web-dev-qa-db-ja.com

ホテルの予約。クレジットカード番号と有効期限のみでこれはどのように安全ですか?

今日まで、私は自分のクレジットカードでオンラインで支払うことを回避することができました(私は奇妙です、私は知っています...)が、どういうわけか私はそれをなんとかしました。

今日、私は(booking.comで)デポジットを必要とするホテルの部屋を予約しなければなりませんでした。カード発行会社、カード番号、カードの有効期限を入力しました。

カード発行者は、番号から発行者を取得できるため、基本的に冗長です。つまり、基本的に、2つの基本情報(クレジットカード番号と有効期限)があれば、誰でも私の口座からお金を引き出すことができます。

誰かがスパイグラスを持っていて、食料品の代金を払っているときに私の肩越しに私のクレジットカードを見た場合、私のクレジットカードで代金を支払うことができます。

これはどのように安全ですか?

30
ILikePaperMoney

Booking.comは、デポジットや支払いを一切行いません。あなたが記入しているのは予約フォームです。カードの詳細は、(a)出頭せず、滞在するつもりの証拠が必要な場合、または(b)チェックアウト時に支払いをせずに滞在して逃げる場合に、支払いIDの形式として使用されます。彼らのホテルはまだ支払いのために現在のカード、または代わりにその方法で支払うことを選択した場合はCVVがカードを提示しない取引を行うために現金を必要とします。

「これは安全ですか」というより大きな問題はさらに複雑です。それを考える最も簡単な方法は、プロセスのさまざまな段階(ウェブサイト、支払い処理業者、銀行)で、詐欺を防止するためにいくつかのセキュリティ管理策が講じられていることです。 、適切な種類のカードを使用すれば返金されます。一般に、クレジットカードは、デビットカードや銀行カードと比較して、優れた高速の詐欺防止機能を提供します。

37
Polynomial

販売者は、クレジットカード番号と有効期限のみを使用して支払いを要求できます。これらは、カードの表面にはっきりと表示されています。すべてではありませんが、ほとんどのマーチャントは、カードの裏面に一般的に呼ばれる番号を必要とします [〜#〜] cvv [〜#〜] (正式な名前はクレジットカードベンダーによって異なります)。原則として、マーチャントは PCI DSS と呼ばれる特定のルールをすべてのクレジットカードデータに適用する必要があり、CVVを保存することはできません(銀行に渡す場合のみ)が、PCI DSSコンプライアンスは、販売者が自らをコンプライアンスとして宣言することを要求するだけなので、要件の違反はよくあります。

はい、これは、誰かがあなたのカードの詳細を入手すると、あなたの代わりにオンラインで支払いができることを意味します。クレジットカードの明細書を確認し、不正な支払いをキャンセルするのはお客様の責任です。銀行、クレジットカードの種類、お住まいの国によっては、不正な支払いをキャンセルする方法の詳細や、これが過剰支出や当座貸越を引き起こした場合にどうなるかは異なります。

明確に言うと、これはすべてのカードをオンライン決済に使用したかどうかに関係なく、リスクになります。リスクはカードを持っていることに固有です。カード番号を作成して請求しようとする詐欺師がいます。作成されたデータが無効であり、銀行が最終的に明らかに不正なリクエストのソースをブロックするため、支払いのほとんどが拒否されるため、これは設定が非常に簡単ではありませんが、それは可能です。有効な数値と有効期限があると、収益性/リスク比が大幅に向上します。

この種の詐欺の収益性を理解するために、私がクレジットカードのスパムについて覚えていることから、有効期限のあるクレジットカード番号は約$ 1で販売され、有効なCVVは価格を$ 5程度に引き上げます。アドバタイズされたデータが本物であるかどうかを確認したことはありません。

クレジットカードの秘訣は、システムのcreditの部分を覚えておくことです。あなたは実際に販売の時点で支払うのではなく、発行者のお金を借りているという2つの信用関係を作成しています。事実上、2枚の「IOU」紙で、ほぼ安全です。

次のことは、実際に取引をしたのが本人であることを彼らが証明できない場合、必ずしも支払う必要はないということです。払い戻しに成功した場合、販売者への支払いは行われません。商人が頻繁に騙される場合、それらはシステムから禁止されることができます。

そのため、さまざまな形式の支払いシステムには、カードに関するさまざまな証明販売者へが付いています。カード所有者が提示するトランザクションでは、意思決定を行うときにカードと顧客を確認する機会があります。詐欺を自動化したり、安全な距離から実行することは困難です。したがって、これらはカードと有効期限だけで実行できます。カードの表面にあるものはすべて、カーボンペーパーを使用するカードインプリント機の1つでコピーし、商人が郵送することができます。事前インターネットシステム。

カード所有者が提示しないトランザクションはその逆です。詐欺は自動化が簡単です。そのため、ほとんどのオンライントランザクションでは、少なくともCVV(カードの裏側にある3桁で、インプリントでコピーされておらず、磁気トラックにもコピーされていない)が必要です。ほとんどのオンライン小売業者は、商品を投稿する前にカード所有者の住所と一致する必要がある住所を要求します。 「現金のような」もの(ギフトカード、ゲームのタイムカード)を販売している人々は、詐欺の標的が非常に高いため、電話による確認を行うこともあります。

ホテルの予約ケースは、詐欺のケースがほとんどないので面白いです。盗まれたカードで予約をしても意味がありませんnotが表示されても、何も得られません。表示された場合、カード所有者が提示し、多くのホテルがIDのコピーを取ります。

13
pjc50

一言:

保険

クレジットカードの「セキュリティ」は、このサイトで「セキュリティ」として理解されているものではありません。つまり、不正使用をコンピュータで実行不可能にする機能です。元のクレジットカードは単に刻印されていたことを思い出してください。セキュリティはほとんどありませんでした。ビジネスセキュリティはまったく別のものです。リスクが高い場合(クレジットカード詐欺など)、リスクを下げるためにお金を投入するか、リスクを保証するためにお金を支払うことができます。あなたの立場(顧客)から、それは非常に安全で非常に便利です-あなたはあなたの銀行に電話し、彼らに「私はそれを承認しませんでした」と伝え、彼らはあなたにあなたのお金を返します。

泥棒の見方もあります。価値を得る方法がなければ、カード番号は役に立ちません。盗まれたカードでホテルを予約すると、基本的にはあなたがどこにいるのか、いつどこにいるのかがわかります。商品の注文には配送先住所が必要です-泥棒のドアをノックする次の人は、UPSの茶色のユニフォームの代わりに青を着用できます。

もちろん、誰もが詐欺を防ぐために最善を尽くしています。したがって、SSL、認定された支払い処理業者、ベストプラクティスの推奨事項と要件などですが、これらはカード番号を公開するリスクを最小限に抑えるだけです。いったん公開されると、すべての賭けは無効になります。カードを見るだけで、ほとんどのカードを「盗む」ことができます。残りはコストとリスクのバランスです。

免責事項:私は保険が「悪い」種類の保証であることを意味しません。暗号化アルゴリズムを使用していても、確実にisそれらを解読する方法はありますが、それを実行するのは現実的ではありません(読み取り:有益です)。ビジネス保険はそれほど異なる概念ではなく、「クラッキング」の障壁が低くなるだけです。

5
Agent_L