Domanda:
È stato dimostrato un vantaggio per le macchine per carte di credito che richiedono il codice postale?
reirab
2015-11-04 21:45:34 UTC
view on stackexchange narkive permalink

Negli Stati Uniti, molti distributori di carte di credito in luoghi come le stazioni di servizio hanno iniziato a chiedere il tuo codice ZIP (postale) per utilizzare una carta di credito apparentemente per verificare che tu sia veramente il titolare della carta, piuttosto che la carta che viene rubata. La mia domanda è semplicemente: Esistono prove che ciò porti effettivamente a una riduzione significativa delle frodi con carte di credito di successo?

Mi sembra che questa non sia una misura molto utile per una macchina che richiede comunque la presenza della scheda. Avrei immaginato che il modo più comune in cui qualcuno finirebbe fisicamente con la tua carta di credito sarebbe se ti rubassero il portafoglio, nel qual caso quasi certamente hanno almeno uno e probabilmente diversi ID che includono il tuo codice postale. Ad esempio, nel mio portafoglio, almeno, la patente di guida, la tessera dell'assicurazione auto, il biglietto da visita e il certificato di pilota hanno tutti il ​​mio codice postale elencato e sarebbe anche banale capire dalla mia scheda di registrazione degli elettori. Pertanto, sono curioso di sapere se è stato dimostrato o meno un reale vantaggio in termini di sicurezza.

se una persona malintenzionata conosce il tuo PIN, è probabile che conosca il tuo codice postale. A me sembra più uno stratagemma di marketing da parte dei proprietari del bancomat, vogliono sapere quanto spesso e quanto determinati codici postali con bancomat disegnati in modo che possano vendere quei dati o usarli se per loro stessi mirano posizioni geografiche.
@TweetingGary Le carte di credito negli Stati Uniti non usano PIN (o, almeno, molto raramente lo fanno). Inoltre, stavo parlando dell'utilizzo di carte di credito per effettuare un acquisto, non per prelevare fondi (per i quali normalmente usereste un debito card.) Detto questo, sono d'accordo nel sospettare che sia più per la raccolta di dati di marketing che per l'effettiva sicurezza. Prima che diventasse comune per scopi di "sicurezza", alcuni rivenditori chiedevano esplicitamente di fornire dati di marketing.
@rirab dici sul serio? è pazzesco, ma sì, ancora una volta, come hai detto, dubito che il codice postale sarebbe di qualche utilità dato che hai diverse forme di ID nel tuo portafoglio con il tuo codice postale su di esso. meglio ottenere un codice pin o qualcosa che non hai scritto da qualche parte
Quello che posso dire su questo è che è un vero dolore per i turisti.
La parte peggiore di questo per me è l'orribile interfaccia utente con testo scorrevole che dice "PER FAVORE EN ..." "aspetta un po '" ... TER TUO ... "aspetta di più" ... 5 CIFRE ... "ugh "... ZIP CODE". Che ne dici di "ZIP CODE PLEASE" così posso iniziare a digitare subito.
@TopinFrassi Solo curioso, cosa fa un turista in una situazione come questa? Suppongo che in questo caso il turista provenga da un altro paese e non abbia un codice postale o un codice postale che non sia tutti numeri ...
A seconda del contratto, le società di carte di credito possono ridurre il costo del servizio che un commerciante paga a seconda della convalida. Quindi zip e firma sono più economici della sola firma che è più economica di nessuna delle due. I dettagli variano in base alla società e al contratto. Scommetto che i fornitori di carte hanno dati concreti anche se non li ho.
@Michael C'è un hack tra Canada e USA, che implica, IIRC, riempire la sinistra con zeri e inserire le 3 cifre del codice postale canadese. Ma non ha sempre funzionato. Altrimenti potremmo pagare al cassiere! (Ma di notte, beh ... sei sfortunato)
@TopinFrassi: se non ricordo male, si pad a destra, non a sinistra.
Per quanto riguarda i turisti, proverei a inserire lo ZIP 00000 nella possibilità che il server di autorizzazione restituisca quello, NULL, o una stringa vuota per indirizzi non statunitensi. Una stringa vuota o NULL potrebbe essere paragonata a 00000 in un linguaggio tipizzato dinamicamente.
@TweetingGary Non credo che usino quei dati per venderli - Se paghi con la tua macchina di credito, sanno che eri / la tua carta era lì. E hanno già più dati del codice postale ... ogni altro punto che hai detto sono totalmente d'accordo.
Misura interessante: non l'ho visto in nessun'altra parte del mondo (deve essere più recente del 2008, poiché non mi è stato chiesto di farlo da nessuna parte negli Stati Uniti prima di quell'anno)
@WoJ Sembra essere diventato molto più comune di quanto non fosse negli Stati Uniti negli ultimi due anni, forse anche meno. Lo vedo principalmente nei chioschi automatici come le pompe di benzina. In molti altri paesi, le carte con chip e PIN sono comuni, nel qual caso questo non è realmente necessario, poiché il PIN fa un lavoro migliore. Anche le carte con chip negli Stati Uniti in genere non utilizzano PIN, tuttavia (sono chip e firma invece di chip e PIN).
@TweetingGary, quasi tutte le carte di debito negli Stati Uniti possono essere utilizzate come "credito". Se borseggi qualcuno e decolli con la sua carta, puoi indovinare solo poche volte. Nelle aree più grandi dove sono presenti dozzine di codici postali, potresti essere fortunato utilizzando i 3 codici postali più vicini, ma verranno registrati su video.
Si potrebbe affermare che ha aumentato le frodi, poiché tutto ciò che fa sentire le persone al sicuro utilizzando nessuna carta "Chip e Pin" aumenta la frode.
Ci sono circa 30 codici postali tra il luogo in cui lavoro e quello in cui vivo, quindi anche se qualcuno trovasse la mia carta di credito sul marciapiede, dovrebbe fare diversi tentativi prima di indovinare il codice postale. Una volta la mia carta è stata bloccata per frode dopo aver inserito il codice postale sbagliato più volte di seguito: mi ero appena trasferito e ho provato il mio vecchio codice postale un paio di volte, prima di indovinare il mio nuovo codice postale (senza successo). Il mio dipartimento antifrode della banca CC mi ha chiamato 10 minuti dopo per chiedere informazioni su attività sospette.
@gerrit O perché le carte di credito erano molto più comuni negli Stati Uniti che nella maggior parte del resto del mondo prima dell'esistenza delle carte con chip e PIN e, quindi, gli americani erano già molto abituati alle carte di firma? Ad ogni modo, questo è piuttosto fuori tema ...
Immagino che il furto del portafoglio non sia una fonte significativa di frode continua poiché è probabile che la vittima si accorga e poi disattivi la carta in un tempo relativamente breve, questa è la protezione più grande lì. Ci sarebbero alcune transazioni fraudolente ma non si tratta di una cosa in corso. Ora, se qualcuno lascia cadere la carta dal portafoglio, è una storia diversa.
Sei risposte:
Rodrigo M
2015-11-05 01:53:41 UTC
view on stackexchange narkive permalink

Esistono prove che ciò porti effettivamente a una riduzione significativa delle frodi con carte di credito di successo?

Sì, ci sono prove e , ha assolutamente ridotto molti tipi di frode con carta:

La funzione di prevenzione delle frodi a cui ti riferisci è chiamata Servizio di verifica degli indirizzi (AVS). Il servizio AVS verifica che il numero civico e / o il codice postale presentato al terminale corrispondano ai dati presenti per il titolare della carta presso la banca emittente.

In tempo reale, il processore di pagamento restituirà una risposta AVS . In base alla risposta, il commerciante può decidere di rifiutare una transazione non conforme.

È stata adottata da quasi tutti gli emittenti di carte negli Stati Uniti.

enter image description here

Vedi la Guida per commercianti al servizio di verifica dell'indirizzo Visa

La possibile risposta codici e le impostazioni di rifiuto configurabili sono mostrati qui:

enter image description here

In un'impostazione del terminale di una stazione di servizio, il terminale potrebbe essere impostato per rifiutare AVS Codici di risposta N e A, ad esempio.

Dalla lettura di quel documento, sembra che quelle statistiche siano state raccolte principalmente da transazioni con carta non presente (ad esempio online, per telefono, ecc.) Tuttavia sono molto interessanti. È particolarmente sorprendente che il tasso di mancata corrispondenza fosse così alto per le carte rubate dalla posta, poiché sulla busta è stampato l'indirizzo di fatturazione.
In che modo la frode ** Carta rubata dalla posta ** può essere ridotta del 90% a causa della mancanza di conoscenza del codice postale del destinatario?!?
Presumibilmente i dettagli della carta per le carte rubate dalla posta vengono venduti in blocco (senza i dati dell'indirizzo) a una terza parte.
@dotancohen La mia ipotesi sarebbe che le statistiche risalissero al momento in cui il meccanismo era nuovo e ancora sconosciuto ai truffatori. Se questa teoria è corretta, sembra che il 90% dei ladri abbia scartato la lettera e solo il 65% abbia scartato il portafoglio. Un'altra cosa se quella teoria è corretta, ormai non c'è più protezione in nessuno di questi 2 casi perché i ladri ne sono venuti a conoscenza.
Tutta questa caratteristica di "sicurezza" ha sempre fatto per me, come turista negli Stati Uniti, è impedirmi di usare le mie carte di credito alla pompa. Non voglio avere a che fare con le persone quando faccio rifornimento. Di chi è stata l'idea sciocca di richiedere codici postali da carte di credito non americane?
@Alex Bene, per una stazione di servizio statunitense, la stragrande maggioranza dei loro clienti sarà americana, quindi probabilmente sono disposti a far entrare la manciata di clienti internazionali che ottengono per risparmiare una somma sostanziale sulle commissioni di elaborazione CC. Immagino che la maggior parte delle stazioni di servizio negli Stati Uniti non abbia più dell'1% di clienti non residenti negli Stati Uniti ed è probabilmente un po 'meno di quello nelle aree che non sono vicino a un confine o a un aeroporto internazionale.
@Alex Credo che tu possa inserire 00000 come zip e verrà elaborato.
Una domanda migliore, e un punto migliore da affrontare nella risposta, è se il vantaggio ottenuto da questo _pesta_ l'inconveniente causato. In particolare, dato che AVS può rilevare carte contraffatte il 100% delle volte _senza_ la necessità di controllare un codice postale fornito dall'utente (ottiene il 100% semplicemente perché un numero di carta contraffatta non esiste nel database AVS _in primo luogo_). Probabilmente le carte contraffatte le cui informazioni coincidono con quelle effettive vengono conteggiate come "rubate" ai fini delle loro statistiche.
Risposte generali di AVS: "* Ermahgerd, transazione bergus *".
@aroth Ho assunto che per "carte contraffatte" si intendono carte che sono state "clonate" con i dati di carte legittime, come discusso in [risposta di Steve] (http://security.stackexchange.com/a/104605/46674).
@aroth - Una "carta di credito contraffatta" con un numero CC che non è stato rilasciato a nessuno fallirà automaticamente senza AVS. Un CC vuoto è probabilmente abbastanza economico, ma un criminale non farà decine di migliaia di CC con numeri generati casualmente nella speranza di trovare un numero CC valido. Inoltre, il nome del titolare della carta è codificato sulla banda magnetica CC, quindi affinché un "contraffatto" abbia qualche possibilità di "funzionare", deve almeno avere un numero CC emesso e un nome del titolare della carta corrispondente. Sono sicuro che per "carta di credito contraffatta" si intende una carta "clonata", come da skimming / database hack.
@dotancohen Carte rubate dalla posta: presumibilmente in blocco, poiché tutte le carte che conosco quando vengono inviate dalla banca al consumatore sono inutilizzabili fino a quando non le usi in un bancomat e inserisci il tuo PIN, quindi un ladro dovrebbe conoscere il PIN, quindi logicamente queste regole fuori banca -> furto della posta dei consumatori.
@Alex Se odi interagire con le persone alle stazioni di servizio, odieresti il ​​New Jersey (non è legale pompare il tuo gas). Anche se comunque non è esattamente un luogo di destinazione turistica.
@JasonC Negli Stati Uniti, la maggior parte delle carte di credito non richiede di attivarle in un bancomat e la maggior parte delle carte di credito qui non ha nemmeno un PIN. Per la maggior parte di loro, è sufficiente chiamare un numero elencato su un adesivo sulla carta per l'attivazione, anche se verificano che stai chiamando dal numero sull'account oppure ti fanno alcune domande per verificare.
Vale la pena notare che i processori di pagamento generalmente offrono commissioni notevolmente inferiori ai commercianti che utilizzano AVS rispetto ai commercianti che non lo fanno. Il che indica 1) che * loro * credono che riduca le frodi e 2) che le stazioni di servizio lo useranno comunque, perché faranno di tutto per migliorare i loro margini ridotti.
Steve Sether
2015-11-04 23:26:46 UTC
view on stackexchange narkive permalink

Hai sollevato un buon punto che spesso viene trascurato in Sicurezza. Dati.

"In God We Trust, tutti gli altri devono portare dati" .- W Edwards Demming

Penso che sia improbabile che tu possa trovare dati reali per l'efficacia di un politica di sicurezza. Non conosco molte analisi scientifiche effettive nel settore della sicurezza, e questo è un vero peccato. Quindi le persone sono lasciate a speculare, e ipotizzano che lo faranno.

Come gowenfawr, neanche io ho dati e posso solo offrire speculazioni.

Hai ragione che L '"attacco al portafoglio rubato" non offrirà alcuna protezione dalle frodi. Ma molte carte di credito oggigiorno vengono rubate da sistemi di elaborazione automatizzati non sicuri. Target e Home Depot ne sono un esempio. Gli aggressori stanno prendendo le informazioni da questi sistemi e clonando le carte. Non credo che questi sistemi in genere contengano il codice postale del titolare della carta e non sia codificato sulla carta stessa.

Il punto è che chiedere un codice postale a una stazione di servizio renderà più difficili i tentativi di clonazione eseguire. Suppongo che questo ridurrà le frodi di un certo importo.

Ah, grazie. Non avevo considerato la clonazione della carta. Avevo pensato che le persone che hanno rubato i numeri di carta di credito da attacchi come l'attacco Target usassero semplicemente i numeri di carta online piuttosto che creare carte clonate e provare a usarle di persona. +1
@reirab utilizzando le carte in linea generalmente lascia una traccia tracciabile (cioè un indirizzo di destinazione, indirizzi IP del computer, ecc.), Mentre ci sono molti posti in cui è possibile utilizzare una carta di persona senza fornire alcun ID (e indossare un cappello / ecc. per evitare le telecamere .. il punto è che è più difficile da tracciare, non impossibile)
Qualche anno fa ho letto un articolo su un clonatore di carte. Viveva della clonazione delle carte. Acquista un laptop costoso da Best Buy con la sua carta clonata, quindi vendilo a buon mercato su Craigslist da una stanza d'albergo in affitto. Molto difficile catturare qualcuno del genere.
@user2813274 Per i criminali informatici in grado di sferrare un attacco come quello su Target, oscurare il proprio indirizzo IP è banale. L'indirizzo di destinazione fisico è effettivamente più difficile da aggirare, ma ci sono modi per ridurre al minimo il rischio, come impostare l'indirizzo di destinazione a una terza parte innocente e poi afferrarlo dalla cassetta della posta o dal portico dopo la consegna. Anche se la frode viene scoperta prima della consegna, le probabilità che la polizia si prenda il tempo per sorvegliare quella casa sono piuttosto basse e potresti probabilmente individuarle e continuare a guidare anche se lo facessero.
@reirab non è che sia impossibile, è che è un passaggio in più - e non solo aggiunge un ritardo di alcuni giorni in cui la frode può essere rilevata, ma solleva anche sospetti (cioè se si sta acquistando da un nodo di uscita TOR) , se il proprio indirizzo di fatturazione / spedizione non corrisponde (in realtà, avresti anche un indirizzo di fatturazione senza il codice postale? improbabile) - molte bandiere rosse lì
@reirab Molti tipi di truffe contro il riciclaggio di denaro prevedono l'utilizzo di terze parti (senzatetto, illegali). Non c'è bisogno di presentarsi di persona.
Sì, non ottieni il codice postale se rubi il numero della carta per la clonazione dal POS di Target. Tuttavia, se lo rubi dalla rete di elaborazione insicura della stazione di servizio, hai il codice postale che i clienti hanno inserito insieme al numero della loro carta.
N. Greene
2015-11-04 22:13:12 UTC
view on stackexchange narkive permalink

È per la deterrenza, e alcune cose che vengono utilizzate per la deterrenza sono davvero perché il cliente si senta sicuro e protetto e faccia molto poco per la "sicurezza". Prendi le telecamere di sorveglianza. Probabilmente installo circa 200+ telecamere all'anno e, poiché faccio tutto il possibile per fare in modo che le telecamere proteggano il sito nel miglior modo possibile, ci sono modi per aggirare il problema. Sono per la deterrenza. La gente vede le telecamere e dice "Oh hanno le telecamere, non posso rapinare questo posto". Non dico che le fotocamere siano inutili, ho aiutato i proprietari dei negozi a catturare probabilmente circa 50 dipendenti / clienti che hanno rubato nel corso degli anni.

Quindi, iniziamo con questo esempio. Ho rubato il tuo portafoglio, ora che ti sia reso conto che è successo 5 minuti fa o 5 ore fa, chiamerai la tua banca / carta di credito e cancellerai le tue carte. Come ladro devo usare le tue carte velocemente perché so che cancellerai le tue carte. Sarei più preoccupato per il furto di identità da un portafoglio rubato invece che per le mie carte.

Hai ragione, se ho il tuo portafoglio conosco il tuo codice postale. Forse non posso usare il tuo biglietto da visita, ma posso comunque farla franca con qualcosa di gratuito. Vado a comprare carte prepagate da usare e cestino il tuo portafoglio magari tenendo le tue carte d'identità.

Diciamo che invece di rubare il tuo portafoglio, hackero una rete POS e ottengo le informazioni sulla carta da lì. Non ho il tuo codice postale, ma potrei comunque fare una copia duplicata della tua carta se avessi abbastanza informazioni dall'hacking che ho fatto alla rete POS. Non sapresti che i dati della tua carta sono stati compromessi fino a quando la società non comunica che sono stati violati. Tuttavia potrei ancora utilizzare i dati della carta per acquistare cose, ma non con un'impostazione del tipo "paga alla pompa".

Ti viene chiesto il codice postale nei luoghi con cui non stai "interagendo" una persona. È un metodo di prevenzione per impedire ai ladri con le tue informazioni CC di rubare gas. Tuttavia potrebbero entrare con una carta "copiata" e comprare benzina all'interno.

Semplicemente, se stai pagando con una carta "faccia a faccia" con qualcuno, non ha bisogno di alcuna informazione aggiuntiva da parte tua oltre a ciò che è sulla carta. Potrebbero chiedere un documento d'identità con foto per confermare che sei il titolare della carta.

Se sei alla stazione di pagamento del chiosco (pompa di benzina, chiosco del negozio) e il sistema ti chiede il codice postale dell'indirizzo di fatturazione di la carta, è per verificare la presenza di frodi.

Questo controllo del codice postale, viene verificato dalla banca del titolare della carta e non viene utilizzato in alcun modo se non per verificare che le informazioni siano corrette.

In un "faccia a faccia" qualsiasi informazione aggiuntiva che chiedono, è molto probabilmente per scopi di marketing e non possono negare la tua transazione se non hai fornito tali informazioni extra.

California Beverly Credit Il Card Act del 1971 si occupa di questo e nel corso degli anni sono state apportate modifiche.

Riduce le frodi, forse. Tuttavia, potrei ancora entrare con la "tua" carta e comprare lì la benzina. Certo, ci sono più possibilità di fallimento all'interno. Telecamere, cassiere che chiede un documento d'identità, tessera denunciata rubata.

Provando a utilizzare la tessera all'esterno senza dipendenti in giro, riceverò due risposte dalla pompa di benzina:

  1. Accettato
  2. La tua carta è stata rifiutata, consulta l'operatore.

Se ho l'opzione n. 2, me ne vado e provo con un altro codice postale in un altro benzinaio stazione.

gowenfawr
2015-11-04 22:15:32 UTC
view on stackexchange narkive permalink

Esistono prove che ciò porti effettivamente a una riduzione significativa delle frodi con carte di credito di successo?

Dovresti chiedere a una delle società del gas o a uno dei fornitori di attività fraudolente (come Accertify? ThreatMetrix?) che potrebbero avere statistiche ("prove").

Mi sembra che questo sarebbe non è una misura molto utile per una macchina che richiede che la carta sia presente comunque .... [i ladri] quasi sicuramente hanno almeno uno e probabilmente diversi ID che includono il tuo codice postale .... Quindi, sono curioso se per questo è stato dimostrato o meno alcun vantaggio in termini di sicurezza.

Non ho prove , ma ti offro speculazioni :

  1. Di tutte le informazioni antifrode, il codice postale è l'unico che può essere comodamente inserito sulla tastiera di una pompa di benzina solo numerica.
  2. Richiesta di un codice postale come antifrode serve come notifica all'utente che questa transazione è in fase di esame, il che può hanno un effetto rassicurante sugli utenti validi e un impatto dissuasivo sugli utenti fraudolenti.
  3. Fare qualcosa finisce per essere meglio che niente in questo caso.

Esistono altri passaggi di frode - analisi della posizione, della frequenza e delle abitudini - che sono probabilmente più efficaci contro il caso d'uso del "portafoglio rubato". Ma quelli accadono dietro le quinte, senza rassicurazioni o deterrenti.

Ri 1: Cosa impedisce di inserire comodamente il PIN della carta sulla tastiera di una pompa di benzina solo numerica? A differenza di un codice postale, il PIN è _ in realtà_ un bocconcino di informazioni antifrode, mentre i codici postali non sono nemmeno segreti: nessuno si aspetta che qualcuno tenga segreto il _il proprio indirizzo postale_ alle persone che lo circondano.
@HenningMakholm negli Stati Uniti è piuttosto raro che un titolare di una carta di * credito * abbia un PIN impostato sulla sua carta. Viene generalmente utilizzato solo per anticipi di cassa. [Esempio] (http://www.usatoday.com/story/money/personalfinance/2015/10/01/us-shifts-credit-cards-chip-signature-still-do/73145306/): "A differenza delle carte di debito , "per le carte di credito oggi, non è comune usare un PIN, quindi la maggior parte delle carte negli Stati Uniti rimane allo stesso modo, supportando una firma" o in alcuni casi nessuna verifica del titolare della carta, afferma Stephanie Ericksen, vicepresidente di prodotti a rischio per Visa ".
Israel Isassi
2015-11-05 22:54:06 UTC
view on stackexchange narkive permalink

Un altro motivo potrebbe essere quello di causare un leggero ritardo alla persona che inserisce le informazioni. Tutto ciò che aggiunge qualche secondo alle attività di un ladro dilettante riduce le possibilità che seguiranno. Inoltre, quei pochi secondi in più aumentano le possibilità di ottenere una buona immagine sulla fotocamera.

xFrei
2015-11-05 23:01:41 UTC
view on stackexchange narkive permalink

Un po 'come quello che ha detto Israele, può aggiungere un po' di ritardo, ma è probabile che le tue telecamere di sicurezza siano già in grado di rilevarlo.

È probabile che, se conoscono i dati della tua carta di credito, sappiano praticamente tutto il resto, probabilmente solo un metodo di protezione minore.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...