontoen, og kortholderen opdager det først efterfølgende.
Fra primitive aufsætter til usynlige enheder
Eksperter inden for cybersikkerhed advarer om, at de teknologier, kriminelle anvender i dag, er mere sofistikerede end nogensinde før. Hvor det tidligere handlede om grove påsætninger på hæveautomater, bruger angriberne nu miniatureenheder, der er tynde som et kreditkort, eller skadelige scripts gemt i websiders kode. Disse kan stjæle dine kortdata på få sekunder, uden at du aner, at noget overhovedet sker.
Forskere fra europæiske universiteter med speciale i computersikkerhed har fulgt udviklingen på dette område over længere tid. Deres analyser viser, at antallet af kortdatatyverier vokser med titusinder af procent hvert år. Særligt sårbare er mindre netbutikker, som ikke har ressourcer til regelmæssige sikkerhedsrevisioner af deres platforme.
De første former for kortdatatyveri handlede primært om hæveautomater og selvbetjeningsterminaler – for eksempel ved tankstationer. Kriminelle monterede særlige påsætninger, der efterlignede maskinernes originale komponenter. Påsætningen læste data fra magnetstrimlen, mens et miniaturekamera over tastaturet optog den indtastede PIN-kode.
I nyere versioner sender sådanne enheder oplysningerne trådløst via Bluetooth eller lignende forbindelser. Det betyder, at tyven ikke behøver at vende tilbage for selve apparatet – dataene strømmer løbende til hans telefon eller bærbare computer. Politiet i både Danmark og nabolande opdager regelmæssigt grupper, der er specialiseret i denne type kriminalitet.
Hele mekanismen bygger på, at en almindelig person ikke har mulighed for at se forskel på en original del af en hæveautomat og et præcist fremstillet falsk dæksel. Producenterne af disse svigagtige enheder opererer ofte i organiserede internationale netværk og forbedrer konstant deres teknik. Materialerne er i dag så kvalitative, at selv erfarne brugere kan blive snydt.
Europæisk politi gennemfører regelmæssigt aktioner mod organiserede grupper, der er specialiseret i denne type tyveri. Mønsteret er typisk det samme: kompromitterede hæveautomater eller terminaler ved benzinstationer, mens hævningerne og købene foretages i et andet land – ofte på et andet kontinent.
Tyndere end papir – den nye generation af chip-angreb
Kort med chip har gjort simpel kopiering af magnetstrimlen markant sværere. Chippen genererer en unik kode til hver transaktion, så almindelig kloning af de lagrede data sjældent er tilstrækkeligt. Kriminelle har derfor udviklet en mellemliggende løsning: ultra-tynde moduler, der skubbes ind i kortlæseren og er usynlige udefra.
Disse moduler aflytter kommunikationen mellem kortet og terminalen i betalingsøjeblikket. De indsamlede data giver efterfølgende mulighed for at fremstille falske kort med magnetstrimler og bruge dem i lande eller ved hæveautomater, der stadig tillader transaktioner i nødtilstand uden fuld chipverifikation. Forskere fra universiteter i Amsterdam og Zürich har beskrevet adskillige sådanne tilfælde i deres studier om betalingssikkerhed.
Den største fordel for kriminelle i dag er, at deres udstyr er praktisk talt usynligt for personer, der bruger hæveautomater og terminaler. Enhederne er fremstillet med en sådan præcision, at det er næsten umuligt at opdage dem med det blotte øje. Nogle gange er de blot få millimeter tykke og smelter perfekt sammen med automatens originale design.
Et yderligere problem er, at ejere af hæveautomater ofte ikke ved, at en svigagtig enhed er installeret, i uger eller måneder. I den mellemliggende periode kan angriberne indsamle data fra hundredvis til tusindvis af kort. Først når kundeklager over uautoriserede transaktioner begynder at hobe sig op, igangsætter operatøren en undersøgelse.
Det nye slagfelt – kortdatatyveri i netbutikker
En markant tendens de seneste år er, at svindel er flyttet fra fysiske hæveautomater til internettet. Netbutikker er blevet et ideelt mål, fordi én vellykket infektion giver mulighed for at opfange kortdata fra tusindvis af kunder. Cyberkriminelle retter særligt deres angreb mod mindre e-handelsbutikker, som ikke råder over teams af IT-specialister.
Mekanismen er overraskende enkel. Angriberne injicerer et skadeligt script på betalingssiden. Det kan bogstaveligt talt være få linjer JavaScript, der ikke er synlige ved første øjekast. Når kunden indtaster kortdata – nummer, udløbsdato, trecifret sikkerhedskode – sender scriptet dem hemmeligt til en server kontrolleret af angriberne.
Forskere fra universitetet i München analyserede hundredvis af sådanne angreb og fandt, at den gennemsnitlige tid fra en butik kompromitteres til problemet opdages, er seks til otte uger. I den periode kan kriminelle indsamle titusindvis af komplette kortoplysninger. Dataene sælges derefter på underjordiske fora, hvor et komplet sæt oplysninger koster mellem fem og halvtreds dollars afhængigt af kortets kreditgrænse.
- Angribere kompromitterer e-handelsplatforme, der bruges af tusindvis af butikker på én gang
- Skadeligt kode maskerer sig som almindelige analyseværktøjer som Google Analytics
- Kortdata sendes til servere i lande med lempelig lovgivning
- Kriminelle tester stjålne kort med små beløb, inden de foretager store hævninger
- Falske kort bruges efterfølgende i lande med lavere sikkerhedsstandarder
- Butikker opdager ofte angrebet først efter måneder via kundeklager
- Den gennemsnitlige skade pr. berørt kunde udgør tre til otte tusinde kroner
- Politiet anslår, at kun omkring tyve procent af disse angreb opdages
Angreb via leverandører af eksterne tjenester
Mange netbutikker anvender færdige e-handelsplatforme, analyse- og reklameplugins. For kriminelle er det en enorm mulighed. I stedet for at angribe én butik ad gangen forsøger de at overtage kontrollen over leverandøren af et sådant tilføjelsesprogram. Denne tilgang har vist sig at være ekstremt effektiv.
Hvis det lykkes at inficere et værktøj, der bruges af tusindvis af hjemmesider, spredes den skadelige kode øjeblikkeligt til hele netværket af butikker. De seneste år har man dokumenteret angreb, hvor denne metode resulterede i tyveri af hundredvis af millioner kortnumre, herunder fra europæiske butikker. Forskere fra Queen Mary University of London har dokumenteret adskillige sådanne massive kampagner.
Problemet er så meget desto alvorligere, fordi mange ejere af små e-handelsbutikker slet ikke ved, hvilken kode der kører på deres sider. De stoler på plugin- og platformsleverandører uden at foretage deres egne sikkerhedstjek. Når kundedata så lækker, er det sjældent nogen, der hurtigt kan identificere problemets kilde.
Organisationer inden for cybersikkerhed anbefaler butikejere at revidere alle eksterne tjenester regelmæssigt. Men virkeligheden er, at de fleste operatører af mindre e-handelsbutikker hverken har tid eller ressourcer til det. Det skaber de ideelle betingelser for en vedvarende bølge af angreb.
Scripts gemt i billeder og på fejlsider
For at gøre opdagelse sværere finder angriberne stadig mere kreative måder at skjule kode på. Det sker, at skadelige fragmenter er syet ind i sidens små ikoner eller udgiver sig for at være populære analyseværktøjer. Sikkerhedseksperter fra Tel Aviv Universitet har beskrevet snesevis af sådanne tilfælde.
Der er også dokumenteret kampagner, hvor angribere diskret ændrede fejlsiden “404 – side ikke fundet”. Sådan en underside vækker normalt ikke mistanke hos administratorer og overvåges svagt af sikkerhedssystemer. Kunden så et tilsyneladende normalt betalingsformular, og efter indtastning af oplysningerne var kortet allerede kopieret.
Til sidst viste der sig en meddelelse om en “sessionsfejl”, som forklarede behovet for at gentage transaktionen. I brugerens øjne var det blot en irriterende fejlmeddelelse. I virkeligheden kunne kortet netop være endt i en database, der sælges på kriminelle fora. Sådanne databaser indeholder ofte hundredtusindvis af registreringer og handles for tusindvis til hundredtusindvis af euro.
Forskere fra Cybersikkerhedsinstituttet i Tallinn fulgte én sådan database i flere måneder. De fandt, at størstedelen af de stjålne kort blev brugt inden for fireogtyve timer efter datatyveriets. Kriminelle har nemlig interesse i at udnytte kortet så hurtigt som muligt, inden ejeren opdager mistænkelige transaktioner og får det spærret.
Sådan betaler du med kort ved hæveautomat og terminal med mindre risiko
Selv om truslerne lyder skræmmende, nedsætter nogle få enkle vaner markant risikoen for, at nogen opfanger dine kortdata i den fysiske verden. Eksperter inden for betalingssikkerhed er enige om, at forebyggelse er langt mere effektivt end efterfølgende at løse problemer med banken.
Brug kontaktløse betalinger – når du ikke behøver at stikke kortet ind i læseren, mister de fleste fysiske påsætninger deres formål. Dæk altid tastaturet med hånden, når du indtaster PIN-koden, både ved hæveautomaten og ved kassen. Vælg hæveautomater i banker eller indkøbscentre frem for isolerede enheder på gaden, særligt om natten.
Tjek om kappens dele er løse – et bevægeligt panel, fremstikkende kabler eller limspor bør straks få alarmklokkerne til at ringe. På tankstationer bør du bruge terminaler tættest på bygningen, da de typisk er bedre overvåget. Hvis noget virker “anderledes” – kortåbningen ser anderledes ud end sædvanligt, skærmen blinker, eller du ser nyligt påklæbede elementer rundt om tastaturet – så afstå hellere fra transaktionen og skift enhed.
En anden god vane er at tjekke kvitteringen. Hvis beløbet på kvitteringen ikke stemmer overens med det, du så på skærmen, kan det være et tegn på manipulation. Kontakt straks din bank og anmeld mistanken. Jo hurtigere du reagerer, desto større er chancen for at blokere yderligere forsøg på misbrug.
Sikre netköb – enkle regler til hverdagen
Netbutikker er i dag et lige så vigtigt slagfelt mod svindlere som hæveautomater. En stor del af ansvaret hviler på butikkernes egne ejere, men kunderne kan også gøre meget fra deres side. Grundlaget er sund fornuft og et par tekniske foranstaltninger.
En meget effektiv løsning er at have et separat kort udelukkende til netindkøb med en lav dag- og månedlig grænse. Selv hvis dataene falder i hænderne på kriminelle, tømmer de ikke hele din konto. Mange banker tilbyder også såkaldte virtuelle kort – midlertidige engangsnumre. Når et køb er gennemført, holder sådant et nummer op med at fungere.
Slå push- eller SMS-notifikationer til ved enhver korttransaktion. En hurtig besked på telefonen giver dig mulighed for øjeblikkeligt at opdage en belastning, du ikke genkender. Reagerer du hurtigt, har banken større chance for at blokere yderligere betalingsforsøg og hjælpe med tilbagebetaling. Vær desuden opmærksom på browseradvarsler om farlige sider.
Under en betaling bør der ikke dukke mærkelige vinduer op, opfordringer til at genindtaste oplysninger eller til at logge ind i banken via separate pop-up-vinduer. Enhver uventet ændring i betalingsprocessen – et ekstra vindue, en “mærkelig” formular, en atypisk meddelelse – er et signal om at afbryde transaktionen og undersøge butikken nærmere. Det er bedre én gang for meget at tøve end én gang for lidt.
Hvad du skal undgå ved online betalinger
Gem aldrig dit kortnummer i browseren eller i butikkens app, særligt ikke på telefoner brugt på offentlige Wi-Fi-netværk. Tilgå aldrig en betalingsside via links fra mistænkelige sms-beskeder eller e-mails – indtast i stedet butikkens adresse manuelt i browseren. Kontroller, at adressen starter med “https”, og at domænenavnet ikke indeholder stavefejl eller mærkelige endelser.
Vær særligt forsigtig ved “tilbud af århundredet” fra ukendte butikker – det er en hyppig metode til at lokke kortdata ud af folk. Eksperter fra Nationalt Cybersikkerhedscenter anbefaler ikke at handle i butikker, der ikke tydeligt angiver kontaktoplysninger, firmaets adresse og CVR-nummer. Fraværet af disse grundlæggende oplysninger er et klart advarselstegn.
En anden risiko er falske kopier af kendte e-handelsbutikker. Angribere opretter en hjemmeside, der ser næsten identisk ud som originalen til en populær butik, men adressen afviger med et eller to bogstaver. Kunden bemærker ofte ikke forskellen og indtaster sine betalingsoplysninger direkte til svindlerne. Tjek derfor altid URL-adressen omhyggeligt, inden du indtaster følsomme oplysninger.
Handler du fra en mobiltelefon, skal du være ekstra forsigtig. Skærmen er mindre, detaljer er sværere at kontrollere, og folk er typisk mindre årvågne. Alligevel er netop mobile enheder i dag målet for et stigende antal angreb. Brug et opdateret styresystem og installer kun apps fra de officielle butikker Google Play eller App Store.
Hvad netbutikker skal gøre – og hvorfor det betyder noget for kunderne
Operatører af netbutikker har stadig mere detaljerede forpligtelser i forbindelse med beskyttelse af betalingsdata. Aktuelle sikkerhedsstandarder kræver, at butiksejeren præcist ved, hvilken kode der kører på betalingssiden, og fra hvilke eksterne kilder den stammer. Det er ikke blot en teknisk formalitet, men en afgørende beskyttelse for kunderne.
Gode praksisser omfatter blandt andet regelmæssig scanning af filer for mistænkelige scripts, begrænsning af antallet af eksterne plugins samt automatiske alarmer, når en fil på siden ændres uden autorisation. Derved har butikken mulighed for hurtigt at opdage en anomali og blokere yderligere lækager, selv hvis et brud finder sted.
Fra kundernes perspektiv er det værd at vælge mærker, der åbent kommunikerer om de anvendte sikkerhedsforanstaltninger og systemopdateringer. Seriøse butikker informerer jævnligt om PCI DSS-certifikater, brug af kryptering og andre tiltag. Hvis en butik slet ikke taler om sikkerhed, kan det være et advarselstegn.
Organisationer som Foreningen for Elektronisk Handel udgiver anbefalinger til, hvordan butikker bør agere. Men kontrollen med overholdelsen af disse regler er ofte utilstrækkelig. Derfor er det vigtigt, at kunderne selv er årvågne og kun handler hos gennemprøvede sælgere med et godt omdømme.
Hvorfor “usynligt” korttyveri er så lukrativt for kriminelle
Data fra betalingskort er en vare, der handles massevis på kriminelle fora. Afhængigt af land, kreditgrænse og korttype kan et komplet sæt oplysninger koste fra få til snesevis af dollars. Køberne bruger dem til at bestille varer, hæve kontanter i lande med svagere sikkerhed eller til svindel i online spil og digitale tjenester.
Kriminelle angriber sjældent enkeltpersoner målrettet. Det handler om omfang: et script i en populær netbutik kan indsamle hundredtusindvis af kortnumre på få uger. Kun en del af en sådan database udnyttes, men fortjenesten er alligevel enorm. Forskere fra Oxford Universitet anslår, at den gennemsnitlige fortjeneste fra ét stjålet kort udgør hundrede halvtreds til tre hundrede euro.
For den almindelige bruger bliver kombinationen af to elementer afgørende: fornuftig kortanvendelse og regelmæssig overvågning af kontoen. Selv om banken tilbagebetaler de stjålne midler, kan stress og nødvendige forklaringer trække ud i uger. Desuden tilbagebetaler ikke alle banker automatisk – det afhænger af omstændighederne og af, om du har overholdt sikkerhedsreglerne.
En god vane er at gennemgå transaktionshistorikken kortvarigt hvert par dage, helst i bankens mobilapp. Mange opdager de første mistænkelige belastninger først, når de tilfældigvis støder på et kontoudtog. Svindlere “tester” ofte kortet med ubetydelige beløb, inden de slår til med et større køb. En hurtig reaktion på et sådant signal kan redde hele kontoens saldo. Det er heller ikke en dårlig idé at skifte PIN-kode jævnligt og bruge forskellige koder til forskellige kort.
