Vraag:
Is het tegenwoordig nog steeds onveilig om een ​​creditcardnummer te e-mailen?
Anddd
2011-10-05 16:55:34 UTC
view on stackexchange narkive permalink

We weten allemaal dat we het niet moeten doen, maar iemand heeft mijn creditcardnummer en cvv-code naar mijn gmail gemaild.

Ik vraag me af of het risico zo laag is dat ik niet naar annuleer mijn kaart.

De e-mail is verzonden vanaf het e-mailaccount van een gerenommeerde ISP, via zijn ADSL-inbelverbinding (de ISP is de grootste van het land) naar mijn gmail-adres. Is het veilig om aan te nemen dat de ISP, verbonden met de backbone, de e-mail naar de Gmail-server zou bezorgen zonder via een onbeveiligde pc te gaan? Dus ik hoef mijn kaart niet te annuleren?

Dit iemand is mijn collega die namens mij iets koopt. E-mailmap- en accountbeveiliging zijn dus geen probleem. Ik maak me er meer zorgen over tijdens het transport.
Het is zeker een risico, maar dit incident deed me heroverwegen dat het risico misschien veel lager is dan we denken. Misschien is het te gemakkelijk om een ​​creditcard te annuleren en te vervangen, we denken automatisch dat annuleren het enige juiste is om te doen.
CCN per e-mail verzenden en CCV per sms of andersom? Nou, als versleuteling niet mogelijk is.
controleer de header om te zien via welke servers de mail wordt verzonden en of er een beveiligde lijn is gebruikt.
Onveilige protocollen worden niet op magische wijze veilig. Als het eerder onzeker was, is het nu nog steeds onzeker.
Zeven antwoorden:
AaronS
2011-10-05 17:36:02 UTC
view on stackexchange narkive permalink

Laten we eens kijken:

Zelfs als wat je zegt juist is en ISP solide is als een rots

  1. Vertrouw je deze "iemand"? Als het antwoord nee is, annuleer in elk geval de creditcard.

  2. Uw creditcardnummer + CVV staat nu in de map "Verzonden" van deze persoon, als zijn mailbox wordt gehackt door een aanvaller wil je CC hebben.

  3. Je creditcardgegevens worden voor altijd op Google-servers opgeslagen

  4. Ik zou het annuleren
+1 voor de map met verzonden items. Een aanvaller kan gemakkelijk zoeken naar nummers die lijken op CC-conventies.
Deze persoon vertrouwen betekent ook dat u hem vertrouwt om zijn computer tegen malware te beveiligen. D.w.z. vertrouw niemand :)
+1 voor de Google-servers. Hoewel het niet haalbaar / mogelijk is om het van daaruit te krijgen .. wat gebeurt er met de kopie van de mail wanneer deze uit onze boxen wordt verwijderd (inclusief prullenbak)? hoewel het alleen maar logisch is om het van de servers te verwijderen, wil ik er zeker van zijn!
Wie weet? Kunt u dat verifiëren, zelfs als ze zeggen dat ze het verwijderen? Zelfs als ze het van hun live server hebben verwijderd, hoe zit het dan met back-ups?
Andy Smith
2011-10-05 17:40:14 UTC
view on stackexchange narkive permalink

E-mail is geen veilige manier om creditcardnummers te delen

De methode die je beschrijft, is om verschillende redenen niet veilig. Deze omvatten:

Het verzenden van nummers in platte tekst is niet veilig

De techniek die u beschreef, zou kunnen betekenen dat u uw kaartnummers in platte tekst verstuurt (de handeling van het verzenden van de e-mail van de computer naar de ISP). Dit is niet veilig. Het kan op verschillende manieren zijn opgepikt.

E-mails worden op meerdere plaatsen bewaard

Dat creditcardnummer kan nu op meerdere plaatsen voorkomen

  • In de map 'verzonden' van de computer waarvan het is verzonden
  • Op de servers van de ISP's
  • In het Gmail-account

Nu dat zijn slechts 3 plaatsen waar het kan worden opgeslagen, als u back-ups van uw account maakt, kunnen er al heel veel kopieën zijn van uw nummers verspreid over de hele wereld.

Absoluut!Er zal een kopie zijn op elke e-mailserver die bij het proces betrokken is, in ieder geval totdat deze wordt overschreven met nieuwe e-mailgegevens.Het enige dat nodig is, is dat * een * van hen kwaadaardig is.(U kunt uw e-mailheaders lezen om een lijst met betrokken servers te zien.)
Rakkhi
2011-10-06 06:46:17 UTC
view on stackexchange narkive permalink

Ik denk dat de bovenstaande antwoorden juist zijn en dat het verzenden van creditcardgegevens per e-mail onveilig is. Maar aangezien u zich specifiek zorgen maakte over onderschepping tijdens het transport in plaats van over de verschillende opslagpunten die in de andere antwoorden worden genoemd, is het op zijn minst de moeite waard om een ​​contrair standpunt in overweging te nemen:

Beschouw de aanvalsboom:

Vaste netwerken (binnen het bedrijf):

  • Een aanvaller zou fysieke toegangscontroles moeten doorbreken (of een reparateur van fotokopieën moeten zijn) of een insider moeten zijn
  • Ga voorbij een NAC (maar de meeste bedrijven hebben dit niet) of hebben een werkstation
  • In overvolle geschakelde netwerken (alle moderne bedrijven) heb je gewoon geen toegang tot veel uitzendverkeer
  • Dus je moet toegang krijgen tot een router of switch, ervan uitgaande dat je geen netwerkbeheerder bent, betekent dit dat je misbruik maakt van een verkeerde configuratie of kwetsbaarheid in de beveiliging (prima, er zijn geen problemen met metasploit, de meeste organisaties zijn slecht in het patchen, vooral netwerkapparaten) maar laten we zeggen dat je naar Cisco / Juniper enz.luistert en elke 3 maanden patch (in ieder geval de echt slechte dingen) of zo en je bent aan de leiband t authenticeer alles naar een RAS-server
  • Zelfs als je toegang kunt krijgen, ARP-vergiftiging, DNS-cache-vergiftiging wat dan ook, dan heb je het volgende probleem: volume. Er zijn ontzettend veel gegevens die toegang krijgen tot een grote router of sleutelschakelaar. Velen zijn nu gigabit-ingeschakeld en dat betekent drinken uit een brandslang. Zelfs met een legitieme netwerk-DLP-monitor heb je een krachtige pakkethermontage nodig, goede hardware en software en vervolgens de mogelijkheid om effectieve patroonvergelijking uit te voeren. Dus de e-mail van die CEO erg moeilijk krijgen, het vreemde wachtwoord krijgen is waarschijnlijk niet zo slecht
  • Deze gegevens zijn ook van voorbijgaande aard - als de pakketten eenmaal zijn verdwenen, zijn ze verdwenen (hoewel beheerdersaanmeldingen vaak kunnen voorkomen), maar er is een beperkte kans
  • Als alternatief zou je kunnen doen wat ik eerder heb besproken, namelijk de sniffer op de doos plaatsen die je wilt controleren, opnieuw door hetzelfde probleem, uitgaande van redelijke toegang, wat een verkeerde configuratie of beveiligingslek is, of een gebrek aan antimalwarecontrole. Ook bij de eerste twee is het een veel meer gerichte aanval.

Openbare netwerken:

  • Lijkt een veel gemakkelijker doelwit - u kunt zich niet langer op uw gemak voelen over toegangscontrole van tussenliggende boxen of netwerkapparaten.
  • Maar laten we eens kijken naar zoiets als e-mail - de meeste Mail Transfer Agents (MTA), inclusief grote zoals Google, gebruiken nu optimistische TLS, wat betekent , wordt het merendeel van uw e-mail, die aantoonbaar uw meest gevoelige informatie bevat, waarschijnlijk tijdens de overdracht versleuteld zonder dat u iets meer hoeft te doen
  • Zelfs gedeelde MPLS-netwerken hebben VLAN-tagging
  • Nogmaals, je hebt het brandslangprobleem maar een miljoen keer erger en de tijdelijke informatiepagina
  • Bekijk hoeveel daadwerkelijk uitgebuite verliesincidenten je vindt op datalossdb.org of web-app sec-incidenten bij het onderscheppen van gegevens tijdens het transport

Draadloos netwerk:

  • Zakelijk: WPA2 is een de-facto standaard, het is niet perfect, maar u krijgt codering zonder iets meer doen
  • Home / Starbucks enz .: Dit is een legitiem risico, in feite het beste en enige voorbeeld dat OWASP geeft voor nee. 10 gebrek aan transportversleuteling is onderschepping op een onbeveiligd draadloos thuisnetwerk - zelfs Google-auto's op streetview kunnen het. Maar zelfs hier bieden de meeste / alle bedrijven die externe toegang bieden een VPN, dus heeft u nog meer nodig?

Volledige blogpost: http://www.rakkhis.com/2010/08/why-ssl-is-just-not-that-important.html

Waarschijnlijk moet u de kaart nog steeds annuleren, maar rekening houdend met andere controles, zoals de limiet op de kaart, als u 3D-beveiliging (bijv. geverifieerd door een visum) heeft ingeschakeld, controleert u uw afschriften, de fraudedetectiesystemen van uw banken; als deze het risico binnen uw risicobereidheid maken, kunt u besluiten dat het risico van onderschepping tijdens transport of opslag laag genoeg is om te accepteren.

Correctie op "wat betekent dat het merendeel van uw e-mail (...) tijdens verzending versleuteld is" - zou ik zeggen "wat betekent dat het merendeel van uw e-mail * tijdens de overdracht * versleuteld kan zijn - misschien is het, misschien niet ".
@Piskvor ok eerlijk punt, als de MTA geen TLS ondersteunt, wordt deze niet versleuteld, we hebben er ongeveer 1000 onderzocht en slechts 1 gevonden die geen opportunistische TLS ondersteunde. Bijgewerkte formulering waarschijnlijk.
Eerlijk punt, goed om te weten, en het vermindert de risico's enigszins. Bedankt voor het delen :)
Over het WPA2 WiFi-netwerk, blijf gewoon aanwezig dat als WPS is ingeschakeld op hun toegangspunt, het WPA2-netwerk vrijwel gemakkelijk te kraken is, kijk hier voor meer informatie http://sviehb.wordpress.com/2011/12/27/wi -fi-protected-setup-pin-brute-force-kwetsbaarheid /
M15K
2011-10-05 19:00:57 UTC
view on stackexchange narkive permalink

De e-mailservers van Google ondersteunen AUTH TLS waar de voorkeur naar uitgaat, dus de kans is groot dat uw creditcard versleuteld onderweg was. Nogmaals, nu heb je 'track 2'-gegevens opgeslagen die dat niet zouden moeten zijn, namelijk je CVV.

Als deze creditcard eigenlijk een debetkaart is, zou ik zeker meteen opzeggen. Creditcards hebben een redelijk goede bescherming / probleemloos over frauduleuze activiteiten. Ik zou me zeker ongemakkelijk voelen, en ook jij voelt je waarschijnlijk ook ongemakkelijk omdat je de vraag niet zou hebben gepost, dus ik zou waarschijnlijk gewoon de creditcard opnieuw laten uitgeven.

Als die "iemand" een handelaar is, wilt u misschien geen zaken met hem doen als hij zo arrogant is met uw kaarthoudergegevens. Als die persoon iemand is die u vertrouwt, moet u de reden evalueren waarom uw kaart in een e-mail naar u is verzonden en dat proces oplossen.

Yoav Aner
2012-04-23 14:44:12 UTC
view on stackexchange narkive permalink

Voor de zekerheid zou ik je toch aanraden om je kaart te vervangen, maar als het MIJN kaart was, zou ik me er geen zorgen over maken.

Uiteraard moet u het risico voor uw creditcard niet onnodig verhogen, maar met dat gezegd zijnde, vervangt u uw kaart elke keer dat u in een restaurant betaalt en de ober gaat weg met uw kaart en brengt het terug?

Als je kijkt naar het extra risico voor je kaart in dit specifieke geval dat je hebt beschreven, denk ik dat het de moeite waard is om rekening te houden met andere risico's voor je kaart tijdens het gebruik ervan (meestal over een periode van een paar jaar). Andere scenario's van kaartgebruik zijn doorgaans:

  • Restaurants / bars - heb je nog nooit met een creditcard betaald? Hoe gemakkelijk is het om uw kaartgegevens op te schrijven of te onthouden.
  • Callcenters - heeft u uw kaartgegevens nog nooit telefonisch doorgegeven?
  • Winkels (heeft u ooit gemerkt hoeveel winkels CCTV-camera's?)
  • Gemeenschapscentra / sportscholen waar je lid van bent
  • Natuurlijk zoveel websites dat je op geen enkele manier weet wie toegang heeft tot die details

Er zijn veel plaatsen waar iemand zowel uw kaartnummer als de vervaldatum van uw CVV + kan krijgen en in veel van die situaties weten ze misschien al iets over u, zoals uw volledige naam en adres en misschien zelfs je geboortedatum.

Dus als je die risico's, die vrijwel iedereen met een creditcard moet nemen, vergelijkt met deze ene e-mail (en een goed overzicht van @Rakkhi over wat het middelen om deze e-mail te kunnen pakken): ik denk dat de andere lekscenario's veel waarschijnlijker zijn dan die van Gmail of van iemand die aan het netwerk snuffelt.

Josh
2015-10-31 06:15:49 UTC
view on stackexchange narkive permalink

Dit is een oude vraag, maar ik denk dat je de kaart moet annuleren.

Iedereen had het over de kans dat iemand de e-mail onderschepte tijdens het transport. Dat is ... zo onwaarschijnlijk, tenzij je lokale netwerk al MiTMed is.

Het ENORME blootstellingsoppervlak is het e-mailaccount van die andere persoon met hun ongetwijfeld waardeloze wachtwoord of slechte surfgewoonten / virusproblemen; je CC bevindt zich in de map met verzonden berichten en het is supergemakkelijk om automatisch naar die informatie te zoeken en deze via botnet te minen. Je account is ook een probleem, maar je hebt tenminste de controle. U heeft geen controle over het andere account.

En als het is alsof de helft van de mensen met wie ik werk, het voor altijd in de prullenbak zit te wachten op wat crimeware om de informatie te schrapen, samen met alle accountaanmeldingen die nog nooit een wachtwoord hebben gewijzigd. Ooit een Outlook-mailbox gezien met 1,5 G prullenbak? Heh.
symcbean
2016-01-03 05:37:15 UTC
view on stackexchange narkive permalink

Waarom had dit feest jouw pan en cvv?

Als je het aan hen hebt verstrekt, zouden ze pci-dss-compatibel moeten zijn, en gezien mijn beperkte kennis hiervan, staat het niet toe dat pan onversleuteld wordt verzonden of opgeslagen. CVV-gegevens mogen niet worden opgeslagen.

Hoewel, zoals anderen al hebben gezegd, veel SMTP-verkeer kan worden versleuteld, is het erg moeilijk om van tevoren te bepalen of dit het geval is voor een bepaald bericht, maar vrijwel onmogelijk om te weten of een e-mail op een conforme manier wordt opgeslagen door een derde partij.



Deze Q&A is automatisch vertaald vanuit de Engelse taal.De originele inhoud is beschikbaar op stackexchange, waarvoor we bedanken voor de cc by-sa 3.0-licentie waaronder het wordt gedistribueerd.
Loading...