Ukurant krav fra nettbutikker

En rekke store nettbutikker ber seg sende bilde av kredittkortet på epost, av sikkerhetshensyn. Nei nei nei, er ekspertrådet.

KORTTENKT: Pickyourshoes.com har mange fine sko. Men kravet til kunder om å sende bilde av kredittkortet på epost vekker skepsis.
KORTTENKT: Pickyourshoes.com har mange fine sko. Men kravet til kunder om å sende bilde av kredittkortet på epost vekker skepsis.
Sist oppdatert
- Dette er bekymringsverdig. Jeg ville frarådet å bruke en slik nettbutikk.

Store amerikanske nisjebutikker har mange kunder fra andre land, som Norge. I norske brukerforum pågår det nå heftig debatt om en betalingspraksis utenom det vanlige på mange populære butikker.

Pricepoint.com og JensonUSA.com er store forhandlere av sykkelutstyr. Mye utstyr selges på nettet, og som i de fleste andre nettbutikker skjer betalingen med kort, hvor man oppgir sikkerhetskoden bak på kortet som ekstra sikkerhet.

Men betalingen er ikke nok til å få varen utlevert. I tillegg krever butikkene at alle kunder utenfor USA tar bilde av kortet på begge sider og sender dette på epost til butikken.

"Dette er for å beskytte både deg og oss mot kredittkortsvindel. Du kan bruke fax eller epost til å oppgi denne informasjonen" skriver JensonUSA.com i sin epost til kundene.

Risikabelt

Flere butikker følger samme praksis, blant andre fotobutikkene adorama.com og bhfoto.com . Adorama krever til og med at kunden sender butikken siste måneds kontoutskrift. Adorama debatteres her.

Men om hensikten er god, kan framgangsmåten være svært risikabel.

- Epost er en helt åpen kanal som lett kan avlyttes, og er derfor lite egnet for sikker formidling av kortopplysninger, sier Anders Bigseth, informasjonssjef i Teller, som administrerer de ulike kortselskapene i Norge.

Han synes praksisen virker lite gjennomtenkt.

- Det høres litt overilt ut. Jeg vil ikke anbefale et slikt nettsted. Sikkerhetsskoden som er på baksiden av kortet skal gi god nok sikkerhet for butikkene, sier Bigseth.

Enkelt hackermat

Seniorkonsulent Preben Nyløkken i sikkerhetsselskapet Watchcom er også skeptisk.

- Dette er bekymringsverdig. Jeg ville frarådet å bruke en slik nettbutikk, og det er veldig rart at dette er vanlig praksis. For hvis du betaler via Paypal eller andre systemer som har en SSL-kryptering, er jo dette systemer som allerede er godkjent av kortselskapene, sier Nyløkken.

Han er enig i at det er lett å hacke epost og dermed rappe kortnumre som er på vei til mottakeren. Et annet viktig poeng, ifølge Nyløkken, er usikkerheten om hva som skjer med kortnumrene host mottakeren.

- En slik nettbutikk vil da sitte med tusenvis av kortnumre på sin epostsserver. Hackere som får tak i kortnumre med utløpsdato kan selge dem for en høy pris. Å hacke seg inn på slike interne systemer er faktisk banalt enkelt, sier Preben Nyløkken.

Bruker ikke epost

Norske banker har gjentatte ganger advart mot at epost som tilsynelatende kommer fra banken, og har som prinsipp ikke å formidle fortrolige opplysniger via denne informasjonkanalen.

Han vil ikke si generelt noe om hvordan en kunde som har oppgitt kortnummer vil være stilt dersom det kommer på avveie på denne måten. Det er kortselskapene som behandler sakene for privatkunder.

Professor i informatikk, Kjell Jørgen Hole, advarte i forrige uke mot bruk av betalingskort i nettbutikker. Kunden stiller ifølge Hole sterkere dersom kredittkort er brukt, fordi eventuell svindel kan oppdages før regningen er betalt.

Denne saken ble første gang publisert 11/08 2008, og sist oppdatert 05/05 2017.

Les også