web-dev-qa-db-ja.com

デビットカードの間違ったcvvでバイパスし、OTPを取得する

これはVisa/MasterCard/American Expressなどで発生しています。多くの支払いアプリと支払いゲートウェイを確認してみましたが、正しいデビットカード番号、名前、有効日、誤ったCVV番号を入力すると、OTPを受け取ることができます。ただし、トランザクションは最後に間違ったCVVの検証のために失敗します。

しかし、OTPを取得する前に確認する必要はありませんか?理由は何ですか、それはセキュリティの問題ではありませんか?

30

しかし、OTPを取得する前に確認する必要はありませんか?理由は何ですか、それはセキュリティの問題ではありませんか?

これは絶対にセキュリティの問題ではありません!保護とは正反対です。

手順を見ていきましょう。

  1. カードの詳細を入力します。
  2. CVVに入れます
  3. あなたはOTPを入れました。

支払いは、すべての組み合わせが正しい場合にのみ処理されます。

ここで、2FAの前にCVVが間違っていると告げるシナリオを想定します。これにより、攻撃者はより良い攻撃の機会を与えるだけです。これで、攻撃者はCVVが間違っていることを認識し、単にそれを変更できるようになります。その情報を得るために2要素認証を破る必要があります

89
Vipul Nair

拒否するのが早すぎることで攻撃者に情報を提供しないという一般的なルールと同様に、いくぶん関連のある支払い業界に固有の事項がいくつかあります。

多くの場合、必須として顧客に提示されますが、支払いに関するauthentication情報は一般的にリスクの評価および責任の割り当てに使用されます。

例えば:

  • CVVがまったく提供されていない支払いは、発行銀行が受け入れることができますが、詐欺的であると異議を申し立てられた場合、販売者は返金の責任を負います。支払いが完全に認証された場合、カードスキームまたは発行者は代わりにその責任を負います。
  • 不正なCVVであるが、正しい住所、インタラクティブなワンタイムパスワード、および以前の動作と一致する注文の詳細を使用した支払いは、詐欺の採点システムによって「低リスク」として受け入れられる場合があります。

どちらの場合もセキュリティの低下は、顧客の便宜のために交換されます。新しいバージョンの3-Dセキュア(「Visaセキュア」および「MasterCard IDチェック」というブランド)は、このアイデアを中心に明確に設計されており、大量の自動化された情報キャプチャが事前に行われるため、インタラクティブな認証は単にスキップされます。取引はすでに低リスクと見なされています。入力されたCVVは、この複雑な分析のデータの1つにすぎません。

13
IMSoP

開発者はこちら。私はOTPを送信するいくつかのシステムを使用してきました。送信するためにCVVは必要ありませんでした。

Vipul Nair's の回答に従って、一部の入力が間違っていることを攻撃者に知らせないようにすることをお勧めします。通常、オンラインショップではPANおよびその他のデータをデータベースに保存する場合がありますが、法律またはカード発行会社によって)CVVの保存が許可されていないことを付け加えておきます。一部(すべてではない)のケースがOTPを送信するストアなので、いずれにしてもCVVで検証する方法がありません。

2
Renan