it-swarm.com.de

Wurde ein Vorteil für Kreditkartenautomaten nachgewiesen, die nach der Postleitzahl fragen?

In den USA haben viele Kreditkartenautomaten an Orten wie Tankstellen angefangen, nach Ihrer Postleitzahl zu fragen, um eine Kreditkarte zu verwenden, die angeblich dazu dient, zu überprüfen, ob Sie wirklich der Karteninhaber sind, anstatt dass die Karte gestohlen wird. Meine Frage lautet einfach: Gibt es Hinweise darauf, dass dies tatsächlich zu einer signifikanten Reduzierung des erfolgreichen Kreditkartenbetrugs führt?

Es scheint mir, dass dies keine sehr nützliche Maßnahme für eine Maschine wäre, bei der die Karte ohnehin vorhanden sein muss. Ich hätte vermutet, dass jemand am häufigsten physisch mit Ihrer Kreditkarte endet, wenn er Ihre Brieftasche gestohlen hat. In diesem Fall hat er mit ziemlicher Sicherheit mindestens einen und wahrscheinlich mehrere Ausweise, die Ihre Postleitzahl enthalten. Zum Beispiel ist in meiner Brieftasche zumindest in meinem Führerschein, meiner Kfz-Versicherungskarte, meiner Visitenkarte und meinem Pilotenschein meine Postleitzahl aufgeführt, und es wäre auch trivial, dies anhand meiner Wählerregistrierungskarte herauszufinden. Daher bin ich gespannt, ob hierfür tatsächlich ein Sicherheitsvorteil nachgewiesen wurde oder nicht.

56
reirab

Gibt es Hinweise darauf, dass dies tatsächlich zu einer signifikanten Reduzierung des erfolgreichen Kreditkartenbetrugs führt?

Ja, es gibt Beweise, und Ja , es hat absolut dazu geführt, dass viele Arten von Kartenbetrug reduziert wurden:

Die Betrugspräventionsfunktion, auf die Sie sich beziehen, heißt Address Verification Service (AVS). Der AVS-Dienst prüft, ob die am Terminal angegebene Hausnummer und/oder Postleitzahl mit den Daten übereinstimmt, die für den Karteninhaber bei der ausstellenden Bank vorliegen.

In Echtzeit gibt der Zahlungsprozessor eine AVS-Antwort zurück. Basierend auf der Antwort kann der Händler entscheiden, eine nicht konforme Transaktion abzulehnen.

Es wurde von fast jedem Kartenaussteller in den USA übernommen.

(enter image description here

Siehe Händlerhandbuch für den Visa Address Verification Service

Die möglichen Antwortcodes und die konfigurierbaren Ablehnungseinstellungen werden hier angezeigt:

(enter image description here

In einer Tankstellen-Terminaleinstellung kann das Terminal so eingestellt sein, dass es beispielsweise die AVS-Antwortcodes N und A ablehnt.

70
Rodrigo M

Sie sprechen einen guten Punkt an, der in der Sicherheit häufig übersehen wird. Daten.

"Auf Gott vertrauen wir, alle anderen müssen Daten bringen". -W Edwards Demming

Ich halte es für unwahrscheinlich, dass Sie tatsächliche Daten für die Wirksamkeit einer Sicherheitsrichtlinie finden. Ich kenne nicht viele aktuelle wissenschaftliche Analysen in der Sicherheitsbranche, und das ist eine schreckliche Schande. Die Menschen müssen also spekulieren und spekulieren, dass sie es tun werden.

Wie gowenfawr habe auch ich keine Daten und kann nur Spekulationen anbieten.

Sie haben Recht, dass der "gestohlene Brieftaschenangriff" keinen Schutz vor Betrug bietet. Aber heutzutage werden viele Kreditkarten von unsicheren automatisierten Verarbeitungssystemen gestohlen. Target und Home Depot sind Beispiele dafür. Angreifer nehmen die Informationen von diesen Systemen und klonen Karten. Ich glaube nicht, dass diese Systeme im Allgemeinen die Postleitzahl des Karteninhabers enthalten und nicht auf der Karte selbst codiert sind.

Wenn Sie an einer Tankstelle nach einer Postleitzahl fragen, werden Klonversuche schwieriger. Ich würde spekulieren, dass dies den Betrug um einen gewissen Betrag reduzieren wird.

21
Steve Sether

Es dient der Abschreckung, und einige Dinge, die zur Abschreckung verwendet werden, dienen dem Kunden wirklich dazu, sich sicher und geborgen zu fühlen und sehr wenig für die "Sicherheit" zu tun. Nehmen Sie Überwachungskameras mit. Ich installiere wahrscheinlich mehr als 200 Kameras pro Jahr, und da ich alles tue, damit die Kameras die Site so gut wie möglich schützen, gibt es Möglichkeiten, dies zu umgehen. Sie dienen der Abschreckung. Die Leute sehen Kameras und sagen: "Oh, sie haben Kameras, ich kann diesen Ort nicht ausrauben." Ohne zu sagen, dass Kameras nutzlos sind, habe ich Ladenbesitzern dabei geholfen, wahrscheinlich etwa 50 Mitarbeiter/Kunden zu erfassen, die im Laufe der Jahre gestohlen haben.

Beginnen wir also mit diesem Beispiel. Ich habe Ihre Brieftasche gestohlen. Egal, ob Sie dies vor 5 Minuten oder vor 5 Stunden bemerkt haben, Sie werden Ihre Banken/Kreditkarte anrufen und Ihre Karten stornieren. Als Dieb muss ich Ihre Karten schnell benutzen, da ich weiß, dass Sie Ihre Karten stornieren werden. Ich würde mir mehr Sorgen um Identitätsdiebstahl aus einer gestohlenen Brieftasche machen, anstatt dass meine Karten verwendet werden.

Sie haben Recht, wenn ich Ihre Brieftasche habe, kenne ich Ihre Postleitzahl. Vielleicht kann ich Ihre Visitenkarte nicht verwenden, aber ich kann trotzdem mit etwas kostenlos davonkommen. Ich werde Prepaid-Karten kaufen, um sie zu verwenden, und Ihre Brieftasche wegwerfen, vielleicht Ihre ID-Karten behalten.

Nehmen wir an, anstatt Ihre Brieftasche zu stehlen, hacke ich ein POS-Netzwerk und erhalte von dort Karteninformationen. Ich habe Ihre Postleitzahl nicht, aber ich könnte trotzdem eine Kopie Ihrer Karte erstellen, wenn ich genügend Informationen von dem Hacking im POS-Netzwerk erhalten hätte. Sie würden nicht wissen, dass Ihre Karteninformationen kompromittiert wurden, bis das Unternehmen bekannt gibt, dass sie gehackt wurden. Trotzdem könnte ich diese Kartendaten immer noch verwenden, um Sachen zu kaufen, aber nicht bei der Einstellung "Pay at the Pump".

Sie werden an Orten nach der Postleitzahl gefragt, an denen Sie nicht mit einer Person "interagieren". Dies ist eine Präventionsmethode, um Diebe mit Ihren CC-Informationen davon abzuhalten, Gas zu stehlen. Sie könnten jedoch mit einer "kopierten" Karte hineingehen und darin Benzin kaufen.

Wenn Sie mit einer Karte "von Angesicht zu Angesicht" mit jemandem bezahlen, benötigt dieser einfach keine zusätzlichen Informationen von Ihnen außer dem, was auf der Karte steht. Sie können nach einem Lichtbildausweis fragen, um zu bestätigen, dass Sie der Karteninhaber sind.

Wenn Sie sich an der Kiosk-Zahlstation (Zapfsäule, Ladenkiosk) befinden und das System Sie nach der Postleitzahl der Rechnungsadresse der Karte fragt, müssen Sie nach Betrug suchen.

Diese Postleitzahlprüfung wird von der Bank des Karteninhabers überprüft und nur zur Überprüfung der Richtigkeit der Informationen verwendet.

Zusätzliche Informationen, die sie von Angesicht zu Angesicht anfordern, sind höchstwahrscheinlich für Marketingzwecke bestimmt und sie können Ihre Transaktion nicht ablehnen, indem Sie diese zusätzlichen Informationen nicht weitergeben.

California Beverly Credit Card Act von 1971 befasst sich damit, und im Laufe der Jahre wurden Änderungen daran vorgenommen.

Reduziert es vielleicht den Betrug? Ich könnte jedoch immer noch mit "Ihrer" Karte hineingehen und dort Benzin kaufen. Zugegeben, es besteht eine größere Wahrscheinlichkeit, dass ein Fehler auftritt. Kameras, Kassierer fragen nach Ausweis, Karte wird als gestohlen gemeldet.

Wenn ich versuche, die Karte draußen ohne Mitarbeiter zu verwenden, erhalte ich zwei Antworten von der Zapfsäule:

  1. Akzeptiert
  2. Ihre Karte wurde abgelehnt, siehe Begleiter.

Wenn ich Option 2 hätte, würde ich einfach gehen und eine andere Postleitzahl an einer anderen Tankstelle ausprobieren.

7
N. Greene

Gibt es Hinweise darauf, dass dies tatsächlich zu einer signifikanten Reduzierung des erfolgreichen Kreditkartenbetrugs führt?

Sie müssten eines der Gasunternehmen oder einen der Betrugsanbieter (wie Accertify ? ThreatMetrix ?) Fragen, wer möglicherweise Statistiken ("Beweise") hat.

Es scheint mir, dass dies keine sehr nützliche Maßnahme für eine Maschine wäre, bei der die Karte ohnehin vorhanden sein muss .... [Diebe] haben mit ziemlicher Sicherheit mindestens eine und wahrscheinlich mehrere IDs, die Ihre Postleitzahl enthalten .... Daher bin ich gespannt, ob hierfür tatsächlich ein Sicherheitsvorteil nachgewiesen wurde oder nicht.

Ich habe keine Beweise , aber ich biete Ihnen Spekulationen an :

  1. Von allen Informationen zur Betrugsbekämpfung ist die Postleitzahl die einzige, die bequem über eine nur numerische Zapfsäulentastatur eingegeben werden kann.
  2. Das Erfordernis einer Postleitzahl als Betrugsbekämpfungsmaßnahme dient dem Benutzer als Benachrichtigung darüber, dass diese Transaktion geprüft wird. Dies kann sowohl eine beruhigende Wirkung auf gültige Benutzer als auch eine abschreckende Wirkung auf betrügerische Benutzer haben.
  3. Etwas zu tun ist in diesem Fall besser als nichts zu tun.

Es gibt andere Betrugsschritte - Standort-, Häufigkeits- und Gewohnheitsanalyse -, die gegen den Anwendungsfall "gestohlene Brieftasche" wahrscheinlich effektiver sind. Aber diese passieren hinter den Kulissen, ohne Beruhigung oder Abschreckung.

5
gowenfawr

Ein weiterer Grund wäre, dass sich die Person, die die Informationen eingibt, geringfügig verzögert. Alles, was die Aktivitäten eines Amateurdiebs um einige Sekunden verlängert, verringert die Wahrscheinlichkeit, dass sie durchkommen. Diese zusätzlichen Sekunden erhöhen auch die Chancen, ein gutes Bild vor der Kamera zu erhalten.

3
Israel Isassi

Ein bisschen wie das, was Israel gesagt hat, kann es zu einer gewissen Verzögerung führen, aber es besteht die Möglichkeit, dass Ihre Überwachungskameras es bereits aufnehmen können.

Wenn sie Ihre Kreditkarteninformationen kennen, wissen sie wahrscheinlich im Grunde alles andere, wahrscheinlich nur eine geringfügige Schutzmethode.

0
xFrei