Nieuws  
 

Een code die webwinkelen met de Mastercard van de ING extra veilig zou moeten maken, is simpel te resetten en geeft bovendien de naam van de kaarthouder prijs.
Dat bleek gisteren in de uitzending van het Vara-programma Zembla over identiteitsdiefstal en creditcardfraude. De SecureCode geeft normaliter een extra beveiliging voor het online shoppen met een creditcard. Visa heeft iets vergelijkbaars, Verified by Visa. Het is een soort pin-code die wordt ingevoerd op het moment dat een online transactie, bijvoorbeeld bij een webwinkel, wordt voltooid.

Cadeau voor cybercriminelen
Naar nu blijkt laten kwaadwillenden die reeds beschikken over de kaartgegevens zich niet in de luren leggen door deze extra SecureCode, tenminste die van Mastercard uitgegeven door ING.
Frank Engelsman van digitaal recherchebureau Ultrascan demonstreerde in Zembla het lek. In het venster waar de code moet worden ingevoerd zit namelijk ook een reset-knop, waarna simpelweg een nieuwe, zelfbedachte code kan worden gegenereerd. De frauduleuze transactie kan zo toch plaatsvinden.
En dat niet alleen. Door de SecureCode te resetten, geeft het systeem bovendien de naam van de kaarthouder prijs, voor zover die nog niet bekend was bij de fraudeur. Indien de crimineel een geldig kaartnummer invult maar met een verkeerde naam, komt het SecureCode systeem terug met de correcte naam. Dit kan voor cybercriminelen een waardevolle aanvulling zijn om hun gestolen identiteitsdossier te completeren.
Wie zich in Nederland aanmeldt voor Mastercard SecureCode om zich beter te beveiligen bij internet transacties accepteert ook nog eens een eigen risico van 150 euro. Wie geen SecureCode gebuikt, krijgt in principe alle frauduleuze transacties vergoed.

ING: niet echt veilig
Een ING-fraudemedewerker bevestigt in de uitzending de kwetsbaarheid: "Dat weet ik. Daar hebben we zelf ook al onderzoek naar gedaan, naar de Secure Code van de ING. En die is inderdaad niet zodanig dat je kunt zeggen, dit is echt een veilig iets."

Maar officieel wil de bank slechts kwijt: "MasterCard SecureCode een preventieve methode [is] welke ING inzet om fraude met internettransacties tegen te gaan waardoor de veiligheid van credit card transacties op het internet verder wordt verhoogd."

Fraude-officier F. Speijers toont zich ontdaan over de onveilige SecureCode: "Dat is verbijsterend, want het is nou net bedoeld om veilig te zijn." Hij wil dat er beter gaat worden gecontroleerd, onder meer door koppeling van de kaartgegevens aan de naam van de kaarthouder. "Je zou een vast bestand moeten hebben van het creditcardnummer, het controle nummer, de datum waarop de kaart verloopt en van de eigenaar van de kaart. Dat zou één geheel moeten zijn, anders zou je met die kaart geen zaken moeten doen. Ik verbaas mij dat het niet zo is."

Beveiligingsbedrijf Fox-IT bevestigt tegenover Webwereld het veiligheidlek in het SecureCode-systeem van ING creditcards. De ING bank was nog niet bereikbaar voor commentaar.

 

Plaats op:
Datum: 10 november 2008
Bron: webwereld.nl
Gerelateerde artikelen  
10-11-2008 Nieuws Verbazing bij OM door Zembla uitzending
25-06-2007 Nieuws Ogone doorloopt creditcard-audit voor vierde keer met succes
01-06-2010 Nieuws Cyberbende dupeert Staatsloterij met gestolen creditcards
20-01-2012 Nieuws Visa constateert minder fraudegevallen dan ooit
30-09-2010 Nieuws Zeus Trojan is nu actief op mobiele telefoons
 
 

- partners -

 
 
 
 
 
� 2007 - 2017 Vakwereld. All rights reserved Pagina geladen in 0,32 seconden.