it-swarm.com.de

Was hindert Webshop-Besitzer daran, Kreditkartendaten zu missbrauchen?

Ich besitze keine Kreditkarte, lese aber viel über Betrug mit gestohlenen Kreditkarten. Da ich keine besitze, weiß ich nicht, wie Sie genau online mit Ihrer Kreditkarte einkaufen. Bitte korrigieren Sie mich, wenn ich falsch liege (und ich hoffe es).

  1. Der Kunde wählt Artikel im Online-Shop aus und legt sie in den Warenkorb.
  2. Der Kunde geht zum virtuellen Check-out.
  3. Der Kunde gibt die Lieferadresse und seine CC-Daten (?) Ein und sendet diese an den Server des Ladenbesitzers.
  4. Der Shop-Server sendet die vom Kunden eingegebenen CC-Daten sowie seine Daten und den Betrag an den CC-Kartenserver und erhält das Geld.
  5. Der Kunde erhält gekaufte Artikel.
  6. Der Ladenbesitzer war nicht sehr ehrlich und verwendet die vom Kunden eingegebenen CC-Daten, um in anderen Online-Shops einzukaufen (insbesondere nicht nachverfolgbare Waren wie Softwarelizenzen, ...). Da die Daten für alle Shops gleich sind, weiß niemand, welcher Shop die CC-Daten missbraucht hat.

Warum nicht stattdessen einen einmaligen Authentifizierungscode oder ein Token verwenden? Zum Beispiel gibt der Kunde die CC-Daten auf dem Server des CC-Unternehmens ein, der eine Bestätigung an den Ladenbesitzer sendet oder einen signierten Token (wie GPG) gibt, den der Benutzer dem Laden gibt, um zu beweisen, dass er das Geld gesendet hat, oder der Laden wartet nur bis es sieht das Geld auf seinem Konto? Da ich über grundlegende IT-Sicherheitskenntnisse verfüge, können Sie auch technische Details hinzufügen. Sind meine Annahmen also richtig und wenn ja, was hindert Webshop-Besitzer daran, Kreditkartendaten zu missbrauchen?

47
sweet home

Die Haftung für eine streitige Transaktion liegt beim Händler für Transaktionen ohne Karte. Wenn Sie eine Transaktion bestreiten, wenn der Händler nicht über Ihre Unterschrift verfügt, werden Sie die Rechnung bezahlen, wenn Sie darauf bestehen. Aus dem gleichen Grund wird ein CNP-Händler, der Sie doppelt in Rechnung stellt, am Ende zahlen, wenn Sie die Rechnung bestreiten.

Wie @DavidFoerster hervorhebt, verfolgen die Prozessoren und Kartenunternehmen die Rückbuchungsraten. Sie beobachten die Statistiken und werden abgeschnitten, wenn ein Händler zu viele Rückbuchungen hat. (Normalerweise werden sie von ihrem Prozessor gebootet und suchen einen anderen Prozessor, der ihnen für das höhere Risiko mehr berechnet.).

Gleiches gilt für Geschäfte, die Karten an anderer Stelle erneut missbrauchen. Die Kartenmarken sehen sich Betrugsberichte an und stellen fest, dass diese 20 Betrugsberichtskarten alle Bob's Web Shack als frühere Transaktion gemeinsam hatten. Sie werden dann Bobs Web Shack untersuchen - sowohl weil es ein schlechter Ladenbesitzer sein könnte, als auch weil es ein Laden sein könnte, der kompromittiert ist. Und - wieder - wenn ein Geschäft Probleme verursacht, werden sie abgeschnitten.

Dies verhindert, dass Webshop-Besitzer die Karten missbrauchen. Sie verlieren alle Streitigkeiten, werden dann fallen gelassen und können keine Karten mehr verarbeiten.

58
gowenfawr

Wenn Sie es in großem Maßstab tun, werden Sie herausgefunden

Wie bei den meisten Verbrechen hindert Sie nichts daran, es zu tun, wenn Sie entschlossen sind, außer den Risiken und Konsequenzen, wenn Sie herausgefunden werden. Für kleine und seltene Ereignisse wird es von den CC-Unternehmen als Geschäftskosten abgeschrieben. Bei großen oder häufigen Szenarien werden die Leute herausgefunden und gehen ins Gefängnis.

Gemeinsame Verkaufsstelle

Die Analyse von Betrugsmustern wird ernsthaft durchgeführt, viele talentierte Leute und finanzielle Ressourcen setzen alles richtig ein. All diese Risiken sind nicht neu - bevor Webshops üblich waren, hatten Mitarbeiter in verschiedenen physischen Geschäften die Möglichkeit, dasselbe zu tun. Zum Beispiel hat ein Restaurantkellner Zugriff auf viele Karten und kann deren Daten missbrauchen.

Wenn es ein einzelnes Mal ist, gibt es keine Muster, die herausgefunden werden müssen, aber es läuft, dann ist es nicht so schwer, automatisch zu bestimmen, dass ein Haufen missbrauchter Karten ein allgemeiner Kaufpunkt teilt, und dies dann zu prüfen Standort - Abhängig von der Betrugsskala kann dies zu polizeilichen Maßnahmen führen oder einfach dazu, dass das Unternehmen und andere zukünftige Unternehmen mit denselben Eigentümern oder demselben Management auf die schwarze Liste gesetzt werden.

Darüber hinaus sind diese Risiken Teil der Gründe, warum es nicht trivial ist, einen Webshop zu eröffnen, in dem Sie tatsächlich Zugriff auf CC-Daten erhalten. Oft erlauben Banken zufälligen kleinen Unternehmen nicht, Karten online zu akzeptieren direkt - sie akzeptieren dies unter der Bedingung, dass die gesamte Autorisierung über ein vertrauenswürdiges Zahlungsgateway erfolgt und Ihr Unternehmen einfach eine signierte Token-Zahlung von $ erhält xxx akzeptiert "und nicht die vollständigen Kartendaten. Wenn Sie CC-Daten selbst verarbeiten möchten, bereiten Sie sich auf verschiedene Konformitätsprüfungen vor.

17
Peteris

Um Zahlungen zu akzeptieren, verlangen viele Kreditkartenunternehmen, dass der Code des Kunden PCI-konform ist. Ich bin mir nicht sicher, welche Regeln es gibt, aber ich glaube, dass es jemanden erfordert, der den Code nicht geschrieben hat, um ihn zu überprüfen. Bei anderen wie Stripe und Paypal berühren die Kreditkartendaten niemals den Server des Ladenbesitzers. Im Fall von Stripe sendet JavaScript es an sie und gibt dann ein Token an den Server des Shop-Besitzers zurück, das angibt, dass sie bezahlt haben, es durchlaufen hat und für Rückerstattungen verwendet werden kann.

Sehen:

https://www.controlscan.com/support-resources-qa.php

https://www.controlscan.com/support-resources-qa.php#6

8
Travis Pessetto

Was hält sie auf? Nichts als die Konsequenzen.

Es gibt jedoch Verarbeitungsdienste von Drittanbietern, die größere Online-Händler nutzen können, die alle Kreditkartentransaktionen abwickeln und im Rahmen ihres Vertrags mit dem Händler die Haftung für Kompromisse dieser Daten übernehmen. Bei diesen Vereinbarungen sieht der Händler selbst die Kreditkartennummer überhaupt nicht. Sie erhalten nur einen Token, mit dem dieselbe Karte erneut über den Dritten abgerechnet werden kann, der jedoch für jeden Angreifer nutzlos ist. (Und wenn der Dritte tut kompromittiert wird und Millionen von Zahlen durchgesickert sind, können die Händler ihre Hände von allem waschen.)

Selbst wenn ein Händler einen solchen Dritten verwendet, müssen Endbenutzer natürlich einfach ihr Wort dafür nehmen, wenn der Händler dies überhaupt offenlegt. Und natürlich würde nichts einen korrupten Mitarbeiter des Dritten davon abhalten, die Zahlen abzureißen.

Bis zu Ihrem Punkt ist es möglich, Krypto zu verwenden, um Online-Transaktionen zu sichern. Es gibt digitale Cash-Kryptosysteme. Die Benutzererfahrung bei der Verwendung eines solchen Systems ist jedoch im Allgemeinen komplizierter, und dies ist nur eines von vielen Hindernissen für eine breite Akzeptanz.

3
wberry

Im wirklichen Leben leite ich einen kleinen Laden. Sie können uns persönlich oder telefonisch mit einer Kreditkarte bezahlen.

Sobald die Transaktion abgeschlossen ist, können wir die Kreditkartennummern nicht mehr "sehen", sie werden blockiert und von der Kreditkartenverarbeitungsfirma bearbeitet.

Wenn ich oder meine Mitarbeiter versuchen würden, die Nummern über die Telefontransaktionen zu speichern, um sie zu missbrauchen: Ich glaube nicht, dass es zu lange dauern würde, um herauszufinden, dass alle Opfer in derselben Gegend lebten und unseren Laden nutzten.

============================================

In einer Online-Händlersituation würde ich die Kreditkartennummern nicht einmal verarbeiten oder sehen können. Die Kreditkartenfirma würde nur Geld auf ein Konto für mich einzahlen. Ich nehme an, ich könnte versuchen, Kunden dazu zu bringen, mir ihre Kreditkarteninformationen per E-Mail zu senden, aber ich glaube nicht, dass zu viele Kunden auf diesen Trick hereinfallen würden, lol.

Die "schmutzigsten Einzelhändler" im Internet spielen mit dem Artikel, den sie Ihnen gesendet haben, oder ob sie die Artikel sogar gesendet haben oder ... den Versand überladen. Sie verdienen bereits etwas Geld, und sie könnten versuchen, ein wenig mehr zu verdienen.

Aber wie ich sehen kann, muss ein böswilliger Dritter die Kreditkarteninformationen abfangen und missbrauchen.

2
sedstar-guest

Heutzutage leiten Sie die meisten Webshops auf eine Bestätigungsseite weiter, die von Ihrem Kartenanbieter gehostet wird. Dort müssen Sie ein Passwort eingeben (normalerweise nur ein Teil davon), um zu bestätigen, dass Sie der Besitzer der Karte sind. Das hindert den Ladenbesitzer nicht daran, Ihre Kartendaten zu stehlen, aber er kann das Sicherheitspasswort nicht sehen, sodass er mit der Überprüfungsfunktion nicht auf Websites einkaufen kann.

Leider nutzen nicht alle Geschäfte diese Funktion, aber da sie immer häufiger eingesetzt wird, wird es schwieriger, gestohlene Kartendetails zu verwenden.

Bis Sie auf der Website großer Unternehmen einkaufen, sind Sie sicher. Für kleinere, unbekannte Geschäfte ist die Verwendung von Paypal ein guter Weg, um sicher zu gehen: Die Kartendaten werden auf Paypal-Servern gespeichert, oder Sie geben sie auf ihrer Seite ein, wenn sie nicht bereits registriert sind. Auf diese Weise erhält der Shop Ihre Daten nicht.

1
algiogia

PCI DSS ist eine Checkliste zur Einhaltung von Standards, an die sich Geschäfte halten müssen, die mit CC-Informationen umgehen möchten. Da die Verordnung jedoch weltweit nicht weit verbreitet ist, entspricht dies genau den ISO-Standards.

In der Vergangenheit verwendeten die Webshops Paypal. Oder rufen Sie ihre Einkäufe über ihre eigenen Händlerkonten bei den Banken an. Das Risiko von Rückbuchungen und Betrug über das Internet machte es jedoch einfacher, das Risiko bei einer Gegenpartei zu parken. Paypal und einige andere waren die ersten, die dieses Risiko eingegangen sind.

Jetzt werden Sie feststellen, dass die meisten E-Commerce-Websites Sie zu einer anderen Seite mit der Kontrahenten-Website führen, auf der die Transaktionen abgewickelt werden, damit sie das Risiko nicht eingehen müssen. Dies ist für die meisten ein tragfähiges Geschäftsmodell, da der Webshop nicht die Kosten für Betrug übernehmen muss, sondern möglicherweise Gebühren zahlen muss.

Wenn Sie sich das Risikomodell von shopify ansehen, werden Sie feststellen, dass es größer ist als die Verbreitung von Betrug durch sein System.

0
munchkin

Hier spielen viele Faktoren eine Rolle.

Erstens ist das Zahlungsgateway eine wichtige Komponente - die verschlüsselten CC-Daten werden vom Browser des Benutzers zum Gateway übertragen. In einigen Fällen werden sie möglicherweise über den Webserver des Händlers abgerufen, um die Transaktionsdaten zu erfassen (in diesem Fall kommt die gesamte PCI DSS-Konformität mit den Standards) ins Spiel. Manchmal umgeht das Gateway den Webserver des Händlers vollständig und erhalten Sie die Transaktionsdaten als separate verschlüsselte Verbindung vom Händlerserver (nicht sicher, ob die PCI in diesem Fall konform ist).

Nach Erhalt der Zahlungsinformationen und der Transaktionsinformationen werden diese an den Zahlungsverarbeitungsserver der Bank weitergeleitet, der sie an die jeweiligen Verbände (Visa, Mastercard, Amex usw.) weiterleitet, die sie erneut zur Validierung und zum Kreditlimit/Konto an die ausstellende Bank weiterleiten Balance Checks. Nach der Validierung senden sie eine Erfolgsantwort, die dem umgekehrten Pfad zurück zum Händler folgt.

Bei betrügerischen Transaktionen verfügen die meisten Karten heutzutage über eine dritte Schutzschicht (3D-Auszahlung genannt) - dies kann entweder ein Code/Passwort (z. B. Mastercard-Sicherheitscode usw.) oder ein OTP (Einmalpasswort, das an die registrierte Handynummer gesendet wird) sein. (z. B. bei AMEX- und Citi-Karten), die der Benutzer eingeben muss, während die Transaktion die Zahlungsverarbeitungsserver erreicht, wodurch das Risiko betrügerischer Transaktionen minimiert wird.

Abgesehen davon verfolgen sie die IP-Adresse Ihres Computers. Ich wäre mehr besorgt über die persönlichen Daten, die ich bei jeder Transaktion an den Händler weitergebe - z. B. Name, Geburtsdatum, Adresse, Telefonnummer usw. Ich kenne keine branchenweiten Compliance-Protokolle für diese und daher könnte es eine große Menge geben Möglichkeit des Missbrauchs.

0
Aniket