it-swarm-vi.com

Ngày nay vẫn không an toàn để gửi email số thẻ tín dụng?

Tất cả chúng ta đều biết không làm điều đó, nhưng ai đó đã gửi email số thẻ tín dụng và mã cvv của tôi đến gmail của tôi.

Tôi tự hỏi nếu rủi ro là rất thấp, tôi không phải gọi để hủy thẻ của mình.

Email được gửi từ tài khoản email của một ISP có uy tín, thông qua quay số ADSL (ISP là lớn nhất trong cả nước) đến địa chỉ gmail của tôi. Có an toàn không khi cho rằng ISP, được kết nối với đường trục, sẽ gửi email đến máy chủ gmail mà không cần thông qua máy tính không bảo mật? Vì vậy, tôi không cần phải hủy thẻ của tôi?

29
Anddd

Hãy xem nào:

Ngay cả khi những gì bạn nói là đúng và ISP vẫn vững chắc như đá

  1. Bạn có tin tưởng "ai đó" này không? Nếu câu trả lời là không - hủy thẻ tín dụng trong mọi trường hợp.

  2. Số thẻ tín dụng của bạn + CVV hiện nằm trong thư mục "Đã gửi" của người này, nếu hộp thư của anh ta bị hack, kẻ tấn công sẽ có CC của bạn.

  3. Thông tin thẻ tín dụng của bạn sẽ được lưu trữ mãi mãi trên các máy chủ của Google

  4. Tôi sẽ hủy nó
41
AaronS

Email không phải là một cách an toàn để chia sẻ số thẻ tín dụng

Phương pháp bạn mô tả không an toàn vì nhiều lý do. Bao gồm các:

Gửi số trong văn bản thuần túy không an toàn

Kỹ thuật bạn mô tả có thể liên quan đến việc bạn gửi số thẻ của mình bằng văn bản thuần túy (hành động gửi e-mail từ máy tính đến ISP). Điều này không an toàn. Nó có thể đã được chọn theo nhiều cách khác nhau

Email vẫn tồn tại ở nhiều nơi

Số thẻ tín dụng đó hiện có thể tồn tại ở nhiều nơi

  • Trong thư mục 'đã gửi' của máy tính được gửi từ đó
  • Trên các máy chủ ISP
  • Trong tài khoản Gmail

Bây giờ chỉ là 3 địa điểm có thể được lưu trữ, khi bạn đăng nhập vào các bản sao lưu tài khoản, có thể đã có rất nhiều, rất nhiều bản sao số của bạn trải khắp thế giới.

30
Andy Smith

Tôi nghĩ rằng các câu trả lời trên là chính xác và gửi chi tiết thẻ tín dụng qua email là không an toàn. Tuy nhiên, vì bạn đặc biệt quan tâm đến việc đánh chặn trong quá cảnh hơn là các điểm lưu trữ khác nhau được đề cập trong các câu trả lời khác, ít nhất là đáng để xem xét một quan điểm trái ngược:

Hãy xem xét cây tấn công:

Mạng cố định (bên trong công ty):

  • Kẻ tấn công sẽ phải vi phạm các điều khiển truy cập vật lý (hoặc là thợ sửa chữa máy photocopy) hoặc là người trong cuộc
  • Vượt qua một NAC (nhưng hầu hết các công ty không có điều này) hoặc có một máy trạm
  • Trong các mạng chuyển mạch đóng gói (tất cả các tập đoàn hiện đại), bạn không có quyền truy cập vào nhiều lưu lượng phát sóng
  • Vì vậy, bạn phải có quyền truy cập vào bộ định tuyến hoặc chuyển đổi, giả sử bạn không phải là quản trị viên mạng, điều này có nghĩa là khai thác cấu hình sai hoặc bảo mật (không có vấn đề gì về metasploit, hầu hết các tổ chức đều cố gắng vá lỗi đặc biệt là các thiết bị mạng) nhưng hãy nói rằng bạn lắng nghe Cisco/Juniper, v.v. và vá 3 tháng một lần (ít nhất là những thứ thực sự tồi tệ) hoặc ít nhất và bạn ít nhất xác thực mọi thứ với máy chủ RAS
  • Ngay cả khi bạn có thể có quyền truy cập, ngộ độc ARP, ngộ độc bộ đệm DNS, thì bạn vẫn gặp vấn đề tiếp theo: âm lượng. Có một địa ngục của rất nhiều dữ liệu truy cập vào một bộ định tuyến hoặc bộ chuyển đổi chính. Nhiều người đã kích hoạt gigabit ngay bây giờ và điều đó có nghĩa là uống từ thuốc chữa cháy. Ngay cả với một màn hình DLP mạng hợp pháp, bạn cần một trình tái cấu trúc gói hiệu suất cao, phần cứng và phần mềm tốt và sau đó là khả năng thực hiện khớp mẫu hiệu quả. Vì vậy, nhận được email của CEO đó rất khó khăn, nhận được mật khẩu kỳ lạ có lẽ không quá tệ
  • Dữ liệu này cũng thoáng qua - một khi các gói đã biến mất (mặc dù thông tin đăng nhập của quản trị viên có thể xảy ra thường xuyên) nhưng có một cửa sổ cơ hội hạn chế
  • Ngoài ra, bạn có thể thực hiện những gì tôi đã nói trước đó, đó là đặt trình thám thính vào hộp bạn muốn theo dõi, mặc dù vấn đề tương tự giả sử truy cập hợp lý là lỗ hổng bảo mật hoặc lỗ hổng bảo mật hoặc thiếu kiểm soát chống phần mềm độc hại. Ngoài ra với hai phần đầu, nó còn là mục tiêu tấn công nhiều hơn

Mạng công cộng:

  • Có vẻ như mục tiêu dễ dàng hơn nhiều - bạn không còn có thể thoải mái về các điều khiển truy cập của hộp trung gian hoặc thiết bị mạng
  • Nhưng hãy xem xét một cái gì đó như email - hầu hết các Đại lý chuyển thư (MTA) bao gồm cả những công ty lớn như Google hiện sử dụng TLS lạc quan, điều đó có nghĩa là, phần lớn email của bạn có thể chứa thông tin nhạy cảm nhất của bạn, có khả năng được mã hóa trong quá cảnh không cần bạn phải làm gì thêm
  • Ngay cả các mạng MPLS được chia sẻ cũng có VLAN
  • Một lần nữa bạn gặp vấn đề về hỏa hoạn nhưng tệ hơn gấp triệu lần và trang thông tin thoáng qua
  • Xem có bao nhiêu sự cố mất mát được khai thác thực tế mà bạn tìm thấy trên datalossdb.org hoặc sự cố giây ứng dụng web khi chặn dữ liệu trong quá trình

Mạng không dây:

  • Corporate: WPA2 là một tiêu chuẩn thực tế, nó không hoàn hảo nhưng bạn đang nhận được mã hóa mà không phải làm gì thêm
  • Home/Starbucks v.v: Đây là một rủi ro hợp pháp trong thực tế là ví dụ tốt nhất và duy nhất mà OWASP đưa ra cho không. 10 thiếu mã hóa giao thông là việc chặn trên một mạng không dây gia đình không bảo mật - thậm chí những chiếc xe Google trên streetview cũng có thể làm được. Nhưng ngay cả ở đây hầu hết/tất cả các tập đoàn cung cấp truy cập từ xa đều cung cấp VPN, vậy bạn có cần thêm gì không?

Bài đăng trên blog đầy đủ: http://www.rakkhis.com/2010/08/why-ssl-is-just-not-that-important.html

Bạn có thể vẫn nên hủy thẻ, nhưng xem xét các biện pháp kiểm soát khác, chẳng hạn như giới hạn trên thẻ, nếu bạn đã bật bảo mật 3D (ví dụ: được xác minh bằng visa), bạn giám sát các tuyên bố của mình, hệ thống phát hiện gian lận ngân hàng của bạn; nếu những điều này làm cho rủi ro trong khẩu vị rủi ro của bạn, bạn có thể quyết định rủi ro bị chặn trong quá cảnh hoặc lưu trữ đủ thấp để bạn chấp nhận.

12
Rakkhi

Các máy chủ thư của Google hỗ trợ AUTH TLS theo sở thích vì vậy rất có thể thẻ tín dụng của bạn đã được mã hóa quá cảnh. Một lần nữa, bây giờ bạn có dữ liệu 'theo dõi 2' được lưu trữ không nên, cụ thể là CVV của bạn.

Nếu thẻ tín dụng này thực sự là thẻ ghi nợ, tôi chắc chắn sẽ hủy ngay lập tức. Thẻ tín dụng có sự bảo vệ khá tốt/không rắc rối về hoạt động lừa đảo. Tôi chắc chắn sẽ cảm thấy khó chịu, và bạn cũng có thể cảm thấy không thoải mái vì bạn sẽ không đăng câu hỏi, vì vậy tôi có thể sẽ chỉ cấp lại thẻ tín dụng.

Nếu "ai đó" là một thương gia, bạn có thể không muốn kinh doanh với họ nếu họ quá ung dung với dữ liệu chủ thẻ của bạn. Nếu người đó là người đáng tin cậy thì bạn cần đánh giá lý do tại sao thẻ của bạn được truyền cho bạn trong e-mail và khắc phục quy trình đó.

6
M15K

Tôi vẫn sẽ khuyên bạn thay thế thẻ của bạn để ở bên an toàn, nhưng nếu đó là thẻ CỦA TÔI, tôi sẽ không lo lắng về điều đó.

Bạn rõ ràng không nên tăng rủi ro cho thẻ tín dụng của mình một cách không cần thiết, nhưng với tất cả những gì đã nói, bạn có thay thế thẻ của mình mỗi khi bạn trả tiền trong nhà hàng và người phục vụ đi cùng với thẻ của bạn và mang lại không?

Khi bạn xem xét rủi ro gia tăng đối với thẻ của bạn trong trường hợp cụ thể mà bạn đã mô tả, tôi nghĩ rằng đáng để xem xét các rủi ro khác đối với thẻ của bạn trong quá trình sử dụng thẻ (thường là trong một vài năm). Các tình huống sử dụng thẻ khác thường bao gồm:

  • Nhà hàng/quán bar - bạn chưa bao giờ thanh toán bằng thẻ tín dụng trước đây? Thật dễ dàng để viết ra hoặc ghi nhớ chi tiết thẻ của bạn
  • Trung tâm cuộc gọi - bạn chưa bao giờ cung cấp chi tiết thẻ của bạn qua điện thoại?
  • Cửa hàng (bạn có bao giờ nhận thấy có bao nhiêu cửa hàng có camera quan sát không?)
  • Trung tâm cộng đồng/phòng tập thể dục nơi bạn là thành viên
  • Tất nhiên rất nhiều trang web mà bạn không có cách nào để biết ai có quyền truy cập vào các chi tiết đó

Có rất nhiều nơi mà ai đó có thể nhận được cả số thẻ của bạn và ngày hết hạn CVV + và trong nhiều tình huống họ có thể biết điều gì đó về bạn như tên và địa chỉ đầy đủ của bạn và thậm chí cả ngày sinh của bạn.

Vì vậy, so sánh những rủi ro đó, mà hầu như bất kỳ ai có thẻ tín dụng đều phải chịu, với điều này một email (và tổng quan tốt từ @Rakkhi về ý nghĩa của việc có thể lấy email này): Tôi nghĩ các kịch bản rò rỉ khác có nhiều khả năng hơn từ Gmail hoặc từ ai đó đánh hơi mạng.

6
Yoav Aner

Đây là một câu hỏi cũ, nhưng tôi nghĩ bạn nên hủy thẻ.

Mọi người đều nói về khả năng ai đó chặn email trong quá cảnh. Đó là ... rất khó xảy ra trừ khi mạng cục bộ của bạn đã được MiTMed.

Bề mặt tiếp xúc HUGE là tài khoản email của người khác với mật khẩu chắc chắn nhảm nhí hoặc thói quen duyệt web/vấn đề vi rút kém; CC của bạn đang ngồi trong thư mục đã gửi của họ và thật dễ dàng để tự động tìm kiếm thông tin đó và khai thác thông qua botnet. Tài khoản của bạn cũng là một vấn đề, nhưng ít nhất bạn có quyền kiểm soát. Bạn không có quyền kiểm soát tài khoản khác.

2
Josh

Tại sao bữa tiệc này có pan và cvv của bạn?

Nếu bạn đã cung cấp cho họ thì họ phải tuân thủ pci-dss và từ hiểu biết hạn chế của tôi về điều này, nó không cho phép pan được gửi hoặc lưu trữ không được mã hóa. Dữ liệu CVV không được lưu trữ.

Trong khi, như những người khác đã nói, rất nhiều lưu lượng SMTP có thể được mã hóa, rất khó xác định trước nếu đây là trường hợp của một tin nhắn nhất định, nhưng hầu như không thể biết liệu email có sẽ được lưu trữ theo cách thức tuân thủ của bên thứ ba.

1
symcbean