Hur man misslyckas med att skapa förtroende för kortbetalning på nätet
Handlade precis på Adlibris. De upplyser snyggt och fint före kortbetalning att DIBS kommer att hantera kortköpet.
Förvisso kan någon ha hackat Adlibris och lagt ut desinformation, men DIBS är jag bekant med och jag är ännu så länge fullt trygg.
När man går vidare så blir man skickad till en sajt som vill ha ens kreditkortsuppgifter. Det är förväntat och helt i sin ordning, om det inte vore för att sajten inte alls ligger under dibs.se utan under secure.incab.se…
Vad tusan är Incab? Adlibris har just sagt att jag ska genomföra kortköpet på ”en sida hos DIBS”, och de förväntar sig nu att jag matar in mina uppgifter till incab.se. Okej…, eller så är incab.se något helt annat än vad den utger sig för att vara, trots den fina DIBS-loggan och allt. Hur ska jag veta?
Jag Googlar! Får dock inga resultat för ”incab site:dibs.se”, och även noll träffar vid sökning på ”incab” med sökfunktionen på http://www.dibs.se/, okej…
Hur ska jag veta att jag hamnat på rätt ställe? Någon har gjort ett riktigt dåligt jobb här!
Men okej, ett sista försök. Jag tittar i certifikatet för secure.incab.se och ser att det är utfärdat till organisationen ”DIBS Payment Services”.
Kollar upp http://www.thawte.com/ssl/ och ser att de genomför en ”Full organization validation” innan certifikatet lämnades ut, om man nu inte köpt ett SSL123-cert. Vet inte vad valideringen innebär, men nu är jag trött och jag väljer att tro på att det är en bra validering, eftersom det inte står ”123” som utfärdare.
Det finns många problem här, och jag väljer att lista några uppenbara:
- Att upplysa om att DIBS är PCI-certifierad hjälper föga när kunder skickas till incab.se.
- Att upplysa om att DIBS är PCI-certifierad hjälper inte för att öka förtroendet för att hackers inte har tagit över adlibris.se och att inhämtandet av kortuppgifter dirigeras till deras egen sajt.
- Någon på Adlibris bör ta sig en rejäl funderare över sin betalningslösning och den information som går ut till kunderna.
- Någon på DIBS bör ta sig en rejäl funderare över användandet av domänen incab.se.
- Att inte ta detta med ”redirect” på större allvar leder till att säkerhetsmedvetandet på Internet avtrubbas! Detta är ett ansvar som här faller på Adlibris och DIBS.
PCI DSS 3.0 förtydligar i viss mån kraven för organisationer liknande Adlibirs, då de dirigerar trafik till betalsajter. Detta kommer förhoppningsvis att leda till ett högre säkerhetstänk hos e-handlare, men det gör det inte lättare för konsumenter att bedöma trovärdighet på nätet. För detta behövs just den tydlighet och stringens som Adlibris och DIBS nu saknar.
Jag håller med! Upplevde precis samma problem nyss och då har det ändå gått 8 månader…
Upplever samma sak på trettio.se jag fattar inte att företag som jobbar med betalning inte förstår att det här är ett problem!
Problemet kvarstår.
Finns nu oxå på svenska myndigheter som tar emot betalning med kort.
Förståelsen och kunskapen hos bolag och myndigheter saknas, ändå varnas man i radio, TV, och när man loggas in på banken. Lämna inte ut dina uppgifter till okända!
Det förekommer falska och hackade web-sidor
Hade en diskution med ett Sparrtjänstföretag som ville att jag skulle registrera alla min kontokort på en site med en annan adress (URL) än spärtjänsteföretagets.
Tjejen kunde inte förstå att det var ett problem att det var ett annan namn.
– Det var ju ”https://”, då är det ju säkert. Hänglåset i webläsaren säger att det är säkert, sade hon.
– Gör bara att ingen kan avlysna, sade jag.
Men det kunde ju lika gärna vara en web-address som jag skapat ett SSL sertfikat för och sidan varit hackad sade jag.
– Nej, sade hon (sant iofs)
– Ni kunde ju uppysa om vilken site/URL man styrs om till, sade jag.
Noll koll…
Det här handlar ju bara om sunt förnuft.