Risker med betalkort: Teknisk översikt och etiska implikationer

Risker med betalkort: Teknisk översikt och etiska implikationer Daniel Byström Magisteruppsats; Avdelningen för Filosofi, KTH 15 maj 2007 1

Sammanfattning I dagens samhälle utvecklas teknik och produkter baserade på teknik snabbare än människors förmåga att förstå den till fullo. Detta kan skapa problem, som i fallet med kontokort där kontokortsbedragare utvecklar nya tekniker för bedrägeri i betydligt snabbare takt än privatpersoner hinner ta till sig försvar mot dessa tekniker. Detta redovisas i den första delen av uppsatsen med hjälp av exempel på hur bedrägeri kan utföras, vilket sedan utgör den tekniska bakgrunden för den etiska diskussionen i den andra delen. I denna uppsats analyseras huruvida etiska problem föreligger när en kund införskaffar ett kontokort från en bank (säljare), mot den tekniska bakgrunden om hur kontokortsbedrägerier går till. David M. Holleys teorier appliceras på situationen där en köpare införskaffar ett kontokort från en säljare. Vidare appliceras två alternativa synsätt framtagna av Thomas Carson och Richard Posner, och dessa kontrasteras mot Holleys. Det argumenteras i denna uppsats för att Holleys kriterier är ett bra sätt att bedöma transaktioner, men att kriterierna kan kompletteras eller ändras, baserat på jämförelsen med alternativa teorier. Uppsatsen avslutas med en kort diskussion kring hemsidans roll som ett kraftfullt verktyg som står till säljarens förfogande, samt att sju punkter presenteras som kan användas för att förbättra Holleys kriterier. Abstract In today s society, technology and products based on technology are developed more rapidly than the average person s ability to understand the technology. This can cause problems, such as in the case of credit cards, where new techniques are constantly developed to defraud unsuspecting individuals before they are able to protect themselves against them. This is shown in the first part of this thesis, which contains examples of how credit card fraud can be committed. An ethical discussion then follows in the second part of the thesis. In this thesis, it is analysed whether the situation when a customer obtains a credit card from a bank might be ethically problematic, based on the technical background provided in the first part of the thesis. The theories of David M. Holley are applied on the situation where a customer obtains a credit card from a salesperson. Furthermore, two alternative views, developed by Thomas Carson and Richard Posner are applied and contrasted with Holley s. It is argued that Holley s criteria are a good way of evaluating transactions, but that the criteria can be amended or changed, based on the comparison with alternative theories. The thesis is concluded with a short discussion on the role of web pages as a powerful tool at the salesperson s disposal, and seven points are finally presented that can be used to improve Holley s criteria. 2

Innehållsförteckning Sammanfattning... 2 Abstract... 2 Del 1: Teknisk beskrivning av kortsystemet och dess svagheter... 5 Kortsystemet... 6 Involverade parter... 6 Termer och definitioner... 7 Beskrivning av systemet... 8 Beskrivning av det generella systemet... 9 Beskrivning av internetsystemet... 11 Diskussion kring kortsystemens uppbyggnad... 13 Sammanfattning av beskrivningen... 14 Säkerheten... 15 Generell kategorisering av riskerna... 15 Kategorisering av risker relaterade till internetprocessen... 17 Specifik kategorisering av risker relaterade till internetprocessen... 18 Passiva tekniska risker... 18 Aktiva tekniska risker... 18 Mänskliga risker... 19 Tekniker som används vid kortbedrägeri... 20 Skimming och videoskimming... 21 Pharming... 22 Keyloggers... 23 Cracking... 23 Stulet/borttappat kort... 24 Manipulation av postsystem... 24 Ansökningar i annan persons namn... 25 Social ingenjörskonst... 25 Phishing... 27 Trashing... 28 Sammanfattande diskussion av riskerna... 28 Exempel från verkligheten AdLibris... 30 Övergripande process... 31 Ansvarsfrågan hos AdLibris... 31 Risker och trender... 32 Diskussion av AdLibris-intervjun... 32 Avslutning... 32 Del 2: Filosofisk analys... 34 Inledning... 35 Rättigheter och skyldigheter relaterade till en transaktion... 35 Tvång, hot, begränsade alternativ och dess effekter... 37 För- och nackdelar med rationalitetskriteriet... 38 Effekt på transaktionen, samt resulterande slutsats... 40 Alternativa frihetskriterier och deras implikationer... 41 Rättfärdigande av en transaktion baserat på samtycke och val... 41 Applicering av Posners kriterium på kontokortsfallet... 42 Posners kriterium ett trubbigt verktyg... 42 Rättfärdigande av en transaktion baserat på den gyllene regeln och Thomas Carsons fyra kriterier... 45 3

Hur den gyllene regeln ger stöd åt Carsons fyra plikter... 46 Carsons rättfärdigande av den gyllene regeln... 47 Applicering av Carsons kriterier på kontokortsfallet... 48 Kritik mot Carson... 52 Carsons kritik mot Holley... 55 Sammanfattning av Carson... 59 Säljaren och dennes nya roll i och med försäljning över internet... 61 Slutsats och sammanfattning av risker och frihet i samband med korttransaktioner... 62 Tack... 64 Källförteckning... 65 Publicerat material... 65 Hemsidor... 65 Övrigt... 66 Appendix A... 68 Karlsson, Eva... 68 Rydstedt, Ulf... 68 Appendix B Intervju med Jeanette Löfgren hos AdLibris... 70 Appendix C SkandiaBankens internationella Bankkort/Electron kort... 76 Allmänna villkor 2005-03-01... 76 4

Del 1 Teknisk beskrivning av kortsystemet och dess svagheter 5

Kortsystemet För att få en bra förståelse för vilka risker som finns vid korttransaktioner är en logisk startpunkt att först förklara hur själva systemet är uppbyggt, för att sedan kunna upptäcka vilka risker som systemet ger upphov till. I förklaringen av hur en korttransaktion kommer att gå till kommer det att användas termer och definierade begrepp vilka beskrivs nedan. Begreppen har delats upp i delarna, Involverade parter, som beskriver vilka institutioner och agenter som är involverade i en transaktion, och Termer och definitioner som tar upp de termer som förekommer. Involverade parter 1 Kortinlösande bank (acquiring bank): Den kortinlösande banken är den bank som godkänner näringsidkarens användning av kontokort, för att sedan insamla näringsidkarens mottagna kortbetalningar. Vissa banker använder oberoende försäljningsorganisationer som en front för denna tjänst. Kortinlösande banker är i regel medlemmar av Visa- och MasterCardsammanslutningarna (se definition av sammanslutning nedan). Kortutgivande bank (issuing bank): Den kortutgivande banken är en bank eller annan finansiell institution som ger ut kredit- eller debetkort. De utgivande bankerna är medlemmar av Visa och MasterCard sammanslutningarna. Sammanslutning (association): Visa och MasterCard är sammanslutningar av medlemsbanker och finansiella institutioner. Sammanslutningen specificerar medlemsregler, men ger ej ut kontokort. Det faller på medlemmarna att ge ut kontokorten. American Express, Discover och Diners Club är företag och inte sammanslutningar mellan banker, och dessa företag ger ut egna kort. Kortinnehavare (card holder): Kortinnehavaren är den fysiska person som en kortutgivande bank bedömt som tillräckligt trovärdig för att förse henne med ett kontokort. Oberoende försäljningsorganisation (independent sales organization): Ett tredjepartsföretag som tillhandahåller tjänster för näringsidkaren åt den kortinlösande banken. Dessa tjänster inkluderar affärskonton (merchant accounts, för definition se sidan 9), behandling av kapital och rapport av kontots aktiviteter. Näringsidkare (merchant): Med näringsidkare avses en affärsverksamhet som har ett konto för näringsidkare vilket i sin tur tillåter dem att acceptera kontokort. Notera att det inom kontokortsbranschen är affärsverksamheten som avses med termen näringsidkare och ej ägaren av verksamheten (även om de kan vara en och samma person i fallet med enmansföretag). Betalningsport (payment gateway): Ett företag som tillhandahåller ett gränssnitt mellan internet och de säkra avskärmade banknätverken. En betalningsport auktoriserar de involverade parterna och fungerar som en kanal med syftet att flytta transaktioner från en internetaffär till en betalningsbehandlare (för definition av betalningsbehandlare se nedan). Betalningsbehandlare (payment processor): Ett företag som hanterar processen att flytta 1 Samtliga definitioner i detta stycke (Involverade parter) är översatta från engelska till svenska och hämtade från ShopSite, Incs hemsida, ShopSite Credit Card Processing in Detail, http://www.shopsite.com/cc_101_detail.html, odaterad, nedladdad den 7 november 2005. 6

auktoriserat och infångat (se nedan under termen infångande ) kontokortskapital mellan olika finansiella konton. Termer och definitioner Kontokort: Kontokort definieras som ett kort med innehavarens namn och kortnummer präglat ovanpå kortet. Kortet kan brukas till att betala varor och tjänster på de inköpsställen som accepterar kortet som betalningsmedel. Kontokort indelas i debetkort, betalkort och kreditkort beroende på de betalningsvillkor som är knutna till kortet. 2 Debetkort/Bankkort (debit card): Debetkort är beteckningen på kort där beloppet dras från (debiteras) kortinnehavarens tillgångar (behållning) på kontot. Debetkort används till exempel inom detaljhandeln och bensinbranschen. Om kortet är knutet till ett konto i en bank (med eller utan en kredit knutet till kontot) brukar beteckningen bankkort användas. 3 Betalkort: Betalkort används som benämning på kort där kortinnehavaren enligt kontovillkoren beviljas anstånd (vanligtvis mellan trettio och fyrtiofem dagar) med betalning av det belopp som påförts kontot under en viss period. 4 Kreditkort (credit card): Kort där betalning vid ett köp påförs ett skuldkonto benämns kreditkort. Till skillnad från betalkort, betalar i allmänhet kortinnehavaren ränta på beloppet från inköpsdagen. Mellanformer existerar, där kontot är ett tillgångskonto samtidigt som ett medgivet kreditutrymme är kopplat till kortet. Om så är fallet, dras ett uttag från tillgångarna på kontot så länge dessa räcker och varefter krediten belastas. 5 Reservering (hold): Vid en reservering minskas kortinnehavarens tillgängliga kapital med den auktoriserade (se definition nedan) summan då en täckningskontroll görs. I vissa fall kan det hända att reserveringen ej utförts korrekt och att kontot då belastas med den dubbla summan under en period av upp till fem dagar. 6 Auktorisering (Authorization): Auktorisering är den handlingen vilken säkerställer att kortinnehavaren har tillräckligt kapital tillgängligt för att transaktionen skall kunna genomföras. En positiv auktorisering resulterar i att en auktoriseringskod genereras och att en reservering av kapitalet görs, vilket garanterar att det definitivt är tillgängligt då överföringen sker mellan kortinnehavarens konto och näringsidkarens konto. 7 Infångande (capture): Konvertering av den auktoriserade summan till en fakturerbar transaktionspost. Transaktioner kan inte fångas in om de ej tidigare blivit auktoriserade. 8 Avdragsavgift (discount rate): En procentsats av varje transaktion behålls av den 2 Konsumenternas Bank- & Finansbyrå, http://www.konsumentbankbyran.se/artikel/article.asp?_tp_article_id=146&avd=art_bet&menu=art_bet, odaterad, nedladdad den 27 februari 2007. 3 Ibid. 4 Ibid. 5 Konsumenternas Bank- & Finansbyrå, http://www.konsumentbankbyran.se/artikel/article.asp?_tp_article_id=146&avd=art_bet&menu=art_bet, odaterad, nedladdad den 27 februari 2007. 6 Ibid. 7 ShopSite, Inc, ShopSite Credit Card Processing in Detail, http://www.shopsite.com/cc_101_detail.html, odaterad, nedladdad den 7 november 2005, min översättning. 8 Ibid. 7

kortinlösande banken eller den oberoende försäljningsorganisationen. Denna avgift är vad näringsidkaren betalar för möjligheten att kunna ta emot betalkort. Avgiften går till försäljningsorganisationen, banken och sammanslutningarna. 9 Affärskonto (merchant account): Ett affärskonto som införskaffas för att kunna behandla kontokortstransaktioner. Ett affärskonto är inte ett bankkonto (även om banker kan tillhandahålla affärskonton). Istället är kontots funktion att behandla kontokortsbetalningar, och det används för att i slutändan kunna sätta in företagets intjänade kapital på dess bankkonto (minus transaktionsavgifterna). 10 Betalningsportsavgifter (payment gateway fees): Avgifterna som betalningsportar tar ut för sina tjänster. Detta inkluderar vanligtvis en månadsavgift och en mindre fast avgift per transaktion. Dessa avgifter kan ibland konsolideras till en räkning av den kortinlösande banken eller den oberoende försäljningsorganisationen, tillsammans med deras avgifter. 11 Transaktionsavgift eller utbytesavgift (transaction fee/interchange fee 12 ): En liten fast avgift som betalas för varje transaktion. Avgiften tas ut av den kortinlösande banken eller försäljningsorganisationen och betalar det kostnadsfria telefonnummret som näringsidkare kan använda sig av för att kontrollera kortets status, och kontokortens behandlingsnätverk (processing network). 13 Beskrivning av systemet För att beskriva systemet kommer fyra olika källor till information att beaktas. Den första källan är ShopSite, Inc. som tillhandahåller en lösning för att snabbt starta en internetaffär, vilket de själva refererar till som e-commerce software. 14 Den andra källan som bidragit med information till beskrivningen av kortsystemet är en text från Retail Decisions plc, som beskriver hur kortsystem är uppbyggda. 15 Retail Decisions plc är ett företag som hjälper näringsidkare att undvika olagligt användande av kontokort i form av stöld, bluff och annan verksamhet. Den tredje källan är personlig korrespondens via e-post med Ulf Rydstedt från Konsumenternas Bank- & Finansbyrå. 16 Slutligen består den fjärde källan av en uppsats av Keith Lamond vid namn Credit Card Transactions Real World and Online. 17 Hur korttransaktioner fungerar kommer att beskrivas utifrån två perspektiv. Det första är ett generellt perspektiv som kan tillämpas på de flesta olika transaktioner, och det senare är ett perspektiv som är mer lämpat för internethandel. Den dagliga situationen i, till exempel, en matvaruaffär omfattas då av den generella beskrivningen medan ett köp av en bok på en 9 Ibid. 10 Ibid. 11 ShopSite, Inc, ShopSite Credit Card Processing in Detail, http://www.shopsite.com/cc_101_detail.html, odaterad, nedladdad den 7 november 2005. min översättning. 12 Retail Decisions, plc, ReD's guide to the Payment Card Industry, http://www.redplc.com/documents/guide_to_payment_card_industry.pdf, January 2001, nedladdat den 7 november 2005. 13 Se not 11. 14 ShopSite, Inc, ShopSite Credit Card Processing in Detail, http://www.shopsite.com/cc_101.html, odaterad, nedladdad den 7 november 2005, min översättning. 15 Se not 12. 16 Personlig korrespondens den 7 november 2005, via e-post med Ulf Rydstedt som är anställd hos Konsumenternas Bank- och finansbyrå. ulf@konsumentbankbyran.se. För en reproduktion av e-postmeddelandet i sin helhet, se Appendix A. 17 Keith Lamond, Credit Card Transactions Real World and Online, http://www.virtualschool.edu/mon/electronicproperty/klamond/credit_card.htm, 1996, nedladdad den 7 november 2005. 8

internetbokhandel omfattas av den mer specifika. Beskrivning av det generella systemet En korttransaktion kan delas upp i två olika steg. I det första steget måste kortet auktoriseras, vilket innebär att en förfrågan skickas från kortterminalen där kortinformationen samlas in, till den kortutgivande banken, där en kontroll utförs, för att säkerställa att tillräckligt med pengar finns på kontot. Den kortutgivande banken skickar sedan tillbaka en kontrollkod, vilket signalerar att tillräckligt med pengar finns, och köpet godkänns och kvittot skrivs ut. Det andra steget, vilket utförs senare, består av att pengarna faktiskt flyttas från kundens konto till näringsidkarens konto. Detta kan i en vanlig affär till exempel ske i slutet av dagen när en lista skickas med alla auktoriserade transaktioner till den kortinlösande banken, som sedan i sin tur kommunicerar med de olika kortutgivande bankerna för att sätta igång processen med att flytta pengarna. Den kortinlösande banken flyttar sedan alla pengarna från de konton, som de auktoriserade transaktionerna är kopplade till, till näringsidkarens konto. Efter denna översiktliga genomgång av den generella processen följer nu en mer ingående och förklarande genomgång. Situationen som här kommer att illustreras är ett vanligt kortköp, där en kund i en affär köper en vara med ett vanligt kontokort. Observera att det i fallet med internethandel är kunden som måste förse internetaffären med relevanta data (till exempel kortnummer, namn, giltighetstid och så vidare) istället för att dessa data läses av, av kortläsaren i affären. Detta visar också att den generella metoden också passar in på internethandel. Extra steg kan dock behövas läggas till i processen vilket visas längre fram i uppsatsen. Processen kan illustreras på följande sätt (Steg 1, auktorisering): 1. Kortet läses av i kortläsaren. 2. En auktorisering (förfrågan) om kortet är godkänt, skickas till den kortinlösande banken. (Med godkänt menas att kortet ej är spärrat, att dess giltighetstid inte överskridits samt att det finns täckning för köpesumman.) 3. Den kortinlösande banken frågar via banknätverken den kortutfärdande banken efter informationen som begärs i steg 2. 4. Den kortutfärdande banken kontrollerar kontot som är kopplat till kortet och returnerar den begärda informationen till den kortinlösande banken. 5. Den kortinlösande banken svarar med en auktoriseringskod till kortläsaren. 6. Kortläsaren skriver (om kortet är godkänt) ut ett kvitto som signeras, varpå även kontrollkoden kan utläsas. (Information om transaktionen lagras också hos näringdsidkaren i detta steg. Detta schema används för auktoriseringssteget. Informationen om transaktionen som lagras används senare när affären genom den kortinlösande banken initierar processen att flytta pengarna från kundens konto till det egna kontot.) 9

Fig 1: Steg 1, auktorisering Det som nu sker är att kunden får sin vara och att affärsverksamheten fortsätter som vanligt. När näringsidkaren sedan stänger för dagen, initieras skedet där pengarna flyttas från kundens konto till näringsidkarens konto och detta skede kan illustreras på följande sätt (Steg 2, flytta pengar): 1. Näringsidkaren tar de sparade auktoriseringarna med koder och flyttar dessa till sin kortinlösande bank, alternativt initieras processen av banken, om banken erbjuder en sådan funktionalitet. 2. Den kortinlösande banken skickar en capture request (infångningsbegäran) till de kortutfärdande bankerna. Anledningen till detta är att man med hjälp av den sparade informationen om transaktionerna som utfördes på dagen, begär att köpesumman flyttas från kundens konto hos den kortutfärdande banken, till det egna bankkontot. 3. De kortutfärdande bankerna skickar summan som begärts till näringsidkarens konto på den kortinlösande banken. (Det kan också vara kontot hos en oberoende försäljningsorganisation, istället för direkt hos en bank.) 4. Den kortinlösande banken flyttar pengarna från näringsidkarens konto till ett av näringsidkaren specificerat konto på vilken bank som helst. 5. Näringsidkaren kan till slut komma åt pengarna via det vanliga bankkontot. 10

Fig 2: Steg 2, flytta pengar För fullständighetens skull kan även nämnas att de två kostnader som handlaren får stå för i och med att dessa transaktioner utförs (transaktionsavgiften och avdragsavgiften), tas ut i steg två och i steg tre. Först tar den kortutfärdande banken ut en transaktionsavgift av den kortinlösande banken. För att täcka detta drar sedan den kortinlösande banken av en procentuell summa (avdragsavgiften) från pengarna som tages emot, för att till slut leverera pengarna till näringsidkarens normala bankkonto. Beskrivning av internetsystemet Baserat på vilket tillvägagångssätt som tillämpas, är processen antingen densamma (till exempel internetbokhandeln wettergrens.se där uppgifterna om kontokortet överförs per telefon varpå en manuell dragning görs med kortläsare, enligt den generella processen beskriven ovan 18 ), eller så tillkommer det ett till två steg i händelsekedjan. De nya stegen som tillkommer innebär att nya parter introduceras vilka agerar som en sluss mellan internet och banknätverken. Det är också viktigt att poängtera att riskerna som förekommer inom banknätverken helt bortses ifrån i denna uppsats, då dessa till mycket stor del är avskärmade från insyn från utomstående. Det som däremot kan nämnas om banknätverken är att det i regel är mycket lätt att föra över stora summor pengar mellan banker i och med datoriseringen av systemen. Vidare är kontrollen av de anställda hög, eftersom deras handlingar kan få stora konsekvenser för bankerna. Informationen om banknätverken har fåtts genom ett personligt samtal med Dennis Hood, som är datalogi instruktör vid Illinois Institute of Technology. 19 Kortbetalningar kan delas upp i samma två steg som ovan, nämligen auktoriseringsfasen och fasen där pengarna flyttas mellan konton. Följande exempel är hämtat från ShopSite som tillhandahåller en kundvagnsapplikation som internetbutiker kan använda sig av. Två aktörer tillkommer i handlingsschemat. Den första är ShopSite som tar emot kortinformation genom kundvagnsapplikationen och sedan vidarebefordrar den till den andra aktören som är en betalningsport (payment gateway). Betalningsporten skickar sedan informationen vidare till banknätverken där man till slut kan nå den utfärdande banken. Så här ser processen ut enligt 18 19 Personlig korrespondens den 1 november 2005 via e-post med Eva Karlsson som är anställd hos Wettergrens. Eva.karlsson@wettergrens.se. För en reproduktion av e-postmeddelandet i sin helhet, se Appendix A. Personligt samtal den 12 april 2005, med Dennis Hood, Instructor of Computer Science, IIT Rice Campus, Room 223, Phone +1 630 682 6024 (www.iit.edu). 11

ShopSite själva (Steg 1, auktorisering): 1. En kund köper en vara och skriver in sin kortinformation i ShopSites, betalningssystem vilket är kopplat till kundvagnen. 2. Kundens kortinformation skickas via ShopSite, Incs kundvagnsapplikation till en betalningsport. Med kortinformationen skickas också affärens ID nummer. 3. Betalningsporten kontrollerar i sin databas, med hjälp av affärens ID nummer, vilken kortinlösande bank affären använder sig av. Den informationen talar om för betalningsporten vilken betalningsbehandlare som skall användas i nästa steg. (Betalningsbehandlaren är starkt relaterad till den kortinlösande banken och kan i detta fall betraktas som en del av den kortinlösande banken.) 4. Betalningsporten skickar vidare informationen om kortköpet till den kortinlösande bankens betalningsbehandlare. (Den som affären använder sig av.) 5. Betalningsbehandlaren kontrollerar med hjälp av informationen vilken den utfärdande banken är och skickar vidare informationen till denna. 6. Den utfärdande banken kontrollerar att rätt belopp finns på kontot, att giltighetstiden är korrekt, i enlighet med steg fyra i den generella processen ovan, och skickar tillbaka en auktoriseringskod till betalningsbehandlaren. 7. Betalningsbehandlaren skickar vidare auktoriseringskoden till betalningsporten. 8. Betalningsporten skickar tillbaka koden till ShopSites kundvagnsapplikation som registrerar ordern som auktoriserad i internetbutikens orderdatabas och visar kunden ett meddelande om att transaktionen är godkänd. Fig 3: Steg 1, auktorisering (internet) De två extra stegen som nämndes ovan, är ShopSites kundvagnsapplikation och betalningsporten, som slussar information mellan internet och banknätverken. Dessa aktörer och steg gör det enklare att automatisera hela förloppet i fallet med en internetaffär, istället för att som wettergrens.se, låta kunden ringa in sin kortinformation. Man kan på så sätt hantera ett större antal kunder än om man manuellt måste utföra en handling så fort ett köp görs. Nackdelen är att fler länkar i kedjan förekommer, som alla kan brista när det gäller säkerheten. Säkerhetsaspekten kommer dock att avhandlas längre fram i uppsatsen. Vidare följer en beskrivning av steg 2 (flytta pengar), även den hämtad från ShopSite: 12

1. Näringsidkaren går in på ShopSite tjänst online och klickar på Capture. Då skickar shopsite informationen som lagrades i orderdatabasen till betalningsporten. 2. Betalningsporten slår upp i sin databas, likt steg tre ovan, till vilken kortinlösande bank informationen skall skickas, och skickar en förfrågan om infångning till den kortinlösande bankens betalningsbehandlare. 3. Betalningsbehandlaren, eller som i diagrammet, den kortinlösande banken, skickar informationen till de relevanta utfärdande bankerna. 4. De utfärdande bankerna skickar pengar från de relevanta kontona till näringsidkarens kortinlösande bank. 5. Den kortinlösande banken skickar pengarna vidare till näringsidkarens normala bankkonto, och därefter kan näringsidkaren förstås komma åt pengarna som vanligt. Fig 4: Steg 2, flytta pengar (internet) På samma sätt som det i det förra auktoriseringssteget hade tillkommit steg, har det även i detta steg tillkommit extra aktörer. Resultatet är naturligtvis detsamma, nämligen att näringsidkarens intäkter har förts över från kundernas konton (som är knutna till deras kort) till näringsidkarens eget konto där denne kan ta ut pengarna. Diskussion kring kortsystemens uppbyggnad Baserat på förklaringen av kortsystemens uppbyggnad som gavs ovan, kan man konstatera att det i fallet med betalningar över internet inte handlar om ett nytt system, utan istället om en påbyggnad till det redan existerande systemet. Det finns idag speciallösningar som söker sig bort från den enklare lösningen som granskas i denna uppsats, men dessa kommer ej att analyseras här då de rör sig bort från klassiska korttransaktioner. För att förbereda läsaren inför den mer djupgående diskussionen om korttransaktionernas säkerhet som förs längre fram i denna uppsats, kommer ämnet kort att nämnas redan i denna del. Eftersom internetprocessen för kortbetalningar är en komplex process, där flera aktörer och många steg är inblandade, kan det därför förmodas att betalningar över internet är mindre säkra, än traditionella transaktioner. Anledningen är att kortinformationen färdas över många nätverk, och att informationen kan kommas åt vid varje punkt utanför banknätverken då dessa är ansluta till internet, eller andra nät vilka kan kommas åt genom offentliga ledningar. Ett annat skäl till att säkerheten vid en transaktion genomförd över internet skulle kunna vara sämre, är att kortet inte behöver vara närvarande. Det räcker med att kunden själv matar in den information som krävs, för att systemet sedan skall behandla det hela som en 13

korttransaktion. Ur säkerhetssynpunkt skulle det också kunna hävdas att säkerheten rör sig från den högsta nivån inne på banknätverken (som ingen har tillgång till utan rigorösa kontroller) till den lägsta nivån kring slutanvändaren. I bilden ovan, rör man sig i detta resonemang från banknätverken längst till höger, till slutanvändaren som befinner sig längst till vänster. Förutsättningen för detta är att man då tror på "security by obscurity" vilket innebär att säkerheten i ett system följer ur att få personer vet hur ett system fungerar. Sammanfattning av beskrivningen För att avsluta beskrivningen av kortsystemen kan det konstateras att det idag är många aktörer inblandade och att informationen om kontokorten färdas mellan många aktörer. Avgifter som är förknippade med kortbetalningar förekommer också när informationen slussas omkring på banknätverken, och i slutändan är det näringsidkaren och i förlängningen kunden som får stå för dessa. 14

Säkerheten I den avslutande delen av beskrivningen av kortsystemens uppbyggnad och funktion konstaterades att många aktörer är inblandade och att många transaktioner förekommer mellan dessa aktörer där den viktiga kortinformationen slussas fram och tillbaka. Det finns också delar som är mer eller mindre oåtkomliga för vanliga människor, till exempel banknätverken där en stor del av informationsutbytet utspelar sig. För att analysera riskerna som är involverade med kortbetalningar kommer, till att börja med, systemet att delas upp i en agentdel, och en teknikdel. Men den avgränsningen skapas en uppdelning av de rent tekniska aspekterna som kan fallera vid en kortbetalning och på så sätt orsaka en icke intentionell omdistribuering av pengar, samt en mänsklig aspekt där man istället har en intentionell vilja att lura en person på dennes kortinformation. Den mänskliga delen kan även bestå av brister i människans natur, och brister i kunskapen om hur korttransaktioner går till. Den tekniska delen kan vara aktiv i den meningen att något faktiskt fallerar i systemet, vilket leder till att information tappas bort eller ändras, och dels passiv, där ett latent fel finns i systemet som kan utnyttjas av en person. Fokus vid denna uppdelning är det tekniska systemet i sig, utan en involverad mänsklig part som försöker utnyttja det i syfte att komma åt kortinformation. Därav indelningen aktiv, där systemet går sönder, och passiv, där ett fel i systemet finns, men som inte manifesteras om inte en människa utnyttjar detta. Riskerna relaterade till den mänskliga aspekten är varken aktiva eller passiva, utan baseras istället på människan och dennes brist på kunskap om olika aspekter på korttransaktioner för att en bedragare skall kunna komma åt kortinformationen. Ett bakomliggande antagande är alltså att det är en individ som medvetet försöker utnyttja en annan för att på så sätt få tillgång till dennes kortinformation, för att i slutändan kunna omdistribuera den utsattes resurser utan dennes godkännande. Den mänskliga aspekten kan också ta sig uttryck som brister i policy system som styr vad som får sägas till vem, vid vilken tidpunkt och så vidare. Sammanfattningsvis kan arbetssätet för denna del av uppsatsen uttryckas som att korttransaktionssystemet kommer att delas upp i de tidigare beskrivna aktiva och passiva tekniska delarna, samt den mänskliga delen. Efter denna grovmaskiga uppdelning förklaras de idag förekommande varianterna av tekniker för att komma åt kortinformation, för att visa hur de följer ur kategorierna. Till slut redogörs för en intervju med Jeanette Löfgren som är anställd hos AdLibris AB för att visa hur ett företag i dagens Sverige behandlar korttransaktioner, och de risk- och ansvarsfrågor som dessa kan ge upphov till. Därefter följer en sammanfattande slutsats. Generell kategorisering av riskerna Den tekniska delen av systemet kan sammanfattas som ett antal informationsbehandlande enheter vilka är ihopkopplade med varandra för att kunna utbyta information och därmed göra ett köp möjligt. De olika enheterna befinner sig mellan ledningarna, vilket leder till att enheterna i det generella fallet i beskrivningen ovan kan betraktas som (inom parentes): 1. Handlaren (kortterminalen) 2. Inlösande banken (datorsystem) 3. Utfärdande banken/bankerna (datorsystem) 4. Näringsidkarens vanliga bank (datorsystem) Mellan dessa enheter färdas informationen på publika nät (till exempel kan de flesta komma åt internet, och telefonledningar) enbart mellan kortterminalen och den inlösande banken, för att sedan fortsätta färden på bankernas nätverk vilka inte kan kommas åt av gemene man utan 15

rigorösa säkerhetskontroller. (Med informationen avses här kontokortsinformationen. Resultatet av transaktionen, dvs näringsidkarens pengar, går att komma åt via internet, det vill säga ett publikt nät, genom till exempel näringsidkarens internetbank, men eftersom det här är kontokortsinformationen som behandlas får det normala bankkontot ur den synvinkeln samma säkerhetsstatus som de övriga banksystemen.) Här kan säkerheten för de externa hoten delas upp baserat på åtkomstmöjligheten av nätverken: Högre risk (publikt nätverk): Kortterminalen, ledningarna mellan kortterminalen och inlösande banken, (1 och 2). Lägre risk (privat nätverk): De övriga bankernas datorsystem, (3 och 4). En kommentar om den inlösande bankens status är att hos en del inlösande banker som tillhandahåller näringsidkaren med ett affärskonto (merchant account), erbjuder de också tjänsten att komma åt en komplett transaktionslogg över internet. 20 Resultatet av detta är att de försvagar säkerheten i och med att de erbjuder personer en publik åtkomst till information om de har tillgång till lösenordet. Det enda som behövs för att komma åt de egna transaktionerna är ett användarnamn och ett lösenord, och har man tillgång till detta kan man ansluta till sitt konto och få tillgång till en lista på alla transaktioner som genomförts. I följande bild illustreras vad som åskådliggörs vid användningen av företagets webbtjänst: 21 Fig 5: Åskådliggörande av kontokortstransaktioner hos webbtjänst Genast kan läsaren inse att kortinformationen inte är komplett, och kan rimligen antas att 20 21 Transcom Payment Processing Solutions, http://transcomps.com/documents/paymentprocessing.pdf, odaterad, nedladdad den 11 november 2005. Merchant e-solutions, http://www.merchante-solutions.com/jsp/demo/trans_detail.jsp, odaterad, nedladdad den 11 november 2005. 16

informationen som skickas till denna tjänsteleverantör är komplett. Skulle så icke vara fallet, skulle det för företaget vara omöjligt att i sin tur, via banknätverken, kontakta den utfärdande banken och på så sätt få det bekräftat att ett köp kan genomföras. Visserligen har den kompletta kortinformationen avlägsnats från den information man kommer åt via internet, men det behöver ej innebära att den ej går att komma åt i slutändan. Informationen finns där på grund av att tjänstens funktionalitet kräver detta, och internet är en utmärkt väg in i deras system. Trots att informationen inte är synlig via det publika användargränssnittet, kan den mycket väl finnas tillgänglig i en icke publik databas, som driver deras hemsida. Förhoppningsvis har dock informationen delats av på ett korrekt sätt, vilket gör det svårare att attackera databasen direkt, för att på det sättet få ut känslig information. För att fortsätta analysen kan man konstatera att hårdvaran också är en svag punkt hos näringsidkaren. Kortterminalen, och näringsidkarens affär, är lättillgängligare än bankernas datorsystem och lokaler, vilket innebär att säkerhetsgraderingen av de olika involverade enheterna är densamma ur perspektivet hårdvara. En lärdom som kan dras av detta är att säkerheten sjunker drastiskt i ett system, då det ansluts till internet. Därför är det mycket attraktivt ur säkrhetssynpunkt att hålla banknätverken separerade i så stor grad som möjligt från så många personer som möjligt. Näringsidkarens kortenhet kan dessutom skriva ut kvitton, som ibland har kortnumret utskrivet. Detta är beklagligt ur säkerhetssynpunkt, men ett större säkerhetstänkande kring denna punkt existerar i Sverige idag. Internationellt (till exempel i Spanien och i USA) är det däremot vanligt att hela kortnumret skrivs ut på kvittot, vilket leder till att det blir mycket enkelt att komma åt kortinformation, eftersom det enda som krävs är att gå och titta på gatan efter kvitton som någon tappat eller slängt. Vidare kan man kort säga något om korthantering i restaurangmiljöer, där kort oftast förs utom synhåll för ägaren vid betalningstillfället. En svaghet med denna procedur är att personalen då får ett tillfälle att dra kortet flera gånger, alternativt att kopiera kortet, vilket inte är ovanligt utomlands. Dock har nya kort börjat tillverkas, där ett inbyggt chip gör det svårare för en bedragare att använda kortet, då ägaren är tvungen att mata in sin kod för att restaurangen skall kunna använda kortet vid betalningen. Detta är dock ett svagt skydd, då man på internet kan handla för kort om man vet kortnummer, namn, utgångsdatum och CVS/CVV-nummer. Chipet på kortet garanterar endast att kortet inte kommer att missbrukas hos restaurangen, och då i sin tur enbart i samband med den kortläsaren. Inget hindrar bedragaren (som i det här fallet jobbar på restaurangen) från att ha en egen kortläsare som används för att föra över pengar till hennes konto. Men då chip ännu inte är helt accepterat och ett förhållandevis (jämfört med kontokorten) nytt fenomen, har författaren valt att lämna den tekniken därhän i denna uppsats, bortsett från omnämnandet ovan. Kategorisering av risker relaterade till internetprocessen Internetprocessen (som utförs när man betalar över internet) kommer här att kategoriseras på samma sätt som den generella processen, innan riskerna delas upp i de kategorier som fastställdes ovan. Naturligtvis gäller det som sagts om den generella processen, då internetprocessen i detta fall är en påbyggnad till den generella processen. Därför kommer ej information att tas med i resonemanget som skulle resultera i en upprepning, utan endast de aspekter som är unika för internetprocessen behandlas i detta avsnitt. Det som tillkommer i fallet med en internetbetalning är en eventuell leverantör av kundvagnslösningar, en betalningsport och inlösande banker som erbjuder kunden möjligheten att se sammanfattningar av verksamheten via internet. I punktform kan en lista 17

över inblandade enheter se ut som följer: 1. Internetbutiken (kortinformationen matas in av kunden själv över internet) 2. Betalningsport (datorsystem, internet) 3. Inlösande banken (datorsystem) 4. Utfärdande banken/bankerna (datorsystem) 5. Näringsidkarens vanliga bank (datorsystem) Det kan konstateras att internet är mycket vanligt förekommande vilket kan minska säkerheten. Ett extra steg har också tillkommit, samt att kortterminalen i det generella fallet har ersatts med en internetaffär, där informationen återigen färdas över internet, samt att kortet ej behöver vara fysiskt närvarande vid transaktionen. Detta är också en skillnad som utmärker de två fallen. I det generella fallet har utgånspunkten varit en kortterminal och ett köp i en butik. I internetfallet finns ingen fysisk kortläsare, och heller inget fysiskt kort, vilket gör det hela mer osäkert. Anledningen till detta är att den fysiska kopplingen till säkerheten (en persons utseende och ID kort) saknas i internetfallet, samt att det är enklare för en person att ägna sig åt kontokortsbedrägeri i stor skala mot ovetande offer på internet. Det visades ovan att tjänster förekommer där kortinformationen kan kommas åt. Det finns alltså fler punkter som kan attackeras. Inte nog med att klienten kan attackeras (hennes dator), utan internetaffären, betalningsporten och i vissa fall den inlösande banken, kan attackeras. Detta resulterar i att internetprocessen för kortbetalningar är den mer osäkra processen, även om den generella processen inte var helt fri från risker. Specifik kategorisering av risker relaterade till internetprocessen Det är naturligtvis svårt att säga något konkret om de aktiva och passiva tekniska riskerna, men nya infallsvinklar kan ändå ses efter att systemen har analyserats, vilka beskrevs ovan. Ett skäl till att göra denna grova indelning är att det senare blir lättare att upptäcka, och peka på, specifika risker som finns med korttransaktioner. Passiva tekniska risker I denna kategori placeras de kvitton som skrivs ut av de fysiska kortmaskinerna. Hit räknas även kundens datormiljö. På samma sätt räknas datormiljön hos näringsidkaren och den inlösande banken (om denne erbjuder åtkomst över internet till viktiga data) in i denna kategori. Dessa risker ligger latenta i systemet och orsakar inga problem om ingen aktivt försöker utnyttja dessa och det är anledningen till att de klassas som passiva. Däremot exkluderas bankernas nätverk och system då dessa är mycket svåra att få information om och det konstateras enbart att banksystemen kan exploateras, men att det är svårt att göra detta om man ej jobbar inom branschen. 22 Det är relativt lätt att, till exempel, exploatera deras system då man har tillgång till dessa, men då banknätverken är starkt åtskilda från internet och från denna granskning, lämnas dessa utanför diskussionen. Aktiva tekniska risker Denna kategori kan upplevas som något konstlad då det skulle betyda att själva systemet har gett upphov till fel. Det kan även verka besynnerligt att ingenting har gjorts åt dessa fel, då inget revolutionerande har uppdagats inom denna kategori. Men en risk kan placeras i denna kategori när den baseras på de fysiska avstånd det rör sig om när pengar förflyttas över jorden, 22 Personligt samtal den 12 april 2005, med Dennis Hood, Instructor of Computer Science, IIT Rice Campus, Room 223, Phone +1 630 682 6024 (www.iit.edu). 18

på tidszoner och människans lathet. Risken har att göra med att det ofta tar ett tag innan en transaktion registreras på ens eget konto, vid handel utomlands. Detta kan bero på att näringsidkaren väntar med att auktorisera kortet eller att en liten fördröjning av auktoriseringen sker på grund av avståndet eller trafiken på tele- och banknäten. Det har hänt författaren av denna uppsats, att köp i utlandet registrerats på dennes konto långt efter köptillfället. Detta är en risk, eftersom en person på detta sätt kan köpa saker utan att behöva ha täckning för köpet. Alternativt kan personen låna pengar vid tillfället för köpet, för att generera en kod som signalerar att täckning finns, varefter han lämnar tillbaka pengarna innan de hinner reserveras. Orsaken är att auktoriseringar inte behöver göras. Ett köp kan göras, och auktoriseringen kan göras senare, bara den sker någon gång, då det utan auktorisering blir svårt för näringsidkaren att få ut pengar. Naturligtvis innebär detta förfarande en risk för näringsidkaren, men risken är ibland i den storleksordningen att vinsten i effektivitet och bekvämlighet uppväger risken. I fallet med AdLibris kommer det till exempel att visa sig att en näringsidkare inte alltid har problem med stulna kort och kortnummer. Mänskliga risker I gruppen mänskliga risker är det människan som är orsaken till att information om kontokort hamnar i fel händer. Mänskliga risker kan ta sig uttryck på många olika sätt. Allt från att någon aktivt försöker bedra en person, till att en näringsidkare av misstag råkar ge någon tillgång till kontokortsinformation genom att, till exempel, vara oaktsam med kvitton eller sin internetaffärs konfigurering och därmed gör det lättare för människor att utnyttja situationen. För att illustrera en mänsklig risk, refereras här till en personlig anekdot som visar hur en situation uppstår där kontokortsinformation hamnar i orätta händer i och med att en person medvetet försöker lura till sig informationen. Situationen utspelade sig för många år sedan, då en bekant till författaren roade sig med att för stulna kortnummer köpa snus på internet. Ett vanligt förfarande för att komma över kortnummer kunde vara att denne bekant ringde till närmaste pizzeria och frågade efter den önskade informationen. Ett samtal kunde låta som följer (författarens bekant betecknas här B och näringsidkaren betecknas P): P: Hallå, du har kommit till Pizzeria P, vad får det lov att vara? B: Ja, hallå, mitt namn är Richard Andersson och jag ringer från Stockholmspolisen. Jag undrar om det är ok om jag ställer några frågor? P: (Något nervös i en del fall) Ja, javisst, det är inga problem. B: Jo, det är såhär att vi har haft problem med kortbedrägerier, och vi ser att er pizzeria har blivit drabbad. Detta kan ge upphov till negativa effekter för din restaurangrörelse, då vi måste komma ner och inspektera restaurangen efter bevis. P: (Fortfarande något nervös) Jaha, ja, det var ju inte bra. Vad är det jag kan hjälpa till med? B: Jo, frågorna som sagt. Det jag undrar är om du skulle kunna gå tillbaka till dina tio senaste kortkunder och läsa upp deras namn, kortnummer och giltighetstid för att vi på så sätt ska kunna jämföra med vår information och spåra den skyldige? På så sätt slipper vi komma ner och undersöka saken, så slipper vi störa restaurangverksamheten. P: Jaha, ja, det ska nog inte vara något problem. (Varpå näringsidkaren sedan läser upp informationen om de tio senaste kortbetalande kunderna.) B: Jaha, då får jag tacka så mycket för hjälpen, så hör vi av oss om det skulle vara något mer. P: Ja, tack själv, det var så lite så. 19

Problemet är i det här fallet näringsidkarens bristande information om polisens arbetssätt. Det kan anses som ovanligt att en polis skulle ringa och fråga efter kortinformation. Det är dessutom ännu ovanligare att denne polisman skulle göra detta utan att på ett rimligt sätt först legitimera sig som polis. Kunskapen om detta, saknades i det här fallet hos ägaren av pizzarestaurangen, och detta är ett av kännetecknen med en mänsklig risk. Alla involverade parter är mer eller mindre dåligt informerade om vad som bör och inte bör göras i de olika stegen i samband med en korttransaktion. I det här fallet utgav sig person B också för att vara en polis, det vill säga en auktoritär person, vilket också kan göra det obehagligt att ifrågasätta det personen talar om och även detta är en brist. Få personer idag vågar ifrågasätta i situationer som dessa, då tanken på att det skulle röra sig om bedrägeri från den fiktive polisens sida inte ens finns i personens medvetande vid tillfället. Ett exempel på mänskliga risker i kortsystemen är brister i de involverade personernas utbildning om korttransaktioner och kritiskt tänkande. Väldigt sällan finns också utarbetade rutiner för hur situationer som den ovan, skall hanteras. Frågor som Hur agerar man om det ringer någon och ber om känslig information?, Vem måste gå med på det?, och Hur bör personen som ringer legitimera sig själv? är alla mycket viktiga frågor, som det kan löna sig att reda ut om ett stort fokus ligger på korttransaktioner inom organisationen. Notera återigen att exemplet ovan inte är påhittat, utan att det har utspelat sig i verkligheten och att det har fungerat. Då en grov beskrivning av brister inom korttransaktionsprocesserna nu har givits för att ge en översikt och en generell ide om vilka bristerna är, kommer nu en mer ingående analys av konkreta tekniker som syftar till att komma över kontokortsinformation att göras, för att visa på konkreta brister som de underliggande problemen ger upphov till. I avsnittet som följer kommer exempel att ges på hur skräpande kvitton ger upphov till en icke intentionell omdistribuering av pengar, och hur okunskap om hur den egna datorn fungerar kan ge upphov till samma oönskade effekt. Tekniker som används vid kortbedrägeri Floran av tekniker som existerar för att lura personer på deras kortinformation, är rik. Ett typiskt tillvägagångssätt är en kombination av tekniskt kunnande, med bristande kritiskt tänkande och kunskap om korttransaktioner hos offret, för att på så sätt lura av henne informationen om hennes kontokort. De konkreta tekniker vilka tas upp här, är baserade på författarens egen erfarenhet samt i första hand tre källor. I de fall där där information hämtats om mindre detaljer kommer detta att redovisas löpande i texten. Den första källan är dokumentet ReDs guide to the payment card industry där en allmän diskussion förs kring kortindustrin och dess säkerhet. 23 Den andra källan är boken The Art of Deception där man primärt koncentrerar sig på den mänskliga aspekten i system och hur människan kan vara den svaga länken ur säkerhetssynpunkt i ett tekniskt system. 24 Till slut är den tredje källan uppslagsorden Phishing, Pharming, Dumpster diving (Trashing), Keylogger och Credit Card Fraud på Wikipedia.org, vilka tas upp här för att ge en överblick av konkreta tekniker som används idag för att olovligen komma över kontokortsinformation. 25 Skimming är ett begrepp utan en egen artikel på Wikipedia.org och är hämtat från 23 24 25 Retail Decisions, plc, ReD's guide to the Payment Card Industry, http://www.redplc.com/documents/guide_to_payment_card_industry.pdf, januari 2001, nedladdat den 7 november 2005. Kevin D. Mitnick och William L. Simon, The Art of Deception, Wiley Publishing, Indianapolis, Indiana, ISBN: 0-7645-4280-X, utgiven år 2002. Artiklarna fås fram genom att efter url:n http://en.wikipedia.org/wiki/ lägga till det relevanta uppslagsordet. Till exempel http://en.wikipedia.org/wiki/skimming eller http://en.wikipedia.org/wiki/credit_card_fraud. Mellanslag i termen ersätts med understreck (_). 20