Cosa impedisce ai proprietari di negozi Web di utilizzare in modo improprio i dati della carta di credito?

44

Non possiedo una carta di credito ma leggo molto su frodi con carte di credito rubate. Dato che non ne possiedo uno, non so come acquisti esattamente online usando la tua carta di credito, quindi per favore correggimi, se sbaglio (e lo spero).

  1. Il cliente sceglie gli articoli nel negozio online e li mette in shopping cart.
  2. Il cliente va al check out virtuale
  3. Il cliente immette l'indirizzo di consegna ei suoi dati cc (?) e li invia al server del proprietario del negozio.
  4. Il server del negozio invia i dati cc al cliente immesso, i suoi dati e l'importo al server della cc card e riceve i soldi.
  5. Il cliente riceve articoli acquistati.
  6. Il proprietario del negozio non era molto onesto e utilizza i dati cc che il cliente ha inserito per acquistare su altri negozi online (in particolare beni non rintracciabili come licenze software, ...). Poiché i dati sono lo stesso vale per tutti i negozi, nessuno sa quale negozio abbia usato male i dati di cc.

Perché non utilizzare invece un codice o un token di autenticazione monouso? Ad esempio il cliente immette i dati cc sul server della società cc che invia una conferma al proprietario del negozio o fornisce un token firmato (come gpg) che l'utente dà al negozio per dimostrare che ha inviato il denaro o il negozio aspetta solo vede i soldi sul suo conto? Dal momento che ho conoscenze di base sulla sicurezza, potresti anche aggiungere dettagli tecnici. Quindi, le mie ipotesi sono corrette e, in tal caso, cosa impedisce ai proprietari di negozi web di utilizzare in modo improprio i dati della carta di credito?

    
posta sweet home 22.12.2014 - 17:55
fonte

8 risposte

55

La responsabilità per una transazione contestata ricade sul commerciante per le transazioni Card-Not-Present. In sostanza, se contestate una transazione, se il commerciante non ha la vostra firma, se persistete finiranno per pagare il conto. Allo stesso modo, quando un commerciante CNP effettua una doppia fattura, finirà per pagare quando contatterai il conto.

Come sottolinea @DavidFoerster, i processori e le società di carte tracciano i tassi di chargeback. Osservano le statistiche e, quando un commerciante sta avendo troppi storni di addebito, vengono tagliati. (Di solito vengono avviati dal loro processore, e vanno a cercare un altro processore che li addebiterà di più per il rischio maggiore).

Lo stesso vale per i negozi che riutilizzano le carte altrove. I marchi delle carte guardano i resoconti delle frodi e stabiliscono che queste 20 carte dei rapporti sulle frodi avevano in comune Bob's Web Shack come una transazione passata. Quindi indagheranno su Bob's Web Shack - sia perché potrebbe essere un cattivo proprietario del negozio, sia perché potrebbe essere un negozio compromesso. E - di nuovo - se un negozio è fonte di problemi, verranno tagliati.

Questo è ciò che impedisce ai proprietari di negozi web di abusare delle carte. Perderanno qualsiasi controversia, quindi verranno eliminati e non saranno in grado di elaborare le carte.

    
risposta data 22.12.2014 - 18:23
fonte
16

Se lo fai su larga scala, verrai scoperto

Come per la maggior parte dei crimini, non c'è davvero nulla che ti impedisca di farlo se sei determinato, a parte i rischi e le conseguenze di essere scoperto. Per eventi piccoli e rari, viene cancellato dalle società CC come un costo per fare affari. Per scenari grandi o frequenti, le persone vengono scoperte e vanno in prigione.

Punto di acquisto comune

Analizzare i modelli di frode viene fatto sul serio, un sacco di persone di talento e risorse finanziarie entrano nel farlo correttamente. Tutti questi rischi non sono nuovi - prima che i negozi online fossero comuni, i dipendenti di vari negozi fisici avevano la capacità di fare lo stesso. Ad esempio, un cameriere del ristorante ha accesso a molte carte e può abusare dei propri dati.

Se è una singola volta, non ci sono schemi da scoprire, ma è in corso quindi non è così difficile determinare automaticamente che un gruppo di carte usate in comune condividono un punto comune di acquisto e poi controlla quella posizione - a seconda della scala delle frodi ciò può comportare azioni da parte della polizia o semplicemente inserire nella lista nera la società e altre società future con gli stessi proprietari o la stessa gestione.

Inoltre, questi rischi sono parte dei motivi per cui non è banale avviare un negozio online in cui hai effettivamente accesso ai dati CC. Spesso le banche non consentono alle piccole aziende casuali di accettare carte online direttamente - accettano la stessa con la condizione che tutta l'autorizzazione passi attraverso un gateway di pagamento di fiducia e la tua azienda ottenga semplicemente un token con firma "pagamento di $ xxx accettato "e non i dati completi della carta. Se desideri gestire autonomamente i dati CC, preparati per i vari controlli di conformità.

    
risposta data 23.12.2014 - 13:59
fonte
7

Per accettare pagamenti molte società di elaborazione delle carte di credito richiedono che il codice del client sia conforme PCI. Non sono sicuro di tutte le regole ma, credo che sia necessario qualcuno che non abbia scritto il codice per esaminarlo. Con altri, come Stripe e PayPal, i dati della carta di credito non toccano mai il server del proprietario del negozio. Nel caso di Stripe JavaScript lo invia a loro e poi restituisce un token al server dei proprietari di negozi che dichiara di aver pagato, che è stato utilizzato e può essere utilizzato per i rimborsi.

See:

link

link

    
risposta data 22.12.2014 - 18:12
fonte
2

Cosa li ferma? Nient'altro che le conseguenze.

Tuttavia, esistono servizi di elaborazione di terze parti che i commercianti online più grandi possono utilizzare che gestiscono tutte le transazioni con carta di credito e, come parte del loro contratto con il commerciante, detengono tutta la responsabilità per i compromessi di tali dati. In questi accordi, il commerciante non vede mai il numero della carta di credito; ricevono solo un gettone che può essere usato per fatturare nuovamente la stessa carta attraverso la terza parte, ma è inutile per qualsiasi attaccante. (E se la terza parte viene compromessa e vengono fuoriusciti milioni di numeri, i commercianti possono lavarsi le mani da tutto.)

Naturalmente, anche quando un commerciante utilizza una terza parte, gli utenti finali devono semplicemente prendere la parola per esso, se il commerciante lo rivela. E naturalmente nulla impedirebbe a un dipendente corrotto di terzi di strappare i numeri.

Per il tuo punto, è possibile utilizzare Crypto per proteggere le transazioni online. I criptosistemi di cassa digitali esistono là fuori. Ma l'esperienza dell'utente nell'usare un tale sistema è generalmente più complicata, e questo è solo uno dei tanti ostacoli all'adozione diffusa.

    
risposta data 24.12.2014 - 05:13
fonte
1

Al giorno d'oggi la maggior parte degli shop online ti reindirizzano a una pagina di verifica ospitata dal tuo fornitore di carte. Qui devi inserire una password (di solito solo una parte) per verificare che tu sia il proprietario della carta. Ciò non impedisce al proprietario del negozio di rubare i dettagli della tua carta, ma non può vedere la password di sicurezza, impedendogli di acquistare su siti Web utilizzando la funzione di verifica.

Sfortunatamente non tutti i negozi utilizzano questa funzione, ma man mano che la adottano sempre di più, l'utilizzo dei dettagli delle carte rubate diventa più difficile.

Fino a quando non acquisti sul sito Web di grandi aziende sei al sicuro. Per i negozi più piccoli e sconosciuti, un buon metodo per stare al sicuro è l'uso di PayPal: i dati della carta vengono memorizzati sui server PayPal, altrimenti li inserirai nella loro pagina se non sono già registrati. In questo modo il negozio non riceverà i tuoi dettagli.

    
risposta data 23.12.2014 - 11:15
fonte
1

nella vita reale? Gestisco un piccolo negozio ... puoi pagarci di persona o al telefono con una carta di credito.

una volta che la transazione è stata completata? non possiamo "vedere" i numeri delle carte di credito, sono bloccati e gestiti dalla società di elaborazione delle carte di credito.

se io oi miei dipendenti cercavamo di salvare i numeri dalle transazioni telefoniche? usarli? Non penso che ci vorrebbe troppo tempo per capire tutte le vittime vissute nella stessa zona, e ha usato il nostro negozio.

============================================

in una situazione commerciale online? Non sarei nemmeno riuscito a gestire o vedere i numeri cc, la società di elaborazione delle carte di credito avrebbe appena depositato denaro su un conto per me. Suppongo di poter provare a chiedere ai clienti di inviarmi tramite e-mail i dati della carta di credito, ma non credo che troppi clienti si lascerebbero scappare quel trucco, lol.

la maggior parte dei "sporchi dettaglianti" gioca online con quale oggetto ti ha inviato, o se ha persino inviato gli articoli, o ... sovraccarico per la spedizione. Stanno già facendo un po 'di soldi e potrebbero tentare di fare un po' di meno.

ma ... io credo che ci voglia una terza parte malintenzionata per intercettare e usare impropriamente le informazioni, è come la vedo io.

    
risposta data 25.12.2014 - 22:44
fonte
0

PCI DSS è una checklist per la conformità agli standard che i negozi che desiderano gestire le informazioni CC devono rispettare. Ma poiché il regolamento non è ampiamente applicato in tutto il mondo, questo è proprio come gli standard ISO.

In passato, i negozi online usavano paypal. O telefono nei loro acquisti attraverso i loro conti commerciante con le banche. Tuttavia, il rischio di chargeback, frodi attraverso il web, ha reso più facile parcheggiare il rischio con una controparte. Paypal e pochi altri sono stati i primi a prendere questo rischio.

Ora, vedrai che la maggior parte dei siti di e-commerce ti porta a un'altra pagina con il sito della controparte che gestisce le transazioni, solo così non devono correre il rischio. Questo è un modello di business praticabile per la maggior parte, dal momento che il negozio online non deve sostenere i costi delle frodi, ma potrebbe dover pagare delle tasse.

Se guardi al modello di rischio di shopify, scoprirai che cosa stanno facendo è più grande della diffusione delle frodi attraverso il loro sistema.

    
risposta data 26.12.2014 - 01:01
fonte
0

Ci sono molti fattori in gioco qui.

In primo luogo, il gateway di pagamento è un componente importante: i dati CC crittografati vengono trasferiti dal browser degli utenti al gateway. In alcuni casi possono passare attraverso il server web del commerciante per raccogliere i dati della transazione (in questo caso entrano in gioco tutti gli standard PCI DSS), a volte il gateway potrebbe ignorare del tutto il server Web del venditore e ottenere i dati della transazione come crittografati separati collegato dal server mercantile (non sono sicuro delle conformità PCI in questo caso).

Dopo aver ricevuto le informazioni di pagamento e le informazioni sulla transazione, vengono inoltrate al server di elaborazione dei pagamenti della banca che la reindirizza alle rispettive associazioni (Visa, Mastercard, Amex ecc.) che di nuovo la inoltra alla banca emittente per la convalida e il credito controllo del saldo limite / conto. Una volta convalidati inviano una risposta di successo che segue il percorso inverso al commerciante.

Arrivando a transazioni fraudolente, la maggior parte delle carte in questi giorni ha un terzo livello di protezione (chiamato pagamento 3D) - può essere un codice / password (es. codice di sicurezza MasterCard ecc.) o un OTP (una password inviata per registrare numero di cellulare) (ad esempio nelle schede AMEX e Citi) che l'utente deve immettere mentre la transazione raggiunge i server di elaborazione dei pagamenti, riducendo così al minimo il rischio di transazioni fraudolente.

Oltre a questi, tracciano l'indirizzo IP del tuo computer. Sarei più preoccupato dei dati personali che fornisco al commerciante ad ogni transazione - ad es. Nome, DOB, Indirizzo, ph no ecc. Non conosco protocolli di conformità di settore per questi e quindi potrebbe esserci un enorme possibilità di abuso.

    
risposta data 26.12.2014 - 12:05
fonte

Leggi altre domande sui tag