¿Todavía no es seguro enviar un número de tarjeta de crédito hoy en día?

Veamos:

Incluso si lo que dices es correcto e ISP es sólido como una roca

1. ¿Confías en este "alguien"? Si la respuesta es no, cancele la tarjeta de crédito en cualquier caso.

2. Su número de tarjeta de crédito + CVV está ahora en esta carpeta de "Enviados" de la persona, si su buzón será hackeado, el atacante tendrá su CC.

3. La información de su tarjeta de crédito se almacenará para siempre en los servidores de Google

4. Lo cancelaría

El correo electrónico no es una forma segura de compartir números de tarjetas de crédito

El método que describe no es seguro por varios motivos. Estos incluyen:

El envío de números en texto sin formato no es seguro

La técnica que describió podría haber involucrado el envío de números de su tarjeta en texto simple (el acto de enviar el correo electrónico desde la computadora al ISP). Esto no es seguro. Podría haber sido recogido de varias maneras

Los correos electrónicos se conservan en varios lugares

Ese número de tarjeta de crédito ahora puede existir en varios lugares

• En la carpeta 'enviados' de la computadora desde la que se envió
• En los servidores de los ISP
• En la cuenta de Gmail

Ahora que solo se pueden almacenar 3 lugares, cuando se toman en cuenta las copias de seguridad, ya puede haber muchas, muchas copias de sus números repartidos por todo el mundo.

Creo que las respuestas anteriores son correctas y el envío de detalles de la tarjeta de crédito por correo electrónico es inseguro. Sin embargo, como le preocupaba específicamente la intercepción en tránsito en lugar de los diversos puntos de almacenamiento mencionados en las otras respuestas, al menos vale la pena considerar un punto de vista contrario:

Considera el árbol de ataque:

Redes fijas (dentro de la empresa):

• Un atacante tendría que violar los controles de acceso físico (o ser un técnico de fotocopias) o ser un intruso
• Supere un NAC (pero la mayoría de las empresas no lo tienen) o tienen una estación de trabajo
• En las redes de conmutación empaquetadas (todas las corporaciones modernas) simplemente no tiene acceso a una gran cantidad de tráfico de difusión
• Por lo tanto, tiene que obtener acceso a un enrutador o conmutador, asumiendo que no es un administrador de red, esto significa explotar una mala configuración o vulnerabilidad de la seguridad (está bien, no existe ningún problema, la mayoría de las organizaciones apuestan a los parches, especialmente los dispositivos de red), pero digamos escuchas Cisco / Juniper, etc. y parches cada 3 meses (al menos las cosas realmente malas) o al menos, y al menos autenticas todo en un servidor RAS
• Incluso si puede obtener acceso, envenenamiento ARP, envenenamiento de caché DNS, entonces tiene el siguiente problema: el volumen. Hay muchísimos datos que acceden al enrutador principal o al interruptor de llave. Muchos están habilitados para gigabits ahora y eso significa beber de una manguera de bomberos. Incluso con un monitor DLP de red legítimo, necesita un reensamblador de paquetes de alto rendimiento, buen hardware y software y, luego, la capacidad de hacer una comparación de patrones efectiva. Por lo tanto, recibir el correo electrónico de ese CEO es muy difícil y probablemente no sea tan malo obtener una contraseña extraña
• Estos datos también son transitorios: una vez que los paquetes se han ido, se han ido (aunque los inicios de sesión de administrador pueden ocurrir con frecuencia), pero hay una ventana de oportunidad limitada
• Alternativamente, podría hacer lo que mencioné anteriormente, que es colocar el rastreador en la casilla que desea monitorear, nuevamente, aunque el mismo problema suponga un acceso razonable, que es una vulnerabilidad de seguridad o una falla de seguridad, o la falta de controles antimalware. También con los dos primeros es un ataque mucho más dirigido

Redes públicas:

• Parece un objetivo mucho más fácil: ya no puede sentirse cómodo con los controles de acceso de las cajas intermedias o los dispositivos de red
• Pero veamos algo como el correo electrónico: la mayoría de los Agentes de transferencia de correo (MTA), incluidos los grandes, como Google, ahora usan TLS optimista, lo que significa que es probable que la mayoría de su correo electrónico que contiene su información más confidencial sea cifrado en tránsito sin que tenga que hacer nada más
• Incluso las redes MPLS compartidas tienen etiquetas VLAN
• Una vez más, tiene el problema de las mangueras de fuego pero un millón de veces peor y la página de información transitoria
• Vea cuántos incidentes de pérdidas explotadas reales encuentra en datalossdb.org o incidentes de la aplicación web en la intercepción de datos en tránsito

Red inalámbrica:

• Corporativo: WPA2 es un estándar de facto, no es perfecto, pero obtienes cifrado sin hacer nada más
• Home / Starbucks, etc.: este es un riesgo legítimo, de hecho, el mejor y único ejemplo que OWASP da por no. 10 la falta de encriptación de transporte es la intercepción en una red inalámbrica doméstica no segura - demonios, incluso los autos de Google en Streetview pueden hacerlo. Pero incluso aquí la mayoría / todas las empresas que proporcionan acceso remoto proporcionan una VPN, ¿necesita algo más?

Publicación completa en el blog: enlace

Probablemente aún deba cancelar la tarjeta, pero considerando otros controles como el límite de la tarjeta, si tiene habilitado el seguro 3D (por ejemplo, verificado por visa), supervise sus estados de cuenta, los sistemas de detección de fraude de sus bancos; Si esto hace que el riesgo esté dentro de su riesgo, usted puede decidir que el riesgo de intercepción en tránsito o almacenamiento es lo suficientemente bajo como para que lo acepte.

Los servidores de correo de Google admiten AUTH TLS como preferido, por lo que es muy probable que su tarjeta de crédito esté en tránsito encriptada. Nuevamente, ahora tiene almacenados los datos de la 'pista 2' que no deberían ser, a saber, su CVV.

Si esta tarjeta de crédito es en realidad una tarjeta de débito, la cancelaré de inmediato. Las tarjetas de crédito tienen bastante buena protección / sin complicaciones sobre actividades fraudulentas. Ciertamente me sentiría incómodo, y usted también probablemente se sentirá incómodo ya que no habría publicado la pregunta, así que probablemente solo obtendría la tarjeta de crédito nuevamente.

Si ese "alguien" es un comerciante, es posible que no desee hacer negocios con ellos si son tan cautos con los datos de su titular de tarjeta. Si esa persona es alguien de confianza, debe evaluar la razón por la que su tarjeta le fue transmitida en un correo electrónico y corregir ese proceso.

Todavía le recomendaría que reemplace su tarjeta para que esté en el lado seguro, pero si fuera MI tarjeta, no me preocuparía.

Obviamente, no debería aumentar el riesgo para su tarjeta de crédito innecesariamente, pero con todo lo que se dice, ¿reemplaza su tarjeta cada vez que paga en un restaurante y el camarero se va con su tarjeta y la trae de vuelta?

Cuando considera el riesgo agregado para su tarjeta en este caso particular que describió, creo que vale la pena considerar otros riesgos para su tarjeta durante su uso (generalmente en un lapso de algunos años). Otros escenarios de uso de la tarjeta suelen incluir:

• Restaurantes / Bares: ¿nunca ha pagado con una tarjeta de crédito? Qué fácil es escribir o memorizar los detalles de su tarjeta
• Centros de llamadas: ¿nunca ha dado los detalles de su tarjeta por teléfono?
• Tiendas (¿has notado cuántas tiendas tienen cámaras de CCTV?)
• Centros comunitarios / gimnasios donde eres miembro
• Por supuesto, hay tantos sitios web que no tiene forma de saber quién tiene acceso a esos detalles.

Hay muchos lugares donde alguien puede obtener el número de su tarjeta y la fecha de caducidad de CVV +, y en muchas de esas situaciones es posible que ya sepan algo sobre usted, como su nombre completo y dirección, y tal vez incluso su fecha de nacimiento. / p>

Entonces, comparando esos riesgos, que casi cualquier persona con una tarjeta de crédito debe tomar, con este un correo electrónico (y una buena descripción general de @Rakkhi sobre lo que significa poder capturar este correo electrónico) : Creo que los otros escenarios de fugas son mucho más probables que los de Gmail o de alguien que está olfateando la red.

Esta es una pregunta antigua, pero creo que deberías cancelar la tarjeta.

Todos hablaron sobre la posibilidad de que alguien intercepte el correo electrónico en tránsito. Eso es ... muy improbable a menos que su red local ya esté siendo MiTMed.

La ENORME superficie de exposición es la cuenta de correo electrónico de otra persona con su contraseña sin duda o sus malos hábitos de navegación o problemas de virus; su CC se encuentra en su carpeta de envío y es muy fácil buscar esa información automáticamente y extraerla a través de una red de bots. Tu cuenta también es un problema, pero al menos tienes el control. No tienes control sobre la otra cuenta.

¿Por qué esta fiesta tenía tu pan y cvv?

Si se los proporcionó, deberían ser compatibles con pci-dss, y por mi conocimiento limitado de esto, no permite que la bandeja se envíe o almacene sin cifrar. Los datos CVV no deben almacenarse.

Si bien, como han dicho otros, una gran cantidad de tráfico SMTP puede estar cifrado, es muy difícil determinar de antemano si este es el caso de un mensaje dado, pero es prácticamente imposible saberlo. si un correo electrónico será almacenado de forma compatible por un tercero.