Qu'est-ce qui empêche les propriétaires de boutique en ligne de mal utiliser les données de carte de crédit?
Je ne possède pas de carte de crédit, mais je lis beaucoup sur la fraude avec les cartes de crédit volées. Comme je n'en possède pas, je ne sais pas exactement comment vous achetez en ligne avec votre carte de crédit, alors corrigez-moi si je me trompe (et j'espère bien).
- Le client choisit des articles dans la boutique en ligne et les met dans le panier.
- Le client passe à la caisse virtuelle.
- Le client saisit l'adresse de livraison et ses données cc (?) Et les envoie au serveur du commerçant.
- Le serveur de la boutique envoie les données cc que le client a saisies et ses données et le montant au serveur de cartes cc et reçoit l'argent.
- Le client reçoit les articles achetés.
- Le propriétaire de la boutique n'était pas très honnête et utilise les données cc que le client a saisies pour magasiner sur d'autres boutiques en ligne (en particulier les produits non traçables comme les licences de logiciels, ...). Étant donné que les données sont les mêmes pour tous les magasins, personne ne sait quel magasin a mal utilisé les données cc.
Pourquoi ne pas utiliser à la place un code ou un jeton d'authentification unique? Par exemple, le client saisit les données cc sur le serveur de la société cc qui envoie une confirmation au propriétaire du magasin ou donne un jeton signé (comme gpg) que l'utilisateur donne au magasin pour prouver qu'il a envoyé l'argent ou que le magasin attend juste jusqu'à il voit l'argent sur son compte? Étant donné que j'ai des connaissances de base en sécurité informatique, vous pouvez également ajouter des détails techniques. Alors, mes hypothèses sont-elles exactes et si oui, qu'est-ce qui empêche les propriétaires de boutique en ligne de mal utiliser les données de carte de crédit?
La responsabilité d'une transaction litigieuse incombe au commerçant pour les transactions sans carte. Essentiellement, si vous contestez une transaction, si le commerçant n'a pas votre signature, alors si vous persistez, ils finiront par payer la facture. De la même manière, lorsqu'un marchand CNP vous facture deux fois, il finira par payer lorsque vous contestez la facture.
Comme le souligne @DavidFoerster, les processeurs et les sociétés de cartes suivent les taux de refacturation. Ils surveillent les statistiques et, lorsqu'un commerçant a trop de débits compensatoires, ils sont coupés. (Habituellement, ils sont démarrés à partir de leur processeur et vont trouver un autre processeur qui les facturera plus pour le risque plus élevé).
Il en va de même avec les magasins qui ré-abusent des cartes ailleurs. Les marques de cartes examinent les rapports de fraude et déterminent que ces 20 cartes de rapport de fraude avaient toutes en commun Bob's Web Shack lors d'une transaction antérieure. Ils enquêteront ensuite sur Bob's Web Shack - à la fois parce qu'il pourrait s'agir d'un mauvais propriétaire de magasin et parce qu'il pourrait s'agir d'un magasin compromis. Et - encore une fois - si un magasin est une source de problèmes, ils seront coupés.
C'est ce qui empêche les propriétaires de boutiques en ligne d'abuser des cartes. Ils perdront tout litige, puis ils seront abandonnés et ne pourront pas traiter les cartes.
Si vous le faites à grande échelle, vous vous découvrez
Comme pour la plupart des crimes, rien ne vous empêche vraiment de le faire si vous êtes déterminé, à part les risques et les conséquences de la découverte. Pour les petits et rares événements, il est amorti par les sociétés CC en tant que coût d'exploitation. Pour les scénarios importants ou fréquents, les gens sont découverts et vont en prison.
Point d'achat commun
L'analyse des schémas de fraude se fait sérieusement, beaucoup de personnes talentueuses et de ressources financières se mettent à le faire correctement. Tous ces risques ne sont pas nouveaux - avant que les boutiques en ligne ne soient courantes, les employés de divers magasins physiques avaient la capacité de faire de même. Par exemple, un serveur de restaurant a accès à de nombreuses cartes et peut abuser de ses données.
Si c'est une seule fois, alors il n'y a pas de modèles à découvrir, mais c'est en cours, alors ce n'est pas si difficile de déterminer automatiquement qu'un tas de cartes mal utilisées partagent un point d'achat commun puis de vérifier cela emplacement - en fonction de l'échelle de la fraude, cela peut entraîner des actions de la part de la police ou tout simplement mettre la liste noire de l'entreprise et d'autres futures entreprises avec les mêmes propriétaires ou la même direction.
De plus, ces risques font partie des raisons pour lesquelles il n'est pas trivial de démarrer une boutique en ligne où vous avez réellement accès aux données CC. Souvent, les banques n'autorisent pas les petites entreprises aléatoires à accepter des cartes en ligne directement - elles l'acceptent à condition que toutes les autorisations passent par une passerelle de paiement de confiance et que votre entreprise reçoive simplement un paiement par jeton signé de $ xxx accepté "et non les données complètes de la carte. Si vous souhaitez gérer vous-même les données CC, préparez-vous à divers contrôles de conformité.
Pour accepter des paiements, de nombreuses sociétés de traitement de cartes de crédit exigent que le code du client soit conforme à la norme PCI. Je ne suis pas sûr de toutes les règles mais, je crois que cela nécessite que quelqu'un qui n'a pas écrit le code le regarde. Avec d'autres, comme Stripe et Paypal, les données de carte de crédit ne touchent jamais le serveur du propriétaire du magasin. Dans le cas de Stripe, JavaScript le leur soumet, puis retourne un jeton au serveur des propriétaires de boutique qui indique qu'ils ont payé, qu'il a été accepté et peut être utilisé pour des remboursements.
Voir:
Qu'est-ce qui les arrête? Rien que les conséquences.
Cependant, il existe des services de traitement tiers que les grands commerçants en ligne peuvent utiliser et qui gèrent toutes les transactions par carte de crédit et, dans le cadre de leur contrat avec le commerçant, sont entièrement responsables des compromissions de ces données. Dans ces arrangements, le commerçant lui-même ne voit jamais du tout le numéro de carte de crédit; ils n'obtiennent qu'un jeton qui peut être utilisé pour facturer à nouveau la même carte via le tiers, mais est inutile pour tout attaquant. (Et si le tiers le fait est compromis et des millions de numéros divulgués, les marchands peuvent se laver les mains.)
Bien sûr, même lorsqu'un commerçant utilise un tel tiers, les utilisateurs finaux doivent simplement prendre leur mot pour lui, si le commerçant le révèle même. Et bien sûr, rien n'empêcherait un employé corrompu du tiers de déchirer les chiffres.
Pour vous, il est possible d'utiliser la cryptographie pour sécuriser les transactions en ligne. Il existe des cryptosystèmes de trésorerie numérique. Mais l'expérience utilisateur de l'utilisation d'un tel système est généralement plus compliquée, et ce n'est que l'un des nombreux obstacles à une adoption généralisée.
Dans la vraie vie, je gère un petit magasin. Vous pouvez nous payer en personne ou par téléphone avec une carte de crédit.
Une fois la transaction effectuée, nous ne pouvons pas "voir" les numéros de carte de crédit, ils sont bloqués et gérés par la société de traitement des cartes de crédit.
Si moi, ou mes employés, essayais de sauver les numéros des transactions par téléphone, pour les utiliser à mauvais escient: je ne pense pas que cela prendrait trop de temps pour comprendre que toutes les victimes vivaient dans la même zone et utilisaient notre boutique.
=============================================
Dans une situation de commerçant en ligne, je ne pouvais même pas gérer ou voir les numéros de carte de crédit. La société de traitement des cartes de crédit déposerait simplement de l'argent sur un compte pour moi. Je supposez, je pourrais essayer d'amener les clients à m'envoyer leurs informations de carte de crédit, mais, je ne pense pas que trop de clients tomberaient dans le piège, lol.
Les détaillants les plus "sales" en ligne jouent avec quel article ils vous ont envoyé, ou s'ils ont même envoyé les articles, ou ... surfacturation pour l'expédition. Ils gagnent déjà de l'argent, et ils pourraient essayer de gagner un peu plus de façon regrettable.
Mais, comme je peux le voir, cela nécessite un tiers malveillant pour intercepter et abuser des informations de carte de crédit.
De nos jours, la plupart des boutiques en ligne vous redirigent vers une page de vérification hébergée par votre fournisseur de carte. Là, vous devez entrer un mot de passe (généralement juste une partie de celui-ci) pour vérifier que vous êtes le propriétaire de la carte. Cela n'empêche pas le propriétaire de la boutique de voler les détails de votre carte, mais il ne peut pas voir le mot de passe de sécurité, l'empêchant de magasiner sur des sites Web à l'aide de la fonction de vérification.
Malheureusement, tous les magasins n'utilisent pas cette fonctionnalité, mais comme de plus en plus l'adoptent, l'utilisation de détails de carte volée devient plus difficile.
Tant que vous n'achetez pas sur le site Web des grandes entreprises, vous êtes en sécurité. Pour les magasins plus petits et inconnus, un bon moyen de rester en sécurité est d'utiliser Paypal: les détails de la carte sont stockés sur les serveurs Paypal, ou vous les saisirez sur leur page s'ils ne sont pas déjà enregistrés. De cette façon, la boutique n'obtiendra pas vos coordonnées.
PCI DSS est une liste de contrôle de conformité aux normes que les magasins souhaitant gérer les informations CC doivent respecter. Mais, puisque la réglementation n'est pas largement appliquée dans le monde, c'est exactement comme les normes ISO.
Dans le passé, les boutiques en ligne utilisaient Paypal. Ou téléphonez à leurs achats via leurs propres comptes marchands auprès des banques. Cependant, le risque de rejet de débit, la fraude sur le Web, a facilité le stationnement du risque avec une contrepartie. Paypal et quelques autres ont été les premiers à prendre ce risque.
Maintenant, vous verrez que la plupart des sites de commerce électronique vous mènent à une autre page avec le site de contrepartie qui gère les transactions, juste pour qu'ils n'aient pas à prendre le risque. Il s'agit d'un modèle commercial viable pour la plupart, car la boutique en ligne n'a pas à assumer le coût de la fraude, mais peut devoir payer des frais.
Si vous regardez le modèle de risque de Shopify, vous constaterez que ce qu'ils font est d'aller plus loin que la propagation de la fraude à travers leur système.
Il y a beaucoup de facteurs en jeu ici.
Premièrement, la passerelle de paiement est un élément important - les données CC cryptées sont transférées du navigateur des utilisateurs vers la passerelle. Dans certains cas, ils peuvent passer par le serveur Web du marchand pour collecter les données de transaction (dans ce cas, toutes les normes PCI DSS entrent en jeu), parfois la passerelle peut contourner complètement le serveur Web du marchand et obtenir les données de transaction sous forme de cryptage séparé connecté depuis le serveur marchand (pas sûr des conformités PCI dans ce cas).
Après avoir obtenu les informations de paiement et les informations de transaction, elles sont transmises au serveur de traitement des paiements de la banque qui les redirige vers les associations respectives (Visa, Mastercard, Amex etc.) qui les transmettent à nouveau à la banque émettrice pour validation et limite/compte de crédit vérifications d'équilibre. Une fois validés, ils envoient une réponse de réussite qui suit le chemin inverse au commerçant.
En ce qui concerne les transactions frauduleuses, la plupart des cartes ont de nos jours une troisième couche de protection (appelée paiement 3D) - il peut s'agir d'un code/mot de passe (par exemple, le code de sécurité Master Card, etc.) ou d'un OTP (mot de passe unique envoyé au numéro de téléphone mobile enregistré). (par exemple, dans les cartes AMEX et Citi) que l'utilisateur doit saisir pendant que la transaction frappe les serveurs de traitement des paiements, minimisant ainsi le risque de transactions frauduleuses.
En dehors de cela, ils suivent l'adresse IP de votre ordinateur. Je serais plus préoccupé par les données personnelles que je donne au commerçant à chaque transaction - par exemple, nom, date de naissance, adresse, numéro de téléphone, etc. Je ne connais aucun protocole de conformité à l'échelle de l'industrie pour ces derniers et, par conséquent, il pourrait y avoir un énorme risque d'abus.