web-dev-qa-db-fra.com

Un avantage a-t-il été démontré pour les machines à cartes de crédit demandant le code postal?

Aux États-Unis, de nombreux distributeurs de cartes de crédit dans des endroits comme les stations-service ont commencé à demander votre code postal (postal) pour utiliser une carte de crédit ostensiblement pour aider à vérifier que vous êtes bien le titulaire de la carte, plutôt que la carte volée. Ma question est simplement: Existe-t-il des preuves que cela conduit réellement à une réduction significative de la fraude réussie par carte de crédit?

Il me semble que ce ne serait pas une mesure très utile pour une machine qui nécessite de toute façon la carte d'être présente. J'aurais deviné que la façon la plus courante pour quelqu'un de se retrouver physiquement avec votre carte de crédit serait de voler votre portefeuille, auquel cas ils ont presque certainement au moins un et probablement plusieurs identifiants qui incluent votre code postal. Par exemple, dans mon portefeuille, à tout le moins, mon permis de conduire, ma carte d'assurance automobile, ma carte de visite et mon certificat de pilote ont tous mon code postal répertorié et il serait également trivial de comprendre à partir de ma carte d'électeur. Ainsi, je suis curieux de savoir si un avantage réel en matière de sécurité a été démontré pour cela ou non.

authenticationcredit-card
56
reirab

Existe-t-il des preuves que cela conduit réellement à une réduction significative de la fraude réussie par carte de crédit?

Oui, il existe des preuves et Oui , cela a absolument permis de réduire de nombreux types de fraude par carte:

La fonction de prévention de la fraude à laquelle vous faites référence est appelée Service de vérification d'adresse (AVS). Le service AVS vérifie que le numéro de rue et/ou le code postal présenté au terminal correspondent aux données présentes pour le titulaire de la carte à la banque émettrice.

En temps réel, le processeur de paiement retournera une réponse AVS. En fonction de la réponse, le commerçant peut décider de rejeter une transaction non conforme.

Il a été adopté par presque tous les émetteurs de cartes aux États-Unis.

enter image description here

Voir Guide du marchand pour le service de vérification d'adresse Visa

Les codes de réponse possibles et les paramètres de rejet configurables sont affichés ici:

enter image description here

Dans un réglage de terminal de station-service, le terminal peut être configuré pour rejeter les codes de réponse AVS N et A, par exemple.

70
Rodrigo M

Vous soulevez un bon point qui est souvent négligé dans la sécurité. Les données.

"En Dieu, nous avons confiance, tous les autres doivent apporter des données". -W Edwards Demming

Je pense qu'il est peu probable que vous trouviez des données réelles pour l'efficacité d'une politique de sécurité. Je ne connais pas beaucoup d'analyses scientifiques réelles dans l'industrie de la sécurité, et c'est une terrible honte. Donc, les gens doivent spéculer et spéculent qu'ils le feront.

Comme gowenfawr, je n'ai pas non plus de données et je ne peux que proposer des spéculations.

Vous avez raison de dire que "l'attaque du portefeuille volé" n'offrira aucune protection contre la fraude. Mais beaucoup de cartes de crédit sont aujourd'hui volées dans des systèmes de traitement automatisés non sécurisés. Target et Home Depot en sont des exemples. Les attaquants prennent les informations de ces systèmes et des cartes de clonage. Je ne pense pas que ces systèmes contiennent généralement le code postal du titulaire de la carte, et il n'est pas codé sur la carte elle-même.

Le fait est que demander un code postal dans une station-service rendra les tentatives de clonage plus difficiles à effectuer. Je suppose que cela réduira la fraude d'un certain montant.

21
Steve Sether

C'est pour la dissuasion, et certaines choses qui sont utilisées pour la dissuasion sont vraiment pour que le client se sente en sécurité et fasse très peu pour la "sécurité". Prenez des caméras de surveillance. J'installe probablement environ 200+ caméras par an, et comme je fais tout mon possible pour que les caméras protègent le site du mieux que je peux, il existe des moyens de contourner cela. Ils servent à la dissuasion. Les gens voient des caméras et disent "Oh, ils ont des caméras, je ne peux pas voler cet endroit." Je ne dis pas que les caméras sont inutiles, j'ai aidé les propriétaires de magasins à capturer environ 50 employés/clients volés au fil des ans.

Commençons donc par cet exemple. J'ai volé votre portefeuille, que vous réalisiez que cela s'est produit il y a 5 minutes ou 5 heures, vous allez appeler votre banque/carte de crédit et annuler vos cartes. En tant que voleur, je dois utiliser vos cartes rapidement car je sais que vous allez annuler vos cartes. Je serais plus préoccupé par le vol d'identité dans un portefeuille volé plutôt que par l'utilisation de mes cartes.

Vous avez raison, si j'ai votre portefeuille, je connais votre code postal. Je ne peux peut-être pas utiliser votre carte de visite, mais je peux quand même m'en tirer gratuitement. Je vais acheter des cartes prépayées à utiliser et jeter votre portefeuille en gardant peut-être vos cartes d'identité.

Disons qu'au lieu de voler votre portefeuille, je pirate un réseau de point de vente et j'obtiens des informations de carte à partir de là. Je n'ai pas votre code postal, mais je pourrais toujours faire une copie en double de votre carte si j'ai obtenu suffisamment d'informations du piratage que j'ai fait sur le réseau POS. Vous ne sauriez pas que vos informations de carte ont été compromises jusqu'à ce que la société annonce qu'elles ont été piratées. Je pouvais toujours utiliser ces données de carte pour acheter des trucs, mais pas avec un réglage de type "payer à la pompe".

On vous demande le code postal aux endroits où vous n'interagissez pas avec une personne. C'est une méthode de prévention pour empêcher les voleurs avec vos informations CC de voler du gaz. Cependant, ils pouvaient entrer avec une carte "copiée" et acheter du gaz à l'intérieur.

Simplement, si vous payez avec une carte 'face à face' avec quelqu'un, il n'a pas besoin d'informations supplémentaires de votre part en plus de ce qui est sur la carte. Ils peuvent demander une photo d'identité pour confirmer que vous êtes le titulaire de la carte.

Si vous êtes à la borne de paiement du kiosque (pompe à essence, kiosque du magasin) et que le système vous demande le code postal de l'adresse de facturation de la carte, c'est pour vérifier les fraudes.

Cette vérification du code postal, est vérifiée par la banque du titulaire de la carte et n'est pas utilisée autrement que pour vérifier que les informations sont correctes.

Dans un `` face à face '', toute information supplémentaire qu'ils demandent est très probablement à des fins de marketing et ils ne peuvent pas refuser votre transaction si vous ne donnez pas ces informations supplémentaires.

California Beverly Credit Card Act of 1971 traite de cela, et des modifications y ont été apportées au fil des ans.

Cela réduit-il la fraude, peut-être. Cependant, je pouvais quand même entrer avec "votre" carte et y acheter du gaz. Certes, il y a plus de chances d'échec à l'intérieur. Caméras, caissier demandant une pièce d'identité, carte déclarée volée.

En essayant d'utiliser la carte à l'extérieur sans employés, je vais obtenir deux réponses de la pompe à essence:

  1. Accepté
  2. Votre carte a été refusée, voir préposé.

Si j'obtenais l'option # 2, je partirais et j'essaierais un autre code postal dans une autre station-service.

7
N. Greene

Existe-t-il des preuves que cela conduit réellement à une réduction significative de la fraude réussie par carte de crédit?

Vous devrez demander à l'une des sociétés gazières ou à l'un des fournisseurs de fraude (comme Accertify ? ThreatMetrix ?) Qui pourrait avoir des statistiques ("preuves").

Il me semble que cela ne serait pas une mesure très utile pour une machine qui nécessite la présence de la carte de toute façon .... [les voleurs] ont presque certainement au moins un et probablement plusieurs identifiants qui incluent votre code postal .... Ainsi, je suis curieux de savoir si un avantage de sécurité réel a été démontré pour cela ou non.

Je n'ai pas de preuve , mais je vous propose spéculation :

  1. De toutes les informations anti-fraude, le code postal est le seul qui peut être facilement saisi sur un clavier de pompe à essence uniquement numérique.
  2. Exiger un Zip comme anti-fraude sert de notification à l'utilisateur que cette transaction est examinée, ce qui peut avoir à la fois un effet rassurant sur les utilisateurs valides et un effet dissuasif sur les utilisateurs frauduleux.
  3. Faire quelque chose finit par être meilleur que ne rien faire dans ce cas.

Il existe d'autres étapes de fraude - localisation, fréquence et analyse des habitudes - qui sont probablement plus efficaces contre le cas d'utilisation du "portefeuille volé". Mais cela se passe dans les coulisses, sans aucune assurance ni dissuasion.

5
gowenfawr

Une autre raison serait de retarder légèrement la saisie des informations. Tout ce qui ajoute quelques secondes aux activités d'un voleur amateur réduit les chances qu'il poursuive. De plus, ces quelques secondes supplémentaires augmentent les chances d'obtenir une bonne image sur l'appareil photo.

3
Israel Isassi

Un peu comme ce qu'Israël a dit, cela peut ajouter un peu de retard, mais il est probable que vos caméras de sécurité devraient déjà être en mesure de le récupérer.

Il y a de fortes chances que s'ils connaissent les informations de votre carte de crédit, ils connaissent essentiellement tout le reste, probablement juste une méthode de protection mineure.

0
xFrei