Jeg har opplevd en situasjon der betalingskortinformasjon, inkludert navn, nummer, utløpsdato og cvc, lagres av en organisasjon ukryptert i Excel-regneark på delte stasjoner. Filene er flere år gamle og per utløpsdatoen er alle kortene som er spilt inn utløpt. Den åpenbare løsningen på problemet er å slette informasjonen med mindre det er en veldig god grunn til å beholde.
Spørsmålet mitt er, hva er risikoeksponeringen for ukryptert informasjon for utløpt betalingskort. Jeg leter ikke etter detaljer om hvordan man utfører svindel. Jeg søker generell informasjon om hvorvidt dataene fremdeles kan utnyttes til svindel, og i så fall hva er noen generelle måter. Jeg spør, slik at jeg kan vurdere risikoen riktig i et område jeg ikke har erfaring med, og slik at jeg kan utdanne kundene mine om eventuelle farer, slik at de kan sette pris på behovet for å identifisere alle forekomster og løse problemet.
Kommentarer
Svar
I tillegg til sjansen for at et erstatningskort med samme PAN, men ny utløpsdato og CVV er utstedt (som andre bemerket i kommentarene), kan det selvfølgelig brukes til spearphishing.
Bare å vite at John Smith har et platinkort med XYZ-bank, og brukte det til å betale for en 10-pakning med Nutella-smørbrød åpner for å sende ham en e-post eller snailmail med et fantastisk tilbud fra den banken, eller fra en kjøpmann han har drevet med tidligere (f.eks «Nutella Wholesale Traders Int»).
Kommentarer
- Noen selskaper bruker også kredittkortnumre for kontogjenoppretting (Amazon). Kan også brukes til kontokapring og muligens identitetstyveri.
Svar
Ja, du kan generere av en BIN (Bank Identification Number) som er de første 6 sifrene i den 16-sifrede kredittkortstrengen. Og hvis BIN du bruker, utløper, avhengig av om det er et Visa eller MasterCard, kan du bokstavelig talt beholde måneden og øke året med 3 eller 4 år. Men så langt som tall generelt ….. Hvis du ha et godt høyt grense kredittkort, ta en titt på det og skriv inn de første 12 tallene i en tallgenerator, (dette følger Luhn-algoritmen). Du kan finne generatorer over hele googleplay gratis. Så hold samme utløpsdato, uansett generatoren spytter ut burde være eller på et tidspunkt være gyldig. Men du har rundt 8500 å velge mellom, så velg de to siste tallene du vil endre. Men å gjøre dette med noen andres kredittkortnummer er ulovlig, og jeg tolererer ikke det.
Kommentarer
- Hva er vitsen med å bruke en generator når du har et komplett, reelt tall? Som andre påpekte holdes antallet ofte over flere utgivelser, bare dato og CVV endres.
debit
kortnummeret uendret (unntatt CCV) da det ble utløpt, og utgitt på nytt, menscredit
kortnummeret endret seg. Det kan være et spesielt tilfelle, men kanskje ikke (dette er en stor militær kredittforening).debit
-kortet @armani. Ettersom det er steder som tar et kredittkort uten et CCV-nummer, og en utløpsdato er ganske antatt basert på det nylig utløpte kredittkortet (f.eks. N år), høres det ut som et stort problem.