Två adertonåringar har arresterats för att ha brutit sig in i datorer som innehållit kunders kreditkortsuppgifter hos små företag i Kanada, USA, Japan och Storbritannien. Ett av de drabbade företagen är SalesGate.com i Buffalo, USA, som uppger att ca 2000 kunders kreditkortsuppgifter stulits.
Sammanlagt stals uppgifter om ca 23.000 kreditkort, uppenbarligen via en säkerhetslucka i ett Microsoftprogram som används av vissa affärer på nätet. Luckan upptäckts i mitten av 1998 och en korrigering kan gratis laddas ner från Microsofts webbsidor men alla företag har inte gjort det, antagligen eftersom de inte fått information om problemet.
Förövarna verkar inte ha utnyttjat kreditkortsuppgifterna men enligt federala polisen i USA som deltog i undersökningarna kan det kosta upp till tre miljoner dollar att reda upp hela härvan.

Du kan välja trygga system

”Dessa brott kan underminera Internetanvändarnas tilltro till elektronisk handel” har det stått i flera tidningar och det låter som en självuppfyllande profetia med tanke på hur nyheten rapporterats. Dessa problem berör endast handel där du använder kreditkort. Exempelvis vid elektronisk handel inom Finland används ofta de finländska bankernas egna ”internet-bank” system, exempelvis Meritas Solo eller Aktia 7, och de berörs inte av sådana här problem. I dessa finländska system får försäljarna endast en elektronisk kvitans från banken om att kunden betalat varan. Kortnummer eller liknande uppgifter får affären inte utan all känslig information stannar inom banken vilket är betydligt tryggare.
Och att använda kreditkort på nätet är varken mer eller mindre tryggt än att räcka över kreditkortet åt taxichauförer, kioskbiträden och restaurangpersonal. Med kreditkort måste du alltid lita på att mottagaren hanterar dina kreditkortsuppgifter korrekt. Nätet förändrar inte detta grundproblem.

Den svaga länken är affären

I Januari hittade en person en säkerhetslucka hos nätaffären CD Universe och påstod sig ha stulit 350.000 kreditkortsnumror från företaget. Förövaren försökte idka utpressning och krävde 100.000 dollar för att inte sprida ut uppgifterna. CD Univers erkände att delar av deras kunddatabas fallit i utomståendes händer men huruvida det var frågan om någon anställd som kopierade uppgifterna till en diskett och promenerade ut med dem eller om någon verkligen bröt sig in är ännu oklart.
CD Universe har kritiserats för att ha hållit så många gamla kreditkortsnumror i sin databas, ett korrekt tillvägagångssätt anses vara att förinta gamla kreditkortsuppgifter från affärer som redan är avklarade. Vem som helst kan rota igenom en soptunna utanför en restaurang och kanske hitta några kreditkortsnumror på kvitanser, men när någon bryter sig in i en dator och kommer över hundratusentals kreditkortsnumror uppstår ekonomiska skador helt enkelt för att det blir så omständligt att reda upp härvan.
Ett annat problem är påhittade kreditkortsnumror. För att inte någon skall kunna göra falska uppköp med vilket 16-siffrigt tal som helst följer kreditkortsnumror ett hemligt matematiskt system. Men det är inte längre någon välbevarad hemlighet hur olika kreditkortsnumror är uppbyggda så det finns datorprogram som genererar matematiskt korrekta kreditkortsnumror som accepteras av vissa kassasystem.
I nästan alla kreditkortsbrott på nätet är den svaga länken affären som antingen accepterar falska kreditkortssiffror utan att kontrollera uppgifterna tillräckligt noga eller som förvarat kundernas kreditkortsnumror så slarvigt att utomstående fått tillgång till dem. Sällan, om ens någonsin, är den enskilde kunden direkt inblandad.

Miljonskador, men för vem?

Om kreditkortsinnehavaren själv inte haft något med kreditkortsbrottet att göra på nätet är denne inte ansvarig för de ekonomiska skadorna. Och eftersom köp på nätet sker utan att köparen signerar något papper så är inte heller bankerna som utfärdat kreditkorten ansvariga utan affären måste oftast själv stå för förlusterna. Eftersom problemen leder till minskad vinst, eller rentav förlust, väljer allt fler affärer på nätet att samarbeta med företag som specialiserat sig på att hantera kreditkortsbetalningar. Dessa företag har specialiserat sig på att snabbt upptäcka falska och/eller stulna kreditkortsnumror och som har förhållandevis trygga system för att skydda kundernas kreditkortsuppgifter.
Mastercard och Visa har också redan för länge sedan utvecklat ett system, SET (Secure Electronic Transaction) för att trygga hanteringen av kreditkortsuppgifter på nätet men hittills har det betraktats som för komplicerat och inte vunnit någon större popularitet. Dylika system blir i alla fall vanligare och American Express utvecklar som bäst ett system för att trygga kreditkortstransaktioner mellan företag.
Kreditlaget i Finland rekommenderar att kunder använder SET eller sänder kreditkortsnumret per fax till affären. Om kunden e-postat kreditkortsnumret kan innehavaren själv betraktas som ansvarig om numret sedan missbrukas. Orsaken är närmast att SET ger en elektronisk kvitans och pappret som faxades kan användas som en slags kvitans för att reda ut vad som beställts varifrån och när ifall det uppstår problem.

Falska kreditkort vanliga

Microsofts resebyrå på nätet, Expedia, meddelade nyligen att de reserverar mellan fyra och sex miljoner dollar för att täcka förluster på grund av beställningar gjorda med falska kreditkortsuppgifter. Även bokhandeln Amazon, föregångaren och jätten vad gäller elektronisk handel, erkänner att de råkar ut för köp med falska kortuppgifter. Enligt Amazon rör det sig om stora summor men procentuellt sett inget större problem. Amazon har en avdelning för att upptäcka och förhindra kreditkortsbrott och de är rätt framgångsrika eftersom en förövare i något skede måste exponera sig själv för att kunna motta varorna han eller hon beställt med falska uppgifter.
Nyligen åkte några personer fast i Fairhope, Alabama, efter att de gått till ett hus som varit till salu, rivit ner ”till salu” -skylten och mottagit böcker från Amazon för 3000 dollar via denna adress för att på så vis försöka dölja sin identitet. Amazon hade dock upptäckt att beställningen skedde med falska uppgifter och sände istället lokala polisen som omhändartog personerna. För att få ekonomisk nytt av Internet-baserad brottslighet måste förövaren alltså i något skede lämna sin bildskärm och då är fortfarande frågan om traditionellt polisarbete.

Visa ger nya riktlinjer

Inom någon vecka kommer Visa i USA, och det är där de flesta affärerna på nätet hör hemma, att ge ut riktlinjer för hur dessa affärer skall skydda sig mot kreditkortsbrott. Tidigare har Visa gett ut liknande riktlinjer för postorderföretag som också säljer varor utan att se det fysiska kreditkortet. Skillnaden är närmast att traditionella postorderföretag tar emot kreditkortet via telefon eller fax medan affärer på nätet tar emot siffrorna via e-post eller www-blanketter. Branschen är självreglerande enlig kapitalistiska regler. Det finns säkra system men de är något klumpiga och uppmuntrar inte till handel samtidigt som det finns smidiga och användarvänliga men något otrygga system. Företagen i branschen letar ständigt efter den mest lönsamma kompromissen någonstans mellan dessa två ytterligheter.

Carl-Magnus Dumell