Qual è l'impatto della divulgazione del front-face di una carta di credito o di debito?

58

Ci sono alcuni casi in cui le persone sono chiamate a rivelare la faccia anteriore di una carta di credito o di debito (ad es. questo tweet da Brian Krebs o questo account Twitter ). Quindi mi chiedevo quale sarebbe l'impatto di questa divulgazione per il titolare della carta.

Dalla parte anteriore di una carta, un truffatore può ottenere la data di inizio / scadenza della carta PAN (numero di 16 cifre) e il nome del titolare della carta. Anche per le carte di debito, il numero di conto del titolare della tessera e il codice di ordinamento (che può variare in base alla regione).

Quindi la domanda è: qual è il probabile impatto della divulgazione di queste informazioni (ad esempio quali frodi potrebbero essere commesse).

Alcuni pensieri iniziali che ho avuto sono stati: -

  • Il titolare della carta non presenta transazioni non dovrebbe essere possibile in quanto il CVV non è stato divulgato
  • La carta non potrebbe essere clonabile con le sole informazioni in quanto vi sono altre informazioni necessarie per il magstripe.
posta Rоry McCune 23.10.2012 - 09:15
fonte

5 risposte

39

In realtà non hai bisogno del CVV per eseguire transazioni, sono richieste solo dalla maggior parte dei rivenditori per verificare che tu abbia la carta fisica in tuo possesso.

Da Wikipedia (unsourced):

It is not mandatory for a merchant to require the security code for making a transaction, hence the card is still prone to fraud even if only its number is known to phishers.

Sulla maggior parte dei sistemi EFTPOS, è possibile inserire manualmente i dettagli della carta. Quando un campo non è presente, l'operatore semplicemente preme Invio per saltare, che è comune con le carte che non portano una data di inizio. Su questi sistemi, è banale caricare una carta senza CVV. Quando lavoravo nella vendita al dettaglio, lo facevamo spesso quando il chip su una carta non funzionava e il CVV si era staccato. In questi casi, tutto ciò che era necessario era il numero della carta e la data di scadenza, con una firma sulla ricevuta per la verifica.

    
risposta data 23.10.2012 - 09:42
fonte
18

Oltre agli attacchi già menzionati che comportano l'utilizzo non autorizzato di una carta di credito, i dati della carta di credito possono essere utilizzati anche per l'ingegneria sociale e il furto di identità.

Come esempio un po 'attuale, vedi come Mat Honan è stato hackerato la scorsa estate: link

Nel suo caso, Apple ha richiesto solo le ultime cifre della sua carta di credito (che il suo aggressore ha ottenuto da Amazon) per rinunciare all'account. È ovvio che altri venditori potrebbero essere ingannati se un utente malintenzionato dovesse fornire un numero di carta di credito completo, comprese le date di scadenza.

    
risposta data 23.10.2012 - 13:48
fonte
13

Avresti bisogno del CVV e della data di scadenza per la verifica, sebbene la data di scadenza sia sulla faccia anteriore di una carta. È richiesto anche l'indirizzo di fatturazione o, come minimo, il codice postale dell'indirizzo di fatturazione, nessuno dei quali si trova nella parte anteriore o posteriore della carta.

Tuttavia, ciò dipende dal fatto che tu stia acquistando qualcosa al dettaglio, di persona o online. Se lavori in punti vendita in cui i dettagli della carta possono essere inseriti manualmente, che è sicuramente un'opzione a meno che non ci siano delle policy contro di essa, o forse un POS che non lo consenta (anche se non è stata la mia esperienza, come magnetico le strisce vengono smagnetizzate dalle chiusure magnetiche per borse da donna A LOT), ci sarebbe il potenziale per la frode. Non ci sarebbe bisogno di fatturare il codice di avviamento postale o l'indirizzo di fatturazione. Tuttavia, richiederebbe la complicità del cassiere e del cliente. Questo è il motivo: anche se le informazioni sulla carta possono essere inserite manualmente, non è MAI accettabile prendere le informazioni da una persona che ti consegna un pezzo di carta con i dettagli della carta.

Sul telefono, o online, avrete bisogno di nome, numero di carta, data di scadenza, CVV (4 cifre per AmEx, 3 cifre per Visa / MC) e indirizzo di fatturazione (e indirizzo di spedizione) per una consegna fisica. Se stai ordinando qualcosa che non ha bisogno di essere consegnato, e ricorda, ora hai limitato le opzioni per gli acquisti illegali in modo significativo, avresti comunque bisogno di fatturare il codice postale, anche se non avresti bisogno dell'indirizzo, ecc.

Che cosa puoi acquistare online o al telefono, con nome, numero di carta, CVV e codice postale? Bene, gli acquisti mensili di iTunes cap a $ 5.000 al mese come predefinito. In questo modo è possibile acquistare molta musica iTunes o l'abbonamento premium a costosi siti pornografici o un sacco di spazio di archiviazione nel cloud o giochi online. Ma anche se dovessi fare qualcosa di simile, dovresti comunque utilizzare i servizi da qualche parte che è stata associata a un indirizzo IP. Dubito che sia pratico giocare con Tor, lo stesso vale per lo streaming di porno, anche se non ne sono sicuro. E se hai comprato canzoni di iTunes, Apple avrebbe bisogno di conoscere abbastanza informazioni identificative su di te che non sarebbe sicuro. Non è possibile acquistare roba tramite PayPal o Amazon, in quanto è necessario effettuare la consegna fisica degli articoli, il che sarebbe incriminante, sia per te che per qualcun altro che ha agito per te.

E tutto ciò sarebbe discutibile senza il codice di fatturazione, che non è sulla parte anteriore della carta. Non ho alcuna fonte, solo esperienza di lavoro in un casinò, su un'enorme nave da 500 persone, per un anno. E acquisto molti vestiti e cose online. Cercherò qualcosa da citare, ma tende a essere il risultato di pratiche di pagamento elettroniche ampiamente osservate piuttosto che impossibilità tecnologica.

EDIT:
Consulta le risposte a questa domanda A che serve rubare dettagli della carta di credito? Le risposte si basano sull'accesso a grandi quantità di carte o sulla volontà di permettere a qualcuno di mettersi nei guai per prendere in consegna i tuoi acquisti (la risposta si riferiva a questo come "un rube"), o meglio elaborare schemi di scambio delle carte di eBay. Non è stato semplice. (Molti sono alla ricerca di informazioni sulle carte di credito, ma spesso mi chiedo cosa la maggior parte della gente possa effettivamente fare con essa, oltre a causare inconvenienti e timori: ZeuS o SpyEye è un'eccezione, in quanto sembra disturbantemente versatile.

    
risposta data 23.10.2012 - 10:37
fonte
11

Vale la pena ricordare che le carte di credito American Express hanno il CVV sul lato anteriore (non sul retro), insieme al numero della carta, al nome del titolare della carta e alla data di scadenza. Pertanto, la divulgazione della faccia anteriore di una carta Amex consentirebbe acquisti arbitrari, anche acquisti con carta non presenti.

    
risposta data 23.10.2012 - 23:54
fonte
8

Tutto ciò che è necessario per eseguire transazioni con carta di credito è il PAN (numero di conto primario), che è in pratica le 16 cifre che si trovano sulla parte anteriore di una carta. Questo è tutto ciò che accade realmente quando una carta viene strisciata: la macchina legge il PAN codificato sulla striscia magnetica della scheda. Pertanto, se qualcuno ha la parte anteriore della carta, il tuo account è compromesso.

Carta presente, corrispondente carta d'identità / firma, CVV (codice di sicurezza), AVS (verifica dell'indirizzo), e altri sono aggiunti livelli di sicurezza che un commerciante potrebbe chiederti, specialmente in un ambiente rischioso come lo shopping online. Ma questi non sono affatto necessari. Potresti scappare eseguendo una transazione con solo 16 cifre, sebbene la maggior parte dei commercianti non lo consentirà a causa del rischio di frode e chargeback.

    
risposta data 14.12.2012 - 02:41
fonte

Leggi altre domande sui tag