Frage:
Welche Auswirkungen hat die Offenlegung der Vorderseite einer Kredit- oder Debitkarte?
Rory McCune
2012-10-23 12:15:18 UTC
view on stackexchange narkive permalink

Es gibt einige Fälle, in denen Personen aufgefordert werden, die Vorderseite einer Kredit- oder Debitkarte preiszugeben (z. B. dieser Tweet von Brian Krebs oder dieser Twitter-Account a) >). Ich habe mich also gefragt, wie sich diese Offenlegung wahrscheinlich auf den Karteninhaber auswirkt.

Auf der Vorderseite einer Karte könnte ein Betrüger das Startdatum / den Ablauf der Karten-PAN (16-stellige Nummer) erhalten Datum und Name des Karteninhabers. Auch für Debitkarten die Kontonummer und den Bankleitzahl des Karteninhabers (die je nach Region variieren können).

Die Frage ist also, welche wahrscheinlichen Auswirkungen die Offenlegung dieser Informationen hat (dh welche Betrugsfälle begangen werden könnten).

Einige erste Gedanken, die ich hatte, waren: -

  • Transaktionen mit Karteninhaber nicht vorhanden sollten nicht möglich sein, da der CVV nicht bekannt gegeben wurde
  • Die Karte wäre nicht nur mit diesen Informationen klonbar, da andere Informationen für den Magnetstreifen benötigt werden.
Ich habe "irgendwo gehört", dass Sie nur die vorderen Ziffern benötigen - dass nicht alle Händler CVV oder sogar das Ablaufdatum benötigen. Aber dies muss wirklich bestätigt werden.
Obwohl das CCV nicht bekannt gegeben wurde, denke ich, dass es sich als weniger schwierig erweisen würde. Die meisten CCV-Codes bestehen nur aus drei Ziffern und haben auch andere Einschränkungen. Ich bin nicht sicher, aber es könnte ein Problem sein. Ich vermute jedoch, dass die meisten Banken Ihnen Ihr Geld zurückgeben würden, wenn eine Transaktion entdeckt würde, die nicht von Ihnen autorisiert wurde.
Amex CVV (Card Verification Code) befindet sich auf der Vorderseite.
@HenningKlevjer et al.: [Wie rechnet Amazon mich ohne CVC / CVV / CVV2 ab?] (Http://security.stackexchange.com/q/21168) [Warum fragt Amazon nach CVC / CVV, wenn es ohne CVC abrechnet? ] (http://security.stackexchange.com/q/22733) Ebenfalls verwandt: [Könnte ich von einer Website betrogen werden, die meine Adresse, Telefonnummer und Kreditkartennummer hat?] (http: //security.stackexchange. com / q / 10400) [Ist es üblich, einen Kunden zu bitten, ein Foto seiner Kreditkarte zu senden, um seine Identität zu bestätigen?] (http://security.stackexchange.com/q/18240)
@Gilles Sehr relevant, obwohl es keine Zitate gibt. Es ist sehr wahrscheinlich, dass es der Kartenaussteller ist, der entscheidet, welche Werte benötigt werden, und der Händler, der zusätzliche Anforderungen entscheidet, d. H. Ein "schlechter" Händler kann nur die PAN zulassen, wenn der betreffende Kreditkartenaussteller eine schlechte Authentifizierungssicherungsrichtlinie hat.
@HenningKlevjer Ich habe die erste Frage gestellt, mit der er verlinkt hat, und die Leute dort haben erklärt, dass alle relevanten Dinge in der Händlervereinbarung von [Amazon] definiert sind, die offensichtlich nicht für die breite Öffentlichkeit verfügbar ist. Außerdem würde ich nicht sagen, dass Amazon beispielsweise ein "schlechter" Händler ist und nicht nach dem CVV fragt. Dieselbe Frage erwähnt den Grund, warum sie es sich leisten können, nicht nach dem Zeug zu fragen - sie halten die Betrugsraten niedrig genug.
In einem verwandten Hinweis: https://twitter.com/NeedADebitCard findet Sie alle Kreditkarten, die Sie benötigen, wenn Sie etwas kaufen möchten. : p
Fünf antworten:
Polynomial
2012-10-23 12:42:37 UTC
view on stackexchange narkive permalink

Sie benötigen nicht den CVV, um Transaktionen durchzuführen, sondern werden von den meisten Einzelhändlern nur benötigt, um zu überprüfen, ob Sie die physische Karte in Ihrem Besitz haben.

Aus Wikipedia (ohne Quellenangabe):

Für einen Händler ist es nicht zwingend erforderlich, den Sicherheitscode für eine Transaktion zu verlangen. Daher ist die Karte weiterhin anfällig für Betrug Auch wenn Phishern nur die Nummer bekannt ist.

Auf den meisten EFTPOS-Systemen können die Kartendetails manuell eingegeben werden. Wenn ein Feld nicht vorhanden ist, drückt der Bediener einfach die Eingabetaste, um zu überspringen. Dies ist bei Karten ohne Startdatum üblich. Auf diesen Systemen ist es trivial, eine Karte ohne CVV aufzuladen. Wenn ich im Einzelhandel arbeitete, machten wir dies häufig, wenn der Chip auf einer Karte nicht funktionierte und das CVV abgerieben war. In solchen Fällen waren lediglich die Kartennummer und das Ablaufdatum mit einer Unterschrift auf der Quittung zur Überprüfung erforderlich.

Aber widersprach es nicht den Richtlinien und Regeln, Kreditkarteninformationen von einem Kunden persönlich zu akzeptieren, wenn er die Kreditkarte nicht in seinem Besitz hatte? Als Kassiererin wusste ich immer, dass es auch zeitweise Kameras gab, daher wäre ich als Zubehör beteiligt gewesen, wenn ich die Zahlung eines Kunden ohne Karte akzeptiert hätte, wenn der Kunde physisch im Geschäft gewesen wäre.
@FeralOink Sie hatten die Karte, aber der Chip funktionierte nicht und das CVV wurde abgerieben. Ich lieferte lediglich ein Beispiel dafür, wo ich persönlich Karten gesehen hatte, die ohne CVV verwendet wurden. Auf diese Weise können Sie ein betrügerisches Händlerkonto einrichten und Bargeld stehlen. Es ist auch möglich, Geschäfte zu finden, für die kein CVV erforderlich ist, obwohl dies heutzutage selten vorkommt.
In Ordnung! Das macht mehr Sinn. Ich habe Sie falsch verstanden und dachte, dass die physische Karte nicht für eine persönliche Transaktion erforderlich ist. Vielen Dank!
@Polynomial +1. Ich habe 5 Jahre im Einzelhandel gearbeitet und es gab viele Male, in denen ich manuell nur die Kreditkartennummer / das Ablaufdatum eingegeben habe, aber niemals den CVV. Einige Systeme (wie das, an dem ich gearbeitet habe) haben nicht einmal einen Platz, an dem das CVV abgelegt werden kann.
Bushibytes
2012-10-23 16:48:17 UTC
view on stackexchange narkive permalink

Abgesehen von den bereits erwähnten Angriffen, bei denen eine Kreditkarte nicht autorisiert verwendet wurde, können die Kreditkarteninformationen auch für Social Engineering und Identitätsdiebstahl verwendet werden.

Als etwas aktuelles Beispiel sehen Sie, wie Mat Honan dazu kam im letzten Sommer gehackt: http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/all/

In seinem Fall Apple benötigte nur die letzten Ziffern für seine Kreditkarte (die sein Angreifer von Amazon erhalten hatte), um das Konto aufzugeben. Es liegt auf der Hand, dass andere Anbieter betrogen werden können, wenn ein Angreifer eine vollständige Kreditkartennummer einschließlich Ablaufdaten angibt.

+1 Während das Leck an Finanzinformationen mehr oder weniger offensichtlich ist, gibt es weit mehr Möglichkeiten, eine Kreditkarte zu verwenden als nur Dinge zu kaufen, insbesondere wenn so viele Anbieter die letzten 4 Ziffern als Backup-Kunden-ID verwenden.
Ellie Kesselman
2012-10-23 13:37:12 UTC
view on stackexchange narkive permalink

Zur Überprüfung benötigen Sie CVV und Ablaufdatum, obwohl sich das Ablaufdatum auf der Vorderseite einer Karte befindet. Erforderlich ist auch die Rechnungsadresse oder mindestens die Postleitzahl der Rechnungsadresse, die sich weder auf der Vorder- noch auf der Rückseite der Karte befindet.

Dies hängt jedoch davon ab, ob Sie kaufen etwas Einzelhandel, persönlich versus online. Wenn Sie im Einzelhandel arbeiten, wo die Kartendetails manuell eingegeben werden können, ist dies definitiv eine Option, es sei denn, es gibt Richtlinien dagegen, oder vielleicht ein POS-Gerät, das dies nicht zulässt (obwohl dies nicht meine Erfahrung war, als magnetisch Streifen werden durch magnetische Geldbörsenverschlüsse von Frauen VIEL) entmagnetisiert, es besteht die Gefahr von Betrug. Die Postleitzahl oder Rechnungsadresse der Rechnung wäre nicht erforderlich. Dies würde jedoch sowohl die Komplizenschaft des Kassierers als auch des Kunden erfordern. Dies ist der Grund: Obwohl die Karteninformationen manuell eingegeben werden können, ist es NIEMALS akzeptabel, die Informationen von einer Person zu übernehmen, die Ihnen ein Stück Papier mit ihren Kartendetails übergibt.

Am Telefon oder online Für eine physische Lieferung benötigen Sie Name, Kartennummer, Ablaufdatum, CVV (4-stellig für AmEx, 3-stellig für Visa / MC) und Rechnungsadresse (und Lieferadresse). Wenn Sie etwas bestellen, das nicht geliefert werden muss, und sich daran erinnern, dass Sie jetzt Ihre Optionen für illegale Einkäufe erheblich eingeschränkt haben, benötigen Sie weiterhin die Postleitzahl der Rechnungsstellung, obwohl Sie keine Adresse usw. benötigen.

Was können Sie online oder telefonisch mit Name, Kartennummer, CVV und Postleitzahl kaufen? Nun, die monatlichen Einkäufe von iTunes Cap kosten standardmäßig 5.000 US-Dollar pro Monat. Sie können also viel iTunes-Musik oder eine Premium-Mitgliedschaft für teure Pornoseiten oder viel Cloud-Speicher oder Online-Spiele kaufen. Aber selbst wenn Sie dies tun würden, müssten Sie die Dienste von einem Ort aus nutzen, der einer IP-Adresse zugeordnet ist. Ich bezweifle, dass es praktisch ist, Spiele über Tor zu spielen. Gleiches gilt für das Streamen von Pornos, obwohl ich nicht sicher bin. Und wenn Sie iTunes-Songs gekauft haben, muss Apple genügend identifizierende Informationen über Sie wissen, damit dies nicht sicher ist. Sie konnten keine Artikel über PayPal oder Amazon kaufen, da Sie die Artikel physisch ausliefern müssten, was belastend wäre, egal ob Sie oder jemand anderes, der für Sie gehandelt hat.

Und alles Dies wäre ohne die Postleitzahl der Rechnungsstellung, die sich nicht auf der Vorderseite der Karte befindet, umstritten. Ich habe keine Quellen, nur Erfahrung darin, ein Jahr lang in einem Casino auf einem riesigen 500-Personen-Schiff zu arbeiten. Und ich kaufe viele Klamotten und Dinge online. Ich werde nach etwas suchen, das ich zitieren kann, aber es ist eher ein Ergebnis weithin beobachteter elektronischer Zahlungspraktiken als technologischer Unmöglichkeit.

BEARBEITEN:
Siehe die Antworten auf diese Frage Was ist die Verwendung gestohlener Kreditkartendaten? Die Antworten basieren auf dem Zugriff auf Massenmengen von Karten oder der Bereitschaft, jemandem zu erlauben, Probleme bei der Annahme Ihrer Einkäufe zu bekommen (die Antwort wird als "Rube" bezeichnet). ) oder vielmehr ausgefeilte eBay-Kartentauschprogramme. Es war nicht einfach. (Viele sind auf der Suche nach Kreditkarteninformationen, aber ich frage mich oft, was die meisten Menschen tatsächlich damit machen können, außer Unannehmlichkeiten und Angst zu verursachen. ZeuS oder SpyEye sind die Ausnahme, da sie störend vielseitig erscheinen.)

Informationen zu den Anforderungen für CVV / CVC oder physische Karten finden Sie unter http://security.stackexchange.com/a/21180/3607
D.W.
2012-10-24 02:54:53 UTC
view on stackexchange narkive permalink

Es ist erwähnenswert, dass American Express-Kreditkarten den CVV auf der Vorderseite (nicht auf der Rückseite) sowie die Kartennummer, den Namen des Karteninhabers und das Ablaufdatum haben. Daher würde die Offenlegung der Vorderseite einer Amex-Karte willkürliche Käufe ermöglichen, auch Käufe ohne Karte.

John
2012-12-14 07:42:00 UTC
view on stackexchange narkive permalink

Für die Ausführung von Kreditkartentransaktionen ist lediglich die PAN (Primary Account Number) erforderlich. Dies sind im Grunde die 16 Ziffern auf der Vorderseite einer Karte. Das ist alles, was wirklich passiert, wenn eine Karte geklaut wird - das Gerät liest die PAN, die auf dem Magnetstreifen der Karte codiert ist. Daher - wenn jemand die Vorderseite Ihrer Karte hat, ist Ihr Konto gefährdet.

Karte vorhanden, passender Ausweis / Signatur, CVV (Sicherheitscode), AVS (Adressüberprüfung) und andere werden Ebenen hinzugefügt Sicherheit, um die ein Händler Sie bitten könnte, insbesondere in einer riskanten Umgebung wie Online-Shopping. Diese sind jedoch keinesfalls erforderlich. Sie könnten davonkommen, eine Transaktion mit nur 16 Ziffern durchzuführen, obwohl die meisten Händler dies aufgrund des Risikos von Betrug und Rückbelastungen nicht zulassen.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...