Den som drabbades av kontokortsbedrägeriet berättade för en kollega om det inträffade. Eftersom kollegan är systemutvecklare började han av eget intresse att undersöka hur hackaren hade gått till väga.

På kontoutdraget framgick att hackarna först hade gjort ett köp för mindre än 100 kronor på SF Bios sajt, innan de shoppade loss ordentligt.

Från den sajten verkade hackaren ha kunnat ta reda på kreditkortsuppgifter. Efter ett manuellt test på sajten ifråga genom att mata in ett giltigt kreditkortsnummer och prova olika cvv-koder visade det sig att testet kunde göras cirka 30 gånger från samma ip-adress utan att kortet spärrades. Slutsatsen är att det i praktiken är möjligt för hackare att skriva ett program som automatiskt provar sig fram till rätt cvv-kod.

Thomas Runfors, informationschef på SF Bio, säger att det är första gången han har hört talas om det här.

– Det är aldrig roligt. Vi följer de rekommendationer vi har fått gällande säkerhet.

– Men är det inte en bra lösning tycker jag att det kan vara aktuellt att byta transaktionsbolag och bank, säger han.

SF Bio har sålt biljetter via webben sedan 2001 och av nio miljoner sålda biljetter per år säljs 20 procent on­line. Mattias Lannegren som är systemsansvarig säger att han har hört från polisen att bedragare gör så kallade testköp på sajter som deras.

Att de fiskar ny information om kontokort är dock nytt för honom.

– Det är tekniskt möjligt att lägga in en spärr på hur många försök man kan få med cvv-koden, och nu kommer vi att göra det. Vi vill ju alltid skydda våra konsumenter i den mån det går, säger Mattias Lannegren.

Enligt Svensk Handels säkerhetsexpert Dick Malmlund finns det inga regler för hur många gånger en felaktig kod får slås i butiker. Mellan butik och bank finns det dock en kommunikationskedja så att alla försök registreras på båda sidor.

– Det vore rimligt att butiken hade någon form av försöksspärr, säger Dick Malmlund.

Fakta

Det har blivit mycket svårare att upptäcka och avslöja bedrägerier med e-handeln. Det krävs inte att du ska bli av med kortet för att någon annan ska kunna handla med det. Många nätbutiker kräver bara de synliga uppgifterna på kortet, sexton siffror på framsidan, ett utgångsdatum och en cvv-kod (de tre sista siffrorna på kortets baksida.) Polisens bedrägerirotel får in drygt 500 ärenden varje månad – bara i Stockholms city.