Question:
Un avantage a-t-il été démontré pour les machines à cartes de crédit demandant un code postal?
reirab
2015-11-04 21:45:34 UTC
view on stackexchange narkive permalink

Aux États-Unis, de nombreux distributeurs de cartes de crédit dans des endroits comme les stations-service ont commencé à demander votre code ZIP (postal) pour utiliser une carte de crédit apparemment pour aider à vérifier que vous êtes vraiment le titulaire de la carte, plutôt que la carte volée. Ma question est simple: Y a-t-il des preuves que cela conduit réellement à une réduction significative des fraudes par carte de crédit réussies?

Il me semble que ce ne serait pas une mesure très utile pour une machine qui nécessite la présence de la carte de toute façon. J'aurais deviné que la façon la plus courante pour quelqu'un de se retrouver physiquement avec votre carte de crédit serait de voler votre portefeuille, auquel cas il a presque certainement au moins un et probablement plusieurs identifiants qui incluent votre code postal. Par exemple, dans mon portefeuille, à tout le moins, mon permis de conduire, ma carte d'assurance automobile, ma carte de visite et mon certificat de pilote ont tous mon code postal et il serait également trivial de le découvrir à partir de ma carte d'inscription électorale. Par conséquent, je suis curieux de savoir si un avantage de sécurité réel a été démontré pour cela ou non.

si une personne malveillante connaît votre code postal, il y a de fortes chances qu'elle connaisse votre code postal. Pour moi, cela ressemble plus à un stratagème marketing de la part des propriétaires du distributeur de billets, ils veulent savoir à quelle fréquence et combien certains codes postaux avec des distributeurs automatiques de billets dessinés pour pouvoir soit vendre ces données, soit les utiliser pour eux-mêmes pour cibler emplacements géographiques.
Aux États-Unis, les cartes de crédit @TweetingGary n'utilisent pas de code PIN (ou, du moins, très rarement.) De plus, je parlais d'utiliser des cartes de crédit pour effectuer un achat, pas pour retirer des fonds (pour lesquels vous utiliseriez normalement un débit Cela dit, je suis d'accord pour soupçonner que c'est plus pour la collecte de données marketing que pour la sécurité réelle. Avant que cela ne devienne courant à des fins de «sécurité», certains détaillants ont demandé explicitement des fins de données marketing.
@rirab êtes-vous sérieux? c'est fou, mais ouais encore une fois, comme vous l'avez dit, je doute que le code postal soit d'une quelconque utilité car vous avez plusieurs formes d'identité dans votre portefeuille avec votre code postal dessus. il vaut mieux obtenir un code PIN ou quelque chose que vous n'avez pas écrit quelque part
Ce que je peux dire à ce sujet, c'est que c'est une vraie douleur pour les touristes.
Le pire dans tout cela pour moi est l'horrible interface utilisateur avec un texte défilant qui dit "PLEASE EN ..." "attendez un moment" ... TER YOUR ... "wait more" ... 5 DIGIT ... "ugh "... ZIP CODE". Que diriez-vous de "ZIP CODE PLEASE" pour que je puisse commencer à taper tout de suite.
@TopinFrassi Juste curieux, que fait un touriste dans une situation comme celle-ci? Je suppose que dans ce cas, le touriste vient d'un autre pays et n'a pas de code postal ou a un code postal qui n'est pas tous des chiffres ...
En fonction de votre contrat, les sociétés de cartes de crédit peuvent réduire les frais de service qu'un commerçant paie en fonction de la validation. La fermeture éclair et la signature sont donc moins chères que la simple signature, qui ne coûte pas cher ni l'un ni l'autre. Les détails varient selon l'entreprise et le contrat. Je parie que les fournisseurs de cartes ont des données matérielles mais je ne les ai pas.
@Michael Il y a un hack entre le Canada et les États-Unis, ce qui implique, IIRC, de remplir la gauche avec des zéros et d'entrer les 3 chiffres du code postal canadien. Mais cela n'a pas toujours fonctionné. Sinon, nous pourrions payer à la caisse! (Mais la nuit, eh bien ... tu n'as pas de chance)
@TopinFrassi: si je me souviens bien, vous pad vers la droite, pas vers la gauche.
En ce qui concerne les touristes, j'essaierais d'entrer le code ZIP 00000 au cas où le serveur d'autorisation renvoie celui-ci, NULL, ou une chaîne vide pour les adresses non américaines. Une chaîne vide ou NULL peut être comparable à 00000 dans un langage typé dynamiquement.
@TweetingGary Je ne pense pas qu'ils utilisent ces données pour le vendre - Si vous payez avec votre voiture de crédit, ils savent que vous étiez / votre carte était là. Et ils ont déjà plus de données que le code postal ... à chaque autre point, vous avez dit que je suis totalement d'accord.
Mesure intéressante - je ne l'ai vue nulle part ailleurs dans le monde (elle doit être plus récente que 2008, car on ne m'a pas demandé de le faire nulle part aux États-Unis avant cette année)
@WoJ Il semble être devenu beaucoup plus courant qu'aux États-Unis au cours des deux dernières années, peut-être même moins. Je le vois surtout dans les kiosques automatisés comme les pompes à essence. Dans de nombreux autres pays, les cartes à puce et PIN sont courantes, auquel cas ce n'est pas vraiment nécessaire, car le PIN fait un meilleur travail. Même les cartes à puce aux États-Unis n'utilisent généralement pas de code PIN (il s'agit d'une puce et d'une signature au lieu d'une puce et d'un code PIN.)
@TweetingGary, presque toutes les cartes de débit aux États-Unis peuvent être utilisées comme «crédit». Si vous pickpocket quelqu'un et décollez avec sa carte, vous ne pouvez deviner que quelques fois. Dans les zones plus vastes où il y a des dizaines de codes postaux, vous pourriez avoir de la chance en utilisant les 3 codes postaux les plus proches, mais cela sera enregistré sur vidéo.
Vous pourriez prétendre que cela a augmenté la fraude, car tout ce qui fait que les gens se sentent en sécurité en n'utilisant aucune carte à puce augmente la fraude.
Il y a environ 30 codes postaux entre mon lieu de travail et mon domicile, donc même si quelqu'un trouve ma carte de crédit sur le trottoir, il devra faire plusieurs tentatives avant de deviner le code postal. Une fois, ma carte a été verrouillée pour fraude après avoir entré le mauvais code postal plusieurs fois de suite - je venais de déménager et d'essayer mon ancien code postal plusieurs fois, avant de deviner mon nouveau code postal (sans succès). Mon service de fraude bancaire CC m'a appelé 10 minutes plus tard pour me renseigner sur les activités suspectes.
@gerrit Ou parce que les cartes de crédit étaient beaucoup plus courantes aux États-Unis que dans la plupart des autres pays du monde avant l'existence des cartes à puce et à code PIN et que les Américains étaient donc déjà très habitués aux cartes de signature? Quoi qu'il en soit, c'est plutôt hors sujet ...
J'imagine que le vol de portefeuille n'est pas une source importante de fraude continue puisque la victime est susceptible de remarquer puis de désactiver la carte dans un temps relativement court, c'est la plus grande protection là-bas. Il y aurait quelques transactions frauduleuses mais pas vraiment en cours. Maintenant, si quelqu'un laisse tomber sa carte de son portefeuille, c'est une autre histoire.
Six réponses:
Rodrigo M
2015-11-05 01:53:41 UTC
view on stackexchange narkive permalink

Y a-t-il des preuves que cela conduit réellement à une réduction significative de la fraude par carte de crédit réussie?

Oui, il existe des preuves, et Oui , il a absolument permis de réduire de nombreux types de fraude par carte:

La fonction de prévention de la fraude à laquelle vous faites référence s'appelle le service de vérification d'adresse (AVS). Le service AVS vérifie que le numéro de rue et / ou le code postal présenté au terminal correspondent aux données présentes pour le titulaire de la carte dans la banque émettrice.

En temps réel, le processeur de paiement renverra une réponse AVS . Sur la base de la réponse, le commerçant peut décider de rejeter une transaction non conforme.

Elle a été adoptée par presque tous les émetteurs de cartes aux États-Unis.

enter image description here

Voir le Guide du commerçant du service de vérification d'adresse Visa

La réponse possible codes, et les paramètres de rejet configurables sont affichés ici:

enter image description here

Dans un terminal de station-service, le terminal peut être configuré pour rejeter AVS Codes de réponse N et A, par exemple.

À la lecture de ce document, il semble que ces statistiques ont été recueillies principalement à partir de transactions sans carte (c'est-à-dire en ligne, par téléphone, etc.), mais elles sont très intéressantes. Il est particulièrement surprenant que le taux de non-correspondance était si élevé pour les cartes volées dans le courrier, puisque celles-ci ont l'adresse de facturation imprimée sur l'enveloppe.
Comment la fraude ** Card Stolen From Mail ** pourrait-elle être réduite de 90% en raison du manque de connaissance du code postal du destinataire?!?
Vraisemblablement, les détails de la carte pour les cartes volées dans le courrier sont vendus en vrac (sans les données d'adresse) à un tiers.
@dotancohen Je suppose que les statistiques datent de l'époque où le mécanisme était nouveau et pourtant inconnu des fraudeurs. Si cette théorie est correcte, il semble que 90% des voleurs ont jeté la lettre et seulement 65% ont jeté le portefeuille. Une autre chose si cette théorie est correcte, maintenant il n'y a plus de protection dans l'un ou l'autre de ces 2 cas parce que les voleurs en ont pris conscience.
Tout ce dispositif de «sécurité» a jamais fait pour moi, en tant que touriste aux États-Unis, c'est m'empêcher d'utiliser mes cartes de crédit à la pompe. Je ne veux pas avoir à traiter avec les gens quand je fais le plein. Qui a eu l'idée stupide d'exiger des codes postaux de cartes de crédit non américaines?
@Alex Eh bien, pour une station-service américaine, la grande majorité de leurs clients seront américains, donc ils sont probablement prêts à faire venir la poignée de clients internationaux qu'ils obtiennent pour économiser une somme substantielle sur les frais de traitement CC. J'imagine que la plupart des stations-service américaines n'ont pas plus de 1% de clients non-résidents américains et c'est probablement un peu moins que cela dans les zones qui ne sont pas proches d'une frontière ou d'un aéroport international.
@Alex Je crois que vous pouvez entrer 00000 comme zip et cela traitera.
Une meilleure question, et un meilleur point à aborder dans la réponse, est de savoir si le bénéfice obtenu à partir de cela l'emporte sur les inconvénients causés. En particulier, AVS peut détecter les cartes contrefaites 100% du temps _ sans_ avoir besoin de vérifier un code postal fourni par l'utilisateur (il obtient 100% simplement parce qu'un numéro de carte contrefait n'existera pas dans la base de données AVS _ en premier lieu_). Les cartes contrefaites dont les informations coïncident avec les cartes réelles sont probablement considérées comme "volées" aux fins de leurs statistiques.
Réponses générales AVS: "* Ermahgerd, transaction bergus *".
@aroth J'ai supposé que par «cartes contrefaites», cela signifiait des cartes qui ont été «clonées» avec les données de cartes légitimes, comme indiqué dans [la réponse de Steve] (http://security.stackexchange.com/a/104605/46674).
@aroth - Une «carte de crédit contrefaite» avec un numéro CC qui n'a été émis à personne échouera automatiquement sans AVS. Un CC vierge est probablement assez bon marché, mais un criminel ne fera pas des dizaines de milliers de CC avec des nombres générés aléatoirement dans l'espoir de trouver un numéro CC valide. De plus, le nom du titulaire de la carte est codé sur la bande magnétique CC, donc pour qu'une «contrefaçon» ait une chance de «fonctionner», elle doit au moins avoir un numéro CC émis et un nom de titulaire de carte correspondant. Je suis sûr que par "carte de crédit contrefaite", ils signifient une carte "clonée", comme par effraction / hack de base de données.
Cartes @dotancohen volées dans le courrier: probablement en vrac, car toutes les cartes que je connais lorsqu'elles sont envoyées de la banque au consommateur sont inutilisables jusqu'à ce que vous les utilisiez dans un guichet automatique et entrez votre code PIN, donc un voleur devrait connaître le code PIN, donc logiquement, ces règles hors banque -> vol du courrier des consommateurs.
@Alex Si vous détestez interagir avec les gens dans les stations-service, vous détesteriez le New Jersey (il est interdit de pomper votre propre gaz). Bien que ce ne soit pas exactement une destination touristique de toute façon.
@JasonC Aux États-Unis, la plupart des cartes de crédit ne vous obligent pas à les activer dans un guichet automatique et la plupart des cartes de crédit ici n'ont même pas de code PIN. Pour la plupart d'entre eux, il vous suffit d'appeler un numéro indiqué sur un autocollant sur la carte pour l'activer, bien qu'ils vérifient que vous appelez à partir du numéro du compte ou bien vous posent des questions à vérifier.
Il convient de noter que les processeurs de paiement offrent généralement des frais considérablement inférieurs aux commerçants utilisant AVS qu'aux commerçants qui ne le font pas. Ce qui indique 1) que * ils * croient que cela réduit la fraude, et 2) que les stations-service l'utiliseront de toute façon, car elles feront tout pour améliorer leurs faibles marges.
Steve Sether
2015-11-04 23:26:46 UTC
view on stackexchange narkive permalink

Vous soulevez un bon point qui est souvent négligé dans la sécurité. Données.

"En Dieu, nous avons confiance, tous les autres doivent apporter des données". - W Edwards Demming

Je pense qu'il est peu probable que vous trouviez des données réelles pour l'efficacité d'un politique de sécurité. Je ne connais pas beaucoup d'analyses scientifiques réelles dans le secteur de la sécurité, et c'est vraiment dommage. Donc, les gens sont laissés à spéculer, et spéculent qu'ils le feront.

Comme gowenfawr, je n'ai pas non plus de données et je ne peux que faire des spéculations.

Vous avez raison de dire que le "l'attaque de portefeuille volé" n'offrira aucune protection contre la fraude. Mais de nos jours, de nombreuses cartes de crédit sont volées dans des systèmes de traitement automatisés non sécurisés. Target et Home Depot en sont des exemples. Les attaquants prennent les informations de ces systèmes et clonent des cartes. Je ne pense pas que ces systèmes contiennent généralement le code postal du titulaire de la carte, et il n'est pas encodé sur la carte elle-même.

Le fait est que demander un code postal dans une station-service rendra les tentatives de clonage plus difficiles pour effectuer. Je suppose que cela réduira la fraude d'un certain montant.

Ah merci. Je n'avais pas envisagé le clonage de cartes. J'avais supposé que les personnes qui volaient des numéros de carte de crédit lors d'attaques comme l'attaque Target utilisaient simplement les numéros de carte en ligne plutôt que de créer des cartes clonées et d'essayer de les utiliser en personne. +1
@reirab utilisant les cartes en ligne laisse généralement une trace traçable (c'est-à-dire une adresse de destination, des adresses IP d'ordinateur, etc.), alors qu'il existe de nombreux endroits où l'on peut utiliser une carte en personne sans donner aucune pièce d'identité (et porter un chapeau / etc. pour éviter les caméras ... le fait est qu'il est plus difficile à suivre, pas impossible)
Il y a quelques années, j'ai lu un article sur un cloneur de cartes. Il vivait de cartes de clonage. Achetez un ordinateur portable coûteux chez Best Buy avec sa carte clonée, puis vendez-le à bas prix sur craigslist dans une chambre d'hôtel louée. Très difficile d'attraper quelqu'un comme ça.
@user2813274 Pour les cybercriminels capables de déclencher une attaque comme celle de Target, masquer leur adresse IP est trivial. L'adresse de destination physique est en effet plus difficile à déplacer, mais il existe des moyens de minimiser les risques, tels que la définition de l'adresse de destination à un tiers innocent, puis la récupérer dans leur boîte aux lettres ou sur le porche après la livraison. Même si la fraude est découverte avant la livraison, les chances que la police prenne le temps de délimiter cette maison sont assez faibles et vous pourriez probablement les repérer et continuer à conduire même si elles le faisaient.
@reirab ce n'est pas que ce soit impossible, c'est que c'est une étape supplémentaire - et non seulement cela ajoute un délai de quelques jours dans lequel la fraude peut être détectée, mais cela soulève également des soupçons (c'est-à-dire si l'on achète depuis un nœud de sortie TOR) , si son adresse de facturation / livraison ne correspond pas (en fait, auriez-vous même une adresse de facturation sans le code postal? peu probable) - beaucoup de drapeaux rouges là-bas
@reirab De nombreux types d'escroqueries liées au blanchiment d'argent impliquent l'utilisation de tiers (sans-abri, illégaux). Pas besoin de se présenter en personne.
Oui, vous n'obtenez pas le code postal si vous volez le numéro de carte pour le cloner au point de vente de Target. Cependant, si vous le volez sur le réseau de traitement non sécurisé de la station-service, vous avez le code postal que les clients ont entré avec leur numéro de carte.
N. Greene
2015-11-04 22:13:12 UTC
view on stackexchange narkive permalink

C'est pour la dissuasion, et certaines choses qui sont utilisées pour la dissuasion sont vraiment pour le client de se sentir en sécurité et font très peu pour la «sécurité». Prenez des caméras de surveillance. J'installe probablement plus de 200 caméras par an, et comme je fais tout mon possible pour que les caméras protègent le site du mieux que je peux, il existe des moyens de contourner cela. Ils servent à la dissuasion. Les gens voient des caméras et disent "Oh, ils ont des caméras, je ne peux pas voler cet endroit." Je ne dis pas que les caméras sont inutiles, j'ai aidé les propriétaires de magasins à capturer probablement environ 50 employés / clients qui volent au fil des ans.

Alors, commençons par cet exemple. J'ai volé votre portefeuille, maintenant que vous vous en rendiez compte il y a 5 minutes ou 5 heures, vous allez appeler votre banque / votre carte de crédit et annuler vos cartes. En tant que voleur, je dois utiliser vos cartes rapidement car je sais que vous allez annuler vos cartes. Je serais plus préoccupé par le vol d'identité d'un portefeuille volé que par l'utilisation de mes cartes.

Vous avez raison, si j'ai votre portefeuille, je connais votre code postal. Je ne peux peut-être pas utiliser votre carte de visite, mais je peux toujours m'en tirer avec quelque chose de gratuit. Je vais acheter des cartes prépayées à utiliser et jeter votre portefeuille, peut-être en gardant vos cartes d'identité.

Disons qu'au lieu de voler votre portefeuille, je pirate un réseau de point de vente et j'obtiens des informations de carte à partir de là. Je n'ai pas votre code postal, mais je pourrais toujours faire une copie de votre carte si j'obtenais suffisamment d'informations sur le piratage que j'ai effectué sur le réseau de point de vente. Vous ne sauriez pas que les informations de votre carte ont été compromises tant que la société n'a pas révélé qu'elles ont été piratées. Je pourrais toujours utiliser ces données de carte pour acheter des choses, mais pas avec un paramètre de type «payer à la pompe».

On vous demande le code postal aux endroits où vous n'interagissez pas avec une personne. C'est une méthode de prévention pour empêcher les voleurs avec vos informations CC de voler du gaz. Cependant, ils pourraient entrer à l'intérieur avec une carte "copiée" et acheter de l'essence à l'intérieur.

Simplement, si vous payez avec une carte «face à face» avec quelqu'un, il n'a besoin d'aucune information supplémentaire de votre part en plus de ce qui est sur la carte. Ils peuvent demander une pièce d'identité avec photo pour confirmer que vous êtes le titulaire de la carte.

Si vous êtes à la borne de paiement (pompe à essence, borne de magasin) et que le système vous demande le code postal de l'adresse de facturation de la carte, c'est pour vérifier la fraude.

Cette vérification du code postal, est vérifiée par la banque du titulaire de la carte et n'est pas utilisée autrement que pour vérifier que les informations sont correctes.

En «face à face», toute information supplémentaire qu'ils demandent, est très probablement à des fins de marketing et ils ne peuvent pas refuser votre transaction en omettant de donner ces informations supplémentaires.

California Beverly Credit La Card Act de 1971 traite de cela, et des modifications y ont été apportées au fil des ans.

Est-ce que cela réduit la fraude, peut-être. Cependant, je pourrais toujours entrer avec «votre» carte et y acheter de l'essence. Certes, il y a plus de chances d'échec à l'intérieur. Caméras, caissier demandant une pièce d'identité, carte signalée volée.

En essayant d'utiliser la carte à l'extérieur sans aucun employé, je vais obtenir deux réponses de la pompe à essence:

  1. Acceptée
  2. Votre carte a été refusée, consultez le préposé.

Si j'avais l'option n ° 2, je partirais simplement et essayerais un autre code postal dans un autre gaz station.

gowenfawr
2015-11-04 22:15:32 UTC
view on stackexchange narkive permalink

Y a-t-il des preuves que cela conduit réellement à une réduction significative de la fraude par carte de crédit réussie?

Vous devrez demander à l'une des sociétés de gaz ou à l'une des les fournisseurs de fraude (comme Accertify? ThreatMetrix?) qui pourraient avoir des statistiques ("preuves").

Il me semble que ce serait ce n'est pas une mesure très utile pour une machine qui nécessite la présence de la carte de toute façon .... [les voleurs] ont presque certainement au moins un et probablement plusieurs identifiants qui incluent votre code postal .... Ainsi, je suis curieux de savoir si tout avantage réel en matière de sécurité a été démontré pour cela ou non.

Je n'ai pas de preuves , mais je vous propose des spéculations :

  1. De toutes les informations anti-fraude, le code postal est le seul qui puisse être saisi facilement sur un clavier de pompe à essence uniquement numérique.
  2. Exiger un zip comme antifraude sert de notification à l'utilisateur que cette transaction est en cours d'examen, ce qui peut ont à la fois un effet rassurant sur les utilisateurs valides et un impact dissuasif sur les utilisateurs frauduleux.
  3. Faire quelque chose finit par être mieux que de ne faire rien dans ce cas.

Il existe d'autres étapes de fraude - analyse de l'emplacement, de la fréquence et des habitudes - qui sont probablement plus efficaces contre le cas d'utilisation du «portefeuille volé». Mais ceux-ci se produisent dans les coulisses, sans assurance ni dissuasion.

Concernant 1: Qu'est-ce qui empêche la saisie du code PIN de la carte sur un clavier de pompe à essence uniquement numérique? Contrairement à un code postal, le code PIN est _en fait_ une information anti-fraude, alors que les codes postaux ne sont même pas secrets - personne ne s'attend à ce que quiconque garde _leur adresse postale_ secrète des gens autour d'eux.
@HenningMakholm aux États-Unis, il est assez rare qu'un titulaire de carte * de crédit * ait un code PIN sur sa carte. Il n'est généralement utilisé que pour les avances de fonds. [Exemple] (http://www.usatoday.com/story/money/personalfinance/2015/10/01/us-shifts-credit-cards-chip-signature-still-do/73145306/): "Contrairement aux cartes de débit , `` pour les cartes de crédit aujourd'hui, il n'est pas courant d'utiliser un code PIN, donc la plupart des cartes aux États-Unis restent de la même manière, prenant en charge une signature '' ou, dans certains cas, aucune vérification du titulaire de la carte du tout, déclare Stephanie Ericksen, vice-présidente de produits à risque pour Visa. "
Israel Isassi
2015-11-05 22:54:06 UTC
view on stackexchange narkive permalink

Une autre raison serait de retarder légèrement la saisie des informations par la personne. Tout ce qui ajoute quelques secondes aux activités d'un voleur amateur réduit les chances qu'il mène à terme. De plus, ces quelques secondes supplémentaires augmentent les chances d'obtenir une bonne image devant la caméra.

xFrei
2015-11-05 23:01:41 UTC
view on stackexchange narkive permalink

Un peu comme ce qu'Israël a dit, cela peut ajouter un peu de retard, mais il y a de fortes chances que vos caméras de sécurité puissent déjà le récupérer.

Il est probable que s'ils connaissent les informations de votre carte de crédit, ils connaissent essentiellement tout le reste, probablement juste une méthode de protection mineure.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...