信用卡/借记卡不能轻松地变得更安全吗?

信息安全 密码 信用卡 智能卡 银行 金融
2021-08-22 20:41:15

作为一个将要获得我的第一张信用卡或借记卡的人,我开始对它们的安全性进行一些研究,并提出了一些关于为什么系统设计成这样的问题。

  1. 我从网站上了解到信用卡数据的大量泄露,有时是数百万信用卡数据被黑客入​​侵,这些数据后来被出售并用于欺诈。如果商家不保留在线交易的详细信息,就不能避免这种泄露吗?换句话说,为什么像 Visa 或 Mastercard 这样的支付处理器不能充当中间人?在在线购买产品之前,购物者将被重定向到支付处理器的网站,并在那里输入卡的详细信息。如果支付处理器接受它(数据是正确的并且不会触发欺诈检测机制),Visa/Mastercard 将从买家账户中取出资金并将其发送给商家。这样商家就可以运送产品,而且由于中间人是受信任的第三方,它可以期待稍后收到钱。不同的是,商家不必知道交易中使用的卡的详细信息,因此以后不能泄露。为什么它不能那样工作?

  2. 在线购买时是否总是需要 CSC(卡安全码,印在卡上的 3 或 4 位代码)?如果不需要,是否需要取决于什么 - 是否由商家决定?如果总是需要它们,那么当数百万信用卡详细信息因黑客攻击而泄露时,为什么会有这么大的问题呢?欺诈者仍然需要 CSC 代码才能在线购买任何东西,对吧?或者 CSC 代码是否总是包含在泄漏中,因为在线商店没有在交易后删除它们(我读过法律说它们不应该在交易完成后存储)。

  3. 为什么 CSC 号码只有 3 位或 4 位数字?欺诈者就不能尝试所有的可能性吗?或者在卡被阻止之前是否有最大尝试次数?

  4. 为什么CSC号码甚至印在卡上?如果卡被盗或有人写下或记住了号码,则持卡人将受到威胁。据我所知,在线交易使用 CSC,离线交易使用您在终端中输入的 PIN(例如在餐厅)。如果只有一个密码没有写在用于验证两种交易类型的卡上,那不是更好吗?

  5. 当我读到诸如“1000 万信用卡号码泄露”之类的标题时,它们实际上是指数字吗?如果没有到期日期、持卡人姓名等数据,这些数字不是毫无用处吗?据我所知,这些数据也用于验证交易?

2个回答

都是很好的问题。这里有很多细微差别和历史,如果有兴趣,必须忽略简短的答案,这是值得研究的。

如果商家不保留在线交易的详细信息,就不能避免这种泄露吗?换句话说,为什么像 Visa 或 Mastercard 这样的支付处理器不能充当中间人?

商家不应该在交易后存储付款详细信息 - 除非在极少数情况下,用户与商家互动以创建重复交易,例如订阅 - 但有些人仍然这样做,违反了他们必须遵守的接受卡付款的要求,在管理它们的组织之后通俗地称为 PCI(由支付品牌 Visa 和 Mastercard 赞助)。当然,这些不适当的存储点已经受到损害,导致相关商家面临巨额罚款和成本。

然而,存储,无论是否适当,都远不是唯一的攻击点。必须有机器在销售点从持卡人那里获取卡的详细信息,并与所涉及的各个银行进行沟通——至少是收单银行,与商家有关系的银行允许他们收取持卡人的付款——和持卡人银行,负责批准使用信用卡或确认可用于借记的资金的银行。这种通信通常由支付处理器中间商进行后勤代理,这些中间商根据行业等以不同的层次、专业和关系形式运作。

通信流程中的所有参与者都必须遵守围绕“持卡人传输中的数据”的 PCI 要求,但正如人们可能想象的那样,他们在这方面做得更好或更差,并且所有人都受到了妥协。

无论如何 - 答案是攻击者会去弱点所在的地方。整个支付机制存在许多弱点,以至于美联储去年启动了一项国家计划,以系统地提高所有支付系统的安全性和延迟(参见https://fedpaymentsimprovement.org/)。

某些弱点已被利用并且最近有公开羞辱的历史,这并不表明该系统中没有其他弱点。

为什么它不能那样工作?

中间人的存在并不能提供更好的安全性,尽管它可以减少攻击面或简化攻击者的问题,这取决于他们的工作做得如何。

但是,您真正指的是一种更好的协议——它可以提供更好的安全性——这就是我们看到的基于芯片的支付(在美国称为 EMV)及其在线表亲标记化的兴起。两者都通过使用加密技术在销售点创建一次性支付凭证来工作,而不是总是分发可重复使用的支付凭证。如果有兴趣,可以在那里谷歌搜索。

在线购买时是否总是需要 CSC(卡安全码,印在卡上的 3 或 4 位代码)?如果不需要,是否需要取决于什么 - 是否由商家决定?

在线购买时并不总是需要它。决定通常是商家的,可以通过实验权衡:

  • 由于消费者必须输入更多数据才能完成交易,导致销售额减少
  • 由于可能被粗略地称为额外因素而减少欺诈,该因素对欺诈者来说稍微少一些
  • 使用 CSC 的交易与不使用 CSC 的交易相比,收单银行的费用减少。

如果总是需要它们,那么当数百万信用卡详细信息因黑客攻击而泄露时,为什么会有这么大的问题呢?

从新闻的角度来看,这是一件大事,因为由于各种原因,现在越来越多的消费者关注这类问题。几年前发生的大规模泄密事件在绝对意义上造成的破坏性要大得多,但受到的媒体关注却少得多。

从商业角度来看,这对涉及的零售商来说也是一件大事,因为如前所述的称为 PCI 的规则变得更加严格,违反规则的罚款和处罚也越来越大。因此,当零售商违反规则时,例如在不应该存放卡片的情况下存放卡片,现在对他们的业务产生重大影响。

从运营或欺诈的角度来看,这没什么大不了的,因为所有各方都习惯了补救措施——向消费者发送新卡,使旧卡失效,冲洗并重复。新发卡的有效期越来越短,因此大量卡丢失在某种程度上只是卡提供商正常工作流程的延伸。

为什么 CSC 号码只有 3 位或 4 位数字?欺诈者就不能尝试所有的可能性吗?或者在卡被阻止之前是否有最大尝试次数?

执行记录交易处理系统的代码检查真实或未遂欺诈的各种指标,包括在特定时间范围内针对同一支付工具的多次尝试。

还有很多地域合理化——同一天在不同地理区域的两个实体销售点系统中使用相同的卡号将受到更严格的审查。

但这里还有许多其他信号——支付欺诈是机器学习的一个非常有趣和活跃的应用领域。

为什么CSC号码甚至印在卡上?如果只有一个密码没有写在用于验证两种交易类型的卡上,那不是更好吗?

方便,无处不在。

可以说 CSC 数字没有上升到第二因素的水平,但也绝对公平地说,在可用性和便利性方面,第二因素在现实世界中仍然不可行。即便是安防人员,仍然在与第二个因素作斗争,更不用说普通消费者了。

可以说,一个更常见的“第二个因素”是要求使用持卡人邮政编码,这比要求使用 CSC 更为常见。

我的感觉是,总的来说,CSC 以相对适度的基础设施费用相对适度地减少了欺诈行为,但它并未被认为是成功的。芯片支付和代币化的影响要大得多。

当我读到诸如“1000 万信用卡号码泄露”之类的标题时,它们实际上是指数字吗?如果没有到期日期、持卡人姓名等数据,这些数字不是毫无用处吗?据我所知,这些数据也用于验证交易?

报告的妥协将是任何被妥协方认为足以捕获付款的数据。卡号和到期日期是支付处理器和其他下游系统始终需要的唯一数据点。其他数据点,如姓名、地址、邮政编码、电话号码、CSC、电子邮件可能是也可能不是,这取决于商家、企业、他们的供应商关系等的具体细节。

在付款时收集的其他数据的大多数用例是用于营销,而不是严格用于付款验证。

在在线购买产品之前,购物者将被重定向到支付处理器的网站,并在那里输入卡的详细信息。

这听起来很像3-D Secure(由 Visa、MasterCard SecureCode、American Express SafeKey 验证)。大多数客户不使用它,大多数网站也不支持它。

在线购买时是否总是需要 CSC?如果不需要,它取决于什么 - 是否需要由商家决定?

一些商家(最著名的是亚马逊)不需要 CSC,但大多数都需要。

为什么CSC号码甚至印在卡上?

请注意,有两个 CVC 编号:CVC1 未印在卡上,仅出现在磁条上。CVC1 不能用于在线购买。
CVC2 代码印在卡上(条纹上不存在),不能在必须刷卡的地方亲自使用。

最后,美国的持卡人没有很大的动力去使用更安全的技术(即使它可用),因为当他们的卡号被盗时他们不会赔钱:如果您的卡在网上被盗,您的银行将签发一张退款,款项将从商家处退还。如果您的卡是当面被盗的,您的银行将负责赔偿您。

其它你可能感兴趣的问题
上一篇禁用 RC4 密码最佳实践 下一篇为什么从 %APPDATA% 文件夹加载 Notepad++ 插件是一个安全问题?