Vor zwei Nächten habe ich auf einer Website eingekauft, und es wurde nicht nach meinem CVV gefragt. Jetzt wachte ich zu einer E-Mail auf, in der danach gefragt wurde. Es ist noch nicht über mein Konto gegangen. Ist das so zwielichtig, wie ich es darstelle?
Hier ist der Text der E-Mail-Nachricht, die ich erhalten habe:
Liebe Katelyn,
Wir sind bereit, Ihre Bestellung zu bearbeiten, aber wir benötigen die zusätzlichen drei Ziffern, die sich auf der Rückseite Ihrer Kreditkarte auf dem Streifen befinden, auf dem Sie Ihren Namen unterschreiben. Bitte teilen Sie uns diese Nummer mit, damit wir Ihre Bestellung beschleunigen können.
Antworten Sie NICHT direkt auf die E-Mail mit Ihren Informationen.
Ich kann das nicht genug betonen: Antworten Sie NICHT auf die E-Mail mit wertvollen Informationen. Wenn Sie sich entscheiden, ihnen die CVV-Nummer zu senden, um die Bestellung zu bearbeiten, gehen Sie zu ihrer Website (klicken Sie nicht auf einen Link in der E-Mail) und kontaktieren Sie sie über eine Kundendienst-E-Mail oder eine „Kontakt“-Nummer und fragen Sie sie direkt wenn sie diese Informationen angefordert haben. Wenn ja, rufen Sie sie an und teilen Sie den CVV auf diese Weise mit, anstatt in einer E-Mail.
Das klingt nach Phishing, bei dem ein Betrüger vorgibt, jemand zu sein, mit dem Sie Geschäfte gemacht haben, und Sie um Informationen bittet, die wertvoll sein können. Normalerweise ist es für einen Bankbenutzernamen und ein Passwort ("Ihr Passwort wurde kompromittiert. Klicken Sie hier, um es zurückzusetzen!" - Klicken Sie niemals dort). Wenn wir ehrlich sind, denke ich nicht, dass es sich um Phishing handelt (ein Betrüger würde Ihre CC-Daten benötigen, damit der CVV von Nutzen ist), aber es könnte sein, und es ist wichtig, sichere Gewohnheiten zu entwickeln.
Ein Händler verwendet diesen Code, um die Zahlung zu verarbeiten und den Besitz der Karte zu überprüfen, wenn er die Karte nicht persönlich erhält (z. B. bei Internetkäufen). Wenn sie also vorher nicht danach gefragt haben, war das wahrscheinlich ein Fehler und eröffnet ihnen zumindest eine größere Haftung. Wenn sie neu im Akzeptieren von Kreditkartenzahlungen sind, ist es möglich, dass sie noch alles herausfinden, und es ist ein ehrlicher Fehler. Aber so etwas sollten sie wirklich herausfinden, nachdem sie ein paar Bestellungen ausgeführt haben (natürlich hätte ein Betrüger das auch herausgefunden, also würde ich das nicht als rote Flagge an sich betrachten). (NB: Anscheinend ist die Anforderung nicht so stark, wie ich ursprünglich dachte (siehe Kommentare), aber ich würde die Notwendigkeit des CVV als Norm betrachten. )
Ich bin vielleicht bereit, ihnen im Zweifelsfall einen Vorteil zu gewähren, wenn es sich um eine neue und kleine Operation handelt (und immer mehr Unternehmen sind in den letzten Monaten aus offensichtlichen Gründen internetbasiert geworden), aber ich wäre äußerst vorsichtig, direkt auf die E-Mail mit zu antworten alle persönlichen oder entfernt wertvollen Informationen aus den oben genannten Gründen. Wenden Sie sich zur Bestätigung direkt über die Website an das Unternehmen, vorzugsweise mit einem Telefonanruf. Es ist nicht perfekt, aber mit hoffentlich etwas mehr Aufwand viel sicherer.
Es deutet möglicherweise nicht auf Betrug hin, aber es deutet auf Inkompetenz/Amateurismus seitens des Unternehmens hin. Dies ist nicht der normale Ablauf für die Annahme von Kreditkartenzahlungen – haben sie gerade erst damit begonnen?
Ben Miller sagt:
Sie hätten den Code genauso gut falsch handhaben können, wenn sie an der Kasse danach gefragt hätten.
Aber an der Kasse danach zu fragen, ist wahrscheinlich Teil eines Standard-Softwareprozesses. Wenn Sie in einer E-Mail danach fragen, wird ein ungewöhnlicher, manueller „Roll-your-own“-Prozess vorgeschlagen, der wahrscheinlich weniger sicher ist als ein Standardprozess. Auch wenn Sie nicht für einen Betrug haftbar gemacht werden, ist dies ein Zeichen dafür, dass das Geschäft auch in anderer Hinsicht (Qualität, Kundenservice) amateurhaft ist.
Selbst wenn dies eine harmlose Bitte ist, ist sie falsch .
Die PCI-DSS-Vorschriften (die eine globale Reichweite haben) sind äußerst streng in Bezug auf die Verwaltung von Kartendaten. Bestimmte Werte können überhaupt nicht beibehalten werden und einige müssen sowohl während der Übertragung als auch im Ruhezustand verschlüsselt werden. Der CVV ist eines der geschützteren Felder, daher ist die Tatsache, dass Sie aufgefordert werden, ihn per E-Mail zu senden, bereits ein Verstoß.
Zumindest wissen sie nicht, was sie tun. Dies könnte durch ein sicheres Webformular erfasst werden (die meisten kleinen Unternehmen beauftragen lediglich einen Acquiring-Service, der die Seite für sie hostet), aber die E-Mail-Erfassung ist definitiv nicht aktiviert.
Meiner Meinung nach hängt das wirklich von der Website ab. Wenn die Website nicht wirklich ein Schaufenster ist, sondern zum Beispiel ein lokaler (zumindest irgendwo lokaler) Spielladen, der Magic/Pokémon-Karten online verkauft, so etwas in der Art, wo sie Ihre Informationen über die Website nehmen, sie aber tatsächlich eingeben per Hand in ihr Kassensystem eingeben, dann ist das eine durchaus sinnvolle Sache. Dies ist keine großartige Möglichkeit, Dinge zu tun – kein Teil eines Systems, in dem sie Informationen in POS eingeben, die sie auf andere Weise gesammelt haben, und es entspricht mit ziemlicher Sicherheit nicht der Art und Weise, wie sie Dinge tun sollten – aber es ist auch nicht überraschend , und in diesem Fall wahrscheinlich nicht betrügerisch; Sie haben einfach vergessen, den Code während des Bestellvorgangs anzufordern.
Wenn die Website jedoch vollständig mit integrierten Zahlungsinformationen zu sein schien, wäre ich vorsichtiger. Das lässt es für mich viel mehr nach Phishing klingen.
Alles in allem scheint die Wahrscheinlichkeit jedoch gering zu sein, dass es sich um Phishing handelt, und eine hohe Wahrscheinlichkeit, dass es sich um ein Geschäft handelt, das ... nicht sehr sicher ist. Ich würde denen nicht zurückmailen, sondern anrufen . Wenn sie so sind, wie ich es beschreibe, und Dinge manuell in ihrem POS-System erledigen, können Sie dies möglicherweise telefonisch erledigen. Das Vermeiden des CVV-Codes in E-Mails ist ein großer Vorteil, und zweitens bestätigen Sie, dass die E-Mail wirklich von ihnen stammt, indem Sie sie auf andere Weise kontaktieren (und ihre Telefonnummer online nachschlagen, verwenden Sie nicht die E-Mail, die Sie erhalten haben). )
Zur Antwort von @davidfulton hinzufügen ...
Das CVV ist ein "Proof of Ownership"-Indikator. Wenn Sie den CVV kennen, bedeutet dies, dass Sie die Karte in der Hand halten und sie von der Karte ablesen. Es sollte niemals irgendwo dauerhaft aufgezeichnet werden. Wenn ich mit einem Kundendienstmitarbeiter spreche und er nach dem CVV fragt, lautet meine Antwort: "Schreiben Sie ihn auf oder geben Sie ihn in einen Computer ein?" Wenn es ersteres ist, gebe ich es ihnen nicht.
Ein ordnungsgemäß aufgebautes Kreditkartenverarbeitungssystem wird den CVV ordnungsgemäß handhaben (und diese Systeme werden ständig geprüft). Es auf ein Blatt Papier zu schreiben oder in eine E-Mail zu stecken, ist einfach falsch.
Jeder, der Ihren CVV und Ihre Kartennummer kennt, kann nachweisen, dass er/sie Ihre Karte „besitzt“.
Und ja, PCI-DSS ist sehr pingelig, was ein Händler mit Karteninformationen und insbesondere CVV-Informationen tun kann. Sie sollten Sie niemals bitten, es in eine E-Mail zu schreiben.
Als Webentwickler weiß ich, dass die Website eines Geschäfts niemals Ihre Kreditkartennummer speichern sollte. Es sollte direkt an das Zahlungsgateway weitergeleitet und niemals gespeichert werden. Wenn das Geschäft 2 Tage später immer noch Ihre Kreditkartennummer zur Verwendung mit dem CVV hat, behandelt es Ihre Zahlungsinformationen falsch. Ansonsten ist es Betrug. Senden Sie Ihren CVV nicht, wenden Sie sich an das Geschäft, um zu sehen, was los ist (sie wurden möglicherweise kompromittiert).
CVV wird niemals unverschlüsselt, dh per E-Mail, weitergegeben. Es kann immer nur über eine sichere Kreditkartenverarbeitungsseite offengelegt werden. Es ist wahrscheinlich illegal, dass das Unternehmen einen CVV per E-Mail anfordert.
Lassen Sie mich Ihnen diese Fragen stellen:
Wenn Sie alle diese Fragen mit Ja beantworten können, geben Sie ihnen den Code. Wenn Sie ihnen den Code nicht geben, wird Ihre Bestellung storniert und Sie erhalten Ihren Artikel nicht.
Ich erwarte, dass jemand an dieser Stelle einen Kommentar abgibt und vorschlägt, dass das, was er tut, illegal / unangemessen ist und dass er den Code nicht benötigen sollte. Ich würde ihnen (und Ihnen) sagen, dass diese Firma nicht nach dem Code fragen würde, wenn sie ihn nicht zur Bearbeitung Ihrer Bestellung benötigen würden. Wenn Sie es an der Kasse angegeben hätten, wenn Sie dazu aufgefordert würden, sollten Sie es jetzt angeben.
Sie werden auch vorschlagen, dass das Unternehmen den Code falsch handhabt. Sie können es sein oder auch nicht, aber das ist nicht wirklich Ihre Angelegenheit. Sie hätten den Code genauso gut falsch handhaben können, wenn sie an der Kasse danach gefragt hätten.
Wenn sich herausstellt, dass jemand bei diesem Unternehmen ein Gauner ist oder wenn er gehackt wird und Ihre Kartennummer und Ihr Code gestohlen werden, haften Sie nicht für die betrügerischen Gebühren. Obwohl es gut ist, vorsichtig zu sein, würde ich sagen, wenn Sie keinen Grund zu der Annahme haben, dass das Unternehmen / die Website gefälscht ist, geben Sie ihnen den Code.
this company would not be asking for the code if they didn’t need it
- E-Mail kann gespooft werden. Leicht. Es kommt nicht unbedingt von der Firma. Sicher sind Ihnen gefälschte E-Mails bekannt, die vorgeben, von $bank zu stammen? you will not be liable for the fraudulent charges
- sicher ... aber in der Zwischenzeit ist zusätzliches Guthaben auf Ihrer Karte vorhanden, Sie haben das Problem, dass Gebühren rückgängig gemacht werden, Sie benötigen möglicherweise eine neue Karte (und müssen die in der automatischen Aktualisierung und bei automatischen Zahlungen gespeicherte Nummer aktualisieren) usw usw usw.Of course, e-mail can be spoofed. That’s why I started the answer the way I did (see third bullet)
... was impliziert, dass Ihre durchschnittliche Person feststellen kann , ob eine E-Mail gespooft ist. Beachten Sie den Kommentar von @chrylis-cautiouslyoptimistic-, in dem es heißt, dass selbst ein sehr erfahrener Administrator das nicht immer erkennen kann.Ihre Kreditkartendaten sind öffentlich sichtbar
Ihre Kreditkartendaten wurden auf unsichere Weise gehandhabt, und Sie sollten sich an Ihre Bank wenden, um die Karte sperren zu lassen und eine neue zu erhalten.
Was ist passiert
Um Kreditkartenzahlungen über das Internet abzuwickeln, muss das Unternehmen PCI-DSS-zertifiziert sein (danke David Fulton für den vollständigen Zertifizierungsnamen). Die Zertifizierung wird von den großen Kreditkartenunternehmen wie Visa und MasterCard vorgeschrieben. Diese Zertifizierung soll sicherstellen, dass die Kreditkartendaten sicher gehandhabt werden.
Ein Webshop benötigt diese Zertifizierung jedoch nicht, wenn er einen externen Zahlungsanbieter verwendet. In diesem Fall werden alle Kreditkarteninformationen vom Zahlungsanbieter verarbeitet. Durch das direkte Senden der Kreditkarteninformationen an den Zahlungsanbieter verarbeitet der Webshop überhaupt keine Kreditkarteninformationen.
Der Webshop, bei dem Sie bestellt haben, hat keine PCI-DSS-Zertifizierung oder folgt dieser nicht. Dies wird dadurch deutlich, dass sie per E-Mail nach dem CVV fragen. Und sie verwenden keinen Drittanbieter-Zahlungsanbieter, der über die PCI-DSS-Zertifizierung verfügt, mit denselben Beweisen. Zumindest nicht in der beabsichtigten Weise. Höchstwahrscheinlich versuchen sie, zumindest die Benutzeroberfläche für die Zahlung zu entwickeln, ohne genau zu wissen, was sie tun.
Das Ergebnis davon ist, dass die zu diesem Webshop hinzugefügten Kreditkartendaten nicht vertrauenswürdig sind. Sie haben gezeigt, dass sie mit der für Kreditkartendaten erforderlichen Sicherheit nicht umgehen können. Daher würde ich alle Informationen für diesen Webshop als öffentlich behandeln.
Bitte beachten Sie, dass ich nicht sage, dass der Webshop wissentlich böswillig gehandelt hat. Aber es geht um Ihr Geld, spielt es wirklich eine Rolle, ob es wissentlich ist oder nicht?
Was nun
Ich kann dir nicht sagen, was du tun sollst, aber ich würde Folgendes tun:
Könnte es etwas anderes sein
Wie in anderen Antworten angegeben, könnte dies Phishing sein. Aber wenn ja, sollte der Auftrag nicht schon längst abgeschlossen sein? Und woher wussten die Phisher, dass Sie in diesem Webshop eine Bestellung aufgegeben haben? Wenn Sie es im Internet veröffentlicht haben, könnte es sein, dass sie es von dort abgeholt haben, andernfalls haben sie die Informationen aus dem Webshop erhalten.
Aber auch hier geht es um Ihr Geld. Ich denke, es ist besser, auf Nummer sicher zu gehen.
Fett
maxtausend
Fett
Quora Feans
Benutzer91988
Wagen813
Tobias Kenzler
Robbie Goodwin