Quel est l'impact de la divulgation de la face avant d'une carte de crédit ou de débit?

Mis à part les attaques déjà mentionnées impliquant l'utilisation non autorisée d'une carte de crédit, les informations de carte de crédit peuvent également être utilisées pour l'ingénierie sociale et le vol d'identité.

Comme exemple quelque peu actuel, voyez comment Mat Honan a été piraté l'été dernier: http://www.wired.com/gadgetlab/2012/08/Apple-Amazon-mat-honan-hacking/all/

Dans son cas, Apple n'a exigé que les derniers chiffres de sa carte de crédit (que son attaquant a obtenue d'Amazon) pour abandonner le compte. Il va de soi que d'autres fournisseurs peuvent être dupés si un attaquant devait fournir un numéro de carte de crédit complet comprenant les dates d'expiration.

Vous auriez besoin du CVV et de la date d'expiration pour la vérification, bien que la date d'expiration soit sur la face avant d'une carte. L'adresse de facturation ou, au minimum, le code postal de l'adresse de facturation, qui ne figurent ni au recto ni au verso de la carte, sont également requis.

Cependant, cela dépend si vous achetez quelque chose au détail, en personne ou en ligne. Si vous travaillez dans le commerce de détail où les détails de la carte peuvent être saisis manuellement, ce qui est certainement une option à moins qu'il n'y ait des politiques contre elle, ou peut-être une machine POS qui ne le permettra pas (bien que cela n'ait pas été mon expérience, comme magnétique les bandes sont démagnétisées par les attaches magnétiques des femmes (BEAUCOUP), il y aurait un risque de fraude. Il ne serait pas nécessaire de facturer le code postal ou l'adresse de facturation. Cela nécessiterait la complicité du caissier ainsi que du client. C'est pourquoi: Même si les informations de la carte peuvent être saisies manuellement, il n'est JAMAIS acceptable de prendre les informations d'une personne qui vous remet un morceau de papier avec les détails de sa carte.

Au téléphone ou en ligne, vous aurez besoin du nom, du numéro de carte, de la date d'expiration, du CVV (4 chiffres pour AmEx, 3 chiffres pour Visa/MC) et de l'adresse de facturation (et de l'adresse de livraison) pour une livraison physique. Si vous commandez quelque chose qui n'a pas besoin d'être livré, et rappelez-vous, vous avez maintenant restreint considérablement vos options pour les achats illégaux, vous aurez toujours besoin de la facturation du code postal, même si vous n'avez pas besoin d'adresse, etc.

Que pouvez-vous acheter en ligne ou par téléphone, avec nom, numéro de carte, CVV et code postal? Eh bien, les achats mensuels d'iTunes plafonnent à 5 000 $ par mois par défaut. Vous pouvez donc acheter beaucoup de musique iTunes, ou un abonnement premium à des sites pornographiques coûteux, ou beaucoup de stockage en nuage ou des jeux en ligne. Mais même si vous deviez faire tout cela, vous auriez toujours besoin d'utiliser les services d'un endroit associé à une adresse IP. Je doute qu'il soit pratique de jouer à des jeux via Tor, il en va de même pour le streaming porno, même si je n'en suis pas certain. Et si vous avez acheté des chansons iTunes, Apple aurait besoin de suffisamment d'informations d'identification à votre sujet pour que ce ne soit pas sûr. Vous ne pouviez pas acheter des trucs via Paypal ou Amazon, comme vous en auriez besoin de prendre physiquement livraison des articles, ce qui serait incriminant, que ce soit à vous ou à quelqu'un d'autre qui a agi pour vous.

Et tout cela serait théorique sans le code postal de facturation, qui n'est pas sur le devant de la carte. Je n'ai aucune source, juste une expérience de travail dans un casino, sur un énorme navire de 500 personnes, pendant un an. Et j'achète beaucoup de vêtements et de choses en ligne. Je vais chercher quelque chose à citer, mais cela a tendance à être le résultat de pratiques de paiement électronique largement observées plutôt que l'impossibilité technologique.

ÉDITER:
Voir les réponses à cette question À quoi servent les détails des cartes de crédit volées? Les réponses sont basées sur l'accès à des quantités massives de cartes, ou sur la volonté de permettre à quelqu'un d'avoir des ennuis pour prendre livraison de vos achats (la réponse est qualifiée de "rube"), ou plutôt élaborer des systèmes d'échange de cartes eBay. Ce n'était pas simple. (Beaucoup recherchent des informations de carte de crédit, mais je me demande souvent ce que la plupart des gens peuvent réellement en faire, à part provoquer des inconvénients et de la peur. ZeuS ou SpyEye sont l'exception, car ils semblent extrêmement polyvalents).

Il convient de mentionner que les cartes de crédit American Express ont le CVV à l'avant (pas à l'arrière), ainsi que le numéro de carte, le nom du titulaire de la carte et la date d'expiration. Par conséquent, la divulgation de la face avant d'une carte Amex permettrait des achats arbitraires, même des achats sans carte.

Tout ce qui est nécessaire pour exécuter une transaction par carte de crédit est le PAN (numéro de compte principal), qui est essentiellement les 16 chiffres qui se trouvent sur le devant d'une carte. C'est tout ce qui se passe vraiment quand une carte est glissé - la machine lit le PAN qui est encodé sur la bande magnétique de la carte. Par conséquent - si quelqu'un a la face avant de votre carte, votre compte est compromis.

Carte présente, carte d'identité/signature correspondante, CVV (code de sécurité), AVS (vérification d'adresse) et d'autres sont des couches de sécurité supplémentaires qu'un commerçant pourrait vous demander, en particulier dans un environnement à risque comme les achats en ligne. Mais, ce ne sont en aucun cas nécessaires. Vous pourriez vous en sortir en exécutant une transaction avec seulement les 16 chiffres, bien que la plupart des marchands ne le permettent pas en raison du risque de fraude et de refacturation.