在线零售商要求提供信用卡和驾驶执照副本

信息安全 信用卡 欺诈罪
2021-08-22 16:58:03

这个周末,我从一家在线零售商处订购了一个零件(300-400 美元)。不久之后,我收到了他们销售团队的一封电子邮件,内容类似于以下内容:

您好,我们已收到您的订单 #12345,它是由我们的欺诈警报系统触发的。请向我们发送您在交易中使用的驾驶执照和信用卡的副本。你我把任何个人信息都涂黑了,比如 DL#,但请留下信用卡、姓名和地址的最后 4 位数字。

这与在实体店出示您的身份证没有什么不同。谢谢你的合作,哈哈哈。

我对他们的回应基本上是:

您好,我很乐意通过发卡银行进行任何验证,但很遗憾通过电子邮件将我的 DL 和信用卡副本发送给在线零售商,我感到不舒服。

他们的回复基本上重申了他们的第一封电子邮件,但坚称他们已经掌握了所有这些信息,只需要验证即可。所以我最终取消了订单并从不同的零售商那里购买了相同的零件。他们确实是合法的零售商。他们的名字在论坛上响起,没有任何问题,我找到了他们,他们没有找到我。

我的问题是,我是否出于对我来说合理的事情提出了问题?

我脑海中闪过的几点:

1) 在进行比平时更大的购买之前,我的信用卡上有“欺诈警报”。它们以我的银行发送的电子邮件的形式出现,要求我确认我是否进行了特定购买。有时他们甚至要求我打电话核实。此“欺诈警报”仅来自零售商。我的银行没有提出这个问题。

2) 就我而言,我永远不应该给我的信用卡拍照。即使我屏蔽了重要的细节,原始照片也可能会同步到云端,这意味着我必须确保它在所有地方都被删除,并相信我们的谷歌/苹果/亚马逊霸主确实删除了它。我确信有办法缓解这种情况,但我跳过的每一圈都是犯错的机会。

3)如果我是骗子,我很确定我可以通过 Photoshop 伪造一张信用卡和相应的 ID,我可以用我的手机拍一张糟糕的照片并满足他们。我认为他们的过程没有太多安全性。

4个回答

那些在这里做出回应的人,可能没有在网上卖过任何东西,也不知道零售商必须处理的信用卡欺诈数量。

一些欺诈者使用别人的信用卡购物是很常见的。在这些情况下,商家的保护为零,不仅支付处理的费用以及争议费用。此外,如果争议率增加,他们的信用卡处理器会将他们列入黑名单并基本上将他们淘汰出局。

因此,几乎所有每月处理超过 100 万美元的零售商都会使用某种欺诈预警软件。市场上有很多,他们作为 SaaS 公司正在大赚一笔。一旦交易被触发为潜在欺诈,商家将尝试通过多种方法进行验证。

最常用的方法之一是要求提供驾驶执照/身份证和隐藏数字的信用卡副本。几乎没有人可以用这条信息做任何事情。你是在放弃,没有任何机密。它只是证明您拥有该卡并且您的名字在卡上。如果收费有争议,这些图像可以用来证明商家努力验证交易和转移责任。许多著名公司都采用这种方法:AirBnB、Agoda/Priceline、Lyft 都曾使用过。

这不是万无一失的,例如有人用 ID 窃取您的钱包也可以完成此验证。许多商家愿意承担这个风险。希望有更好的方法。

是的,这对我来说听起来很粗略。在这里相信你的直觉很好。像这样的欺诈检测显然通常发生在银行方面。如果出于某种原因,零售商正在进行严重的欺诈检测(对于销售价值可能较小的商品的商店来说,这会让我感到惊讶),那么在不告诉您触发欺诈警报的原因的情况下要求提供您的身份证明副本闻起来很奇怪。它可能是合法的 - 毕竟,他们确实指示您混淆图像的有价值部分 - 但不提供细节很奇怪。

这是理性的回应。安全总比后悔好。

任何包含与您的信用卡类似的收货地址(软件购买可能没有信息)的商品购买都可以由发卡行验证。

第1点并不总是正确的,因为它取决于升级的程度,即像Visa/Master/AMEX这样的中间人可能与银行有延迟清关问题。因此,处理此问题的合乎逻辑的方法是致电银行支持。

第 2 点有效,切勿通过电子邮件发送信用卡/身份证复印件。商家至少应该提供一个加密的网络界面让您上传。如果他们由于成本和佣金问题(某些支付网关非常昂贵)而无法做到这一点,那么他们应该要求您联系您的银行,而不是执行这种阴暗的过程,即使这是合法的请求。

作为拥有小型在线业务的人,银行和我们的支付处理商要求我们这样做,以防止欺诈。如果有人使用被盗的卡并且您报告了它,这不是银行退还您,而是业务。企业失去了产品和金钱,甚至经常收到退款。

这可能对企业造成很大的破坏,因此我们需要采取所有必要的预防措施。如果您真的担心,您可以发送一张照片,用手指或一张纸阻止个人信息,这样就不会被盗。

我们真正需要的只是看到名称匹配。

其它你可能感兴趣的问题
上一篇我如何监控渗透测试人员正在做什么? 下一篇为什么不发送明文恢复密码?