Риски отправки дебетовых/кредитных карт обычной почтой

Если банк отправляет кредитную/дебетовую карту в конверте, нет ли риска, что где-то по пути конверт будет отсканирован и извлечен номер карты, срок действия и CVV-код?

Насколько я понимаю, защиты от сканирования конверта без вскрытия нет.

Под сканированием я подразумеваю использование источников света для считывания чисел, даты и CVV. Я не имею в виду сканирование NFC, так как это, вероятно, не будет иметь никакого смысла, учитывая, что карты не активированы, хотя неясно, есть ли здесь вектор атаки NFC.

Несмотря на то, что извлеченные данные не могут быть использованы немедленно, после активации карты владельцем существует вероятность того, что данные могут быть использованы в мошеннических целях, при условии, что для карты разрешены интернет-покупки. Или я что-то упускаю?

Этот вопрос не по теме, потому что он обсуждает риски для банка. Если кто-то украдет информацию о вашей кредитной карте во время ее отправки вам по почте, это ничем не отличается от любой другой проблемы мошенничества с картами. Вы всегда будете делать одно и то же; сообщить о мошенничестве, дождаться прихода новой карты по почте; смывать; повторить.
@NathanL, но это твоя карта, и ты якобы рискуешь слить деньги со своего счета.
@NathanL: цель моего вопроса - определить, есть ли вектор атаки - насколько я понимаю, есть, и я хотел подтвердить и точно оценить его, чтобы понять, как его можно смягчить, например, в случае, если Я намерен использовать карту исключительно для покупок в Интернете, тогда я, возможно, захочу получить вместо нее виртуальную карту без какой-либо физической карты, которая устранит этот конкретный вектор атаки.

Ответы (2)

Насколько я понимаю, защиты от сканирования конверта без вскрытия нет.

Это справедливо только для очень тонких конвертов. Кредитные карты доставляются в конвертах "бизнес-сток", которые достаточно непрозрачны. Кроме того, карта обычно прикрепляется к куску легкого картона, который складывается картой внутрь. Кроме того, сама кредитная карта непрозрачна, а это означает, что вы не можете пролить интенсивный свет через карту, чтобы попытаться проецировать информацию на другую сторону.

Более вероятной атакой будет просто украсть карту, узнать номер телефона жертвы, а затем активировать карту, имитируя звонок с этого номера. Выдача номера телефона, к сожалению, довольно распространенная уловка для телефонных хакеров.

Вся система кредитных карт в первую очередь защищена за счет быстрого обнаружения и деактивации карт, используемых мошенническим путем. Нет необходимости придумывать сложные технические приемы для кражи карт. Каждый раз, когда вы расплачиваетесь картой в ресторане, вы передаете свою физическую карту, и она исчезает из поля вашего зрения. Ничто не мешает им дублировать карту и продавать ее на черном рынке. Ничего подобного, кроме того факта, что компания, выпускающая карты, быстро обнаружит мошенническое использование и деактивирует карту. На самом деле, этот тип кражи происходит постоянно , и компании, выпускающие кредитные карты, просто берут за свои услуги достаточно, чтобы покрыть расходы на мошенничество.

Связь ближнего поля (NFC) не поддерживается большинством кредитных карт в США.

Относительно непрозрачности: только сегодня получил прозрачную дебетовую карту, и у нее есть чип NFC, который довольно распространен и широко используется в Европе. И конверт очень простой, с одним тонким картонным вкладышем (это из интернет-банка «нового стиля»). Я протестировал его на своей настольной лампе и увидел, что он не на 100% непрозрачен.
@ccpizza Я не уверен, что буду продолжать вести дела с этим банком, поскольку у них, похоже, довольно небрежный подход к безопасности. С другой стороны, я обновил свой ответ, чтобы указать, что сложные технические хаки для кражи кредитных карт - это наименьшая из ваших забот, потому что их так легко скопировать и украсть в ресторане и на заправочных станциях. Зачем взламывать замок, если можно засунуть камень в окно?
Мало того, что конверты для карточек непрозрачны, у них часто есть дополнительный слой внутри, который затрудняет чтение чисел внутри, как этот . Кроме того, (по крайней мере, здесь, в Венгрии) ПИН-код для карты всегда отправляется отдельно заказным письмом (его может получить только получатель). Активация осуществляется либо при первом использовании карты с ПИН-кодом, либо при звонке в банк и использовании банковского пароля, зная свой номер недостаточно.

как только владелец активирует карту, существует вероятность того, что данные могут быть использованы мошенническим путем, при условии, что для карты разрешены интернет-покупки. Или я что-то упускаю?

Помимо отличного ответа Чарльза Э. Гранта ... вы быстро заметите мошеннические платежи (потому что вы регулярно проверяете баланс своего счета, верно ??) и немедленно позвоните в банк, который затем аннулирует карту.

Это, конечно, подразумевается, учитывая, что я получаю мобильные уведомления о каждой транзакции, но вопрос не в том, как быстро я могу отреагировать на мошенничество, а в том, есть ли вектор атаки, потому что карта путешествует по незащищенным транспортным каналам и пересекает границы. .
@ccpizza « но о том, существует ли вектор атаки », то см. ответ Чарльза (за который я проголосовал). Если бы вы когда-нибудь получали собственную банковскую карту, вы бы поняли, почему ваши опасения беспочвенны.
Раньше я получал кучу карт по почте, и у меня никогда не было проблем с мошенничеством, и я никогда не задумывался о последствиях для безопасности, но это не значит, что их не существует. Я считаю, что быть параноиком в отношении безопасности — это хорошо.
@ccpizza paranoia — это нехорошо , потому что, по определению, это «мыслительный процесс, который, как считается, находится под сильным влиянием беспокойства или страха , часто доходящего до заблуждения и иррациональности ». Кроме того, это требует так много усилий, которые лучше потратить на важные вещи.
Я понимаю вашу точку зрения, но не согласен. Мне посчастливилось много лет заниматься разработкой программного обеспечения, и я хорошо осведомлен о качестве программного обеспечения, в том числе того, что используется банками, потому что я работал в одном из них. Я смотрю новости информационной безопасности и имею некоторое представление о происходящем. Я никогда не делаю предположений о безопасности, и мы должны избегать любых предположений, когда речь идет о безопасности. Процитируем основной принцип программирования: перед лицом двусмысленности откажитесь от искушения угадать .
Жизнь @ccpizza — это не ч/б разработка. (Я работаю в этом бизнесе уже 30 лет.) Отказ от угадывания при написании кода разумен, но угадывание в жизни, когда оно основано на твердых доказательствах, — единственный способ выжить, не взорвавшись от паранойи. У меня есть убедительные доказательства того, что способы обращения с пластиком по почте, используемые Chase, BoA и Citi, достаточно хороши . Таким образом, мне не нужно беспокоиться об этом. Это оставляет мне больше времени для беспокойства о других, более важных вещах.
Риски отправки дебетовых/кредитных карт обычной почтой
СпросиСетьПолитика конфиденциальности1y, 0v