"Verified by Visa" - hvem hæfter?
Udskrevet fra: recordere.dk - Danmarks AV Forum
Kategori: Køb og salg
Forumnavn: Jura
Forumbeskrivelse: Forbruger køb. Love og regler. (Kun registrerede brugere kan skrive)
Web-adresse: https://forum.recordere.dk/forum_posts.asp?TID=92185
Udskrevet den: 24-November-2024 kl. 08:15
Emne: "Verified by Visa" - hvem hæfter?
Skrevet af: Allan Olesen
Emne: "Verified by Visa" - hvem hæfter?
Skrevet den: 21-Januar-2011 kl. 23:08
Det ser ud til, at jeg efterhånden er nødt til at bryde sammen og
acceptere Verified by Visa, selv om jeg virkelig ikke bryder mig om en
verificeringsmetode, som ikke kan skelnes fra et phishing-forsøg.
Men jeg har simpelthen ikke kunnet finde noget om hæftelsesregler. Ved
gammeldags netkøb er det let: Jeg bestiller en vare, og betaler med
kort. Hvis forretningen trækker pengene uden at sende varen, kan jeg få
alle mine penge igen, da der ikke er brugt PIN-kode.
Men med Verified by Visa får jeg jo en ny kode, som jeg skal bruge ved
netkøb. Nogle banker omtaler den som "en slags PIN-kode". Så jeg spørger
naturligvis mig selv, om et netkøb med Verified by Visa betragtes som
køb med PIN-kode, så jeg hæfter for beløbet, uanset om jeg får varen.
Jeg har søgt på nettet og i diverse kortbetingelser uden at finde svar -
ja, endda uden at finde nogen, som har stillet samme spørgsmål.
Jeg kunne naturligvis afkræve min bank et svar, men jeg er desværre i
den situation, at jeg har et netkøb, som jeg skal have foretaget senest
i morgen, og den eneste brugbare sælger bruger Verified by Visa.
|
Svar:
Skrevet af: Princesslea
Skrevet den: 22-Januar-2011 kl. 00:12
Jeg har registeret mit kort for lang tid siden (og det gør man én gang). Det er ganske få sider der bruger det, men det er altså lige som du plejer.. på den måde at du skal taste alt hvad du plejer og efter det skal du taste den ekstra kode... det vil sige at hvis noget går galt kan du stadig få trukket beløbet tilbage til dit kort - igen forskel
------------- ______________________________ Panasonic TX-P55VT30 Samsung HT-C9950W 7.1 ;)
|
Skrevet af: Allan Olesen
Skrevet den: 22-Januar-2011 kl. 00:17
Princesslea skrev:
det vil sige at hvis noget går galt kan du stadig få trukket beløbet tilbage til dit kort |
Det følger ikke logisk af det, du skrev. Hvad er din kilde?
|
Skrevet af: Infinity
Skrevet den: 22-Januar-2011 kl. 00:47
Verified by Vista (eller Mastercard) er en yderligere sikkerhed som butikkerne kan indføre hvis de ønsker det. Tidligere bad nogle butikker om ID med navn og adresse på, men det bør man ikke give dem.
Betalingskort lovgivningen skelner ikke med alm betaling og betaling med Verified by Vista, så du er lige stillet.
Edit: Keyboard errors rettet
------------- mvh Infinity
|
Skrevet af: Allan Olesen
Skrevet den: 22-Januar-2011 kl. 01:00
Skal vi ikke lige holde op med at kalde det en yderligere sikkerhed? Det er ikke en yderligere sikkerhed, når det er umuligt at se forskel på en ægte og en falsk Verified by Visa-side.
Hvis du søger lidt på nettet, vil du finde masser af eksempler på, at nogen har indtastet deres oplysninger på en Verified by Visa-side i forbindelse med et internetkøb og derefter med disse oplysninger har fået kortet misbrugt, fordi siden var falsk og bare var oprettet for at samle kortdata og koder.
|
Skrevet af: JesperLund
Skrevet den: 22-Januar-2011 kl. 01:13
Allan Olesen skrev:
Skal vi ikke lige holde op med at kalde det en yderligere sikkerhed? Det er ikke en yderligere sikkerhed, når det er umuligt at se forskel på en ægte og en falsk Verified by Visa-side.
|
Det kan vi to godt blive enige om, men nu er det jura forumet, og rent "juridisk" er det næppe misvisende at bankerne kalder det en ekstra sikkerhed. Når de siger "ekstra sikkerhed", er det heller ikke klart "for hvem" det skulle gælde?
For dig som kortholder er det afgørende at 3D Secure ikke ændrer på din retsstilling.
------------- Linux FTW, afspiller nu Blu-ray film på Ubuntu 12.04 med VLC direkte fra optisk disc.
|
Skrevet af: Allan Olesen
Skrevet den: 22-Januar-2011 kl. 02:08
Jeg kan så lige så godt referere det svar, som Jesper og jeg i fællesskab nåede frem til i et andet forum:
Brug af betalingskort er i dag reguleret af http://https://www.retsinformation.dk/Forms/R0710.aspx?id=124965 - Lov om Betalingstjenester . I denne lov kan man læse dette:
§ 74.
Ved betalingstransaktioner i forbindelse med aftaler om køb af varer
eller tjenesteydelser ved fjernsalg, som er iværksat ved brug af et
betalingsinstrument, skal betalers udbyder uanset § 73, stk. 1, undlade
at gennemføre en betalingstransaktion eller, hvis debitering er sket,
straks kreditere betalers konto, hvis betaler gør en af følgende
indsigelser gældende:
1) At det debiterede beløb er højere end det beløb, der er aftalt med betalingsmodtageren,
2) at den bestilte vare eller tjenesteydelse ikke er leveret, eller
3)
at betaler eller den angivne modtager har udnyttet en aftalt eller
lovbestemt fortrydelsesret ved at undlade at modtage eller afhente den
bestilte vare eller tjenesteydelse.
Så ja, det er alene nok, at der er tale om fjernsalg, og at ydelsen ikke er leveret. En evt. brug af kode har ingen relevans.
|
Skrevet af: PerW
Skrevet den: 22-Januar-2011 kl. 08:08
Allan Olesen skrev:
Skal vi ikke lige holde op med at kalde det en yderligere sikkerhed? |
Hvorfor. Det er en yderligere sikkerhed for butikken. Da de kan sikre at man ikke kan bruge stjålne kort.
Hvis der bliver brugt stjålne kort til betaling af en ydelse og ejeren af kortet efterfølgende gør indsigelse, så bliver beløbet trykket tilbage fra butikken og så er det forretningen, der hæfter for tabet.
|
Skrevet af: Allan Olesen
Skrevet den: 22-Januar-2011 kl. 14:09
Vi er enige om, at det er en yderligere sikkerhed for butikkerne. Problemet er, at det også bliver udråbt til at være en yderligere sikkerhed for kortholderne. Det er ikke tilfældet, tværtimod.
For det første er nettet fyldt med fortællinger om folk, der har fået deres kortoplysninger og kode nappet på en falsk betalingsside med en falsk VbV-side og derefter naturligvis har fået kortet misbrugt. Så langt er historien ikke anderledes fra brug af kort på en falsk betalingsside UDEN VbV - her får man naturligvis også sine kortoplysninger snuppet og misbrugt.
Forskellen opstår først i det øjeblik, de går i banken og gør indsigelse og får at vide, at det da ikke kan passe. "Vi kan se, at VbV-koden har været anvendt, så naturligvis er det dig, der har betalt. For du har da vel ikke overladt koden til andre, vel? ... VEL?!?!"
For det andet kan det aldrig være til gavn for sikkerheden, at man vænner brugerne til at acceptere åbenlyse phishing-forsøg. Og hele VbV-proceduren er bygget op, så den til forveksling ligner et åbenlyst phishing-forsøg.
Det var især slemt i den oprindelige, danske udgave, hvor man fra betalingssiden blev ledt direkte til sin netbank, hvor det var meningen, at man skulle logge på. Det strider jo mod alt, hvad man har lært om at undgå phishing-forsøg. Man logger ikke på sin netbank ved at følge et link i en mail, og man logger ikke på sin netbank ved at følge et link eller en automatisk viderestilling fra en anden hjemmeside.
|
Skrevet af: jonaskp
Skrevet den: 22-Januar-2011 kl. 19:56
Du kan da netop godt se forskel. Når du opretter din VbV kode, skal du også skrive en personlig oplysning som fremover kommer til at fremgå af VbV vinduet når du skal indtaste koden. Hvis denne oplysning ikke er til stede, eller er forkert,så er det jo til At se at siden ikke er ægte.
Og det er da også en sikkerhed for kortholder da han, som nævnt, jo kan undgå at et stjålet kort bliver misbrugt og der bliver trukket penge på kortet.
Jeg ved godt at man i sådanne tilfælde får pengene tilbage af banken, men det ville da være bedst helt at undgå det.
Jeg går også ud fra (men ved det ikke) at VbV koden kun lagres af VISA og ikke hos webbutikken. Man vil (hvis det forholder sig sådan) kunne undgå at kortoplysninger stjålet hos en webbutik, kan blive misbrugt.
Dette kræver dog så bare at alle webbutikker bruger systemet.
|
Skrevet af: Allan Olesen
Skrevet den: 22-Januar-2011 kl. 20:55
Den personlige oplysning er simpel at give videre ved et Man in the Middle-angreb. Den falske VbVserver skal blot bruge mine indtastede kortoplysninger til at påbegynde en betaling hos en tilfældig butik, som bruger VbV. Så ser den falske VbV-server en ægte VbV-side, hvorfra den kan nappe min personlige oplysning.
Man skal vist være bankmand for at tro, at det er sikkert...
|
Skrevet af: Cyberguyen
Skrevet den: 22-Januar-2011 kl. 22:26
Det er uhyre svært at lave et man in the middle angreb i praksis, da de næsten skal skræddersyes til modtageren. Der er simpelthen ikke penge nok i at gøre det med verified by visa funktionen.
Så hvis du checker at certifikat matcher website, så burde du bare have ro i sjælen og benytte dit kort, da din bank dækker køb hvor betalingskort udstedt af dem er benyttet.
Tilføjelse: Det er jo Visa som checker for "Verified by Visa" funktionen, så derfor er det jo et visa site som bærer certifikatet. Hvis du går ind og checker hvem visa benytter til at udstede certifikater og checker certifikatet for siden så er du sikker. Det vil jo kræve at dem der laver man in the middle angreb har installeret CA certifikater på din maskine eller har overtaget visa's side. Der er ikke andre muligheder, da certifikatet så ikke ville være gyldigt.
|
Skrevet af: JesperLund
Skrevet den: 22-Januar-2011 kl. 23:00
Cyberguyen skrev:
Det er uhyre svært at lave et man in the middle angreb i praksis, da de næsten skal skræddersyes til modtageren. Der er simpelthen ikke penge nok i at gøre det med verified by visa funktionen.
|
Du får aldrig et højtlønnet job hos den organiserede kriminalitet.
Start med at læse http://en.wikipedia.org/wiki/3D_secure#Verifiability_of_site_identity - her hvis du vil efteruddannes.
Det grundlæggende problem er at 3D Secure arbejder med en indlejret frame (iframe), hvilket gør at du ikke har mulighed for at validere SSL certifikatet.
------------- Linux FTW, afspiller nu Blu-ray film på Ubuntu 12.04 med VLC direkte fra optisk disc.
|
Skrevet af: Cyberguyen
Skrevet den: 23-Januar-2011 kl. 00:22
JesperLund skrev:
Cyberguyen skrev:
Det er uhyre svært at lave et man in the middle angreb i praksis, da de næsten skal skræddersyes til modtageren. Der er simpelthen ikke penge nok i at gøre det med verified by visa funktionen.
|
Du får aldrig et højtlønnet job hos den organiserede kriminalitet.
Start med at læse http://en.wikipedia.org/wiki/3D_secure#Verifiability_of_site_identity - her hvis du vil efteruddannes.
Det grundlæggende problem er at 3D Secure arbejder med en indlejret frame (iframe), hvilket gør at du ikke har mulighed for at validere SSL certifikatet.
|
Hvis du ikke har erfaring med at validere certifikatet kan du have en browser, som du kun benytter til online betalinger. Denne browser vil advare imod ugyldige certifikater, da den ikke vil være kompromiteret.
|
Skrevet af: jonaskp
Skrevet den: 23-Januar-2011 kl. 00:49
Allan Olesen skrev:
Den personlige oplysning er simpel at give videre ved et Man in the Middle-angreb. Den falske VbVserver skal blot bruge mine indtastede kortoplysninger til at påbegynde en betaling hos en tilfældig butik, som bruger VbV. Så ser den falske VbV-server en ægte VbV-side, hvorfra den kan nappe min personlige oplysning. |
Jeg indrømmer blankt at jeg ikke har voldsomt stor viden på dette område. Men som Cyberguruen er inde på, så kræver det vel at man målretter mod den enkelte bruger.Er vi ikke enige om at vi er ude i noget der ligner: 1: Opfang kortnummer, udløbsdato og sikkerhedskode - Kan gøres ved at opfange trafik mens ofret handler, få ofret til at handle på ens egen webshop eller hacke en webshop database. 2: Bruge disse oplysninger til at påbegynde en betaling hos en webshop der bruger SecureCode og kopiere den personlige oplysning. - Skal vel gøres manuelt, eller kan det lade sig gøre at scripte det? 3: Få brugeren ledt hen på din falske VbV-side, hvor personlig oplysning er indtastet, så han indtaster sin SecureCode til dig. - Kræver vel at brugere handler på din egen webshop eller at du kan opfange hvornår han handler på en webshop og henlede ham til din falske side på det rigtige tidspunkt. Igen, jeg har ingen anelse om hvad dette reelt kræver. 4: Udnytte oplysningerne til at handle på hjemmesider der benytter SecureCode.
Er vi ikke, som Cyberguruen skriver, ude i at det begynder at bliver rigtigt besværligt i forhold til evt. udbytte? Eller er jeg blot for naiv?
Allan Olesen skrev:
Man skal vist være bankmand for at tro, at det er sikkert...
|
Ved ikke om det var ment som en fornærmelse, men synes egentligt det er ret lavt hvis det var. Og ja, jeg er bankmand.
|
Skrevet af: JesperLund
Skrevet den: 23-Januar-2011 kl. 00:50
Cyberguyen skrev:
Hvis du ikke har erfaring med at validere certifikatet kan du have en browser, som du kun benytter til online betalinger. Denne browser vil advare imod ugyldige certifikater, da den ikke vil være kompromiteret.
|
For en indlejret https side?
Se http://www.cl.cam.ac.uk/%7Erja14/Papers/fc10vbvsecurecode.pdf - denne artikel. Bemærk titlen: "...how NOT to design..."
------------- Linux FTW, afspiller nu Blu-ray film på Ubuntu 12.04 med VLC direkte fra optisk disc.
|
Skrevet af: Cyberguyen
Skrevet den: 23-Januar-2011 kl. 01:24
JesperLund skrev:
Cyberguyen skrev:
Hvis du ikke har erfaring med at validere certifikatet kan du have en browser, som du kun benytter til online betalinger. Denne browser vil advare imod ugyldige certifikater, da den ikke vil være kompromiteret.
|
For en indlejret https side?
Se http://www.cl.cam.ac.uk/%7Erja14/Papers/fc10vbvsecurecode.pdf - denne artikel. Bemærk titlen: "...how NOT to design..."
|
Jeg har læst det som du linker til, men det beskriver kun at kunden kontaktede sin bank fordi han var usikker på hvem som certifikatet tilhører. Men på selve certifikatet kan man jo læse hvem som det er udstedt til og af hvem. Så jeg kan virkelig ikke set det store problem.
For at skulle lave Phishing eller man in the middle angreb skal du få et CA firma til at udstede et certificat til dig. Det kan godt være at du kan få et quick certifikat, men du vil aldrig kunne modtage et hvor dit firmanavn står skrevet på uden at være fysisk valideret som firma.
En anden måde at snyde på er ved at bryde ind i computeren og få den til at truste et CA certifikat som de kriminelle så kan benytte til at udstede deres egne certifikater. Denne metode er langt mere besværlig og nok ikke særligt benyttet imod andre browsere end Internet Explorer.
|
Skrevet af: Cyberguyen
Skrevet den: 23-Januar-2011 kl. 01:26
Jeg er ikke uenig med dig omkring designet af siden, det kan laves langt bedre og burde laves lagt bedre. Men jeg tror at der er meget langt imellem folk som får misbrugt deres kort i forbindelse med verified by visa sider, når de køber en vare.
Der er nok større chance for at forbrydelsen sker via en phishing mail og ikke i forbindelse med selve købet. Derfor skal man aldrig klikke på link i en mail og altid tvivle på hvem som har sendt en given mail.
|
Skrevet af: Infinity
Skrevet den: 23-Januar-2011 kl. 01:47
Allan Olesen skrev:
Man skal vist være bankmand for at tro, at det er sikkert...
|
Hvis du vil ned på så lavt et niveau så OK.
Den bank jeg arbejder i har vi ALDRIG haft misbrug på Verified by Vista/MasterCard, så måske er det bare dig der er en tøsedreng, og så kan du da bare lade være med at handle på nettet eller lave dine indkøb med betaling via bankoverførsel (uden sikkerhed), betaling med (international) bankcheck eller hvis du kan få nogen til at sende varen på efterkrav.
Eller flyt tiil Sverige, der kan du få "engangs MasterCard" - så kan de tage beløbet fra dig, men kun det ene beløb.
------------- mvh Infinity
|
|