Frage:
Ist es heutzutage immer noch unsicher, eine Kreditkartennummer per E-Mail zu senden?
Anddd
2011-10-05 16:55:34 UTC
view on stackexchange narkive permalink

Wir alle wissen, dass wir das nicht tun sollen, aber jemand hat meine Kreditkartennummer und meinen Lebenslaufcode per E-Mail an Google Mail gesendet.

Ich frage mich, ob das Risiko so gering ist, dass ich nicht anrufen muss Meine Karte stornieren.

Die E-Mail wird von einem seriösen ISP-E-Mail-Konto über die ADSL-Einwahl (der ISP ist der größte im Land) an meine Google Mail-Adresse gesendet. Ist es sicher anzunehmen, dass der mit dem Backbone verbundene ISP die E-Mail an den Google Mail-Server übermittelt, ohne den ungesicherten PC zu durchlaufen? Ich muss meine Karte also nicht stornieren?

Dieser Jemand ist mein Kollege, der etwas für mich kauft. Die Sicherheit von E-Mail-Ordnern und Konten ist also kein Problem. Ich mache mir während des Transits mehr Sorgen darüber.
Es ist sicherlich ein Risiko, aber dieser Vorfall hat mich überdenken lassen, dass das Risiko vielleicht viel geringer ist, als wir wahrnehmen. Vielleicht ist es zu einfach, eine Kreditkarte zu stornieren und zu ersetzen. Wir denken automatisch, dass das Stornieren das einzig Richtige ist.
CCN per E-Mail und CCV per SMS senden oder umgekehrt? Nun, wenn die Verschlüsselung nicht möglich ist.
Überprüfen Sie den Header, um festzustellen, über welche Server die E-Mail gesendet wird und ob eine sichere Leitung verwendet wurde.
Unsichere Protokolle werden nicht auf magische Weise sicher. Wenn es vorher unsicher war, ist es jetzt immer noch unsicher.
Sieben antworten:
AaronS
2011-10-05 17:36:02 UTC
view on stackexchange narkive permalink

Mal sehen:

Auch wenn das, was Sie sagen, richtig und der ISP solide ist

  1. Vertrauen Sie diesem "Jemand"? Wenn die Antwort Nein lautet, stornieren Sie die Kreditkarte auf jeden Fall.

  2. Ihre Kreditkartennummer + CVV befindet sich jetzt im Ordner "Gesendet" dieser Person, wenn sein Postfach von einem Angreifer gehackt wird Sie haben CC.

  3. Ihre Kreditkarteninformationen werden für immer auf Google-Servern gespeichert.

  4. Ich würde sie stornieren
+1 für den Ordner für gesendete Objekte. Ein Angreifer kann leicht nach Zahlen suchen, die CC-Konventionen ähneln.
Wenn Sie dieser Person vertrauen, müssen Sie ihnen auch vertrauen, dass sie ihren Computer vor Malware schützen. Das heißt, vertraue niemandem :)
+1 für die Google Server. Obwohl es nicht machbar / möglich ist, es von dort zu bekommen. Was passiert mit der Kopie der Mail, wenn sie aus unseren Boxen gelöscht wird (einschließlich Papierkorb)? Obwohl es nur Sinn macht, es von den Servern zu löschen, möchte ich nur sicherstellen!
Wer weiß? Können Sie das überprüfen, auch wenn sie sagen, dass sie es löschen? Selbst wenn sie es von ihrem Live-Server gelöscht haben, was ist mit Backups?
Andy Smith
2011-10-05 17:40:14 UTC
view on stackexchange narkive permalink

E-Mail ist keine sichere Methode zum Teilen von Kreditkartennummern.

Die von Ihnen beschriebene Methode ist aus verschiedenen Gründen nicht sicher. Dazu gehören:

Das Senden von Nummern im Klartext ist nicht sicher

Bei der von Ihnen beschriebenen Technik könnten Sie Ihre Kartennummern im Klartext gesendet haben (die Handlung) zum Senden der E-Mail vom Computer an den ISP). Dies ist nicht sicher. Es könnte auf verschiedene Arten abgeholt worden sein.

E-Mails werden an mehreren Stellen gespeichert.

Diese Kreditkartennummer kann jetzt an mehreren Stellen vorhanden sein

  • Im Ordner "gesendet" des Computers, von dem es gesendet wurde
  • Auf den ISP-Servern
  • Im Google Mail-Konto

Nun, das sind nur 3 Stellen, an denen es gespeichert werden könnte. Wenn Sie Backups berücksichtigen, können bereits viele, viele Kopien Ihrer Nummern auf der ganzen Welt verteilt sein.

Absolut!Auf jedem am Prozess beteiligten E-Mail-Server wird eine Kopie vorhanden sein, zumindest bis diese mit neuen E-Mail-Daten überschrieben wird.Alles was es braucht ist, dass * einer * von ihnen böswillig ist.(Sie können Ihre E-Mail-Header lesen, um eine Liste der beteiligten Server anzuzeigen.)
Rakkhi
2011-10-06 06:46:17 UTC
view on stackexchange narkive permalink

Ich denke, die obigen Antworten sind korrekt und das Senden von Kreditkartendaten per E-Mail ist unsicher. Da Sie sich jedoch speziell mit dem Abfangen während des Transports befasst haben und nicht mit den verschiedenen Speicherpunkten, die in den anderen Antworten erwähnt wurden, sollten Sie zumindest einen konträren Standpunkt in Betracht ziehen:

Betrachten Sie den Angriffsbaum:

Feste Netzwerke (innerhalb des Unternehmens):

  • Ein Angreifer müsste gegen physische Zugriffskontrollen verstoßen (oder ein Fotokopierer sein) oder ein Insider
  • Überholen Sie ein NAC (aber die meisten Unternehmen haben dies nicht) oder haben Sie eine Workstation
  • In gepackten Switched-Netzwerken (alle modernen Unternehmen) haben Sie einfach keinen Zugriff auf viel Broadcast-Verkehr
  • Sie müssen also Zugriff auf einen Router oder Switch erhalten, vorausgesetzt, Sie sind kein Netzwerkadministrator. Dies bedeutet, dass Sie eine Sicherheitsfehlkonfiguration oder -anfälligkeit ausnutzen. Nehmen wir an, Sie hören Cisco / Juniper usw. und patchen alle 3 Monate (zumindest die wirklich schlechten Sachen) oder so, und Sie zumindest t Authentifizieren Sie alles bei einem RAS-Server.
  • Selbst wenn Sie Zugriff, ARP-Vergiftung oder DNS-Cache-Vergiftung erhalten, haben Sie das nächste Problem: Volume. Es gibt verdammt viele Daten, die auf einen wichtigen Router oder Schlüsselschalter zugreifen. Viele sind jetzt Gigabit-fähig und das bedeutet, aus einem Feuerwehrschlauch zu trinken. Selbst mit einem legitimen Netzwerk-DLP-Monitor benötigen Sie einen leistungsstarken Paketzusammensetzer, gute Hardware und Software und dann die Fähigkeit, einen effektiven Mustervergleich durchzuführen. Daher ist es sehr schwierig, die E-Mail des CEO zu erhalten, und das ungerade Passwort ist wahrscheinlich nicht so schlecht.
  • Diese Daten sind auch vorübergehend - sobald die Pakete verschwunden sind, sind sie verschwunden (obwohl Administratoranmeldungen häufig vorkommen können), aber es gibt nur eine begrenzte Anzahl Zeitfenster
  • Alternativ können Sie das tun, worüber ich zuvor gesprochen habe, indem Sie den Sniffer auf die Box setzen, die Sie überwachen möchten, obwohl das gleiche Problem einen vernünftigen Zugriff voraussetzt, der eine falsche Konfiguration oder Sicherheitslücke darstellt, oder das Fehlen von Anti-Malware-Kontrollen. Auch mit den ersten beiden ist es ein viel gezielterer Angriff
    • Öffentliche Netzwerke:
    • Scheint ein viel einfacheres Ziel zu sein - Sie können sich nicht mehr mit Zugriffskontrollen von Zwischenboxen oder Netzwerkgeräten vertraut machen.
    • Aber schauen wir uns etwas wie E-Mail an - die meisten Mail Transfer Agents (MTA), einschließlich großer wie Google, verwenden jetzt optimistisches TLS, was bedeutet Der Großteil Ihrer E-Mails, in denen sich möglicherweise Ihre vertraulichsten Informationen befinden, wird wahrscheinlich während der Übertragung verschlüsselt, ohne dass Sie weitere Schritte ausführen müssen.
    • Selbst gemeinsam genutzte MPLS-Netzwerke verfügen über VLAN-Tags
    • Wieder haben Sie das Feuerlöschproblem, aber eine Million Mal schlimmer und die Seite mit vorübergehenden Informationen
    • Sehen Sie, wie viele tatsächlich ausgenutzte Schadensvorfälle Sie auf datalossdb.org oder in Web-App-Sec-Vorfällen beim Abfangen von Daten während des Transports finden

    Drahtloses Netzwerk:

    • Unternehmen: WPA2 ist ein De-facto-Standard. Es ist nicht perfekt, aber Sie erhalten eine Verschlüsselung ohne mehr tun
    • Home / Starbucks usw .: Dies ist ein legitimes Risiko, in der Tat das beste und einzige Beispiel, das OWASP für Nein gibt. 10 Fehlende Transportverschlüsselung ist das Abfangen in einem ungesicherten drahtlosen Heimnetzwerk - zum Teufel können es sogar Google-Autos auf Streetview. Aber auch hier bieten die meisten Unternehmen, die Remotezugriff anbieten, ein VPN an. Benötigen Sie also noch etwas?

    Vollständiger Blog-Beitrag: http://www.rakkhis.com/2010/08/why-ssl-is-just-not-that-important.html

    Sie sollten die Karte wahrscheinlich immer noch stornieren. Wenn Sie jedoch andere Steuerelemente wie das Kartenlimit berücksichtigen und 3D-Sicherheit (z. B. durch Visum überprüft) aktiviert haben, überwachen Sie Ihre Kontoauszüge und die Betrugserkennungssysteme Ihrer Banken. Wenn diese das Risiko innerhalb Ihres Risikoappetits erhöhen, können Sie entscheiden, dass das Risiko des Abfangens während des Transports oder der Lagerung gering genug ist, um von Ihnen akzeptiert zu werden.

    Korrektur zu "was bedeutet, dass der Großteil Ihrer E-Mail (...) während der Übertragung verschlüsselt wird" - ich würde sagen "was bedeutet, dass der Großteil Ihrer E-Mail während der Übertragung * verschlüsselt * werden könnte - vielleicht ist es das, vielleicht nicht ".
    @Piskvor ok fair point, wenn der MTA TLS nicht unterstützt, wird er nicht verschlüsselt, haben wir etwa 1000 untersucht und nur 1 gefunden, der opportunistisches TLS nicht unterstützt. Der Wortlaut wurde wahrscheinlich aktualisiert.
    Fairer Punkt, gut zu wissen, und es reduziert die Risiken etwas. Danke, dass du das geteilt hast :)
    Informationen zum WPA2-WiFi-Netzwerk: Wenn WPS auf dem Zugriffspunkt aktiviert ist, kann das WPA2-Netzwerk im Wesentlichen problemlos geknackt werden. Weitere Informationen finden Sie hier: http://sviehb.wordpress.com/2011/12/27/wi -fi-protected-setup-pin-brute-force-verwundbarkeit /
    M15K
    2011-10-05 19:00:57 UTC
    view on stackexchange narkive permalink

    Die Mail-Server von Google unterstützen AUTH TLS wie bevorzugt, sodass die Wahrscheinlichkeit groß ist, dass Ihre Kreditkarte während der Übertragung verschlüsselt wurde. Jetzt haben Sie wieder 'Track 2'-Daten gespeichert, die nicht sein sollten, nämlich Ihr CVV.

    Wenn es sich bei dieser Kreditkarte tatsächlich um eine Debitkarte handelt, würde ich sie mit Sicherheit sofort stornieren. Kreditkarten haben einen ziemlich guten Schutz / Probleme bei betrügerischen Aktivitäten. Ich würde mich auf jeden Fall unwohl fühlen, und auch Sie würden sich wahrscheinlich unwohl fühlen, da Sie die Frage nicht gestellt hätten, also würde ich wahrscheinlich nur die Kreditkarte neu ausstellen lassen.

    Wenn dieser "Jemand" ein Händler ist, möchten Sie möglicherweise keine Geschäfte mit ihm machen, wenn er mit Ihren Karteninhaberdaten so unbekümmert ist. Wenn es sich bei dieser Person um eine vertrauenswürdige Person handelt, müssen Sie den Grund für die Übertragung Ihrer Karte in einer E-Mail bewerten und diesen Vorgang beheben.

    Yoav Aner
    2012-04-23 14:44:12 UTC
    view on stackexchange narkive permalink

    Ich würde Ihnen trotzdem raten, Ihre Karte zu ersetzen, um auf der sicheren Seite zu sein, aber wenn es MEINE Karte wäre, würde ich mir darüber keine Sorgen machen.

    Sie sollten das Risiko für Ihre Kreditkarte natürlich nicht unnötig erhöhen. Ersetzen Sie Ihre Karte jedoch jedes Mal, wenn Sie in einem Restaurant bezahlen und der Kellner Ihre Karte mitbringt und mitbringt es zurück?

    Wenn Sie das zusätzliche Risiko für Ihre Karte in diesem von Ihnen beschriebenen speziellen Fall berücksichtigen, sollten Sie meiner Meinung nach andere Risiken für Ihre Karte während ihrer Verwendung berücksichtigen (normalerweise über einen Zeitraum von einigen Jahren). Andere Szenarien der Kartennutzung sind normalerweise:

    • Restaurants / Bars - haben Sie noch nie mit einer Kreditkarte bezahlt? Wie einfach ist es, Ihre Kartendaten aufzuschreiben oder zu speichern.
    • Call Center - haben Sie Ihre Kartendaten noch nie telefonisch angegeben?
    • Geschäfte (bemerken Sie jemals, wie viele Geschäfte es gibt? CCTV-Kameras?)
    • Gemeindezentren / Fitnessstudios, in denen Sie Mitglied sind
    • Natürlich so viele Websites, dass Sie nicht wissen können, wer Zugriff auf diese Details hat

    Es gibt viele Orte, an denen jemand sowohl Ihre Kartennummer als auch das Ablaufdatum von CVV + erhalten kann. In vielen dieser Situationen weiß er möglicherweise bereits etwas über Sie, wie Ihren vollständigen Namen und Ihre Adresse und vielleicht sogar Ihr Geburtsdatum.

    Vergleichen Sie also diese Risiken, die so ziemlich jeder mit einer Kreditkarte eingehen muss, mit dieser E-Mail (und einem guten Überblick von @Rakkhi darüber, was es ist bedeutet, diese E-Mail abrufen zu können): Ich denke, die anderen Leckszenarien sind weitaus wahrscheinlicher als von Google Mail oder von jemandem, der das Netzwerk schnüffelt.

    Josh
    2015-10-31 06:15:49 UTC
    view on stackexchange narkive permalink

    Dies ist eine alte Frage, aber ich denke, Sie sollten die Karte stornieren.

    Alle sprachen über die Wahrscheinlichkeit, dass jemand die E-Mail während des Transports abfängt. Das ist ... sehr unwahrscheinlich, es sei denn, Ihr lokales Netzwerk ist bereits MiTMed.

    Die RIESIGE Oberfläche ist das E-Mail-Konto einer anderen Person mit ihrem zweifellos beschissenen Passwort oder schlechten Surfgewohnheiten / Virenproblemen. Ihr CC befindet sich in seinem gesendeten Ordner und es ist super einfach, automatisch nach diesen Informationen zu suchen und sie über das Botnetz abzubauen. Ihr Konto ist auch ein Problem, aber zumindest haben Sie die Kontrolle. Sie haben keine Kontrolle über das andere Konto.

    Wenn es wie die Hälfte der Leute ist, mit denen ich arbeite, liegt es für immer im Papierkorb und wartet nur darauf, dass Crimeware die Informationen zusammen mit allen Kontoanmeldungen, bei denen sich das Passwort noch nie geändert hat, abkratzt. Haben Sie jemals ein Outlook-Postfach mit 1,5 G Papierkorb gesehen? Heh.
    symcbean
    2016-01-03 05:37:15 UTC
    view on stackexchange narkive permalink

    Warum hatte diese Party Ihre Pfanne und Ihren Lebenslauf?

    Wenn Sie es ihnen zur Verfügung gestellt haben, sollten sie pci-dss-konform sein, und nach meinem begrenzten Wissen ist es nicht möglich, Pan unverschlüsselt zu senden oder zu speichern. CVV-Daten dürfen nicht gespeichert werden.

    Während, wie andere gesagt haben, viel SMTP-Verkehr möglicherweise verschlüsselt ist, ist es sehr schwierig, im Voraus festzustellen, ob dies für eine bestimmte Nachricht der Fall ist, aber es ist Es ist praktisch unmöglich zu wissen, ob eine E-Mail von einem Dritten konform gespeichert wird.



    Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
    Loading...