Question:
Qu'est-ce qui empêche les propriétaires de boutique en ligne d'utiliser abusivement les données de carte de crédit?
sweet home
2014-12-22 22:55:13 UTC
view on stackexchange narkive permalink

Je ne possède pas de carte de crédit, mais je lis beaucoup sur la fraude avec des cartes de crédit volées. Étant donné que je n'en possède pas, je ne sais pas comment vous achetez exactement en ligne avec votre carte de crédit, alors corrigez-moi si je me trompe (et je l'espère).

  1. Client choisit les articles dans la boutique en ligne et les met dans le panier.
  2. Le client passe à la caisse virtuelle.
  3. Le client entre l'adresse de livraison et ses données cc (?) et les envoie au serveur du propriétaire de la boutique.
  4. Le serveur de la boutique envoie les données cc que le client a saisies, ses données et le montant au serveur de la carte cc et reçoit l'argent.
  5. Le client reçoit les articles achetés.
  6. Le propriétaire de la boutique n'était pas très honnête et utilise les données cc que le client a saisies pour faire ses achats sur d'autres boutiques en ligne (en particulier des produits non traçables comme les licences logicielles, ...). Étant donné que les données sont les mêmes pour tous les magasins, personne ne sait quelle boutique a utilisé à mauvais escient les données cc.

Pourquoi ne pas utiliser à la place un code ou un jeton d'authentification unique? Par exemple, le client entre les données cc sur le serveur de la société cc qui envoie une confirmation au propriétaire de la boutique ou donne un jeton signé (comme gpg) que l'utilisateur donne à la boutique pour prouver qu'il a envoyé l'argent ou la boutique attend juste jusqu'à il voit l'argent sur son compte? Puisque j'ai des connaissances de base en sécurité informatique, vous pouvez également ajouter des détails techniques. Mes hypothèses sont-elles justes et si oui, qu'est-ce qui empêche les propriétaires de boutiques en ligne d'utiliser abusivement les données de carte de crédit?

7. Le client conteste les frais supplémentaires. 8. La société de carte de crédit a remboursé les frais litigieux. 9. Alors que de plus en plus de clients font de même, l'émetteur de la carte de crédit commence à enquêter sur les comportements frauduleux. Finalement, la boutique est interdite et éventuellement condamnée à une amende pour fraude par carte de crédit.
comment sauraient-ils quel propriétaire de magasin a fait cela? le client commun utilise les mêmes données dans plusieurs magasins? il ne se soucierait pas des remboursements car il a déjà obtenu la clé de licence ou tout ce qu'il a acheté
@DavidFoerster Ou, étant donné que le vol de cartes de crédit est un crime, la société de cartes de crédit coopère avec les forces de l'ordre et le propriétaire du magasin va en prison.
s'ils découvrent que c'était lui. Mais je pensais à des achats qu'ils ne peuvent pas lui remonter. Il est donc assez malin pour ne pas utiliser sa maison comme adresse de livraison;)
Il y a plusieurs bonnes et précieuses réponses avec des informations en partie différentes mais je ne peux en accepter qu'une. J'espère que les autres seront récompensés par des votes positifs. :)
Les paiements en ligne par carte de crédit sont authentifiés via un mot de passe à usage unique (OTP) envoyé au numéro de téléphone mobile enregistré (RMN) / e-mail de l'utilisateur en Inde. Le paiement ne réussit qu'après cette étape.
MasterCard et Visa ont désormais 2FA en standard au fur et à mesure que votre banque émettrice le fournit. En règle générale, cela implique la saisie d'un code secret envoyé par SMS sur votre téléphone mobile enregistré ou généré dans un jeton matériel. Si votre banque ne le prend pas encore en charge, je vous exhorte à exiger qu'elle adopte cette couche de sécurité supplémentaire dès que possible.
Un peu lié, mais c'est un problème pour CC uniquement parce qu'il s'agit d'un mécanisme de paiement pull. Bitcoin, d'autre part, utilise un mécanisme de poussée afin que des frais frauduleux comme celui-ci ne soient pas possibles.
Huit réponses:
gowenfawr
2014-12-22 23:23:26 UTC
view on stackexchange narkive permalink

La responsabilité d'une transaction contestée incombe au commerçant pour les transactions sans carte. Essentiellement, si vous contestez une transaction, si le commerçant n'a pas votre signature, alors si vous persistez, il finira par payer la facture. De même, lorsqu'un commerçant CNP vous facture deux fois, il finit par payer lorsque vous contestez la facture.

Comme le souligne @DavidFoerster, les processeurs et les sociétés de cartes suivent les taux de rétrofacturation. Ils lorgnent les statistiques et, lorsqu'un commerçant a trop de rejets de débit, ils sont coupés. (Habituellement, ils sont démarrés à partir de leur processeur et vont trouver un autre processeur qui les facturera plus pour le risque plus élevé).

La même chose est vraie avec les magasins qui réutilisent les cartes ailleurs. Les marques de cartes examinent les rapports de fraude et déterminent que ces 20 rapports de fraude avaient tous en commun Bob's Web Shack en tant que transaction passée. Ils enquêteront ensuite sur Bob's Web Shack - à la fois parce qu'il pourrait s'agir d'un mauvais propriétaire de magasin et parce qu'il pourrait s'agir d'un magasin compromis. Et - encore une fois - si une boutique est une source de problèmes, elle sera coupée.

C'est ce qui empêche les propriétaires de boutique en ligne d'abuser des cartes. Ils perdront tous les litiges, puis ils seront abandonnés et ne pourront plus traiter les cartes.

Je dois préciser qu'il ne l'utilisera pas dans sa propre boutique, mais par exemple pour faire des achats sur ebay, etc. donc personne ne pourra le retracer dans sa propre boutique car il n'utilise pas son propre nom
Mis à jour pour gérer ce cas. Les marques de cartes sont intelligentes; ils vont tous statistiques sur le cul de Fraud.
le fait qu'ils auront tous le Web Shack de Bob dans l'historique des transactions est un point valide s'il l'utilise avec plusieurs cartes
Un autre petit point de données est la probabilité que le propriétaire de la carte achète un article légitime. À titre d'exemple, un propriétaire de carte achète un PC. Le propriétaire de la carte achète un autre PC dans un autre magasin, ce qui entraîne un refus de vérification de fraude. Ensuite, ils commenceront à retracer les choses pour voir où les cartes ont été utilisées.
J'ai des triplés et j'achète des ordinateurs par trois, et je n'ai jamais eu de suivi bancaire :) Mais oui, les marques de cartes sont des animaux statistiques et consacrent beaucoup d'efforts à filtrer leurs données.
@gowenfawr, votre historique d'achat indique très probablement que ce type d'achat est normal pour vous. Pour d'autres, c'est généralement, dans une bonne banque, un drapeau rouge dont ils ont besoin pour vous appeler. Capital One et Chase auront tendance à le faire, en particulier avec les achats à travers les États (oui, ils sont allés en vacances dans le MI, sont revenus à la maison au CO pour acheter un réfrigérateur pour la viande de cerf et Chase nous appelait alors que nous essayions de charger la chose).
`` Ils perdront tous les litiges, puis ils seront abandonnés et seront incapables de traiter les cartes. '' `` Ensuite, ils feront l'objet d'une enquête et seront probablement condamnés à une amende selon les termes de leur accord avec le fournisseur de paiement. Selon les circonstances, ils feront l'objet d'une enquête pour fraude par carte de crédit. En tant que personne ayant déjà travaillé dans ce domaine (prévention de la fraude par carte de crédit), je peux vous dire qu'il est beaucoup plus difficile de cacher vos traces que vous ne le pensez.
@gowenfawr SI vous avez 1 facture avec 3 ordinateurs, c'est OK. Si vous avez 3 factures identiques, 1 ordinateur chacune, à 3 secondes d'intervalle, la banque fera un suivi instantanément
Je pense qu'il serait approprié de citer une source pour la réponse et d'indiquer dans quels pays / états, c'est valable. Assumer les États-Unis pour obtenir des réponses sur Internet est un peu impoli pour le reste du monde. Surtout lorsque les États-Unis ont les systèmes et la législation les plus datés sur le sujet des cartes de crédit.
@ClausJørgensen, ce ne sont pas des questions de droit, mais de politique et de pratique des sociétés de cartes (MC, Visa, Amex, Discover). C'est valable ... partout où vous voulez aller.
Non, la responsabilité est une question de droit.
La responsabilité est un terme juridique souvent utilisé dans des contextes non législatifs. Par exemple, dans le cadre du passage (aux États-Unis!) Vers EMV "[Les jalons de la marque de paiement incluent ... le transfert de responsabilité en matière de fraude] (http://www.emv-connection.com/emv-migration-driven-by-payment -marque-jalons /). " Ceci est un exemple où les marques de cartes ajustent quelle partie assume la responsabilité en fonction de leur adoption (volontaire) (ou de leur absence) de nouvelle technologie - il n'y a pas d'implication du gouvernement dans cette attribution de responsabilité. Les commerçants qui n'adoptent pas EMV assumeront plus de responsabilité financière dans les allégations de fraude.
Peteris
2014-12-23 18:59:21 UTC
view on stackexchange narkive permalink

Si vous le faites à grande échelle, vous êtes découvert

Comme pour la plupart des crimes, il n'y a vraiment rien qui vous empêche de le faire si vous êtes déterminé, à part les risques et les conséquences être découvert. Pour les petits et rares événements, il est radié par les sociétés CC comme un coût d'exploitation. Pour les scénarios importants ou fréquents, les gens sont découverts et vont en prison.

Point d'achat commun

L'analyse des schémas de fraude se fait sérieusement, beaucoup de personnes talentueuses et de ressources financières s'en vont à le faire correctement. Tous ces risques ne sont pas nouveaux - avant que les boutiques en ligne ne soient courantes, les employés de divers magasins physiques avaient la capacité de faire de même. Par exemple, un serveur de restaurant a accès à un grand nombre de cartes et peut abuser de ses données.

Si c'est une seule fois, alors il n'y a pas de modèle à découvrir, mais c'est en cours, alors ce n'est pas si difficile pour déterminer automatiquement qu'un groupe de cartes utilisées à mauvais escient partage un point d'achat commun , puis auditer cet emplacement - en fonction de l'ampleur de la fraude, cela peut entraîner des actions de la police ou simplement mettre sur liste noire l'entreprise et d'autres entreprises les mêmes propriétaires ou la même direction.

De plus, ces risques font partie des raisons pour lesquelles il n'est pas trivial de démarrer une boutique en ligne où vous avez réellement accès aux données CC. Souvent, les banques n'autorisent pas les petites entreprises au hasard à accepter les cartes en ligne directement - elles les acceptent à condition que toutes les autorisations passent par une passerelle de paiement fiable et que votre entreprise reçoive simplement un jeton signé "paiement de $ xxx accepté "et non les données complètes de la carte. Si vous souhaitez gérer vous-même les données CC, préparez-vous à diverses vérifications de conformité.

Bon point qu'ils accepteront les petits cas et spéculeront sur la capture des plus gros, donc il n'y aura pas beaucoup de valeur pour le propriétaire du magasin par rapport au risque et aux pénalités
Aussi bien, vous avez mentionné les passerelles de paiement, ce à quoi je pensais (à mon avis, il serait préférable que les sociétés cc elles-mêmes le fournissent de cette façon par défaut)
En tant que développeur, je suis un grand fan de services comme Stripe, où je peux déposer quelque chose en place et les laisser gérer les données CC au lieu de moi / mon client.Une chose de moins à s'inquiéter.Pour les petits magasins en ligne utilisant des sites Web basés sur WordPress, ils utilisent généralement des plugins similaires (woo commerce) qui cachent de la même manière ces détails sensibles au propriétaire du site.
Travis Pessetto
2014-12-22 23:12:09 UTC
view on stackexchange narkive permalink

Pour accepter les paiements, de nombreuses sociétés de traitement de cartes de crédit exigent que le code du client soit conforme à la norme PCI. Je ne suis pas sûr de toutes les règles, mais je pense qu'il faut que quelqu'un qui n'a pas écrit le code l'examine. Avec d'autres, tels que Stripe et PayPal, les données de la carte de crédit ne touchent jamais le serveur du propriétaire de la boutique. Dans le cas de Stripe, JavaScript le leur soumet, puis renvoie un jeton au serveur du propriétaire de la boutique indiquant qu'il a payé, qu'il a été effectué et qu'il peut être utilisé pour des remboursements.

Voir:

https://www.controlscan.com/support-resources-qa.php

https://www.controlscan.com/support -resources-qa.php # 6

s'ils sont stockés décryptables sur votre serveur (dont vous pourriez avoir besoin pour les traiter et les envoyer au serveur de carte de crédit), il n'est pas difficile de les obtenir à partir du système en direct ou d'une sauvegarde ou de faire une attaque SSL-Proxy / Mitm pendant les données cc sont soumises
@sweethome C'est un bon point s'ils choisissent ce niveau de conformité particulier. Je ne connais pas toutes les normes PCI, mais j'oserais supposer qu'il y a quelque chose là-dedans pour stocker des données cc sur le serveur. Ce n'est qu'une supposition de la part de magasins, comme Target, condamnés à une amende après le vol d'informations de carte de crédit.
@sweethome Pour cette raison _exacte_, il viole PCI pour stocker le code CVV2 (le code de sécurité sur la carte) sous forme _any_ après sa validation. Il ne peut pas être chiffré, ne peut pas être sauvegardé, doit être complètement supprimé une fois qu'il est envoyé pour validation.
Je ne savais pas qu'il n'était pas autorisé à stocker toutes les informations.Mon hypothèse (apparemment fausse) était que le propriétaire de la boutique aura les mêmes informations nécessaires que le propriétaire légitime de cc.
Ce n'est donc pas tout à fait vrai ... Le numéro de carte PEUT être stocké, mais ce n'est pas tout à fait simple. CVV ne peut JAMAIS l'être, mais n'est pas nécessaire une fois que la carte est vérifiée comme étant légitime. voir: http://security.stackexchange.com/questions/59520/how-to-store-credit-card-information-for-repeated-transactions-and-still-be-pci pour une grande discussion sur le sujet.
@briansol informations intéressantes dans ce lien
Notez que le CVV et d'autres données sensibles sont autorisés à être stockés jusqu'à après * l'autorisation *, ce qui peut être des heures, des jours ou même des semaines après l'achat si le commerçant regroupe les transactions et les autorise après une période de temps. Certes, la plupart des marchands n'auront pas besoin de stocker le CVV, mais cela * est * autorisé dans certaines circonstances.
wberry
2014-12-24 10:13:06 UTC
view on stackexchange narkive permalink

Qu'est-ce qui les arrête? Rien que les conséquences.

Cependant, il existe des services de traitement tiers que les grands marchands en ligne peuvent utiliser, qui gèrent toutes les transactions par carte de crédit et, dans le cadre de leur contrat avec le marchand, sont responsables de compromis de ces données. Dans ces arrangements, le commerçant lui-même ne voit jamais du tout le numéro de carte de crédit; ils n'obtiennent qu'un jeton qui peut être utilisé pour facturer à nouveau la même carte via le tiers, mais qui est inutile pour tout attaquant. (Et si le tiers est compromis et que des millions de numéros sont divulgués, les marchands peuvent se laver les mains de tout.)

Bien sûr, même lorsqu'un marchand utilise un tel tiers, les utilisateurs finaux doivent simplement se croire sur parole, si le commerçant le divulgue même. Et bien sûr, rien n'empêcherait un employé corrompu d'un tiers d'arnaquer les numéros.

Pour votre question, il est possible d'utiliser la cryptographie pour sécuriser les transactions en ligne. Les cryptosystèmes numériques en espèces existent là-bas. Mais l'expérience utilisateur de l'utilisation d'un tel système est généralement plus compliquée, et ce n'est que l'un des nombreux obstacles à une adoption généralisée.

Lorsque vous payez à la boutique Fuzbar, si vous êtes uniquement invité à entrer vos informations d'identification dans une fenêtre Payfoo, il peut être prouvé en externe que Fuzbar ne le fait pas (en supposant que Payfoo est un commerçant de confiance, que son site est correctement implémenté, etc.) Certains utilisateurs pourraient être trompé en pensant qu'une fenêtre Fuzbar vient de Payfoo, cependant.
C'est en fait une architecture et un modèle commercial un peu différents. Dans votre scénario, le tiers a une relation (c'est-à-dire un compte) avec l'utilisateur / client; le même compte peut être utilisé avec plusieurs marchands. Dans le mien, le traitement des cartes de crédit est simplement sous-traité à un tiers; chaque combinaison (marchand, client) est distincte.
sedstar-guest
2014-12-26 03:44:18 UTC
view on stackexchange narkive permalink

Dans la vraie vie, je gère une petite boutique. Vous pouvez nous payer en personne ou par téléphone avec une carte de crédit.

Une fois la transaction effectuée, nous ne pouvons pas "voir" les numéros de carte de crédit, ils sont bloqués et traités par la société de traitement des cartes de crédit.

Si moi ou mes employés essayions d'enregistrer les numéros des transactions par téléphone, de les utiliser à mauvais escient: je ne pense pas que cela prendrait TROP de temps pour comprendre, que tout les victimes vivaient dans le même quartier et utilisaient notre boutique.

============================== ==============

Dans une situation de commerçant en ligne, je ne pourrais même pas gérer ou voir les numéros de carte de crédit. La société de traitement des cartes de crédit déposait simplement de l'argent sur un compte pour moi. Je suppose que je pourrais essayer d'amener les clients à m'envoyer un e-mail avec les informations de leur carte de crédit, mais je ne pense pas que trop de clients tomberaient dans cette astuce, lol.

Les détaillants les plus «sales» en ligne jouent avec quel article ils vous ont envoyé, ou s'ils ont même envoyé les articles, ou ... surfacturent les frais d'expédition. Ils gagnent déjà de l'argent, et ils pourraient essayer d'en gagner un peu plus.

Mais, comme je peux le voir, il faut qu'un tiers malveillant intercepte et utilise à mauvais escient les informations de carte de crédit.

Merci les informations d'initié.:-) Si je vous comprends bien, cela voudrait dire que si l'un de vos employés abuse des données de la carte de crédit, votre boutique sera coupée?
algiogia
2014-12-23 16:15:51 UTC
view on stackexchange narkive permalink

De nos jours, la plupart des boutiques en ligne vous redirigent vers une page de vérification hébergée par votre fournisseur de carte. Là, vous devez entrer un mot de passe (généralement une partie seulement) pour vérifier que vous êtes le propriétaire de la carte. Cela n'empêche pas le propriétaire de la boutique de voler les détails de votre carte, mais il ne peut pas voir le mot de passe de sécurité, ce qui l'empêche de faire des achats sur des sites Web utilisant la fonction de vérification.

Malheureusement, tous les magasins n'utilisent pas cette fonctionnalité, mais à mesure que de plus en plus l'adoptent, il devient plus difficile d'utiliser des informations de carte volées.

Jusqu'à ce que vous achetiez sur le site Web de grandes entreprises, vous êtes en sécurité. Pour les petits magasins inconnus, un bon moyen de rester en sécurité est d'utiliser PayPal: les détails de la carte sont stockés sur les serveurs PayPal, ou vous les saisirez sur leur page s'ils ne sont pas déjà enregistrés. De cette façon, la boutique ne recevra pas vos coordonnées.

Donc ce ne sont que les magasins qui n'utilisent pas cette fonctionnalité dont les données cc sont volées? Dans les médias, ils parlent principalement de grands magasins où j'aurais pensé qu'ils se soucieraient de la sécurité de leurs clients.
Et bien non. Cette fonctionnalité ajoute simplement une étape de sécurité supplémentaire: après avoir saisi vos coordonnées cc sur le site Web de la boutique, vous êtes redirigé vers le site Web de la banque pour authentification. La boutique peut toujours voler vos coordonnées cc, mais le nombre de boutiques en ligne où il peut les utiliser est limité par la fonction de vérification: ils connaissent vos détails cc mais pas votre mot de passe. Il semble peu probable que le PDG d'Amazon vole des détails cc, compte tenu de son salaire. Les petits magasins sont généralement gérés par une seule personne qui peut plus facilement «tomber dans la tentation»
J'espère que les grandes entreprises l'adopteront également pour que les techniciens informatiques sous-payés ou l'assistant chargé de faire sortir les sauvegardes ou de recycler les anciens serveurs ne «tombent pas dans la tentation»
munchkin
2014-12-26 06:01:46 UTC
view on stackexchange narkive permalink

PCI DSS est une liste de contrôle de conformité aux normes que les magasins souhaitant gérer les informations CC doivent adhérer. Mais, comme la réglementation n'est pas largement appliquée dans le monde entier, c'est tout comme les normes ISO.

Dans le passé, les boutiques en ligne utilisaient paypal. Ou téléphonez à leurs achats via leurs propres comptes marchands auprès des banques. Cependant, le risque de rejet de débit, de fraude via le Web, a facilité le stationnement du risque avec une contrepartie. Paypal et quelques autres ont été les premiers à prendre ce risque.

Maintenant, vous verrez que la plupart des sites de commerce électronique vous mènent à une autre page avec le site de contrepartie qui gère les transactions, juste pour qu'ils ne le fassent pas doivent prendre le risque. Il s'agit d'un modèle commercial viable pour la plupart, car la boutique en ligne n'a pas à prendre en charge le coût de la fraude, mais pourrait devoir payer des frais.

Si vous regardez le modèle de risque de Shopify, vous constaterez que ce qu'ils font, c'est aller plus loin que la propagation de la fraude dans leur système.

Aniket
2014-12-26 17:05:54 UTC
view on stackexchange narkive permalink

Il y a beaucoup de facteurs en jeu ici.

Premièrement, la passerelle de paiement est un composant important - les données CC cryptées sont transférées du navigateur de l'utilisateur à la passerelle. Dans certains cas, ils peuvent passer par le serveur Web du commerçant pour collecter les données de transaction (dans ce cas, toute la conformité aux normes PCI DSS entre en jeu), parfois la passerelle peut contourner complètement le serveur Web du commerçant et obtenir les données de transaction sous forme de chiffrement séparé. connectés depuis le serveur marchand (pas sûr de la conformité PCI dans ce cas).

Après avoir obtenu les informations de paiement et les informations de transaction, elles sont transmises au serveur de traitement des paiements de la banque qui les redirige vers les associations respectives (Visa, Mastercard, Amex etc.) qui le transmet à nouveau à la banque émettrice pour validation et vérification de la limite de crédit / du solde du compte. Une fois validées, elles envoient une réponse de succès qui suit le chemin inverse vers le marchand.

En ce qui concerne les transactions frauduleuses, la plupart des cartes de nos jours ont une troisième couche de protection (appelée paiement 3D) - cela peut être soit un code / mot de passe (par exemple, code sécurisé de la carte maîtresse, etc.) ou un OTP (mot de passe unique envoyé au numéro de téléphone mobile enregistré) (par exemple, dans les cartes AMEX et Citi) que l'utilisateur doit saisir lorsque la transaction atteint les serveurs de traitement des paiements, minimisant ainsi le risque de transactions frauduleuses.

En dehors de ceux-ci, ils suivent l'adresse IP de votre ordinateur. Je serais plus préoccupé par les données personnelles que je donne au commerçant à chaque transaction - par exemple, nom, date de naissance, adresse, numéro de téléphone, etc. Je ne connais aucun protocole de conformité à l'échelle de l'industrie pour ces derniers et il pourrait donc y avoir un énorme risque d'utilisation abusive.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...