Два дня назад я совершил покупку на веб-сайте, и он не запросил мой CVV. Теперь я проснулся от электронного письма с просьбой об этом. Он еще не прошел через мой аккаунт. Это так сомнительно, как я это делаю?
Вот текст сообщения электронной почты, которое я получил:
Дорогая Кейтлин,
Мы готовы обработать ваш заказ, но нам нужны дополнительные три цифры, расположенные на обратной стороне вашей кредитной карты на полосе, где вы подписываете свое имя. Пожалуйста, сообщите нам этот номер, чтобы мы могли ускорить выполнение вашего заказа.
НЕ отвечайте напрямую на электронное письмо с вашей информацией.
Я не могу не подчеркнуть этого достаточно: НЕ отвечайте на электронное письмо с какой-либо ценной информацией. Если вы решите отправить им номер CVV для обработки заказа, перейдите на их веб-сайт (не нажимайте на ссылку в электронном письме) и свяжитесь с ними, используя электронную почту службы поддержки или номер «Свяжитесь с нами», и спросите их напрямую. если они запросили эту информацию. Если да, позвоните им по телефону и поделитесь CVV таким образом, а не по электронной почте.
Похоже, это может быть фишинг, когда мошенник притворяется кем-то, с кем вы вели дела, и запрашивает у вас информацию, которая может быть ценной. Обычно это имя пользователя и пароль банка («Ваш пароль был скомпрометирован. Нажмите здесь, чтобы сбросить!» — никогда не нажимайте сюда). Если быть честными, я не думаю, что это фишинг (мошеннику понадобятся ваши данные CC, чтобы CVV был хоть каким-то образом полезен), но это может быть так, и важно выработать безопасные привычки.
Продавец использует этот код для обработки платежа и подтверждения владения картой, если ему не вручают карту лично (например, при покупках в Интернете). Так что, если они не просили об этом раньше, это, вероятно, было ошибкой и, по крайней мере, влечет за собой большую ответственность. Если они новичок в приеме платежей по кредитным картам, возможно, они все еще во всем разбираются, и это честная ошибка. Но это то, что они действительно должны выяснить после выполнения пары заказов (конечно, мошенник тоже это понял, поэтому я не считаю это тревожным сигналом как таковым). (Примечание: по-видимому, требование не такое сильное, как я изначально думал (см. комментарии), но я бы счел необходимость CVV нормой )
Возможно, я был бы готов дать им презумпцию сомнения, если это новая и небольшая операция (а в последние несколько месяцев по очевидным причинам все больше предприятий перешли в Интернет), но я был бы крайне осторожен, отвечая прямо на электронное письмо с любую личную или отдаленно ценную информацию по причинам, изложенным выше. Свяжитесь с компанией напрямую через веб-сайт для подтверждения, желательно по телефону. Это не идеально, но гораздо более безопасно, если, надеюсь, потребуется немного больше усилий.
Это может не указывать на мошенничество, но предполагает некомпетентность/дилетантство со стороны бизнеса. Это не обычный процесс приема платежей по кредитным картам — они только что начали это делать?
Бен Миллер говорит:
С таким же успехом они могли ошибиться с кодом, если бы попросили его на кассе.
Но запрос его на кассе, вероятно, является частью стандартного программного процесса. Запрашивать его по электронной почте предполагает необычный, ручной, самостоятельный процесс, который, вероятно, менее безопасен, чем стандартный. Даже если вы не будете нести ответственность за какое-либо мошенничество, это признак того, что бизнес также может быть дилетантским в других отношениях (качество, обслуживание клиентов).
Даже если это невинная просьба, это неправильно .
Правила PCI-DSS (которые имеют глобальный охват) чрезвычайно строги в отношении управления карточными данными. Некоторые значения вообще невозможно сохранить, а некоторые должны быть зашифрованы как при передаче, так и при хранении. CVV является одним из наиболее защищенных полей, поэтому тот факт, что они просят вас отправить его по электронной почте, уже является нарушением.
По крайней мере, они не знают, что делают. Это может быть захвачено с помощью защищенной веб-формы (большинство небольших компаний просто получают услугу эквайринга для размещения страницы для них), но захват электронной почты определенно не включен.
На мой взгляд, это действительно зависит от веб-сайта. Если веб-сайт на самом деле не витрина, а, например, местный (в любом случае, местный где-то) игровой магазин, который продает карты Magic / Pokémon онлайн, что-то в этом роде, где они берут вашу информацию через веб-сайт, но фактически вводят ее. в свою POS-систему вручную, то это вполне разумная вещь. Это не лучший способ делать что-то — никакая часть системы, где они вводят информацию в POS, которую они собирают другим способом, не является, и это почти наверняка не соответствует тому, как они должны делать что-то — но это и не удивительно . , и, вероятно, в этом случае не мошенничество; они просто забыли запросить код во время оформления заказа.
Однако, если бы веб-сайт был заполнен встроенной платежной информацией, я был бы более осторожен. Для меня это больше похоже на фишинг.
Однако, учитывая все обстоятельства, вероятность фишинга кажется несколько низкой, а вероятность того, что это магазин... не очень безопасным, высока. Я бы не ответил им по электронной почте, а вместо этого позвонил бы им. Если они такие, как я описываю, и делают что-то вручную в своей POS-системе, то, возможно, вы можете решить это по телефону. Избегание кода CVV в электронной почте является одним из основных преимуществ, а во-вторых, вы подтверждаете, что электронное письмо действительно пришло от них, связавшись с ними другим способом (и посмотрите их номер телефона в Интернете, не используйте электронное письмо, которое вам отправили. )
Добавление к ответу @davidfulton...
CVV — это показатель «доказательства владения». Если вы знаете CVV, то это означает, что карта у вас в руке, и вы читаете ее с карты. Он никогда не должен постоянно записываться где-либо. Когда я разговариваю с агентом по обслуживанию клиентов, и они спрашивают CVV, я отвечаю: «Вы записываете его или вводите в компьютер?» Если первое, то я им его не даю.
Правильно построенная система обработки кредитных карт будет правильно обрабатывать CVV (и эти системы постоянно проверяются). Записать это на листе бумаги или отправить по электронной почте просто неправильно.
Любой, кто знает ваш CVV и номер вашей карты, может доказать, что он/она «владеет» вашей картой.
И да, PCI-DSS очень суетливо относится к тому, что продавец может делать с информацией о карте и, в частности, с информацией CVV. Они никогда не должны просить вас поместить это в электронной почте.
Как веб-разработчик я знаю, что веб-сайт магазина никогда не должен хранить номер вашей кредитной карты. Он должен передаваться платежному шлюзу напрямую и никогда не сохраняться. Если через 2 дня у магазина все еще есть номер вашей кредитной карты для использования с CVV, они неправильно обрабатывают вашу платежную информацию. В противном случае это мошенничество. Не отправляйте свой CVV, свяжитесь с магазином, чтобы узнать, что происходит (возможно, они были скомпрометированы).
CVV никогда не разглашается в незашифрованном виде, т.е. по электронной почте. Его можно раскрыть только через безопасную страницу обработки кредитной карты. Вероятно, для компании незаконно запрашивать CVV по электронной почте.
Позвольте мне задать вам эти вопросы:
Если вы можете ответить «да» на все эти вопросы, тогда вперед и дайте им код. Если вы не дадите им код, ваш заказ будет отменен, и вы не получите свой товар.
Я ожидаю, что кто-то прокомментирует этот момент и предположит, что то, что они делают, является незаконным/неправильным, и что им не нужен код. Я бы сказал им (и вам), что эта компания не стала бы запрашивать код, если бы он не был нужен им для обработки вашего заказа. Если бы вы предоставили его при оформлении заказа, если бы вас попросили, то вы должны предоставить его сейчас.
Они также предполагают, что компания неправильно обращается с кодом. Они могут быть, а могут и не быть, но на самом деле это не ваша забота. С таким же успехом они могли ошибиться с кодом, если бы попросили его на кассе.
Если выяснится, что кто-то в этой компании мошенник, или если они будут взломаны, а номер и код вашей карты будут украдены, вы не будете нести ответственность за мошеннические платежи. Поэтому, хотя и полезно быть осторожным, если у вас нет причин подозревать, что компания/веб-сайт является поддельной, я бы посоветовал вам дать им код.
this company would not be asking for the code if they didn’t need it
- электронная почта может быть подделана. Легко. Это не обязательно исходит от компании. Вы наверняка знаете о поддельных электронных письмах якобы от $bank? you will not be liable for the fraudulent charges
- конечно... но в то же время на вашей карте есть дополнительный баланс, у вас есть головная боль от отмены платежей, может потребоваться новая карта (и вам нужно обновить номер, сохраненный в автообновлении и с автоматическими платежами) и т. д. и т.д.Of course, e-mail can be spoofed. That’s why I started the answer the way I did (see third bullet)
... что означает, что обычный человек может определить, является ли электронное письмо поддельным. Обратите внимание на комментарий @chrylis-cautiouslyoptimistic- о том, что даже очень опытный администратор не всегда может сказать.Данные вашей кредитной карты могут быть общедоступными
Данные вашей кредитной карты были обработаны небезопасным способом, и вам следует обратиться в свой банк, чтобы отозвать карту и получить новую.
Что произошло
Для проведения платежей по кредитным картам через Интернет компания должна быть сертифицирована по стандарту PCI-DSS (спасибо Дэвиду Фултону за полное название сертификата). Сертификация является обязательной для крупных компаний, выпускающих кредитные карты, таких как Visa и MasterCard. Эта сертификация предназначена для обеспечения безопасного обращения с данными кредитной карты.
Но интернет-магазину не нужна эта сертификация, если он использует стороннего платежного провайдера. В этом случае вся информация о кредитной карте обрабатывается поставщиком платежных услуг. Отправляя информацию о кредитной карте непосредственно платежному провайдеру, интернет-магазин вообще никогда не обрабатывает информацию о кредитной карте.
Интернет-магазин, в котором вы сделали заказ, не имеет сертификата PCI-DSS или не соответствует ему. Это видно по тому, что они запрашивают CVV по электронной почте. И они не используют стороннего платежного провайдера, имеющего сертификацию PCI-DSS, по тем же свидетельствам. По крайней мере, не так, как предполагалось. Скорее всего, они пытаются разработать хотя бы UI для платежа, не зная до конца, что они делают.
В результате данные кредитной карты, добавленные в этот интернет-магазин, нельзя доверять. Они показали, что не могут обеспечить безопасность, необходимую для данных кредитных карт. Таким образом, я бы рассматривал всю информацию об этом интернет-магазине как общедоступную.
Обратите внимание: я не говорю, что интернет-магазин действовал намеренно злонамеренно. Но ведь речь идет о ваших деньгах, какая разница, сознательно или нет?
что делать сейчас
Я не могу сказать вам, что делать, но я бы сделал следующее:
Может ли это быть что-то еще
Как указано в других ответах, это может быть фишинг. Но если это так, разве заказ не должен быть выполнен к настоящему времени? И как фишеры узнали, что вы разместили заказ в этом интернет-магазине? Если вы сделали это общедоступным в Интернете, возможно, они взяли его оттуда, в противном случае они получили информацию из интернет-магазина.
Но опять же, на кону ваши деньги. Я думаю, лучше перестраховаться, чем потом сожалеть.
Толстяк
Максатысячи
Толстяк
Куора Фианс
пользователь91988
тележка813
Тобиас Кинцлер
Робби Гудвин