E-Mail mit der Frage nach CVV, zwei Tage nachdem ich einen Kauf getätigt habe?

Vor zwei Nächten habe ich auf einer Website eingekauft, und es wurde nicht nach meinem CVV gefragt. Jetzt wachte ich zu einer E-Mail auf, in der danach gefragt wurde. Es ist noch nicht über mein Konto gegangen. Ist das so zwielichtig, wie ich es darstelle?

Hier ist der Text der E-Mail-Nachricht, die ich erhalten habe:

Liebe Katelyn,

Wir sind bereit, Ihre Bestellung zu bearbeiten, aber wir benötigen die zusätzlichen drei Ziffern, die sich auf der Rückseite Ihrer Kreditkarte auf dem Streifen befinden, auf dem Sie Ihren Namen unterschreiben. Bitte teilen Sie uns diese Nummer mit, damit wir Ihre Bestellung beschleunigen können.

Willkommener neuer Benutzer – teilen Sie uns im Allgemeinen mit , welche Art von Artikeln auf der Website verkauft werden? Nur allgemein gesprochen.
@Fattie Warum? Würde dies die Empfehlungen zum Umgang mit dieser E-Mail erheblich beeinträchtigen? Echt neugierig. Und der neue Benutzer heißt Kat.
@maxathousand - Mein Gedanke war, dass viele Produktkategorien viel, viel, viel betrügerischer sind als andere.
Könnten Sie das Unternehmen auf andere Weise kontaktieren, um zu bestätigen, dass die E-Mail von ihm stammt?
@maxathousand Warum nicht? Können Sie einen guten Grund nennen, es nicht zu tun? Wenn Sie um Hilfe bitten, ist es im Allgemeinen gut, so viele Informationen wie möglich und relevant bereitzustellen. Der Fragesteller hat die Frage im öffentlichen Internet gepostet. Wir dringen nicht in ihr Haus ein und fragen, wofür sie Geld ausgeben. Wir haben Grund zu fragen.
@maxathousand Eigentlich heißt die neue Benutzerin Katelyn.
Da es dem Händler nicht gestattet ist, den CVV zu speichern, macht es ihm das Versenden per E-Mail unmöglich, jemals zu beweisen, dass er ihn nicht versehentlich oder absichtlich gespeichert hat
Sprechen Sie sofort mit Ihrem Kartenaussteller. Karten persönlich oder per Post, telefonisch oder per WWW zu verwenden, bevor sich CVV entwickelt hat. Ich kann mich nicht erinnern, dass mich ein Anbieter so erneut kontaktiert hätte. Warum sollten sie. Die Sicherheit erfordert, dass Websites den Check-out mit fehlenden Details nicht abschließen … Stellen Sie sich vor: „Möchten Sie Ihren CVV eingeben, oder ist das im Moment zu viel Mühe?“ Unvollständige Bestellungen werden normalerweise für kurze Zeit zurückgehalten; Wahrscheinlich nicht länger als 24 Stunden, damit der Käufer sich wieder anmelden und die Transaktion abschließen kann. Lange vor zwei Tagen sollte der Verkauf "sterben" und es ist selten ein echtes Ärgernis, einen neuen zu starten.

Antworten (9)

Antworten Sie NICHT direkt auf die E-Mail mit Ihren Informationen.

Ich kann das nicht genug betonen: Antworten Sie NICHT auf die E-Mail mit wertvollen Informationen. Wenn Sie sich entscheiden, ihnen die CVV-Nummer zu senden, um die Bestellung zu bearbeiten, gehen Sie zu ihrer Website (klicken Sie nicht auf einen Link in der E-Mail) und kontaktieren Sie sie über eine Kundendienst-E-Mail oder eine „Kontakt“-Nummer und fragen Sie sie direkt wenn sie diese Informationen angefordert haben. Wenn ja, rufen Sie sie an und teilen Sie den CVV auf diese Weise mit, anstatt in einer E-Mail.

Das klingt nach Phishing, bei dem ein Betrüger vorgibt, jemand zu sein, mit dem Sie Geschäfte gemacht haben, und Sie um Informationen bittet, die wertvoll sein können. Normalerweise ist es für einen Bankbenutzernamen und ein Passwort ("Ihr Passwort wurde kompromittiert. Klicken Sie hier, um es zurückzusetzen!" - Klicken Sie niemals dort). Wenn wir ehrlich sind, denke ich nicht, dass es sich um Phishing handelt (ein Betrüger würde Ihre CC-Daten benötigen, damit der CVV von Nutzen ist), aber es könnte sein, und es ist wichtig, sichere Gewohnheiten zu entwickeln.

Ein Händler verwendet diesen Code, um die Zahlung zu verarbeiten und den Besitz der Karte zu überprüfen, wenn er die Karte nicht persönlich erhält (z. B. bei Internetkäufen). Wenn sie also vorher nicht danach gefragt haben, war das wahrscheinlich ein Fehler und eröffnet ihnen zumindest eine größere Haftung. Wenn sie neu im Akzeptieren von Kreditkartenzahlungen sind, ist es möglich, dass sie noch alles herausfinden, und es ist ein ehrlicher Fehler. Aber so etwas sollten sie wirklich herausfinden, nachdem sie ein paar Bestellungen ausgeführt haben (natürlich hätte ein Betrüger das auch herausgefunden, also würde ich das nicht als rote Flagge an sich betrachten). (NB: Anscheinend ist die Anforderung nicht so stark, wie ich ursprünglich dachte (siehe Kommentare), aber ich würde die Notwendigkeit des CVV als Norm betrachten. )

Ich bin vielleicht bereit, ihnen im Zweifelsfall einen Vorteil zu gewähren, wenn es sich um eine neue und kleine Operation handelt (und immer mehr Unternehmen sind in den letzten Monaten aus offensichtlichen Gründen internetbasiert geworden), aber ich wäre äußerst vorsichtig, direkt auf die E-Mail mit zu antworten alle persönlichen oder entfernt wertvollen Informationen aus den oben genannten Gründen. Wenden Sie sich zur Bestätigung direkt über die Website an das Unternehmen, vorzugsweise mit einem Telefonanruf. Es ist nicht perfekt, aber mit hoffentlich etwas mehr Aufwand viel sicherer.

CVV ist für Internetkäufe eigentlich nicht erforderlich, obwohl es in der Praxis von jedem legitimen Ort verwendet wird. Vielleicht sind Sie verwirrt, weil Sie keine CVV-Nummer speichern können? Transaktionen können jedoch ohne CVV oder sogar mit dem falschen CVV durchgeführt werden. Quelle: Ich verwende Stripe und Sie können die Regel deaktivieren, die Zahlungen ohne oder mit falschem CVV blockiert. Keine Ahnung, was für ein Anwendungsfall das wäre, aber es ist machbar .
@Bakuriu Das bemerkenswerteste Beispiel, das mir bekannt ist, ist, dass Amazon nicht nach dem CVV fragt. Im Betrugsfall trägt es mehr zu ihren Kosten bei, aber sie halten es für lohnend, die Reibung beim Bezahlen zu verringern und die Kundenkonversion zu steigern.
„Ihr Passwort wurde kompromittiert. Klicken Sie hier, um es zurückzusetzen!“ Dieser Satz ähnelt jedoch den meisten Passwortzurücksetzungen, die wir von Onlinediensten erhalten, wenn wir absichtlich auf „Passwort vergessen“ klicken.
@ChrisHayes Sicherlich ist die Reibung des CVV im Vergleich zur Reibung aller anderen Daten unbedeutend?
Wenn ich Kreditkarteninformationen als Sicherheit hinterlege, z. B. bei der Buchung eines Hotels oder Mietwagens, fragen sie normalerweise auch nicht nach CVV, aber im Falle eines Nichterscheinens gehe ich davon aus, dass sie mich trotzdem belasten können.
Es ist 15 Jahre her, dass ich in der Zahlungsabwicklung gearbeitet habe, aber damals übermittelte der Anbieter die CVV-Nummer und den numerischen Teil der Postleitzahl des Kunden und erhielt dann einen Rückgabecode, der angab, welche davon übereinstimmten, und dann war es soweit der Verkäufer, ob er fortfahren soll oder nicht. Sobald ein Anbieter wie Amazon den CVV und die Postleitzahl einmal verifiziert hat, ist dies für spätere Einkäufe streng genommen nicht mehr erforderlich.
@user253751 Amazon kann die meisten Kartendaten zum Zweck einer wiederholten Transaktion tokenisieren, aber das Aufbewahren von CVV ist strengstens verboten. Wenn sie bereit sind, die zusätzliche Haftung zu übernehmen, können sie sich dafür entscheiden, das gespeicherte Karten-Token wiederzuverwenden und es ohne CVV einzureichen, was bedeutet, dass sie den Benutzer nicht auffordern müssen, überhaupt Karteninformationen einzugeben, so wird es effektiv reibungsfrei.
@DavidFulton Ich dachte, das sei ziemlich normal - nicht nur bei Amazon. Viele Orte fragen bei der ersten Transaktion nach dem CVV und danach nicht mehr, wenn Sie sich dafür entscheiden, Ihre Kartendaten zu speichern.
@user253751 Der Aufwand, den CVV zu bekommen, kann vergleichsweise immens sein . Safari (und vielleicht andere Browser) speichert gerne meinen Namen, meine Lieferadresse, Kartennummern und Ablaufdaten und vervollständigt sie automatisch (wenn ich möchte). Ich kann ein Bestellformular mit ein paar automatischen Vervollständigungsaufforderungen vollständig ausfüllen. Um den CVV bereitzustellen, muss ich aufstehen und die eigentliche Karte suchen, da meine Brieftasche im Grunde nie in meiner Tasche ist, wenn ich am Computer sitze.
@niemand, aber normalerweise ist es "[mit derselben Karte bezahlen wie beim letzten Mal] [Kartendetails eingeben]". Klicken Sie auf die linke Schaltfläche, keine automatische Vervollständigung und auch kein CVV. Ich kenne Amazon nicht speziell.
@ user253751 Es ist ziemlich üblich, aber es hängt von der Risikoeinstellung des Händlers ab. Sie sind haftbar, wenn die nachfolgenden Transaktionen bestritten werden. Wenn sich also jemand bei Ihrem Amazon-Konto anmeldet und einen Kauf mit Ihrer gespeicherten Karte erfolgreich abschließt, ohne einen CVV anzugeben, ist das ihr Problem. Die Chancen stehen gut, dass sie nach einem CVV fragen, wenn Sie gleichzeitig eine neue Adresse eingeben.
Okay, es liegt also nicht immer am Händler; Amazon ist eine Ausnahme von diesem Fall, weil sie so viele Transaktionen durchführen, dass sie einen einzigartigen Überblick darüber haben, wer Sie und Ihre Privatadresse sind (dh ob Sie der sind, für den Sie sich ausgeben). Einzelne Händler müssen möglicherweise den CVV gemäß den Anforderungen ihrer Verarbeiter ablegen, um das Betrugsrisiko zu verringern. „Optional“ ist also ein sehr fließender Begriff, z. B. „die PAN ist optional, Sie könnten einen Scheck ausstellen . Die Optionalität hängt von den vorherigen Risikostufen des Händlers, der Transaktionsart usw. ab. Sie hängt auch von den Einstellungen des Emittenten ab.
" Ein Betrüger benötigt Ihre CC-Daten, damit der CVV von Nutzen ist " Es ist unwahrscheinlich, aber ein Betrüger könnte auch ein Hacker gewesen sein/mit einem Hacker zusammengearbeitet haben, um Kreditkartennummern, Namen und Daten ohne CVVs und damit verbundene Informationen zu erhalten E-Mails für Einkäufe und verschickt betrügerische E-Mails, um die letzte Information zu erhalten, die den Kreditkarten-Dump erheblich wertvoller macht.
@nobody Genau. Außerdem ist der CVV am schwersten zu merken. Meine Kartennummer hat sich seit einem Jahrzehnt nicht geändert und das Ablaufdatum ist immer derselbe Monat in Dreijahresschritten. Im Vergleich dazu erhalte ich jedes Mal, wenn eine meiner Karten erneuert wird, einen neuen zufälligen CVV, sodass es ziemlich schwierig ist, den Überblick über die aktuelle Karte zu behalten.
@nobody Google Pay akzeptiert meinen CVV problemlos. Mein CVV ist auch in meinem Passwort-Tresor vorhanden. Was sagen Sie dazu, dass der Browser den CVV nicht speichern darf?
„Wenn sie neu im Akzeptieren von Kreditkartenzahlungen sind, ist es möglich, dass sie noch alles herausfinden, und es ist ein ehrlicher Fehler.“ Die meisten Websites haben eine Testversion ihrer Website, um sicherzustellen, dass die meisten Dinge wie erwartet funktionieren. Das Verpassen des CVV wäre ein großes Versehen.
Dies könnte ein Phishing-Angriff mit einem Komplizen (oder Kompromittierer) sein – sie haben die Kreditkartendaten, aber nicht das CCV, sodass es ihnen nicht viel nützt.
@ user17915 Nein, ist es nicht. Ein echter würde niemals sagen „Ihr Passwort wurde kompromittiert“.
@Nzall Niemand hat gesagt, dass der Browser CVV nicht speichern kann. Der CVV kann aufgrund von PCI DSS nicht vom Händler gespeichert werden. Es steht Ihnen völlig frei, mit Ihrem CVV zu tun, was Sie wollen, es in Ihrem Browser zu speichern, es auf ein Post-it auf Ihrem Bildschirm zu kleben, einen Skywriter zu beauftragen ... Weiterführende Literatur: blog.pcisecuritystandards.org/…
Ich glaube, dass moderne Zahlungsabwickler die Kartendaten einschließlich CVV einmal akzeptieren und dann einen Token an den Händler zurückgeben, der für zukünftige Verkäufe dieses Händlers an denselben Kunden verwendet werden kann. Der Token kann nicht für einen Kauf bei einem anderen Händler verwendet werden.

Es deutet möglicherweise nicht auf Betrug hin, aber es deutet auf Inkompetenz/Amateurismus seitens des Unternehmens hin. Dies ist nicht der normale Ablauf für die Annahme von Kreditkartenzahlungen – haben sie gerade erst damit begonnen?

Ben Miller sagt:

Sie hätten den Code genauso gut falsch handhaben können, wenn sie an der Kasse danach gefragt hätten.

Aber an der Kasse danach zu fragen, ist wahrscheinlich Teil eines Standard-Softwareprozesses. Wenn Sie in einer E-Mail danach fragen, wird ein ungewöhnlicher, manueller „Roll-your-own“-Prozess vorgeschlagen, der wahrscheinlich weniger sicher ist als ein Standardprozess. Auch wenn Sie nicht für einen Betrug haftbar gemacht werden, ist dies ein Zeichen dafür, dass das Geschäft auch in anderer Hinsicht (Qualität, Kundenservice) amateurhaft ist.

Bei all den großen Namensgeschäften, die in den letzten Jahren gehackt und Kartennummern gestohlen wurden, weiß ich nicht, ob wir verallgemeinern können, dass ausgefallenere Websites und Standardprozesse sicherer sind als ein Mammut, der Dinge manuell erledigt. In jedem Fall ist dies die $0-Betrugshaftung.
Die meisten kleinen Online-Händler sind überhaupt nicht berechtigt, sensible Kartendaten zu verarbeiten – in ihrem normalen Zahlungsautorisierungsablauf würden sie zu einem Händler-Gateway umleiten, das die Kartennummer und den CVV erhält, ohne dass der Händler die Daten sehen kann . Ich glaube auch, dass PCI DSS keinen manuellen Autorisierungsprozess zulässt, bei dem vertrauliche Daten übertragen und unsicher gespeichert werden (z. B. per E-Mail) - telefonische Autorisierungen funktionieren, aber dies scheint nicht so zu sein, wie es einem legitimen Händler von seinem Händler erlaubt wäre Bank-/Gateway-Vereinbarung.
Ja, gerade überprüft - PCI DSS verbietet ausdrücklich einen "ungewöhnlichen, manuellen "Roll-your-own"-Prozess", der den Austausch von Kartendaten per E-Mail beinhaltet. Im Standard „4.2 Senden Sie niemals ungeschützte PANs durch Messaging-Technologien für Endbenutzer (z. B. E-Mail, Instant Messaging, SMS, Chat usw.)“. Für "sensible Autorisierungsdaten" wie CVV ist es sogar noch strenger als Kartennummern - Sie können sie nach der Autorisierung überhaupt nicht speichern. Das Akzeptieren von CVV per E-Mail müsste sicherstellen (und im Audit überprüfen), dass die Nummer von allen gelöscht wird und alle E-Mail-Server, Protokolle und Backups, was fast unmöglich ist.

Selbst wenn dies eine harmlose Bitte ist, ist sie falsch .

Die PCI-DSS-Vorschriften (die eine globale Reichweite haben) sind äußerst streng in Bezug auf die Verwaltung von Kartendaten. Bestimmte Werte können überhaupt nicht beibehalten werden und einige müssen sowohl während der Übertragung als auch im Ruhezustand verschlüsselt werden. Der CVV ist eines der geschützteren Felder, daher ist die Tatsache, dass Sie aufgefordert werden, ihn per E-Mail zu senden, bereits ein Verstoß.

Zumindest wissen sie nicht, was sie tun. Dies könnte durch ein sicheres Webformular erfasst werden (die meisten kleinen Unternehmen beauftragen lediglich einen Acquiring-Service, der die Seite für sie hostet), aber die E-Mail-Erfassung ist definitiv nicht aktiviert.

Zustimmen. Schreiben Sie niemals etwas in eine E-Mail, das Sie nicht auch auf eine Postkarte schreiben würden.
@Maaark - schöne Analogie.
Ich würde denken, dass eine legitime, aber unangemessene Anfrage, vertrauliche Informationen per E-Mail zu senden, mit einem Angebot beantwortet werden sollte, das Unternehmen mit den richtigen Informationen anzurufen, wenn sie Informationen darüber per E-Mail zurücksenden, wie die richtige Person über die Hauptnummer des Unternehmens zu erreichen ist. Obwohl ich jemanden kannte, der diesen Weg einschlug und dann eine E-Mail mitkopierte, in der die Person, die er anrief, die vertraulichen Informationen an die Person in der Firma schickte, die die Zahlung bearbeitete. Grrrr ....
@Maaark: Obwohl es eine gute Analogie ist, bin ich mir nicht sicher, ob sie in diesem Fall effektiv genug ist. Für Sie oder mich ist es selbstverständlich, Ihren Lebenslauf nicht auf eine Postkarte zu schreiben, aber ich bin mir ziemlich sicher, dass es viele Leute gibt, die dazu überredet werden könnten, ihren Lebenslauf auf einer Postkarte an ein Unternehmen zu schicken, das bereits einen hat Kartennummer und andere Details, mit der Begründung, dass jemand, der den CVV allein sieht, nicht gefährlich ist. „Geben Sie Ihren Lebenslauf nur bei einer Bestellung per Telefon oder über ein sicheres Webformular heraus“ ist eher so!
@Maaark: Um genauer zu sein, sind 6 dieser Leute Ben Miller und die 5 Befürworter dieser Antwort zum Zeitpunkt des Schreibens!

Meiner Meinung nach hängt das wirklich von der Website ab. Wenn die Website nicht wirklich ein Schaufenster ist, sondern zum Beispiel ein lokaler (zumindest irgendwo lokaler) Spielladen, der Magic/Pokémon-Karten online verkauft, so etwas in der Art, wo sie Ihre Informationen über die Website nehmen, sie aber tatsächlich eingeben per Hand in ihr Kassensystem eingeben, dann ist das eine durchaus sinnvolle Sache. Dies ist keine großartige Möglichkeit, Dinge zu tun – kein Teil eines Systems, in dem sie Informationen in POS eingeben, die sie auf andere Weise gesammelt haben, und es entspricht mit ziemlicher Sicherheit nicht der Art und Weise, wie sie Dinge tun sollten – aber es ist auch nicht überraschend , und in diesem Fall wahrscheinlich nicht betrügerisch; Sie haben einfach vergessen, den Code während des Bestellvorgangs anzufordern.

Wenn die Website jedoch vollständig mit integrierten Zahlungsinformationen zu sein schien, wäre ich vorsichtiger. Das lässt es für mich viel mehr nach Phishing klingen.

Alles in allem scheint die Wahrscheinlichkeit jedoch gering zu sein, dass es sich um Phishing handelt, und eine hohe Wahrscheinlichkeit, dass es sich um ein Geschäft handelt, das ... nicht sehr sicher ist. Ich würde denen nicht zurückmailen, sondern anrufen . Wenn sie so sind, wie ich es beschreibe, und Dinge manuell in ihrem POS-System erledigen, können Sie dies möglicherweise telefonisch erledigen. Das Vermeiden des CVV-Codes in E-Mails ist ein großer Vorteil, und zweitens bestätigen Sie, dass die E-Mail wirklich von ihnen stammt, indem Sie sie auf andere Weise kontaktieren (und ihre Telefonnummer online nachschlagen, verwenden Sie nicht die E-Mail, die Sie erhalten haben). )

Wen interessiert es, ob es Phishin ist? Es ist schattig!
Sie dürfen den CVV-Code nicht speichern, daher ist der Teil Ihrer Prämisse, in dem vergessen wurde, ihn anzufordern, ungültig/mindestens ein so großes Problem wie die Anfrage in der E-Mail.
@DanIsFiddlingByFirelight Mein Vorschlag hier ist, dass es sich um eine kleine Operation handelt, die diese Protokolle nicht korrekt befolgt, ja. Ich versuche nur, zwischen "die Regeln nicht zu beachten" und "Betrug" zu unterscheiden; Ersteres halte ich für wahrscheinlicher als letzteres.

Zur Antwort von @davidfulton hinzufügen ...

Das CVV ist ein "Proof of Ownership"-Indikator. Wenn Sie den CVV kennen, bedeutet dies, dass Sie die Karte in der Hand halten und sie von der Karte ablesen. Es sollte niemals irgendwo dauerhaft aufgezeichnet werden. Wenn ich mit einem Kundendienstmitarbeiter spreche und er nach dem CVV fragt, lautet meine Antwort: "Schreiben Sie ihn auf oder geben Sie ihn in einen Computer ein?" Wenn es ersteres ist, gebe ich es ihnen nicht.

Ein ordnungsgemäß aufgebautes Kreditkartenverarbeitungssystem wird den CVV ordnungsgemäß handhaben (und diese Systeme werden ständig geprüft). Es auf ein Blatt Papier zu schreiben oder in eine E-Mail zu stecken, ist einfach falsch.

Jeder, der Ihren CVV und Ihre Kartennummer kennt, kann nachweisen, dass er/sie Ihre Karte „besitzt“.

Und ja, PCI-DSS ist sehr pingelig, was ein Händler mit Karteninformationen und insbesondere CVV-Informationen tun kann. Sie sollten Sie niemals bitten, es in eine E-Mail zu schreiben.

Zur Klarstellung: PCI-DSS regelt die Verfahren des Händlers , nicht die des Kunden. Ein Händler, der routinemäßig per E-Mail nach dem CVV fragt, läuft ernsthaft Gefahr, das Privileg zu verlieren, Kreditkarten zu akzeptieren. Banken und Kreditkartenabwickler gehen dem Händler auf die Nerven, wenn sie diese Informationen falsch handhaben.
@O.Jones: Danke. Das habe ich deutlicher gemacht. Wir haben gerade die Aufräumarbeiten unseres PCI-Audits abgeschlossen

Als Webentwickler weiß ich, dass die Website eines Geschäfts niemals Ihre Kreditkartennummer speichern sollte. Es sollte direkt an das Zahlungsgateway weitergeleitet und niemals gespeichert werden. Wenn das Geschäft 2 Tage später immer noch Ihre Kreditkartennummer zur Verwendung mit dem CVV hat, behandelt es Ihre Zahlungsinformationen falsch. Ansonsten ist es Betrug. Senden Sie Ihren CVV nicht, wenden Sie sich an das Geschäft, um zu sehen, was los ist (sie wurden möglicherweise kompromittiert).

CVV wird niemals unverschlüsselt, dh per E-Mail, weitergegeben. Es kann immer nur über eine sichere Kreditkartenverarbeitungsseite offengelegt werden. Es ist wahrscheinlich illegal, dass das Unternehmen einen CVV per E-Mail anfordert.

Es ist nicht illegal, aber es ist ein grober Verstoß gegen die Vereinbarung des Händlers mit seinem Kreditkartenprozessor - CVV muss streng nach PCI-DSS-Regeln gehandhabt werden (und das ist einfach falsch).

Lassen Sie mich Ihnen diese Fragen stellen:

  • Vertrauen Sie dieser Website/diesem Unternehmen?
  • Wenn sie an der Kasse nach dem CVV-Code gefragt hätten, hätten Sie ihn angegeben?
  • Glauben Sie, dass die E-Mail-Nachricht, die Sie erhalten haben, wirklich von dem Unternehmen stammt?

Wenn Sie alle diese Fragen mit Ja beantworten können, geben Sie ihnen den Code. Wenn Sie ihnen den Code nicht geben, wird Ihre Bestellung storniert und Sie erhalten Ihren Artikel nicht.

Ich erwarte, dass jemand an dieser Stelle einen Kommentar abgibt und vorschlägt, dass das, was er tut, illegal / unangemessen ist und dass er den Code nicht benötigen sollte. Ich würde ihnen (und Ihnen) sagen, dass diese Firma nicht nach dem Code fragen würde, wenn sie ihn nicht zur Bearbeitung Ihrer Bestellung benötigen würden. Wenn Sie es an der Kasse angegeben hätten, wenn Sie dazu aufgefordert würden, sollten Sie es jetzt angeben.

Sie werden auch vorschlagen, dass das Unternehmen den Code falsch handhabt. Sie können es sein oder auch nicht, aber das ist nicht wirklich Ihre Angelegenheit. Sie hätten den Code genauso gut falsch handhaben können, wenn sie an der Kasse danach gefragt hätten.

Wenn sich herausstellt, dass jemand bei diesem Unternehmen ein Gauner ist oder wenn er gehackt wird und Ihre Kartennummer und Ihr Code gestohlen werden, haften Sie nicht für die betrügerischen Gebühren. Obwohl es gut ist, vorsichtig zu sein, würde ich sagen, wenn Sie keinen Grund zu der Annahme haben, dass das Unternehmen / die Website gefälscht ist, geben Sie ihnen den Code.

Ein Grund, es an der Kasse, aber nicht per E-Mail bereitzustellen, ist, dass E-Mail nicht sicher ist. In einem normalen Fluss sollten die Daten über eine verschlüsselte Verbindung gesendet und nach der Autorisierung bereinigt werden. Dies ist bei E-Mail schwer zu garantieren, da Kopien auf E-Mail-Servern, im Papierkorb usw. existieren können. Ich glaube nicht, dass es illegal ist, aber es ist nicht PCI-DSS-konform. Das bedeutet nicht, dass sie Gauner sind, sie sind wahrscheinlich ehrlich, haben aber etwas zwielichtige Prozesse. Persönlich, wenn ich dem Unternehmen vertraue, wäre es in Ordnung, nur CVV per E-Mail zu senden, aber nicht CVV + Kreditkartendaten in derselben E-Mail.
@JBChouinard Ja, E-Mail ist nicht sicher, aber die Nachricht fragt nicht per E-Mail nach der CVV und der Kreditkartennummer, sondern nur nach der CVV, einer nutzlosen dreistelligen Nummer ohne die Kreditkartennummer (die sie bereits haben ). Denken Sie daran, dass die CVV keine PIN ist und Sie Ihre Karte mit beiden Informationen ständig an Fremde weitergeben.
Ich verstehe, dass sie nur nach CVV fragen, ich wollte nur klarstellen, dass "es könnte in Ordnung sein, CVV nur per E-Mail zu senden" NICHT bedeutet "es ist in Ordnung, alle Kreditkarteninformationen per E-Mail zu senden".
@JBChouinard Einverstanden. :)
@BenMiller-RememberMonica Ich denke, du meinst in den USA "du gibst deine Karte ständig an Fremde weiter". In Großbritannien kann ich mich nicht erinnern, wann ich das das letzte Mal gemacht habe - wahrscheinlich vor etwa 20 Jahren (und ich verwende Kartenzahlungen für fast alles). Ich würde hoffen, dass Sie den CVV in eine seriöse Zahlungstransaktion über eine Website eingeben , kein Mensch lernt den CVV kennen - er wird einfach an die Kartengesellschaft gesendet, geprüft und dann für immer verworfen.
Glauben Sie, dass die E-Mail-Nachricht, die Sie erhalten haben, wirklich von dem Unternehmen stammt? Ich bin seit 20 Jahren beruflich in der IT tätig und mein erster Job war das Babysitten von Mailservern. Ich würde mir nicht zutrauen, genau zu beurteilen, ob die Nachricht wirklich vom Unternehmen stammt, und würde vermuten, dass es sich um Phishing handelt. (Ich würde das Unternehmen anrufen, um es entweder zu bestätigen und aufzuklären oder es abzulehnen und zu warnen, dass es einen Verstoß gab.)
@JBChouinard CVV hat strengere Beschränkungen als Kartennummern, es gibt viele Arten der Verarbeitung, die für Kartennummern erlaubt, aber für CVVs verboten sind. PCI DSS zitieren: „Sensible Authentifizierungsdaten dürfen nach der Autorisierung nicht gespeichert werden, selbst wenn sie verschlüsselt sind. Dies gilt auch dann, wenn es keine PAN in der Umgebung gibt.“ (sensible Authentifizierungsdaten umfassen CVV; PAN ist die Kartennummer) – so schließt es ausdrücklich ein das Szenario, dass CVV separat gesendet wird. PCI DSS 3.2 erfordert, dass Sie sicherstellen, dass die E-Mail mit dieser Nummer nach der Autorisierung unwiederbringlich (!) von allen Systemen gelöscht wird.
Für diese Antwort ist viel Vertrauen und Glaube erforderlich, kein guter Plan, wenn es um Informationen wie diese geht!
Zuerst schlagen Sie vor, dass Sie es nur durchziehen sollten, wenn Sie der Firma vertrauen, dann schlagen Sie vor, dass es keine Rolle spielt, weil Sie sowieso nicht am Haken sind? Ich bin mir nicht sicher, was Sie hier eigentlich vorschlagen.
@Fax Wenn Sie mit jemandem Geschäfte machen, müssen Sie beurteilen, ob die Person/Organisation, mit der Sie es zu tun haben, vertrauenswürdig ist oder nicht. In diesem Fall hat das OP bereits entschieden, dass diese Website vertrauenswürdig genug ist, um eine Bestellung aufzugeben. Als nächstes müssen Sie das Risiko für sich selbst berücksichtigen, falls Sie sich irren. Da es sich in diesem Fall um eine Kreditkarte handelt, ist das Risiko aufgrund der Richtlinien zum Schutz vor Betrug minimal. Die meisten Menschen treffen diese Urteile täglich.
@Peteris Wie ich schon sagte, ist mir bewusst, dass es nicht PCI DSS-konform ist. Wenn es ein Zahlungssystem wäre, für das ich verantwortlich wäre, würde mich das ziemlich stören. Als Kunde? Meh. Beim Zero-Liability-Betrugsschutz haftet entweder der Händler oder die Bank. Dass meine CC-Informationen gestohlen werden, ist eine Unannehmlichkeit, daher werde ich sie nicht an möglicherweise böswillige Akteure weitergeben, aber es ist nicht meine Aufgabe, PCI-DSS-Audits für jeden Händler durchzuführen, mit dem ich interagiere.
@Peteris Meine Begründung, warum ich beim Senden von CVV per E-Mail nicht den Schlaf verlieren würde, ist, dass es nur 3 Ziffern sind. Es gibt nur 1000 Möglichkeiten. Nach dem Schubladenprinzip teilen sich viele Kreditkarten CVVs. Mit einem CVV allein kommt man nicht weit, wenn man nicht weiß, zu welchem ​​CC es gehört. Darüber hinaus kann der Händler bei unsachgemäßer Aufbewahrung bei Betrug haftbar gemacht werden, aber das ist meistens ein Problem zwischen dem Händler und der Bank.
@JBChouinard Meine Argumentation dazu ist, dass dies ein Indikator dafür ist, dass dies möglicherweise keine E-Mail des Händlers selbst ist, sondern eine gefälschte E-Mail von einem Betrüger eines Drittanbieters, da dies legitimen Händlern untersagt ist. Zum Beispiel könnte es sein, dass jemand die Datenbank eines Händlers gehackt hat, um CC-Nummern, E-Mails und Kaufinformationen zu erhalten - aber keinen CVV. Die CC-Nummer allein ist nicht so wertvoll. Wenn sie also CVV-Anfragen spammen und einige der Kunden antworten, können sie aus diesem Verstoß viel mehr Geld herausholen, da sie die CVV zu den gestohlenen Kartennummern hinzufügen können.
So viele schlechte Ratschläge in dieser Antwort, dass ich kaum weiß, wo ich anfangen soll. this company would not be asking for the code if they didn’t need it- E-Mail kann gespooft werden. Leicht. Es kommt nicht unbedingt von der Firma. Sicher sind Ihnen gefälschte E-Mails bekannt, die vorgeben, von $bank zu stammen? you will not be liable for the fraudulent charges- sicher ... aber in der Zwischenzeit ist zusätzliches Guthaben auf Ihrer Karte vorhanden, Sie haben das Problem, dass Gebühren rückgängig gemacht werden, Sie benötigen möglicherweise eine neue Karte (und müssen die in der automatischen Aktualisierung und bei automatischen Zahlungen gespeicherte Nummer aktualisieren) usw usw usw.
@Mark Natürlich können E-Mails gespooft werden. Deshalb habe ich die Antwort so begonnen, wie ich es getan habe (siehe dritter Aufzählungspunkt). OP sagte jedoch, dass das Unternehmen die Kreditkarte noch nicht für den Verkauf belastet hat, was auf eine Verzögerung hindeutet.
Of course, e-mail can be spoofed. That’s why I started the answer the way I did (see third bullet)... was impliziert, dass Ihre durchschnittliche Person feststellen kann , ob eine E-Mail gespooft ist. Beachten Sie den Kommentar von @chrylis-cautiouslyoptimistic-, in dem es heißt, dass selbst ein sehr erfahrener Administrator das nicht immer erkennen kann.
Ich würde meinen CVV-Code nicht auf eine Postkarte schreiben und verschicken, mit dem Risiko, dass ihn jemand abfängt. E-Mail ist ungefähr so ​​sicher wie eine Postkarte, senden Sie keine Informationen per E-Mail, bei denen Sie sich beim Schreiben auf eine Postkarte nicht sicher fühlen würden.
@Polygorial 152

Ihre Kreditkartendaten sind öffentlich sichtbar

Ihre Kreditkartendaten wurden auf unsichere Weise gehandhabt, und Sie sollten sich an Ihre Bank wenden, um die Karte sperren zu lassen und eine neue zu erhalten.

Was ist passiert

Um Kreditkartenzahlungen über das Internet abzuwickeln, muss das Unternehmen PCI-DSS-zertifiziert sein (danke David Fulton für den vollständigen Zertifizierungsnamen). Die Zertifizierung wird von den großen Kreditkartenunternehmen wie Visa und MasterCard vorgeschrieben. Diese Zertifizierung soll sicherstellen, dass die Kreditkartendaten sicher gehandhabt werden.

Ein Webshop benötigt diese Zertifizierung jedoch nicht, wenn er einen externen Zahlungsanbieter verwendet. In diesem Fall werden alle Kreditkarteninformationen vom Zahlungsanbieter verarbeitet. Durch das direkte Senden der Kreditkarteninformationen an den Zahlungsanbieter verarbeitet der Webshop überhaupt keine Kreditkarteninformationen.

Der Webshop, bei dem Sie bestellt haben, hat keine PCI-DSS-Zertifizierung oder folgt dieser nicht. Dies wird dadurch deutlich, dass sie per E-Mail nach dem CVV fragen. Und sie verwenden keinen Drittanbieter-Zahlungsanbieter, der über die PCI-DSS-Zertifizierung verfügt, mit denselben Beweisen. Zumindest nicht in der beabsichtigten Weise. Höchstwahrscheinlich versuchen sie, zumindest die Benutzeroberfläche für die Zahlung zu entwickeln, ohne genau zu wissen, was sie tun.

Das Ergebnis davon ist, dass die zu diesem Webshop hinzugefügten Kreditkartendaten nicht vertrauenswürdig sind. Sie haben gezeigt, dass sie mit der für Kreditkartendaten erforderlichen Sicherheit nicht umgehen können. Daher würde ich alle Informationen für diesen Webshop als öffentlich behandeln.

Bitte beachten Sie, dass ich nicht sage, dass der Webshop wissentlich böswillig gehandelt hat. Aber es geht um Ihr Geld, spielt es wirklich eine Rolle, ob es wissentlich ist oder nicht?

Was nun

Ich kann dir nicht sagen, was du tun sollst, aber ich würde Folgendes tun:

  1. Kontaktieren Sie die Bank und stoppen Sie die Zahlung für diese Bestellung. Ich möchte keine Geschäfte mit zwielichtigen Firmen machen, ich bestelle das Produkt lieber woanders für ein paar Euro extra.
  2. Beim Gespräch mit der Bank die Karte kündigen und eine neue bestellen. Eine neue mit einer neuen Kreditkartennummer. Wie oben erwähnt betrachte ich Ihre Kreditkartendaten als öffentlich. Und da Sie wissen, dass es etwas zwielichtig verwendet wurde, erhalten Sie wahrscheinlich kein Geld zurück, wenn es für etwas verwendet wurde, das Sie nicht bestellt haben.
  3. Wenden Sie sich an den Webshop und stornieren Sie die Bestellung. Tun Sie dies so bald wie möglich, nachdem Sie die Transaktion gestoppt und die Karte storniert haben.
  4. Wenden Sie sich an Ihr Kreditkartenunternehmen (Visa, MasterCard usw.) und melden Sie ihm den Webshop. Hoffentlich untersuchen sie den Webshop. Auf diese Weise hilfst du sicherzustellen, dass niemand sonst in diesen Schlamassel gerät.

Könnte es etwas anderes sein

Wie in anderen Antworten angegeben, könnte dies Phishing sein. Aber wenn ja, sollte der Auftrag nicht schon längst abgeschlossen sein? Und woher wussten die Phisher, dass Sie in diesem Webshop eine Bestellung aufgegeben haben? Wenn Sie es im Internet veröffentlicht haben, könnte es sein, dass sie es von dort abgeholt haben, andernfalls haben sie die Informationen aus dem Webshop erhalten.

Aber auch hier geht es um Ihr Geld. Ich denke, es ist besser, auf Nummer sicher zu gehen.

Das ist eine grobe Überreaktion. Es gibt keine Hinweise darauf, dass der Händler beabsichtigt, die Karte in betrügerischer Absicht zu belasten. Sie machen sich etwas vor, wenn Sie nicht glauben, dass es mittlerweile viele Mitarbeiter in vielen Unternehmen gibt, die Ihre Kreditkartennummer bereits auslesen können, wenn sie dies wünschen. Außerdem sind Sie als Kunde nicht die Polizei der Zahlungsgateway-Standards. Das ist zwischen dem Händler und seiner Bank. Sie sind nicht haftbar, wenn schließlich betrügerische Belastungen auf der Karte erscheinen, und wenn dies der Fall ist, können Sie nicht einmal wissen, ob die Sicherheitsverletzung bei diesem Händler oder bei Wal-Mart aufgetreten ist.
Ich stimme Ihnen jedoch zu, dass dies wahrscheinlich kein Phishing-Versuch ist.
E-Mail mit der Frage nach CVV, zwei Tage nachdem ich einen Kauf getätigt habe?
AntwortenHierDatenschutz-Bestimmungen1y, 0v