2015-08-12 20:21

Swedbank effektiv på att stoppa kontokortsbedrägerier

Under min signeringsturné i Öresundsregionen fick jag företagskortet skimmat, med 100% sannolikhet i en parkeringsautomat. Swedbank har dock mycket effektiva rutiner för att spärra kort vid försök till obehörig användning och jag led ingen skada.

Företagskortet har ingen kredit, utan är ett renodlat betalkort mot konto, och är via Swedbank Sjuhärad, som med all sannolikhet använder Swedbank för tjänsten eftersom utskickat brev kom från just Swedbank. Kortet har aldrig använts för nätköp utomlands, eller använts utomlands, eller på restaurang etc, men blev alltså utsatt för ett obehörigt transaktionsförsök, dvs någon hade skimmat kortnumret.

Enda möjliga attackvektorn som jag ser det är att en parkeringsautomat i antingen Helsingborg, Lund eller Malmö var utrustad med någon form av skimmningsutrustning, som läste kortets magnetkod. Därefter försökte man använda kortet i USA, men Swedbanks säkerhetssystem fångade upp detta och kortet spärrades.
Foto: Swedbank

Nedsidan var att spärren på kortet inträffade under min tjänsteresa till Stockholm i måndags, vilket gav upphov till lite problem och pinsamheter.. Jag har dock tagit upp det hela med ekonomiavdelningen på företaget, som gått med på att godkänna att utläggen gjordes på privat kort och ekonomiavdelningen accepterar snällt nog mina inlämnade kvitton.

Inga som helst irreguljära transaktioner har bokats på kortet. Inga pengar har dragits från kontot, men Swedbank spärrade effektivt kortet. Ett brev landade sedermera i brevlådan hemma direkt, skickat från Swedbank, där man informerade om att kortet spärrats och varför.

Vid kommunikation med min företagskontakt på Swedbank Sjuhärad konstaterade kontakten att man bör undvika att använda betal- eller kreditkort på parkeringsautomater, utan istället använda ett bensinkort för detta, då det inte är intressant att skimma dessa. Den vanliga attackvektorn är nämligen köp på tveksamma sajter eller platser1. i USA när man väl har kortnumret. Så det får bli slut med att betala jobbparkering med företagskortet och istället använda betalkortet.

Oavsett mycket bra jobbat av Swedbank. Det känns tryggt att de automatiskt detekterar möjliga obehöriga transaktioner och spärrar korten utan att några transaktioner ens bokas. Åtminstone i mitt fall.

1. I USA är det ofta fortfarande möjligt att både dra kort och att köpa saker utan att vare sig legitimera sig eller knappa in kortets PIN-kod. Ett skimmat kort kan alltså med lätthet användas för inköp på plats i USA. Allt som krävs är att man mailar över kortnumret och magnetiserar en kortremsa med numret.

30 kommentarer:

  1. "Jag har dock tagit upp det hela med ekonomiavdelningen på företaget, som gått med på att godkänna att utläggen gjordes på privat kort och ekonomiavdelningen accepterar snällt nog mina inlämnade kvitton."

    Är inte du egenföretagare? Är isf ovanstående en omskrivning om att du tittade dig i spegeln och bestämde dig för att ta det på privata kortet?

    SvaraRadera
    Svar
    1. Tyckte jag också var en kul formulering.
      "Jaaaaaaaa, det kan jag godkänna, för jag är Ulla-Bella, min sekreterare, och då kan man allt och lite tiiiiilll!".

      https://sv.wikipedia.org/wiki/Ulla-Bella

      Radera
  2. Swedbank har inte imponerat på mig men det här var ju lysande hanterat.

    SvaraRadera
  3. Kanske inte lika roligt om du faktiskt precis åkt till USA och använt kortet och de automatiskt spärrar kortet och skickar hem ett snigelbrev om det.

    Dock,

    1) Man kan köpa i Sverige utan att legitimera sig eller slå PIN också, på vissa ställen. Precis som på vissa ställen i USA även om det kanske är mer utbrett där.

    2) Du har sämre rättsskydd om du inte har kredit.

    SvaraRadera
    Svar
    1. Köp utan PIN eller leg i Sverige gäller väl bara små summor, typ parkeringsautomater eller andra småköp under 200kr? Jag misstänker att bedragarna gärna kommer över mer än några timmars parkering eller en Big Mac & Co.

      Radera
    2. Notera att köp med leg innebär att betalningsmottagaren skriver ner personnumret, någon verklig koll från bankens sida att legitimering skett lär med andra ord inte göras.

      Radera
  4. Kul att Swedbank gör nånting bra (annat än aktieutdelningen), det hör och upplever man sällan. Beklagar förlusten, men som tur är har vi en snut på hugget som säääkert jobbar med att stoppa och fängsla tjuven.

    SvaraRadera
    Svar
    1. Det var inte typ VISA som skötte det här?

      Radera
  5. Varför i hela friden har du Swedbank till företaget?!?
    Det finns ju företagsbanker som ger riktig ränta t.om. på transaktionskontot.

    Swedbank hade t.om. en massa avgifter - utöver 0 räntan - när vi hade dem.

    SvaraRadera
  6. Varningssystemen tittar troligtvis på tidpunkt mellan senaste köp och plats. Ett köp i Sverige kl 14 följt av ett köp i USA kl 16 är orealistiskt och bör ge en varningssignal då ingen kan transportera sig emellan så snabbt. Däremot ett köp i Malmö kl 14 följt av ett köp i Köpenhamn eller Puttgarden kl 16 är realistiskt och bör inte trigga en varning.

    SvaraRadera
    Svar
    1. Dylika varningssystem kanske kan plocka upp misstänkta transaktioner, men det baserar sig isf mycket på att kriterierna för varningarna inte blir kända. Blir kriterierna kända så kan ju bedragaren helt enkelt se till att göra transaktioner som inte triggar varningarna.

      Det är lite märkligt att de inte lyckas med att få till ett system som är någorlunda säker. Låta folk handla på kort genom att de bara känner till siffrorna som står på kortet? Kom igen!

      Radera
    2. Det är dock inte lätt för bedragarna att veta var och när kortet senast användes. De kanske vet när Wilderäng drog kortet i den preparerade parkeringsautomaten, men hur ska de veta vad han sedan har gjort med sitt kort? På så sätt har bankerna ett övertag.

      Radera
    3. Bedragarna kan t.ex. gissa att cornu sover om nätterna och då inte använder kortet under den tidsperioden. I rätt många fall skulle det kunna användas för att mönstret inte skulle verka misstänkt.

      Radera
  7. Hade swedbank förr när jag jobbade i Tyskland. Jobbade mån-fre där varje vecka och det funkade utmärkt. Till slut hade man ju lärt sig exakt vart man skulle trycka på bankomaterna där nere och en dag skojade jag till det och klickade "spanska" som språk.
    Fick direkt upp ett långt meddelande på spanska (obegripligt för mig) och bankomaten stal mitt kort.

    Fick sen snigelpost från Swedbank som informerade om spärrningen.

    tvivlar väl på att det berodde på språkvalet, det råkade nog bara sammanfalla med att jag tog ut pengar i Stockholm, Berlin och en stad i södra Tyskland inom x antal timmar.

    SvaraRadera
  8. "man bör undvika att använda betal- eller kreditkort på parkeringsautomater"
    Ja, säg det till parkeringsbolagen som bara tillåter kortbetalning på många automater.
    Inte heller alla som har bensinkort…Dessa torde väl kunna missbrukas på automatstationer? En full tank är värd en hel del idag.

    SvaraRadera
    Svar
    1. Snart kommer det bara att vara möjligt att göra en betalning med "sina" pengar på Skatteverkets konto. Efter ansökan hos statsbanksmyndigheten och den handläggningstid det tar för den att utreda huruvida det är lagligt för dig att neka sälja till den andra ansökanden i transaktionen. Redan idag måste ju alla förslavade svenskar hyra ut sin bostad och släppa in i sin butik alla som staten dikterar att du måste.

      Radera
    2. Förlåt, jag skrev "staten". Jag ska göra det till vana att hädanefter alltid skriva "Gud staten" eftersom etatism är en religion som utnyttjas av det giriga gäng banditer som "är staten". Du vet, de som har det du trodde var dina pengar.

      Radera
  9. Ja så går det när man betalar för parkering!

    Som det brukade stå på automaterna på 80/90-talet i Lund/Malmö, "Detta är stöld betala därför endast med stulna mynt!" Själv lyckades jag inte få tag på några stulna mynt så jag fick köra med en femma i snöre, det var tider!

    SvaraRadera
  10. Det finns ett problem djupt i hjärtat i den moderna betalningsprocessindustrin. Detta problem gör bedrägeri enklare, misstag vanligare, det tar kontroll över våra egna pengar, ifrån oss och gör hela systemet svindlande komplext, långsamt och dyrt. Vad är problemet? Att du aldrig betala för något.

    Snarare godkänner du betalningen. Det visar sig att detta är en mycket viktig distinktion som de flesta av oss tar helt för givet. Vi har en intuitiv känsla av att när vi drar vårt betalkort av plast genom terminalen i affären så ger vi pengar till företaget - men i själva verket är det de som ta pengar från oss.

    Självklart är det inte så en betalning ska fungera och systemet är fundamentalt trasigt.

    SvaraRadera
    Svar
    1. Japp! 'det fantastiska är inte hur fint björnen dansar, utan att den dansar överhuvudtaget'.

      Radera
    2. Att man godkänner att de drar pengar från kontot är i grunden samma fenomen som när man betalade med check - jag ser egentligen inget fel i det. Problemet är när det ställs så låga säkerhetskrav för att styrka att kontohavaren lämnat medgivandet.

      Radera
    3. Hundratusentals kreditkortsuppgifter stjäls varje år. Helt enkelt för att för många korthemligheter lagras på alltför många system. Systemet är komplext, osäkert, långsamt, dyrt och det är fel eftersom kunden blir lidande. Det är faktiskt sämre än checksystemet, som också är ett "Pull" betalsystem.

      Det finns också nackdelar med motsatsen - "Push" system (kontanter eller Bitcoin) - där transaktioner tenderar att vara mindre reversibla eftersom det enda sättet att få dina pengar tillbaka är att övertyga den person som har dem att "pusha" tillbaka dem. Ett "Push" system skulle säkert göra bedrägerier svårare och också göra bedrägeri mindre utbrett. "Push" system tenderar också att kräva högre säkerhet på grund av oåterkallerlighet, men det är knappast dåligt ..?

      Radera
    4. Skillnaden ligger i säkerheten inte att det rör sig om push eller pull. Du kan nog använda pull med dina bitcoins också utan att det ändrar säkerheten.

      Radera
    5. I egenskap av programmerbara pengar så är det fullt möjligt att emulera pull betalningar och all annan svampighet med dagens betalsystem. Men det är premiumtjänster som måste byggas som ett lager över bitcoinprotokollet.

      Radera
    6. @alag

      Nej, det är ingen premiumtjänst. Stoppa t.ex. 1mBTC i en wallet och ge någon privata nyckeln så kan de plocka själv t.ex. Lite mer avancerat skulle vara att skicka honom en signerad transaktion som han själv kan stoppa in i blocklistan. Varför man skulle vilja det är en annan fråga.

      Men jag vidhåller det är inte distinktionen push/pull som utgör skillnaden som gör att det kortbetalningar är osäkra och bitcoin-betalningar är säkra utan det är att kortbetalningar endast kräver kortnummer+personnummer för att dra önskat belopp från kontot medan bitcoinbetalningar kräver en digital signatur (en signatur öht) för att överföra angivet belopp (som signaturen avser).

      Radera
    7. Om du stoppar in dina kontanter i ett kassavalv på en bank och sen kopierar nyckeln och ger ut den till korvgubben utanför banken som betalning så delar du bara kontrollen av bankfacket med korvgubben, ni har alltså lika mycket kontroll över facket så det är inge pullbetalning. I fallet Pull så har du faktiskt ingen kontroll över kontanterna i bankfacket utan är beroende av en medlare, den moderna betalningsprocessindustrin har många medlare, men för enkelhetens skull så går vi tillbaka till banken. Så vill du ta ut dina kontanter som du har i bankfacket går du helt enkelt till disken, signerar en lapp, vilken ger bankmannen din order att går in i valvet och hämtar dina kontanter ur bankfacket. Du har alltså ingen kontroll i "Pull"-fallet och är beroende av en tredje part (bankmannen) som har kontroll över ditt bankfack. Du kan även signera en orderlapp och ge till korvgubben utanför, som han vid ett senare tillfälle kan ge till bankmannen som hämtar pengarna för korven ur ditt bankfack.

      Radera
    8. "Bankmannen" är absolut en premiumtjänst. Blockkedjan är ett helt öppet bankvalv med olåsta bankfack, vem som helst kan gå in och kolla i ett bankfack och finns det bitcoins i det - grattis!

      Radera
  11. SEB och ICA var snabba när jag för några år sedan, förmodligen på en liten tysk Kneipe med "krånglande" terminal, blivit offer. Pappersbrev informerade om ovanliga transaktioner (om jag kommer ihåg rätt, bl.a. till ett företag på Isle of Man med ett namn som verkade porrigt). Jag bekräftade deras misstankar, och tror att jag fick byta kort, och sen var allt normalt.

    SvaraRadera
  12. Den här kommentaren har tagits bort av skribenten.

    SvaraRadera
  13. Jag har också positiva erfarenheter av kombinationen Swedbank och kort.

    Det är några år sedan nu, men jag blev uppringd av Swedbanks bedrägeri-spårnings-avdelning en lördagförmiddag och man frågade om jag hade använt firmakortet för köp i Estland och USA. Icke så - det hade jag definitivt inte gjort.

    Någon hade kommit över mitt kortnummer och tagit ut först cirka 7 kronor, därefter cirka 500 kronor och till slut två poster på över 10 000 kronor. Sammanlagt över 23 000 kronor.

    Själv hade jag inte märkt något alls. Vem kollar saldot på företagskontot under helgen? På företagskontot stod vid den här tidpunkten ett sexsiffrigt belopp, så det här kunde slutat illa.

    Jag fick tillbaka vartenda öre och Swedbank ska ha all heder av en väldigt proffsig hantering. Men det tog ett par år innan lusten att använda kort kom tillbaka...

    SvaraRadera

Related Posts Plugin for WordPress, Blogger...