Réservation d'hôtel. Comment est-ce sécurisé avec seulement le numéro de carte de crédit et la date d'expiration?
Jusqu'à aujourd'hui, j'ai réussi à éviter de payer en ligne avec ma carte de crédit (je suis bizarre, je sais ...) mais j'ai réussi à le faire.
Aujourd'hui, j'ai dû réserver une chambre d'hôtel (sur booking.com) qui exigeait un acompte. J'ai entré l'émetteur de la carte, le numéro de la carte et la date d'expiration de la carte.
L'émetteur de la carte est essentiellement redondant, car à partir du numéro, vous pouvez obtenir l'émetteur. Donc, fondamentalement, avec deux informations de base (numéro de carte de crédit et date d'expiration), tout le monde peut retirer de l'argent de mon compte.
Si quelqu'un a des lunettes d'espionnage et regarde ma carte de crédit par-dessus mon épaule pendant que je paie des courses, il peut alors payer des choses avec ma carte de crédit.
Comment cette chose est-elle sûre?
Booking.com n'accepte aucun acompte ou paiement de votre part; ce que vous remplissez est un formulaire de réservation. Les détails de la carte sont utilisés comme une forme d'identité de paiement au cas où (a) vous ne vous présentez pas et ils ont besoin d'une preuve que vous avez l'intention de rester, ou (b) vous restez et vous enfuyez sans payer lors du départ. Leur hôtel nécessite toujours une carte présente pour le paiement, ou le CVV pour effectuer une transaction sans carte, ou en espèces si vous choisissez de payer de cette façon.
La plus grande question de "est-ce sécurisé" est plus compliquée. La façon la plus simple d'y penser est qu'il existe un certain nombre de contrôles de sécurité en place pour aider à prévenir la fraude, à différentes étapes du processus (site Web, processeur de paiement, banque), mais même en cas d'échec, la banque est assurée contre la fraude. , donc vous serez remboursé si vous utilisez un type de carte approprié. En général, les cartes de crédit offrent une protection contre la fraude supérieure et plus rapide que les cartes de débit/bancaires.
Les commerçants peuvent demander un paiement avec uniquement le numéro de carte de crédit et la date d'expiration, qui sont très visiblement inscrits sur le devant de la carte. La plupart des commerçants, mais pas tous, exigent également un numéro inscrit au dos de la carte, appelé génériquement CVV (le nom officiel dépend du fournisseur de la carte de crédit). En principe, les commerçants doivent appliquer certaines règles connues sous le nom PCI DSS à toutes les données de carte de crédit, et ne sont pas autorisés à stocker le CVV (uniquement pour le transmettre à la banque), mais PCI DSS requiert uniquement que le commerçant se déclare conforme, les violations des exigences sont donc courantes.
Oui, cela signifie qu'une fois que quelqu'un a les détails de votre carte, il peut effectuer un paiement en ligne à votre place. Il vous incombe de vérifier vos relevés de carte de crédit et d'annuler tout paiement frauduleux. Selon votre banque, le type de carte de crédit et votre pays, les détails sur la façon d'annuler un paiement frauduleux et ce qui se passe si cela entraîne des dépassements ou un découvert varient.
Pour être clair, c'est un risque que vous ayez ou non utilisé votre carte pour les paiements en ligne. Le risque est inhérent à la possession d'une carte. Il y a des fraudeurs qui inventent des numéros de carte et essaient de les facturer; ce n'est pas très facile à configurer car la plupart de leurs paiements finiront par être rejetés car les données composées ne sont pas valides et la banque finira par bloquer la source des demandes manifestement frauduleuses, mais c'est faisable. Le fait d'avoir un numéro et une date d'expiration valides augmente considérablement le rapport rentabilité/risque.
Pour donner une idée de la rentabilité de ce type de fraude, d'après ce que je me souviens du spam par carte de crédit, un numéro de carte de crédit avec date d'expiration se vend environ 1 $ et un CVV valide augmente le prix à environ 5 $. Notez que je n'ai jamais vérifié si les données publiées étaient authentiques.
L'astuce avec les cartes de crédit est de se souvenir de la partie crédit du système. Vous ne payez pas réellement au point de vente, vous créez deux relations de crédit où vous devez de l'argent à l'émetteur et ils le doivent au commerçant. En fait, deux morceaux de papier "IOU", et à peu près aussi sûr.
Ensuite, vous n'avez pas nécessairement à payer s'ils ne peuvent pas établir que c'est bien vous qui avez fait la transaction. Si vous la répudiez avec succès, le commerçant n'est pas payé pour la transaction. Si un commerçant est fraudé trop souvent, il peut être banni du système.
Ainsi, différentes formes de système de paiement sont livrées avec différentes preuves pour le commerçant sur la carte. Dans les transactions avec le titulaire de la carte, vous avez la possibilité de regarder la carte et le client lors de la prise de décision. Il est plus difficile d'automatiser la fraude ou de l'exécuter à distance. Donc, cela peut être fait avec seulement une carte + expiration. Tout ce qui se trouve au recto de la carte peut être copié avec l'une de ces machines d'impression de cartes qui utilisent du papier carbone et soumis par le commerçant par la poste. Le système pré-internet.
Les transactions avec le titulaire de la carte NON présent sont le contraire. La fraude est facile à automatiser. La plupart des transactions en ligne demandent donc au moins le CVV (trois chiffres au dos de la carte, non copiés par empreinte et pas sur la piste magnétique). La plupart des détaillants en ligne insistent sur une adresse qui doit correspondre à l'adresse du titulaire de la carte avant de poster des marchandises. Les gens qui vendent des choses "en espèces" (cartes-cadeaux, cartes de pointage de jeu) font parfois aussi une vérification téléphonique parce qu'ils sont des cibles de fraude très élevées.
Le cas de réservation d'hôtel est drôle car il n'y a presque aucun cas de fraude possible. Cela ne sert à rien de faire une réservation avec une carte volée et ensuite pas de se présenter, cela ne vous rapporte rien. Si vous vous présentez, cela se transforme en titulaire de carte, et de nombreux hôtels prennent une copie de votre pièce d'identité.
Un mot:
Assurance
La "sécurité" des cartes de crédit n'est pas ce que nous entendons par "sécurité" sur ce site, c'est-à-dire des fonctionnalités qui rendent une utilisation non autorisée par ordinateur impossible. N'oubliez pas que la carte de crédit d'origine a simplement été imprimée. Il n'y avait pratiquement aucune sécurité. La sécurité des entreprises est une tout autre chose. Si le risque est élevé (comme dans la fraude par carte de crédit), vous pouvez soit investir votre argent pour réduire le risque - soit vous pouvez payer pour assurer votre risque. De votre point de vue (le client), c'est assez sûr et très pratique - vous appelez simplement votre banque, dites-lui "je n'ai pas autorisé cela" et ils vous remboursent.
Il y a aussi le point de vue du voleur: le numéro de carte est inutile si vous n'avez aucun moyen d'en retirer de la valeur. La réservation d'un hôtel avec une carte volée annonce essentiellement le monde où et quand vous êtes. La commande de marchandises nécessite une adresse de livraison - encore une fois, la prochaine personne qui frappe à la porte du voleur peut porter l'uniforme bleu à la place de UPS.
Bien sûr, tout le monde fait de son mieux pour prévenir les fraudes. D'où le SSL, les processeurs de paiement certifiés, les recommandations et les exigences des meilleures pratiques, etc. Il suffit de regarder vos cartes pour "en voler" la plupart. Le reste est un équilibre entre les coûts et les risques.
Avertissement: je ne veux pas dire que l'assurance est un type de sécurité "pire". Même avec des algorithmes cryptographiques, nous sommes sûrs qu'il existe est un moyen de les casser, ce n'est tout simplement pas possible (lire: rentable) de le faire. L'assurance des entreprises n'est pas un concept très différent, seule la barrière de "fissuration" est plus faible.