2018-12-18 20:59:35 +0000 2018-12-18 20:59:35 +0000
91
91

Почему на кредитных картах напечатан их номер и CVC-код, чтобы все видели?

С тех пор, как онлайн-коммерция стала реальностью, достаточно было знать номер кредитной карты, срок годности и CVC-код, чтобы купить что-нибудь в Интернете. Ситуация постепенно меняется по мере того, как MFA внедряется все большим количеством банков по всему миру, но за последние 20 лет в большинстве интернет-магазинов этого не происходило. Еще до того, как онлайн-магазины стали реальностью, вы все еще могли совершать покупки по телефону, указывая реквизиты своей карты.

Так почему же банки и компании, выпускающие кредитные карты, решили продолжать печатать эти якобы секретные коды прямо на самой карте? Таким образом, любой может просто сфотографировать карту или запомнить цифры и обмануть владельца счета. Это особенно легко для такого человека, как официант, так как он часто снимает карту в недоступном месте в течение пары минут, когда вы оплачиваете счет.

Ответы (6)

130
130
130
2018-12-18 21:52:20 +0000

В конце концов, вы не несёте риска мошенничества, поэтому вы не устанавливаете допустимый риск. Трехзначный код, весь номер карты, чип и булавка, чип и подпись, подпись на чеке, информация на магнитной полоске и т.д. Ваш банк скажет Вам, что все они действительно секретные, и Вы должны защитить их, но если бы могли, вытатуировали бы их на своем лице.

Название игры - это наименьшее возможное трение по сделкам по сравнению с приемлемыми затратами на мошенничество.

Почему на карте напечатано трехзначное число? Потому что, предположительно, у вас на руках карта, когда вы хотите ее использовать. Этот “секретный” код появился для борьбы и/или предотвращения низкоуровневого мошенничества, связанного в первую очередь с ленивым скримингом с помощью магнитной полосы и старыми временами, когда квитанции были отпечатками на карте. Этот номер не является частью данных магнитной полосы и предназначен только для того, чтобы быть секретом от магнитной полосы и людей, которые могут оказаться во владении большим количеством квитанций с отпечатками (в первые дни существования кредитных карт) или базой данных, заполненной номерами кредитных карт. Она предназначалась только для того, чтобы предложить доказательства низкого уровня присутствия карты для борьбы со случаями, когда было взято большое количество номеров счетов; она не аутентифицирует и не обеспечивает безопасность транзакций, это не контрольная сумма, это просто число, которого нет ни в магической полосе, ни в отпечатке. Интересно, что, хотя это и не удивительно, но это число не просто случайно, оно получено из основного номера счета криптографическим способом, известным только эмитенту карты.

Почему банк не пытается защитить номер? Потому что банк хочет, чтобы Вы пользовались картой без необходимости запоминания номера.

Почему четырехзначный “секретный” номер American Express на лицевой стороне карты даже не спрятан надежно на обороте, кто знает; но очевидно, что номер не предназначен для того, чтобы быть надежно защищенным для любого, кто может иметь физический доступ к карте.

Почему карта не голая, а для брендинга с информацией, надежно спрятанной где-нибудь в другом месте? Потому что два места - это more места, и вы можете не использовать карту, если вам нужно откопать лист бумаги, который был отправлен вам отдельно с напечатанным на нем трехзначным кодом, который, очевидно, никогда не был предназначен для обеспечения безопасности.

Банк поощряет Вас использовать карту. Если вы не пользуетесь картой или используете карту конкурента, банк не зарабатывает деньги.

Если вы хотите обезопасить свои способы оплаты лучше, чем удобно для банка, вы можете это сделать. Соскабливайте цифры, снимайте магнитную полоску, что угодно, но, скорее всего, изменение карты является нарушением договора о покупке автомобиля. Банк не делает этого, потому что банку все равно.

54
54
54
2018-12-18 21:14:02 +0000

Назначение кода безопасности ](https://money.stackexchange.com/q/5126/10997) не является секретным PIN-кодом. Его цель - “доказать”, что у вас есть физическая карта на момент покупки. Он используется только в том случае, если продавец не может подтвердить, что у вас есть физическая карта. Она используется при покупке чего-либо на сайте, но также используется в физическом магазине, когда карту нельзя отсканировать и номер необходимо набрать вручную. 0x2 и 0x2 и Причина, по которой она напечатана на карте, заключается в том, что ее может понадобиться прочитать кто-то другой, а не вы. Если вы передаете ее кассиру, а он по какой-то причине не может просканировать карту и должен ввести номер, он может перевернуть карту и ввести защитный код, доказав компьютеру, что у него есть карта. Он никогда не предназначался для запоминания, и если пользователи карт запомнят код, он теряет свою эффективность как доказательство физического владения картой.

Можно утверждать, что напечатанный на карте код делает карту менее защищенной, и некоторые предлагают соскребать код с карты после того, как вы запомните его, но это действительно предотвратило бы только определенный вид мошенничества с кредитными картами, который не так распространен, как другие методы мошенничества.

При отсутствии истинного PIN-кода все чаще в качестве еще одной валидации используется почтовый индекс для выставления счетов, поскольку это число, которое владелец карты уже запомнил и которое не напечатано на карте.

16
16
16
2018-12-19 07:05:22 +0000

Основная цель кода безопасности - предотвратить повторное использование взломанной информации о карте. Основным способом достижения этой цели является требование к платежным процессорам не хранить этот код

Продавцы, поставщики услуг и другие организации, занимающиеся обработкой платежных карт, никогда не должны хранить конфиденциальные данные аутентификации после авторизации. Сюда входит 3- или 4-значный защитный код, напечатанный на лицевой или оборотной стороне карты, данные, хранящиеся на магнитной полосе или чипе карты (также называемые “данными полного цикла”) - и персональные идентификационные номера (PIN), введенные владельцем карты. В этой главе представлены цели PCI DSS и связанные с ним 12 требований [ Источник - слайд 11 ]0x3 &

12
12
12
2018-12-19 15:59:18 +0000

Вы спрашиваете, почему номер карты и защитный код напечатаны на карте. В обоих случаях, давайте просмотрим немного истории:

Номер карты

Номер карты (в отрасли называется PAN) - это всего лишь идентификатор, он не имеет причины быть секретным. Он необходим для любой транзакции, так что списание может быть… снято обратно на соответствующий счет, независимо от того:

  • в физической точке продаж (POS), используя старый метод “импринтера” (не уверен, что он еще где-то используется). По этой причине номер на самом деле тиснен, а не просто распечатан (вместе с другими реквизитами, необходимыми для совершения сделки: срок годности, имя владельца карты).

  • в точке продаж с помощью POS-терминала (“автомат с кредитной картой”), который считывает либо магнитную полоску, либо чип карты, который одновременно предоставляет PAN и остальные данные без какой-либо аутентификации или шифрования.

  • по телефону или на бумаге (то, что в отрасли называется “MOTO”: почтовый заказ / заказ по телефону), когда вы просто читаете детали по телефону или записываете их в бланк заказа.

  • в интернете, где необходимо прочитать номер с карточки и ввести его в формуляр. Как можно что-либо заказать, если номер карты не удается прочитать?

PAN никогда не считался секретом. Это всего лишь номер счета, точно такой же, как и номер Вашего счета, указанный на бумажных чеках, чтобы знать, с какого счета следует забрать деньги.

Некоторые люди думают, что ключ (последняя цифра) - это (плохая) функция безопасности, в то время как на самом деле она используется только для защиты от ошибок ввода (цифры меняются, цифры меняются…).

В настоящее время люди начинают думать, что PAN должен быть секретным, и это привело к введению “токенализации”: вместо того, чтобы отправить реальный номер карты, вместо него посылается другой номер карты, который либо ограничивается определенным каналом (и, возможно, устройством), либо даже одной транзакцией.

Так происходит, например, с Apple Pay: когда Вы регистрируете карту в реальном PAN, банк отправляет вместо нее токен (“фальшивый” PAN), который используется, и может быть использован только для платежей, проводимых с помощью Apple Pay на этом устройстве. Если кто-нибудь перехватит этот PAN, он не сможет ничего с ним сделать: он не будет принят для добавления карты в Apple Pay, не будет принят в магазине, по Интернету, по телефону или в любом другом месте.

Это действительно полезно? В идеальном мире, где все транзакции аутентифицируются другими способами, это действительно не должно иметь значения, PAN сам по себе должен быть бесполезен. На практике, поскольку существуют каналы, позволяющие использовать довольно небезопасные методы аутентификации, это дополнительная линия защиты.

Обратите внимание, что необходимость в токенировании, вероятно, несколько более важна при введении бесконтактной карты: вы можете прочитать PAN любой бесконтактной карты, даже не прикасаясь к ней, это всего лишь вопрос того, как подобраться достаточно близко.

Код безопасности

Код безопасности, напечатанный на обратной стороне карты (или на лицевой стороне, для карт American Express), изначально не присутствовал. Он был добавлен, чтобы избежать следующих сценариев мошенничества:

  • чек кредитной карты с полным номером карты (а также именем и окончанием срока действия) был выброшен и собран кем-то другим (это было особенно верно, когда использовались принтеры, но это было верно и до того, как сети карточек окончательно решили, что печать полного PAN на чеке клиента запрещена).

  • карта “считывается” для записи содержимого магнитной полосы, содержащей PAN, срок годности, имя владельца карты и многое другое…). Это позволило людям, имеющим физический доступ к картам (официанты, кассиры…), довольно быстро записать большое количество карт, не будучи замеченными.

Для противодействия этому был добавлен новый код, которого нет на чеке (так как он не рельефный), и который также не находится на магнитной дорожке.

Этот код требуется только для MOTO и онлайн-покупок, где вы не можете увидеть, действительно ли у пользователя есть карта (так называемая операция “карта не присутствует”), и вы хотите быть немного увереннее в том, что у пользователя есть карта.

Это действительно легко обойти: вам нужно либо сделать полную копию карты (с обеих сторон), либо записать все данные. Но во многих сценариях, описанных выше, это лишь немного усложняет недобросовестному пользователю задачу сделать это, не будучи замеченным.

(Внедрение портативных терминалов также очень помогает, так как пользователь может постоянно держать глаза - и руки - на карте, но особенно в ресторанах США это еще не является стандартной практикой).

Код безопасности также помогает в случае, если сайт хранит данные вашей кредитной карты, и кому-то удается получить доступ к нему: в теории, никому не разрешено хранить код безопасности, так что хакер будет только получить PAN и истечения срока действия, и не сможет использовать его снова, но, на практике, слишком много людей до сих пор хранят код безопасности. Отрасль гоняться за ними (это один из аспектов инициативы PCI DSS), но впереди еще долгий путь.

Реальная защита исходит от новых мер аутентификации (3D Secure), которые позволяют использовать другой способ проверки, помимо проверки только этих данных. В зависимости от банка (или даже карты), они могут быть задействованы:

  • пароль
  • одноразовый пароль (OTP), отправленный по SMS или другим способом
  • биометрическая аутентификация (отпечаток пальца, распознавание лица, сканирование радужной оболочки глаза…)
  • фактический разговор с чипом на карте с помощью кард-ридера, подключенного к вашему компьютеру (я не уверен, что он на самом деле где-то установлен) …

Обратите внимание, что код безопасности используется только** для онлайн/МОТО-транзакций (“карточки нет” транзакций). Транзакции, осуществляемые в настоящее время по карте, также будут использоваться:

  • еще один защитный код, который находится на магнитной полосе (хотя его легко скопировать)
  • связь с чипом (на картах, у которых он есть), чтобы карта аутентифицировалась.
0
0
0
2018-12-26 14:47:20 +0000

Проще говоря, намерением, стоящим за кредитной системой, является использование доверия между различными сторонами при своевременном обмене. Однако кибернетический мир далек от пулевых доказательств. Большинство эксплойтов, как правило, находятся в пределах самой конструкции, а не чего-то еще. Мой совет любому, кто ищет, чтобы получить где-то в жизни с помощью компьютеров, придерживаться рыночных навыков, таких как экран и ремонт логической доски вместо кибер-кражи. Существует гораздо больше возможностей показать миру то, что требует времени для понимания, т.е. электротехники, вместо того, чтобы преследовать других, забирая у них (кража с кредитной карты). Похоже, что в будущем кибербезопасность будет опираться на мыслительные машины, обрабатывающие повторяющиеся решения, оттуда люди смогут решить, какое направление будет более выгодным в долгосрочной перспективе.

0
0
0
2018-12-26 17:18:31 +0000

Ранее существовала система “Verified by Visa”, в которой кредитная карта Visa имела пароль, который хранился у потребителя. Пароля на карте не было. Система “Verified by Visa” использовалась при проведении интернет-транзакций. У торговцев была возможность предложить эту систему.

Похожие вопросы

8
13
7
4
4