Visa kort sikkerhedskode

Visa-kort kan knækkes gennem distribuerede forsøg i store webbutikker

Forskernes værktøj til at knække CVV-koderne på kreditkort ved hjælp af forsøg på mange netbutikker på samme tid.

Den trecifrede kode på kreditkortet kan ikke opfanges med skimming af magnetstriben, men til gengæld kan man gætte den ved at prøve sig frem.


Den trecifrede CVV-kode på bagsiden af et kreditkort skal forhindre misbrug, men i praksis er det nemt at gætte koden, hvis man bare spreder sine gæt ud over mange netbutikker på samme tid. Det har en gruppe forskere fra Newcastle University demonstreret i en rapport.

Ved at sprede forsøgene ud over eksempelvis 30 butikker så går det for det første hurtigt med at ramme den rigtige kode. Ud fra forskernes resultater vil det det tage blot fire sekunder at få verificeret den korrekte værdi.

For det andet undgår man de begrænsninger, som den enkelte webbutik opstiller for, hvor mange forsøg man kan gennemføre inden for en vis tidsramme.

Metoden virker ifølge forskerne kun på Visa-kort, i det Mastercard ser ud til at overvåge forsøg på at gætte koder, selvom de sker igennem forskellige butikker. Mens den enkelte butik eller betalingsgateway kan forsøge at opdage misbrug, så er det i sidste ende kun kortudbyderen, der kan overvåge al aktivitet på et bestemt kort på tværs af butikker og gateways.

Nets har automatisk overvågning

Nets, der blandt andet overvåger sikkerheden på Dankortet og bankernes internationale kreditkort, foretager også en overvågning på tværs af butikker, så forsøg på misbrug af danske Visa-kort vil blive opdaget, oplyser Nets.

»Vi har etableret alarmer på tværs af Dankort, Mastercard og Visa, som udløses, hvis der sker forsøg på at gætte kortnummer, udløbsdato eller CVV. Det er en kendt metode, og det er ikke noget, vi ser misbrug af i Danmark,« siger pressechef Søren Winge fra Nets til Version2.

Den britiske undersøgelse tjekkede sikkerheden i 389 netbutikker udvalgt fra listen over de største sider målt i besøgende af Alexa. Af disse butikker var det blot 47, der havde implementeret Visas to-faktor-autentificering 3D Secure. 238 af butikkerne tillod op til 10 forsøg på at gætte CVV-koden.

CVV, eller helt præcist CVV2, står for Card Verification Value og er beregnet til at beskytte mod 'card not present' misbrug. Det vil sige misbrug, hvor der er mistanke om, at svindleren ikke har kreditkort, men blot har fået fat i oplysningerne, der eksempelvis ligger på kortets magnetstribe.

Magnetstriben kan aflæses med 'skimmere', der kan skjules på kortlæserne på hæveautomater eller benzinstandere. Derfor kræver de fleste netbutikker, at man ikke blot kender kortnummer og udløbsdato, men også kender CVV-koden, som ikke ligger på magnetstriben.

Forskernes metode med distribuerede gæt har været kendt længe, men har hovedsageligt været brugt til at forsøge at gætte eksempelvis udløbsdato eller adresseoplysninger, hvor postnummer eller husnummer også kan bruges til verificering af kortet.

Det mest interessante ved undersøgelsen er derfor dels, hvor hurtigt det kan lade sig gøre at gætte en manglende oplysning, og dels at der altså fortsat er butikker, der kan misbruges.

Kreditkortfirmaerne stiller endnu ikke krav om obligatorisk brug af to-faktor-autentifikation, men for Dankortet vil Nets fra 2017 kræve en engangskode ved køb på over 450 kroner for at beskytte mod stigende forsøg på misbrug.

kilde: version2