Domanda:
Amazon mi ha consentito di effettuare un ordine senza che mi venga mai richiesta una password 3-D sicura
Stefan Monov
2017-09-03 22:03:35 UTC
view on stackexchange narkive permalink

Ho impostato una "password 3-d sicura" per la mia carta di debito, sul sito web della mia banca. Ma quando ho acquistato qualcosa su amazon.co.uk, ho seguito l'intero processo senza che mi venisse mai richiesta la password 3D. Mi è stato chiesto un numero di carta e la sua data di scadenza.

Qualcuno può spiegarmi cosa è successo?

Vivo in Bulgaria.

Nota: anch'io non è stato richiesto il CVC.

[questo thread] (https://security.stackexchange.com/questions/21168/how-does-amazon-bill-me-without-the-cvc-cvv-cvv2) sembra rilevante.
@Stefan: non è una risposta, ma tieni presente che il comportamento è accettabile nel contesto degli Stati Uniti.In caso di frode nelle transazioni, i clienti statunitensi possono facilmente recuperare i loro soldi.Non sono sicuro che questo sia il caso della tua banca o delle regole del tuo paese.
@Hoàng Il lungo paese non fa differenza in questo senso AFAIK
IIRC, quando è stato introdotto per la prima volta "Verified by Visa" ecc., Hanno chiesto l'autenticazione per ogni transazione.Hanno quindi rilassato questo (probabilmente a causa del respingimento del cliente) richiedendolo solo per campioni casuali di transazioni e / o per grandi importi.Può anche dipendere dal fatto che tu abbia una storia passata di transazioni con la stessa azienda dallo stesso indirizzo IP e / o PC: il mio servizio di online banking non considera che valga la pena controllare * ogni * volta i trasferimenti di poche centinaia di sterline, per esempio.
@HoàngLungo il Paese coinvolto fa sicuramente parte della psicologia della "user experience".Vivendo nel Regno Unito, a volte compro articoli dagli Stati Uniti con carta di credito e di solito ho la * sensazione * che l'approccio statunitense alla "sicurezza" sia più o meno lo stesso livello che mi aspetterei se stessi acquistando da qualche parte inil terzo mondo.E questo viene da società multinazionali con sede negli Stati Uniti, non da siti di e-commerce relativamente piccoli!
Tenetevi forte.Lo stupore e la delusione verso la sicurezza del sistema delle carte di credito sono in arrivo.Questo è un intero settore in cui si applica il principio della salsiccia.
@eis: da quello che ho provato, fa la differenza.Ho letto le specifiche 3D Secure (il mio lavoro richiede la comprensione del sistema di pagamento) e la teoria è perfetta.Eppure la pratica bancaria è un altro problema.In alcuni casi, potrebbero essere necessari mesi prima che venga data risposta al tuo ricorso.Potresti ancora riavere i soldi, ma è piuttosto problematico.
Esperienza Echo @alephzero's.Soprattutto la speculazione sulla stessa azienda / indirizzo IP / PC con cui ho visto transazioni regolari (una settimana) con la stessa azienda passare da "chiedi ogni volta" a "non mi viene chiesto da molti mesi".
[Questo] (https://nakedsecurity.sophos.com/2016/12/05/how-to-guess-credit-card-security-codes/) potrebbe essere una lettura interessante.
Considerando la sicurezza: per le carte di debito, ho utilizzato da tempo il metodo di avere un conto separato per la carta e per il mio normale utilizzo.Quando compro qualcosa con una carta, trasferisco i soldi sul conto della mia carta dal mio conto principale (che non è collegato a una carta).Quindi, anche se qualcuno ottiene tutti i dettagli della mia carta (anche il PIN), tutto ciò che può fare è usare quello che mi resta lì.Di solito pochi euro - il "cambio" se vuoi.E la carta è limitata alla regione dell'Europa, a meno che non visiti un altro continente.
Ho aggiunto un secondo fattore al mio account Amazon e non mi è stato ancora chiesto di utilizzarlo.Posso accedere e acquistare cose senza il secondo fattore.
Otto risposte:
Stefan Monov
2017-09-03 22:32:47 UTC
view on stackexchange narkive permalink

Ho appena letto la pagina della mia banca sulla sicurezza 3D. Dice:

Se il sito supporta pagamenti da effettuare in sicurezza aggiuntiva, vedrai i loghi della rispettiva organizzazione della carta verificata da Visa o MasterCard SecureCode

Quindi apparentemente spetta al sito richiedere o meno la mia password 3D.

In effetti, di solito * avvantaggia * anche il venditore.A volte è anche peggio per te usare le cose 3D, poiché alcune banche hanno aggiunto una stampa fine che ti rende responsabile di frode se la password 3D è stata utilizzata, mentre non saresti responsabile se non la usassi.
Sebbene sia positivo che tu abbia letto quella pagina (e idealmente l'avresti fatto al momento della registrazione), potrebbe essere considerata parte della ricerca che avresti dovuto fare prima di porre la domanda.
"A volte è anche peggio per te usare il materiale 3D, poiché alcune banche hanno aggiunto caratteri piccoli che ti rendono responsabile di frode se la password 3D è stata utilizzata, mentre non saresti responsabile se non la usassi".Cosa dà alla banca il diritto di dare a qualcuno l'autorità di rubarti?Come possono dire che * tu * sarai responsabile dell'accusa e non chi ti ha rubato le informazioni?Non è come fare una legge per dire che non puoi accusare qualcuno per aver rapinato la tua casa semplicemente perché hanno scassinato la tua serratura o violato l'apriporta del garage?
@typhon No perché la banca non sta facendo la legge.È come se la compagnia di assicurazioni dicesse che non pagherà l'assicurazione se non ti preoccupi di chiudere a chiave il garage.Questo non ha nulla a che fare con chi ha commesso un reato.Ha strettamente a che fare con se la banca si farà carico dell'addebito fraudolento o se sarà necessario.Accetti questo quando ricevi una carta di credito da loro.Essenzialmente stanno dicendo "ehi, ti daremo questo fantastico pezzo di plastica e invieremo denaro a persone che possono dimostrare di averlo visto. Inoltre queste sono le regole extra che abbiamo per quando paghiamo e tu devi pagarci".
@DRF Ah, ho pensato che tu accetti legalmente di non accusare nessuno che rubi questa cosa 3d.
@Typhon: benvenuto nel pantano legale della legalità riguardo alle pratiche bancarie.Quelle chip card sono un ottimo esempio poiché inizialmente erano un mezzo per le banche per assolvere se stesse dalla responsabilità per la gestione delle frodi, invece di spingerle ad altre persone (che di solito non avevano le risorse per indagare).Le banche ** adorano ** i mercanti.
@whatisname Non * del tutto * giusto.Più precisamente, era accettabile che le banche letteralmente * non potessero * convalidare ogni firma su ogni transazione con carta in un paese come il Regno Unito, dove il denaro contante è al limite dell'obsolescenza.
R.. GitHub STOP HELPING ICE
2017-09-04 05:52:41 UTC
view on stackexchange narkive permalink

Misure di sicurezza come "password 3D", CVV, ecc. non esistono per proteggere il titolare della carta . Non dare per scontato che qualcuno a cui mancano non possa utilizzare il numero della tua carta in modo fraudolento. Tutto ciò che fanno è consentire a un commerciante che sceglie di utilizzarli come parte del contratto con il commerciante di elaborazione delle carte di ottenere una commissione di transazione inferiore, sulla base del fatto che la funzione riduce il tasso di transazioni fraudolente e quindi gli storni di addebito.

Semmai, queste caratteristiche in realtà ti feriscono come titolare della carta, poiché rendono più facile per il commerciante "provare" che hai autorizzato una transazione e più difficile per te contestarla. Vedi la mia risposta a una domanda correlata qui:

https://money.stackexchange.com/questions/54772/why-does-the-introduction-of-chip-pin-appear-to -essere-così-controverso-nell'-uni / 54780 # 54780

"Non dare per scontato che la loro mancanza impedirà a qualcuno di utilizzare la tua carta in modo fraudolento."forse intendevi il contrario?
@Eis Non credo che lo faccia.La frase più semplice è: Non dare per scontato che non avere la password impedirà a qualcuno di utilizzare la carta.Ed è esattamente così :)
@EpicKip ah.la frase precedente parlava di misure di sicurezza, quindi immagino possa essere intesa in entrambi i casi.Ma sì, in questo contesto questo è ciò che deve significare, comunque.
La frase significa esattamente quello che dice: non dare per scontato che qualcuno che ha il numero della tua carta ma non la "password" non possa usare la carta.
Ho anche letto male la frase allo stesso modo di eis fino a quando non ho letto questi commenti;potresti considerare di riformulare in "Non dare per scontato che qualcuno privo di questi dettagli impedirà loro di utilizzare la tua carta in modo fraudolento" per rimuovere ogni ambiguità
Questo mi sembra sopravvalutato, perché stai interpretando le responsabilità del commerciante come l'obiettivo, piuttosto che i mezzi per uno scopo diverso.Lo scopo dichiarato delle società di gestione delle carte * è * quello di proteggere i titolari di carte, ma per farlo hanno bisogno della collaborazione dei commercianti.Pertanto incentivano i commercianti che implementano le nuove misure di sicurezza e / o penalizzano quelli che non lo fanno.Il titolare della carta beneficia anche direttamente se la sua pretesa di frode viene accolta nei confronti di un commerciante che non utilizzava il meccanismo di sicurezza.
@IMSoP tranne il titolare della carta era già completamente protetto perché non sostengono il costo della frode.Tutto ciò che le nuove funzionalità aggiungono dal punto di vista del titolare della carta sono più modi per negare una richiesta di frode.
@Ukko Dipende se si considerano equivalenti prevenzione e compensazione.Il costo per segnalare una transazione fraudolenta, anche se immediatamente confermata, è diverso da zero, quindi una misura che riduce le transazioni fraudolente va a vantaggio del titolare della carta.
@IMSoP Certo, se qualcosa mi costa un centesimo ogni due anni e puoi ridurlo a 3 centesimi ne ho beneficiato.Ma il vantaggio è così piccolo da essere irrilevante.Ci sono state centinaia di dollari di frode sulle mie carte negli ultimi due decenni, la potenziale responsabilità di dover pagare anche solo una di quelle transazioni supera di gran lunga i penny di risparmi derivanti da un addebito fraudolento.
@Ukko Bene, questo è un giudizio che puoi dare, motivo per cui ho detto che è esagerato, non completamente sbagliato.Resta il fatto che il trasferimento di responsabilità è almeno in parte una conseguenza della convinzione degli emittenti di carte (forse fuori luogo) che le misure aggiuntive rendano più probabile che tu stia fingendo la tua richiesta, perché è meno probabile che tu debba fare una dichiarazione legittimareclamo in primo luogo.
rendere una transazione più difficile da falsificare non danneggia realmente il titolare della carta
@Ukko * il titolare della carta era già completamente protetto perché non sostiene il costo delle frodi. * - quindi non pensi che i costi inferiori sul lato bancario (a causa della diminuzione delle frodi) si rifletteranno, * in una certa misura * in menoprezzi per il titolare della carta?
@FooBar: Ukko ha già notato che potrebbe * in una certa misura *, sotto forma di pochi centesimi.Non è un importo evidente o utile per il titolare della carta.
@njzk2: Sì, lo fa.Fai clic sulla risposta collegata a money.SE e su quelle a cui si collega.Qualsiasi ulteriore prova della validità di una transazione è * più lavoro per il titolare della carta * da confutare.La situazione migliore per un titolare di carta che ha ricevuto un addebito fraudolento è quella in cui il commerciante non ha assolutamente alcuna prova da presentare e il titolare della carta sostanzialmente vince lo storno di addebito per impostazione predefinita.
@R .. ma è meno probabile che richieda il refutal in primo luogo
@njzk2: Non credo che questa affermazione sia ben supportata.Errori (o inganni) del commerciante come la doppia esecuzione di una carta o l'affermazione che una transazione non è andata a buon fine quando non è stata meno probabile e le frodi da parte di criminali di terze parti possono semplicemente passare ai commercianti dove è più facile spacciarsi.
@R .. i processori di pagamento e la banca di solito non vengono ingannati dalle doppie transazioni.È un po 'troppo ovvio.E come cliente (concesso, l'onere è del cliente), dovresti chiedere una ricevuta ogni volta che una transazione non "va a buon fine"
@njzk2: Non è necessario che le transazioni doppie siano sulla stessa carta;possono essere "prova una carta diversa" o "il nostro lettore di carte non funziona, hai contanti?"Hai effettivamente letto il post collegato dove è successo all'OP?Anche se il tuo commento fosse l'intera storia, "l'onere è del cliente" dimostra il mio punto: ** con qualsiasi "prova" aggiuntiva della transazione, il titolare della carta è sempre il perdente **.
@R .. i tuoi argomenti hanno valore, ma quello che non capisco, immagino, è come può un venditore avere fiducia nei clienti che pagano con carta di credito?Fondamentalmente cosa impedisce a qualcuno di contestare transazioni legittime?
@njzk2: Qualcuno che lo fa ripetutamente verrà scoperto facilmente dall'emittente della carta.Quindi il numero di coloro che lo fanno è piccolo, meno impattante rispetto al taccheggio.E per le grandi vendite il commerciante probabilmente ha prove aggiuntive come registrazioni di spedizione, video di sorveglianza, firme cartacee, registrazioni telefoniche o e-mail, ecc.
Mark
2017-09-04 01:54:40 UTC
view on stackexchange narkive permalink

Le transazioni con carta di credito hanno diversi livelli di autenticazione, che vanno dal semplice invio del numero della carta, alla carta + cvc, vari sistemi di password, chip-and-pin e così via.

La cosa importante qui è che è la transazione , non la carta , ad avere questo. Il tipo di autenticazione utilizzato influenza cose come chi è responsabile per transazioni fraudolente, la facilità con cui il titolare della carta può contestare le transazioni, l'ammontare della commissione di transazione e la probabilità che la transazione venga rifiutata come potenzialmente fraudolenta.

Probabilmente Amazon ha scoperto che l'aumento delle vendite da un sistema di pagamento semplificato più che compensa l'aumento dei costi delle frodi, quindi l'unica informazione richiesta per un pagamento è il numero della carta di credito.

Cose come l'ordinazione con un clic è impossibile se richiedono ogni volta la password sicura 3D.
Alcuni fornitori di servizi di pagamento stanno anche applicando l'euristica per decidere se richiedere o meno il codice 3DS.L'idea è che loro (il commerciante) ottengano una certa protezione dalla società della carta di credito, senza disturbare gli utenti regolari.Non ho idea di quanto siano efficaci, ma a volte potresti essere chiesto e non altri dallo stesso sito
Ángel
2017-09-04 03:05:43 UTC
view on stackexchange narkive permalink

Amazon non richiede nemmeno il CVV. L'unico pezzo necessario per fatturare una carta è il numero della carta. Elaborare la transazione senza il CVV o il 3D sarà considerato più rischioso dal processore della carta (essendo quindi più costoso, o addirittura rifiutandosi di fornire loro un servizio) ma Amazon è desideroso di farlo in cambio di un processo più snello per i suoi visitatori.

Solo per la cronaca: alcuni mesi fa un canale televisivo locale ha sperimentato una frode (fatta consensualmente con la vittima prescelta) in cui ha clonato il PAN e la data di scadenza della carta utilizzando un lettore NFC potenziato, e poi hanno usato quelle informazioni per ordinare la merce.Il sito web di destinazione era parzialmente sfocato nel video, ma ** era chiaramente Amazon ** a giudicare dai colori e dal layout sfocati
@usr-local-ΕΨΗΕΛΩΝ Perché si sono persino presi la briga di clonare la scheda per fare quell'esperimento?Nel Regno Unito non è necessaria la carta fisica per effettuare transazioni su un sito Web: è sufficiente conoscere il numero della carta, la data di scadenza e il codice di sicurezza.Ma suppongo che se il proprietario della carta avesse appena dato loro quelle informazioni da digitare, non sarebbe stato un elemento così "interessante" (anche se fuorviante) per il programma TV!
È possibile ottenere il numero e la data di scadenza di una carta di credito da breve (distanza di 2 metri) con uno speciale trasmettitore RFID con alimentazione radio aggiuntiva, attraverso la tasca riposta nella tasca del titolare della carta, che in quel caso era consensuale.Per esempio.in coda in un museo.L'esperimento TV voleva discutere la sicurezza delle carte contactless mostrando come si potrebbe fare un ordine su Amazon * facilmente *
Phil M
2017-09-06 00:16:00 UTC
view on stackexchange narkive permalink

Le funzioni di sicurezza della carta di credito sono progettate per proteggere il commerciante. Altri campi, tra cui nome, scadenza, CVV, Secure 3D e così via, servono solo a ridurre il rischio di frode per il commerciante.

Se il commerciante è disposto ad assumersi il rischio di una carta di credito, tecnicamente solo è necessario il numero di carta di credito per elaborare un pagamento.

Nella maggior parte dei casi, tutto ciò che un titolare di una carta di credito (non di debito) deve fare è dichiarare "frode" e i fondi vengono stornati in breve tempo. Questo perché in una controversia l'onere della prova si applica al commerciante che il pagamento da parte di un cliente è legittimo.

NOTA: queste protezioni dei consumatori NON sono valide per le carte di debito incluso PayPal ... l'onere della prova spetta al cliente per le carte di debito del conto bancario e spesso ci vogliono mesi per risolvere.

Questo è il motivo per cui dovresti utilizzare carte di credito effettive invece per le stazioni di pagamento pubbliche, inclusi gas, parchimetri, ecc.

Niklas R.
2017-09-06 06:15:57 UTC
view on stackexchange narkive permalink

3D secure è opzionale. E 'così semplice. In questo caso, potrebbe non essere conforme a PCI DSS non applicare la sicurezza 3D.

Kamria
2019-08-22 07:22:54 UTC
view on stackexchange narkive permalink

L'implementazione di 3D Secure è una prerogativa del Commerciante. 3D Secure consente il trasferimento di responsabilità in caso di frode. 3D Secure è obbligatorio in alcune aree geografiche a causa di mandati delle banche / autorità centrali.

RalphB
2017-09-05 20:33:47 UTC
view on stackexchange narkive permalink

Forse hai attivato l'ordine con un clic come ho fatto io. Il mio provider non chiede mai cvv su Amazon ma lo fa su altri siti. Forse perché ho confermato con l'autenticazione a due fattori?



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...