È stato dimostrato un vantaggio per le macchine con carte di credito che richiedono il codice postale?

55

Negli Stati Uniti, molti distributori automatici di carte di credito in luoghi come stazioni di servizio hanno iniziato a chiedere il codice postale (postale) per utilizzare una carta di credito apparentemente per verificare che sei realmente il titolare della carta, piuttosto che la carta rubata. La mia domanda è semplicemente: Esistono prove che ciò porti effettivamente a una significativa riduzione delle frodi con carta di credito di successo?

Mi sembra che questo non sarebbe una misura molto utile per una macchina che richiede comunque che la carta sia presente. Avrei immaginato che il modo più comune con cui qualcuno sarebbe fisicamente finito con la tua carta di credito sarebbe se rubasse il tuo portafoglio, nel qual caso quasi sicuramente hanno almeno uno e probabilmente diversi ID che includono il tuo codice postale. Ad esempio, nel mio portafoglio, per lo meno, la mia patente di guida, la carta di assicurazione auto, il biglietto da visita e il certificato pilota hanno tutti il mio codice postale elencato e sarebbe anche banale da capire dalla mia scheda di registrazione degli elettori. Pertanto, sono curioso di sapere se per questo sia stato mostrato un reale vantaggio in termini di sicurezza.

    
posta reirab 04.11.2015 - 16:45
fonte

6 risposte

68

Is there any evidence that this actually leads to a significant reduction in successful credit card fraud?

Sì, ci sono prove e , ha provocato assolutamente la riduzione di molti tipi di frodi con le carte:

La funzione di prevenzione delle frodi a cui ti stai riferendo si chiama Address Verification Service (AVS). Il servizio AVS verifica che il numero civico e / o il codice postale presentato al terminale corrispondano ai dati presenti per il titolare della carta presso la banca emittente.

In tempo reale, il processore di pagamento restituirà una risposta AVS. In base alla risposta, il commerciante può decidere di rifiutare una transazione non conforme.

È stato adottato da quasi tutti gli emittenti di carte negli Stati Uniti.

Vedi Guida per commercianti al servizio di verifica dell'indirizzo Visa

I possibili codici di risposta e le impostazioni di rifiuto configurabili sono mostrati qui:

In un'impostazione del terminale della stazione di servizio, il terminale potrebbe essere impostato per rifiutare i codici di risposta AVS N e A, ad esempio.

    
risposta data 04.11.2015 - 20:53
fonte
20

Richiami un buon punto che spesso viene trascurato in Sicurezza. Dati.

"In God We Trust, tutti gli altri devono portare i dati". -W Edwards Demming

Penso che sia improbabile che tu possa trovare dati reali per l'efficacia di una politica di sicurezza. Non conosco molte analisi scientifiche effettive nel settore della sicurezza, ed è una vergogna terribile. Quindi le persone sono lasciate a speculare e speculano che lo faranno.

Come gowenfawr, anche io non ho dati e posso solo offrire speculazioni.

Hai ragione che "l'attacco del portafoglio rubato" non offrirà alcuna protezione dalle frodi. Ma molte carte di credito in questi giorni vengono rubate da sistemi di elaborazione automatica non sicuri. Target e Home Depot sono esempi di questo. Gli aggressori stanno prendendo le informazioni da questi sistemi e dalle carte di clonazione. Non credo che questi sistemi in genere contengano il codice postale del titolare della carta e non sia codificato sulla carta stessa.

Il punto è che chiedere un codice di avviamento postale a una stazione di servizio renderà i tentativi di clonazione più difficili da eseguire. Immagino che questo ridurrà le frodi di qualche importo.

    
risposta data 04.11.2015 - 18:26
fonte
7

È per la dissuasione, e alcune cose che sono utilizzate per la deterrenza sono davvero per il cliente che si sente sicuro e fa molto poco per "sicurezza". Prendi le telecamere di sorveglianza. Probabilmente installerò circa 200+ macchine fotografiche all'anno, e mentre faccio tutto il possibile per fare in modo che le telecamere proteggano il sito nel miglior modo possibile, ci sono modi per aggirarlo. Sono per la deterrenza. Le persone vedono le telecamere e dicono "Oh, hanno delle telecamere, non posso rubare questo posto". Non dicendo che le telecamere sono inutili, ho aiutato i proprietari dei negozi a catturare probabilmente circa 50 dipendenti / clienti che rubavano nel corso degli anni.

Quindi, iniziamo con questo esempio. Ti ho rubato il portafoglio, ora che hai capito che è successo 5 minuti fa o 5 ore fa chiamerai la tua banca / carta di credito e cancellerai le tue carte. Come ladro, devo usare le tue carte velocemente, perché so che cancellerai le tue carte. Sarei più preoccupato per il furto di identità da un portafoglio rubato invece che dalle mie carte.

Hai ragione, se ho il tuo portafoglio conosco il tuo codice postale. Forse non posso usare il tuo biglietto da visita, ma posso ancora farla franca con qualcosa gratuitamente. Vado a comprare carte prepagate per utilizzare e cestino il tuo portafoglio magari mantenendo i tuoi documenti d'identità.

Diciamo che invece di rubare il tuo portafoglio, ho hackerato una rete POS e ottenuto informazioni sulla carta da lì. Non ho il tuo codice postale, ma potrei comunque fare una copia duplicata della tua carta se ricevo abbastanza informazioni dall'hacking che ho fatto sulla rete POS. Non sapresti che i dati della tua carta sono stati compromessi fino a quando la società non rilasci di essere stato violato. Tuttavia, posso ancora utilizzare i dati della carta per acquistare materiale, ma non con un'impostazione di tipo "paga alla pompa".

Viene richiesto il codice postale in luoghi in cui non si "interagisce" con una persona. È un metodo di prevenzione per tenere i ladri con le informazioni CC dal furto di gas. Tuttavia potrebbero entrare con una carta "copiata" e comprare gas all'interno.

Semplicemente, se paghi con una carta "faccia a faccia" con qualcuno, non hanno bisogno di ulteriori informazioni da te oltre a ciò che è presente sulla carta. Potrebbero chiedere l'ID della foto per confermare che sei il titolare della carta.

Se sei alla stazione di pagamento del chiosco (pompa del gas, chiosco del negozio) e il sistema ti chiede il codice postale dell'indirizzo di fatturazione della carta, è per verificare la presenza di frodi.

Il controllo del codice postale, è verificato dalla banca del titolare della carta e non viene utilizzato in altro modo se non per verificare che le informazioni siano corrette.

In un "faccia a faccia" qualsiasi informazione aggiuntiva che chiedono è molto probabilmente a scopo di marketing e non può negare la tua transazione perché non hai fornito tali informazioni extra.

California Beverly Credit Card Act del 1971 si occupa di questo e gli sono stati apportati degli emendamenti nel corso degli anni.

Riduce le frodi, forse. Tuttavia, potrei ancora entrare con la "tua" carta e comprare gas lì. Certo, c'è più possibilità di insuccesso andando dentro. Telecamere, cassiere che chiede l'identità, carta rubata.

Provando a utilizzare la scheda all'esterno senza dipendenti in giro, riceverò due risposte dalla pompa di benzina:

  1. Accepted
  2. La tua carta è stata rifiutata, consulta l'addetto.

Se avessi l'opzione n. 2, me ne andrei e proverei un altro codice postale presso un'altra stazione di servizio.

    
risposta data 04.11.2015 - 17:13
fonte
5

Is there any evidence that this actually leads to a significant reduction in successful credit card fraud?

Dovresti chiedere a una delle compagnie del gas o a uno dei fornitori di frodi (come Accertify ? ThreatMetrix ?) che potrebbe avere statistiche ( "prove").

It seems to me like this would not be a very useful measure for a machine that requires the card to be present anyway.... [thieves] almost certainly have at least one and likely several IDs that include your ZIP code.... Thus, I'm curious if any actual security benefit has been shown for this or not.

Non ho evidenza , ma ti offro speculazione :

  1. Di tutte le informazioni anti-frode, il codice postale è l'unico che può essere inserito comodamente su una tastiera a pompa di gas numerica-only.
  2. Richiedere uno zip come anti-frode serve come notifica all'utente che questa transazione viene esaminata, il che può avere sia un effetto rassicurante sugli utenti validi sia un impatto dissuasivo sugli utenti fraudolenti.
  3. Fare qualcosa è meglio che fare niente in questo caso.

Ci sono altri passaggi di frode - posizione, frequenza e analisi dell'abitudine - che sono probabilmente più efficaci contro il caso d'uso del "portafoglio rubato". Ma quelli accadono dietro le quinte, senza alcuna rassicurazione o deterrenza.

    
risposta data 04.11.2015 - 17:15
fonte
3

Un altro motivo potrebbe essere il fatto che la persona che inserisce le informazioni sia leggermente ritardata. Qualunque cosa aggiunga qualche secondo alle attività di un ladro dilettante riduce le possibilità che seguiranno. Inoltre, quei pochi secondi in più aumentano le possibilità di ottenere una buona immagine sulla fotocamera.

    
risposta data 05.11.2015 - 17:54
fonte
0

Un po 'come quello che ha detto Israele, può aggiungere un po' di ritardo, ma è probabile che le tue telecamere di sicurezza dovrebbero già essere in grado di captarlo.

Le probabilità sono che se conoscono le informazioni della tua carta di credito, in sostanza sanno tutto il resto, probabilmente solo un metodo di protezione minore.

    
risposta data 05.11.2015 - 18:01
fonte

Leggi altre domande sui tag