私が最初のクレジットカードまたはデビットカードを取得する人として、私はそれらのセキュリティについて少し研究を始め、システムがなぜそのように設計されているのかについていくつかの質問が浮上しました。
私はウェブサイトからのクレジットカードデータの大規模な漏洩について読みました、時々それは後で販売されて詐欺のために使われるハッキングされた何百万ものクレジットカードデータでした。商人がオンライン取引の詳細を保持していなかった場合、そのような漏洩は避けられなかったのでしょうか?言い換えると、VisaやMastercardのような支払い処理業者が仲介者として機能できないのはなぜですか?オンラインで商品を購入する前に、買い物客は支払い処理業者のウェブサイトにリダイレクトされ、そこにカードの詳細が入力されます。支払い処理業者がそれを受け入れた場合(データは正しく、詐欺検出メカニズムはトリガーされません)、Visa/Mastercardは購入者のアカウントからお金を取り、販売者に送金します。そうすれば、商人は製品を出荷でき、仲介者は信頼できる第三者であるため、後でお金を受け取ることが期待できます。違いは、商人はトランザクションで使用されたカードの詳細を知る必要がないため、将来的に漏洩することがないということです。なぜそのように機能しないのですか?
オンラインで購入する場合、CSC(カードセキュリティコード、カードに印刷された3桁または4桁のコード)は常に必要ですか?そうでない場合、それが必要かどうかは何に依存しますか?要求するかどうかは販売者次第ですか?それらが常に必要であるならば、何百万ものクレジットカードの詳細がハックのために漏洩するとき、なぜそれがそんなに大事なのですか?詐欺師は、何かをオンラインで購入するためにCSCコードを必要としますよね?または、オンラインストアがトランザクション後にそれらを削除しなかったため、CSCコードは常にリークに含まれていますか(私は、トランザクションが完了した後にコードを保存するべきではないという法律を読んでいます)。
CSC番号が3桁または4桁しかないのはなぜですか?詐欺師はすべての可能性を試してみませんか?または、カードがブロックされるまでの最大試行回数はありますか?
CSC番号がカードに印刷されているのはなぜですか?カードが盗まれた場合、または誰かが番号を書き留めたか、または記憶した場合、カード所有者は危険にさらされます。私の知る限り、オンライントランザクションはCSCを使用し、オフライントランザクションは(レストランのように)端末に入力するPIN)を使用します。パスワードが1つだけだった方がいいのではないでしょうか- カードには記載されていません両方のタイプのトランザクションの認証に使用されますか?
「1000万のクレジットカード番号が漏洩した」などの見出しを読んだ場合、実際には番号のみを意味しているのでしょうか。有効期限、カード所有者の名前などのデータがなければ、数字だけでは役に立たないのではないでしょうか。私の知る限り、トランザクションの認証にも使用されます。
すべての非常に良い質問。ここには多くのニュアンスと歴史があり、興味があれば、研究に値する短い回答を除外する必要があります。
商人がオンライン取引の詳細を保持していなかった場合、そのような漏洩は避けられなかったのでしょうか?言い換えると、VisaやMastercardのような支払い処理業者が仲介者として機能できないのはなぜですか?
販売者は、トランザクション後に支払いの詳細を保存することは想定されていません。サブスクリプション-ただし、カード支払いを行うために従わなければならない要件に違反して、サブスクリプションを管理する組織(通称、ペイメントブランド、VisaおよびMastercardがスポンサー)の後にPCIと呼んでいます。もちろん、これらの不適切な保管場所は危険にさらされており、関係する商人にかなりの罰金と費用がかかります。
ただし、ストレージは、適切か不適切かにかかわらず、唯一の攻撃ポイントからはほど遠いです。販売時にカード所有者からカードの詳細を取得し、関係するさまざまな銀行と通信するための機械が必要です-少なくとも取得銀行、商人がカード所有者の支払いを収集できる関係にある銀行-およびカード所有者銀行。クレジットの使用を承認したり、デビット用の資金が利用可能であることを確認したりする銀行。この通信は、多くの場合、業界などに応じて、さまざまな層、専門分野、関係の形で機能する支払い処理業者の仲介者によってロジスティクス的に仲介されます。
通信フローのすべてのプレイヤーは、「cardholder-data-in-transit」に関するPCI要件を順守する必要がありますが、想像できるように、すべてのプレイヤーがこれで良いか悪いかを実行し、すべてが妥協の対象にもなっています。
とにかく、答えは攻撃者が弱点があるところに行くということです。支払い機構全体には多くの弱点があります。そのため、連邦準備制度は昨年、すべての支払いシステムのセキュリティと遅延の両方を体系的に改善するための国家プログラムを開始しました( https://fedpaymentsimprovement.org/ を参照)。 =)。
特定の弱点が悪用され、世間での恥の最近の歴史があることは、システムに潜んでいる他の弱点がないことを示すものではありません。
なぜそのように機能しないのですか?
仲介者がいるだけではセキュリティは向上しませんが、攻撃の可能性を減らしたり、攻撃者の問題を単純化したりできます。
ただし、実際に参照しているのはより良いプロトコルであり、より優れたセキュリティを提供できます。これは、チップベースの支払い(米国ではEMVと呼ばれます)とそのオンラインのいとこトークン化の両方の増加に伴って見られます。どちらも暗号化を使用して、販売時点で使い捨ての支払い認証情報を作成することで機能します。常に再利用可能な支払い認証情報を配布するのではありません。興味があればそこにググるたくさん。
オンラインで購入する場合、CSC(カードセキュリティコード、カードに印刷された3桁または4桁のコード)は常に必要ですか?そうでない場合、それが必要かどうかは何に依存しますか?要求するかどうかは販売者次第ですか?
オンラインで購入する場合は必ずしも必要ではありません。決定は通常、商人の判断であり、実験的に重要視できます。
それらが常に必要であるならば、何百万ものクレジットカードの詳細がハックのために漏洩するとき、なぜそれがそんなに大事なのですか?
さまざまな理由で、この種の問題に今より多くの消費者が注目しているため、ニュースの観点からは大きな問題です。絶対的な意味ではるかに被害が大きかった数年前からの大規模なリークは、メディアの注目をはるかに下回りました。
また、前述のようにPCIと呼ばれるルールが厳しくなり、ルールに違反した場合の罰金や罰則が大きくなっているため、ビジネスの観点から関係する小売業者にとっても大きな問題になる可能性があります。そのため、小売業者がルールを違反した場合(たとえば、カードを不必要に保管する場合)は、ビジネスに重大な影響を与える可能性があります。
すべての関係者が修復に慣れているため、運用上または詐欺の観点からはそれほど重要ではありません。消費者に新しいカードを送信し、古いカードを無効にし、すすぎ、繰り返します。新しく発行されたカードでは有効期限が短くなっているため、大量のカードを失うことは、ある程度、カードプロバイダーの通常のワークフローの延長にすぎません。
CSC番号が3桁または4桁しかないのはなぜですか?詐欺師はすべての可能性を試してみませんか?または、カードがブロックされるまでの最大試行回数はありますか?
トランザクション処理システムのシステムを実行するコードは、特定の時間枠内での同じ支払い手段に対する複数の試みを含む、実際のまたは試みられた詐欺のさまざまなインジケーターをチェックします。
地理的な合理化も数多くあります。同じ日に異なる地理的領域にある2つの物理的なPOSシステムで同じカード番号を使用すると、調査が厳しくなります。
しかし、ここには他にも多くのシグナルがあります。支払い詐欺は、機械学習にとって非常に興味深くアクティブなアプリケーション領域です。
CSC番号がカードに印刷されているのはなぜですか?両方のタイプのトランザクションを認証するために使用されるカードに書き込まれていないパスワードが1つだけあった方がよいのではないでしょうか。
利便性、すべての周り。
CSC番号が2番目の要素になるレベルにまで上昇しないと言っても間違いありませんが、2番目の要素は、ユーザビリティと利便性に関しては、現実の世界ではまだ実行不可能であると言っても間違いありません。セキュリティの人々でさえも、普通の消費者よりもはるかに少ない第2の要素に苦労しています。
より一般的な「第2要素」は、いわば、カード所有者の郵便番号を使用する必要があることです。これは、CSCを使用する場合よりもはるかに一般的です。
私の考えでは、CSCは、比較的控えめなインフラストラクチャの費用で詐欺が比較的控えめに軽減されたと考えられていますが、成功とは見なされていません。チップの支払いとトークン化は、はるかに大きな影響を与えます。
「1000万のクレジットカード番号が漏洩した」などの見出しを読んだ場合、実際には番号のみを意味しているのでしょうか。有効期限、カード所有者の名前などのデータがなければ、数字だけでは役に立たないのではないでしょうか。私の知る限り、トランザクションの認証にも使用されます。
報告された侵害は、侵害された当事者が支払いを取得するのに十分なデータであると見なしたもののすべてです。カード番号と有効期限は、支払い処理業者や他のダウンストリームシステムで常に必要とされる唯一のデータポイントです。名前、住所、郵便番号、電話番号、CSC、電子メールなどの他のデータポイントは、販売者、ビジネス、プロバイダーの関係などの特定の詳細に応じて、そうでない場合があります。
支払い時に収集される追加データに関するユースケースのほとんどは、厳密に支払いの検証ではなくマーケティング用です。
オンラインで商品を購入する前に、買い物客は支払い処理業者のWebサイトにリダイレクトされ、そこにカードの詳細が入力されます。
-D Secure のように聞こえます(Visa、MasterCard SecureCode、American Express SafeKeyによって検証されています)。ほとんどの顧客はそれを使用せず、ほとんどのサイトはそれをサポートしていません。
オンラインで購入する場合、CSCは常に必要ですか?そうでない場合、CSCは、それが必要かどうかに依存します-要求するかどうかは販売者次第ですか?
一部のマーチャント(特にアマゾン)はCSCを必要としませんが、ほとんどは必要です。
CSC番号がカードに印刷されているのはなぜですか?
2つのCVC番号があることに注意してください:CVC1はカードに印刷されておらず、磁気ストライプにのみ存在します。 CVC1を使用してオンラインで購入することはできません。
CVC2コードはカードに印刷されており(ストライプ上には存在しません)、カードをスワイプする必要がある人が直接使用することはできません。
最後に、米国のカード所有者は、カード番号が盗まれてもお金を失うことがないため、より安全なテクノロジーを利用できる(利用可能な場合でも)大きなインセンティブはありません。カードがオンラインで盗まれた場合、銀行はチャージバックとお金は販売者から返金されます。あなたのカードが直接盗まれた場合、あなたの銀行はあなたを補償するためのフックにかかっています。