web-dev-qa-db-ja.com

クレジットカードまたはデビットカードの表面を開示すると、どのような影響がありますか?

クレジットカードまたはデビットカードの前面を開示するよう呼びかけられるケースはかなりあります(例 このブライアンクレブスのツイート またはこれ Twitterアカウント )。したがって、カード所有者に対するこの開示の影響はどのようなものになるのだろうと思いました。

詐欺師は、カードの前面から、カードPAN(16桁の番号)の開始日/有効期限、およびカード所有者名を取得できます。デビットカードの場合、カード所有者のアカウント番号とソートコード(地域によって異なる場合があります)。

したがって、問題は、この情報の開示の影響として考えられるものは何か(つまり、どのような詐欺が実行される可能性があるか)です。

私が持っていたいくつかの最初の考えは:-

  • CVVが開示されていないため、カード所有者の存在しないトランザクションは可能ではありません
  • マグストライプに必要な他の情報があるので、カードはその情報だけではクローンできません。
59
Rory McCune

実際にはCVVがトランザクションを実行する必要がある必要はありません。これらは、物理的なカードが入っていることを確認する手段として、ほとんどの小売業者が必要とするものです。あなたの所有物。

から Wikipedia (ソースなし):

販売者が取引を行うためにセキュリティコードを要求することは必須ではないため、フィッシング詐欺師にその番号しか知られていない場合でも、カードは依然として詐欺の傾向があります。

ほとんどのEFTPOSシステムでは、カードの詳細を手動で入力できます。フィールドが存在しない場合、オペレーターは単にEnterキーを押してスキップします。これは、開始日が記載されていないカードでは一般的です。これらのシステムでは、CVVなしでカードを充電することは簡単です。私が小売店で働いていたとき、カードのチップが機能せず、CVVがこすれてしまったときに、これを頻繁に行いました。このような場合、必要なのはカード番号と有効期限だけで、確認のためにレシートに署名が付いていました。

40
Polynomial

クレジットカードの不正使用を含む前述の攻撃の他に、クレジットカード情報はソーシャルエンジニアリングやID盗用にも使用できます。

やや最新の例として、昨年の夏にMat Honanがハッキングされた方法を確認してください。 http://www.wired.com/gadgetlab/2012/08/Apple-Amazon-mat-h​​onan-hacking/all/

彼の場合、Appleは、アカウントを放棄するために、クレジットカードの最後の数字(攻撃者がAmazonから入手したもの)のみを必要としました。他のベンダーが次の場合に騙される可能性があるのは当然です攻撃者は有効期限を含む完全なクレジットカード番号を提供することになっていました。

18
Bushibytes

検証にはCVVと有効期限が必要ですが、有効期限はカードの表面にあります。請求先住所、または最低でも請求先住所の郵便番号が必要です。どちらもカードの前面または背面にありません。

ただし、これは小売店で購入するか、オンラインで購入するかによって異なります。カードの詳細を手動で入力できる小売店で作業している場合、それに対するポリシーがない限り、これは間違いなくオプションです。あるいは、それを許可しないPOSマシン(これは私の経験ではありませんが、帯は女性の磁気巾着ファスナーによって消磁されますA LOT)、詐欺の可能性があります。請求先の郵便番号や請求先住所は必要ありません。しかし、それはレジ係と顧客の共犯を必要とするでしょう。これが理由です。カード情報は手動で入力できますが、カードの詳細が記載された紙を渡した人から情報を取得することは決して許容されません。

電話またはオンラインで、物理的な配達には名前、カード番号、有効期限、CVV(AmExの場合は4桁、Visa/MCの場合は3桁)、請求先住所(および配送先住所)が必要です。配達する必要のないものを注文し、違法な購入のオプションを大幅に制限したことを思い出してください。住所などは必要ありませんが、請求の郵便番号が必要です。

名前、カード番号、CVV、郵便番号を使って、オンラインまたは電話で何を購入できますか?ええと、iTunesの上限は、デフォルトで月額5,000ドルです。したがって、たくさんのiTunes音楽、または高価なポルノサイトへのプレミアムメンバーシップ、またはたくさんのクラウドストレージ、またはオンラインゲームを購入できます。ただし、これらのいずれかを行う場合でも、IPアドレスに関連付けられた場所からサービスを使用する必要があります。 Torを介してゲームをプレイすることは実用的ではないかと思いますが、確かに、ストリーミングポルノについても同様です。また、iTunesの曲を購入した場合、Appleは、安全ではないというあなたに関する十分な識別情報を知る必要があります。必要に応じて、PaypalまたはAmazon経由で商品を購入することはできませんでした。あなたまたはあなたのために行動した他の誰かに関係なく、アイテムの物理的な配達を取ること、これは有害です。

そして、これらすべては、カードの前面にない請求郵便番号なしでは意味がありません。私には何の情報源もありません。1年間、500人の巨大船でカジノで働いた経験があります。オンラインでたくさんの服や物を購入しています。引用するものを探しますが、それは技術的に不可能ではなく、広く認められている電子決済の結果である傾向があります。

編集:
この質問への回答をご覧ください 盗まれたクレジットカードの詳細の用途は何ですか? 回答は、大量のカードへのアクセス、または誰かがトラブルに巻き込まれる可能性に基づいています購入品の配送(答えは "ルーブ"と呼ばれます)、または精巧なeBayカードの交換スキーム。それは簡単ではありませんでした。 (多くはクレジットカード情報を追求していますが、不便さと恐怖を引き起こす以外に、ほとんどの人が実際にそれを使って何ができるのか疑問に思います。ZeuSまたはSpyEyeは例外です。

13
Ellie Kesselman

American Expressのクレジットカードには、カード番号、カード所有者名、および有効期限とともに、CVVが(裏側ではなく)前面にあることに言及する価値があります。したがって、Amexカードの前面を開示すると、カードを提示しない購入であっても、任意の購入が可能になります。

11
D.W.

クレジットカードトランザクションを実行するために必要なのは、PAN(Primary Account Number))だけです。これは、基本的にカードの前面にある16桁です。スワイプ-カードの磁気ストリップにエンコードされたPANが読み取られます。そのため、誰かがあなたのカードの表面を持っている場合、あなたのアカウントは危険にさらされます。

カードプレゼンス、一致するIDカード/署名、CVV(セキュリティコード)、AVS(住所検証)などは、特にオンラインショッピングなどの危険な環境で、商人が要求する可能性のあるセキュリティの追加レイヤーです。しかし、これらは決して必要ではありません。 16桁だけでトランザクションを実行することはできますが、詐欺やチャージバックのリスクがあるため、ほとんどの商人はそれを許可しません。

8
John