it-swarm-tr.com

Günümüzde kredi kartı numaralarını e-postayla göndermek hala güvenli değil mi?

Bunu yapmamayı hepimiz biliyoruz, ancak birisi kredi kartı numaramı ve cvv kodumu gmail'e gönderdi.

Riskin bu kadar düşük olup olmadığını merak ediyorum, kartımı iptal etmek için aramam gerekmiyor.

E-posta, saygın bir İSS'nin e-posta hesabından, ADSL çevirmeli (ISS, ülkenin en büyüğü) aracılığıyla gmail adresime gönderiliyor. Omurgaya bağlı ISS'nin güvenli olmayan bilgisayardan geçmeden e-postayı gmail sunucusuna teslim edeceğini varsaymak güvenli midir? Kartımı iptal etmeme gerek yok mu?

29
Anddd

Bakalım:

Söyledikleriniz doğru ve İSS kaya gibi sağlam olsa bile

  1. Bu "birine" güveniyor musun? Yanıt hayırsa - her durumda kredi kartını iptal edin.

  2. Kredi kartı numaranız + CVV'niz artık bu kişinin "Gönderildi" klasöründe, posta kutusu saldırıya uğramışsa saldırgan size CC gönderecektir.

  3. Kredi kartı bilgileriniz sonsuza kadar Google sunucularında saklanacak

  4. İptal ederdim
41
AaronS

E-posta, kredi kartı numaralarını paylaşmanın güvenli bir yolu değildir

Açıkladığınız yöntem çeşitli nedenlerle güvenli değildir. Bunlar:

Düz metinde sayı gönderme güvenli değildir

Açıkladığınız teknik, kart numaralarınızı düz metin olarak göndermenizi içerebilir (e-postayı bilgisayardan İSS'ye gönderme eylemi). Bu güvenli değil. Çeşitli şekillerde toplanmış olabilir

E-postalar birden fazla yerde saklanıyor

Bu kredi kartı numarası artık birden fazla yerde bulunabilir

  • Gönderildiği bilgisayarın 'gönderilen' klasöründe
  • ISS sunucularında
  • Gmail hesabında

Şimdi bu sadece depolanabileceği 3 yer, yedekleri hesaba kattığınızda, çok sayıda olabilir, sayılarınızın birçok kopyası dünyaya yayılmış olabilir.

30
Andy Smith

Yukarıdaki yanıtların doğru olduğunu ve e-posta üzerinden kredi kartı bilgilerini göndermenin güvenli olmadığını düşünüyorum. Bununla birlikte, diğer yanıtlarda belirtilen çeşitli depolama noktalarından ziyade transit olarak müdahale konusunda özellikle endişelendiğiniz için, en azından karşı bir bakış açısı düşünmeye değer:

Saldırı ağacını düşünün:

Sabit ağlar (şirket içi):

  • Saldırganın fiziksel erişim kontrollerini ihlal etmesi (veya fotokopi tamircisi olması) veya içeriden biri olması gerekir.
  • Bir NAC'yi geçin (ancak çoğu şirket buna sahip değildir) veya bir iş istasyonuna sahip
  • Paket anahtarlamalı ağlarda (tüm modern şirketler) çok fazla yayın trafiğine erişiminiz yok
  • Bu nedenle, bir ağ yöneticisi olmadığınızı varsayarak bir yönlendiriciye veya anahtara erişmeniz gerekir; bu, bir güvenlik yanlış yapılandırmasından veya güvenlik açığından yararlanma anlamına gelir (iyi bir sorun metasploit yoktur, çoğu kuruluş özellikle ağ cihazlarını yamalamayı emer), ancak dinlediğinizi varsayalım Cisco/Juniper vs ve her 3 ayda bir yama (en azından gerçekten kötü şeyler) ya da benzeri ve en azından her şeyi bir RAS sunucuya doğrulayın)
  • Erişim, ARP zehirlenmesi, DNS önbellek zehirlenmesi ne olursa olsun, o zaman bir sonraki probleminiz var: hacim. Büyük bir yönlendiriciye veya anahtar anahtarına erişen çok fazla veri var. Birçoğu şimdi gigabit etkinleştirildi ve bu bir itfaiyeden içmek anlamına geliyor. Yasal bir ağ DLP monitörü ile bile, yüksek performanslı bir paket yeniden birleştirici, iyi donanım ve yazılım ve daha sonra etkili desen eşleştirme yapma yeteneğine ihtiyacınız vardır. Bu CEO'nun e-postasını çok zorlaştırmak, garip şifreyi almak o kadar da kötü değil
  • Bu veriler de geçicidir - paketler gittikten sonra giderler (yönetici girişleri sık sık olsa da), ancak sınırlı bir fırsat penceresi vardır
  • Alternatif olarak, daha önce bahsettiğim şeyi, sniffer'ı izlemek istediğiniz kutuya koyabilirsiniz, yine de aynı sorun, yanlış bir yapılandırma veya güvenlik açığı veya kötü amaçlı yazılım önleme denetimlerinin eksikliği olan makul erişim varsayar. Ayrıca ilk iki ile çok daha hedefli bir saldırı

Genel ağlar:

  • Çok daha kolay bir hedef gibi görünüyor - artık ara kutuların veya ağ cihazlarının erişim kontrolleri konusunda rahat edemezsiniz
  • Ancak e-posta gibi bir şeye bakalım - Google gibi büyük olanlar da dahil olmak üzere çoğu Posta Aktarım Aracısı (MTA) artık iyimser TLS kullanıyor, bu da e-postanızın tartışmasız en hassas bilgilerinizi elinde tutan çoğunluğunun transit olarak şifrelenmesi anlamına geliyor. daha fazla bir şey yapmadan
  • Paylaşılan MPLS ağlarında bile VLAN etiketleme vardır
  • Yine itfaiye sorunu var ama milyon kat daha kötü ve geçici bilgi sayfası
  • Veri aktarımı sırasında datalossdb.org veya web uygulaması güvenlik olaylarında kaç gerçek istismar kayıp olayı bulduğunuzu görün

Kablosuz ağ:

  • Kurumsal: WPA2 fiili bir standarttır, mükemmel değildir, ancak başka bir şey yapmadan şifreleme elde edersiniz
  • Home/Starbucks vb.: Bu meşru bir risktir ve aslında OWASP'nin hayır için verdiği en iyi ve tek örnektir. 10 güvenli şifreleme eksikliği güvenli olmayan bir ev kablosuz ağında müdahaledir - sokak görünümündeki Google arabaları bile bunu yapabilir. Ama burada bile uzaktan erişim sağlayan çoğu şirket bir VPN sağlıyor, bu yüzden daha fazlasına ihtiyacınız var mı?

Tam blog yazısı: http://www.rakkhis.com/2010/08/why-ssl-is-just-not-that-important.html

Muhtemelen kartı iptal etmelisiniz, ancak kartta limit gibi diğer kontrolleri göz önünde bulundurursanız, 3D güvenli (örneğin vize tarafından doğrulanmış) etkinleştirilmişse, beyanlarınızı, banka sahtekarlık tespit sistemlerinizi izlersiniz; bunlar risk iştahınızdaki riski oluşturuyorsa, transit veya depolamadaki müdahale riskinin kabul edebileceğiniz kadar düşük olduğuna karar verebilirsiniz.

12
Rakkhi

Google'ın posta sunucuları, tercih edilen şekilde AUTH TLS'yi desteklediğinden, kredi kartınızın transit şifreli olma şansı yüksektir. Yine, artık olmaması gereken 'parça 2' verisine sahipsiniz, yani CVV'niz.

Bu kredi kartı aslında bir banka kartıysa, kesinlikle hemen iptal ederim. Kredi kartları hileli faaliyetler konusunda oldukça iyi bir korumaya sahiptir. Kesinlikle huzursuz hissederim ve siz de soruyu yayınlayamayacağınız için muhtemelen huzursuz hissedersiniz, bu yüzden muhtemelen sadece kredi kartını yeniden aldım.

Bu "bir kişi" bir satıcıysa, kart sahibi verilerinizle bu kadar kısırsa, onlarla iş yapmak istemeyebilirsiniz. Bu kişi güvenilen bir kişiyse, kartınızın size bir e-postada neden aktarıldığını değerlendirmeniz ve bu işlemi düzeltmeniz gerekir.

6
M15K

Hala güvenli tarafta olmak için kartınızı değiştirmenizi tavsiye ederim, ama eğer benim kartım olsaydı, endişelenmezdim.

Belli ki kredi kartınızın riskini gereksiz yere artırmamalısınız, ancak tüm bunlarla birlikte, bir restoranda her ödeme yaptığınızda ve garson kartınızla birlikte gidip geri getirdiğinizde kartınızı değiştiriyor musunuz?

Açıkladığınız bu özel durumda kartınıza eklenen riski düşündüğünüzde, kartın kullanımı sırasında (genellikle birkaç yıl boyunca) diğer riskleri göz önünde bulundurmaya değer olduğunu düşünüyorum. Kart kullanımının diğer senaryoları genellikle şunları içerir:

  • Restoranlar/Barlar - Daha önce hiç kredi kartı ile ödeme yapmadınız mı? Kart bilgilerinizi yazmak veya ezberlemek ne kadar kolay
  • Çağrı Merkezleri - kart bilgilerinizi telefon üzerinden hiç vermediniz mi?
  • Mağazalar (Kaç dükkanın CCTV kamerası olduğunu fark ettiniz mi?)
  • Üyesi olduğunuz topluluk merkezleri/spor salonları
  • Tabii ki o kadar çok web sitesi var ki bu ayrıntılara kimin erişebileceğini bilmenin hiçbir yolu yok

Birinin hem kart numaranızı hem de CVV + son kullanma tarihinizi alabileceği birçok yer vardır ve bu gibi durumların çoğunda tam adınız ve adresiniz ve hatta doğum tarihiniz gibi sizin hakkınızda bir şeyler biliyor olabilirler.

Yani kredi kartı olan herkesin alması gereken riskleri karşılaştırmak bu bir e-posta (ve @Rakkhi'den bu e-postayı alabilmenin ne anlama geldiğine dair iyi bir genel bakış): Sanırım diğer sızıntı senaryolarının Gmail'den veya ağı koklayan birinden çok daha olasıdır.

6
Yoav Aner

Bu eski bir soru, ama bence kartı iptal etmelisin.

Herkes, bir kişinin transit olarak e-postayı ele geçirme olasılığından bahsetti. Yerel ağınız zaten MiTM olmadıkça, bu çok olası değildir.

BÜYÜK maruz kalma yüzeyi, şüphesiz berbat şifreleri veya kötü tarama alışkanlıkları/virüs sorunları ile diğer kişinin e-posta hesabının; CC'niz gönderilen klasöründe oturuyor ve bu bilgileri otomatik olarak aramak ve botnet aracılığıyla benimsemek çok kolay. Hesabınız da bir sorun, ama en azından sizin kontrolünüz var. Diğer hesap üzerinde kontrolünüz yok.

2
Josh

Neden bu parti pan ve cvv'nizi aldı?

Onlara verdiyseniz, pci-dss uyumlu olmalılar ve bu konudaki sınırlı bilgimden dolayı, panın şifrelenmeden gönderilmesine veya saklanmasına izin vermiyor. CVV verileri saklanmamalıdır.

Diğerlerinin söylediği gibi, çok sayıda SMTP trafiği mayıs şifrelenmiş olsa da, belirli bir mesaj için durumun bu olup olmadığını önceden belirlemek çok zordur, ancak bir e-postanın olup olmadığını bilmek neredeyse imkansızdır üçüncü bir tarafça uyumlu bir şekilde saklanacaktır.

1
symcbean