it-swarm.com.de

Welche Auswirkungen hat die Offenlegung der Vorderseite einer Kredit- oder Debitkarte?

Es gibt einige Fälle, in denen Personen aufgefordert werden, die Vorderseite einer Kredit- oder Debitkarte offenzulegen (z. B. dieser Tweet von Brian Krebs oder dieser Twitter-Account ). Ich habe mich also gefragt, wie sich diese Offenlegung wahrscheinlich auf den Karteninhaber auswirkt.

Auf der Vorderseite einer Karte kann ein Betrüger das Startdatum/Ablaufdatum der Karte PAN (16-stellige Nummer) und den Namen des Karteninhabers abrufen. Auch für Debitkarten die Kontonummer und den Bankleitzahl des Karteninhabers (die je nach Region variieren können).

Die Frage ist also, welche wahrscheinlichen Auswirkungen die Offenlegung dieser Informationen hat (d. H. Welche Betrugsfälle begangen werden könnten).

Einige erste Gedanken, die ich hatte, waren:

  • Transaktionen mit Karteninhaber nicht vorhanden sollten nicht möglich sein , da der CVV nicht bekannt gegeben wurde
  • Die Karte wäre nicht nur mit diesen Informationen klonbar, da andere Informationen für den Magnetstreifen benötigt werden.
59
Rory McCune

Sie benötigen den CVV nicht , um Transaktionen durchzuführen. Sie werden nur von den meisten Einzelhändlern benötigt, um zu überprüfen, ob Sie die physische Karte besitzen Ihr Besitz.

Von Wikipedia (ohne Quelle):

Für einen Händler ist es nicht obligatorisch, den Sicherheitscode für eine Transaktion zu verlangen. Daher ist die Karte immer noch anfällig für Betrug, selbst wenn Phishern nur ihre Nummer bekannt ist.

Auf den meisten EFTPOS-Systemen können die Kartendetails manuell eingegeben werden. Wenn ein Feld nicht vorhanden ist, drückt der Bediener einfach die Eingabetaste, um zu überspringen. Dies ist bei Karten ohne Startdatum üblich. Auf diesen Systemen ist es trivial, eine Karte ohne CVV aufzuladen. Wenn ich im Einzelhandel arbeitete, machten wir dies häufig, wenn der Chip auf einer Karte nicht funktionierte und das CVV abgerieben war. In solchen Fällen waren lediglich die Kartennummer und das Ablaufdatum mit einer Unterschrift auf der Quittung zur Überprüfung erforderlich.

40
Polynomial

Abgesehen von den bereits erwähnten Angriffen, bei denen eine Kreditkarte nicht autorisiert verwendet wird, können die Kreditkarteninformationen auch für Social Engineering und Identitätsdiebstahl verwendet werden.

Sehen Sie sich als aktuelles Beispiel an, wie Mat Honan im letzten Sommer gehackt wurde: http://www.wired.com/gadgetlab/2012/08/Apple-Amazon-mat-honan-hacking/all/

In seinem Fall benötigte Apple nur die letzten Ziffern für seine Kreditkarte (die sein Angreifer von Amazon erhalten hat), um das Konto aufzugeben. Es liegt auf der Hand, dass andere Anbieter betrogen werden können, wenn Ein Angreifer sollte eine vollständige Kreditkartennummer einschließlich Ablaufdaten angeben.

18
Bushibytes

Sie benötigen CVV und Ablaufdatum zur Überprüfung, obwohl sich das Ablaufdatum auf der Vorderseite einer Karte befindet. Ebenfalls erforderlich ist die Rechnungsadresse oder mindestens die Postleitzahl der Rechnungsadresse, die sich weder auf der Vorder- noch auf der Rückseite der Karte befindet.

Dies hängt jedoch davon ab, ob Sie persönlich oder online etwas im Einzelhandel kaufen. Wenn Sie im Einzelhandel arbeiten, wo die Kartendetails manuell eingegeben werden können, ist dies definitiv eine Option, es sei denn, es gibt Richtlinien dagegen, oder vielleicht ein POS-Gerät, das dies nicht zulässt (obwohl dies nicht meine Erfahrung war, als magnetisch Streifen werden durch magnetische Geldbörsenverschlüsse von Frauen VIEL) entmagnetisiert, es besteht die Gefahr von Betrug. Es wäre nicht erforderlich, die Postleitzahl oder die Rechnungsadresse in Rechnung zu stellen. Dies würde jedoch sowohl die Komplizenschaft des Kassierers als auch des Kunden erfordern. Dies ist der Grund: Obwohl die Karteninformationen manuell eingegeben werden können, ist es NIEMALS akzeptabel, die Informationen von einer Person zu übernehmen, die Ihnen ein Stück Papier mit ihren Kartendetails übergibt.

Am Telefon oder online benötigen Sie Name, Kartennummer, Ablaufdatum, CVV (4-stellig für AmEx, 3-stellig für Visa/MC) und Rechnungsadresse (und Lieferadresse) für eine physische Lieferung. Wenn Sie etwas bestellen, das nicht geliefert werden muss, und sich daran erinnern, dass Sie jetzt Ihre Optionen für illegale Einkäufe erheblich eingeschränkt haben, benötigen Sie immer noch die Postleitzahl, obwohl Sie keine Adresse usw. benötigen.

Was können Sie online oder telefonisch mit Name, Kartennummer, CVV und Postleitzahl kaufen? Nun, die monatlichen Einkäufe von iTunes Cap kosten standardmäßig 5.000 US-Dollar pro Monat. Sie können also viel iTunes-Musik oder eine Premium-Mitgliedschaft für teure Pornoseiten oder viel Cloud-Speicher oder Online-Spiele kaufen. Aber selbst wenn Sie dies tun würden, müssten Sie die Dienste von einem Ort aus nutzen, der mit einer IP-Adresse verknüpft ist. Ich bezweifle, dass es praktisch ist, Spiele über Tor zu spielen. Gleiches gilt für das Streamen von Pornos, obwohl ich nicht sicher bin. Und wenn Sie iTunes-Songs gekauft haben, müsste Apple muss genügend identifizierende Informationen über Sie wissen, damit dies nicht sicher ist. Sie können nicht über Paypal oder Amazon kaufen, wie Sie es benötigen physische Lieferung der Gegenstände, die belastend wären, ob an Sie oder an eine andere Person, die für Sie gehandelt hat.

Und all dies wäre ohne die Postleitzahl der Rechnungsstellung, die sich nicht auf der Vorderseite der Karte befindet, umstritten. Ich habe keine Quellen, ich habe nur ein Jahr lang Erfahrung in einem Casino auf einem riesigen 500-Personen-Schiff. Und ich kaufe viele Klamotten und Dinge online. Ich werde nach etwas suchen, das ich zitieren kann, aber es ist eher das Ergebnis weit verbreiteter elektronischer Zahlungspraktiken als der technologischen Unmöglichkeit.

BEARBEITEN:
Siehe die Antworten auf diese Frage Wozu werden gestohlene Kreditkartendaten verwendet? Die Antworten basieren auf dem Zugriff auf Massenmengen von Karten oder der Bereitschaft, jemandem zu erlauben, in Schwierigkeiten zu geraten Annahme Ihrer Einkäufe (die Antwort wird als "Rube" bezeichnet) oder vielmehr ausgefeilte eBay-Kartentauschprogramme. Es war nicht einfach. (Viele sind auf der Suche nach Kreditkarteninformationen, aber ich frage mich oft, was die meisten Menschen tatsächlich damit machen können, außer Unannehmlichkeiten und Angst zu verursachen. ZeuS oder SpyEye sind die Ausnahme, da sie störend vielseitig erscheinen.).

13
Ellie Kesselman

Es ist erwähnenswert, dass American Express-Kreditkarten den CVV auf der Vorderseite (nicht auf der Rückseite) sowie die Kartennummer, den Namen des Karteninhabers und das Ablaufdatum haben. Die Offenlegung der Vorderseite einer Amex-Karte würde daher willkürliche Käufe ermöglichen, auch Käufe ohne Karte.

11
D.W.

Alles, was zum Ausführen einer Kreditkartentransaktion erforderlich ist, ist die PAN (primäre Kontonummer)), die im Grunde die 16 Ziffern auf der Vorderseite einer Karte sind. Das ist alles, was wirklich passiert, wenn eine Karte verwendet wird wird gewischt - das Gerät liest das PAN, das auf dem Magnetstreifen der Karte codiert ist. Daher - wenn jemand die Vorderseite Ihrer Karte hat, ist Ihr Konto gefährdet.

Karte vorhanden, passende ID-Karte/Signatur, CVV (Sicherheitscode), AVS (Adressüberprüfung) und andere sind zusätzliche Sicherheitsebenen, nach denen ein Händler Sie möglicherweise fragt, insbesondere in einer riskanten Umgebung wie dem Online-Einkauf. Diese sind jedoch keinesfalls erforderlich. Sie könnten davonkommen, eine Transaktion mit nur 16 Ziffern durchzuführen, obwohl die meisten Händler dies aufgrund des Risikos von Betrug und Rückbelastungen nicht zulassen.

8
John