Af Rasmus Elm Rasmussen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
I alt 140 lande var præsenteret blandt de 1 4 millioner betalingskort, der blev fundet til salg på på det mørke internet. Den gennemsnitlige pris på alle fundne kort var 9 dollars og 70 cents, mens den gennemsnitlige pris på de danske kort var betydeligt højere, nemlig 17 dollars og 58 cents.
“Siden 2014 har vi set en konstant stigning i svindel med betalingskort i hele verden. Vi besluttede os for at undersøge, hvor meget et betalingskort koster på det mørke net, og hvorfor der er et voksende sort marked for dem,” siger Marijus Briedis, CTO for NordVPN. ”Svaret ligger i, at hackerne nemt kan tjene mange penge. Selv hvis et kort gennemsnitligt koster 10 USD, kan en hacker tjene 40 millioner ved at sælge blot en database, som den vi analyserede”.
Prisen på de danske betalingskort varierede fra 6 til 25 amerikanske dollars. Selvom størstedelen (7381) af betalingskortene kostede $20, var den gennemsnitlige pris på alle fundne kort 17 dollars og 58 cents.
De dyreste kort stammede fra Hong Kong og Filippinerne (gennemsnitspris på 20 USD), mens de billigste tilhørte mexicanere, amerikanere og australiere (med priser helt ned fra 1 USD).
Med 12.152 betalingskort på listen er Danmark det tredje mest påvirkede land i Skandinavien. Det hårdest ramte land var USA med 1.561.739 kort, der tilhørte amerikanere ud af et samlet antal på 4.481.379. Det næstmest ramte land var Australien med 419.806 betalingskort fundet sat til salg på det mørke net.
Selvom det største antal af betalingskort var fra disse to lande, betyder det ikke, at de er de mest udsatte. Ifølge forskningen afhænger graden af udsathed af faktorer som f.eks. andelen af ikke-refunderbare kort, landets befolkningstal samt antallet af kort i cirkulation.
”For eksempel, med forbehold taget for det store antal kort med mulighed for tilbagebetaling, kan amerikanske betalingskort være mere sikre. Der blev dog stadig fundet et større antal af disse på nettet grundet det større antal af kortforbrugere i landet,” forklarer Marijus Briedis.
Forskere hos NordVPN sammenlignede data fra betalingskort på tværs af landene med henholdsvis befolkningsstatistikker samt antallet af kort i cirkulation fra Visa, Mastercard og American Express. Dette blev gjort med henblik på at udregne et risikoindeks, og til at bestemme sandsynligheden for at finde kortdata på det mørke net med udgangspunkt i de forskellige lande.
Danmarks risikoindeks var 0.6. Det mest udsatte land var Hong Kong med et risikoindeks på 1 – den maksimale værdi. Efter Hong Kong kom Australien (0.85), og herefter New Zealand (0.8). Mindsteværdien for indekset, 0, gjorde sig kun gældende for Holland.
Risikoindeksene for alle andre lande kan findes her: https://nordvpn.com/research-lab/payment-card-details-theft/
Visa Dankort hårdest ramt
Størstedelen (8359) af alle de fundne betalingskort fra Danmark var Visa efterfulgt af MasterCard (1904).
Når man sammenlignede antallet af kredit- og debetkort, var debetkort mere tilbøjelige til at blive hacket. 96,8% af de fundne kort var debetkort, mens 3,2% var kreditkort.
Når man taler om kortniveauer, så var Visa Dankort 7 gange mere tilbøjelige til at blive fundet på det mørke internet sammenlignet med alle andre kort.
Hvordan optrådte disse data på det mørke net? En forklaring af begrebet brute-forcing.
“I stigende grad er kort, som sælges på det mørke net blevet brute-forced. Brute-forcing svarer til et gættespil. Forestil dig en computer, som prøver at gætte dit password. Først prøver den 000000, herefter 000001, så 000002 osv., hvilket fortsætter, indtil den gætter rigtigt. En computer kan selvfølgelig lave flere tusinder af gæt i sekundet,” forklarer Marijus Briedis, CTO for NordVPN. ”Kriminelle prøver ikke på at ramme specifikke individer eller specifikke kort. Det handler alt sammen om at gætte et givent korts detaljer, således at det kan sælges videre”.
Der er ikke meget, man kan gøre for at beskytte sig selv mod truslen, andet end at stoppe med at bruge betalingskort. Det bedste, man kan gøre, er at være på vagt og værne om sine kortoplysninger.
“Gennemgå månedligt din kortaktivitet, og vær opmærksom på mistænkelige forhold. Reager øjeblikkeligt, hvis dette er tilfældet, og meddel banken, at dit kort måske kan være blevet brugt på uautoriseret vis. En anbefaling er at benytte forskellige bankkontoer til forskellige formål, og kun have mindre beløb stående på de konti, hvor et betalingskort er tilsluttet. Nogle banker tilbyder midlertidige virtuelle kort, man kan benytte, hvis man ikke føler sig sikker ved at handle på nettet,” lyder anbefalingen fra Marijus Briedis.
Her er, hvad du bør holde øje med, når det kommer til sikkerhed vedrørende egne finanser:
• Stærke password-systemer: Betalingssystemer og andre systemer benytter passwords, og disse skal være stærke. Alle ekstra forbehold gør det sværere for hackerne at bryde gennem sikkerheden. For at undgå at ulejlige brugerne kan bankerne for eksempel tilbyde password managers. Der findes i forvejen mange gode muligheder for forbrugerne såsom NordPass.
• MFA: Multifaktorgodkendelse er ved at blive den nye minimumsstandard. Hvis din bank ikke allerede tilbyder det, bør man efterspørge funktionen eller overveje et bankskift. Passwords er blot første sikkerhedstrin, og de bør suppleres med verifikation via. enhedsgodkendelse, SMS, fingeraftrykslæser eller andre lignende sikkerhedsforanstaltninger, som tilføjer et ekstra lag sikkerhed.
• Systemsikkerhed og sikkerhed mod svindel: Systemer mod svindel kan afsløre situationer, hvor det er lykkedes hackerne at kompromittere et givent system. Banker benytter værktøjer såsom AI til at spore mistænkelige betalinger og udefrakommende forsøg på svindel. Der lægges pres på betalingssystemer og onlinebutikker, som ofte ender med at bære byrden for svindlen, og dermed også har et større incitament til at forbedre deres systemer.
Metode
Dataopsamling: Dataene blev udarbejdet i samarbejde med uafhængige forskere med speciale i cybersikkerhed i utilsigtede hændelser. Forskerne evaluerede en database indeholdende kortoplysninger for 4.478.908 kort, hvilket inkluderer typen af kort (kredit- eller debetkort), udstedende bank og om kortene var refunderbare. Dataene NordVPN modtog fra tredjepartsforskere indeholdt ikke oplysninger relateret til identitet eller identificerbare oplysninger (såsom navne, kontaktinformationer eller andre personlige former for data). Vi arbejder ikke med det præcise antal af betalingskort, der er blevet solgt på det mørke net, da NordVPN kun har analyseret statistisk data modtaget af uafhængige forskere.
Analyse: Rå data giver kun et indblik i helhedsbilledet. Befolkningsstørrelse og kortforbrug varierer fra land til land, og disse er blot to faktorer, der kan have indvirkning på dataene.
Forskere hos NordVPN sammenlignede data fra betalingskort på tværs af landene med henholdsvis befolkningsstatistikker fra UN samt antallet af kort i cirkulation udstedt af Visa, MasterCard og American Express. Dette blev gjort med henblik på at udregne et risikoindeks, og til at bestemme sandsynligheden for at finde kortdata på det mørke net med udgangspunkt i de forskellige lande.