Küsimus:
Millist mõju avaldab krediit- või deebetkaardi esikülje avalikustamine?
Rory McCune
2012-10-23 12:15:18 UTC
view on stackexchange narkive permalink

On üsna palju juhtumeid, kus inimesi kutsutakse välja krediit- või deebetkaardi esikülje avaldamise eest (nt see Brian Krebsi säuts või see twitteri konto). Nii et ma mõtlesin, milline on selle avalikustamise mõju kaardi omanikule.

Kaardi esiküljelt võib pettur saada kaardi PAN (16-kohaline number) alguskuupäeva / aegumiskuupäeva. kuupäev ja kaardiomaniku nimi. Ka deebetkaartide puhul kaardiomaniku kontonumber ja sortimiskood (mis võivad piirkonniti erineda).

Seega on küsimus selles, milline on selle teabe avaldamise tõenäoline mõju (st milliseid pettusi võidakse toime panna) .

  • Kaart ei oleks kloonitav ainult selle teabega, kuna on vaja muud teavet, mida magstripi jaoks on vaja.
    • Olen "kusagilt kuulnud", et teil on vaja ainult numbreid - et kõik kaupmehed ei nõua CVV-d ega isegi aegumiskuupäeva. Kuid see _tõepoolest_ vajab kinnitust.
    Kuigi CCV-d ei avaldatud, arvan, et selle arvamine osutub vähem kui keeruliseks. Enamik CCV-koode koosneb varsti kolmest numbrist ja neil on ka muid piiranguid. Ma pole kindel, kuid see võib olla probleem. Ma arvan siiski, et enamik panku annaks teile raha tagasi, kui pärast läbiviimist avastataks tehing, mis pole teie luba.
    Esiküljel on Amex CVV (Card Verification Code).
    @HenningKlevjer jt: [Kuidas esitab Amazon mulle CVC / CVV / CVV2 kohta arveid?] (Http://security.stackexchange.com/q/21168) [Miks nõuab Amazon CVC / CVV-d, kui arveldab ilma selleta? ] (http://security.stackexchange.com/q/22733) Seotud ka: [Kas mind saaks petta mõni veebisait, kellel on minu aadress, telefoninumber ja krediitkaardinumber?] (http: //security.stackexchange. com / q / 10400) [Kas tavaks on paluda kliendil oma identiteedi kinnitamiseks oma krediitkaardilt foto saata?] (http://security.stackexchange.com/q/18240)
    @Gilles Väga asjakohane, kuigi tsitaate pole. On väga tõenäoline, et just kaardi väljaandja otsustab, milliseid väärtusi on vaja, ja kaupmees otsustab lisanõuded, st "halb" kaupmees võib lubada just PAN-i, kui kõnealusel krediitkaardi väljaandjal on vale autentimise tagamise poliitika.
    @HenningKlevjer Ma küsisin selle esimese küsimuse, millega ta linkis, ja sealsed poisid selgitasid, et kõik asjakohased asjad määratletakse [Amazoni] kaupmehelepingus, mis pole ilmselgelt üldsusele kättesaadav. Lisaks ma ei ütleks, et näiteks Amazon on "halb" kaupmees ja nad ei küsi CVV-d. Sama eelmainitud küsimus mainib põhjust, miks nad saavad endale lubada kraami küsimata jätmist - nad hoiavad pettuste määra piisavalt madalal.
    Sellega seotud märkuses: https://twitter.com/NeedADebitCard leiab teile kõik vajalikud krediitkaardid, kui soovite midagi osta. : lk
    Viis vastused:
    Polynomial
    2012-10-23 12:42:37 UTC
    view on stackexchange narkive permalink

    Teil pole tehingute tegemiseks tegelikult vaja CVV-d, enamus jaemüüjaid nõuab neid lihtsalt selleks, et kontrollida, kas teie füüsiline kaart on teie valduses.

    Wikipediast (hankimata):

    Kaupmees ei pea tehingu sooritamiseks turvakoodi nõudma, mistõttu on kaart endiselt pettuseoht isegi kui andmepüüdjatele on teada ainult selle number.

    Enamikus EFTPOS-süsteemides on võimalik kaardi üksikasjad käsitsi sisestada. Kui väli puudub, vajutab operaator vahele jätmiseks sisestusklahvi, mis on tavaline kaartide puhul, millel pole alguskuupäeva. Nendes süsteemides on tühine kaardi laadimine ilma CVV-ta. Kui töötasin jaemüügis, tegime seda sageli siis, kui kaardi kiip ei töötanud ja CVV oli maha hõõrunud. Sellistel juhtudel oli vaja ainult kaardi numbrit ja kehtivuse lõppkuupäeva, kinnitamiseks kviitungil allkiri.

    Kuid kas see ei olnud poliitika ja reeglitega vastuolus krediitkaardiandmete vastuvõtmine kliendilt isiklikult, kui krediitkaarti ei olnud nende käes? Kassapidajana teadsin alati, et kaameraid oli, isegi katkendlikult, nii et mind oleks kaasatud lisavarustusse, kui võtaksin kliendilt makse vastu ilma kaardita, kui klient oleks poes füüsiliselt kohal.
    @FeralOink Neil oli kaart olemas, kuid kiip ei töötanud ja CVV hõõruti ära. Esitasin lihtsalt näite, kus ma isiklikult nägin kaarte, mida kasutati ilma CVV-ta. Sel viisil on võimalik luua petturlik kaupmehekonto ja varastada sularaha. Samuti on võimalik leida kauplusi, mis ei vaja CVV-d, ehkki see on tänapäeval haruldane.
    Okei! See on mõttekam. Mõistsin teid valesti, arvates, et füüsilist kaarti ei vaja isikliku tehingu jaoks. Aitäh!
    @Polynomial +1. Töötasin 5 aastat jaemüügis ja mitu korda sisestasin krediitkaardi numbri / aegumiskuupäeva käsitsi, kuid mitte kunagi CVV-d. Mõnes süsteemis (näiteks selles, kus töötasin) pole isegi kohta, kuhu CVV panna.
    Bushibytes
    2012-10-23 16:48:17 UTC
    view on stackexchange narkive permalink

    Lisaks juba mainitud rünnakutele, mis hõlmavad krediitkaardi volitamata kasutamist, saab krediitkaardi teavet kasutada ka sotsiaalseks inseneriks ja identiteedivarguseks.

    Veidi praeguse näitena vaadake, kuidas Mat Honan häkkinud eelmisel suvel: http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/all/

    Tema puhul Kontolt loobumiseks nõudis Apple oma krediitkaardi (mille ründaja sai Amazonilt) viimaseid numbreid. On mõistlik, et teisi müüjaid võib petta, kui ründaja peaks esitama krediitkaardi täieliku numbri koos aegumiskuupäevadega.

    +1 Kuigi finantsteabe leke võib olla enam-vähem ilmne, on krediitkaardi kasutamiseks palju rohkem võimalusi kui lihtsalt asjade ostmine, eriti kui nii paljud müüjad kasutavad varunduskliendi ID-na viimaseid 4 numbrit.
    Ellie Kesselman
    2012-10-23 13:37:12 UTC
    view on stackexchange narkive permalink

    Kontrollimiseks vajate CVV-d ja aegumiskuupäeva, kuigi aegumiskuupäev on kaardi esiküljel. Samuti on vaja arveldusaadressi või vähemalt arveldusaadressi postiindeksit, kumbki neist pole kaardi esiküljel või tagaküljel.

    See sõltub aga sellest, kas ostate midagi jaemüüki, isiklikult võrgus. Kui töötate jaemüügis, kus kaardi üksikasju saab käsitsi sisestada, on see kindlasti üks võimalus, kui selle vastu pole poliitika, või võib-olla POS-masin, mis seda ei luba (kuigi see pole minu kogemus, magnetiliselt naiste magnetkottide kinnitusdetailide abil magnetiseeritakse ribasid (LOT), oleks võimalik pettus. Arveldamise sihtnumbrit ega arveldusaadressi pole vaja. See eeldaks aga nii kassapidaja kui ka kliendi kaasosalust. Sellepärast: kuigi kaarditeavet saab käsitsi sisestada, pole KUNAGI vastuvõetav võtta teavet inimeselt, kes ulatab teile kaardi üksikasjadega paberi.

    Telefonis või veebis , vajate füüsiliseks kättetoimetamiseks nime, kaardi numbrit, aegumiskuupäeva, CVV-d (4-kohaline AmEx, 3-kohaline Visa / MC puhul) ja arveldusaadressi (ja saatmisaadressi). Kui tellite midagi, mida pole vaja tarnida, ja pidage meeles, et olete nüüd ebaseaduslike ostude valikuid oluliselt piiranud, vajaksite siiski arveldamise sihtnumbrit, kuigi te ei vaja aadressi jne.

    Mida saab osta veebis või telefoni teel koos nime, kaardi numbri, CVV ja sihtnumbriga? Noh, iTunes piirab igakuiseid ostusid 5000 dollarini kuus vaikimisi. Nii et võite osta palju iTunes'i muusikat või lisatasu liikmeks kallitele pornosaitidele või palju pilvemälu või võrgumänge. Kuid isegi kui teete midagi sellist, peate siiski teenuseid kasutama kuskilt, mis oli seotud IP-aadressiga. Ma kahtlen, kas Tori kaudu on otstarbekas mänge mängida, sama kehtib ka pornostriimi voogesituse kohta, kuigi ma pole selles kindel. Ja kui ostsite iTunes'i lugusid, peaks Apple teadma teie kohta piisavalt teavet, et see poleks ohutu. Te ei saanud PayPali või Amazoni kaudu kraami osta, kuna peate asjad füüsiliselt kohale toimetama, mis oleks süüdistav, kas teile või kellelegi teisele, kes teie eest tegutses.

    Ja kõik see oleks küsitav ilma arvelduse sihtnumbrita, mis pole kaardi esiküljel. Mul pole ühtegi allikat, mul on lihtsalt aasta pikkune kogemus kasiinos, suurel 500 inimese laeval töötades. Ja ma ostan palju riideid ja asju veebist. Otsin midagi, mida tsiteerida, kuid see tuleneb pigem laialt levinud elektroonilistest maksepraktikatest kui tehnoloogilisest võimatusest.

    EDIT:
    Vaadake vastuseid sellele küsimusele Mis on varastatud krediitkaardiandmete kasutamine? Vastused põhinevad juurdepääsul massilistele kaartide kogustele või soovile lubada kellelgi teie ostude kättetoimetamise tõttu hätta jääda (vastuses viidati sellele kui "rube" -le) ) või pigem keerukate eBay-kaartide vahetamise skeemid. See polnud otsene. (Paljud otsivad krediitkaardiandmeid, kuid ma mõtlen sageli, mida enamik inimesi sellega teha saab, peale selle, et tekitada ebamugavusi ja hirmu. Erandiks on ZeuS või SpyEye, kuna see näib häirivalt mitmekülgne).

    CVV / CVC või füüsiliste kaartide nõude poliitika kohta vaadake palun http://security.stackexchange.com/a/21180/3607
    D.W.
    2012-10-24 02:54:53 UTC
    view on stackexchange narkive permalink

    Tasub mainida, et American Expressi krediitkaartide CVV on esiküljel (mitte tagaküljel) koos kaardi numbri, kaardi omaniku nime ja kehtivusajaga. Seetõttu võimaldaks Amexi kaardi esikülje avalikustamine meelevaldseid oste, isegi kaarte puuduvaid oste.

    John
    2012-12-14 07:42:00 UTC
    view on stackexchange narkive permalink

    Krediitkaarditehingute sooritamiseks on vaja ainult PAN (esmane kontonumber), mis on põhimõtteliselt kaardi esiküljelt leitud 16 numbrit. See on kõik, mis kaardi pühkimisel tegelikult juhtub - masin loeb kaardi magnetribale kodeeritud PAN-i. Seega - kui kellelgi on teie kaardi esikülg, on teie konto ohustatud.

    Lisatud on kihid kaardi kohal, vastav ID-kaart / allkiri, CVV (turvakood), AVS (aadressi kinnitamine) ja teised turvalisust, mida kaupmees võib teilt küsida, eriti riskantses keskkonnas, näiteks veebipoes. Kuid need pole mingil juhul vajalikud. Võite pääseda tehingu tegemisest vaid 16-kohalise numbriga, kuigi enamik kaupmehi ei luba seda pettuse ja tagasimaksete riski tõttu.



    See küsimus ja vastus tõlgiti automaatselt inglise keelest.Algne sisu on saadaval stackexchange-is, mida täname cc by-sa 3.0-litsentsi eest, mille all seda levitatakse.
    Loading...