Creditcardtransacties op internet slecht beveiligd

Stephen J. Murdoch en Ross Anderson van het Computer Laboratory van de universiteit van Cambridge, in Engeland, denken daar heel anders over. Na onderzoek komen ze tot de conclusie dat het 3-D Secure protocol (3DS), dat aan de basis ligt van de technologieën van Visa en MasterCard, een ‘beroerd’ stukje technologie is. 3DS is in principe een single sign-on-systeem. Het geeft de mogelijkheid gebruikers van creditcards bij onlinebetalingen om een wachtwoord te vragen. De webwinkeliers moeten daarvoor hun systemen aanpassen. Maar de creditcardmaatschappijen maken dat wel aantrekkelijk door webwinkeliers vervolgens minder snel aansprakelijk te stellen voor frauduleuze creditcardtransacties. Dat vermindert voor hun de schade door betwiste betalingen.

Met die wortel, die de acceptatie bij webwinkeliers sterk verhoogt, is volgens de onderzoekers ook meteen het enige sterke punt van 3DS genoemd. Want de implementatie van 3DS vinden ze, zoals gezegd, knudde met een rietje.

Hun eerste kritiekpunt is dat de betaler zijn wachtwoord moet invullen in een pop-up of i-frame zonder adresregel waarmee de herkomst te verifiëren valt. Daarmee ondermijnt 3DS niet alleen het anti-phishingadvies om nooit te klikken op buttons van webvensters waarvan je het adres niet gecontroleerd hebt, het maakt aanvallen op 3DS met behulp van bijvoorbeeld nepwinkels ook makkelijker.

Het 3DS-protocol specificeert bovendien niet hoe de authenticatie van de koper tot stand komt. Dat wordt overgelaten aan de instelling die de creditcard uitgeeft. Het dwingt bijvoorbeeld geen veilige vormen van wachtwoordkeuze af. Uit kostenoverwegingen laten banken die de creditcards uitgeven veelal zelfs activatie tijdens het winkelen toe. Via de webwinkel krijgt de koper dan een formulier van zijn bank voor zijn neus waarmee hij zijn wachtwoord kan opgeven. Ook dit proces is erg kwetsbaar voor nabootsing door phishers, constateren de onderzoekers.

Controle of het formulier wel door de rechtmatige eigenaar wordt ingevuld, vindt daarbij nauwelijks plaats. Als dat wel gebeurt, gaat het meestal om bijvoorbeeld de geboortedatum. Het stellen van controlevragen heeft bovendien een groot nadeel: dat went de shopper eraan dat hem persoonlijke vragen worden gesteld op de site van een webwinkel. Dat wordt altijd afgeraden, maar met de voorzichtigheid is het meestal slecht gesteld als iemand bezig is een aankoop af te ronden. Ook de aandacht voor het kiezen van een goed wachtwoord – en voor een niet al te voor de hand liggend geheugensteuntje voor het geval men zijn wachtwoord is vergeten - is op zo’n moment meestal niet optimaal, aldus de onderzoekers. De gekozen systematiek is volgens hen bovendien erg kwetsbaar voor een ‘man in the middle’-aanval.

Wat de opzet volgens de onderzoekers des te bezwaarlijker maakt is dat met het aanvaarden van 3DS de bewijslast bij betwiste betalingen over het web veel zwaarder op de schouders van de consument komt te liggen. Visa adverteert daar overigens ook mee richting webwinkeliers, stellen de onderzoekers. Volgens Visa brengt zijn Verified by Visa-programma de schade door betwiste internetbetalingen met 73 procent terug. De consument dient bij eerste aanmelding wel akkoord te gaan met voorwaarden waarin dit kenbaar wordt gemaakt. Maar als dat gebeurt in het kader van activatie tijdens het winkelen, heeft een consument zijn gedachten er niet voor de volle honderd procent bij, omdat hij een koop probeert af te ronden die hij bovendien niet kan sluiten zonder de voorwaarden te accepteren, kritiseren de onderzoekers.

Murdoch en Anderson bepleiten een veiliger opzet, niet op basis van single sign-on, maar in de vorm van transactie-authenticatie. Dat zou bijvoorbeeld kunnen via sms-jes met authenticatiecodes. Op termijn zou de financiële wereld echter moeten investeren in een volwaardig, betrouwbaar betaalapparaat met USB-aansluiting, menen ze. Overigens verwachten ze niet dat de financiële sector uit eigener beweging tot zo’n oplossing komt. Het is hoog tijd dat de wetgever in actie komt om de consument op dit punt te beschermen, stellen Murdoch en Anderson.

Het onderzoek van Murdoch en Anderson is online in te zien.