Non è ancora sicuro inviare il numero della carta di credito al giorno d'oggi?

29

Sappiamo tutti di non farlo, ma qualcuno ha inviato via email il mio numero di carta di credito e il codice cvv al mio gmail.

Mi chiedo se il rischio è così basso che non devo chiamare per cancellare la mia carta.

L'email viene inviata dall'account di posta elettronica di un rispettabile provider, tramite la sua connessione ADSL (l'ISP è la più grande del Paese) al mio indirizzo Gmail. È sicuro assumere che l'ISP, collegato alla dorsale, consegnerebbe l'email al server di Gmail senza passare attraverso il pc non sicuro? Quindi non ho bisogno di cancellare la mia carta?

    
posta Anddd 05.10.2011 - 13:55
fonte

7 risposte

40

Vediamo:

Anche se quello che dici è giusto e ISP è solido come rock

  1. Ti fidi di questo "qualcuno"? Se la risposta è no - annulla la carta di credito in ogni caso.

  2. Il numero della tua carta di credito + CVV è ora nella cartella "Inviati" di questa persona, se la sua casella di posta verrà hackerata, l'hacker ti farà CC.

  3. Le informazioni della tua carta di credito verranno memorizzate per sempre sui server di Google

  4. Lo cancellerei
risposta data 05.10.2011 - 14:36
fonte
30

L'email non è un modo sicuro per condividere i numeri delle carte di credito

Il metodo che descrivi non è sicuro per una serie di motivi. Questi includono:

L'invio di numeri in testo normale non è sicuro

La tecnica che hai descritto potrebbe aver coinvolto l'invio dei numeri di carta in testo normale (l'atto di inviare l'e-mail dal computer all'ISP). Questo non è sicuro. Potrebbe essere stato raccolto in vari modi

Le e-mail sono persistenti in più punti

Il numero di carta di credito può ora esistere in più posizioni

  • Nella cartella "inviata" del computer da cui è stata inviata
  • Nei server ISP
  • Nell'account Gmail

Ora che sono solo 3 posizioni che potrebbero essere memorizzate, quando accedete ai backup degli account ci potrebbero essere già molte, molte copie dei vostri numeri diffuse in tutto il mondo.

    
risposta data 05.10.2011 - 14:40
fonte
12

Penso che le risposte precedenti siano corrette e che l'invio di dettagli della carta di credito via e-mail non sia sicuro. Tuttavia, poiché eri particolarmente preoccupato per l'intercettazione in transito piuttosto che per i diversi punti di archiviazione menzionati nelle altre risposte, vale la pena considerare un punto di vista controcorrente:

Considera l'albero di attacco:

Reti fisse (all'interno dell'azienda):

  • Un utente malintenzionato dovrebbe violare i controlli di accesso fisici (o essere un riparatore di fotocopie) o essere un insider
  • Ottenere un NAC (ma la maggior parte delle aziende non ha questo) o una workstation
  • Nelle reti a commutazione continua (tutte le società moderne) non hai accesso a molto traffico di trasmissione
  • Quindi devi ottenere l'accesso a un router o switch, presumendo che tu non sia un amministratore di rete, questo significa sfruttare un errore di configurazione o vulnerabilità della sicurezza (non ci sono problemi con metasploit, la maggior parte delle organizzazioni fa uso di patch specialmente sui dispositivi di rete) ma lasciamo dire ascolti Cisco / Juniper ecc. e patch ogni 3 mesi (almeno le cose veramente brutte) o così e almeno autentichi tutto su un server RAS
  • Anche se è possibile ottenere accesso, avvelenamento da ARP, avvelenamento della cache DNS, allora si ha il prossimo problema: volume. C'è un sacco di dati che accedono a un router o switch principale. Molti sono ora abilitati per gigabit e questo significa bere da un firehose. Anche con un monitor DLP di rete legittimo è necessario un riassembler di pacchetti ad alte prestazioni, un buon hardware e software e quindi l'abilità di fare un pattern matching efficace. Quindi ottenere l'e-mail del CEO è molto difficile, probabilmente la password strana non è così male
  • Anche questi dati sono transitori - una volta che i pacchetti sono andati sono andati (anche se gli accessi degli amministratori possono accadere spesso) ma c'è una finestra di opportunità limitata
  • In alternativa puoi fare ciò di cui ho parlato in precedenza, che è lo sniffer sulla casella che vuoi monitorare, anche se lo stesso problema presuppone un accesso ragionevole che sia una confusione errata o una vulnerabilità della sicurezza, o la mancanza di controlli anti-malware. Inoltre con i primi due è un attacco molto più mirato

Reti pubbliche:

  • Sembra un obiettivo molto più semplice - non puoi più essere a tuo agio con i controlli di accesso di caselle intermedie o dispositivi di rete
  • Ma guardiamo qualcosa come la posta elettronica - la maggior parte degli agenti di trasferimento della posta (MTA) compresi quelli grandi come Google ora utilizzano TLS ottimistico, il che significa che la maggior parte della tua e-mail che probabilmente contiene le tue informazioni più sensibili probabilmente sarà criptato in transito senza che tu debba fare altro
  • Anche le reti MPLS condivise hanno tagging VLAN
  • Anche in questo caso si presenta il problema di firehose ma un milione di volte peggio e la pagina di informazioni transitorie
  • Guarda quanti episodi di perdita effettiva sfruttati si trovano su datalossdb.org o incidenti di app della web app sull'intercettazione dei dati in transito

Rete wireless:

  • Azienda: WPA2 è uno standard de facto, non è perfetto ma ottieni la crittografia senza fare altro
  • Home / Starbucks etc: questo è un rischio legittimo, infatti, il migliore e unico esempio che OWASP offre per no. 10 La mancanza di crittografia dei trasporti è l'intercettazione su una rete wireless domestica non protetta - l'inferno persino le auto di Google su Streetview possono farlo. Ma anche qui la maggior parte / tutte le aziende che forniscono l'accesso remoto fornisce una VPN, quindi hai bisogno di qualcosa di più?

Post completo del blog: link

Probabilmente dovresti comunque annullare la carta, ma considerando altri controlli come il limite sulla carta, se hai la sicurezza 3D (ad esempio verificata dal visto) attivata, controlli le tue dichiarazioni, i sistemi di rilevamento delle frodi delle banche; se questi fanno il rischio all'interno della tua propensione al rischio, puoi decidere che il rischio di intercettazione in transito o di archiviazione è abbastanza basso da poter essere accettato.

    
risposta data 06.10.2011 - 03:46
fonte
6

I server di posta di Google supportano AUTH TLS come preferito, quindi c'è una buona probabilità che la tua carta di credito fosse in transito crittografata. Di nuovo, ora hai i dati della "traccia 2" che non dovrebbero essere memorizzati, vale a dire il tuo CVV.

Se questa carta di credito è in realtà una carta di debito, la cancellerei sicuramente. Le carte di credito hanno una protezione abbastanza buona / senza problemi sulle attività fraudolente. Mi sentirei certamente a disagio, e probabilmente anche tu ti sentirai a disagio perché non avresti postato la domanda, quindi probabilmente avrei riaperto la carta di credito.

Se quel "qualcuno" è un commerciante, potresti non voler fare affari con loro se sono così sprezzanti con i dati del titolare della carta. Se quella persona è una persona di fiducia, allora devi valutare il motivo per cui la tua carta ti è stata trasmessa via e-mail e correggere il processo.

    
risposta data 05.10.2011 - 16:00
fonte
6

Ti consiglierei comunque di sostituire la tua carta per essere al sicuro, ma se fosse la mia carta, non me ne preoccuperei.

Ovviamente non dovresti aumentare il rischio sulla tua carta di credito inutilmente, ma con tutto ciò che viene detto, sostituisci la tua carta ogni volta che paghi in un ristorante e il cameriere va via con la tua carta e la riporta indietro?

Quando consideri il rischio aggiunto alla tua carta in questo caso particolare che hai descritto, penso che valga la pena considerare altri rischi per la tua carta durante il suo utilizzo (di solito nell'arco di pochi anni). Altri scenari di utilizzo delle carte in genere includono:

  • Ristoranti / Bar - non hai mai pagato con carta di credito prima? Com'è facile scrivere o memorizzare i dettagli della tua carta
  • Call Center: non hai mai fornito i dettagli della tua carta al telefono?
  • Negozi (hai mai notato quanti negozi hanno telecamere a circuito chiuso?)
  • Community center / palestre di cui sei membro
  • Ovviamente tanti siti web che non hai modo di sapere chi ha accesso a quei dettagli

Ci sono molti posti in cui qualcuno può ottenere sia il numero della carta che la data di scadenza CVV + e in molte di queste situazioni potrebbero già sapere qualcosa su di te come il tuo nome e cognome e forse anche la tua data di nascita.

Quindi confrontando quei rischi, che praticamente chiunque con una carta di credito deve prendere, a questa una sola email (e una buona panoramica di @Rakkhi su cosa significa essere in grado di afferrare questa email) : Penso che gli altri scenari di perdita siano molto più probabili che da Gmail o da qualcuno che annusa la rete.

    
risposta data 23.04.2012 - 11:44
fonte
2

Questa è una domanda vecchia, ma penso che dovresti cancellare la carta.

Tutti hanno parlato della probabilità che qualcuno intercetti l'email in transito. Questo è ... quindi molto improbabile a meno che la tua rete locale non sia già MiTMed.

La superficie di esposizione ENORME è l'account di posta elettronica di un'altra persona con la sua password indubbiamente schifosa o le cattive abitudini di navigazione / problemi di virus; il tuo CC è seduto nella loro cartella di invio ed è facilissimo cercare automaticamente tali informazioni e trasferirle tramite botnet. Anche il tuo account è un problema, ma almeno hai il controllo. Non hai alcun controllo sull'altro account.

    
risposta data 31.10.2015 - 02:15
fonte
1

Perché questa festa ha il tuo pan e cvv?

Se glielo hai fornito, dovrebbero essere conformi a pci-dss e, a mia conoscenza limitata, non consente l'invio o l'archiviazione in pan in chiaro. I dati CVV non devono essere memorizzati.

Mentre, come altri hanno detto, un sacco di traffico SMTP può essere crittografato, è molto difficile determinare in anticipo se questo è il caso di un determinato messaggio, ma è praticamente impossibile sapere se un'email verrà archiviata in modo conforme da una terza parte.

    
risposta data 03.01.2016 - 00:37
fonte

Leggi altre domande sui tag