|
"Verified by Visa" - hvem hæfter? |
Besvar | Side 12> |
Forfatter | |
Allan Olesen
Guld medlem Oprettet: 08-Juli-2008 Status: Offline Point: 3249 |
Emne: "Verified by Visa" - hvem hæfter? Sendt: 21-Januar-2011 kl. 23:08 |
Det ser ud til, at jeg efterhånden er nødt til at bryde sammen og
acceptere Verified by Visa, selv om jeg virkelig ikke bryder mig om en
verificeringsmetode, som ikke kan skelnes fra et phishing-forsøg.
Men jeg har simpelthen ikke kunnet finde noget om hæftelsesregler. Ved gammeldags netkøb er det let: Jeg bestiller en vare, og betaler med kort. Hvis forretningen trækker pengene uden at sende varen, kan jeg få alle mine penge igen, da der ikke er brugt PIN-kode. Men med Verified by Visa får jeg jo en ny kode, som jeg skal bruge ved netkøb. Nogle banker omtaler den som "en slags PIN-kode". Så jeg spørger naturligvis mig selv, om et netkøb med Verified by Visa betragtes som køb med PIN-kode, så jeg hæfter for beløbet, uanset om jeg får varen. Jeg har søgt på nettet og i diverse kortbetingelser uden at finde svar - ja, endda uden at finde nogen, som har stillet samme spørgsmål. Jeg kunne naturligvis afkræve min bank et svar, men jeg er desværre i den situation, at jeg har et netkøb, som jeg skal have foretaget senest i morgen, og den eneste brugbare sælger bruger Verified by Visa. |
|
Princesslea
Bruger Oprettet: 09-Januar-2011 Sted: Aalborg,Danmark Status: Offline Point: 66 |
Sendt: 22-Januar-2011 kl. 00:12 |
Jeg har registeret mit kort for lang tid siden (og det gør man én gang). Det er ganske få sider der bruger det, men det er altså lige som du plejer.. på den måde at du skal taste alt hvad du plejer og efter det skal du taste den ekstra kode... det vil sige at hvis noget går galt kan du stadig få trukket beløbet tilbage til dit kort - igen forskel
|
|
______________________________
Panasonic TX-P55VT30 Samsung HT-C9950W 7.1 ;) |
|
Allan Olesen
Guld medlem Oprettet: 08-Juli-2008 Status: Offline Point: 3249 |
Sendt: 22-Januar-2011 kl. 00:17 |
Det følger ikke logisk af det, du skrev. Hvad er din kilde? |
|
Infinity
Guld medlem Oprettet: 13-September-2007 Sted: Denmark Status: Offline Point: 1078 |
Sendt: 22-Januar-2011 kl. 00:47 |
Verified by Vista (eller Mastercard) er en yderligere sikkerhed som butikkerne kan indføre hvis de ønsker det. Tidligere bad nogle butikker om ID med navn og adresse på, men det bør man ikke give dem.
Betalingskort lovgivningen skelner ikke med alm betaling og betaling med Verified by Vista, så du er lige stillet.
Edit: Keyboard errors rettet Redigeret af Infinity - 22-Januar-2011 kl. 00:49 |
|
mvh Infinity
|
|
Allan Olesen
Guld medlem Oprettet: 08-Juli-2008 Status: Offline Point: 3249 |
Sendt: 22-Januar-2011 kl. 01:00 |
Skal vi ikke lige holde op med at kalde det en yderligere sikkerhed? Det er ikke en yderligere sikkerhed, når det er umuligt at se forskel på en ægte og en falsk Verified by Visa-side.
Hvis du søger lidt på nettet, vil du finde masser af eksempler på, at nogen har indtastet deres oplysninger på en Verified by Visa-side i forbindelse med et internetkøb og derefter med disse oplysninger har fået kortet misbrugt, fordi siden var falsk og bare var oprettet for at samle kortdata og koder. |
|
JesperLund
Guld medlem Oprettet: 21-Januar-2006 Sted: Darknet Status: Offline Point: 8022 |
Sendt: 22-Januar-2011 kl. 01:13 |
Det kan vi to godt blive enige om, men nu er det jura forumet, og rent "juridisk" er det næppe misvisende at bankerne kalder det en ekstra sikkerhed. Når de siger "ekstra sikkerhed", er det heller ikke klart "for hvem" det skulle gælde? For dig som kortholder er det afgørende at 3D Secure ikke ændrer på din retsstilling. Redigeret af JesperLund - 22-Januar-2011 kl. 01:14 |
|
Linux FTW, afspiller nu Blu-ray film på Ubuntu 12.04 med VLC direkte fra optisk disc.
|
|
Allan Olesen
Guld medlem Oprettet: 08-Juli-2008 Status: Offline Point: 3249 |
Sendt: 22-Januar-2011 kl. 02:08 |
Jeg kan så lige så godt referere det svar, som Jesper og jeg i fællesskab nåede frem til i et andet forum:
Brug af betalingskort er i dag reguleret af Lov om Betalingstjenester. I denne lov kan man læse dette: § 74. Ved betalingstransaktioner i forbindelse med aftaler om køb af varer eller tjenesteydelser ved fjernsalg, som er iværksat ved brug af et betalingsinstrument, skal betalers udbyder uanset § 73, stk. 1, undlade at gennemføre en betalingstransaktion eller, hvis debitering er sket, straks kreditere betalers konto, hvis betaler gør en af følgende indsigelser gældende:
1) At det debiterede beløb er højere end det beløb, der er aftalt med betalingsmodtageren, 2) at den bestilte vare eller tjenesteydelse ikke er leveret, eller 3) at betaler eller den angivne modtager har udnyttet en aftalt eller lovbestemt fortrydelsesret ved at undlade at modtage eller afhente den bestilte vare eller tjenesteydelse. |
|
PerW
Guld medlem Oprettet: 20-Marts-2008 Sted: Denmark Status: Online Point: 4113 |
Sendt: 22-Januar-2011 kl. 08:08 |
Hvis der bliver brugt stjålne kort til betaling af en ydelse og ejeren af kortet efterfølgende gør indsigelse, så bliver beløbet trykket tilbage fra butikken og så er det forretningen, der hæfter for tabet.
|
|
Allan Olesen
Guld medlem Oprettet: 08-Juli-2008 Status: Offline Point: 3249 |
Sendt: 22-Januar-2011 kl. 14:09 |
Vi er enige om, at det er en yderligere sikkerhed for butikkerne. Problemet er, at det også bliver udråbt til at være en yderligere sikkerhed for kortholderne. Det er ikke tilfældet, tværtimod.
For det første er nettet fyldt med fortællinger om folk, der har fået deres kortoplysninger og kode nappet på en falsk betalingsside med en falsk VbV-side og derefter naturligvis har fået kortet misbrugt. Så langt er historien ikke anderledes fra brug af kort på en falsk betalingsside UDEN VbV - her får man naturligvis også sine kortoplysninger snuppet og misbrugt. Forskellen opstår først i det øjeblik, de går i banken og gør indsigelse og får at vide, at det da ikke kan passe. "Vi kan se, at VbV-koden har været anvendt, så naturligvis er det dig, der har betalt. For du har da vel ikke overladt koden til andre, vel? ... VEL?!?!" For det andet kan det aldrig være til gavn for sikkerheden, at man vænner brugerne til at acceptere åbenlyse phishing-forsøg. Og hele VbV-proceduren er bygget op, så den til forveksling ligner et åbenlyst phishing-forsøg. Det var især slemt i den oprindelige, danske udgave, hvor man fra betalingssiden blev ledt direkte til sin netbank, hvor det var meningen, at man skulle logge på. Det strider jo mod alt, hvad man har lært om at undgå phishing-forsøg. Man logger ikke på sin netbank ved at følge et link i en mail, og man logger ikke på sin netbank ved at følge et link eller en automatisk viderestilling fra en anden hjemmeside. |
|
jonaskp
Guld medlem Oprettet: 20-Juli-2006 Sted: Brønshøj Status: Offline Point: 2272 |
Sendt: 22-Januar-2011 kl. 19:56 |
Du kan da netop godt se forskel. Når du opretter din VbV kode, skal du også skrive en personlig oplysning som fremover kommer til at fremgå af VbV vinduet når du skal indtaste koden. Hvis denne oplysning ikke er til stede, eller er forkert,så er det jo til At se at siden ikke er ægte.
Og det er da også en sikkerhed for kortholder da han, som nævnt, jo kan undgå at et stjålet kort bliver misbrugt og der bliver trukket penge på kortet. Jeg ved godt at man i sådanne tilfælde får pengene tilbage af banken, men det ville da være bedst helt at undgå det. Jeg går også ud fra (men ved det ikke) at VbV koden kun lagres af VISA og ikke hos webbutikken. Man vil (hvis det forholder sig sådan) kunne undgå at kortoplysninger stjålet hos en webbutik, kan blive misbrugt. Dette kræver dog så bare at alle webbutikker bruger systemet. |
|
Allan Olesen
Guld medlem Oprettet: 08-Juli-2008 Status: Offline Point: 3249 |
Sendt: 22-Januar-2011 kl. 20:55 |
Den personlige oplysning er simpel at give videre ved et Man in the Middle-angreb. Den falske VbVserver skal blot bruge mine indtastede kortoplysninger til at påbegynde en betaling hos en tilfældig butik, som bruger VbV. Så ser den falske VbV-server en ægte VbV-side, hvorfra den kan nappe min personlige oplysning.
Man skal vist være bankmand for at tro, at det er sikkert... |
|
Cyberguyen
Guld medlem Oprettet: 24-Oktober-2006 Sted: Denmark Status: Offline Point: 4944 |
Sendt: 22-Januar-2011 kl. 22:26 |
Det er uhyre svært at lave et man in the middle angreb i praksis, da de næsten skal skræddersyes til modtageren. Der er simpelthen ikke penge nok i at gøre det med verified by visa funktionen.
Så hvis du checker at certifikat matcher website, så burde du bare have ro i sjælen og benytte dit kort, da din bank dækker køb hvor betalingskort udstedt af dem er benyttet. Tilføjelse: Det er jo Visa som checker for "Verified by Visa" funktionen, så derfor er det jo et visa site som bærer certifikatet. Hvis du går ind og checker hvem visa benytter til at udstede certifikater og checker certifikatet for siden så er du sikker. Det vil jo kræve at dem der laver man in the middle angreb har installeret CA certifikater på din maskine eller har overtaget visa's side. Der er ikke andre muligheder, da certifikatet så ikke ville være gyldigt. Redigeret af Cyberguyen - 22-Januar-2011 kl. 22:31 |
|
Besvar | Side 12> |
Skift forum | Forum-tilladelser Du kan ikke oprette nye emner i dette forum Du kan ikke besvare indlæg i dette forum Du kan ikke slette dine indlæg i dette forum Du kan ikke redigere dine indlæg i dette forum Du kan ikke oprette afstemninger i dette forum Du kan ikke stemme i dette forum |