Börja nu  Kontakta säljteamet 

Credit master-attacker i Japan: Vad de är och hur man förebygger dem

Radar
Radar

Stripes nätverk – ditt vapen i kampen mot bedrägeri.

Läs mer 
  1. Introduktion
  2. Vad är en credit master-attack?
    1. Credit master-tekniken
    2. Skador som orsakas av credit master-attacker
  3. Hur påverkas företag i Japan av credit master-attacker?
    1. Ökade auktoriseringskostnader på grund av många auktoriseringsförfrågningar
    2. Förlorade försäljningsmöjligheter och klagomål från kunder
    3. Tillfälligt stopp för kreditkortsbetalningar
    4. Förlorat kundförtroende och skadespridning
  4. Hur kan företag i Japan förhindra credit master-attacker?
    1. 3D Secure
    2. Verktyg för att motverka botar
    3. System för identifiering av bedrägerier
    4. Begränsningar för inmatning av kortuppgifter
  5. Hur påverkas kortinnehavare av kreditmasterattacker?
    1. Oupptäckt bedräglig kortanvändning
    2. Återutfärdande av kort
  6. Hur kan kortinnehavare förhindra credit master-attacker?
    1. Förhindra credit master-attacker
    2. Åtgärder att vidta efter en credit master-attack
  7. Vanliga frågor om credit master-attacker
    1. När uppdateras ett kreditkortsutdrag?
    2. Är det möjligt att endast kreditkortsnumret kan missbrukas?
    3. När blir 3D Secure obligatoriskt för kreditkort?
  8. Bra att veta om credit master-attacker
  9. Kom igång med Stripe 

En credit master-attack är en brottslig handling där någon på olaglig väg skaffar och använder en annan persons kreditkortsuppgifter. Credit master-attacker ökar i Japan och har en betydande inverkan på företag och kortinnehavare. På grund av detta är det nödvändigt att vidta åtgärder för att förhindra credit master-attacker.

I den här artikeln förklarar vi vad credit master-attacker är, vilken skada de kan orsaka och vilka motåtgärder som företag och kortinnehavare kan vidta för att förhindra dem.

Vad innehåller den här artikeln?

  • Vad är en credit master-attack?
  • Hur påverkar credit master-attacker företag i Japan? 
  • Hur kan företag i Japan förhindra credit master-attacker?
  • Hur påverkar credit master-attacker kortinnehavare?
  • Hur kan kortinnehavare förhindra credit master-attacker?
  • Vanliga frågor om credit master-attacker
  • Vad du bör veta om credit master-attacker

Vad är en credit master-attack?

En credit master-attack är en metod för kreditkortsbedrägerier där man använder sig av kreditkortsnumrens konsekventa struktur för att på olaglig väg få fram kortnummer. I en credit master-attack använder angriparen ett program eller en programvara som automatiskt genererar slumpmässiga nummer. Dessa nummer testas sedan för att identifiera giltiga kortnummer och säkerhetskoder.

Angripare använder betalningssidorna på e-handelswebbplatser för att avgöra om dessa maskingenererade nummer är giltiga kreditkortsnummer eller inte. Om en betalningssida tar emot en kreditkortsbetalning med dessa nummer anses kortnumret och säkerhetskoden vara giltiga. De riskerar då att användas på ett bedrägligt sätt på diverse andra e-handelssajter.

Här förklaras de specifika metoder som används i en credit master-attack mer ingående:

Credit master-tekniken

En credit master-attack går ut på att man automatiskt genererar nummer baserat på kreditkortsnumrens regelbundenhet.

I enlighet med den internationella standarden International Organization for Standardization/International Electrotechnical Commission (ISO/IEC) 7812 består kreditkortsnummer av:

  • Ett id-nummer för kortutgivaren (IIN): Detta kallas ibland även bankidentifieringsnummer (BIN) och omfattar de sex första siffrorna.

  • Ett medlemskontonummer: Denna siffra omfattar den sjunde till den näst sista siffran.

  • En kontrollsiffra: Detta är den sista siffran.

Med hjälp av en speciell algoritm avgör kontrollsiffran om kortnumret är korrekt. Kreditkortsutfärdaren avgör IIN-numret. Detta är offentlig information som vem som helst kan kontrollera. Till exempel tilldelas Rakuten-kreditkort IIN ”3584-03” och EPOS Visa-kreditkort tilldelas IIN ”4897-83”.

Efter att ha fastställt en utgångspunkt genom några gissningar genereras siffror automatiskt av en dator. Det slutliga numret beräknas genom att upprepade gånger testa kombinationer av säkerhetskoden och utgångsdatumet, förutom IIN, medlemskontonummer och kontrollsiffra.

Skador som orsakas av credit master-attacker

Enligt den japanska konsumentkreditorganisationen orsakade den obehöriga kreditkortsanvändningen i Japan från januari till december 2023 skador till ett sammanlagt belopp av 54,1 miljarder yen, vilket är det högsta belopp som någonsin har registrerats. Jämfört med de totala skadorna på 43,7 miljarder yen 2022 motsvarar detta en ökning med över 10 miljarder yen på ett enda år.

När mängden skador som orsakats av bedräglig användning av kreditkort delas upp i kategorier uppgick det totala beloppet för skador orsakade av nummerstöld 2023 till 50,5 miljarder yen. Detta motsvarar 93,3 % av det totala skadebelopp som orsakas av bedräglig användning av kreditkort.

Credit master-attacker ingår normalt i kategorin nummerstöld, men alla attacker som omfattar nummerstöld bygger inte på credit master-teknik. Men enligt de senaste trenderna blir bedrägliga aktiviteter som involverar stöld av kreditkortsnummer – inklusive olika typer av credit master-teknik – mer komplexa och sofistikerade för varje år. Det finns en oro för att förlusterna kommer att fortsätta att öka.

Hur påverkas företag i Japan av credit master-attacker?

Så här påverkar dessa attacker japanska företag:

Ökade auktoriseringskostnader på grund av många auktoriseringsförfrågningar

Kortauktorisering (dvs. processen för att säkra kredit eller få godkännande för kredit) gör det möjligt för företag att kontrollera med kreditkortsföretaget om kunden har tillräckliga medel eller kredit för att betala för en transaktion. Företaget måste betala kreditkortsföretaget en hanteringsavgift för varje auktorisering, vanligtvis mellan 1 och 5 yen.

Om en e-handelswebbplats utsätts för en credit master-attack debiteras den vanligtvis en stor mängd auktoriseringsavgifter när kortnummer skickas in för auktorisering. Även om avgiften för varje auktoriseringsförsök är liten, kan kostnaden för auktoriseringarna snabbt bli stor.

För även om kreditkorten inte används på ett bedrägligt sätt direkt på den webbplatsen, kan företaget lida skada på grund av ett stort antal auktoriseringar och de kostnader de innebär.

Förlorade försäljningsmöjligheter och klagomål från kunder

Under en credit master-attack görs ett stort antal åtkomstförsök från en enda plats. Detta kan överbelasta systemet, fördröja betalnings- och orderhanteringen och i vissa fall hindra legitima kunder från att komma åt e-handelswebbplatsen. Än mer problematiskt är att det kan leda till att kreditkortsbetalningar tillfälligt är otillgängliga.

Om den här situationen uppstår på en e-handelswebbplats, kommer kunderna att känna sig begränsade, misstänksamma eller obekväma och kan sluta att använda webbplatsen helt och hållet. Detta kan leda till förlorade försäljningsmöjligheter för företaget. Dessutom kommer webbplatsen att översvämmas av förfrågningar och klagomål från faktiska kunder som är oroliga för om deras beställningar och betalningar har hanterats korrekt.

Tillfälligt stopp för kreditkortsbetalningar

Kreditkortsföretag övervakar ständigt betalningsförhållandena. Av denna anledning kan kreditkortsföretag tillfälligt stoppa betalningar för e-handelssajter som har utsatts för en credit master-attack.

Inom credit master-teknik används ett stort antal slumptal som står i konflikt med varandra. Detta resulterar i det stora antal auktoriseringsförfrågningar som tidigare har nämnts, vilket kan flaggas som bedrägeri. Detta kan leda till att kreditkortsleverantören bedömer det nödvändigt att helt och hållet stoppa kreditkortsbetalningar för en viss webbplats. Under tiden som sådana betalningar är stoppade går det inte att tillhandahålla kreditkortsbetalningstjänster till legitima kunder.

Förlorat kundförtroende och skadespridning

Som nämnts ovan kan kreditkortsbetalningar vara tillfälligt otillgängliga. Om e-handelswebbplatsen går ner medan en kund gör en beställning kan webbplatsen uppfattas som osäker eller oförmögen att hantera säkra betalningar.

Om en kund kontaktar företaget kan han eller hon få ett svar som ”Kreditkortsbetalningar har tillfälligt avbrutits på grund av obehörig aktivitet utanför företaget”. Ett sådant meddelande kan öka kundens oro eller misstro.

Om en credit master-attack lyckas, kan dessutom credit master-angripare anse att webbplatsen har dålig säkerhet. Därför kan webbplatsen fortsätta att bli utsatt för angrepp i framtiden. Om en illasinnad tredje part får giltiga kreditkortsuppgifter från ett företags e-handelswebbplats, har dessutom kundernas personuppgifter äventyrats. Deras kortuppgifter kan även användas på ett bedrägligt sätt på annat håll, vilket kan leda till ytterligare skada för kunderna.

Hur kan företag i Japan förhindra credit master-attacker?

Här är de åtgärder som företag kan vidta för att skydda sig mot credit master-attacker och minska sannolikheten för att drabbas:

3D Secure

3D Secure är ett autentiseringssystem som syftar till att förhindra obehörig användning av kreditkort vid betalningar på e-handelswebbplatser. Engångslösenord och biometrisk autentisering håller på att bli normen, och de används för att bekräfta att personen som anger kreditkortsuppgifter är den legitima ägaren till kortet.

I 3D Secure 2.0 (kallas även ”EMV 3-D Secure”) är det till exempel möjligt att förhindra obehörig användning, som att stjäla kreditkortsuppgifter. Systemet utför riskbedömning baserat på detaljerade data, till exempel kundens enhetsinformation, åtkomstregion och tid på dygnet. Men 3D Secure 2.0 i sig är inte tillräckligt för att helt förhindra bedrägeri, så det är nödvändigt att implementera flera andra bedrägeriförebyggande åtgärder utöver 3D Secure 2.0.

Verktyg för att motverka botar

Att använda botdetekteringsverktyg är ett annat sätt att förhindra automatiserad obehörig åtkomst, inklusive credit master-attacker. Googles reCAPTCHA är ett välkänt botdetekteringsverktyg, och det är en säkerhetstjänst som alla företag kan använda.

reCAPTCHA v2 har två typer av tester. Den ena kräver att kunden markerar en ruta för att bekräfta att han eller hon inte är en robot, och den andra att kunden väljer rätt bilder från ett urval av flera bilder. I instruktionerna kan det till exempel stå: ”Välj de bilder som innehåller ett övergångsställe.” Dessa ses ofta när du skickar in ett förfrågningsformulär på en webbplats eller när du loggar in på ett konto.

Dessutom använder den senaste versionen – reCAPTCHA v3 – maskininlärning för att analysera kundernas webbaktivitetsmönster och automatiskt avgöra om webbplatsen nås av en människa eller bot. Även om reCAPTCHA v3 inte kräver kundinmatning som reCAPTCHA v2, ger det överlägsen säkerhet.

System för identifiering av bedrägerier

Ett system för identifiering av bedrägerier identifierar bedräglig användning baserat på tidigare betalningsuppgifter och beteende. En del av de uppgifter som den letar efter är:

  • En ogiltig eller fiktiv adress

  • Kortinnehavarens namn som inte stämmer överens

  • Beställningar som görs från olika terminaler

  • Upprepade betalningar med olika kortnummer

Med ett system för identifiering av bedrägerier kan företag mer effektivt förhindra skador på e-handelswebbplatser genom att upptäcka och automatiskt blockera bedrägliga transaktioner som inte kan verifieras med 3D Secure. Med system för identifiering av bedrägerier behöver inte heller legitima kortinnehavare gå igenom extra steg för att göra betalningar, till exempel genomgå ytterligare autentisering. Detta kan leda till en bättre shoppingupplevelse för kunderna.

Stripe hjälper företag att optimera sin betalningsmiljö online genom att möta det växande hotet från bedrägerier på global nivå. Stripes egenutvecklade verktyg för förebyggande av bedrägerier, Stripe Radar, använder maskininlärning för att anpassa sig till de ständigt föränderliga bedrägerimönstren, vilket möjliggör mer avancerade åtgärder för att förebygga bedrägerier. Eftersom det kan integreras i betalningsflödet utan att man behöver lägga extra tid och kostnad på att själv utveckla ett system för att upptäcka bedrägerier, går det smidigt och enkelt att komma igång med att använda systemet.

Begränsningar för inmatning av kortuppgifter

Att sätta en gräns för hur många gånger en kund kan ange sina kreditkortsuppgifter på betalningsskärmen kan förhindra storskaliga credit master-attacker.

Men om gränsen är för snävt satt kan den blockera kortanvändningen om en legitim kortinnehavare av misstag anger felaktiga uppgifter för många gånger. En alltför strikt gräns kan öka risken för att kundvagnen överges och minska kundnöjdheten.

Hur påverkas kortinnehavare av kreditmasterattacker?

Här är några exempel på skador som en kortinnehavare kan drabbas av till följd av en kreditmasterattack:

Oupptäckt bedräglig kortanvändning

Om kreditkortsinformationen som genereras i en kreditmasterattacker anses vara giltig är det troligt att den kommer att användas av en tredje part med onda avsikter. I takt med att kreditmasterattackerna blir allt mer sofistikerade kommer många medvetet att hålla den summa som spenderas så låg att den blir svårare att upptäckas som bedräglig användning av kunden.

Återutfärdande av kort

Om det finns flera fall av bedrägliga kreditkortstransaktioner kan kreditkortsföretaget besluta att annullera kortet. Som vi kommer att förklara senare, om en kreditkortsinnehavare själv upptäcker en kreditmasterattack, måste de kontakta kreditkortsföretaget och få kortet annullerat. I båda fallen måste kortet utfärdas på nytt och kan inte användas förrän dess.

Hur kan kortinnehavare förhindra credit master-attacker?

När ett kreditkort används på ett bedrägligt sätt i en credit master-attack drabbas kunden både ekonomiskt och psykologiskt. Det här kan kortinnehavare göra för att minska risken för att drabbas och vad bör de göra om deras kreditkortsuppgifter används i en credit master-attack:

Förhindra credit master-attacker

Kontrollera kortkontoutdrag noggrant och regelbundet

När kortinnehavare regelbundet kontrollerar sitt kontoutdrag är det mer sannolikt att de lägger märke till betalningar som de inte kommer ihåg att de har gjort. Jämfört med någon som bara kontrollerar sitt kontoutdrag en gång i månaden är det till exempel mer sannolikt att någon som kontrollerar sitt kontoutdrag efter varje shoppingtur eller måltid kan se om en betalning avviker.

Använd en tjänst för meddelanden om användning

Med en tjänst för meddelanden om användning kan kortinnehavare få meddelanden via e-post, sms eller push-meddelanden när ett kreditkort används. De meddelas i realtid om belopp, datum, tid, företagets namn och annan information sedan kortet har använts. Om de får ett meddelande när de inte använde kortet vet de omedelbart att det är bedrägligt och kan vidta lämpliga åtgärder.

Ställ in begränsningar för kortanvändning

Att sätta en gräns för varje typ av användningssituation kan ge kreditkortskunder en viss sinnesro. Det är också viktigt att sätta individuella gränser för varje situation. Om kortinnehavaren till exempel aldrig reser utanför Japan kan han eller hon ställa in gränsen för utlandet till ett minimum. Kortet kan också ställas in så att det inte går att göra enstaka transaktioner med högt värde. På så sätt löper kortet mindre risk att drabbas av bedrägerier vid onlineshopping.

Åtgärder att vidta efter en credit master-attack

Ibland är dessa attacker oundvikliga, även om företaget och kortinnehavaren vidtar alla möjliga åtgärder för att förhindra bedrägerier. Det här kan en kortinnehavare göra om han eller hon blir utsatt för en credit master-attack:

Kontakta kreditkortsföretaget för att spärra kortet

Så snart en kortinnehavare upptäcker obehörig användning bör han eller hon omedelbart kontakta kreditkortsföretaget och begära att kortet spärras. Om obehörig användning upptäcks kan återbetalning begäras genom att man vägrar att betala genom en process som kallas chargeback.

Utnyttja ersättningssystemet

När kreditkortet har spärrats kan kortinnehavarna använda kreditkortsbolagets ersättningssystem. De närmare detaljerna kring ersättningen varierar mellan företagen, men om obehörig användning har bekräftats kan ersättningssystemet användas som en konsumentåtgärd. Därför bör kortinnehavare kontrollera detaljerna i ersättningssystemet i förväg. Detta kan hjälpa dem att agera lugnt vid en credit master-attack.

Vanliga frågor om credit master-attacker

När uppdateras ett kreditkortsutdrag?

När butiken skickar användningsdata till kreditkortsföretaget återspeglas tidpunkten på utdraget. Om butiken till exempel skickar användningsdata direkt efter en kreditkortsbetalning tar det vanligtvis två eller tre dagar från betalningstidpunkten till den tidpunkt då den visas på kontoutdraget. Tidpunkten för dataöverföring varierar dock beroende på butik. I vissa fall kan det ta flera veckor eller månader innan en debitering syns på ett kontoutdrag.

Om en kortinnehavare använder ett kreditkort för att betala för en produkt visas inte transaktionsinformationen på kontoutdraget omedelbart.

Är det möjligt att endast kreditkortsnumret kan missbrukas?

Kreditkort innehåller flera uppgifter som kan missbrukas, till exempel en säkerhetskod och ett utgångsdatum. Vissa människor kan oroa sig för att deras kortnummer har avslöjats för en tredje part och kan missbrukas. Men om bara en av dessa uppgifter läcker ut är det i regel låg sannolikhet för att någon ska lyckas använda den på obehörigt sätt.

För att handla online på ett e-handelsköpcentrum eller registrera sig för digitala tjänster via internet måste kortinnehavare ange kortnummer, säkerhetskod och utgångsdatum. Det är med andra ord inte möjligt att göra en kreditkortsbetalning online med bara kortnumret.

Men om säkerhetskoden och utgångsdatumet läcker ut tillsammans med kortnumret kan det användas i bedrägligt syfte. När en kortinnehavare gör en kreditkortsbetalning – oavsett om det är personligen eller inte – bör de därför vara försiktiga med vad människor omkring dem kan se. De bör undvika att handla online på platser med ett stort antal människor, eftersom någon kan försöka titta på betalningsskärmen och få deras information.

När blir 3D Secure obligatoriskt för kreditkort?

Som en del av åtgärderna för att förhindra obehörig användning av kreditkort kommer 3D Secure 2.0 att vara obligatoriskt för e-handelssajter i Japan från och med slutet av mars 2025. I och med att 3D Secure blir obligatoriskt är det viktigt för alla företag som är involverade i kreditkortsbranschen att uppmuntra e-handelsföretag att delta.

Bra att veta om credit master-attacker

I den här artikeln har vi behandlat attackmetoderna och den monetära skadan av credit master-attacker samt skador och motåtgärder för både företag och kunder.

Credit master-attacker omfattar skadliga tekniker som möjliggör slumpmässiga attacker genom att använda maskinbaserad automatisk nummergenerering för att på ett bedrägligt sätt få tag på kreditkortsuppgifter. För att försvara sig mot angripare som planerar att använda credit master-tekniken är det mycket viktigt att stödja 3D Secure och stärka säkerhetsnivån på ditt företags e-handelswebbplats. Du kan göra det genom att implementera bedrägeridetektering och skapa en webbplatsmiljö där kunderna kan njuta av att handla i lugn och ro.

På kundsidan bör kreditkortsinnehavare också vara extra försiktiga när de använder sina kort, kontrollera sina kontoutdrag regelbundet och vara försiktiga med hur de förvarar och hanterar sina personuppgifter.

Innehållet i den här artikeln är endast avsett för allmän information och utbildningsändamål och ska inte tolkas som juridisk eller skatterelaterad rådgivning. Stripe garanterar inte att informationen i artikeln är korrekt, fullständig, adekvat eller aktuell. Du bör söka råd från en kompetent advokat eller revisor som är licensierad att praktisera i din jurisdiktion för råd om din specifika situation.

Fler artiklar

Är du redo att sätta i gång?

Skapa ett konto och börja ta emot betalningar – inga avtal eller bankuppgifter behövs – eller kontakta oss för att ta fram ett specialanpassat paket för ditt företag.
Radar

Radar

Stripes nätverk – ditt vapen i kampen mot bedrägeri.

Dokumentation om Radar

Använd Stripe Radar för att skydda ditt företag mot bedrägerier.