it-swarm-id.com

Apakah masih aman untuk mengirim email nomor kartu kredit saat ini?

Kita semua tahu untuk tidak melakukannya, tetapi seseorang mengirimi saya nomor kartu kredit dan kode cvv saya ke gmail saya.

Saya bertanya-tanya apakah risikonya sangat rendah sehingga saya tidak perlu menelepon untuk membatalkan kartu saya.

Email dikirim dari akun email ISP terkemuka, melalui dialup ADSL-nya (ISP adalah yang terbesar di negara ini) ke alamat gmail saya. Apakah aman untuk berasumsi bahwa ISP, yang terhubung ke tulang punggung, akan mengirimkan email ke server gmail tanpa melalui pc yang tidak aman? Jadi saya tidak perlu membatalkan kartu saya?

29
Anddd

Ayo lihat:

Bahkan jika apa yang Anda katakan benar dan ISP solid seperti rock

  1. Apakah Anda mempercayai "seseorang" ini? Jika jawabannya tidak - batalkan kartu kredit.

  2. Nomor kartu kredit Anda + CVV sekarang ada di folder "Terkirim" orang ini, jika kotak suratnya akan diretas, penyerang akan meminta Anda CC.

  3. Info kartu kredit Anda akan disimpan selamanya di server Google

  4. Saya akan membatalkannya
41
AaronS

Email bukan cara aman untuk membagikan nomor kartu kredit

Metode yang Anda gambarkan tidak aman karena berbagai alasan. Ini termasuk:

Mengirim angka dalam teks biasa tidak aman

Teknik yang Anda gambarkan mungkin melibatkan Anda mengirim nomor kartu Anda dalam teks biasa (tindakan mengirim e-mail dari komputer ke ISP). Ini tidak aman. Itu bisa diambil dengan berbagai cara

Email ada di beberapa tempat

Nomor kartu kredit itu sekarang dapat ada di banyak tempat

  • Di folder 'terkirim' komputer dari mana ia dikirim
  • Di server ISP
  • Di akun Gmail

Sekarang hanya ada 3 tempat yang bisa disimpan, ketika Anda masuk ke akun cadangan sudah ada banyak, banyak salinan dari nomor Anda tersebar di seluruh dunia.

30
Andy Smith

Saya pikir jawaban di atas benar dan mengirim rincian kartu kredit melalui email tidak aman. Namun karena Anda secara khusus khawatir tentang intersepsi dalam perjalanan daripada berbagai titik penyimpanan yang disebutkan dalam jawaban lain, itu setidaknya layak untuk mempertimbangkan sudut pandang pelawan:

Pertimbangkan pohon serangan:

Jaringan tetap (di dalam perusahaan):

  • Seorang penyerang harus melanggar kontrol akses fisik (atau menjadi tukang fotokopi) atau menjadi orang dalam
  • Dapatkan NAC (tetapi sebagian besar perusahaan tidak memiliki ini) atau memiliki workstation
  • Dalam jaringan switched yang dikemas (semua perusahaan modern) Anda tidak memiliki akses ke banyak lalu lintas siaran
  • Jadi, Anda harus mendapatkan akses ke router atau switch, dengan anggapan Anda bukan admin jaringan, ini berarti mengeksploitasi kesalahan konfigurasi atau kerentanan keamanan (tidak ada masalah dengan metasploit, sebagian besar organisasi mengisap patching terutama perangkat jaringan) tetapi katakanlah Anda mendengarkan Cisco/Juniper dll dan tambal setiap 3 bulan (setidaknya hal yang sangat buruk) atau lebih dan Anda setidaknya mengotentikasi semuanya ke server RAS server
  • Bahkan jika Anda bisa mendapatkan akses, keracunan ARP, keracunan cache DNS apa pun, maka Anda memiliki masalah berikutnya: volume. Ada banyak sekali data yang mengakses router utama atau saklar kunci. Banyak gigabit diaktifkan sekarang dan itu berarti minum dari firehose. Bahkan dengan monitor DLP jaringan yang sah Anda memerlukan paket reassembler kinerja tinggi, perangkat keras dan perangkat lunak yang baik dan kemudian kemampuan melakukan pencocokan pola yang efektif. Jadi menerima email CEO itu sangat sulit, mendapatkan kata sandi yang aneh mungkin tidak terlalu buruk
  • Data ini juga sementara - setelah paket hilang mereka hilang (meskipun admin login sering terjadi) tetapi ada jendela kesempatan terbatas
  • Atau Anda bisa melakukan apa yang saya bicarakan sebelumnya yang meletakkan sniffer pada kotak yang ingin Anda monitor, lagi-lagi masalah yang sama dengan asumsi akses masuk akal yang merupakan kesalahan konfigurasi atau kerentanan keamanan, atau kurangnya kontrol anti-malware. Juga dengan dua yang pertama itu adalah serangan yang jauh lebih bertarget

Jaringan publik:

  • Sepertinya target yang jauh lebih mudah - Anda tidak lagi bisa merasa nyaman dengan kontrol akses dari kotak perantara atau perangkat jaringan
  • Tapi mari kita lihat sesuatu seperti email - kebanyakan Agen Transfer Surat (MTA) termasuk yang besar seperti Google sekarang menggunakan TLS optimis yang berarti, sebagian besar email Anda yang bisa dibilang menyimpan informasi Anda yang paling sensitif, kemungkinan akan dienkripsi dalam perjalanan tanpa Anda harus melakukan apa pun lagi
  • Bahkan jaringan MPLS bersama memiliki penandaan VLAN
  • Sekali lagi Anda memiliki masalah firehose tetapi satu juta kali lebih buruk dan halaman informasi sementara
  • Lihat berapa banyak insiden kerugian aktual yang dieksploitasi yang Anda temukan di datalossdb.org atau insiden aplikasi web detik tentang intersepsi data dalam perjalanan

Jaringan nirkabel:

  • Corporate: WPA2 adalah standar de-facto, tidak sempurna tetapi Anda mendapatkan enkripsi tanpa melakukan apa-apa lagi
  • Home/Starbucks dll: Ini adalah risiko sah yang sebenarnya merupakan contoh terbaik dan satu-satunya yang diberikan OWASP untuk tidak. 10 kekurangan enkripsi transport adalah intersepsi pada jaringan nirkabel rumah tanpa jaminan - bahkan mobil Google di streetview dapat melakukannya. Tetapi bahkan di sini sebagian besar/semua perusahaan yang menyediakan akses jarak jauh menyediakan VPN, jadi apakah Anda memerlukan sesuatu yang lebih?

Posting blog lengkap: http://www.rakkhis.com/2010/08/why-ssl-is-just-not-that-important.html

Anda mungkin masih harus membatalkan kartu, tetapi mempertimbangkan kontrol lain seperti batas kartu, jika Anda mengaktifkan 3D secure (mis. Diverifikasi oleh visa), Anda memantau laporan Anda, sistem deteksi penipuan bank Anda; jika ini membuat risiko sesuai dengan selera Anda, Anda dapat memutuskan risiko intersepsi dalam perjalanan atau penyimpanan cukup rendah untuk Anda terima.

12
Rakkhi

Server email Google mendukung AUTH TLS seperti yang disukai sehingga ada kemungkinan kartu kredit Anda dalam enkripsi terenkripsi. Sekali lagi, sekarang Anda memiliki data 'lacak 2' yang tidak seharusnya disimpan, yaitu CVV Anda.

Jika kartu kredit ini sebenarnya kartu debit, saya pasti akan segera membatalkan. Kartu kredit memiliki perlindungan/kerumitan yang cukup baik tentang aktivitas penipuan. Saya pasti akan merasa tidak nyaman, dan Anda juga mungkin merasa tidak nyaman karena Anda tidak akan memposting pertanyaan, jadi saya mungkin akan mengeluarkan kartu kredit kembali.

Jika "seseorang" itu adalah pedagang, Anda mungkin tidak ingin melakukan bisnis dengan mereka jika mereka begitu angkuh dengan data pemegang kartu Anda. Jika orang itu adalah seseorang yang dipercaya maka Anda perlu mengevaluasi alasan mengapa kartu Anda dikirimkan kepada Anda melalui surel dan memperbaiki proses itu.

6
M15K

Saya masih akan menyarankan Anda untuk mengganti kartu Anda agar berada di sisi yang aman, tetapi jika itu kartu MY, saya tidak akan khawatir tentang hal itu.

Anda jelas tidak seharusnya meningkatkan risiko kartu kredit Anda tidak perlu, tetapi dengan semua yang dikatakan, apakah Anda mengganti kartu Anda setiap kali Anda membayar di restoran dan pelayan pergi dengan kartu Anda dan membawanya kembali?

Ketika Anda mempertimbangkan risiko tambahan pada kartu Anda dalam kasus khusus yang Anda uraikan ini, saya pikir ada baiknya mempertimbangkan risiko lain pada kartu Anda selama penggunaannya (biasanya selama beberapa tahun). Skenario lain dari penggunaan kartu biasanya meliputi:

  • Restoran/Bar - pernahkah Anda membayar dengan kartu kredit sebelumnya? Betapa mudahnya menuliskan atau mengingat detail kartu Anda
  • Call Center - pernahkah Anda memberikan detail kartu melalui telepon?
  • Toko (apakah Anda pernah melihat berapa banyak toko yang memiliki kamera CCTV?)
  • Pusat komunitas/pusat kebugaran tempat Anda menjadi anggota
  • Tentu saja begitu banyak situs web yang Anda tidak memiliki cara untuk mengetahui siapa yang memiliki akses ke detail tersebut

Ada banyak tempat di mana seseorang bisa mendapatkan nomor kartu Anda dan tanggal kedaluwarsa CVV + dan dalam banyak situasi mereka mungkin sudah tahu sesuatu tentang Anda seperti nama lengkap dan alamat Anda dan mungkin bahkan tanggal lahir Anda.

Jadi membandingkan risiko-risiko itu, yang harus diambil oleh siapa saja dengan kartu kredit, dengan ini satu email (dan ikhtisar yang bagus dari @Rakkhi tentang apa artinya bisa mengambil email ini): Saya pikir skenario kebocoran lainnya jauh lebih mungkin daripada dari Gmail atau dari seseorang yang mengendus jaringan.

6
Yoav Aner

Ini pertanyaan lama, tetapi saya pikir Anda harus membatalkan kartu.

Semua orang berbicara tentang kemungkinan seseorang mencegat email dalam perjalanan. Itu ... sangat tidak mungkin kecuali jaringan lokal Anda sudah menjadi MiTMed.

Permukaan paparan BESAR adalah akun email orang lain dengan kata sandi jelek atau kebiasaan menjelajah/masalah virus yang tidak diragukan lagi; CC Anda duduk di folder terkirim dan sangat mudah untuk secara otomatis mencari informasi itu dan menambangnya melalui botnet. Akun Anda juga bermasalah, tetapi setidaknya Anda memiliki kendali. Anda tidak memiliki kendali atas akun lain.

2
Josh

Mengapa pesta ini memiliki panci dan cvv Anda?

Jika Anda memberikannya kepada mereka maka mereka harus sesuai pci-dss, dan dari pengetahuan saya yang terbatas tentang ini, itu tidak memungkinkan panci dikirim atau disimpan tanpa enkripsi. Data CVV tidak boleh disimpan.

Sementara, seperti yang dikatakan orang lain, banyak lalu lintas SMTP boleh dienkripsi, sangat sulit untuk menentukan terlebih dahulu apakah ini adalah kasus untuk pesan yang diberikan, tetapi hampir tidak mungkin untuk mengetahui apakah email akan disimpan secara patuh oleh pihak ketiga.

1
symcbean