Sådan kan online bedrageri forebygges

I slutningen af november meddelte hotelkæden Marriot, at de var blevet offer for en af historiens største datalæk. Hackere var kommet ind i et af virksomhedens bookingsystemer og derigennem fået adgang til personlige data fra flere end 500 millioner gæster med alt fra kortoplysninger og pasnumre til navne, adresser og rejseoplysninger.

Denne læk er en påmindelse om den voksende trussel, som cyberkriminalitet udgør. Ifølge Jan Olsson, kriminalkommissær og virksomhedsudvikler hos Nationellt IT-brotts centrum, koster bedragerier den globale økonomi over 3 billioner euro hvert år, og en stadig større del af bedragerierne sker online. Det er mange typer digitale bedragerier, men den mest almindelige er såkaldte ”Card Not Present”-bedragerier, onlinekøb foretaget med kortoplysninger, der er stjålet ved dataindtrængen som det hos Marriot.

”Bedragerierne vokser i snit med 10 procent om året, men ”Card Not Present” vokser meget mere, med ca. 40 procent om året,” fortæller Jan Olsson.

Ifølge Politiets tal er antallet af anmeldte CNP-bedragerier vokset med 269 procent i Sverige mellem 2011 og 2017, fra knap 20.000 tilfælde til knap 80.000. Også på europæisk plan er udviklingen foruroligende. Tal fra den Europæiske Centralbank viser, at CNP-bedragerierne i Europa er vokset med 66 procent de seneste fem år, og selvom forbrugerne er beskyttede, kostede disse bedragerier den europæiske økonomi 1,38 milliarder euro i 2016.

”Dette er en trussel mod hele det finansielle system. Fremover vil folk ikke bruge kort til at købe ting online, hvis de er urolige for, hvad der vil ske med deres kortoplysninger. Det er også en trussel mod samfundet, eftersom vi skaber en generation af unge, som begår disse overtrædelser, men som næppe ser det som en overtrædelse. De bruger bare nogle tal til at købe ting på nettet”, siger Jan Olsson.

”Disse lovovertrædelser kan ikke elimineres, men vi kan forebygge de fleste og det skal vi gøre i fællesskab”.

CNP-bedragerierne kan forebygges

Trods den foruroligende udvikling ser Jan Olsson dog håb forude. CNP-bedragerierne kan nemlig forebygges og netop nu gennemføres der omfattende tiltag for at få bugt med problemerne.

Gennem EU's nye persondataforordning, GDPR, øges kravene til virksomheder om at beskytte følsomme oplysninger, såsom vores kortoplysninger, mod hackere. Den nye europæiske betalingstjenestelovgivning, PSD2, indebærer desuden, at europæiske e-forretningsindehavere tvinges til at anvende ”stærk kundeautentifikation” såsom 3D Secure i deres webbutikker. Det vil derfor i teorien blive umuligt at gennemføre onlinekøb i Europa udelukkende med stjålne kortoplysninger.

EU-kravet om ”stærk kundeautentifikation” træder i kraft i april 2019, men allerede nu ser Jan Olsson, at de kortudstedende banker gør en indsats for at reducere CNP-bedragerierne. Som eksempel nævner han en svensk bank, som formåede at reducere sine bedrageri-tab med 60 procent ved at lade kunderne ”låse deres kort op”, før de kan gennemføre onlinekøb.

Der findes altså allerede løsninger på CNP-problemet, men Jan Olsson oplever, at der er modstand blandt forretningsindehavere mod at implementere dem. Grunden til dette er, at stærkere sikkerhed, såsom 3D Secure, menes at påvirke forretningsindehavernes konvertering negativt, eftersom købeprocessen bliver mere kompliceret. Ifølge Jan Olsson er dette dog en kortsigtet indstilling til sikkerhed, eftersom forretningsindehaverne er dem, som vil blive ramt hårdest, hvis forbrugerne mister tilliden til e-handlen. Derfor håber han nu, at forretningsindehaverne går i brechen for at finde og implementere nye løsninger på bedrageriproblemet.

”Disse lovovertrædelser kan ikke fjernes, men vi skal forebygge dem, og det skal vi gøre i fællesskab. Bankerne yder allerede en stor indsats, så det er nok e-handlen, der skal optrappe indsatsen.”

Kilde: Infosecurity, ECB