¿Agregar una transacción de crédito complementaria es algo que podría mejorar la seguridad de los pagos en línea?

16

Una compañía en línea en la que compro productos, al parecer, ha actualizado recientemente su política de seguridad.

Digamos que compré algo por 73,31 €. Como es habitual, esta empresa utiliza 3D-Secure para el proceso de pago y procesará el pago solo después de su envío unos días después.

El correo electrónico de confirmación de envío contenía un extraño aviso que podría traducir de la siguiente manera:

  
  • Cantidad pedida: 73,31 €
  •   

En el marco de la garantía de los pagos en línea,   procedió a las siguientes operaciones:

     
  • Cantidad cargada en su tarjeta de crédito: 73,41 €
  •   
  • Cantidad acreditada en su tarjeta de crédito: 0,10 €
  •   

El monto adicional que se cobra parece ser aleatorio y varía de unos pocos centavos a unos pocos euros.

Me pregunto contra qué amenaza están protegiendo?

  • Recibieron el pago, así que obtuvieron el dinero.
  • Utilizaron 3D-Secure por un monto relativamente bajo, por lo que la transacción está cubierta en gran parte por el banco en caso de fraude.
  • Parece que están verificando que la tarjeta utilizada para el pago también pueda procesar el crédito, tal vez una forma de detectar tarjetas de pago prepagas u únicas, pero nuevamente: ¿cuál es el punto desde que obtuvieron el dinero? Por cierto, también tuvieron que crear una nueva página para los usuarios de dichas tarjetas unas semanas después de implementar este sistema, "Debido a restricciones técnicas" tal como lo indicaron.

Simplemente no entiendo la amenaza que intentan evitar, o tal vez ¿es solo un teatro de seguridad diseñado para impresionar a los clientes con una medida de seguridad única pero horrible?

    
pregunta WhiteWinterWolf 26.10.2015 - 10:55
fuente

2 respuestas

6

Respondiendo a mi propia pregunta para poder marcarla como respondida y evitar que aparezca de vez en cuando: esta medida aparece como un ejemplo sencillo de teatro de seguridad .

Aquí están los elementos que me llevan a esta conclusión:

  • Les pregunté a sus equipos de soporte y luego razoné detrás de este cambio: mientras ellos solían responder rápidamente a las preguntas más habituales, nunca recibí ninguna respuesta a esta.

  • El cambio fue aparentemente torpe y no estaba bien pensado: tuvieron que agregar una funcionalidad especial para permitir que las tarjetas de un solo uso y de prepago pasen por alto esta medida unas semanas después de habilitar este sistema ya que, obviamente, una sección de sus clientes no estaba No puedo continuar con el paso de pago.

  • Este proceso es exclusivo de este sitio web: esto es algo bueno para impresionar a sus clientes pero, desde un punto de vista técnico, también significa que nadie más quiso o sintió la necesidad de tal sistema. Nunca se demora mucho en difundir nuevas y genuinamente eficientes ideas relacionadas con la seguridad, de una forma u otra.

  • Este proceso es perceptible directamente por el usuario final, que se requiere para una medida efectiva de seguridad en el teatro.

  • Nunca vi ninguna ventaja en esta medida, ni ninguno de los otros colaboradores de Security.SE en los últimos dos años.

Si alguien tiene algún conocimiento que pueda cambiar esta conclusión, siéntase libre de agregar su propia respuesta, pero después de dos años creo que puedo poner esto de manera segura en el contenedor del teatro de seguridad, junto con otras ideas resultantes de " pseudo-seguridad como argumento de marketing ", " contrató a un interno / empresa de seguridad demasiado entusiasta " y " necesitamos justificar nuestro presupuesto ".

    
respondido por el WhiteWinterWolf 13.01.2018 - 11:48
fuente
-1

Creo que podría arrojar algo de luz sobre este asunto. Algunos países tienen leyes estrictas para el lavado de dinero. Al devolver el crédito, se aseguran de que la tarjeta no sea una tarjeta de pago / tarjeta de regalo / tarjeta prepaga de una sola vez, ya que esto no se puede rastrear hasta el usuario que está comprando el artículo. Además, también puede usarse para asegurarse de que, en caso de que la tarjeta sea robada, las autoridades puedan rastrear al usuario.

    
respondido por el John Doe 28.10.2017 - 10:27
fuente

Lea otras preguntas en las etiquetas