web-dev-qa-db-fra.com

Quel est l'impact de la divulgation de la face avant d'une carte de crédit ou de débit?

Il existe de nombreux cas où des personnes sont appelées pour avoir divulgué la face avant d'une carte de crédit ou de débit (par exemple ce Tweet de Brian Krebs ou ceci compte Twitter ). Je me demandais donc quel serait l'impact de cette divulgation pour le titulaire de la carte.

À l'avant d'une carte, un fraudeur pourrait obtenir la carte PAN (numéro à 16 chiffres) date de début/date d'expiration et nom du titulaire de la carte. Également pour les cartes de débit, le numéro de compte du titulaire de la carte et le code de tri (qui peut varier selon la région).

La question est donc de savoir quel est l'impact probable de la divulgation de ces informations (c'est-à-dire quelles fraudes pourraient être commises).

Quelques pensées initiales que j'avais: -

  • Les transactions de titulaire de carte non présent ne devraient pas être possibles car le CVV n'a pas été divulgué
  • La carte ne serait pas clonable avec seulement ces informations car il y a d'autres informations nécessaires pour la piste magnétique.
59
Rory McCune

Vous n'avez pas réellement besoin du CVV pour effectuer des transactions, ils sont juste requis par la plupart des détaillants comme moyen de vérifier que vous avez la carte physique dans votre possession.

De Wikipedia (sans source):

Il n'est pas obligatoire pour un commerçant d'exiger le code de sécurité pour effectuer une transaction, donc la carte est toujours sujette à la fraude même si seul son numéro est connu des hameçonneurs.

Sur la plupart des systèmes EFTPOS, il est possible de saisir manuellement les détails de la carte. Lorsqu'un champ n'est pas présent, l'opérateur appuie simplement sur Entrée pour sauter, ce qui est courant avec les cartes qui n'ont pas de date de début. Sur ces systèmes, il est trivial de recharger une carte sans le CVV. Lorsque je travaillais dans le commerce de détail, nous le faisions fréquemment lorsque la puce d'une carte ne fonctionnait pas et que le CVV avait déteint. Dans de tels cas, tout ce qui était nécessaire était le numéro de carte et la date d'expiration, avec une signature sur le reçu pour vérification.

40
Polynomial

Mis à part les attaques déjà mentionnées impliquant l'utilisation non autorisée d'une carte de crédit, les informations de carte de crédit peuvent également être utilisées pour l'ingénierie sociale et le vol d'identité.

Comme exemple quelque peu actuel, voyez comment Mat Honan a été piraté l'été dernier: http://www.wired.com/gadgetlab/2012/08/Apple-Amazon-mat-honan-hacking/all/

Dans son cas, Apple n'a exigé que les derniers chiffres de sa carte de crédit (que son attaquant a obtenue d'Amazon) pour abandonner le compte. Il va de soi que d'autres fournisseurs peuvent être dupés si un attaquant devait fournir un numéro de carte de crédit complet comprenant les dates d'expiration.

18
Bushibytes

Vous auriez besoin du CVV et de la date d'expiration pour la vérification, bien que la date d'expiration soit sur la face avant d'une carte. L'adresse de facturation ou, au minimum, le code postal de l'adresse de facturation, qui ne figurent ni au recto ni au verso de la carte, sont également requis.

Cependant, cela dépend si vous achetez quelque chose au détail, en personne ou en ligne. Si vous travaillez dans le commerce de détail où les détails de la carte peuvent être saisis manuellement, ce qui est certainement une option à moins qu'il n'y ait des politiques contre elle, ou peut-être une machine POS qui ne le permettra pas (bien que cela n'ait pas été mon expérience, comme magnétique les bandes sont démagnétisées par les attaches magnétiques des femmes (BEAUCOUP), il y aurait un risque de fraude. Il ne serait pas nécessaire de facturer le code postal ou l'adresse de facturation. Cela nécessiterait la complicité du caissier ainsi que du client. C'est pourquoi: Même si les informations de la carte peuvent être saisies manuellement, il n'est JAMAIS acceptable de prendre les informations d'une personne qui vous remet un morceau de papier avec les détails de sa carte.

Au téléphone ou en ligne, vous aurez besoin du nom, du numéro de carte, de la date d'expiration, du CVV (4 chiffres pour AmEx, 3 chiffres pour Visa/MC) et de l'adresse de facturation (et de l'adresse de livraison) pour une livraison physique. Si vous commandez quelque chose qui n'a pas besoin d'être livré, et rappelez-vous, vous avez maintenant restreint considérablement vos options pour les achats illégaux, vous aurez toujours besoin de la facturation du code postal, même si vous n'avez pas besoin d'adresse, etc.

Que pouvez-vous acheter en ligne ou par téléphone, avec nom, numéro de carte, CVV et code postal? Eh bien, les achats mensuels d'iTunes plafonnent à 5 000 $ par mois par défaut. Vous pouvez donc acheter beaucoup de musique iTunes, ou un abonnement premium à des sites pornographiques coûteux, ou beaucoup de stockage en nuage ou des jeux en ligne. Mais même si vous deviez faire tout cela, vous auriez toujours besoin d'utiliser les services d'un endroit associé à une adresse IP. Je doute qu'il soit pratique de jouer à des jeux via Tor, il en va de même pour le streaming porno, même si je n'en suis pas certain. Et si vous avez acheté des chansons iTunes, Apple aurait besoin de suffisamment d'informations d'identification à votre sujet pour que ce ne soit pas sûr. Vous ne pouviez pas acheter des trucs via Paypal ou Amazon, comme vous en auriez besoin de prendre physiquement livraison des articles, ce qui serait incriminant, que ce soit à vous ou à quelqu'un d'autre qui a agi pour vous.

Et tout cela serait théorique sans le code postal de facturation, qui n'est pas sur le devant de la carte. Je n'ai aucune source, juste une expérience de travail dans un casino, sur un énorme navire de 500 personnes, pendant un an. Et j'achète beaucoup de vêtements et de choses en ligne. Je vais chercher quelque chose à citer, mais cela a tendance à être le résultat de pratiques de paiement électronique largement observées plutôt que l'impossibilité technologique.

ÉDITER:
Voir les réponses à cette question À quoi servent les détails des cartes de crédit volées? Les réponses sont basées sur l'accès à des quantités massives de cartes, ou sur la volonté de permettre à quelqu'un d'avoir des ennuis pour prendre livraison de vos achats (la réponse est qualifiée de "rube"), ou plutôt élaborer des systèmes d'échange de cartes eBay. Ce n'était pas simple. (Beaucoup recherchent des informations de carte de crédit, mais je me demande souvent ce que la plupart des gens peuvent réellement en faire, à part provoquer des inconvénients et de la peur. ZeuS ou SpyEye sont l'exception, car ils semblent extrêmement polyvalents).

13
Ellie Kesselman

Il convient de mentionner que les cartes de crédit American Express ont le CVV à l'avant (pas à l'arrière), ainsi que le numéro de carte, le nom du titulaire de la carte et la date d'expiration. Par conséquent, la divulgation de la face avant d'une carte Amex permettrait des achats arbitraires, même des achats sans carte.

11
D.W.

Tout ce qui est nécessaire pour exécuter une transaction par carte de crédit est le PAN (numéro de compte principal), qui est essentiellement les 16 chiffres qui se trouvent sur le devant d'une carte. C'est tout ce qui se passe vraiment quand une carte est glissé - la machine lit le PAN qui est encodé sur la bande magnétique de la carte. Par conséquent - si quelqu'un a la face avant de votre carte, votre compte est compromis.

Carte présente, carte d'identité/signature correspondante, CVV (code de sécurité), AVS (vérification d'adresse) et d'autres sont des couches de sécurité supplémentaires qu'un commerçant pourrait vous demander, en particulier dans un environnement à risque comme les achats en ligne. Mais, ce ne sont en aucun cas nécessaires. Vous pourriez vous en sortir en exécutant une transaction avec seulement les 16 chiffres, bien que la plupart des marchands ne le permettent pas en raison du risque de fraude et de refacturation.

8
John