Waarom staan het nummer en de CVC-code van kredietkaarten er voor iedereen zichtbaar op?

Uiteindelijk draagt u niet het frauderisico, dus u bepaalt niet de risicotolerantie. De driecijferige code, het hele kaartnummer, chip en pin, chip en handtekening, de handtekening op een ontvangstbewijs, de info in de mag strip enz. Je bank zal je vertellen dat ze allemaal heel geheim zijn en dat je ze moet beschermen, maar ze zouden ze in je gezicht tatoeëren als ze konden.

De naam van het spel is de laagst mogelijke transactiefrictie in verhouding tot aanvaardbare fraudekosten.

Waarom staat het driecijferige nummer op de kaart? Omdat je de kaart vermoedelijk in je hand hebt als je hem wilt gebruiken. Deze “geheime” code is er gekomen om fraude op laag niveau te bestrijden en/of te voorkomen, die voornamelijk verband houdt met lui skimmen van magneetstrips en de oude dagen toen bonnetjes afdrukken van de kaart waren. Dit nummer maakt geen deel uit van de gegevens van de magneetstrook en is alleen bedoeld als geheim voor de magneetstrook en mensen die in het bezit zouden kunnen komen van een groot aantal afdrukbonnetjes (in de begintijd van de kredietkaarten) of een database met kredietkaartnummers. Het was ooit alleen bedoeld als een laag bewijs van de aanwezigheid van de kaart om gevallen tegen te gaan waarin grote hoeveelheden rekeningnummers werden buitgemaakt; het verifieert of beveiligt transacties niet, het is geen controlesom, het is gewoon een nummer dat niet in de mag-strip of de afdruk staat. Interessant, maar niet verrassend, het nummer is niet gewoon willekeurig, het is afgeleid van het primaire rekeningnummer cryptografisch op een manier die alleen bekend is bij de uitgever van de kaart.

Waarom doet de bank niet meer moeite om het nummer te beschermen? Omdat de bank wil dat je de kaart gebruikt zonder dat je een nummer hoeft te onthouden.

Waarom staat het viercijferige ‘geheime’ nummer van American Express op de voorkant van de kaart, en niet eens veilig weggestopt op de achterkant, wie zal het zeggen; maar het nummer is duidelijk niet bedoeld om veilig te zijn voor iemand die fysieke toegang tot de kaart zou kunnen hebben.

Waarom is de kaart niet naakt, behalve voor de branding met de informatie veilig ergens anders opgeslagen? Omdat twee plaatsen meer plaatsen is en je de kaart misschien niet gebruikt als je het stuk papier moet opgraven dat je apart is toegestuurd met de duidelijk nooit bedoelde driecijferige code erop afgedrukt.

De prikkel van de bank is dat je de kaart gebruikt. Als u de kaart niet gebruikt, of u gebruikt de kaart van een concurrent, verdient de bank geen geld.

Als u uw betaalmethoden beter wilt beveiligen dan het niveau waar de bank zich prettig bij voelt, staat het u vrij dat te doen. Schraap de nummers, trek de mag strip uit, wat dan ook; hoewel waarschijnlijk het wijzigen van de kaart is een schending van uw kaarthouder overeenkomst. De bank doet dat niet omdat het de bank niet kan schelen.

Het doel van de beveiligingscode is geen geheime PIN. Het doel is om te “bewijzen” dat u de fysieke kaart in uw bezit heeft op het moment van de aankoop. De code wordt alleen gebruikt wanneer de handelaar niet kan bevestigen dat u de fysieke kaart in uw bezit heeft. Het wordt gebruikt wanneer u iets koopt via een website, maar ook in een fysieke winkel wanneer de kaart niet kan worden gescand en het nummer handmatig moet worden ingetoetst.

De reden waarom het op de kaart gedrukt staat, is dat iemand anders dan u het misschien moet lezen. Als u de kaart aan een kassier geeft en die kan de kaart om de een of andere reden niet scannen en moet het nummer intypen, kan hij de kaart omdraaien en de beveiligingscode intypen, waarmee hij aan de computer bewijst dat hij de kaart in zijn bezit heeft. Het was nooit de bedoeling de code uit het hoofd te leren, en als kaartgebruikers de code toch uit het hoofd leren, verliest hij zijn effectiviteit als bewijs van fysiek kaartbezit.

Je kunt aanvoeren dat de code op de kaart gedrukt de kaart minder veilig maakt, en sommigen hebben voorgesteld de code van de kaart te schrapen nadat je hem uit je hoofd hebt geleerd, maar dat zou eigenlijk alleen maar een specifieke vorm van creditcardfraude voorkomen die niet zo gebruikelijk is als andere fraudemethoden.

Bij gebrek aan een echte PIN-code wordt het steeds gebruikelijker om de postcode van de rekening als een andere validatie te gebruiken, omdat het een nummer is dat de kaarteigenaar al uit het hoofd heeft geleerd en dat niet op de kaart staat afgedrukt.

Het belangrijkste doel van de beveiligingscode is te voorkomen dat gehackte kaartinformatie wordt hergebruikt. De belangrijkste manier om dit te bereiken is door te eisen dat betalingsverwerkers deze code niet opslaan

Handelaren, dienstverleners en andere entiteiten die betrokken zijn bij de verwerking van betaalkaarten mogen na autorisatie nooit gevoelige authenticatiegegevens opslaan. Hieronder vallen de 3- of 4-cijferige veiligheidscode die op de voor- of achterkant van een kaart gedrukt staat, de gegevens die op de magneetstrip of chip van een kaart opgeslagen zijn (ook wel “Full Track Data” genoemd) - en persoonlijke identificatienummers (PIN) die door de kaarthouder ingevoerd zijn. In dit hoofdstuk worden de doelstellingen van PCI DSS en de bijbehorende 12 vereisten uiteengezet Bron - slide 11

U vraagt waarom het kaartnummer en de veiligheidscode op de kaart zijn gedrukt. Laten we in beide gevallen een stukje geschiedenis doornemen:

Het kaartnummer

Het kaartnummer (in de branche PAN genoemd) is slechts een identificatiecode, het heeft geen reden om geheim te zijn. Het is nodig voor elke transactie, zodat een bedrag kan worden… teruggestort op de betreffende rekening, of:

• bij een fysiek verkooppunt (POS), met de oude “imprinter”-methode (ik weet niet of die nog ergens in gebruik is). Daarom wordt het nummer in reliëf gedrukt en niet alleen afgedrukt (samen met de andere gegevens die nodig zijn voor de transactie: vervaldatum, naam van de kaarthouder).

• op een verkooppunt, met een POS-terminal (“kredietkaartmachine”), die ofwel de magneetstrip ofwel de chip van de kaart leest, die beide het PAN en de rest van de gegevens verstrekken zonder enige authentificatie of encryptie.

• per telefoon of papier (wat in de branche “MOTO” wordt genoemd: postorder / telefonische bestelling), waarbij de gegevens gewoon over de telefoon worden gelezen of op de bestelbon worden geschreven.

• op het internet, waar je het nummer van je kaart moet aflezen en in een formulier moet invullen. Hoe kun je iets bestellen als je het kaartnummer niet kunt lezen?

Het PAN is nooit als een geheim beschouwd. Het is gewoon een rekeningnummer, precies zoals je rekeningnummer op papieren cheques staat, om te weten van welke rekening het geld moet worden afgeschreven.

Sommige mensen denken dat de sleutel (het laatste cijfer) een (slechte) beveiliging is, terwijl het eigenlijk alleen wordt gebruikt om te beschermen tegen invoerfouten (cijfer veranderd, cijfers verwisseld…).

Tegenwoordig beginnen mensen te denken dat een PAN geheim moet zijn, en dat heeft geleid tot de introductie van “tokenisatie”: in plaats van het eigenlijke kaartnummer wordt een ander kaartnummer verzonden, dat ofwel beperkt is tot een specifiek kanaal (en mogelijk apparaat), of zelfs tot een enkele transactie.

Dit is bijvoorbeeld het geval voor Apple Pay: wanneer je je kaart registreert met de echte PAN, stuurt de bank een token (“valse” PAN) terug dat in plaats daarvan wordt gebruikt, en alleen kan worden gebruikt voor betalingen met Apple Pay op dat apparaat. Als iemand dat PAN onderschept, kan hij er niets mee doen: het wordt niet aanvaard om een kaart aan Apple Pay toe te voegen, wordt niet aanvaard in de winkel, online, via de telefoon, of waar dan ook.

Is dat echt nuttig? In een perfecte wereld waar alle transacties op een andere manier worden geauthenticeerd, zou het eigenlijk niet uit moeten maken, een PAN op zichzelf zou nutteloos moeten zijn. In de praktijk zijn er kanalen die het gebruik van behoorlijk onveilige authenticatiemethodes toestaan, dus dat is een extra verdedigingslinie.

Merk op dat de noodzaak van tokenisatie waarschijnlijk iets belangrijker is geworden met de invoering van contactloos: je kunt het PAN van elke contactloze kaart lezen zonder hem zelfs maar aan te raken, het is gewoon een kwestie van dichtbij genoeg komen.

De veiligheidscode

De veiligheidscode die op de achterkant van de kaart (of op de voorkant, voor American Express-kaarten) is gedrukt, was oorspronkelijk niet aanwezig. Hij werd toegevoegd om de volgende fraudescenario’s te vermijden:

• een creditcardbon met het volledige kaartnummer (en naam en vervaldatum) werd weggegooid en door iemand anders opgehaald (dit was vooral het geval toen er imprinters in gebruik waren, maar was ook het geval voordat de kaartnetwerken uiteindelijk besloten dat het verboden was om het volledige PAN op de klantenbon af te drukken).

• een kaart wordt “geswiped” om de inhoud van de magneetstrip vast te leggen, die het PAN, de vervaldatum, de naam van de kaarthouder, en meer bevat…). Zo konden mensen die fysiek toegang hadden tot kaarten (obers, caissières…) vrij snel grote aantallen kaarten registreren zonder dat ze werden opgemerkt.

Om dit tegen te gaan, werd deze nieuwe code toegevoegd, die niet op de kassabon staat (omdat hij niet in reliëf is), en ook niet op de magneetbaan.

Deze code is alleen nodig voor MOTO- en online-aankopen, waarbij je niet kunt zien of de gebruiker de kaart daadwerkelijk heeft (een zogenaamde “card not present”-transactie), en je wat zekerder wilt zijn dat de gebruiker de kaart heeft.

Dit is inderdaad vrij eenvoudig te omzeilen: je hoeft alleen maar een volledige kopie van de kaart te maken (beide zijden) of een aantekening te maken van alle gegevens. Maar in veel van de bovenstaande scenario’s maakte dat het voor een oneerlijke gebruiker net iets moeilijker om het ongemerkt te doen.

(De invoering van handterminals helpt ook een stuk, aangezien een gebruiker zijn ogen – en handen – te allen tijde op de kaart kan houden, maar vooral in restaurants in de VS is dat nog niet standaard gebruikelijk).

De veiligheidscode helpt ook als een site je creditcardgegevens opslaat en iemand erin slaagt er toegang toe te krijgen: in theorie mag niemand de veiligheidscode opslaan, zodat een hacker alleen het PAN en de vervaldatum zou krijgen en de kaart niet opnieuw zou kunnen gebruiken, maar in de praktijk slaan nog veel te veel mensen de veiligheidscode op. De industrie is daar achteraan (het is een van de aspecten van het PCI DSS-initiatief), maar er is nog een lange weg te gaan.

De echte bescherming komt van nieuwe authenticatiemaatregelen (3D Secure) die een andere wijze van verificatie mogelijk maken dan alleen die gegevens. Afhankelijk van de bank (of zelfs de kaart), kan het gaan om:

• een wachtwoord
• een eenmalig wachtwoord (OTP) dat via SMS of op een andere manier wordt verstuurd
• biometrische verificatie (vingerafdruk, gezichtsherkenning, irisscan…)
• daadwerkelijk praten met de chip op de kaart door gebruik te maken van de kaartlezer die op je computer is aangesloten (ik weet niet zeker of dit al ergens is toegepast) …

Merk op dat de beveiligingscode alleen wordt gebruikt voor online/MOTO-transacties (“card not present” transacties). Card present transacties zullen ofwel gebruiken:

• een andere veiligheidscode die op de magneetstrip staat (maar die gemakkelijk te kopiëren is)
• communicatie met de chip (op kaarten die er een hebben), zodat de kaart zichzelf authentiseert.

Eenvoudig, de bedoeling achter het kredietsysteem is gebruik te maken van vertrouwen tussen de uitwisseling van verschillende partijen in een tijdige zaak. De cyberwereld is echter verre van kogelvrij. De meeste exploits zitten meestal in het ontwerp zelf en niet in iets anders. Mijn advies aan iedereen die in het leven iets wil bereiken met behulp van computers, is om zich te richten op verkoopbare vaardigheden zoals scherm- en logicareparaties in plaats van cyberdiefstal. Er zijn veel meer mogelijkheden om de wereld te laten zien wat tijd kost om te begrijpen, zoals elektrotechniek, in plaats van anderen lastig te vallen door van hen te stelen (diefstal van creditcards). Het lijkt erop dat cyberbeveiliging in de toekomst zal berusten op denkende machines die repetitieve beslissingen nemen, en dat de mensen van daaruit kunnen beslissen welke richting op de lange termijn gunstiger is.

Vroeger was er een “Verified by Visa”-systeem waarbij de Visa-kredietkaart een wachtwoord had dat de consument bijhield. Het wachtwoord stond niet op de kaart. Het “Verified by Visa”-systeem werd gebruikt voor internettransacties. Handelaren hadden de mogelijkheid om het systeem aan te bieden.