L'aggiunta di una transazione di credito supplementare potrebbe migliorare la sicurezza dei pagamenti online?

Naviga le tue risposte
16

Una società online dalla quale acquisto regolarmente beni apparentemente ha aggiornato la sua politica di sicurezza.

Diciamo che ho comprato qualcosa per 73,31 €. Come al solito questa azienda utilizza 3D-Secure per il processo di checkout ed elaborerà il pagamento solo alla spedizione pochi giorni dopo.

L'e-mail di conferma della spedizione conteneva uno strano avviso che potevo tradurre come segue:

  • Amount ordered: 73,31 €

Within the framework of the reassurance of the online payments we proceeded to the following operations:

  • Amount charged on your credit-card: 73,41 €
  • Amount credited on your credit-card: 0,10 €

L'importo addebitato addizionalmente sembra essere casuale e varia da pochi centesimi a pochi euro.

Mi chiedo di quale pericolo stanno proteggendo?

  • Hanno ricevuto il pagamento, quindi hanno ricevuto i soldi.
  • Hanno usato 3D-Secure per un importo relativamente basso, quindi la transazione è ampiamente coperta dalla banca in caso di frode.
  • Sembra che stiano verificando che la carta utilizzata per il pagamento possa anche processare il credito, forse un modo per rilevare carte di pagamento prepagate o una tantum, ma ancora: qual è il punto dal momento che hanno ricevuto i soldi? Tra l'altro, hanno anche dovuto creare una nuova pagina per gli utenti di tali schede poche settimane dopo la distribuzione di questo sistema, "A causa di restrizioni tecniche" come dichiarato.

Semplicemente non capisco la minaccia che stanno cercando di evitare, o forse è solo un sistema di sicurezza creato per impressionare i clienti con qualche misura di sicurezza scadente ma unica?

    
posta WhiteWinterWolf 26.10.2015 - 10:55
fonte

2 risposte

6

Rispondere alla mia domanda per essere in grado di contrassegnarlo come risposta e impedirgli di saltar fuori di tanto in tanto: questa misura appare come un semplice esempio di security theater .

Ecco gli elementi che mi portano a questa conclusione:

  • Ho chiesto ai loro team di supporto di ragionare su questo cambiamento: mentre di solito erano veloci a rispondere alle domande più comuni, non ho mai ricevuto risposta a questo.

  • Il cambiamento era apparentemente sbronzo e non ben pensato: dovevano aggiungere una funzionalità speciale per consentire alle carte in tempo e prepagate di ignorare questa misura alcune settimane dopo aver attivato questo sistema poiché, ovviamente, una sezione dei loro clienti non era 'in grado di procedere con il passaggio di pagamento più.

  • Questo processo è esclusivo di questo sito Web: è una buona cosa per impressionare i loro clienti ma, da un punto di vista tecnico, questo significa anche che nessun altro ha mai voluto o sentito il bisogno di un tale sistema. Non ci vuole mai molto per diffondere idee di sicurezza nuove e veramente efficaci, sotto una forma o l'altra.

  • Questo processo è direttamente visibile dall'utente finale, che è richiesto per una misura efficace di sicurezza del cinema.

  • Non ho mai visto alcun vantaggio in questa misura, né alcuno degli altri contributori di Security.SE per gli ultimi due anni.

Se qualcuno ha qualche conoscenza che potrebbe cambiare questa conclusione, sentiti libero di aggiungere la tua risposta, ma dopo due anni penso di poter tranquillamente mettere questo nel cestino del cinema di sicurezza, insieme ad altre idee derivanti da " pseudo-sicurezza come argomento di marketing ", " hai assunto uno stagista / azienda di sicurezza troppo zelante " e " dobbiamo giustificare il nostro budget ".

    
risposta data 13.01.2018 - 11:48
fonte
-1

Penso che potrei fare un po 'di luce su questo argomento. Alcuni paesi hanno leggi severe per il riciclaggio di denaro. Riconoscendo, stanno facendo in modo che la carta non sia una carta di pagamento / carta regalo / carta prepagata una volta, in quanto non può essere ricondotta all'utente che sta acquistando l'oggetto. Inoltre, può anche essere usato per assicurarsi che, in caso di furto della carta, le autorità possano risalire all'utente.

    
risposta data 28.10.2017 - 10:27
fonte

Leggi altre domande sui tag

Mailing list crittografata con GPG e altri approcci alla comunicazione sicura Crittografia unità BitLocker NON protetta dall'associazione di unità sulla rete