it-swarm.com.de

Hotelreservierung. Wie ist dies nur mit Kreditkartennummer und Ablaufdatum sicher?

Bis heute habe ich es geschafft, nicht online mit meiner Kreditkarte zu bezahlen (ich bin komisch, ich weiß ...), aber irgendwie habe ich es geschafft.

Heute musste ich allerdings ein Hotelzimmer (auf booking.com) buchen, für das eine Anzahlung erforderlich war. Ich habe den Kartenaussteller, die Kartennummer und das Ablaufdatum der Karte eingegeben.

Der Kartenaussteller ist grundsätzlich überflüssig, da Sie von der Nummer aus den Aussteller erhalten können. Grundsätzlich kann jeder mit zwei grundlegenden Informationen (Kreditkartennummer und Ablaufdatum) Geld von meinem Konto abheben.

Wenn jemand eine Spionagebrille hat und über die Schulter auf meine Kreditkarte schaut, während ich für ein paar Lebensmittel bezahle, kann er diese mit meiner Kreditkarte bezahlen.

Wie ist das Ding sicher?

30
ILikePaperMoney

Booking.com nimmt keine Anzahlung oder Zahlung von Ihnen entgegen. Was Sie ausfüllen, ist ein Reservierungsformular. Die Kartendaten werden als Zahlungsmittel für den Fall verwendet, dass (a) Sie nicht auftauchen und einen Nachweis benötigen, dass Sie bleiben möchten, oder (b) Sie bleiben und weglaufen, ohne beim Auschecken zu zahlen. Das Hotel benötigt weiterhin eine Geschenkkarte für die Zahlung oder den CVV, um eine Transaktion ohne Karte durchzuführen, oder Bargeld, wenn Sie stattdessen auf diese Weise bezahlen möchten.

Die größere Frage "Ist das sicher?" Ist komplizierter. Der einfachste Weg, darüber nachzudenken, besteht darin, dass in verschiedenen Phasen des Prozesses (Website, Zahlungsabwickler, Bank) eine Reihe von Sicherheitskontrollen vorhanden sind, um Betrug zu verhindern. Selbst wenn diese alle fehlschlagen, ist die Bank gegen Betrug versichert Sie erhalten Ihr Geld zurück, wenn Sie einen geeigneten Kartentyp verwenden. Im Allgemeinen bieten Kreditkarten im Vergleich zu Debit-/Bankkarten einen überlegenen und schnelleren Betrugsschutz.

37
Polynomial

Händler können eine Zahlung nur mit der Kreditkartennummer und dem Ablaufdatum anfordern, die gut sichtbar auf der Vorderseite der Karte angegeben sind. Die meisten, aber nicht alle Händler benötigen auch eine Nummer auf der Rückseite der Karte, die allgemein als CVV bezeichnet wird (der formale Name hängt vom Kreditkartenanbieter ab). Im Prinzip müssen Händler bestimmte Regeln, die als PCI DSS bekannt sind, auf alle Kreditkartendaten anwenden und dürfen den CVV nicht speichern (nur um ihn an die Bank weiterzuleiten), sondern PCI DSS Konformität erfordert nur, dass sich der Händler als konform erklärt, sodass Verstöße gegen die Anforderungen häufig sind.

Ja, dies bedeutet, dass jemand, der Ihre Kartendaten hat, an Ihrer Stelle eine Online-Zahlung vornehmen kann. Es liegt in Ihrer Verantwortung, Ihre Kreditkartenabrechnungen zu überprüfen und betrügerische Zahlungen zu stornieren. Abhängig von Ihrer Bank, dem Kreditkartentyp und Ihrem Land variieren die Details zum Stornieren einer betrügerischen Zahlung und was passiert, wenn dies zu Mehrausgaben oder Überziehungskrediten führt.

Dies ist ein Risiko, unabhängig davon, ob Sie Ihre Karte für Online-Zahlungen verwendet haben oder nicht. Das Risiko ist mit einer Karte verbunden. Es gibt Betrüger, die Kartennummern erfinden und versuchen, diese zu belasten. Dies ist nicht sehr einfach einzurichten, da die meisten Zahlungen abgelehnt werden, weil die erfundenen Daten ungültig sind und die Bank möglicherweise die Quelle offensichtlich betrügerischer Anfragen blockiert, aber es ist machbar. Eine gültige Nummer und ein gültiges Ablaufdatum erhöhen das Rentabilitäts-/Risikoverhältnis erheblich.

Um einen Eindruck von der Rentabilität dieser Art von Betrug zu bekommen, verkauft sich, soweit ich mich an Kreditkarten-Spam erinnere, eine Kreditkartennummer mit Ablaufdatum für etwa 1 USD, und ein gültiger CVV erhöht den Preis auf etwa 5 USD. Beachten Sie, dass ich nie überprüft habe, ob die beworbenen Daten echt sind.

Der Trick bei Kreditkarten besteht darin, sich an den Kredit Teil des Systems zu erinnern. Sie zahlen nicht am Point of Sale, sondern erstellen zwei Kreditbeziehungen, in denen Sie dem Emittenten Geld schulden und diese dem Händler schulden. Tatsächlich zwei "IOU" -Papierstücke und ungefähr so ​​sicher.

Das nächste ist, dass Sie nicht unbedingt bezahlen müssen, wenn sie nicht nachweisen können, dass Sie es tatsächlich waren, der die Transaktion durchgeführt hat. Wenn Sie es erfolgreich ablehnen, wird der Händler nicht für die Transaktion bezahlt. Wenn ein Händler zu oft betrogen wird, kann er aus dem System verbannt werden.

Verschiedene Formen des Zahlungssystems haben also unterschiedliche Beweise für den Händler über die Karte. Bei Transaktionen mit Karteninhabern haben Sie die Möglichkeit, bei der Entscheidung die Karte und den Kunden zu betrachten. Es ist schwieriger, den Betrug zu automatisieren oder aus sicherer Entfernung auszuführen. Dies kann also nur mit Karte + Ablauf erfolgen. Alles auf der Vorderseite der Karte kann mit einem dieser Kartenabdruckgeräte kopiert werden, die Kohlepapier verwenden und vom Händler per Post eingereicht werden. Das Pre-Internet-System.

Transaktionen ohne Karteninhaber sind das Gegenteil. Betrug ist einfach zu automatisieren. Daher verlangen die meisten Online-Transaktionen mindestens den CVV (drei Ziffern auf der Rückseite der Karte, nicht per Aufdruck kopiert und nicht auf der Magnetspur). Die meisten Online-Händler bestehen auf einer Adresse, die mit der Adresse des Karteninhabers übereinstimmen muss, bevor Waren versandt werden. Leute, die "cashlike" Dinge verkaufen (Geschenkkarten, Spielzeitkarten), überprüfen manchmal auch das Telefon, weil sie sehr hohe Betrugsziele sind.

Der Hotelreservierungsfall ist lustig, weil fast kein Betrugsfall möglich ist. Es macht keinen Sinn, eine Reservierung mit einer gestohlenen Karte vorzunehmen und dann nicht aufzutauchen, es bringt Ihnen nichts. Wenn Sie auftauchen, wird es zum Karteninhabergeschenk, und viele Hotels nehmen eine Kopie Ihres Personalausweises.

13
pjc50

Ein Wort:

Versicherung

"Sicherheit" für Kreditkarten ist nicht das, was wir auf dieser Website als "Sicherheit" verstehen. Dies sind Funktionen, die eine nicht autorisierte Verwendung rechnerisch unmöglich machen. Denken Sie daran, dass die ursprüngliche Kreditkarte einfach aufgedruckt wurde. Es gab kaum Sicherheit. Unternehmenssicherheit ist eine ganz andere Sache. Wenn das Risiko hoch ist (wie bei Kreditkartenbetrug), können Sie entweder Ihr Geld einsetzen, um das Risiko zu senken - oder Sie können Geld bezahlen, um Ihr Risiko zu versichern. Von Ihrem Standpunkt (dem Kunden) aus ist es ziemlich sicher und sehr bequem - Sie rufen einfach Ihre Bank an, sagen ihnen "Ich habe das nicht autorisiert" und sie geben Ihnen Ihr Geld zurück.

Es gibt auch den Standpunkt des Diebes: Die Kartennummer ist nutzlos, wenn Sie keine Möglichkeit haben, Wert daraus zu ziehen. Wenn Sie ein Hotel mit gestohlener Karte buchen, erfahren Sie im Grunde, wo und wann Sie sich befinden. Für die Bestellung von Waren ist eine Lieferadresse erforderlich. Auch hier trägt die nächste Person, die an die Tür des Diebes klopft, möglicherweise blau statt der braunen Uniform von UPS.

Natürlich tut jeder sein Bestes, um Betrug zu verhindern. Daher SSL, zertifizierte Zahlungsabwickler, Empfehlungen und Anforderungen für bewährte Verfahren usw. usw. Diese minimieren jedoch nur das Risiko, Ihre Kartennummer offenzulegen - sobald sie offengelegt wird, sind alle Wetten ungültig. Nur auf Ihre Karten zu schauen, reicht aus, um das meiste davon zu "stehlen". Der Rest ist ein Gleichgewicht zwischen Kosten und Risiken.

Haftungsausschluss: Ich meine nicht, dass Versicherungen eine "schlechtere" Art von Sicherheit sind. Selbst mit kryptografischen Algorithmen sind wir sicher, dass es eine Möglichkeit gibt, sie zu knacken. Dies ist einfach nicht machbar (sprich: profitabel). Unternehmensversicherung ist nicht viel anderes Konzept, nur die "Cracking" Barriere ist niedriger.

5
Agent_L