询问邮政编码的信用卡机器是否有好处?

信息安全 验证 信用卡
2021-09-02 11:41:29

在美国,加油站等地的许多信用卡机器已经开始询问您的邮政编码以使用信用卡表面上帮助验证您确实是持卡人,而不是信用卡被盗。我的问题很简单:是否有任何证据表明这实际上会显着减少成功的信用卡欺诈行为?

在我看来,对于无论如何都需要卡存在的机器来说,这不是一个非常有用的措施。我猜想,如果有人偷了你的钱包,最常见的方式就是偷走你的信用卡,在这种情况下,他们几乎可以肯定至少有一个并且可能有多个包含你的邮政编码的 ID。例如,在我的钱包里,至少我的驾驶执照、汽车保险卡、名片和飞行员证书都列出了我的邮政编码,而且从我的选民登记卡中找出也很容易。因此,我很好奇是否为此显示了任何实际的安全优势。

4个回答

是否有任何证据表明这实际上会显着减少成功的信用卡欺诈行为?

是的,有证据,的,它绝对减少了许多类型的卡欺诈:

您所指的防欺诈功能称为地址验证服务 (AVS)。AVS 服务检查终端上显示的街道号码和/或邮政编码是否与发卡银行的持卡人数据相匹配。

支付处理器将实时返回 AVS 响应。基于响应,商家可以决定拒绝不合格的交易。

它已被美国几乎所有的发卡机构所采用。

在此处输入图像描述

请参阅签证地址验证服务商户指南

可能的响应代码和可配置的拒绝设置如下所示:

在此处输入图像描述

例如,在加油站终端设置中,终端可能被设置为拒绝 AVS 响应代码 N 和 A。

您提出了一个在安全性中经常被忽视的好观点。数据。

“在我们信任的上帝中,所有其他人都必须带来数据”。-W 爱德华兹·戴明

我认为您不太可能找到安全策略有效性的实际数据。我不知道安全行业中有很多实际的科学分析,这是一个可怕的耻辱。所以人们只能猜测,并猜测他们会。

和gowenfawr一样,我也没有任何数据,只能提供猜测。

你是对的,“被盗钱包攻击”不会提供任何防止欺诈的保护。但是现在很多信用卡都是从不安全的自动处理系统中被盗的。Target 和 Home Depot 就是这样的例子。攻击者正在从这些系统中获取信息并克隆卡片。我不相信这些系统通常包含持卡人的邮政编码,并且它没有编码在卡本身上。

关键是,在加油站询问邮政编码将使克隆尝试更难执行。我推测这将在一定程度上减少欺诈行为。

是为了威慑,而有些用来威慑的东西,真的是为了让客户觉得安全有保障,对“安全”做的很少。带上监控摄像头。我可能每年安装大约 200 多个摄像头,而且我尽一切可能让摄像头尽我所能保护网站,有办法解决这个问题。他们是为了威慑。人们看到相机然后说“哦,他们有相机,我不能抢劫这个地方。” 并不是说相机没用,多年来我帮助店主捕获了大约 50 名员工/客户的盗窃行为。

所以,让我们从这个例子开始。我偷了你的钱包,现在无论你是在 5 分钟前还是 5 小时前意识到这发生了,你都会打电话给你的银行/信用卡并取消你的卡。作为小偷,我必须尽快使用你的卡,因为我知道你要取消你的卡。我更担心钱包被盗而不是我的卡被使用时的身份盗窃。

你是对的,如果我有你的钱包,我知道你的邮政编码。也许我不能使用你的名片,但我仍然可以免费获得一些东西。我会去买预付卡来使用,把你的钱包扔垃圾,也许会保留你的身份证。

假设我没有窃取你的钱包,而是入侵了一个 POS 网络并从那里获取卡信息。我没有你的邮政编码,但如果我从我在 POS 网络进行的黑客攻击中获得了足够的信息,我仍然可以复制你的卡。在公司发布他们已被黑客入侵之前,您不会知道您的卡信息已被泄露。我仍然可以使用该卡数据来购买东西,但不能在“泵上付款”类型设置下。

在您不与人“互动”的位置,系统会要求您提供邮政编码。这是一种防止窃贼窃取您的 CC 信息的方法。然而,他们可以带着“复制”的卡进去,在里面买汽油。

简单地说,如果您使用卡与某人“面对面”付款,除了卡上的内容外,他们不需要您提供任何额外信息。他们可能会要求您提供带照片的身份证以确认您是持卡人。

如果您在售货亭付款站(加油站,商店售货亭)并且系统要求您提供卡的账单地址的邮政编码,这是为了检查是否存在欺诈行为。

该邮政编码检查由持卡人的银行验证,除了验证信息是否正确外,不会以任何方式使用。

在“面对面”中,他们询问的任何额外信息很可能是出于营销目的,他们不能因为您未能提供额外信息而拒绝您的交易。

1971 年的加利福尼亚贝弗利信用卡法案对此进行了处理,并且多年来对其进行了修改。

它是否减少了欺诈,也许。但是,我仍然可以带着“你的”卡进去,在那里买汽油。诚然,进入内部失败的可能性更大。相机,收银员要身份证,卡被报告被盗。

通过尝试在没有员工的情况下在外面使用该卡,我将从加油站得到两个响应:

  1. 公认
  2. 您的卡被拒绝,请见服务员。

如果我得到选项#2,我会离开并在另一个加油站尝试另一个邮政编码。

是否有任何证据表明这实际上会显着减少成功的信用卡欺诈行为?

您将不得不询问可能拥有统计数据(“证据”)的天然气公司之一或欺诈提供者之一(如Accertify ? ThreatMetrix ?)。

在我看来,对于无论如何都需要卡存在的机器来说,这不是一个非常有用的措施...... [窃贼] 几乎可以肯定至少有一个并且可能有多个包含您的邮政编码的 ID......因此,我很好奇是否为此显示了任何实际的安全优势。

我没有证据,但我给你推测

  1. 在所有反欺诈信息花絮中,邮政编码是唯一可以在仅限数字的气泵键盘上方便输入的信息。
  2. 要求使用 zip 作为反欺诈可以通知用户此交易正在接受审查,这可能对有效用户产生安抚作用,对欺诈用户产生威慑作用。
  3. 在这种情况下,做某事总比什么都不做要好。

还有其他欺诈步骤——位置、频率和习惯分析——可能对“被盗钱包”用例更有效。但这些都发生在幕后,没有任何保证或威慑。

其它你可能感兴趣的问题
上一篇使用 MD5 验证小文件(小于 15kb)的完整性是否安全? 下一篇我该如何处理打电话询问个人信息的公司?