Man skulle kunna tro att de betalkort vi använder idag är säkra. Det stämmer att de innehåller många säkerhetsfunktioner som tillkommit under åren, men tyvärr är dessa funktioner inte till för att hålla ditt kort säkert.
Oligopolet EMV
De tre största utgivarna av betalkort är Europay, Mastercard och Visa. De har tillsammans skapat en standard som kallas EMV efter deras initialer och den används av så gott som alla betalkort i världen. Har du ett betalkort – kredit eller debit spelar ingen roll – så är det med överväldigande sannolikhet ett EMV-kort. Genom den standarden har de bildat ett oligopol som styr hur världens betalkortstransaktioner går till.
Magnetremsor och chip
Från första början hade korten bara sitt kortnummer i präglade siffror på framsidan. Präglingen gjorde att man kunde kopiera informationen från kortet med karbonpapper vid betalningar. En betalning hanterades genom att kortets uppgifter kopierades, och uppgifter om hur mycket som skulle debiteras skrevs ned.
För att förenkla processen fick de sedan en magnetremsa. Magnetremsan innehåller framförallt samma information som framsidan på kortet: kortnummer och giltighetstid. Det gör att man enkelt kan läsa av kortet elektroniskt utan att behöva karbonpapper.
Sen kom chipet, och det innehåller flera avancerade funktioner, men också en väldigt enkel: det går att via chipet läsa samma information som finns i magnetremsan och på framsidan av kortet. Detta för att kunna vara bakåtkompatibel. När “blipp”-funktionen (NFC) sedan kom så blev det möjligt att läsa ut samma information trådlöst från kortet.
Alltså går det att via en bild på kortet, via magnetremsan, via chipet eller till och med trådlöst att få fram den information som står på framsidan på kortet: kortnummer och giltighetstid.
Att otillåtet läsa av den informationen från ett kort kallas för “skimming” och är en lukrativ inkomstkälla för bedragare.
PIN, CVC/CVV, 3-D Secure/BankID
Andra säkerhetsfunktioner som lagts till under åren är framförallt PIN-kod, CVC och 3-D Secure. PIN-kod är det man oftast använder vid handel i fysiska butiker och kan begäras av kortterminalen vid köpet beroende på hur stort belopp det är, hur länge sen man senast angav PIN-kod och andra faktorer.
Vid köp online brukar man behöva ange datumet på kortet, samt CVC/CVV-koden som står bakpå kortet. CVC/CVV-koden ger lite extra säkerhet då den är på baksidan av kortet, så att det inte räcker med ett foto på ena sidan av kortet.
En av de senaste säkerhetsfunktionerna kallas 3-D Secure, med olika varianter beroende på kortutgivare, till exempel “Verified by Visa” eller “MasterCard SecureCode”. Det innebär i praktiken ett ytterligare autentiseringssteg när man handlar på nätet. För en svensk köpare brukar det ofta vara att man behöver autentisera sig med BankID för att köpet ska gå igenom.
Problemet
Så vad är problemet om vi har alla dessa säkerhetsfunktioner? De är helt upp till handlarna och butikerna att använda.
Varken kortutgivarna eller bankerna kräver något av dessa steg för att godkänna transaktioner. Det räcker fortfarande med att endast veta kortnumret för att länsa ett konto kopplat till kortet. Och det kortnumret går att få tag på via flera metoder, som vi såg tidigare.
Vissa länder kräver att handlare ska implementera de här säkerhetsfunktionerna, men det finns andra länder som till exempel USA där det fortfarande räcker med kortnumret för att en transaktion ska anses vara giltig. Så länge det är möjligt att på något sätt göra en transaktion med endast ett kontonummer så kommer problemet att kvarstå.
Banker kan ofta häva köp som bevisas vara bedrägliga, men det är ofta på bekostnad av handlaren som troligen redan levererat varorna som köptes med det stulna kortnumret. Det gör att det ligger i handlarnas intresse att använda dessa säkerhetsfunktioner, men det kostar såklart pengar att använda dem.
I slutändan gör det att inga av dessa säkerhetsfunktioner är något som skyddar dig och ditt kort. De är endast till för handlare att använda för att minska risken att behöva drabbas av reklamerade korttransanktioner.
Vad kan man göra?
Det stora ansvaret borde rimligtvis ligga hos bankerna och kortutgivarna. Det innebär som sagt en kostnad för handlare att implementera säkerhetsfunktionerna, men det är en kostnad som kortutgivarna kräver från handlarna för att skydda dem mot bedrägerier.
Jag är helt säker på att banker och kortutgivare skulle kunna erbjuda bra säkerhet utan att öka kostnader för handlare eller kortägare, utan att de går under.
I brist på att de tar ansvar så finns det några saker man själv kan göra för att minska risken:
- Lägg aldrig någonsin upp en bild på ditt nya fina kort, inte ens om du maskerar vissa av siffrorna.
- Skaffa en plånbok som blockerar trådlös avläsning av kortet.
- Kolla om din bank har en funktion för att blockera utlandstransaktioner och slå i så fall på den. Vissa kan också spärra alla former av internetköp och ska man själv göra ett så kan man temporärt låsa upp den funktionen.