Questão:
A Amazon permite que eu faça um pedido sem que eu seja solicitado a fornecer uma senha segura 3-D
Stefan Monov
2017-09-03 22:03:35 UTC
view on stackexchange narkive permalink

Eu defini uma "senha segura 3-d" para meu cartão de débito, no site de meu banco. Mas quando comprei algo no amazon.co.uk, passei por todo o processo sem nunca me pedir a senha 3D. Pediram-me um número de cartão e sua data de validade.

Alguém pode me explicar o que aconteceu?

Eu moro na Bulgária.

Observação: eu também não foi solicitado para o CVC.

[este tópico] (https://security.stackexchange.com/questions/21168/how-does-amazon-bill-me-without-the-cvc-cvv-cvv2) parece relevante.
@Stefan: não é uma resposta, mas observe que o comportamento é aceitável no contexto dos EUA.Em caso de fraude de transação, os clientes dos EUA podem facilmente recuperar seu dinheiro.Não tenho certeza se esse é o caso com o seu banco ou com as regras do seu país.
@HoàngLong país não faz diferença a este respeito AFAIK
IIRC, quando o "Verified by Visa" etc. foi introduzido pela primeira vez, eles solicitaram a autenticação para cada transação.Eles então relaxaram (provavelmente por causa da resistência do cliente) para exigi-lo apenas para amostras aleatórias de transações e / ou para grandes quantidades.Também pode depender de você ter um histórico de transações anteriores com a mesma empresa do mesmo endereço IP e / ou PC - meu serviço de banco on-line não considera que as transferências de algumas centenas de libras esterlinas valham a pena verificar * sempre *, por exemplo.
@HoàngLong o país envolvido é certamente parte da psicologia da "experiência do usuário".Morando no Reino Unido, às vezes compro itens dos Estados Unidos com cartão de crédito e geralmente fico com a * sensação * de que a abordagem dos Estados Unidos em relação à "segurança" é quase do mesmo nível que eu esperaria se estivesse comprando em algum lugar deo terceiro mundo.E isso vem de empresas multinacionais sediadas nos Estados Unidos, não de sites de comércio eletrônico relativamente pequenos!
Preparem-se.O espanto e a decepção com a segurança do sistema de cartão de crédito são inbound.É toda uma indústria onde se aplica o princípio da salsicha.
@eis: pelo que experimento, faz a diferença.Eu li as especificações 3D Secure (meu trabalho requer conhecimento sobre sistema de pagamento) e a teoria é perfeita.No entanto, a prática bancária é outro problema.Em certos casos, pode levar meses até que sua apelação seja respondida.Você ainda pode receber o dinheiro de volta, mas é bastante problemático.
Experiência Echo @alephzero's.Especialmente a especulação sobre a mesma empresa / endereço IP / PC, visto que tenho visto transações regulares (uma por semana) com a mesma empresa ir de "pergunte sempre" para "não é perguntado há muitos meses".
[Este] (https://nakedsecurity.sophos.com/2016/12/05/how-to-guess-credit-card-security-codes/) pode ser uma leitura interessante.
Considerando a segurança: para cartões de débito, há muito uso o método de ter uma conta separada para o cartão e para meu uso normal.Quando compro algo com um cartão, transfiro o dinheiro para a conta do meu cartão da minha conta principal (que não está conectada a um cartão).Portanto, mesmo se alguém obtiver todos os detalhes do meu cartão (até mesmo o PIN), tudo o que pode fazer é usar o que resta lá.Normalmente alguns euros - a "mudança" se quiser.E o cartão é limitado por região à Europa, a menos que eu visite outro continente.
Eu adicionei um segundo fator à minha conta amazon e ainda não fui solicitado a usá-lo.Posso fazer login e comprar coisas sem o segundo fator.
Oito respostas:
Stefan Monov
2017-09-03 22:32:47 UTC
view on stackexchange narkive permalink

Acabei de ler a página do meu banco sobre segurança 3D. Diz:

Se o site permitir pagamentos a serem feitos em segurança adicional, você verá os logotipos da respectiva organização de cartão Verificada pela Visa ou MasterCard SecureCode

Então, aparentemente, cabe ao site exigir ou não minha senha 3D.

Na verdade, geralmente também * beneficia * o fornecedor.Às vezes é ainda pior para você usar o material 3D, pois alguns bancos adicionaram letras miúdas que o tornam responsável por fraude se a senha 3D for usada, enquanto você não seria responsável se não a usasse.
Embora seja bom que você leia essa página (e idealmente o faria ao se inscrever), ela pode ser considerada parte da pesquisa que você deveria ter feito antes de fazer a pergunta.
"Às vezes é ainda pior para você usar o material 3D, pois alguns bancos adicionaram letras miúdas que o tornam responsável por fraude se a senha 3D for usada, enquanto você não seria responsável se não a usasse."O que dá ao banco o direito de dar autoridade a alguém para roubar de você?Como eles podem dizer que * você * será o responsável pela cobrança e não quem roubou as informações de você?Não é como fazer uma lei dizendo que você não pode cobrar de alguém por roubar sua casa simplesmente porque arrombou sua fechadura ou invadiu o abridor da porta de sua garagem?
@typhon Não, pois o banco não está fazendo a lei.É como a seguradora dizendo que não pagará o seguro se você não se preocupar em trancar a garagem.Isso não tem nada a ver com quem cometeu um crime.Tem a ver estritamente se o banco arcará com a cobrança fraudulenta ou se você terá que fazê-lo.Você concorda com isso quando recebe um cartão de crédito deles.Essencialmente, eles estão dizendo "ei, nós vamos dar a você este pedaço de plástico legal e enviar dinheiro para pessoas que possam mostrar que o viram. Além disso, essas são as regras extras que temos para quando pagamos e você tem que nos pagar."
@DRF Ah, entendi que você concorda legalmente em não acusar ninguém que roubar essa coisa 3D.
@Typhon: bem-vindo ao atoleiro jurídico da legalidade em relação às práticas bancárias.Esses cartões com chip são um grande exemplo, pois inicialmente eram um meio para os bancos se isentarem da responsabilidade por lidar com a fraude, em vez de empurrá-la para outras pessoas (que normalmente também não tinham recursos para investigar).Os bancos ** adoram ** negociar com os comerciantes.
@whatisname Não * inteiramente * justo.Mais precisamente, foi uma aceitação de que os bancos literalmente * não podiam * validar todas as assinaturas em todas as transações com cartão em um país como o Reino Unido, onde o dinheiro real está beirando a obsolescência.
R.. GitHub STOP HELPING ICE
2017-09-04 05:52:41 UTC
view on stackexchange narkive permalink

Medidas de segurança como "senha 3D", CVV, etc. não existem para proteger você, o titular do cartão . Não presuma que alguém que não os possui não pode usar o número do seu cartão de forma fraudulenta. Tudo o que eles fazem é permitir que um comerciante que opte por usá-los como parte de seu contrato comercial de processamento de cartão obtenha uma taxa de transação mais baixa, com base no fato de que o recurso reduz a taxa de transações fraudulentas e, portanto, de estornos.

No mínimo, esses recursos realmente prejudicam você como titular do cartão, pois tornam mais fácil para o comerciante "provar" que você autorizou uma transação e mais difícil para você contestá-la. Veja minha resposta a uma pergunta relacionada aqui:

https://money.stackexchange.com/questions/54772/why-does-the-introduction-of-chip-pin-appear-to -se-tão-controverso-na-unidade / 54780 # 54780

"Não presuma que a falta deles impedirá alguém de usar seu cartão de forma fraudulenta."talvez você quisesse dizer o contrário?
@Eis Acho que não.A frase mais básica é: Não presuma que não ter a senha impedirá que alguém use o cartão.Que é exatamente o caso :)
@EpicKip ah.a frase anterior falava sobre medidas de segurança, então acho que pode ser entendida de qualquer maneira.Mas sim, neste contexto é o que significa, de qualquer maneira.
A frase significa exatamente o que diz: não presuma que alguém que tem o número do seu cartão, mas não a "senha", não pode usar o cartão.
Eu também li errado a frase da mesma forma que eis até ler esses comentários;você pode querer reformular para "Não presuma que alguém sem esses detalhes irá impedir que ele use seu cartão de forma fraudulenta" para remover toda ambigüidade
Isso parece exagerado para mim, porque você está interpretando as responsabilidades do comerciante como o objetivo, e não o meio para um objetivo diferente.O objetivo declarado das empresas de manuseio de cartões * é * proteger os titulares dos cartões, mas elas precisam da cooperação dos comerciantes para fazê-lo.Portanto, incentivam os comerciantes que implementam as novas medidas de segurança e / ou penalizam os que não o fazem.O titular do cartão também se beneficia diretamente se sua alegação de fraude for mantida contra um comerciante que não estava usando o mecanismo de segurança.
@IMSoP exceto que o titular do cartão já estava totalmente protegido porque eles não carregam o custo da fraude.Tudo o que os novos recursos acrescentam, da perspectiva do titular do cartão, são mais maneiras de negar uma reclamação por fraude.
@Ukko Depende se você considera a prevenção e a compensação como equivalentes.O custo de relatar uma transação fraudulenta, mesmo se mantida imediatamente, é diferente de zero, portanto, uma medida que reduz transações fraudulentas beneficia o titular do cartão.
@IMSoP Claro, se algo me custa um níquel a cada dois anos e você pode reduzir para 3 centavos, eu me beneficiei.Mas o benefício é tão pequeno que é irrelevante.Houve centenas de dólares de fraude em meus cartões nas últimas duas décadas, a responsabilidade potencial de eu ter que pagar por até mesmo uma dessas transações supera em muito os centavos de economia de uma cobrança fraudulenta.
@Ukko Tudo bem, esse é um julgamento que você pode fazer, e é por isso que eu disse que isso é exagerado, não completamente errado.O fato é que a mudança de responsabilidade é, pelo menos parcialmente, uma consequência da crença dos emissores do cartão (possivelmente equivocada) de que as medidas adicionais tornam mais provável que você esteja falsificando sua reivindicação, porque é menos provável que você precise fazer uma declaração legítimareclamar em primeiro lugar.
tornar uma transação mais difícil de falsificar não prejudica realmente o titular do cartão
@Ukko * o titular do cartão já estava totalmente protegido porque eles não carregam o custo da fraude. * - então você não acha que custos mais baixos do lado do banco (por causa da diminuição da fraude) serão refletidos, * até certo ponto * em menospreços para o titular do cartão?
@FooBar: Ukko já observou que pode * até certo ponto *, na forma de alguns centavos.Não é um valor que seja perceptível ou que valha a pena para o titular do cartão.
@njzk2: Sim, é verdade.Clique na resposta com link em money.SE e naqueles para os quais ela está vinculada.Qualquer evidência adicional de validade de uma transação é * mais trabalho para o titular do cartão * refutar.A melhor situação para o titular do cartão que recebeu uma cobrança fraudulenta é aquela em que o comerciante não tem absolutamente nenhuma evidência para apresentar e o titular do cartão basicamente vence o estorno por padrão.
@R .. mas é menos provável que exija refutal em primeiro lugar
@njzk2: Não acho que essa afirmação seja bem fundamentada.Erros de comerciante (ou engano), como executar um cartão duas vezes ou alegar que uma transação não foi concluída quando não era menos provável, e a fraude cometida por criminosos terceirizados pode simplesmente passar para comerciantes, onde é mais fácil passar.
@R .. processadores de pagamentos e bancos geralmente não são enganados por transações duplas.Isso é um pouco óbvio.E como cliente (admitido, a responsabilidade recai sobre o cliente), você deve pedir um recibo sempre que uma transação não "passar"
@njzk2: As transações duplas não precisam estar no mesmo cartão;eles podem ser "tente um cartão diferente" ou "nosso leitor de cartão não está funcionando, você tem dinheiro?"Você realmente leu o post com link onde isso aconteceu com o OP?Mesmo que o seu comentário fosse a história completa, "o ônus recai sobre o cliente" prova meu ponto: ** com qualquer "prova" adicional de transação, o titular do cartão é sempre o perdedor **.
@R .. seus argumentos têm valor, mas o que eu não entendo, eu acho, é como um vendedor pode confiar nos clientes que pagam com cartão de crédito?Basicamente, o que impede alguém de contestar transações legítimas?
@njzk2: Alguém que faz isso repetidamente será pego facilmente pelo emissor do cartão.Portanto, o número de pessoas que o fazem é pequeno, com menos impacto do que furtos em lojas.E para grandes vendas, o comerciante provavelmente tem evidências adicionais, como registros de envio, vídeo de vigilância, assinaturas em papel, registros de telefone ou e-mail, etc.
Mark
2017-09-04 01:54:40 UTC
view on stackexchange narkive permalink

As transações com cartão de crédito têm vários níveis de autenticação, desde simplesmente enviar o número do cartão, cartão + cvc, vários sistemas de senha, chip e pin e assim por diante.

O importante aqui é que é a transação , não o cartão , que tem isso. O tipo de autenticação usada influencia coisas como quem é responsável por transações fraudulentas, a facilidade com que o titular do cartão pode contestar transações, o tamanho da taxa de transação e a probabilidade de a transação ser rejeitada como potencialmente fraudulenta.

A Amazon provavelmente descobriu que o aumento nas vendas de um sistema de pagamento simplificado mais do que compensa o aumento dos custos de fraude, portanto, a única informação necessária para um pagamento é o número do cartão de crédito.

Coisas como pedidos com um clique são impossíveis se exigirem a senha 3D segura todas as vezes.
Alguns provedores de pagamento também estão aplicando heurísticas para decidir se devem ou não solicitar o código 3DS.A ideia é que eles (o lojista) obtenham alguma proteção da operadora de cartão de crédito, sem incomodar os usuários regulares.Não tenho ideia de como eles são eficazes, mas você pode ser perguntado algumas vezes e não outras pessoas do mesmo site
Ángel
2017-09-04 03:05:43 UTC
view on stackexchange narkive permalink

A Amazon nem mesmo solicita o CVV. A única peça necessária para faturar um cartão é o número do cartão. O processamento da transação sem o CVV ou o 3D será considerado mais arriscado pelo processador do cartão (sendo, portanto, mais caro, ou mesmo recusando-se a fornecer o serviço a eles), mas a Amazon está empenhada em fazer isso em troca de um processo mais simplificado para seus visitantes.

Só para constar: há alguns meses, um canal de TV local experimentou uma fraude (feita de forma consensual com a vítima escolhida) em que clonou o PAN e a data de validade do cartão usando um leitor NFC aprimorado e, em seguida, usou essa informação para fazer pedidos.O site de destino estava parcialmente desfocado no vídeo, mas ** era claramente Amazon ** a julgar pelas cores e layout desfocados
@usr-local-ΕΨΗΕΛΩΝ Por que eles se preocuparam em clonar o cartão para fazer esse experimento?No Reino Unido, você não precisa do cartão físico para fazer transações em um site - você só precisa saber o número do cartão, a data de validade e o código de segurança.Mas suponho que se o dono do cartão tivesse acabado de dar a eles essa informação para digitar, não teria sido um item tão "interessante" (embora enganoso) para o programa de TV!
Pode-se obter um número de cartão de crédito e prazo de validade a partir de curto (2 metros de distância) com um transmissor RFID especial com potência de rádio adicional, através do bolso guardado no bolso do titular do cartão, que nesse caso era consensual.Por exemplo.na fila de um museu.O experimento de TV queria discutir a segurança dos cartões sem contato, mostrando como alguém poderia fazer um pedido da Amazon * facilmente *
Phil M
2017-09-06 00:16:00 UTC
view on stackexchange narkive permalink

Os recursos de segurança do cartão de crédito foram desenvolvidos para proteger o comerciante. Outros campos, incluindo nome, validade, CVV, Secure 3D, etc., existem apenas para reduzir o risco de fraude para o comerciante.

Se o comerciante estiver disposto a assumir o risco de um cartão de crédito, eles apenas tecnicamente precisa do número do cartão de crédito para processar um pagamento.

Na maioria dos casos, tudo que o titular do cartão de crédito (sem débito) precisa fazer é declarar "fraude" e os fundos são estornados em um curto espaço de tempo. Isso ocorre porque, em uma disputa, o ônus da prova recai sobre o comerciante de que o pagamento por um cliente é legítimo.

NOTA: Essas proteções ao consumidor NÃO são verdadeiras para cartões de débito, incluindo paypal ... o ônus da prova muda para o cliente para cartões de débito de conta bancária, e geralmente leva meses para resolver.

É por isso que você deve usar cartões de crédito reais em vez de postos de pagamento públicos, incluindo gás, parquímetros, etc.

Niklas R.
2017-09-06 06:15:57 UTC
view on stackexchange narkive permalink

3D seguro é opcional. É simples assim. Pode não estar em conformidade com o PCI DSS para não impor 3D seguro neste caso.

Kamria
2019-08-22 07:22:54 UTC
view on stackexchange narkive permalink

A implementação do 3D Secure é prerrogativa do comerciante. 3D Secure permite a mudança de responsabilidade em casos de fraude.3D Secure é obrigatório em algumas geografias devido a ordens de bancos centrais / autoridades.

RalphB
2017-09-05 20:33:47 UTC
view on stackexchange narkive permalink

Talvez você tenha ativado a ordem de um clique como eu fiz. Meu provedor nunca pede cvv na Amazon, mas faz em outros sites. Possivelmente porque confirmei com autenticação de dois fatores?



Estas perguntas e respostas foram traduzidas automaticamente do idioma inglês.O conteúdo original está disponível em stackexchange, que agradecemos pela licença cc by-sa 3.0 sob a qual é distribuído.
Loading...