it-swarm.dev

Qual è l'impatto della divulgazione della facciata di una carta di credito o debito?

Ci sono parecchi casi in cui le persone vengono chiamate per la divulgazione della facciata di una carta di credito o di debito (ad es. questo Tweet di Brian Krebs o questo account Twitter ). Quindi mi chiedevo quale sarebbe stato l'impatto di questa divulgazione per il titolare della carta.

Dalla parte anteriore di una carta, un truffatore potrebbe ottenere la carta PAN (numero di 16 cifre) data di inizio/data di scadenza e nome del titolare della carta. Anche per le carte di debito, il numero di conto dei titolari di carta e il codice di ordinamento (che può variare in base alla regione).

Quindi la domanda è: qual è il probabile impatto della divulgazione di queste informazioni (ovvero quali frodi potrebbero essere commesse).

Alcuni pensieri iniziali che ho avuto sono stati: -

  • Le transazioni con il titolare della carta non presenti non dovrebbero essere possibili poiché il CVV non è stato reso noto
  • La carta non sarebbe clonabile solo con quelle informazioni in quanto ci sono altre informazioni necessarie per il magstripe.
59
Rory McCune

In realtà non è necessario il CVV per eseguire le transazioni, sono richiesti solo dalla maggior parte dei rivenditori come mezzo per verificare di avere la carta fisica in tuo possesso.

Da Wikipedia (non fornito):

Non è obbligatorio per un commerciante richiedere il codice di sicurezza per effettuare una transazione, quindi la carta è ancora soggetta a frodi anche se ai phisher è noto solo il suo numero.

Sulla maggior parte dei sistemi EFTPOS, è possibile inserire manualmente i dettagli della carta. Quando un campo non è presente, l'operatore preme semplicemente invio per saltare, cosa comune con le carte che non riportano una data di inizio. Su questi sistemi, è banale caricare una carta senza CVV. Quando lavoravo nella vendita al dettaglio, lo facevamo spesso quando il chip su una scheda non funzionava e il CVV era stato cancellato. In tali casi, era sufficiente il numero della carta e la data di scadenza, con una firma sulla ricevuta per la verifica.

40
Polynomial

A parte i già citati attacchi che implicano l'uso non autorizzato di una carta di credito, le informazioni sulla carta di credito possono essere utilizzate anche per il social engineering e il furto di identità.

Come esempio in qualche modo attuale, vedi come Mat Honan è stato violato la scorsa estate: http://www.wired.com/gadgetlab/2012/08/Apple-Amazon-mat-honan-hacking/all/

Nel suo caso, Apple ha richiesto solo le ultime cifre per la sua carta di credito (che il suo aggressore ha ottenuto da Amazon) per rinunciare all'account. È logico che altri venditori possano essere ingannati se un attaccante doveva fornire un numero completo di carta di credito, comprese le date di scadenza.

18
Bushibytes

Per la verifica sono necessari CVV e la data di scadenza, sebbene la data di scadenza sia sulla faccia anteriore di una carta. È richiesto anche l'indirizzo di fatturazione, o almeno, il codice postale dell'indirizzo di fatturazione, nessuno dei quali si trova sul fronte o sul retro della carta.

Tuttavia, questo dipende dal fatto che tu stia acquistando qualcosa al dettaglio, di persona o online. Se lavori nel commercio al dettaglio in cui i dettagli della carta possono essere inseriti manualmente, il che è sicuramente un'opzione a meno che non ci siano politiche contro di essa, o forse una macchina POS che non lo consentirà (anche se non è stata la mia esperienza, come magnetico le strisce vengono smagnetizzate dai dispositivi di fissaggio magnetici delle donne MOLTO), ci sarebbe il potenziale per frode. Non ci sarebbe bisogno di fatturare il codice postale o l'indirizzo di fatturazione. Tuttavia, richiederebbe la complicità della cassa e del cliente. Ecco perché: anche se le informazioni sulla carta possono essere inserite manualmente, non è MAI accettabile prendere le informazioni da una persona che ti consegna un pezzo di carta con i dettagli della sua carta.

Al telefono o online sono necessari nome, numero di carta, data di scadenza, CVV (4 cifre per AmEx, 3 cifre per Visa/MC) e indirizzo di fatturazione (e indirizzo di spedizione) per una consegna fisica. Se stai ordinando qualcosa che non ha bisogno di essere consegnato, e ricorda, ora hai limitato in modo significativo le tue opzioni per gli acquisti illegali, avresti comunque bisogno del codice postale di fatturazione, anche se non avresti bisogno di indirizzo ecc.

Cosa puoi acquistare online o al telefono, con nome, numero di carta, CVV e codice postale? Bene, per impostazione predefinita gli acquisti mensili di iTunes Cap a $ 5.000 al mese. Quindi potresti acquistare molta musica di iTunes, o abbonamento premium a siti porno costosi, o molto spazio di archiviazione cloud o giochi online. Ma anche se dovessi fare qualcosa del genere, dovrai comunque utilizzare i servizi da qualche parte associati a un indirizzo IP. Dubito che sia pratico giocare tramite Tor, lo stesso vale per lo streaming porno, anche se non ne sono certo. E se hai acquistato brani di iTunes, Apple avrebbe bisogno di conoscere abbastanza informazioni identificative su di te che non sarebbe sicuro. Non potresti acquistare cose tramite Paypal o Amazon, di cui avresti bisogno prendere la consegna fisica degli articoli, che sarebbe incriminante, sia per te che per qualcun altro che ha agito per te.

E tutto ciò sarebbe discutibile senza il codice postale di fatturazione, che non si trova sulla parte anteriore della carta. Non ho alcuna fonte, ho solo esperienza di lavoro in un casinò, su un'enorme nave da 500 persone, per un anno. E acquisto molti vestiti e cose online. Cercherò qualcosa da citare, ma tende ad essere il risultato di pratiche di pagamento elettronico ampiamente osservate piuttosto che di impossibilità tecnologica.

MODIFICARE:
Vedi le risposte a questa domanda A che cosa servono i dettagli delle carte di credito rubate? Le risposte si basano sull'accesso a grandi quantità di carte o sulla volontà di consentire a qualcuno di mettersi nei guai per prendere in consegna i tuoi acquisti (la risposta si riferiva a quella "rube"), ovvero schemi di scambio di carte eBay elaborati. Non è stato semplice. (Molti sono alla ricerca dei dati della carta di credito, ma spesso mi chiedo cosa la maggior parte delle persone possa effettivamente fare con esso, oltre a causare disagi e paura. ZeuS o SpyEye è l'eccezione, in quanto appare inquietantemente versatile).

13
Ellie Kesselman

Vale la pena ricordare che le carte di credito American Express hanno il CVV sul lato anteriore (non sul retro), insieme al numero della carta, al nome del titolare della carta e alla data di scadenza. Pertanto, rivelare la faccia anteriore di una carta Amex consentirebbe acquisti arbitrari, anche acquisti con carta non presente.

11
D.W.

Tutto ciò che serve per eseguire una transazione con carta di credito è PAN (numero di conto primario), che è fondamentalmente le 16 cifre trovate sul fronte di una carta. Questo è tutto ciò che accade realmente quando una carta viene spostato - la macchina legge il PAN che è codificato sulla striscia magnetica della carta. Pertanto - se qualcuno ha la faccia frontale della carta, il tuo account è compromesso.

Card Present, carta d'identità/firma corrispondente, CVV (codice di sicurezza), AVS (verifica dell'indirizzo) e altri sono ulteriori livelli di sicurezza che un commerciante potrebbe chiederti, soprattutto in un ambiente rischioso come lo shopping online. Ma questi non sono affatto richiesti. Potresti scappare eseguendo una transazione con solo 16 cifre, sebbene la maggior parte dei commercianti non lo consenta a causa del rischio di frode e addebiti.

8
John