Kriterier för säkra betaltjänster på nätet

Transkript

1 School of Mathematics and Systems Engineering Reports from MSI - Rapporter från MSI Kriterier för säkra betaltjänster på nätet Emil Magnusson Oct 2006 MSI Report Växjö University ISSN SE VÄXJÖ ISRN VXU/MSI/DA/E/ /--SE

2

3 Emil Magnusson Kriterier för säkra betaltjänster på nätet Examensarbete Nätverk och Datasäkerhet 2006 Växjö University

4

5 Abstract This report has a purpose to identify the payment methods available for e-commerce, to see if they fulfill certain requirements. By investigating thirty of the most popular web shops, a few primary services have been found and revised. Security requirements for e-payment systems include authentication, non-repudiation, integrity and confidentiality. Other requirements considered to be important are usability, flexibility, affordability, reliability, availability, speed of transaction and interoperability. Advantages and disadvantages have been identified to see if the services fulfill the requirements. Also surveys of consumer payment habits have been investigated to identify the factors of decisive importance to the usage of payment services. Other questions answered in the report are if the requirements are adequate, and what services that could be available also in the future. All services fulfill the requirements of confidentiality and integrity. Usability varies, but most of the methods are easy to use. None of them involve any further expenses for the customer, but the consumption of time increases when authentication is used. Authentication is fulfilled except with regular card payment, and authentication prevents all parties from denying participation in the purchase. Availability is the biggest problem when merchants and issuers don t offer many of the services. The crucial cause for using one of the services, seems to be availability, cause the most offered method card payment, is also the most common service among customers. Because of that, secure card services will be needed also in the future, with the requirement that they are made available to a large amount of customers. Availability is also a requirement for all of the minor services. Sammanfattning Syftet med rapporten är att identifiera de betalningstjänster som finns vid e-handel, för att sedan se om de uppfyller vissa krav. En undersökning av de trettio populäraste webbutikerna har gjorts och några primära betalningsmetoder har påträffats och granskats. De säkerhetskrav som ställs på betaltjänsterna är autentisering, oavvislighet, integritet och konfidentialitet. Övriga krav som anses spela in vid val av tjänst är användarvänlighet, flexibilitet, kostnad, tillförlitlighet, tillgänglighet, tid/hastighet och plattformsoberoende. Fördelar och nackdelar hos de olika metoderna har tagits fram för att se om de uppfyller kraven. Även undersökningar av konsumenternas betalvanor har granskats för att komma fram till vilka faktorer som avgör tjänsternas användande. Andra frågeställningar som har besvarats är om kraven är tillräckliga och vilka tjänster som kan beräknas gälla även i framtiden. Samtliga av tjänsterna uppfyller kraven på konfidentialitet och integritet. Användarvänligheten varierar, men de flesta är enkla att använda. Ingen av betaltjänsterna innebär några ytterligare kostnader för kunden, men tidskonsumtionen ökar vid autentisering. Förutom vid vanlig kortbetalning uppfylls kravet på autentisering, vilket i sin tur kan användas för att binda en kund till ett köp. Tillgängligheten är det största problemet, då säljare och banker inte erbjuder många av tjänsterna. Den avgörande anledningen för tjänsternas användande tycks vara tillgängligheten, då den mest erbjudna tjänsten kortbetalning, är den som används mest. Därför kommer säkra korttjänster behövas också i framtiden, med kravet att de görs tillgängliga för ett så stort antal kunder som möjligt. Detta gäller också för samtliga av de mindre betaltjänsterna. iii

6 Contents 1 Inledning Bakgrund Syfte och Problemformulering Metod Avgränsningar Förklaring av förekommande begrepp Asymmetrisk kryptering Digitala signaturer Certifikat X Vilka krav finns för betaltjänster? Identifiering och autentisering Oavvislighet Integritet Konfidentialitet Andra krav SSL/TLS Upprätta en förbindelse Autentisering av server Autentisering av klient Presentation av betaltjänster Kortbetalningstjänster Övriga tjänster Traditionella metoder Nyare tjänster Undersökningar Webbutikers erbjudna betaltjänster Erbjudna tjänster hos banker Konsumenternas användning av betaltjänster 21 8 Uppfylls kraven av betaltjänsterna? SSL D Secure E-plånbok Direktbetalning Bankens egna tjänster Analys & Diskussion Fördelar respektive nackdelar Avgörande krav för tjänsters användande nu och i framtiden Är kraven tillräckliga? Slutsatser Förslag till fortsatt arbete iv

7 A Lista över webbutiker 35 A.1 Böcker A.2 Datorer A.3 Hemelektronik A.4 Hobby/Fritid A.5 Kläder A.6 Musik References 38 v

8 vi

9 1 Inledning Rapporten har gjorts som examensarbete på B-nivå inom programmet nätverk och datasäkerhet, vid matematiska och systemtekniska institutionen på Växjö universitet. Min handledare har varit Ola Flygt. 1.1 Bakgrund 2005 omsatte den svenska detaljhandeln över Internet 9 miljarder kronor, och de sista månaderna ökade försäljningen med 34 % från 2004 [1]. De fyra första månaderna 2005 var tillväxten 29% jämfört med 2004 [2] och den starka tillväxten de senaste åren beräknas fortsätta under 2006 och omsättningen hamna runt 12 miljarder kronor [3]. På den totala marknaden är dock internetförsäljningen en liten del. Bedrägerier i samband med e-handel har ökat med 8 % sedan 2004, och 2005 förlorade företag över hela världen mer än 2,8 miljarder dollar till följd av onlinebedrägerier [4]. Detta betyder att säkra betalningstjänster behövs i allra högsta grad, även fast bedrägeriförsöken just i Sverige är låga. Enligt en undersökning gjord av Sifo hade endast 1 % av de tillfrågade råkat ut för något bedrägeri vid kortbetalning över Internet mellan 2004 och 2005 [5], vilket eventuellt förändrar kraven på betaltjänster i Sverige, då säkerheten kanske inte är den främsta faktorn vid val av tjänst? Betalningsmetoderna skiljer sig åt med tanke på säkerhet, användarvänlighet och mängder andra egenskaper. Antalet betaltjänster för e-handel i Sverige är stort, vilket ger åtskilliga valmöjligheter för kunden när en transaktion ska utföras, där flera alternativ kan försvåra. 1.2 Syfte och Problemformulering Syftet med rapporten är att identifiera de tjänster som finns för betalningar på Internet och se om de uppfyller de krav som ställs ur säkerhetssynpunkt, men även från en mer användarvänlig synvinkel. De huvudsakliga frågor som kommer besvaras är: Vilka fördelar respektive nackdelar finns med betalningstjänsterna? Uppfylls de krav som ställs? Vilka är faktorerna som avgör tjänsternas användande? Är de krav som ställs tillräckliga? Vilka är tjänsterna för framtiden? 1.3 Metod För att identifiera de betalningstjänster som finns gjordes en undersökning av Sveriges trettio populäraste webbutiker inom utvalda kategorier. En undersökning gjordes även av de fyra största bankerna för att se vilka tjänster de erbjuder för Internetbetalningar. Informationssökning gjordes i litteratur, rapporter och tidskrifter tillsammans med efterforskningar på Internet. 1.4 Avgränsningar Rapporten avser endast de betaltjänster som finns att tillgå för e-handel inom Sverige, och handel mellan konsument och företag. De tjänsterna som granskas ingående är: kortbetalningar med SSL, 3-D Secure, Direktbetalning, E-plånbok och några av de största bankernas egna tjänster. På grund av att vissa frågor i problemformuleringen uppkom 1

10 senare under arbetets gång, fanns en tidsbegränsning för hur ingående de kunde besvaras. Intervjuer och enkätundersökningar skulle kunna ha genomförts för att få en bättre bild av konsumenternas krav på betaltjänsterna. Då det redan finns bra undersökningar om vilka betaltjänster som används, utnyttjades dessa. 2

11 2 Förklaring av förekommande begrepp 2.1 Asymmetrisk kryptering Vid asymmetrisk kryptering används två nycklar. En privat nyckel som bara användaren har och en publik nyckel som finns tillgänglig för alla. Om den privata nyckeln används för kryptering, kan bara den publika användas för dekryptering och vice versa. Den publika nyckeln placeras i ett publikt register över nycklar lättillgängligt för alla och den privata hålls hemlig. Vid kryptering används den publika nyckeln för att bara kunna dekrypteras av den privata nyckeln. Kryptering med den privata nyckeln används för autentisering, exempelvis i digitala signaturer. [7] 2.2 Digitala signaturer Genom att använda publika nycklar kan man verifiera att ett meddelande kommer ifrån rätt avsändare. Avsändaren använder sin privata nyckel för att kryptera meddelandet. Mottagaren kan sedan endast dekryptera meddelandet med avsändarens publika nyckel, vilket betyder att meddelandet måste komma ifrån denne. Hela meddelandet blir därför en digital signatur. En mer effektiv metod finns dock för att verifiera en avsändare. Den använder en säker hashfunktion och tar en del av meddelandet för att skapa en kontrollsumma. Denna krypteras sedan med den privata nyckeln och kan sedan användas för verifikation. Här kontrolleras även integriteten genom att jämföra den dekrypterade summan med en summa skapad med samma hashfunktion. Är de båda lika har inte meddelandet ändrats under vägen. Det som skiljer digitala signaturer ifrån Message Authentication Codes (MAC) är att MAC använder samma hemliga nyckel både för att generera meddelandet och för att verifiera. [7] 2.3 Certifikat X.509 Certifikat används inom ett varierande antal områden för säkerhet över Internet, och då främst för SSL. ITU-T har tagit fram en rekommenderad standard X.509, vilken beskriver en struktur för certifikat och autentiseringsprotokoll. Certifikat kan liknas vid ett körkort, fast där certifikatet tillhör ett datorsystem istället för en individ. De delar tre viktiga egenskaper: Båda identifierar ägaren genom att innehålla dennes namn. De innehåller nyckelinformation om ägaren, där certifikatet innehåller den publika nyckeln, vilket kan liknas vid de privilegier som ägaren får av körkortet, dvs. köra bil. Båda är även utfärdade av en betrodd organisation eller myndighet [11]. William Stallings beskriver i Network Security Essentials i detalj hur strukturen för X.509 ser ut. [7] Varje användare har ett certifikat vilket använder en kryptografi med publik nyckel och digitala signaturer som har skapats av en betrodd certifikats-auktoritet, kallad CA. Certifikatet innehåller versionsnummer, vilket bestäms av antalet fält i certifikatet. I varje version har fler fält lagts till för att utöka informationen som certifikatet kan innehålla. Det finns ett serienummer som är unikt för certifikatet för att auktoriteten entydigt ska kunna associera med denne. Övrig information om denne CA är dess namn och ytterligare en unik identifierare som kan verifiera ifall namnet inte skulle räcka. Det finns fält innehållande information om företaget eller användaren som innehar certifikatet och dennes publika nyckel. En likadan identifierare finns för denne ifall namnet inte skulle räcka. Resterande fält innehåller information om algoritmen som används för att signera certifikatet, själva signaturen och datum som talar om hur länge certifikatet är giltigt. Hash-koden av alla fälten i certifikatet har signerats med auktoritetens privata 3

12 nyckel så att man ska kunna verifiera att denna CA är giltig. Det finns också tilläggsfält som kan innehålla mer precis information, till exempel för att identifiera användaren eller restriktioner för hur nycklar får användas. Eftersom att man har verifierat auktoriteten kan man även bekräfta att användarens publika nyckel är korrekt. Endast denne CA kan ändra i certifikatet utan att det märks, därför bestäms trovärdigheten på certifikatet av den tillit man har till auktoriteten. För att man ska slippa att verifiera alla CA, finns en hierarki där flera CA är hopkopplade. På så sätt kan ett certifikat signerat av en helt annan CA verifieras av en användare genom att dennes CA har signerat den andres CA. Certifikat kan sedan användas för autentisering genom att signera meddelanden med den privata nyckeln, så att mottagaren kan verifiera med den publika nyckeln att meddelandet kom från rätt avsändare. De kan även användas för konfidentialitet genom att kryptera ett meddelande med en publik nyckel från certifikatet, som sedan bara kan dekrypteras med mottagarens privata nyckel. 4

13 3 Vilka krav finns för betaltjänster? Post och telestyrelsen beskriver på sin webbplats fyra krav som behövs för att en överföring ska anses säker [6]. Dessa krav ingår även i den rekommenderade standarden X.800 som anger en säkerhetsarkitektur för kommunicerande öppna system [7]. 3.1 Identifiering och autentisering För verifikation av de kommunicerande parternas identitet behövs någon sorts autentisering. Det kan genomföras med hjälp av något som användaren vet, något som användaren har, något som användaren är, eller en kombination av dessa. Något som användaren vet kan exempelvis vara ett lösenord. Något som användaren har kan vara ett certifikat. Något som användaren är kan vara ett fingeravtryck [8]. De metoder som finns att tillgå är följande: Statiska lösenord som kan användas under en längre tid, flera gånger. Dynamiska lösenord som används under en kortade tid, vanligtvis vid ett tillfälle och som ofta genereras av exempelvis dosor eller skraplotter. Symmetrisk kryptering där samma hemliga nyckel används för att kryptera och dekryptera. Asymmetrisk kryptering där en privat och en publik nyckel används. Biometriska metoder som använder någon egenskap hos personen för autentisering, exempelvis fingeravtryck. 3.2 Oavvislighet Vid en avslutad kommunikation måste båda parterna kunna bevisas ha deltagit. Detta för att ingen ska kunna förneka att exempelvis en transaktion har ägt rum eller att en vara har beställts. För att implementera detta kan en digital signatur användas vilket binder en person till en överföring. 3.3 Integritet Vid överföring av information måste data kontrolleras så att den inte ändrats på vägen. Detta måste garanteras så att ingen värdefull information tagits bort, lagts till eller ändrats. Även för att bevara integriteten kan digitala signaturer användas. Ett hot mot integriteten är trojaner som installeras i webbläsaren, vilka exempelvis ändrar de sidor som användaren går in på. Personlig integritet är också viktigt då känslig information om användaren måste hållas hemlig. 3.4 Konfidentialitet För att skydda den skickade informationen från att kunna fångas upp och läsas behövs konfidentialitet. Skydd behövs även mot analysering av trafiken för att hindra utomstående från att avläsa sändare och mottagare. Till detta används kryptering, som skyddar mot avlyssning och stöld av information. Den vanligaste metoden för att implementera kryptering vid webbkommunikation är SSL (Se avsnitt 4). 5

14 3.5 Andra krav Statskontoret publicerade 1997 en handbok i IT-säkerhet. Även fast den är något gammal gäller fortfarande de fyra krav som presenteras [9]: Riktighet: Producerad information ska vara korrekt, aktuell och begriplig. Tillgänglighet: IT-systemen ska vara tillgängliga för behöriga användare i beslutad omfattning på bestämda tider. Sekretess: IT-systemets data/information och program skyddas så att de inte avsiktligt eller oavsiktligt görs tillgängliga eller avslöjas för obehöriga eller utnyttjas på ett otillåtet sätt. Spårbarhet: Det ska finnas funktioner och rutiner som gör det möjligt att härleda alla operationer i IT-systemet till enskilda individer och program. Riktighet, sekretess och spårbarhet kan motsvara post och telestyrelsens krav på integritet, konfidentialitet och oavvislighet. Tillgänglighet är ett krav som kan tyckas självklart då de kommunicerande systemen måste vara tillgängliga för varandra. Vid e-handel kan det vara att kunden har tillgång till en betaltjänst. Egenskaper som kan spela in vid val av betalningstjänst är enligt Pita Jarupunphol och Chris J. Mitchell [10]: Användarvänlighet: Att systemet är enkelt att implementera. Konsumenten kräver av butiken och kortutfärdaren att tillhandahålla ett säkert system som samtidigt inte är för komplext. Flexibilitet: Systemet måste tillåta konsumenter att beställa varor från vilken plats de än befinner sig, och inte bara ifrån konsumentens egna dator. Kostnad: Både konsumenter och butiker måste ha råd att implementera systemet, då användarna inte gärna betalar extra för att utföra transaktioner. Tillförlitlighet: Systemet måste va tillförlitligt då det används för överföring av känslig information. Tillgänglighet: Systemet måste vara tillgängligt när det behövs. Tid/Hastighet: Hastigheten att utföra en transaktion måste vara acceptabel för konsumenten. Plattformsoberoende: Systemet måste kunna användas med olika plattformar, webbläsare och servrar för att möjliggöra ett så stort användningsområde som möjligt för konsumenter och butiker. 6

15 4 SSL/TLS SSL står för Secure Sockets Layer och utvecklades för användning främst på Internet, även fast många möjliga användningsområden finns. Det behövdes ett protokoll för att främst göra transaktioner vid e-handel säkra. Informationen som skickas mellan konsument och säljare behöver göras hemlig samtidigt som säljaren vill veta kundens identitet. SSL utvecklades tidigt och idag finns det inbyggt i de flesta webbläsare och det fungerar i stort sett transparent för användaren. Under användning kan märkas att en adress används och att en nyckelikon visas någonstans i webbläsaren. SSL har även blivit enkelt att aktivera i webbservrar vilket ökat stödet för protokollet. När utvecklingen av SSL togs över av IETF blev det en standard och bytte namn till TLS (Transport Layer Security). TLS är en ny version av SSL med några mindre ändringar, därför kommer hädanefter endast namnet SSL att användas i rapporten. Stephen Thomas beskriver i SSL and TLS Essentials: Securing the web funktionen hos SSL. [11] SSL är ett separat säkerhetsprotokoll som vid kommunikation över Internet placerar sig mellan applikationslagret HTTP och transportlagret TCP, vilket gör kommunikation mellan lagren enkel utan några större ändringar i övriga protokoll. Detta gör att SSL även kan användas tillsammans med andra protokoll som FTP och SMTP. Vid säker kommunikation med SSL är ena sidan alltid en klient medan den andra agerar som server. Klienten är den som initierar kommunikationen och servern svarar på klientens begäran. Vid säkra överföringar på Internet är klienten en webbläsare och servern en webbplats. Eftersom klienten startar kommunikationen är det den som föreslår vilka egenskaper överföringen ska ha och servern väljer av dessa vilka som ska användas. 4.1 Upprätta en förbindelse För att upprätta en säker förbindelse mellan klient och server, sker följande. Förloppet visas i figur 4.1. Figure 4.1: Upprättande av säker kommunikation mellan klient och server 1. ClientHello: Detta meddelande startar kommunikationen mellan klienten och servern. Efter att det skickats väntar klienten på ett ServerHello från servern. Meddelandet innehåller fem fält: 7

16 (a) Version: Den högsta versionen av SSL som klienten stödjer. (b) RandomNumber: Ett nummer på 32 byte som används vid kryptering. (c) SessionID: unikt ID för denna session. Vanligtvis tomt för ny session. (d) CipherSuites: En lista med parametrar över möjliga egenskaper som klienten stödjer vid kryptering. Ex: algoritmer och längd på nycklar. (e) CompressionMethods: Lista över de kompressionsmetoder som klienten stödjer. 2. ServerHello: När servern mottagit ClientHello ifrån klienten svarar den med detta meddelande, som innehåller liknande fält ifrån punkt ett. Servern väljer här bland de listor som skickades i ClientHello och skickar de slutliga egenskaperna för versionsnummer, kryptering och kompression tillbaks till klienten. Om inte egenskaperna passar klienten eller servern kan någon av parterna avsluta sessionen. 3. ServerKeyExchange: Innehåller den publika nyckeln som sedan används av klienten för att kryptera den sessionsnyckel som används vid kryptering av data. Den publika nyckeln har det format som valdes i ServerHello. 4. ServerHelloDone: Talar om för klienten att servern är klar, så att denne kan gå vidare. 5. ClientKeyExchange: Meddelande som innehåller klientens nyckel, vilken används av båda parter för symmetrisk kryptering av data. Informationen är krypterad med serverns publika nyckel så att endast denne kan dekryptera med sin privata nyckel. 6. ChangeCipherSpec: Meddelande som talar om att säkerhetstjänsterna ska anropas. Både klienten och servern har två olika tillstånd, läsning när den tar emot information och skrivning när den skickar. När krypteringsalgoritmer, nycklar och annan information bestämts hamnar läsning och skrivning i ett avvaktande läge. Klienten skickar ett ChangeCipherSpec för att ändra sitt skrivläge till aktivt. När servern tar emot meddelandet ändrar den sitt läsläge till aktivt. 7. Finished: Skickas för att verifiera att den säkra förbindelsen har upprättats utan några säkerhetsrisker. 8. ChangeCipherSpec: Skickas av servern och sätter dennes skrivläge till aktivt. När klienten tar emot meddelandet sätts dess läsläge till aktivt. Båda parterna måste ha all information klar i det avvaktande läget innan en säker kommunikation kan aktiveras. 9. Finished: Även servern verifierar att den fullgjort sina steg. Finished innehåller även hashad information för att kontrollera integriteten i samtliga skickade meddelanden. SSL innehåller även funktioner för att autentisera båda sidor med hjälp av certifikat, då kryptering är meningslöst om någon lyckas maskera sig som en av användarna och har tillgång till vad som behövs för att dekryptera informationen. 8

17 4.2 Autentisering av server För att identifiera servern görs i stort sett samma steg som för att upprätta den krypterade förbindelsen, med två ändringar. Vid steg tre skickas istället för bara den publika nyckeln en kedja med certifikat innehållande certifikatet med den publika nyckeln och certifikatet för den CA som utfärdat serverns certifikat. Klienten har själv ansvaret att avgöra om den litar på servern genom att kontrollera den information som finns i certifikatet om signatur, giltighetstid och om certifikatet har blivit upphävt. Den behöver även försäkra sig om att den litar på den CA som används. Detta görs genom att i förhand hämta en lista med publika nycklar från de vanligaste auktoriteterna. Ofta finns en sådan lista inbyggd från början i webbläsaren. Klienten måste även försäkra sig om att certifikatet verkligen tillhör den server som den kommunicerar med, eftersom ett korrekt utfärdat certifikat kan kopieras och användas till en annan server. Denna kontroll görs då mot det domännamn som angetts i certifikatet. Stämmer det överens med domännamnet på den webbplats man är inne på så verifierar det ägaren. Den andra ändringen som görs sker i ClientKeyExchange, och innebär endast att den publika nyckeln som medföljer certifikatet används för kryptering då ingen annan överföring av publik nyckel sker från serverns sida. Det är dock möjligt att använda två publika nycklar, en för kryptering och en annan för autentisering. Detta kan verka onödigt, men krävs ibland av juridiska lagar då olika nyckellängder tillåts för autentisering och kryptering. [11] 4.3 Autentisering av klient SSL innehåller även en funktion för att verifiera klientens identitet, vilket går till på ett liknande sätt. Det är alltid servern som väljer ifall autentisering krävs och skickar i så fall ett CertificateRequest-meddelande efter att den skickat sitt egna certifikat. Detta för att klienten ska veta serverns identitet innan den lämnar ut sin egen. Meddelandet innehåller en lista över de typer av certifikat som servern stödjer och en lista med de CA som stöds. Efter att ServerHelloDone har mottagits av klienten skickar den sitt egna certifikatmeddelande. Detta har samma format som meddelandet servern skickat med klientens certifikat tillsammans med certifikatet för dennes CA. Om inget certifikat finns, eller om det har fel format skickar klienten ett NoCertificateAlert. Servern väljer då om den vill fullfölja utan att identifiera klienten eller avsluta sessionen. Klientens publika nyckel används endast till digitala signaturer och inte för någon annan kryptering. För att klienten ska kunna bevisa att den har den korrekta privata nyckeln skickar den även ett CertificateVerify. Detta meddelande innehåller en signerad kontrollsumma av nyckelinformationen samt innehållet i alla tidigare överförda meddelanden. Eftersom även servern har denna information kan den verifiera signaturen och vet med säkerhet att klienten har den korrekta privata nyckeln. [11] 9

18 5 Presentation av betaltjänster 5.1 Kortbetalningstjänster Betaltjänster som använder kredit- eller betalkort för betalningar, där pengarna dras ifrån kontot som kortet är kopplat till Kortbetalning med SSL/TLS SSL/TLS har blivit standarden vid betalningar över Internet, då möjlighet finns att autentisera säljaren och skapa en krypterad säker överföring av känslig information, som kortuppgifter. De deltagare som behövs vid en typisk transaktion är: Kortinnehavaren eller kunden Kortutgivaren (normalt en bank) Säljaren som har ett konto hos en betalväxel Betalväxeln som meddelar säljaren om statusen på kundens konto och vidarebefordrar betalningar Betalningsgatewayen som är ett gränssnitt mellan säljarens och betalväxelns finansiella system Betalningsbehandlaren som är en stor datacentral vilken behandlar betalkortstransaktioner Kunden gör en beställning genom att skicka en lista över valda artiklar till säljaren. Säljaren svarar med en sammanfattning av de beställda artiklarna. Kunden skickar beställningen tillsammans med kortuppgifter krypterat med SSL till säljaren. Säljaren kommunicerar sedan med betalningsgatewayen och begär en betalningsauktorisation, vilken vidarebefordras till behandlaren och kortutgivaren. Auktorisationen innebär att debiteringen av kundens konto måste godkännas av kortutgivaren, vilket garanterar att säljaren kommer få betalt för varan. Därefter bekräftas beställningen och varorna levereras. Säljaren kommunicerar sedan med betalningsgatewayen åter igen och begär en betalning. Behandlaren, betalväxeln och kortutgivaren samarbetar och gör en insättning på säljarens konto. [12] I detta system använder säljaren en betalväxel som direkt kommunicerar med kortutgivaren. Ifall detta inte finns får säljaren lagra kortuppgifterna på en egen server för att senare genomföra betalningen Fiaskot med SET Secure Electronic Transaction eller SET var ett ambitiöst projekt som uppstod efter att Mastercard och Visa utropade ett krav på en säkerhetsstandard Ett stort antal företag var involverade i utvecklingen, där i bland IBM, Microsoft, Netscape, RSA och Verisign introducerades för första gången standarden och produkter vilka stödde SET blev tillgängliga. I Network Security Essentials beskriver William Stalling funktionen hos SET. [7] SET innehåller en serie säkerhetsprotokoll och format som möjliggör användning av den existerande kort-infrastrukturen säkert på Internet. Tre väsentliga egenskaper tillförs: 10 Säker kommunikation mellan samtliga parter involverade i en transaktion. Förtroende genom användning av X.509 certifikat.

19 Informationen hemlighålls så endast parterna i transaktionen har tillgång till den information som de behöver för att genomföra transaktionerna. Specifikationen över SET är väldigt komplex och sträcker sig över flera böcker. De krav som presenteras i avsnitt 2 återfinns även i dokumentationen över SET, men innehåller även andra kriterier specifikt för kortbetalningar. Konfidentialitet av betalningsinformationen fås med hjälp av kryptering, integritet av all överförd data med digitala signaturer, och autentisering av kund och butik med digitala signaturer och certifikat. Övriga krav som ställs är försäkran om att de bästa säkerhetsmetoder och systemdesigns-tekniker används, där SET uppfyller kravet genom att använda säkra krypteringsalgoritmer och protokoll. Ett protokoll ska skapas som inte beror på andra säkerhetsprotokoll eller hindrar dem från att användas, vilket uppfylls då SET fungerar väl tillsammans med andra säkerhetsmekanismer. Till skillnad från SSL kan endast en vald algoritm användas för varje kryptering. Detta då SET är en enkel applikation byggd för att uppfylla en serie krav och SSL är menat att kunna användas för ett större antal olika applikationer. Nedan beskrivs de steg som görs för att genomföra en transaktion: 1. Kunden öppnar ett konto och får ett bankkort hos en bank som stödjer SET. Kunden tar emot ett certifikat signerat av sin bank efter att denne har verifierat sin identitet. Ett samband skapas mellan kundens nycklar och dennes bankkort. Mjukvara måste installeras av kunden för att SET ska kunna användas. 2. Handlaren måste ha två certifikat, ett för att signera meddelanden och ett för utbyte av nycklar. Även en kopia av kortinlösarens publika certifikat behövs för säker kommunikation mellan dessa två. På handlarens server finns också mjukvara installerad vilken används för automatisk signering, kryptering av meddelanden och hantering av certifikat precis som hos kunden. 3. Kunden skickar en order till handlaren som returnerar en bekräftelse tillsammans med en kopia av sitt certifikat så att kunden kan verifiera handlarens giltighet. Kundens program efterfrågar även en kopia av kortinlösarens certifikat, vilket handlaren skickar. 4. Kunden skickar sedan sina kortuppgifter till handlaren tillsammans med sitt certifikat så att handlaren kan identifiera kunden. Kortuppgifterna är krypterade så att de inte kan läsas av handlaren. 5. Handlaren skickar kortuppgifterna vidare till kortinlösarens förmedlingsnod (Payment Gateway) och efterfrågar om kunden har tillräckligt med kredit eller kontanter på kontot. 6. Handlaren bekräftar ordern genom att skicka ett meddelande till kunden och slutför ordern om allt gått felfritt och alla parter har kunnat identifieras och integriteten har bibehållits i alla meddelanden. Sist efterfrågar handlaren hos kortinlösaren om betalning till sitt konto. Efter att betalningen är slutförd har handlaren inte fått reda på kundens kortuppgifter och banken vet inte vilka varor som beställts. Förhoppningen var att SET skulle bli den metod som skulle garantera säkra transaktioner på Internet, men så blev det inte. Istället blev SET-standarden rejält utskälld. Den faktor som främst avgjorde dess misslyckande var att kunden behövde ladda ned och installera en särskild mjukvara för att kunna identifiera sig, vilket krävde att endast en dator 11

20 kunde användas [13]. Andra orsaker är att SET gav en komplex lösning som förvisso är väldigt säker, men alldeles för avancerad både för banker och kortinnehavare [14]. Ytterligare en svaghet uppkom vid mindre betalningar då processen blev alldeles för dyr [15]. Brister har också upptäckts i SET, vilket kan ge en oärlig kund som samarbetar med en oärlig handlare möjligheten att utan kostnad beställa varor av en annan webbutik [16] Payment Card Industry Data Security Standard (PCI) Standarden PCI efterfrågades av Visa och Mastercard som en satsning för att höja säkerhetsnivån inom kortbetalningsindustrin och är baserad på en serie krav som måste följas av samtliga medlemmar, handlare, banker och andra leverantörer som lagrar, bearbetar eller skickar kortuppgifter. Andra standarder utvecklade av Visa och Mastercard existerade innan PCI introducerades, så som Visas Cardholder Information Security Program (CISP), Account Information Security (AIS) och Mastercards Site Data Protection (SDP). Efter ett antal attacker mot banker och webbutiker runt om i världen där personlig information om tusentals personer blev stulna, valde organisationerna att förenas för att ta fram en gemensam standard, då de standarder som fanns inte användes. [17] PCI började gälla i december 2004 och som en försäkran om användning tvingas handlare betala böter eller blir av med möjligheten att erbjuda betalning med kort om standarden inte följs [18]. Standarden består av tolv krav vilka är indelade i olika kategorier. Här presenteras endast rubrikerna och ingående åtgärder utelämnas [19]: 12 Bygg och underhåll ett säkert nätverk 1 Installera och underhåll en brandväggskonfiguration för att skydda data. 2 Använd inte de standardlösenord som medföljer system. Skydda information om kortinnehavare 3 Skydda lagrad data. 4 Kryptera vid överföring av kortuppgifter och annan känslig information över öppna nätverk. Underhåll en handlingsplan för behandling av sårbarhet 5 Använd och uppdatera regelbundet ett anti-virus program. 6 Utveckla och underhåll säkra system och applikationer. Implementera starka åtgärder för åtkomst 7 Begränsa åtkomst till information. 8 Tilldela ett unikt ID-nummer till varje användare med åtkomst. 9 Begränsa fysisk åtkomst av kortuppgifter. Övervaka regelbundet och testa nätverket 10 Spåra och övervaka all åtkomst till nätverksresurser och information om kortinnehavare. 11 Testa regelbundet säkerhetssystem och processer. Underhåll en informationssäkerhetspolicy 12 Underhåll en policy om informationssäkerhet.

21 Domain Secure 3-D Secure skapades av Visa och Mastercard med syfte att ge kortinnehavare, säljare, kortutgivare och kortinlösare trygghet i betalningar över Internet, genom att se till att endast kortinnehavaren kan använda kortet och därmed förhindra bedrägerier. Då SET hade misslyckats med detta skapades 3-D Secure för att ersätta. [20] Systemet är en nyckelkomponent i Visas Authenticated Payment Program, vilket ska ge kortinnehavare kontroll över kortets användning vid Internetköp och ge en utökad säkerhet vid betalning för köpare och säljare. Vid autentiserade köp beräknas 80% av alla bedrägerier och klagomål angående köpet kunna upphöra. [36] För att implementera systemet krävs ett insticksprogram hos säljaren vilket används för all kommunikation med kortinlösare och övriga parter. Som man hör på namnet är 3-Domain Secure uppbyggt av tre olika områden. Kortutgivaren (Issuer) har ansvar för kortinnehavare som registrerar sig för användning av 3-D Secure och autentiserar kortinnehavare under köp. Kortinlösaren (Aquirer) har ansvar för att deltagande säljare har ett avtal med kortinlösaren, de tillhandahåller även transaktioner under köp. Det tredje området (Interoperability) består av kommunikationen där emellan, med hjälp av gemensamma protokoll och tjänster. Modellen visas i figur 5.1. [36] Figure 5.1: Modellen för 3-D Secure 3-D Secure består av två huvudfunktioner, registrering och autentisering. Registreringen innebär att tjänsten aktiveras, och autentisering sker innan en betalning utförs. Registreringen sker hos kortutgivaren och innefattar angivning av kortuppgifter och personuppgifter tillsammans med lösenord och ett personligt meddelande, som används vid betalning. Kortutgivaren verifierar sedan informationen och meddelar kortinnehavaren att registreringen lyckades. En uppdatering med det nya kortnumret tillsammans med lösenordet sker till en Access Control Server (ACS), som senare används för kontroll vid autentiseringen. Vid ett köp skickar säljarens insticksprogram ett meddelande innehållande kundens kortnummer till ett register. Där kontrolleras med hjälp av kortutgivarens ACS ifall kortinnehavaren är registrerad för användning av 3-D Secure. Svaret skickas tillbaka till Säljarens program med adressen till servern, ifall tjänsten är aktiverad. Insticksprogrammet skickar sedan ett meddelande till kortutgivarens ACS genom kundens webbläsare. Här sker autentiseringen genom att kortinnehavaren t ex får ange ett lösenord, på sidan visas det personliga meddelandet för att försäkra kunden om att sidan är korrekt. Svaret 13

22 skickas från servern genom kundens webbläsare till säljarens insticksprogram. Om autentiseringen lyckades fortsätter kortbetalningen som vanligt, där kortinlösaren samarbetar med banken för kontroll av kontot. Som figur 5.2 visar sparas även en redogörelse av autentiseringen på en Authentication History server, för bevisning i framtiden. [36] Figure 5.2: Autentisering med 3-D Secure 5.2 Övriga tjänster E-plånbok En E-plånbok eller virtuell plånbok fungerar precis som en vanlig plånbok, fast den kan bara användas på Internet. Ett belopp betalas in till plånboken som sedan kan användas till att handla i nätbutiker. För att fylla på E-plånboken kan man använda sig av ett antal olika betalningsmedel, t ex plus- och bankgiro, betalkort eller överföring genom Internetbank. När registrering har gjorts behöver inga kortuppgifter fyllas i vid handel i butiker. Vid ett köp väljs betalningsmetoden Internetplånbok och kunden skickas vidare till sin virtuella plånbok. Där får användaren logga in med sitt giltiga användarnamn och lösenord. En specifikation visas över vad som beställts och vad det kostar. Ett klick krävs för att slutföra transaktionen och pengarna dras direkt ifrån plånboken. Kunden får ett kvitto som visar information om betalningen. Metoden används oftast till så kallade mikrobetalningar vilka kan göras för en krona och uppåt. [20] Direktbetalning genom Internetbank Direktbetalning är ett sätt för kunder att betala säkert vid ett köp genom att logga in på sin bank och där utföra betalningen. Vid kassan väljer man direktbetalning med sin bank och skickas vidare till direktbetalningstjänsten. Till denna sida medföljer all information om betalningen, vilket gör att ingen information behöver fyllas i utan bara signeras. Därefter loggar kunden in på sin bank på samma sätt som vanligt, med säkerhetsdosa eller något annat alternativ som engångskoder eller certifikat. Där väljs vilket konto som pengarna ska dras ifrån och betalningen signeras. Betalningen utförs och pengarna förs över till 14

23 butiken direkt. När överföringen är klar skickas kunden tillbaka till butikens sida där en bekräftelse visar att betalningen genomfördes. [20] För att butiker ska kunna använda direktbetalning krävs att de har ett avtal med en betalväxel som tar hand om all teknik bakom tjänsten, precis som vid betalningar med betalkort. Butiken tecknar ett avtal med betalväxeln som sedan tecknar ett avtal med banken, vilket gör att betalningslösningarna inte blir något problem för butiken. Detta system är lämpligt för dem som har kunder i Sverige då de flesta som har betalkort även använder bankernas Internettjänster [21]. Efter att kunden har valt att betala med direktbetalning sammanställer webbutiken ordern och skickar den vidare till betalväxeln. Betalväxeln tar emot, behandlar och skickar information om betalningen till kundens bank. Kunden loggar in på banken för att signera köpet och banken rapporterar tillbaks till betalväxeln statusen på betalningen. Därefter slutför betalväxeln betalningen och rapporterar tillbaks till butiken. [22] E-kort E-kort är en tjänst utvecklad av Föreningssparbanken för att deras kunder ska kunna genomföra betalningar över Internet säkrare. Ett E-kort kopplas till det ordinarie betalkortet så att man sedan kan betala utan att lämna ut det riktiga kortnumret. Varje gång e-kort används skapas ett unikt kortnummer som endast bankens säkerhetssystem kan koppla ihop med det ordinarie kortet. Livslängden på numret är vanligtvis en månad, men nummer kan även skapas för flergångsköp där giltighetstiden väljs av kunden mellan en och tjugofyra månader. När giltighetstiden går ut försvinner alla kopplingar till det ordinarie kortet. Användaren väljer själv för vilket belopp köpet ska gälla där maxgränsen ligger på kronor vid ett köptillfälle. Alla transaktioner som görs med e-kort kontrolleras mot det riktiga kontot innan betalningen slutförs. Det unika numret fungerar endast hos ett inköpsställe, vilket gör att endast den butik man har godkänt kan använda numret. Butiken ser inte att ett e-kort används utan det fungerar precis som ett vanligt betalkort. [21] Användningen går till på följande sätt. Först måste minst ett kort kopplas till tjänsten i kundens Internetbank. När det är gjort kan antingen en programvara användas för att generera numret eller en webbaserad version. För att installera programvaran krävs att man loggar in på Internetbanken och tar del av villkoren för e-kort. Därefter installeras programmet och placerar sig i aktivitetsfältet. Det körs sedan i bakgrunden och märker när man går in på ett betalningsformulär med sin webbläsare. Programmet startar då en ruta där man får logga in med personnummer och en personlig kod, som man valt i sin Internetbank. När man sedan väljer att skapa ett e-nummer får man välja vilket maxbelopp som ska gälla för köpet. Det finns även en funktion för flergångsköp där giltighetstiden kan ökas och numret användas flera gånger. En funktion finns som automatiskt fyller i både namn, adress och kortuppgifter i formuläret, om programvaran används, då uppgifterna om namn och adress finns lagrat i programmet. I den webbaserade versionen får uppgifterna fyllas i manuellt. Därefter kan köpet avslutas precis som vanligt vid kortbetalningar. [21] Internetkortnummer Nordea använder en tjänst som påminner om E-kort och går ut på att dölja det ordinarie kortnumret för webbutiker. För att aktivera tjänsten loggar Nordeas kunder in på Internetbanken med sin PIN-kod och engångskod. När kortet aktiveras skapas ett nytt Internetkortnummer med giltighetstid och kontrollsiffror. Detta kan sedan användas precis som ett 15

24 vanligt betalkort i butiker på Internet. Systemet kan ses som en nedbantad version av E-kort. [23] Öppna/Stänga kort Handelsbanken har ett system där betalkortet kan öppnas och stängas för Internetköp. För att kunna handla i en webbutik måste kortet vara öppet. Skulle det vara stängt går inte betalningen att genomföra. Kortet kan öppnas och stängas ett oändligt antal gånger, vilket gör det enkelt att vid ett köp öppna kortet och när det är avslutat stänga. För att använda funktionen måste kunden logga in i Internetbanken och aktivera. För att tjänsten ska fungera krävs det att Handelsbanken kan verifiera att köpet sker hos en Internetbutik. Detta förutsätter att butiken följer Mastercards eller Visas regler för e-handel. [24] 5.3 Traditionella metoder Med traditionella metoder menas etablerade betaltjänster som i huvudsak inte tar hjälp av Internet vid transaktioner Faktura & dess efterföljare e-faktura Efter beställning av vara skickas en faktura ut som ska betalas inom ett visst antal dagar. Metoden är främst riktad mot företag, men även privatpersoner kan använda tjänsten då butiken har tillit. Vilka betalningsmetoder som finns beror på företaget, men vanligt är plus och bankgiro. E-faktura går till på ett liknande sätt, med undantaget att all information skickas elektroniskt, vilket gör att man slipper papperskopior. Företaget har avtal med en bank som de samarbetar med för utskickning av fakturor. Kunden har valt genom sin Internetbank att utnyttja tjänsten och genom sedvanlig inloggning fås tillgång till samtliga fakturor. Betalning sker genom att godkänna fakturan, då all information redan är ifylld. [25] Postförskott Postförskott innebär att varan betalas av kunden när den hämtas ut hos postens serviceställe. Pengarna sätts sedan in via butikens bank på plusgiro eller bankgiro Förskottsbetalning Vid förskottsbetalning betalas pengarna in till webbutikens plus eller bankgiro vid köptillfället. Metoden är riskfylld, då man inte kan garantera att butiken kommer skicka varan Avbetalning Webbutiker har ofta egna kundkort. När dessa används brukar avbetalning erbjudas, vilket innebär avbetalning i ett visst antal månader med ränta. 5.4 Nyare tjänster Dessa tjänster är inte lika etablerade som de andra presenterade, och används antingen inte över huvud taget för betalningar eller i mindre utsträckning. De är med för att visa alternativa metoder vilka skulle kunna användas och exempel på tjänster som blivit mindre lyckade. 16

25 5.4.1 BankID BankID är en tjänst för elektronisk signering och underskrift på Internet, som är gemensam för olika banker. Tjänsten utvecklas för privatpersoner, företag, myndigheter och organisationer som behöver en säker identifiering på Internet. Hittills används BankID mest av större organisationer och myndigheter som csn och försäkringskassan, men möjlighet finns för autentisering vid e-handel. Då flera banker är anslutna till tjänsten får anslutna företag tillgång till ett stort antal kunder. För att börja använda tjänsten måste kunden på sedvanligt vis logga in på sin Internetbank och där teckna ett avtal om BankID. En Klientprogramvara installeras på kundens dator och skapar ett nyckelpar. En beställning skickas till banken, som kontrollerar och skickar vidare till certifikatfabriken. Där skapas ett BankID som skickas genom banken, tillbaka till kunden, där det installeras med hjälp av programvaran. Det kan lagras antingen på hårddisken eller på något flyttbart media. [26] Vid användning laddas en klientprogramvara byggd på java-teknik ned till kundens dator. Kunden väljer sitt BankID och anger sitt valda lösenord. Certifikatet skickas till en kontroll-server som gör föreskrivna kontroller och skickar en spärrförfrågan till certifikatfabriken. Är certifikatet korrekt returneras kundens namn och personnummer till webbplatsen och kunden är identifierad. För användning vid e-handel skulle det krävas att BankID används tillsammans med någon etablerad betalningstjänst, då systemet endast säkerställer kundens identitet. [26] E-pengar E-pengar introducerades i Sverige 1998 med cashkortet, men fick aldrig någon större framgång och lades ner. Detta skulle vara ett alternativ till kontanter, där kortet laddas med pengar i särskilda terminaler [20]. Vid E-handel över Internet kan e-pengarna exempelvis lagras krypterat på kundens hårddisk. Pengarna utgörs av sifferserier vilket kan jämföras med sedelnummer och finns inte lagrade på något konto, vilket gör att pengarna försvinner om hårddisken, eller kortet går sönder.[27] Idag finns det ingen utgivare av e-pengar i Sverige, vilket gör det svårt att veta om systemet skulle slå igenom. Om man ser på erfarenheterna med cashkort, verkar det dock som att det inte skulle bli accepterat. Då ingen autentisering sker skulle systemet vara utmärkt för anonyma betalningar, men lagstiftning på området ser stora risker med förfalskning och pengatvätt. [20] Mobilbetalningar Mobilbetalningar innebär att mobiltelefonen används till att utföra betalningar. Detta kan ske på tre olika sätt, med Premium-SMS, Premium-WAP eller betalsamtal. Betalningen görs genom kundens mobiltelefonoperatör, vilket gör att beloppet dras ifrån telefonräkningen. Premium-SMS används oftast vid köp av ringsignaler och liknande, men har även börjat användas för mikrobetalningar på Internet, där varorna är värda mellan 1 och 30 kronor. Efter att kunden har skickat ett SMS innehållande en kod till ett nummer som står på webbsidan ges tillgång till varan. WAP-betalningar kan utföras på de mobiltelefoner som kan öppna WAP-sidor. Genom att välja en tjänst eller vara på en sida, debiteras sedan telefonräkningen på beloppet. Tjänsten kan användas för varor på upp till 50 kronor, där det i vissa fall även går att lagra betalkortsnumret hos telefonoperatören som istället debiterar kortkontot. Betalsamtal kan användas för betalningar genom att man vid beställningen får en kod, som sedan skall uppges efter att man ringt ett visst nummer. Har man ett abonnemang 17

26 debiteras det, och används ett kontantkort, fungerar det som en e-plånbok där pengarna dras direkt. De webbutiker som vill utnyttja tjänsterna går ofta genom en betalväxel som har specialiserat sig på mobila betalningar. Det blir enklare än att operatören kopplar sig direkt mot butiken. [20] Nackdelen är att en stor del av pengarna går till operatörer och betalväxlar [28]. 18

27 6 Undersökningar 6.1 Webbutikers erbjudna betaltjänster Syftet med denna undersökning är att se hur hög säkerheten är och vilka betaltjänster som erbjuds hos de populäraste webbutikerna i Sverige, inom några utvalda kategorier. För att välja ut de populäraste butikerna används Googles PageRank-system [29]. Det är uppbyggt enligt en länk-struktur vilket ger varje sida ett värde. Detta värde bestäms av antalet länkar till sidan, där en länk från sida A till sida B plussar på Bs värde. A analyseras också för att kolla om den har ett högt värde, vilket gör att en länk från en sida med högt värde väger mer än en länk ifrån en annan sida. Ingen kan köpa en hög PageRank, vilket medför att systemet är rättvist med de populäraste högkvalitativa sidorna överst, beroende på vilka sökkriterier man har. Webbutikerna med högst PageRank valdes ifrån Google Directory [30] med fem sidor ifrån varje kategori: Böcker, Datorer, Hemelektronik, Hobby/Fritid, Kläder och Musik, vilket ger ett totalt antal av trettio analyserade webbplatser. Hemelektronik, musik och böcker är de tre översta kategorierna i konsumentverkets topplista över distanshandel 2005 [31]. Den information som hämtades var delar av webbplatsens certifikat samt vilka betaltjänster som erbjuds Resultat Betaltjänster Andel Kortbetalning 73% Andel av dessa som erbjuder 3D-secure 41% (Verified by Visa eller Mastercard Secure Code) Faktura 63% Postförskott 60% Avbetalning 27% Direktbetalning (även Nordea Solo) 23% Andel av dessa som erbjuder direktbetalning i SEB 57% Andel av dessa som erbjuder direktbetalning i HSB 71% Andel av dessa som erbjuder direktbetalning i FSB 71% Andel av dessa som erbjuder direktbetalning i Nordea (även Solo) 100% Förskottsbetalning (Bank eller postgiro) 20% E-plånbok (Paynova) 10% Funktioner Andel SSL med 128 bitars kryptering 61% SSL med 256 bitars kryptering 39% Table 6.1: Undersökning av webbutiker Resultatet av undersökningen visas i tabell 6.1. Vid testen användes webbläsarna Mozilla Firefox och Microsoft Internet Explorer 6.0. Olika säkerhetsgrad märktes mellan de båda då Firefox stödjer 256 bitars kryptering medan Internet Explorer har stöd för 128 bitars. Samtliga certifikat innehöll publika nycklar med algoritmen RSA, 1024 bitar långa. Av de butiker som erbjuder kortbetalning anger 68% att de inte lagrar några kortuppgifter i sina register, utan skickar vidare direkt genom sin betalpartner. Endast 19

28 9% anger att de lagrar uppgifterna på sina servrar och resterande 22% är oklara, då ingen sådan information finns på deras webbplatser. Det finns butiker som erbjuder fakturabetalning endast för företagskunder, dessa uppgår till 10%. Post & Telestyrelsen gjorde 2004 en undersökning av de tio mest besökta Svenska webbutikerna och hämtade information om de betalsätt som erbjöds [20]. Resultatet visas i tabell 6.2. Vid en jämförelse av de båda undersökningarna märks att resultaten stämmer överens tämligen bra. Den största skillnaden återfinns hos de butiker som erbjuder postförskott, där andelen butiker är 40 procentenheter fler. Den näst största skillnaden ligger hos de som erbjuder avbetalning, vilka är 27 procentenheter fler. Detta kan tyda på att postförskott och avbetalning försvunnit mer ifrån webbutikerna sen 2004, men kan inte fastställas då undersökningarna endast undersöker en liten del av de butiker som finns. Betaltjänster Andel Postförskott 90% Kortbetalning 80% Girobetalning mot faktura 60% Kundkort/Konto mot avbetalning 50% Direktbetalning 20% E-plånbok 10% Table 6.2: Undersökning av de tio mest besökta Svenska webbutikerna Erbjudna tjänster hos banker En mindre undersökning av de fyra största bankerna i Sverige utfördes för att se vilka tjänster som erbjuds vid säker handel över Internet. Dessa valdes då de även är kortutgivare och erbjuder egna tjänster för säkra betalningar. Informationen är tagen från respektive banks webbplats. Förutom dessa tjänster erbjuder samtliga banker även direktbetalning. Resultaten visas i tabell 6.3. Bank Nordea Handelsbanken Föreningssparbanken SEB Säkra tjänster vid e-handel Internetkortnummer Öppna/Stänga kortet för Internetköp E-kort Verified by Visa Table 6.3: Undersökning av banker 20

29 7 Konsumenternas användning av betaltjänster Detta avsnitt syftar till att undersöka hur stor del av kunderna som använder de presenterade betaltjänsterna. Handelns utredningsinstitut ger med jämna mellanrum ut e- barometern, som är en rapport om försäljningsutvecklingen på Internet. Den visar ifall försäljningen går uppåt eller neråt i jämförelse mot föregående år och innehåller även en konsumentundersökning med frågor kring e-handel. Den senaste barometern sammanställdes i maj 2006 och visar att konsumenterna har blivit allt mer positivt inställda till Internetköp. 42% har blivit mer positivt inställda till e-handel medan 2% uppger att de blivit mer negativa. 77% planerar att genomföra ett köp på Internet under de närmsta sex månaderna. Figur 7.1 visar resultatet av frågan om vilket betalsätt som användes vid senaste köpet. Figure 7.1: Konsumentens betalningssätt vid senaste köpet Även Post & Telestyrelsen utförde 2003 en enkätundersökning för att ta reda på betaltjänsters utnyttjande. Deras undersökning inriktar sig på en mer allmän användning av tjänsterna då frågeställningen är vilka betaltjänster som konsumenterna någon gång har använt. Resultatet visas i figur 7.2. Figure 7.2: Vilka betalsätt som konsumenten har använt 21