Sikker handel på nettet, 3D secure

For et års tid siden skiftede jeg bank. I den forbindelse fik jeg nyt visa/dankort og nyt mastercard. Jeg hoppede ind på NETS' hjemmeside for sikker nethandel og tilmeldte begge kort til 3D Secure/Verified by Visa/Mastercard Secure Code.

Fidusen er, at man knytter sit kortnummer til sit mobilnummer og når man så efterfølgende handler på nettet i udlandet kommer der en 6-cifret kode som sms til telefonen, som man efterfølgende skal indtaste på den webside man handler på for at bekræfte købet. 

Det er en pissesmart ide, eller det burde det ihvertfald være. Tanken er, at det ikke længere er nok at tyvene stjæler dine kortoplysninger, de skal også have fingrene i din mobiltelefon for at kunne misbruge kortoplysningerne.

Eneste downside er at det ikke virker.

En aften ca. to uger efter jeg havde skiftet bank og fået nye kort sad jeg og så en film på tossekassen. Duttelut sagde telefonen og der lå en sms fra NETS om at min engangskode var xxxxxx. Det undrede jeg mig lidt over, eftersom jeg var midt i at se en film og ikke igang med at handle noget som helst på nettet. Jeg blev enig med mig selv om, at det muligvis var den månedtlige, automatiske betaling til Spotify - det passede nogenlunde med datoen, så jeg tænkte jeg ville se filmen færdig og fikse betalingen til Spotify bagefter.

5 minutter senere kom der endnu en sms fra NETS hvor de bad mig bekræfte mit køb med en kode tilsendt via sms'en - what the hell?!?

Ind og kigge på min netbank. 

På mit mastercard må jeg bruge 30.000 kroner. Posteringer tager typisk et par dage for at dukke op, men tilbageværende rådighedsbeløb er altid opdateret med det samme. Jeg vidste at jeg havde brugt ca. 7000 kroner på kortet, dvs. jeg burde have et rådighedsbeløb på ca. 23.000 tilbage - men nej, nu var rådighedsbeløbet kun 15.000, dvs. nogle havde suget ca. 8.000 kroner fra min konto..

Så kan det ellers være jeg fik travlt med at spærre kost og ringe til banken og alt det der. Jeg sendte samtidigt en email og vedhæftede skærmprint af de to sms'er med koder jeg havde fået, og udtrykte forundring over at tyvene havde haft held med at bruge mine penge uden sms koderne.

Et par dage senere kunne jeg se, at "jeg" havde købt billetter af to omgange i Chile Airline for ca. 8.000 i alt. 

Min tanke var, at måske havde tyvene forsøgt 4 handler, 2 gange der blev bremset af sms koderne og 2 gange et sted uden krav om kode.

Dagen efter blev jeg kontaktet af min bankrådgiver, hun havde sendt sagen videre til bedrageriafdelingen og beroligede mig med, at jeg nok skulle få pengene igen.

En uges tid eller to senere fik jeg tilsendt en tro og love erklæring fra banken hvor jeg skulle skrive under på, at det ikke var mig der havde købt de chilenske flybilletter. På erklæringen stod de to indkøb med nøjagtige tidsangivelser og de passede på sekundet til mine to sms'er. Jeg sendte udskrifter af de to sms'er med erklæringen tilbage og skrev "Hvad fanden?!?" (lidt mere nuanceret, men du ved..)

Dagen efter havde banken indsat 8.000 på min konto og skrevet et pænt brev hvor de takkede for sms'erne, men også sagde at de ikke kunne drøfte en igangværende sag. Hvis ikke jeg hørte mere indenfor 3 måneder kunne jeg betragte sagen som afsluttet.

Det var hvad det var og jeg har ikke hørt mere..

Nogle uger senere fik jeg tilsendt et nyt mastercard i stedet for det jeg havde spærret.

Jeg hoppede på NETS hjemmeside for at tilknytte kortet til det der 3D Secure/Verified by Visa/Mastercard Secure Code fidus - ikke fordi jeg stolede på systemet, men fordi jeg indimellem handler i udlandet og det er praktisk at kunne det.

Efter en del forsøg med forskellige browsere og den slags valgte jeg at sige "Screw this, lortet virker jo ikke alligevel".

Jeg vænnede mig til, at når jeg handlede i udlandet måtte jeg bruge visakortet med secure code i stedet for mastercard'et uden, sådan var det.. Indtil en dag jeg ville købe en bog i en svensk online boghandel og kom til at bruge mit mastercard i stedet for visakortet. "Indtast koden fra sms'en for at bekræfte købet" sagde svenskerne og jeg tænkte "DOH, det kan jeg jo ikke" og trykkede på annuller for at prøve med visakortet i stedet. "Købet er gennemført, tak for handlen" sagde svenskerne og jeg fik lov at downloade min nye bog. 

Det fattede jeg ikke meget af, så jeg skrev en mail til svenskerne og forklarede tingene og bad dem checke at de havde fået pengene. De svarede tilbage, at alt så fint ud, no problem.

Sidenhen har jeg handlet en stribe steder i udlandet på mit mastercard og hver gang jeg bliver bedt om en kode fra sms'en trykker jeg annuller og købet går igennem alligevel. Jeg har kun oplevet et enkelt sted hvor det ikke virkede.

Så en dag, langt senere, står jeg i kantinen på mit arbejde og vil betale for min frokost, da mit mastercard ikke gider lege. Kantinemor slår fejlkoden op og siger at mit kort er spærret. Jeg betaler med mit visakort i stedet og ringer til min bank.

Jeg får fat i en der siger at han har spærret mit kort fordi han synes jeg havde haft en mistænkelig transaktion. Jeg havde købt et halvdyrt ur fra England nogle dage tidligere og det havde fået ham til at spærre mit kort. Jeg oplyste, at det skam var mig der havde lavet det køb, ikke noget fusk der, og han låste mit kort op igen.

Jeg spurgte han om de ikke, i stedet for at gætte på hvilke af mine posteringer der var okay og hvilke der ikke var, kunne fikse det der secure card/verified by visa så det rent faktisk virkede. Det forsikrede han mig om at det gjorde, men det kunne jeg så fortælle ham at det ikke gjorde. Vi snakkede lidt frem og tilbage og til sidst endte han med at indrømme, at det der secure card/verified by visa udelukkende er et spørgsmål om forsikring. Hvis en butik accepterer en handel uden at få koden fra sms'en, så får de ikke refunderet beløbet hvis det efterfølgende viser sig at være svindel. 

Sagt på en anden måde, 3D Secure/Verified by Visa/Mastercard Secure Code har ikke en skid at gøre med at beskytte dit kort, det handler udelukkende om hvorvidt butikken får dækket tabet ved svindel eller ej. Den svenske boghandel og de øvrige steder jeg har handlet, er åbenbart villige til at løbe den risiko når de skider på om jeg taster kode eller ej. Eneste undtagelse jeg er stødt på, er en enkelt butik der afviser mit køb hvis jeg ikke taster kode.