我没有信用卡,但阅读了很多关于信用卡被盗的欺诈行为。由于我没有,我不知道你是如何使用信用卡在线购买的,所以如果我错了,请纠正我(我希望如此)。
为什么不使用一次性验证码或令牌呢?例如,客户在 cc 公司的服务器上输入 cc 数据,该服务器向店主发送确认信息或提供签名令牌(如 gpg),用户将其交给商店以证明他已汇款,或者商店只是等到它看到自己账户上的钱了吗?由于我有基本的 IT 安全知识,您还可以添加技术细节。那么我的假设是否正确,如果正确,是什么阻止了网店所有者滥用信用卡数据?
对于有争议的交易,无卡交易的责任由商户承担。本质上,如果你对交易提出异议,如果商家没有你的签名,那么如果你坚持下去,他们最终会买单。同样,当 CNP 商家向您开双倍账单时,当您对账单提出异议时,他们最终会付款。
正如@DavidFoerster 指出的那样,处理器和信用卡公司会跟踪退款率。他们关注统计数据,当商家有太多退款时,他们就会被切断。(通常他们会从他们的处理器启动,然后去找另一个处理器,他们会因更高的风险向他们收取更多费用)。
在其他地方重新滥用卡片的商店也是如此。卡品牌查看欺诈报告并确定这 20 张欺诈报告卡都具有 Bob 的 Web Shack 作为过去交易的共同点。然后,他们将调查 Bob 的 Web Shack - 既因为它可能是一个糟糕的店主,也因为它可能是一家被入侵的商店。而且 - 再次 - 如果一家商店是问题的根源,他们将被切断。
这就是防止网店所有者滥用卡片的原因。他们将失去任何争议,然后他们将被丢弃并且无法处理卡片。
与大多数犯罪一样,如果您下定决心,实际上没有什么可以阻止您这样做,除了被发现的风险和后果。对于小型和罕见的事件,CC 公司将其注销为开展业务的成本。对于大型或频繁的场景,人们会被发现并入狱。
对欺诈模式的分析是认真的,很多人才和财力资源都投入其中。所有这些风险并不新鲜——在网店普及之前,各个实体店的员工都有能力这样做。例如,餐厅服务员可以访问大量卡片,并且可以滥用他们的数据。
如果是一次,那么就没有发现任何模式,但它一直在进行,那么自动确定一堆被滥用的卡共享一个共同的购买点并审核该位置并不难 - 取决于欺诈规模这可能会导致警方采取行动,或者只是将公司和其他拥有相同所有者或管理层的未来公司列入黑名单。
此外,这些风险是开办一个实际上可以访问 CC 数据的网上商店并非易事的部分原因。银行通常不允许随机的小公司直接在线接受卡- 他们接受它的条件是所有授权都通过一个受信任的支付网关,并且您的公司只是获得一个签名的令牌“接受 $xxx 的支付”而不是完整的卡数据。如果您想自己处理 CC 数据,请准备好进行各种合规性检查。
为了接受付款,许多信用卡处理公司要求客户的代码符合 PCI 标准。我不确定所有规则,但我相信它需要没有编写代码的人来查看它。对于其他人,例如 Stripe 和 PayPal,信用卡数据永远不会触及店主的服务器。在 Stripe 的情况下,JavaScript 将其提交给他们,然后向店主服务器返回一个令牌,表明他们已付款、已通过,并可用于退款。
看:
是什么阻止了他们?无非就是后果。
但是,较大的在线商家可以使用第三方处理服务来处理所有信用卡交易,并且作为他们与商家签订的合同的一部分,对这些数据的泄露承担所有责任。在这些安排中,商家本身根本看不到信用卡号;他们只获得一个令牌,可用于通过第三方再次为同一张卡计费,但对任何攻击者都无用。(如果第三方确实受到了攻击,数百万个数字被泄露,商家就可以洗白了。)
当然,即使商家使用这样的第三方,最终用户也必须信守诺言,即使商家披露了这一点。当然,没有什么能阻止第三方的腐败员工窃取数字。
就您而言,可以使用加密来保护在线交易。数字现金密码系统确实存在。但是使用这种系统的用户体验通常更复杂,这只是广泛采用的众多障碍之一。