¿Qué impide a los propietarios de tiendas web hacer un mal uso de los datos de las tarjetas de crédito?

Navega tus respuestas
44

No tengo una tarjeta de crédito, pero leo mucho sobre el fraude con tarjetas de crédito robadas. Como no tengo una, no sé cómo compran exactamente en línea usando su tarjeta de crédito, así que corríjame si me equivoco (y espero que sí).

  1. El cliente elige artículos en la tienda en línea y los pone en compras carro.
  2. El cliente va a la extracción virtual.
  3. El cliente ingresa la dirección de entrega y sus datos de cc (?) y los envía al servidor del propietario de la tienda.
  4. El servidor de la tienda envía los datos de cc que el cliente ingresó y sus datos y la cantidad al servidor de tarjetas de cc y recibe el dinero.
  5. El cliente recibe los artículos comprados.
  6. El propietario de la tienda no fue muy honesto y utiliza los datos de cc que el cliente ingresó para comprar en otras tiendas en línea (especialmente bienes no rastreables como licencias de software, ...). Dado que los datos son Lo mismo para todas las tiendas, nadie sabe qué tienda abusó de los datos de cc.

¿Por qué no usar un código o token de autenticación de una sola vez? Por ejemplo, el cliente ingresa los datos de cc en el servidor de la compañía de cc que envía una confirmación al propietario de la tienda o le entrega un token firmado (como gpg) que el usuario entrega a la tienda para demostrar que envió el dinero o la tienda simplemente espera hasta ¿Ve el dinero en su cuenta? Como tengo conocimientos básicos de seguridad, también puede agregar detalles técnicos. ¿Por lo tanto, mis suposiciones son correctas y, en caso afirmativo, qué impide a los propietarios de tiendas web hacer un mal uso de los datos de las tarjetas de crédito?

    
pregunta sweet home 22.12.2014 - 17:55
fuente

8 respuestas

55

La responsabilidad por una transacción en disputa recae en el comerciante por transacciones con tarjeta no presente. Esencialmente, si disputas una transacción, si el comerciante no tiene tu firma, entonces si persistes, terminarán pagando la factura. De la misma manera, cuando un comerciante de CNP le factura dos veces, terminarán pagando cuando usted disputa la factura.

Como señala @DavidFoerster, los procesadores y las compañías de tarjetas siguen las tasas de devolución de cargo. Miran las estadísticas y, cuando un comerciante tiene demasiadas devoluciones de cargo, se cortan. (Por lo general, se inician desde su procesador y buscan otro procesador que les cobre más por el mayor riesgo).

Lo mismo ocurre con las tiendas que vuelven a abusar de las tarjetas en otros lugares. Las marcas de tarjetas miran los informes de fraude y determinan que estas 20 tarjetas de informe de fraude tenían en común a Bob's Web Shack como una transacción pasada. Luego investigarán Bob's Web Shack, tanto porque podría ser un mal propietario de la tienda como porque podría ser una tienda comprometida. Y, de nuevo, si una tienda es una fuente de problemas, se cortarán.

Eso es lo que evita que los propietarios de tiendas web abusen de las tarjetas. Perderán cualquier disputa y luego serán eliminados y no podrán procesar las tarjetas.

    
respondido por el gowenfawr 22.12.2014 - 18:23
fuente
16

Si lo haces a gran escala, serás descubierto

Al igual que con la mayoría de los delitos, en realidad no hay nada que le impida hacerlo si está determinado, aparte de los riesgos y consecuencias de ser descubierto. Para los eventos pequeños y raros, las compañías de CC lo cancelan como un costo de hacer negocios. Para escenarios grandes o frecuentes, las personas son descubiertas y van a la cárcel.

Punto de compra común

El análisis de los patrones de fraude se realiza con seriedad, muchas personas con talento y recursos financieros se dedican a hacerlo correctamente. Todos esos riesgos no son nuevos. Antes de que las tiendas web fueran comunes, los empleados de varias tiendas físicas tenían la capacidad de hacer lo mismo. Por ejemplo, un camarero de un restaurante tiene acceso a muchas tarjetas y puede hacer un mal uso de sus datos.

Si es una sola vez, entonces no se pueden encontrar patrones, pero está en curso, no es tan difícil determinar automáticamente que un montón de tarjetas mal utilizadas comparten un punto de compra común y luego audite esa ubicación; dependiendo de la escala de fraude, esto puede resultar en acciones de la policía o simplemente en la lista negra de la compañía y otras compañías futuras con los mismos propietarios o la misma administración.

Además, esos riesgos son parte de las razones por las que no es trivial iniciar una tienda web donde realmente tenga acceso a los datos de CC. A menudo, los bancos no permiten que las pequeñas empresas aleatorias acepten tarjetas en línea directamente ; lo aceptan con la condición de que toda la autorización pase por una pasarela de pago confiable y su compañía simplemente obtenga un token firmado "pago de $ xxx aceptó "y no los datos completos de la tarjeta. Si desea manejar los datos de CC usted mismo, prepárese para varias verificaciones de cumplimiento.

    
respondido por el Peteris 23.12.2014 - 13:59
fuente
7

Para aceptar pagos, muchas compañías de procesamiento de tarjetas de crédito requieren que el código del cliente sea compatible con PCI. No estoy seguro de todas las reglas, pero creo que se requiere que alguien que no haya escrito el código lo revise. Con otros, como Stripe y PayPal, los datos de la tarjeta de crédito nunca tocan el servidor del propietario de la tienda. En el caso de Stripe JavaScript, se los envía y luego devuelve un token al servidor de los propietarios de la tienda que indica que ha pagado, que se ha procesado y que puede usarse para reembolsos.

Ver:

enlace

enlace

    
respondido por el Travis Pessetto 22.12.2014 - 18:12
fuente
2

¿Qué los detiene? Nada más que las consecuencias.

Sin embargo, hay servicios de procesamiento de terceros que los comerciantes en línea más grandes pueden usar, quienes manejan todas las transacciones con tarjeta de crédito y, como parte de su contrato con el comerciante, asumen toda la responsabilidad por el compromiso de esos datos. En estos acuerdos, el comerciante nunca ve el número de la tarjeta de crédito; solo obtienen un token que se puede utilizar para facturar la misma tarjeta nuevamente a través de un tercero, pero no sirve para ningún atacante. (Y si el tercero se compromete y se filtran millones de números, los comerciantes pueden lavarse las manos de todo).

Por supuesto, incluso cuando un comerciante utiliza a un tercero, los usuarios finales deben simplemente tomar su palabra, si el comerciante lo revela. Y, por supuesto, nada detendría a un empleado corrupto del tercero de estafar a los números.

En su opinión, es posible emplear criptografía para asegurar las transacciones en línea. Existen criptosistemas digitales de efectivo por ahí. Pero la experiencia del usuario de usar un sistema de este tipo es generalmente más complicada, y esa es solo una de las muchas barreras para una adopción generalizada.

    
respondido por el wberry 24.12.2014 - 05:13
fuente
1

Hoy en día, la mayoría de las tiendas web lo redireccionarán a una página de verificación alojada por su proveedor de tarjetas. Allí debe ingresar una contraseña (generalmente solo una parte de ella) para verificar que usted es el propietario de la tarjeta. Eso no impide que el propietario de la tienda le robe los datos de su tarjeta, pero él no puede ver la contraseña de seguridad, lo que le impide comprar en sitios web mediante la función de verificación.

Lamentablemente, no todas las tiendas usan esta función, pero a medida que más y más la adoptan, el uso de los detalles de las tarjetas robadas se vuelve más difícil.

Hasta que compre en el sitio web de las grandes empresas, estará seguro. Para tiendas más pequeñas y desconocidas, una buena forma de mantenerse seguro es utilizar PayPal: los detalles de la tarjeta se almacenan en los servidores de PayPal, o los ingresará en su página si aún no están registrados. De esta manera, la tienda no obtendrá sus datos.

    
respondido por el algiogia 23.12.2014 - 11:15
fuente
1

en la vida real? gestiono una pequeña tienda ... puede pagarnos en persona o por teléfono con una tarjeta de crédito.

una vez que se realiza la transacción? no podemos "ver" los números de las tarjetas de crédito, son bloqueados y manejados por la compañía procesadora de tarjetas de crédito.

¿si mis empleados o yo intentamos guardar los números de las transacciones telefónicas? para usarlos? No creo que llevara DEMASIADO calcular a todas las víctimas que vivían en la misma área, y usamos nuestra tienda.

=============================================

en una situación de comerciante en línea? Ni siquiera podría manejar o ver los números de cc, la compañía de procesamiento de tarjetas de crédito simplemente depositaría dinero en una cuenta para mí. Supongo que podría TRATAR que los clientes me envíen la información de su tarjeta de crédito, pero no creo que muchos clientes caigan en la trampa, jajaja.

la mayoría de los "minoristas sucios" juegan en línea con el artículo que le enviaron, o si incluso los enviaron, o ... cobran de más por el envío. Ya están ganando algo de dinero y podrían intentar ganar un poco más irremediablemente.

pero ... yo creo que hace falta un tercero malintencionado para interceptar y hacer un mal uso de la información, así es como lo veo.

    
respondido por el sedstar-guest 25.12.2014 - 22:44
fuente
0

PCI DSS es una lista de verificación de cumplimiento de normas que deben cumplir las tiendas que desean manejar la información de CC. Pero, dado que la regulación no se aplica ampliamente en todo el mundo, esto es como los estándares ISO.

En el pasado, las tiendas web utilizarían PayPal. O llame a sus compras a través de sus propias cuentas comerciales con los bancos. Sin embargo, el riesgo de las devoluciones de cargo, el fraude a través de la web, facilitó el estacionamiento del riesgo con una contraparte. Paypal y algunos otros fueron los primeros en asumir este riesgo.

Ahora, verá que la mayoría de los sitios de comercio electrónico lo llevan a otra página con el sitio de contraparte que maneja las transacciones, solo para que no tengan que asumir el riesgo. Este es un modelo comercial viable para la mayoría, ya que la tienda web no tiene que asumir el costo del fraude, sino que puede tener que pagar tarifas.

Si observas el modelo de riesgo de Shopify, descubrirás que lo que están haciendo es ir más allá de la propagación del fraude a través de su sistema.

    
respondido por el munchkin 26.12.2014 - 01:01
fuente
0

Hay muchos factores en juego aquí.

En primer lugar, la pasarela de pago es un componente importante: los datos CC cifrados se transfieren desde el navegador de los usuarios a la pasarela. En algunos casos, pueden pasar por el servidor web del comerciante para recopilar los datos de la transacción (en este caso entran en juego todas las normas PCI DSS), a veces la puerta de enlace puede pasar por alto el servidor web del comerciante y obtener los datos de la transacción como un cifrado separado. conectado desde el servidor del comerciante (no estoy seguro de los cumplimientos de PCI en este caso).

Después de obtener la información de pago y la información de la transacción, se envían al servidor de procesamiento de pagos del banco, que la redirige a las asociaciones respectivas (Visa, Mastercard, Amex, etc.) que nuevamente la reenvían al banco emisor para su validación y crédito. Verificación de saldo / cuenta. Una vez validados, envían una respuesta de éxito que sigue el camino inverso hacia el comerciante.

Al llegar a transacciones fraudulentas, la mayoría de las tarjetas en estos días tienen una tercera capa de protección (llamada pago en 3D): puede ser un código / contraseña (por ejemplo, código de seguridad de Master Card, etc.) o una OTP (contraseña única que se envió a la cuenta registrada) número de teléfono móvil) (por ejemplo, en las tarjetas AMEX y Citi) en las que el usuario debe ingresar mientras la transacción llega a los servidores de procesamiento de pagos, lo que minimiza el riesgo de transacciones fraudulentas.

Aparte de estos, rastrean la dirección IP de su computadora. Me preocuparía más la información personal que le doy al comerciante en cada transacción, por ejemplo, nombre, fecha de nacimiento, dirección, teléfono, etc. No conozco ningún protocolo de cumplimiento de la industria para estos y, por lo tanto, podría haber una gran cantidad de información. posibilidad de mal uso.

    
respondido por el Aniket 26.12.2014 - 12:05
fuente

Lea otras preguntas en las etiquetas

¿Por qué el hashing de una contraseña en el lado del cliente es tan poco común? ¿Por qué un sitio web que restablece su contraseña a una de su elección se considera un infractor de texto sin formato?