Kunden jekket nettfakturaen ned til null

Med enkle midler endret en av våre lesere en nettfaktura fra 295 dollar til 1 cent - og fikk likevel kodene som lot ham laste ned programvaren han "kjøpte".

Vår leser skriver i en e-post at han ble fristet av en digitoday.no-artikkel til å prøve webtjener-akseleratoren fra det amerikanske selskapet Chromium Communications.
Akseleratoren, i likhet med andre produkter fra Chromium, selges direkte fra selskapets nettsted. For å håndtere transaksjonene, tyr Chromium til Authorize.net, en tjeneste som hører inn under det Nasdaq-noterte infrastrukturselskapet InfoSpace.


Ifølge vår leser, er dette et "gammeldags og usikkert e-handelssystem" som en kyndig kjøper lett kan manipulere. Framgangsmåten er enkel: Du bestiller varen. På det siste skjermbildet før bestillingen endelig bekreftes, tar du kopi av websiden. Denne redigerer du, for eksempel ved å endre det skjulte "value"-feltet fra 295 dollar til 1 cent, før du sender den videre.

- Jeg gjorde selskapet oppmerksom på dette, men fikk overhodet ingen tilbakemelding, skriver vår innsender. Han gjennomførte transaksjonen og fikk de nødvendige kodene for å laste ned produktet. Han bedyrer at han ikke har til hensikt å bruke programmet.

Uavhengige forsøk som redaksjonen har fått andre til å gjennomføre, bekrefter det vår innsender har erfart. Det tar et par minutter å "ordne" fakturaen. Så kan man oppgi et eller annet kredittkortnummer - det finnes titusener av dem i omløp i de rette miljøene - og sette i gang nedlastingen. De som er ekstra forsiktige, kan bruke kjente verktøy for å forfalske sine IP- og MAC-adresser. Da blir svindelen fullkomment uoppdagelig, og det er webbutikken som lider.

Authorize.net opplyser på sitt nettsted at tjenesten deres brukes på over 100.000 webbutikker.

- Det er merkelig at folk som kommer fra "seriøse" aktører i markedet ikke har noen som helst forståelse for sikkerhet, verken når det gjelder andre eller dem selv, kommenterer vår innsender.

Thomas Mehlum i det norske sikkerhetsselskapet Secure Group AS - de er spesialister på hacking - vil ikke kommentere dette konkrete tilfellet. Han mener nivået på tjenester innen betalingsformidling er noen hakk bedre i Norge enn i utlandet.


- I utlandet er det generelt sett dårlig med sikkerhet innen betalingstjenester. I Norge er vi ganske flinke til å gardere oss. I USA og Storbritannia kommer mye rart for dagen. Men det er bare et spørsmål om tid før det smeller i Norge også.

Derfor avstår Mehlum fra å betale ting over nettet, og han bruker heller ikke nettbank.

- Erfaringen er at den som er i stand til å redigere hjemmesider, kan lett få til diverse ting. Derfor venter jeg og de andre i Secure Group på digitale signaturer og e-identitet. Jeg tror ikke at brukere kan identifiseres på annen måte.

Til toppen