Ich habe viel über den Diebstahl von Finanzinformationen gelesen, insbesondere von Kreditkartendaten, da diese online oder an Verkaufsstellen gespeichert oder zumindest eingegeben werden. Es scheint mir, dass die Methode sicher gemacht werden könnte, wenn sie umgekehrt würde.
Kürzlich wurde mir von meinem Finanzberater gesagt, ich solle vom Auto-Pay-Verfahren – bei dem beispielsweise der Energieversorger meine Kontodaten hat und jeden Monat Geld von meinem Konto abbucht – zum Bill-Pay-Verfahren wechseln, bei dem ich meine Bank auftrage um automatisch Geld zu versenden. Auf diese Weise speichert der Zahlungsempfänger meine Kontoinformationen nicht, sodass sie ihm nicht gestohlen werden können. Im schlimmsten Fall gibt es einen gefälschten, einmaligen Satz von Nummern, der nicht wiederverwendet werden kann.
Also, warum funktionieren Kreditkarten nicht so? Sie nehmen eine Gebühr vor, Ihre Bank erhält die Anfrage und sendet eine SMS an Ihr Telefon, um zu sagen: "Haben Sie dies autorisiert?" Und Sie antworten ja oder nein. Wenn Sie nein sagen, können Sie den Laden nicht mit den Sachen verlassen, und der Laden hat nichts außer einer einmaligen Anfragenummer in den Akten. Gleiches für Online. Im schlimmsten Fall nörgeln sie jeden Monat, um Ihre Mitgliedschaft im Fitnessstudio oder was auch immer zu genehmigen, und niemand kann Ihre Informationen jemals wieder stehlen.
Bin ich ein Supergenie oder stimmt etwas offensichtlich nicht mit diesem Schema (außer natürlich, dass ich ein Telefon brauche)?
Sie nehmen eine Gebühr vor, Ihre Bank erhält die Anfrage und sendet eine SMS an Ihr Telefon, um zu sagen: "Haben Sie dies autorisiert?" Und Sie antworten ja oder nein. Wenn Sie nein sagen, können Sie den Laden nicht mit den Sachen verlassen, und der Laden hat nichts außer einer einmaligen Anfragenummer in den Akten.
Es gibt Zahlungssysteme, die genau so funktionieren. Ich glaube, das größte ist Alipay (hauptsächlich in China), aber es gibt wahrscheinlich noch andere. Bei diesem System generiert Ihr Telefon einen einmaligen Barcode oder QR-Code, den der Händler scannt. Ihr Konto wird belastet und dieser Code wird nie wieder verwendet.
Ich glaube, es hat auch einen alternativen Modus, bei dem der Kunde den QR-Code des Händlers scannt, was ihn dann veranlasst, Geld an den Händler zu senden, aber da bin ich mir nicht sicher. Das größte Problem hier und wirklich das größte Problem im Zahlungsverkehr im Allgemeinen ist "Was ist, wenn die Kommunikation fehlschlägt?"
Wenn der Händler Ihre Kartendaten (oder den QR-Code) liest und sie nicht an Ihre Bank (oder Alipay) senden kann, um sie zu genehmigen, hat er zwei Möglichkeiten: Er kann Sie trotzdem mit der Ware gehen lassen, oder er kann sagen: „Entschuldigung , das können wir Ihnen im Moment nicht verkaufen. Kommen Sie morgen wieder." In den allermeisten Fällen ist es für sie besser, Sie mit der Ware gehen zu lassen, in der Annahme, dass sie Ihre Karte später erfolgreich belasten können. Schließlich sind die Karten der meisten Leute gut, und wenn es nahtlos genug gemacht wird, wissen Betrüger nicht, dass das Geschäft offline ist, um es auszunutzen. Und wenn Sie nicht sofort kaufen können, was Sie wollten , gehen Sie vielleicht einfach zu einem Konkurrenten oder geben ganz auf, und er verliert.
Die Kehrseite ist, dass sie, wenn sie sich auf Ihr Telefon verlassen müssen, um Geld zu senden , anstatt es anzufordern, mit schlechtem Mobilfunkdienst, Kunden, deren Telefone tot sind, oder anderen Gründen, die Sie möglicherweise nicht senden können, fertig werden müssen Also gut. Und während Sie dasitzen und darauf warten, dass die richtige App mit einem einzigen Balken auf Ihr Telefon geladen wird, stapeln sich andere Kunden hinter Ihnen.
Außerdem muss es eine Möglichkeit geben, eine Nummer zu generieren, die eindeutig genug ist, damit Ihre Zahlungs-App genau weiß, wie viel sie für welche Bestellung an welchen Händler senden soll, oder sie haben keine Möglichkeit, dies tatsächlich zu wissen , erfolgreich bezahlen. Und wenn sie offline sind, haben sie keine Möglichkeit, diese Benachrichtigung zu erhalten, also gibt es jetzt zwei Kommunikationsfehler, die dazu führen, dass der Verkauf fehlschlägt. (Dies ist auch der Grund, warum die meisten Verkäufe keine Textnachrichten zur Bestätigung vor der Genehmigung auslösen – was ist, wenn Sie den Text nicht erhalten?)
Schließlich ist es im Interesse der Kartenmarke, nur Zahlungsanfragen von verifizierten Quellen (dh Händlerprozessoren) zu akzeptieren und keine öffentlich zugänglichen Endpunkte zu haben, die jeder mit einer Internetverbindung DDOS oder anderweitig stören kann. Und es ist für sie rentabler, die Kosten des Betrugs zu fressen (oder – besser – den Händler bezahlen zu lassen) im Namen des Zahlungsflusses so schnell wie möglich.
Hinweis: Diese Antwort konzentriert sich auf den Einzelhandel und die Quick-Serve-/Fast-Food- Branche. Hotels, Restaurants und Bars, Tankstellen, hochwertige Händler (wie Juweliere) usw. haben alle unterschiedliche Anforderungen, die sich darauf auswirken, welche Risiken sie einzugehen bereit sind.
Du stellst den Karren vor das Pferd. Ich gehe auf die Beine und gehe davon aus, dass die „Viele über gestohlene Finanzinformationen“, die Sie gelesen haben, niemand jemals darauf hingewiesen hat, dass Betrug einen Teil von einem Prozent des Transaktionsvolumens ausmacht.
Jeder LIEBT Kreditkarten, und ich meine wirklich alle. Händler werden manchmal in den Nachrichten sein und sich über Bearbeitungsgebühren für Kreditkarten beschweren. Sie könnten sogar denken, YA! das ist nicht fair.
Mit einer Kreditkarte kann ich etwas kaufen, ohne Bargeld dabei zu haben. Es gibt sogar Studien, die belegen, dass die Menschen im Allgemeinen mehr ausgeben, als sie mit Bargeld hätten. Tatsächlich gebe ich vielleicht sogar Geld aus, das ich gar nicht habe. Ich kann mehr ausgeben als ich verdient habe. Ohne Geld auf der Bank kann ich mit meiner Kreditkarte einen Fernseher kaufen. Der Händler merkt es nie, weil der Händler bezahlt wurde. Visa merkt es nicht, weil Visa bezahlt wurde. Ihre Bank merkt es und berechnet Ihnen Zinsen. Wenn Sie nicht zahlen, wird Ihr Konto an einen Schuldeneintreiber verkauft. Wenn Sie Insolvenz anmelden, wird Ihr Negativ als Betriebsausgabe abgeschrieben, die von den Einnahmen der Bank (oder des Inkassobüros) abgezogen werden kann.
Damit dieses System funktioniert, kann der Kunde nicht auch das Betrugsrisiko tragen. In den USA trage ich kein Betrugsrisiko. In den letzten 12 Monaten wurden zwei meiner Karten in gewissem Maße betrügerisch belastet. Ich rufe die Bank an, benachrichtige sie, sie kündigen die Karte und über Nacht bekomme ich eine neue. Wenn ich für eine der betrügerischen Belastungen mindestens haftbar wäre, würde ich kein Limit von 20.000 $ von meiner Bank akzeptieren, ich würde das auf einen Betrag herunterdrücken, den ich bereit wäre, Betrug zu riskieren. Jetzt ist meine Ausgabenkapazität auf meine Mikrorisikotoleranz für Betrug beschränkt.
Jeder in der gesamten Kette der Transaktion möchte, dass ich in der Lage bin, ein Geschäft mit viel mehr Ausgabenmöglichkeiten zu betreten, als ich Liquidität habe, und das ist für mich in Ordnung. Wenn einer von ihnen mir eine SMS schicken will, um eine Belastung mit zwei Faktoren zu authentifizieren, zerschneide ich diese Karte und kündige das Konto. Sie alle verdienen Geld, wenn ich Geld ausgebe. Die ausstellenden Banken sind alle so scharf darauf, dass ich Geld für ihre Karte ausgeben muss, dass sie mit verrückten Prämienprogrammen um mich kämpfen und mir über Nacht eine Ersatzkarte aus Angst vor der Verwendung eines Konkurrenten zukommen lassen.
In diesem Sinne plädiere ich dafür, niemals eine mit einem Girokonto verbundene Debitkarte zu verwenden. Ich habe mein Banking mit einem Hub-and-Spoke-Modell eingerichtet. Die meisten meiner Konten können mein Hauptgirokonto nicht sehen. Ich führe ein separates Girokonto, das mit meinem Paypal und dergleichen verbunden ist. Vor einigen Jahren kam es auf meinem damals einzigen Girokonto zu Scheckbetrug. Es ging um einen Betrug meiner Debitkarte und einen betrügerischen Scheck, der auf mein Konto eingezahlt wurde, wobei die betrügerische Debitkarte dann verwendet wurde, um alle meine Kontogelder einschließlich des betrügerischen Schecks auszugeben. Es dauerte ungefähr 6 Monate, bis die Bank es durchgearbeitet hatte, und war sehr störend für mein Leben. Seitdem habe ich mindestens zwei Girokonten bei zwei verschiedenen Banken und benutze NIE meine Debitkarte. Aus dieser Sicht hat Ihr Finanzberater recht.
Bei Betrug mit meiner American Express verschwindet das Geld von American Express. Wenn auf Ihrem Girokonto ein Betrug auftritt, ist es Ihr Geld, das verschwindet, seien Sie also nicht leichtfertig damit, wer Zugang zu Ihrem Girokonto bekommt.
Zunächst einmal ist es eine der höchsten Prioritäten für die Kreditkartenunternehmen, die Transaktion so reibungslos wie möglich zu gestalten. Das ist eines der wichtigsten Verkaufsargumente für Karteninhaber und Händler: Karteninhaber mögen Kreditkarten, weil sie es einfacher machen, Dinge zu kaufen, und Händler mögen Kreditkarten, weil sie die Leute dazu bringen, mehr Dinge zu kaufen, weil es einfacher ist.
Und wenn Sie sich fragen, warum Karteninhaber nicht jede Transaktion autorisieren müssen, so funktioniert es bereits. Wenn Sie Ihre Karte durchziehen, autorisieren Sie diese bestimmte Transaktion, Sie geben dem Händler keinen Blankoscheck. Wenn Sie sagen, dass der Händler alles hat, was er braucht, um so zu tunSie haben eine andere Transaktion autorisiert, nun ja, nein, das tun sie nicht. Das ist der Sinn von Chipkarten. Wenn Sie eine Chip-Transaktion haben (dies gilt natürlich nicht für Online-Einkäufe), nimmt der Chip alle Transaktionsdetails sowie eine Transaktionsnummer und signiert all dies digital. Wenn jemand Ihre Kreditkarteninformationen stiehlt und damit eine gefälschte Transaktion erstellt, kann er die gefälschte Transaktion nicht digital signieren. Wenn sie die digitale Signatur für die ursprüngliche Transaktion verwenden, übermitteln sie eine Transaktion mit einer bereits verwendeten Transaktionsnummer, sodass sie abgelehnt wird.
Also, warum funktionieren Kreditkarten nicht so? Sie nehmen eine Gebühr vor, Ihre Bank erhält die Anfrage und sendet eine SMS an Ihr Telefon, um zu sagen: "Haben Sie dies autorisiert?" Und Sie antworten ja oder nein.
Inwiefern ist das sicherer als das Terminal, das Sie fragt: "Autorisieren Sie das?" wenn du deine Karte durchziehst?
Angenommen, Sie richten ein System ein, bei dem Händler die Telefone der Leute kontaktieren, um zu fragen, ob die Transaktion autorisiert ist. Warum über Texte? Warum nicht eine App haben, die Autorisierungsanfragen empfängt? An diesem Punkt haben Sie gerade die digitale Geldbörse neu erfunden.
Ben Voigt