Электронное письмо с запросом CVV через два дня после совершения покупки?

Два дня назад я совершил покупку на веб-сайте, и он не запросил мой CVV. Теперь я проснулся от электронного письма с просьбой об этом. Он еще не прошел через мой аккаунт. Это так сомнительно, как я это делаю?

Вот текст сообщения электронной почты, которое я получил:

Дорогая Кейтлин,

Мы готовы обработать ваш заказ, но нам нужны дополнительные три цифры, расположенные на обратной стороне вашей кредитной карты на полосе, где вы подписываете свое имя. Пожалуйста, сообщите нам этот номер, чтобы мы могли ускорить выполнение вашего заказа.

Добро пожаловать, новый пользователь - расскажите нам, что вообще продается на сайте? Просто вообще говоря.
@Фэтти Почему? Повлияет ли это существенно на рекомендации по работе с этим электронным письмом? Искренне любопытно. И нового пользователя зовут Кэт.
@maxathousand - я думал, что многие категории продуктов намного, намного, намного более мошеннические, чем другие.
Не могли бы вы связаться с компанией другими способами, чтобы подтвердить, что электронное письмо от них?
@maxathousand Почему бы и нет? Можете ли вы назвать одну вескую причину не делать этого? Как правило, обращаясь за помощью, полезно предоставить столько информации, сколько разумно и актуально. Спрашивающий разместил вопрос в открытом доступе в Интернете. Мы не вторгаемся в их дом, спрашивая, на что они тратят деньги. У нас есть причина спросить.
@maxathousand На самом деле нового пользователя зовут Кейтлин.
Поскольку продавцу не разрешено хранить CVV, отправка его по электронной почте лишает его возможности доказать, что он не хранил его случайно или намеренно.
Немедленно обратитесь к эмитенту вашей карты. Используя карты лично или по почте, по телефону или через Интернет с тех пор, как не развился CVV, я не припомню, чтобы поставщик повторно связывался со мной подобным образом. С чего бы им. Безопасность требует, чтобы веб-сайты не завершали проверку с отсутствующими деталями… Представьте: «Хотите ввести свой CVV или сейчас слишком много хлопот?» Незавершенные заказы обычно задерживаются на короткое время; не более 24 часов, что дает покупателю возможность снова войти в систему и завершить транзакцию. Задолго до двух дней распродажа должна «умереть», и редко возникает настоящая неприятность, чтобы начать новую.

Ответы (9)

НЕ отвечайте напрямую на электронное письмо с вашей информацией.

Я не могу не подчеркнуть этого достаточно: НЕ отвечайте на электронное письмо с какой-либо ценной информацией. Если вы решите отправить им номер CVV для обработки заказа, перейдите на их веб-сайт (не нажимайте на ссылку в электронном письме) и свяжитесь с ними, используя электронную почту службы поддержки или номер «Свяжитесь с нами», и спросите их напрямую. если они запросили эту информацию. Если да, позвоните им по телефону и поделитесь CVV таким образом, а не по электронной почте.

Похоже, это может быть фишинг, когда мошенник притворяется кем-то, с кем вы вели дела, и запрашивает у вас информацию, которая может быть ценной. Обычно это имя пользователя и пароль банка («Ваш пароль был скомпрометирован. Нажмите здесь, чтобы сбросить!» — никогда не нажимайте сюда). Если быть честными, я не думаю, что это фишинг (мошеннику понадобятся ваши данные CC, чтобы CVV был хоть каким-то образом полезен), но это может быть так, и важно выработать безопасные привычки.

Продавец использует этот код для обработки платежа и подтверждения владения картой, если ему не вручают карту лично (например, при покупках в Интернете). Так что, если они не просили об этом раньше, это, вероятно, было ошибкой и, по крайней мере, влечет за собой большую ответственность. Если они новичок в приеме платежей по кредитным картам, возможно, они все еще во всем разбираются, и это честная ошибка. Но это то, что они действительно должны выяснить после выполнения пары заказов (конечно, мошенник тоже это понял, поэтому я не считаю это тревожным сигналом как таковым). (Примечание: по-видимому, требование не такое сильное, как я изначально думал (см. комментарии), но я бы счел необходимость CVV нормой )

Возможно, я был бы готов дать им презумпцию сомнения, если это новая и небольшая операция (а в последние несколько месяцев по очевидным причинам все больше предприятий перешли в Интернет), но я был бы крайне осторожен, отвечая прямо на электронное письмо с любую личную или отдаленно ценную информацию по причинам, изложенным выше. Свяжитесь с компанией напрямую через веб-сайт для подтверждения, желательно по телефону. Это не идеально, но гораздо более безопасно, если, надеюсь, потребуется немного больше усилий.

CVV на самом деле не требуется для покупок в Интернете, хотя на практике он используется во всех законных местах. Может быть, вы запутались, потому что не можете сохранить номер CVV? Но транзакции могут проходить без CVV или даже с неправильным CVV. Источник: я использую Stripe, и вы можете отключить правило, которое блокирует платежи без или с неправильным CVV. Не знаю, какой вариант использования будет, но это можно сделать.
@Bakuriu Самый известный пример, который мне известен, это то, что Amazon не запрашивает CVV. Это повышает их стоимость в случае мошенничества, но они считают целесообразным уменьшить трение при оформлении заказа и повысить конверсию клиентов.
"Ваш пароль был скомпрометирован. Нажмите здесь для сброса!" Это предложение примерно похоже на большинство сбросов паролей, которые мы получаем от онлайн-сервисов, когда мы намеренно нажимаем «забыли пароль».
@ChrisHayes Конечно, трение CVV незначительно по сравнению с трением всех других данных?
Когда я предоставляю информацию о кредитной карте в качестве гарантии, например, при бронировании отеля или аренды автомобиля, они обычно также не запрашивают CVV, но в случае неявки я предполагаю, что они все равно могут взимать с меня плату.
Прошло 15 лет с тех пор, как я работал в сфере обработки платежей, но тогда поставщик отправлял номер CVV и числовую часть почтового/почтового индекса клиента, а затем получал код возврата, в котором говорилось, какие из них совпадают, и тогда это было до поставщика, продолжать или нет. После того, как поставщик, такой как Amazon, один раз проверил CVV и почтовый индекс, нет необходимости делать это для последующих покупок.
@ user253751 Amazon может токенизировать большую часть данных карты для повторной транзакции, но хранить CVV строго запрещено. Если они готовы взять на себя дополнительную ответственность, они могут повторно использовать сохраненный токен карты и отправить его без CVV, что означает, что им вообще не нужно просить пользователя вводить какую-либо информацию о карте, так что это становится эффективно без трения.
@DavidFulton Я думал, что это вполне нормально, а не только для Amazon. Многие места запрашивают CVV при первой транзакции, а затем не после нее, если вы решите, чтобы они помнили данные вашей карты.
@user253751 user253751 Усилия по получению CVV могут быть огромными , в сравнении. Safari (и, возможно, другие браузеры) с радостью сохранит и автоматически заполнит (если я захочу) мое имя, адрес доставки, номера карт и даты истечения срока действия. Я могу полностью заполнить форму заказа с помощью пары подсказок автозаполнения. Предоставление CVV требует встать и найти настоящую карту, поскольку мой бумажник практически никогда не находится в моем кармане, когда я сижу за компьютером.
@nobody, но обычно это «[оплатить той же картой, что и в прошлый раз] [введите данные карты]». Нажмите левую кнопку, без автозаполнения, а также без CVV. Конкретно про Амазон не знаю.
@user253751 user253751 Это довольно распространено, но зависит от отношения продавца к риску. Они несут ответственность, если последующие транзакции оспариваются, поэтому, если кто-то войдет в вашу учетную запись Amazon и успешно совершит покупку, используя вашу сохраненную карту без предоставления CVV, это их проблема. Скорее всего, они запросят CVV, если вы одновременно введете новый адрес.
Хорошо, так что это не всегда зависит от продавца; Amazon является исключением из этого случая, потому что они совершают так много транзакций, что у них есть уникальное представление о том, кто вы и ваш домашний адрес (то есть, являетесь ли вы тем, за кого себя выдаете). Отдельным продавцам, возможно, придется использовать CVV в соответствии с требованиями своих процессоров, чтобы снизить риск мошенничества, поэтому «необязательно» — очень гибкий термин, например, «PAN не является обязательным, вы можете выписать чек » . Необязательность зависит от предыдущих уровней риска продавца, типа транзакции и т. д., а также от настроек эмитента.
" мошеннику потребуются ваши данные CC для использования CVV " Это маловероятно, но мошенник мог также быть хакером / работать с хакером, чтобы получить номера кредитных карт, имена и даты без CVV, вместе с соответствующими электронные письма для покупок и отправляет мошеннические электронные письма, чтобы получить последнюю часть информации, чтобы сделать дамп кредитной карты значительно более ценным.
@никто Точно. Кроме того, CVV труднее всего запомнить. Номер моей карты не менялся десять лет, а срок действия всегда один и тот же месяц с шагом в три года. По сравнению с этим, я получаю новый случайный CVV каждый раз, когда одна из моих карт обновляется, поэтому довольно сложно отследить, какая у меня текущая.
@nobody Google Pay отлично принимает мой CVV. Мой CVV также присутствует в моем хранилище паролей. Что вы говорите о том, что браузеру не разрешено хранить CVV?
«Если они новичок в приеме платежей по кредитным картам, возможно, они все еще во всем разбираются, и это честная ошибка». Большинство сайтов имеют тестовую версию своего сайта, чтобы убедиться, что большинство вещей работает должным образом. Отсутствие CVV было бы большим упущением.
Это может быть фишинг с внутренним сообщником (или компрометация) — у них есть данные кредитной карты, но нет CCV, поэтому для них это не очень полезно.
@ user17915 Нет, это не так. Подлинный никогда не скажет : «Ваш пароль был скомпрометирован».
@Nzall Никто не говорил, что браузер не может хранить CVV. CVV не может быть сохранен продавцом из -за PCI DSS. Вы совершенно свободны делать со своим CVV все, что хотите, хранить его в своем браузере, помещать на заметку на своем экране, нанимать специалиста по скайрайтеру... Дальнейшее чтение: blog.pcisecuritystandards.org/…
Я считаю, что современные платежные системы принимают данные карты, включая CVV, один раз, а затем возвращают продавцу токен, который может использоваться для будущих продаж этим продавцом тому же покупателю. Токен нельзя использовать для покупки у любого другого продавца.

Это может не указывать на мошенничество, но предполагает некомпетентность/дилетантство со стороны бизнеса. Это не обычный процесс приема платежей по кредитным картам — они только что начали это делать?

Бен Миллер говорит:

С таким же успехом они могли ошибиться с кодом, если бы попросили его на кассе.

Но запрос его на кассе, вероятно, является частью стандартного программного процесса. Запрашивать его по электронной почте предполагает необычный, ручной, самостоятельный процесс, который, вероятно, менее безопасен, чем стандартный. Даже если вы не будете нести ответственность за какое-либо мошенничество, это признак того, что бизнес также может быть дилетантским в других отношениях (качество, обслуживание клиентов).

Со всеми крупными магазинами, которые были взломаны, а номера карт украдены за последние годы, я не уверен, что мы можем сделать вывод, что более причудливые веб-сайты и стандартные процессы являются более безопасными, чем мама и папа, делающие что-то вручную. В любом случае, именно для этого существует ответственность за мошенничество в размере 0 долларов США.
Большинство мелких онлайн-продавцов вообще не уполномочены обрабатывать конфиденциальные данные карты — в обычном потоке авторизации платежей они будут перенаправляться на какой-либо торговый шлюз, который получит номер карты и CVV, но продавец не сможет увидеть данные . Я также считаю, что PCI DSS не допускает ручного процесса авторизации, который включает небезопасную передачу и хранение конфиденциальных данных (например, по электронной почте) — авторизация по телефону работает, но это не похоже на то, что законному продавцу разрешил бы их продавец. соглашение банка/шлюза.
Ага, только что проверил — PCI DSS прямо запрещает «необычный, ручной, самопроизвольный процесс», включающий обмен данными карты по электронной почте. В стандарте «4.2 Никогда не отправляйте незащищенные PAN с помощью технологий обмена сообщениями конечных пользователей (например, электронной почты, обмена мгновенными сообщениями, SMS, чата и т. д.)». Для «Конфиденциальных данных авторизации», таких как CVV, это даже строже, чем номера карт — вы вообще не можете хранить их после авторизации, принятие CVV по электронной почте должно гарантировать (и проверять в ходе аудита), что номер очищен от любых и все почтовые серверы, журналы и резервные копии, что практически невозможно.

Даже если это невинная просьба, это неправильно .

Правила PCI-DSS (которые имеют глобальный охват) чрезвычайно строги в отношении управления карточными данными. Некоторые значения вообще невозможно сохранить, а некоторые должны быть зашифрованы как при передаче, так и при хранении. CVV является одним из наиболее защищенных полей, поэтому тот факт, что они просят вас отправить его по электронной почте, уже является нарушением.

По крайней мере, они не знают, что делают. Это может быть захвачено с помощью защищенной веб-формы (большинство небольших компаний просто получают услугу эквайринга для размещения страницы для них), но захват электронной почты определенно не включен.

Соглашаться. Никогда не кладите в электронное письмо то, что вы не написали бы на открытке.
@Maaark - хорошая аналогия.
Я думаю, что на законный, но неправомерный запрос на отправку конфиденциальной информации по электронной почте следует ответить предложением позвонить в компанию с надлежащей информацией, если они ответят по электронной почте информацией о том, как связаться с нужным человеком по основному номеру компании. Хотя я знал человека, который пошел по этому пути, а затем получил копию электронного письма, где человек, которому он позвонил, отправил конфиденциальную информацию человеку в компании, обрабатывающей платеж. Грррр....
@Maaark: хотя аналогия хорошая, я не уверен, что в данном случае она достаточно эффективна. Для вас или для меня само собой разумеется не писать свой CVV на открытке, но я уверен, что есть много людей, которых можно убедить отправить свой CVV на открытке компании, у которой уже есть свои номер карты и другие данные, аргументируя это тем, что кто-то, кто видит только CVV, не опасен. «Не выдавайте свой CVV, кроме как при размещении заказа по телефону или через безопасную веб-форму» больше похоже на это!
@Maaark: если быть более точным, 6 из этих людей - Бен Миллер и 5 голосовавших за этот ответ на момент написания статьи!

На мой взгляд, это действительно зависит от веб-сайта. Если веб-сайт на самом деле не витрина, а, например, местный (в любом случае, местный где-то) игровой магазин, который продает карты Magic / Pokémon онлайн, что-то в этом роде, где они берут вашу информацию через веб-сайт, но фактически вводят ее. в свою POS-систему вручную, то это вполне разумная вещь. Это не лучший способ делать что-то — никакая часть системы, где они вводят информацию в POS, которую они собирают другим способом, не является, и это почти наверняка не соответствует тому, как они должны делать что-то — но это и не удивительно . , и, вероятно, в этом случае не мошенничество; они просто забыли запросить код во время оформления заказа.

Однако, если бы веб-сайт был заполнен встроенной платежной информацией, я был бы более осторожен. Для меня это больше похоже на фишинг.

Однако, учитывая все обстоятельства, вероятность фишинга кажется несколько низкой, а вероятность того, что это магазин... не очень безопасным, высока. Я бы не ответил им по электронной почте, а вместо этого позвонил бы им. Если они такие, как я описываю, и делают что-то вручную в своей POS-системе, то, возможно, вы можете решить это по телефону. Избегание кода CVV в электронной почте является одним из основных преимуществ, а во-вторых, вы подтверждаете, что электронное письмо действительно пришло от них, связавшись с ними другим способом (и посмотрите их номер телефона в Интернете, не используйте электронное письмо, которое вам отправили. )

Кого волнует, если это фишин? Это тенисто!
Вам не разрешено сохранять код CVV, поэтому часть вашего помещения, где они забыли потребовать его, недействительна / по крайней мере такая же большая проблема, как запрос по электронной почте.
@DanIsFiddlingByFirelight Мое предположение заключается в том, что это небольшая операция, которая не следует правильно этим протоколам, да. Просто пытаюсь провести различие между «невниманием к правилам» и «мошенничеством»; Я думаю, что первое более вероятно, чем второе.

Добавление к ответу @davidfulton...

CVV — это показатель «доказательства владения». Если вы знаете CVV, то это означает, что карта у вас в руке, и вы читаете ее с карты. Он никогда не должен постоянно записываться где-либо. Когда я разговариваю с агентом по обслуживанию клиентов, и они спрашивают CVV, я отвечаю: «Вы записываете его или вводите в компьютер?» Если первое, то я им его не даю.

Правильно построенная система обработки кредитных карт будет правильно обрабатывать CVV (и эти системы постоянно проверяются). Записать это на листе бумаги или отправить по электронной почте просто неправильно.

Любой, кто знает ваш CVV и номер вашей карты, может доказать, что он/она «владеет» вашей картой.

И да, PCI-DSS очень суетливо относится к тому, что продавец может делать с информацией о карте и, в частности, с информацией CVV. Они никогда не должны просить вас поместить это в электронной почте.

Для уточнения: PCI-DSS регулирует процедуры продавца , а не покупателя. Продавец, который регулярно запрашивает CVV по электронной почте, серьезно рискует потерять привилегию принимать кредитные карты. Банки и операторы кредитных карт встают перед продавцом, если они неправильно обращаются с этой информацией.
@ О.Джонс: Спасибо. Я сделал это яснее. Мы только что завершили всю очистку от нашего аудита PCI.

Как веб-разработчик я знаю, что веб-сайт магазина никогда не должен хранить номер вашей кредитной карты. Он должен передаваться платежному шлюзу напрямую и никогда не сохраняться. Если через 2 дня у магазина все еще есть номер вашей кредитной карты для использования с CVV, они неправильно обрабатывают вашу платежную информацию. В противном случае это мошенничество. Не отправляйте свой CVV, свяжитесь с магазином, чтобы узнать, что происходит (возможно, они были скомпрометированы).

CVV никогда не разглашается в незашифрованном виде, т.е. по электронной почте. Его можно раскрыть только через безопасную страницу обработки кредитной карты. Вероятно, для компании незаконно запрашивать CVV по электронной почте.

Это не незаконно, но является грубым нарушением соглашения продавца с обработчиком его кредитной карты - CVV должен строго обрабатываться с использованием правил PCI-DSS (и это просто неправильно).

Позвольте мне задать вам эти вопросы:

  • Вы доверяете этому веб-сайту/бизнесу?
  • Если бы на кассе попросили код CVV, вы бы его предоставили?
  • Верите ли вы, что сообщение электронной почты, которое вы получили, действительно от компании?

Если вы можете ответить «да» на все эти вопросы, тогда вперед и дайте им код. Если вы не дадите им код, ваш заказ будет отменен, и вы не получите свой товар.

Я ожидаю, что кто-то прокомментирует этот момент и предположит, что то, что они делают, является незаконным/неправильным, и что им не нужен код. Я бы сказал им (и вам), что эта компания не стала бы запрашивать код, если бы он не был нужен им для обработки вашего заказа. Если бы вы предоставили его при оформлении заказа, если бы вас попросили, то вы должны предоставить его сейчас.

Они также предполагают, что компания неправильно обращается с кодом. Они могут быть, а могут и не быть, но на самом деле это не ваша забота. С таким же успехом они могли ошибиться с кодом, если бы попросили его на кассе.

Если выяснится, что кто-то в этой компании мошенник, или если они будут взломаны, а номер и код вашей карты будут украдены, вы не будете нести ответственность за мошеннические платежи. Поэтому, хотя и полезно быть осторожным, если у вас нет причин подозревать, что компания/веб-сайт является поддельной, я бы посоветовал вам дать им код.

Одна из причин предоставить его при оформлении заказа, а не по электронной почте, заключается в том, что электронная почта небезопасна. В обычном потоке данные должны были быть отправлены по зашифрованному соединению и должны быть очищены после авторизации. Это трудно гарантировать с электронной почтой, поскольку копии могут существовать на почтовых серверах, в мусорной корзине и т. д. Я не считаю, что это незаконно, но это не соответствует стандарту PCI DSS. Это не значит, что они мошенники, они, вероятно, честны, но у них немного хитрые процессы. Лично, если я доверяю бизнесу, я могу отправить только CVV по электронной почте, но не CVV + данные кредитной карты в том же электронном письме.
@JBChouinard Да, электронная почта небезопасна, но в сообщении не запрашивается CVV и номер кредитной карты по электронной почте, а только CVV, который представляет собой бесполезный трехзначный номер без номера кредитной карты (который у них уже есть) ). Помните, что CVV — это не PIN-код , и вы постоянно передаете свою карту с обеими частями информации незнакомым людям.
Я понимаю, что они запрашивают только CVV, я просто хотел уточнить, что «может быть нормально отправлять CVV только по электронной почте» НЕ означает «можно отправлять любую информацию о кредитной карте по электронной почте».
@JBChouinard Согласен. :)
@BenMiller-RememberMonica Я думаю, вы имеете в виду «вы все время передаете свою карту незнакомцам» в США. В Великобритании я не могу вспомнить, когда я делал это в последний раз - вероятно, около 20 лет назад (и я использую платежи по картам почти для всего). Я надеюсь, что если вы введете CVV в надежную платежную транзакцию через веб - сайт , люди не узнают CVV - он просто отправляется компании-эмитенту карты, проверяется, а затем отбрасывается навсегда.
Верите ли вы, что сообщение электронной почты, которое вы получили, действительно от компании? Я профессионально занимаюсь ИТ уже 20 лет, и моей первой работой было присматривать за почтовыми серверами. Я бы не стал доверять себе, чтобы точно судить, действительно ли сообщение пришло от компании, и предположил бы, что это фишинг. (Я бы позвонил в компанию, чтобы либо подтвердить и просветить, либо опровергнуть и предупредить их, что у них была утечка.)
@JBChouinard CVV имеет более строгие ограничения, чем номера карт, существует множество видов обработки, которые разрешены для номеров карт, но запрещены для CVV. Цитируя PCI DSS, «Конфиденциальные данные аутентификации не должны храниться после авторизации, даже если они зашифрованы. Это применимо, даже если в среде нет PAN». (Конфиденциальные данные аутентификации включают CVV; PAN — это номер карты) — поэтому они явно включают сценарий отправки CVV отдельно. PCI DSS 3.2 требует, чтобы электронное письмо с этим номером было безвозвратно (!) удалено со всех систем после авторизации.
В этом ответе требуется много доверия и веры, а не хороший план, когда речь идет о такой информации!
Сначала вы предлагаете пройти через это только в том случае, если вы доверяете компании, а затем вы предлагаете, что это не имеет значения, потому что вы все равно не попадетесь на крючок? Я не уверен, что вы на самом деле предлагаете здесь.
@Fax При совершении сделок с кем-либо вам необходимо решить, заслуживает ли доверия лицо/организация, с которой вы имеете дело. В этом случае ОП уже решил, что этот веб-сайт достаточно надежен, чтобы разместить заказ. Далее, вам нужно учитывать риск для себя в случае, если вы ошибаетесь. В этом случае, поскольку задействована платежная карта, риск минимален из-за политики защиты от мошенничества. Большинство людей делают эти суждения ежедневно.
@Peteris Как я уже сказал, я знаю, что это не соответствует стандарту PCI DSS. Если бы это была платежная система, за которую я отвечал, это бы меня сильно беспокоило. Как клиент? Мех. При защите от мошенничества с нулевой ответственностью ответственность несет либо продавец, либо банк. Кража моей информации CC доставляет неудобства, поэтому я не собираюсь выдавать ее злоумышленникам, но в мои обязанности не входит проведение аудита PCI DSS каждого продавца, с которым я взаимодействую.
@Peteris Моя причина, по которой я не потерял бы сон при отправке CVV по электронной почте, заключается в том, что это всего 3 цифры. Всего 1000 вариантов. По принципу сортировки многие кредитные карты имеют одинаковые CVV. На одном CVV далеко не уедешь, если не знаешь, какой CC он принадлежит. Кроме того, если продавец хранит его ненадлежащим образом, он может нести ответственность в случае мошенничества, но в основном это проблема между продавцом и банком.
@JBChouinard Я полагаю, что, поскольку законным продавцам запрещено это делать, это указывает на то, что это, возможно, не электронное письмо от самого продавца, а поддельное электронное письмо от какого-то стороннего мошенника. Например, может случиться так, что кто-то взломал базу данных какого-то продавца, получил номера CC, электронные письма и информацию о покупке, но не CVV. Сам по себе номер CC не так уж ценен, поэтому, если они будут спамить запросы на CVV и некоторые из клиентов ответят, то они могут извлечь гораздо больше денег из этого нарушения, поскольку они могут добавить CVV к номерам украденных карт.
В этом ответе так много плохих советов, что я даже не знаю, с чего начать. this company would not be asking for the code if they didn’t need it- электронная почта может быть подделана. Легко. Это не обязательно исходит от компании. Вы наверняка знаете о поддельных электронных письмах якобы от $bank? you will not be liable for the fraudulent charges- конечно... но в то же время на вашей карте есть дополнительный баланс, у вас есть головная боль от отмены платежей, может потребоваться новая карта (и вам нужно обновить номер, сохраненный в автообновлении и с автоматическими платежами) и т. д. и т.д.
@Mark Конечно, электронную почту можно подделать. Вот почему я начал ответ так, как я это сделал (см. третий пункт). Тем не менее, OP сказал, что компания еще не списала средства с кредитной карты за продажу, что предполагает задержку.
Of course, e-mail can be spoofed. That’s why I started the answer the way I did (see third bullet)... что означает, что обычный человек может определить, является ли электронное письмо поддельным. Обратите внимание на комментарий @chrylis-cautiouslyoptimistic- о том, что даже очень опытный администратор не всегда может сказать.
Я бы не стал помещать свой код CVV на открытку и размещать его, рискуя, что кто-то его перехватит. Электронная почта обеспечивает такую ​​же безопасность, как открытка, не отправляйте по электронной почте информацию, которую вы не чувствовали бы в безопасности при написании на открытке.
@Полигориал 152

Данные вашей кредитной карты могут быть общедоступными

Данные вашей кредитной карты были обработаны небезопасным способом, и вам следует обратиться в свой банк, чтобы отозвать карту и получить новую.

Что произошло

Для проведения платежей по кредитным картам через Интернет компания должна быть сертифицирована по стандарту PCI-DSS (спасибо Дэвиду Фултону за полное название сертификата). Сертификация является обязательной для крупных компаний, выпускающих кредитные карты, таких как Visa и MasterCard. Эта сертификация предназначена для обеспечения безопасного обращения с данными кредитной карты.

Но интернет-магазину не нужна эта сертификация, если он использует стороннего платежного провайдера. В этом случае вся информация о кредитной карте обрабатывается поставщиком платежных услуг. Отправляя информацию о кредитной карте непосредственно платежному провайдеру, интернет-магазин вообще никогда не обрабатывает информацию о кредитной карте.

Интернет-магазин, в котором вы сделали заказ, не имеет сертификата PCI-DSS или не соответствует ему. Это видно по тому, что они запрашивают CVV по электронной почте. И они не используют стороннего платежного провайдера, имеющего сертификацию PCI-DSS, по тем же свидетельствам. По крайней мере, не так, как предполагалось. Скорее всего, они пытаются разработать хотя бы UI для платежа, не зная до конца, что они делают.

В результате данные кредитной карты, добавленные в этот интернет-магазин, нельзя доверять. Они показали, что не могут обеспечить безопасность, необходимую для данных кредитных карт. Таким образом, я бы рассматривал всю информацию об этом интернет-магазине как общедоступную.

Обратите внимание: я не говорю, что интернет-магазин действовал намеренно злонамеренно. Но ведь речь идет о ваших деньгах, какая разница, сознательно или нет?

что делать сейчас

Я не могу сказать вам, что делать, но я бы сделал следующее:

  1. Свяжитесь с банком и остановите оплату этого заказа. Я не хочу вести дела с сомнительными компаниями, я лучше закажу продукт в другом месте за несколько дополнительных долларов.
  2. При обращении в банк аннулируйте карту и закажите новую. Новый с новым номером кредитной карты. Как указано выше, я считаю данные вашей кредитной карты общедоступными. А так как вы знаете, что он использовался немного хитро, вы, вероятно, не вернете деньги, если он был использован для чего-то, чего вы не заказывали.
  3. Свяжитесь с интернет-магазином и отмените заказ. Сделайте это как можно скорее, предварительно остановив транзакцию и аннулировав карту.
  4. Свяжитесь с компанией, выпустившей вашу кредитную карту (Visa, MasterCard и т. д.), и сообщите им об интернет-магазине. Надеюсь, они будут исследовать интернет-магазин. Таким образом, вы поможете убедиться, что никто больше не попадет в этот беспорядок.

Может ли это быть что-то еще

Как указано в других ответах, это может быть фишинг. Но если это так, разве заказ не должен быть выполнен к настоящему времени? И как фишеры узнали, что вы разместили заказ в этом интернет-магазине? Если вы сделали это общедоступным в Интернете, возможно, они взяли его оттуда, в противном случае они получили информацию из интернет-магазина.

Но опять же, на кону ваши деньги. Я думаю, лучше перестраховаться, чем потом сожалеть.

Это грубая чрезмерная реакция. Нет никаких доказательств того, что продавец намеревается произвести мошеннические списания средств с карты. Вы обманываете себя, если не думаете, что сейчас многие люди, работающие во многих компаниях, уже могут прочитать номер вашей кредитной карты, если захотят. Кроме того, вы, как клиент, не являетесь полицией стандартов платежного шлюза. То есть между продавцом и их банком. Вы не будете нести ответственность, если мошеннические платежи в конечном итоге обнаружатся на карте, и если они это сделают, у вас даже не будет возможности узнать, произошло ли нарушение безопасности у этого продавца или в Wal-Mart.
Однако я согласен с вами, что это вряд ли попытка фишинга.
Электронное письмо с запросом CVV через два дня после совершения покупки?
СпросиСетьПолитика конфиденциальности1y, 0v