Küsimus:
Kas sihtnumbrit küsivate krediitkaardiautomaatide jaoks on tõestatud kasu?
reirab
2015-11-04 21:45:34 UTC
view on stackexchange narkive permalink

USA-s on paljud krediitkaardiautomaadid sellistes kohtades nagu bensiinijaamad hakanud küsima teie postiindeksit, et kasutada näiliselt krediitkaarti, et aidata teil kinnitada, et olete tõepoolest kaardi valdaja, mitte varastatud kaarti. Minu küsimus on lihtsalt järgmine: Kas on mingeid tõendeid selle kohta, et see tegelikult vähendab edukate krediitkaardipettuste arvu märkimisväärselt?

Mulle tundub, et see poleks eriti kasulik meede masina jaoks, mis nõuab kaardi olemasolu nagunii. Ma oleksin arvanud, et kõige tavalisem viis, kuidas keegi teie krediitkaardiga füüsiliselt jõuab, oleks see, kui ta varastaks teie rahakoti, sel juhul on neil peaaegu kindlasti vähemalt üks ja tõenäoliselt mitu isikutunnistust, mis sisaldavad teie sihtnumbrit. Näiteks minu rahakotis on vähemalt minu juhilubal, autokindlustuskaardil, visiitkaardil ja piloodisertifikaadil minu sihtnumber ja ka valijate registreerimiskaardilt aru saada oleks tühine. Seega olen uudishimulik, kas selle jaoks on näidatud mingit tegelikku turvalisuse eelist või mitte.

kui pahatahtlik inimene teab teie PIN-koodi, on tõenäoline, et ta teab teie sihtnumbrit. Minu jaoks kõlab see pigem sularahaautomaadi omanike turundusnippidena, nad tahavad teada, kui tihti ja kui palju teatud joonistatud sularahaautomaatidega sihtnumbreid nad saaksid kas müüa neid andmeid või kasutada, kui nad ise sihtivad geograafilised asukohad.
@TweetingGary USA krediitkaardid ei kasuta PIN-koode (või vähemalt kasutavad seda väga harva.) Rääkisin ka krediitkaartide kasutamisest ostu sooritamiseks, mitte raha väljavõtmiseks (mille jaoks tavaliselt kasutasite deebetit) Seda öeldes olen nõus kahtlustama, et see on pigem turundusandmete kui tegeliku turvalisuse tagamiseks. Enne kui see "turvalisuse" eesmärgil tavaliseks muutus, palusid mõned jaemüüjad selgesõnaliselt turunduse andmete eesmärgil.
@rirab, kas olete tõsine? see on hull, aga jah, jälle, nagu te olete öelnud, kahtlen, et sihtnumbrist oleks mingit kasu, kuna teie rahakotis on mitu isikutunnistust koos oma sihtnumbriga. parem on saada PIN-kood või midagi, mida te pole kuhugi üles kirjutanud
Selle kohta võin öelda, et see on turistidele tõeline piin.
Halvim osa sellest on minu jaoks kohutav kasutajaliides, millel on keritav tekst, mis ütleb "PALUN EN ..." "oota natuke" ... TER YOUR ... "oota veel" ... 5 DIGIT ... "ugh "... Postiindeks". Kuidas oleks "POSTKOOD PALUN", et saaksin kohe kirjutama hakata.
@TopinFrassi Lihtsalt uudishimulik, mida turist sellises olukorras teeb? Eeldan, et sel juhul on turist pärit teisest riigist ja tal pole sihtnumbrit või kui tal on kõik numbrid ...
Sõltuvalt teie lepingust võivad krediitkaardiettevõtted sõltuvalt valideerimisest vähendada teenustasu, mida kaupmees maksab. Seega on ZIP ja allkiri odavam kui lihtsalt allkiri, mis on odavam kui kumbki. Üksikasjad erinevad ettevõtte ja lepingu järgi. Panustan kihlvedudele, et kaardipakkujatel on raskeid andmeid, kuid mul pole neid.
@Michael Kanada ja USA vahel on häkkimine, mis tähendab IIRC-d, et vasakpoolne märkida nullidega ja sisestada Kanada sihtnumbri 3-kohaline number. Kuid see ei õnnestunud alati. Me saaksime muidu kassasse sisse maksta! (Aga öösel, noh ... sul pole õnne)
@TopinFrassi:, kui ma õigesti mäletan, klõpsate paremale, mitte vasakule.
Turistide puhul prooviksin sisestada ZIP 00000 võimalusel, et autoriseerimisserver tagastab selle NULL või tühja stringi USA-väliste aadresside jaoks. Tühi string või NULL võib dünaamiliselt sisestatud keeles olla võrdne 00000-ga.
@TweetingGary ei usu, et nad kasutavad neid andmeid nende müümiseks - kui maksate teiega krediitkaardiga, teavad nad, et olite / teie kaart oli seal. Ja neil on juba rohkem andmeid kui sihtnumbril ... iga teine ​​punkt, mille kohta ütlesite, et olen täiesti nõus.
Huvitav meede - ma pole seda kusagil mujal maailmas näinud (see peab olema uuem kui 2008. aasta, kuna mind ei palutud seda teha enne seda aastat kuskil USA-s)
-1
Krediidina saab kasutada peaaegu kõiki USA deebetkaarte @TweetingGary,. Kui võtate kellegi taskusse ja võtate tema kaardiga õhku, võite vaid paar korda aimata. Suuremates piirkondades, kus on kümneid sihtnumbreid, võib teil vedada, kasutades lähimat 3 sihtnumbrit, kuid see salvestatakse videole.
Võite väita, et see on suurendanud pettusi, sest kõik, mis paneb inimesi end turvaliselt kasutama, ei kasuta ühtegi kiibi- ja pinkaarti, pettusi.
Töötamise ja elamise vahel on umbes 30 sihtnumbrit, nii et isegi kui keegi leiaks minu krediitkaardi kõnniteelt, peaks ta enne sihtnumbri äraarvamist tegema mitu katset. Mul oli kunagi kaart pettuse eest lukus, kui sisestasin mitu korda järjest vale sihtnumbri - olin just paar korda oma vana sihtnumbrit kolinud ja proovinud, enne kui oma uue sihtnumbri ära arvasin (ebaõnnestunult). Minu keskpanga pettuste osakond helistas mulle 10 minutit hiljem, et küsida kahtlase tegevuse kohta.
-1
Kujutaksin ette, et rahakotivargus ei ole pideva pettuse märkimisväärne allikas, kuna ohver tõenäoliselt märkab kaardi suhteliselt lühikese aja jooksul ja deaktiveerib, see on seal suurem kaitse. Seal oleks paar pettustehingut, kuid tegelikult pole see pooleli. Kui keegi kukutab oma kaardi rahakotist välja, on see hoopis teine ​​lugu.
Kuus vastused:
Rodrigo M
2015-11-05 01:53:41 UTC
view on stackexchange narkive permalink

Kas on tõendeid selle kohta, et see viib edukate krediitkaardipettuste märkimisväärse vähenemiseni?

Jah, on tõendeid ja Jah , selle tulemuseks on kindlasti paljude kaardipettuste vähendamine:

Teie viidatud pettuste ennetamise funktsiooni nimetatakse aadresside kontrollimise teenuseks (AVS). AVS-teenus kontrollib, et terminalis esitatud tänavanumber ja / või sihtnumber kattuks kaardi omaniku andmed väljastavas pangas.

Reaalajas tagastab maksetöötleja AVS-i vastuse . Vastuse põhjal võib kaupmees otsustada nõuetele mittevastava tehingu tagasi lükata.

Selle on vastu võtnud peaaegu kõik USA kaardi väljaandjad.

enter image description here

Vaadake viisaaadresside kinnitamise teenuse kaupmehe juhendit

Võimalik vastus koodid ja konfigureeritavad tagasilükkamisseaded on kuvatud siin:

enter image description here

Tankla terminali seadetes võib terminal olla seatud AVS-i tagasi lükkama Näiteks vastuskoodid N ja A.

Selle dokumendi läbi lugedes näib, et see statistika on kogutud peamiselt kaardiga puuduvate tehingute kohta (s.o veebis, telefoni teel jne), kuid see on siiski väga huvitav. Eriti üllatav on see, et postist varastatud kaartide puhul oli kokkulangevuse määr nii kõrge, kuna nende arveldusaadress oli ümbrikule trükitud.
Kuidas saaks ** posti teel varastatud kaardi ** pettusi vähendada 90% saaja sihtnumbri teadmata jätmise tõttu?!?
Eeldatavalt müüakse postist varastatud kaartide kaardiandmeid hulgi (ilma aadressi andmeteta) kolmandale osapoolele.
@dotancohen Ma arvan, et statistika pärineb ajast, mil mehhanism oli uus ja petturitele veel tundmatu. Kui see teooria on õige, tundub, et 90% varastest viskas kirja ja ainult 65% rahakoti. Teine asi, kui see teooria on õige, pole praeguseks enam kummalgi neist kahest juhul enam kaitset, sest vargad said sellest teada.
Kõik see "turva" funktsioon on minu kui USA turistide jaoks kunagi minu jaoks tehtud - takistab mul krediitkaartide kasutamist pumba juures. Ma ei taha, et ma peaksin inimestega tegelema, kui ma kütust teen. Kelle hullumeelne idee oli nõuda mitte-Ameerika krediitkaartidelt sihtnumbrid?
@Alex Noh, USA bensiinijaama jaoks on valdav osa nende klientidest ameeriklased, nii et nad on tõenäoliselt nõus panema käputäie rahvusvahelisi kliente, et nad siseneksid, et säästa märkimisväärset summat CC töötlemistasudelt. Ma arvan, et enamikul USA bensiinijaamadest on mitte rohkem kui 1% kliente, kes ei ole USA residendid, ja tõenäoliselt on see veidi väiksem kui piirkondades, mis ei asu piiri ega rahvusvahelise lennujaama lähedal.
@Alex Usun, et saate oma zip-koodina sisestada 00000 ja see töötleb.
Parem küsimus ja parem küsimus, mida vastuses käsitleda, on see, kas sellest saadav kasu _ kaalub_ üles tekitatud ebamugavused. Eriti arvestades seda, et AVS suudab võltskaarte tuvastada 100% ajast, ilma et peaks kasutaja kontrollitud postiindeksit kontrollima (see saab 100% lihtsalt seetõttu, et võltsitud kaardi numbrit pole AVS-i andmebaasis _ esiteks_). Tõenäoliselt loetakse võltsitud kaarte, mille teave langeb kokku tegelike kaartidega, nende statistika tähenduses "varastatud".
Üldised AVS-i vastused: "* Ermahgerd, berguse tehing *".
@aroth eeldasin, et "võltsitud kaartide" all peetakse silmas kaarte, mis on "kloonitud" seaduslikelt kaartidelt saadud andmetega, nagu on käsitletud [Steve'i vastuses] (http://security.stackexchange.com/a/104605/46674).
@aroth - CC-numbriga "võltsitud krediitkaart", mida pole kellelegi väljastatud, ebaõnnestub automaatselt ilma AVS-iga. Tühi CC on ilmselt üsna odav, kuid kurjategija ei tee kümneid tuhandeid juhuslikult genereeritud numbritega lootusi, et nad leiavad kehtiva CC-numbri. Kaardi omaniku nimi on kodeeritud CC magnetribale, nii et "võltsingu" võimalusel töötamiseks peab olema vähemalt välja antud CC-number ja sellele vastav kaardiomaniku nimi. Olen kindel, et "võltsitud krediitkaardi" all peavad nad silmas "kloonitud" kaarti, nagu näiteks koorimisest / andmebaasi häkkimisest.
@dotancohen postist varastatud kaardid: arvatavasti lahtiselt, kuna kõik pangast tarbijale saadetud kaardid, mida ma tean, on kasutamiskõlbmatud seni, kuni kasutate seda sularahaautomaadis ja sisestate oma PIN-koodi, nii et varas peaks PIN-koodi teadma, nii et loogiliselt peavad need reeglid kehtima pangast välja -> tarbija posti vargus.
@Alex Kui te vihkate bensiinijaamades inimestega suhtlemist, siis vihkaksite New Jerseyt (teie enda gaasi pumpamine pole seaduslik). Kuigi see pole igatahes päris turismisihtkoht.
@JasonC USA-s ei nõua enamik krediitkaarte, et te neid sularahaautomaadis aktiveeriksite ja enamikul siin olevatest krediitkaartidest pole isegi PIN-koodi. Enamiku jaoks helistate aktiveerimiseks lihtsalt kaardil oleval kleebisel loetletud numbrile, ehkki nad kontrollivad, kas helistate kontol olevalt numbrilt, või esitate teile kinnitamiseks küsimusi.
Väärib märkimist, et maksetöötlejad pakuvad AVS-i kasutavatele kaupmeestele märkimisväärselt madalamaid tasusid kui kaupmeestele, kes seda ei tee. Mis näitab, et 1) nende arvates vähendab see pettusi, ja 2) et bensiinijaamad kasutavad seda niikuinii, sest nad teevad kõik oma õhukese marginaali parandamiseks.
Steve Sether
2015-11-04 23:26:46 UTC
view on stackexchange narkive permalink

Tõstatate hea punkti, mis turvalisuses sageli tähelepanuta jääb. Andmed.

julgeolekupoliitika. Ma ei tea turvatööstuses palju tegelikke teaduslikke analüüse ja see on kohutav häbi. Nii et inimesed jäävad spekuleerima ja spekuleerivad.

Nagu gowenfawr, pole ka minul andmeid ja nad saavad pakkuda ainult spekuleerimist.

Teil on õigus, et "varastatud rahakotirünnak" ei paku pettuste eest kaitset. Kuid tänapäeval varastatakse ebaturvalistest automatiseeritud töötlussüsteemidest palju krediitkaarte. Selle näideteks on Target ja Home Depot. Ründajad võtavad teavet nendest süsteemidest ja kloonimiskaartidest. Ma ei usu, et need süsteemid sisaldavad tavaliselt kaardiomaniku postiindeksit ja see pole ka kaardil endal kodeeritud.

Põhjendusena muudab tanklas postiindeksi küsimine kloonimise katseid raskemaks. esinema. Spekuleerin, et see vähendab pettusi mingil määral.

Aitäh, aitäh. Ma polnud kaalunud kaardi kloonimist. Ma olin eeldanud, et inimesed, kes varastasid rünnakutelt krediitkaardinumbreid, näiteks Targeti rünnak, lihtsalt kasutasid kaardinumbreid veebis, selle asemel et teha kloonkaarte ja proovida neid isiklikult kasutada. +1
@reirab, kasutades kaarte võrgus, jätab tavaliselt jälgitava raja (st sihtkoha aadress, arvuti IP-aadressid jne), samas kui on palju kohti, kus saab kaarti kasutada isiklikult isikutunnistust andmata (ja kandke mütsi / jne, et kaameraid vältida ... mõte on seda raskem jälgida, mitte võimatu)
Mõni aasta tagasi lugesin artiklit kaardikloonijast. Ta elas kloonimiskaartidest. Osta Best Buy'is kallis sülearvuti tema kloonitud kaardiga, müües selle siis renditud hotellituppa odavalt craigslistis. Väga raske on kedagi sellist tabada.
@user2813274 Küberkurjategijate jaoks, kes suudavad Targetil sarnase rünnaku algatada, on nende IP-aadressi varjamine tühine. Füüsilise sihtkoha aadressi on tõepoolest raskem ümber käia, kuid on olemas viise riski minimeerimiseks, näiteks määrake sihtkoha aadress mõnele süütule kolmandale isikule ja haarake see pärast kohaletoimetamist oma postkastist või verandalt. Isegi kui pettus avastatakse enne kohaletoimetamist, on tõenäosus, et politsei võtab selle maja panustamiseks aega, üsna madal ning võite tõenäoliselt neid kohata ja lihtsalt edasi sõita, isegi kui nad seda tegid.
@reirab ei seisne selles, et see pole võimatu, vaid selles, et see on täiendav samm - ja lisaks sellele, et see lisab mõnepäevase viivituse, mille jooksul pettus tuvastatakse, tekitab see ka kahtlusi (st kui ostate TOR-i väljumissõlmest) , kui inimese arveldus- / saatmisaadress ei ühti (tegelikult kas teil oleks isegi arveldusaadress ilma postiindeksita? ebatõenäoline) - seal on palju punaseid lippe
@reirab Paljud rahapesukelmused hõlmavad kolmandate isikute (kodutud, illegaalid) kasutamist. Pole vaja isiklikult kohale ilmuda.
Jah, te ei saa sihtnumbrit, kui varastate Targeti POS-ist kloonimiseks mõeldud kaardinumbri. Kui varastate selle bensiinijaama ebaturvalisest töötlusvõrgust, on teil kaardi number, mille klient on sisestanud.
N. Greene
2015-11-04 22:13:12 UTC
view on stackexchange narkive permalink

See on mõeldud heidutuseks ja mõned asjad, mida kasutatakse heidutuseks, on tegelikult selleks, et klient tunneks end turvaliselt ja oleks turvalisuse nimel väga vähe. Võtke valvekaamerad. Paigaldan arvatavasti umbes 200+ kaamerat aastas ja kuna teen kõik võimaliku, et kaamerad saaksid saiti võimalikult hästi kaitsta, on selle ümber ka viise. Need on mõeldud heidutamiseks. Inimesed näevad kaameraid ja lähevad "Oh, neil on kaamerad, ma ei saa seda kohta röövida." Kui ma ei ütle, et kaamerad on kasutud, siis olen aidanud poeomanikel tabada arvatavasti umbes 50 töötajat / klienti, kes varastasid aastate jooksul.

Alustame sellest näitest. Ma varastasin teie rahakoti. Nüüd, kas taipasite, et see juhtus 5 minutit tagasi või 5 tundi tagasi, helistate oma pankadele / krediitkaardile ja tühistate kaardid. Vargana pean ma teie kaarte kiiresti kasutama, kuna tean, et kavatsete teie kaardid tühistada. Mul oleks rohkem muret identiteedivarguste pärast varastatud rahakotist, selle asemel et minu kaarte kasutada.

Teil on õigus, kui mul on teie rahakott, tean teie sihtnumbrit. Võib-olla ei saa ma teie visiitkaarti kasutada, kuid saan siiski millestki tasuta ilma. Ostan ettemakstud kaarte, et saaksite oma rahakoti prügikasti hoida, võib-olla teie ID-kaarte hoida.

Oletame, et teie rahakoti varastamise asemel häkin POS-võrku ja saan sealt kaarditeavet. Mul pole teie sihtnumbrit, kuid ma saaksin siiski teha teie kaardist duplikaadi, kui saan POS-võrgus tehtud häkkimisest piisavalt teavet. Te ei tea, et teie kaardiandmeid on rikutud enne, kui ettevõte avaldab, et neid on häkitud. Sellegipoolest võiksin ikkagi kasutada neid kaardiandmeid kraami ostmiseks, kuid mitte tüübi „Pumba eest tasumine” korral.

Postiindeksit küsitakse kohtades, kus te ei suhtle isik. See on ennetusmeetod, mis hoiab vargaid oma CC-infoga gaasi varastamast. Kuid nad said minna "kopeeritud" kaardiga sisse ja osta seest gaasi.

Kui maksate lihtsalt kellegagi silmast silma kaardiga, ei vaja ta teilt lisaks kaardil olevale lisateavet. Nad võivad küsida kaardi omaniku kinnitamiseks Photo-ID-d.

Kui olete kioski maksepunktis (gaasipump, poekiosk) ja süsteem küsib teilt arve aadressi postiindeksit see on pettuste kontrollimiseks.

Selle sihtnumbri kontrolli kontrollib kaardiomaniku pank ja seda ei kasutata muul viisil kui teabe õigsuse kontrollimiseks.

Näost näkku on igasugune lisateave, mida nad küsivad, kõige tõenäolisemalt turunduslikel eesmärkidel ja nad ei saa teie tehingut eitada, kui jätate selle lisateabe andmata.

California Beverly Credit Sellega tegeleb 1971. aasta kaardiseadus ja seda on aastate jooksul muudetud.

Kas sellega vähendatakse pettusi. Kuid ma võiksin ikkagi "teie" kaardiga sisse minna ja seal bensiini osta. Tõsi, seal on suurem võimalus ebaõnnestumiseks. Kaamerad, kassapidaja, kes küsib isikut tõendavat dokumenti, kaart on varastatud.

Proovides kasutada kaarti väljaspool töötajateta, saan gaasipumbalt kaks vastust:

  1. Aktsepteeritud
  2. Teie kaart lükati tagasi, vaadake saatjat.

Kui mul on valik nr 2, siis ma lihtsalt lahkuksin ja proovisin mõnda muud postiindeksit teises gaasis jaam.

gowenfawr
2015-11-04 22:15:32 UTC
view on stackexchange narkive permalink

Kas on tõendeid selle kohta, et see viib edukate krediitkaardipettuste märkimisväärse vähenemiseni?

Peaksite küsima ühelt gaasiettevõttelt või mõnelt pettuse pakkujad (nt Accertify? ThreatMetrix?), kellel võib olla statistikat ("tõendeid").

Mulle tundub, et see oleks pole masina jaoks eriti kasulik meede, mis nõuab kaardi olemasolu nagunii .... [vargad] omavad peaaegu kindlasti vähemalt ühte ja tõenäoliselt mitut ID-d, mis sisaldavad teie sihtnumbrit. selle jaoks on näidatud mingit tegelikku turvalisuse eelist.

Mul pole tõendeid , kuid pakun teile spekulatsioone

  1. Kõigist pettusevastastest andmetest on sihtnumber ainus, mille saab mugavalt sisestada ainult numbrilise gaasipumba klaviatuurile.
  2. zip nõue pettusevastane toiming on kasutajale teatavaks tegemise kontrollimine, mis võib ka toimuda on kehtivatele kasutajatele nii rahustav kui ka petlikele kasutajatele hoiatav mõju.
  3. Midagi tegemine on parem kui sel juhul mitte midagi .

On ka muid pettusetappe - asukoha, sageduse ja harjumuste analüüs -, mis on "varastatud rahakoti" kasutamise juhtumi puhul tõenäoliselt tõhusamad. Kuid need juhtuvad kulisside taga, ilma et oleks mingit kindlustunnet ega heidutust.

Re 1: Mis takistab kaardi PIN-koodi mugavat sisestamist ainult numbrilise gaasipumba klaviatuuril? Erinevalt postiindeksist on PIN-kood tegelikult _ pettustevastane teave, samas kui sihtnumbrid pole isegi salajased - keegi ei eelda, et keegi hoiaks oma postiaadressi ümbritsevate inimeste eest saladuses.
@HenningMakholm USA-s on üsna haruldane, kui * krediitkaardi omanikul on kaardil PIN-kood. Seda kasutatakse tavaliselt ainult sularaha ettemaksete jaoks. [Näide] (http://www.usatoday.com/story/money/personalfinance/2015/10/01/us-shifts-credit-cards-chip-signature-still-do/73145306/): "Erinevalt deebetkaartidest , "krediitkaartide puhul pole tänapäeval tavapärane PIN-koodi kasutamine, nii et enamik USA kaarte jäävad samamoodi, toetades allkirja," või mõnel juhul kaardi omaniku kinnitust pole, ütleb Stephanie Ericksen, riskitooted Visa jaoks. "
Israel Isassi
2015-11-05 22:54:06 UTC
view on stackexchange narkive permalink

Teine põhjus oleks teabe sisestaja viivitamine. Kõik, mis lisab amatöörvarga tegevusele mõne sekundi, vähendab võimalust, mida nad järgivad. Need suuremad sekundid suurendavad ka kaameras hea pildi saamise võimalusi.

xFrei
2015-11-05 23:01:41 UTC
view on stackexchange narkive permalink

Nagu Iisraeli öeldu, võib see mõnevõrra viivitada, kuid on tõenäoline, et teie turvakaamerad peaksid selle juba kätte saama.

Võimalik, et kui nad teavad teie krediitkaarditeavet, teavad nad põhimõtteliselt kõike muud, tõenäoliselt vaid väikest kaitsemeetodit.



See küsimus ja vastus tõlgiti automaatselt inglise keelest.Algne sisu on saadaval stackexchange-is, mida täname cc by-sa 3.0-litsentsi eest, mille all seda levitatakse.
Loading...