CVV Carta di credito Phishing

9

Il chiamante 18777348472 aveva il mio nome e il mio nome ultime 4 cifre della mia carta di credito e ha indicato che era di prevenzione delle frodi: qualcuno ha cercato di far pagare $ 600 attraverso Amazon. Mi ha chiesto di verificare che avevo la carta in mano fornendogli il CVV (numero a 3 cifre sul retro della carta). Se ho la carta e dovrebbe essere sufficiente, lo dico. Ha gentilmente minacciato che la carta sarebbe stata sospesa e ho accettato che fosse OK cancellare la carta.

Mi sono rifiutato di fornire il CVV perché se non so chi sta chiamando e non fornisco informazioni sensibili. A quanto ho capito, l'ID chiamante è facilmente falsificato con un'app.

Le bandiere rosse includono chiedere 3 volte per il CVV e provare a convincermi che il numero di telefono è una prova di identità.

Domande

  • Il CVV abilita il privilegio di escalation (cambia indirizzo / telefono / email)
  • Quali sono le 3 tecniche più comuni per il phisherman di ottenere il mio nome, numero di telefono e 4 cifre della mia carta di credito?
  • È ragionevole presumere che abbia tutte le 16 cifre da quando è chiedere il CVV (tempo di cambiare il numero della carta).
  • Se il chiamante ha trovato una ricevuta con il mio nome, quanto sarebbe stato difficile acquisire il mio numero di telefono?
posta gatorback 01.02.2018 - 18:10
fonte

2 risposte

10

Caller 18777348472 had my name & last 4 digits of my credit card and indicated he was from fraud prevention

Sembra un numero legittimo per State Farm Bank, ma, piuttosto in modo critico, i numeri di telefono possono essere falsificati. Lo stesso vale per il numero di invio per SMS. L'ID del chiamante che vedi sullo schermo è un campo di testo arbitrario che può essere ignorato quando viene effettuata una chiamata - questo è molto comunemente usato per fornire un numero di richiamata generale invece del numero di telefono diretto dell'operatore in un call center.

I refused because if I do not know who is calling and I do not give out sensitive info.

Buona. Se la "banca" ti chiama, dovresti sempre chiedere il loro nome e un numero di riferimento se ne hanno uno, quindi dire che richiamerai la banca sul loro numero di telefono pubblicizzato. Le banche sempre staranno bene con te; la maggior parte dei truffatori si arrabbierà o ti infastidirà e cercherà di convincerti a non riattaccare. Mai fornire alcun tipo di informazione sensibile a qualcuno che ti ha chiamato, indipendentemente dalla ragione fornita. Li chiami, non ti chiamano.

Per quanto ne so, la tua banca non dovrebbe di solito chiedere il tuo CVV per la verifica. Controlla le e-mail dalla tua banca poiché di solito hanno un avviso di sicurezza standard (ad esempio "non ti chiameremo mai direttamente" o "non chiederemo mai i dettagli della carta") che possono indicare rapidamente che la chiamata era falsa.

In realtà la tua prima azione dovrebbe essere quella di chiamare il reparto frodi della tua banca, tramite il loro numero pubblicizzato, e chiedere se hanno appena provato a contattarti. Dovresti quindi chiedere loro di rileggere le tue transazioni recenti per assicurarti che ci siano attività insolite.

Does the CVV enable escalation privilege (change address / phone / email)

Supponendo che lo scammer abbia il tuo numero CC completo e dettagli personali tranne il CVV da un sito Web compromesso, a condizione che il CVV consenta loro di effettuare acquisti online. Il CVV non è molto utile a parte quello.

What are the 3 most common techniques for the phisherman to gain my name, phone-number and 4 digits of my credit card?

Questo è soggettivo e aperto alle opinioni, ma nella mia esperienza:

  1. Un sito web a cui hai fornito i dettagli della tua carta e informazioni personali è stato compromesso.
  2. Sei stato infettato da malware e ha rubato i tuoi dati quando li hai inseriti in un sito.
  3. Hai fatto clic involontariamente su un link di phishing e hai fornito i dati di accesso (ad es. per la tua banca, un sito di vendita, il sistema delle risorse umane del tuo lavoro, ecc.) a un utente malintenzionato e li hanno utilizzati per ottenere i tuoi dettagli.

Il primo è di gran lunga il più comune da quello che ho visto. Un altro potenziale è che la tua tessera magnetica è stata sfogliata presso un bancomat o in un ristorante, caffè, negozio, ecc. E hanno ottenuto il numero e il nome della carta da quello, ma non il CVV (di solito non è codificato nel magstrip afaik), e hanno usato OSINT per trovare il tuo numero per chiederti il CVV.

Is it reasonable to assume that he has all 16 digits since he is asking for the CVV (time to change the card number).

Sì.

If caller found a receipt with my name, how difficult would it to acquire my phone number?

Dipende. Questo è tutto per OSINT davvero. Ad esempio, se hai elencato il tuo numero su Facebook, potrebbe averlo trovato lì, in particolare se hai configurato le tue impostazioni sulla privacy per consentire agli amici degli amici di vederlo. Potevano essere andati alla vecchia maniera a guardarti nella rubrica telefonica. Potrebbero aver trovato i dettagli della carta e l'indirizzo e-mail su un sito compromesso e il tuo indirizzo e-mail e i dettagli personali su un altro sito compromesso. Ci sono diversi modi.

    
risposta data 01.02.2018 - 18:41
fonte
6

È troppo lungo per un commento, ma -

Ho notato con due diverse cooperative di credito di cui sono stato membro, quando la prevenzione delle frodi viene chiamata è stata una situazione molto spiacevole. Il lavoro sembra essere esternalizzato, quindi se chiedi a quale istituzione chiamano ti diranno semplicemente qualcosa di generico come "servizi di carte" mentre ti rifiuti di nominare la tua banca. Poi chiedono una quantità sospetta di informazioni sulla tua carta e per verificare le transazioni recenti, che inviano ogni bandiera rossa nel libro.

Mi sono rifiutato di giocare, quindi ho chiamato il numero sul retro della carta e in effetti c'era una transazione contrassegnata che richiedeva una revisione. Si è rivelato essere una chiamata legittima! Pratica assolutamente terribile Al contrario, quando American Express o Capital One hanno chiamato in passato, tutto ciò che volevano sapere era se autorizzavo o meno una transazione per

risposta data 01.02.2018 - 19:16
fonte

Leggi altre domande sui tag