米国では、ガソリンスタンドなどの場所にある多くのクレジットカードマシンが、クレジットカードを表面上使用して、盗まれたカードではなく本当にカード所有者であることを確認するためにZip(郵便)コードを要求し始めています。私の質問は単純です:これが実際に成功したクレジットカード詐欺の大幅な削減につながるという証拠はありますか?
とにかくカードの存在を必要とするマシンにとって、これはあまり有用な手段ではないように思えます。誰かがあなたのクレジットカードを物理的に入手する最も一般的な方法は、彼らがあなたの財布を盗んだ場合であると私は推測したでしょう。たとえば、私の財布では、少なくとも、運転免許証、自動車保険カード、名刺、パイロット証明書のすべてに私の郵便番号が記載されており、有権者登録カードから把握することも簡単です。したがって、これについて実際のセキュリティ上の利点が示されているかどうかは気になります。
これが実際に成功したクレジットカード詐欺の大幅な削減につながるという証拠はありますか?
はい、証拠があります。はい、多くの種類のカード詐欺の削減につながりました。
あなたが参照している詐欺防止機能は、アドレス検証サービス(AVS)と呼ばれます。 AVSサービスは、ターミナルに提示された番地または郵便番号、あるいはその両方が、発行銀行のカード所有者に存在するデータと一致することを確認します。
リアルタイムで、支払い処理業者はAVS応答を返します。応答に基づいて、マーチャントは不適合なトランザクションを拒否することを決定できます。
米国のほぼすべてのカード発行会社で採用されています。
Visa住所確認サービスの販売者ガイド を参照してください。
可能な応答コードと構成可能な拒否設定を以下に示します。
ガソリンスタンドの端末設定では、たとえば、AVS応答コードNおよびAを拒否するように端末を設定できます。
あなたはセキュリティで見落とされがちな良い点を持ち出します。データ。
「私たちが信頼する神では、他のすべての人がデータを持っていなければなりません」。 -Wエドワーズデミング
セキュリティポリシーの有効性に関する実際のデータを見つけることはほとんどありません。セキュリティ業界での実際の科学的分析の多くは知りませんが、それはひどい恥です。だから人々は憶測することを残され、そして彼らは推測するだろう。
Gowenfawrと同様に、私もデータを何も持っておらず、推測のみを提供できます。
「盗まれた財布攻撃」は詐欺からの保護を提供しないというのは正しいです。しかし、最近の多くのクレジットカードは、安全でない自動処理システムから盗まれています。ターゲットとホームデポはこの例です。攻撃者はこれらのシステムとクローンカードから情報を入手しています。これらのシステムには通常、カード所有者の郵便番号が含まれているとは思いません。また、カード自体にエンコードされていません。
要は、ガソリンスタンドで郵便番号を要求すると、クローン作成の実行が難しくなります。私はこれが詐欺をある程度減らすだろうと推測します。
それは抑止のためであり、抑止に使用されるいくつかのことは、顧客が本当に安全で安心し、「セキュリティ」に対してほとんど何もしないことを実感するためのものです。監視カメラを取る。私はおそらく年に約200台以上のカメラをインストールします。カメラがサイトをできる限り最善に保護するようにできる限りのことをするので、その周りに方法があります。彼らは抑止のためです。人々はカメラを見て「カメラを持っているので、この場所を奪うことはできません」と行きます。カメラが役に立たないと言っているわけではありませんが、私は、店主がおそらく何年にもわたって盗んだ約50人の従業員/顧客を捕まえる手助けをしています。
それでは、この例から始めましょう。私はあなたの財布を盗みました、これがこれが5分前に起こったか、5時間前に起こったかに気づいたかどうかにかかわらず、あなたはあなたの銀行/クレジットカードに電話をかけてあなたのカードをキャンセルしようとしています。私はあなたがあなたのカードをキャンセルしようとしているのを知っているので、泥棒として私はあなたのカードをすぐに使わなければなりません。私のカードが使われる代わりに、盗まれた財布からの個人情報の盗難についてもっと心配になるでしょう。
あなたが正しい、私があなたの財布を持っているなら、私はあなたの郵便番号を知っています。たぶん私はあなたの名刺を使えないかもしれませんが、それでも無料で何かを手に入れることができます。使用するプリペイドカードを購入し、IDカードを保持したまま財布を廃棄します。
財布を盗む代わりに、POSネットワークをハッキングしてそこからカード情報を取得するとします。私はあなたの郵便番号を持っていませんが、POSネットワークで行ったハッキングから十分な情報を入手できれば、カードの複製を作成できます。ハッキングされたことを会社が発表するまで、カード情報が侵害されたことを知ることはありません。それでも、そのカードデータを使用してアイテムを購入することはできますが、「ポンプで支払う」タイプの設定ではできません。
人と「対話」していない場所で郵便番号を求められます。これは、CC情報を持つ泥棒がガスを盗むのを防ぐための防止方法です。しかし、彼らは「コピーされた」カードを持って内部に入り、内部でガスを買うことができた。
簡単に言えば、誰かと「対面」でカードを使って支払う場合、カードに記載されているもの以外の追加情報は必要ありません。カード所有者であることを確認するために写真付きIDを要求する場合があります。
キオスクの支払いステーション(ガスポンプ、店のキオスク)にいて、システムがカードの請求先住所の郵便番号を要求する場合は、詐欺をチェックするためのものです。
その郵便番号チェックは、カード所有者の銀行によって検証され、情報が正しいことを検証する以外の目的には使用されません。
「対面」では、彼らが尋ねる追加情報はマーケティング目的である可能性が最も高く、その追加情報を提供し損なうことで取引を拒否することはできません。
1971年のカリフォルニアビバリークレジットカード法 はこれに対処し、何年にもわたって改正が行われました。
多分それは詐欺を減らしますか?しかし、私はまだ「あなたの」カードを持って中に入って、そこでガスを買うことができました。確かに、失敗の可能性はもっとあります。カメラ、IDを要求するレジ係、カードの盗難が報告されています。
外に従業員がいない状態でカードを使用しようとすると、ガスポンプから次の2つの応答が返されます。
オプション#2を入手した場合は、そのままにして別のガソリンスタンドで別の郵便番号を試します。
これが実際に成功したクレジットカード詐欺の大幅な削減につながるという証拠はありますか?
ガス会社の1つ、または詐欺提供者の1人( Accertify ? ThreatMetrix ?など)に統計( "証拠")を持っている可能性のある人に尋ねる必要があります。
とにかくカードが存在することを必要とするマシンにとって、これはあまり有効な手段ではないように思えます... [泥棒] Zipコードを含むIDが少なくとも1つ、おそらく複数ある可能性があります。したがって、これについて実際のセキュリティ上の利点が示されているかどうかは気になります。
証拠はありませんが、推測を提供します:
「盗まれた財布」のユースケースに対しておそらくより効果的である他の詐欺ステップ-場所、頻度、および習慣分析-があります。しかし、それらは裏で起こり、安心や抑止力はありません。
もう1つの理由は、情報を入力する人を少し遅らせることです。アマチュア泥棒の活動に数秒を追加するものはすべて、彼らがフォローする可能性を減らします。また、これらの余分な数秒は、カメラで良好な画像を取得する可能性を高めます。
ちょっとイスラエルが言ったように、それは多少の遅延を追加することができますが、あなたのセキュリティカメラがすでにそれを拾うことができるはずである可能性があります。
彼らがあなたのクレジットカード情報を知っているなら、彼らは基本的に他のすべてを知っているでしょう、おそらくマイナーな保護方法だけです。