it-swarm-eu.dev

Ist es heutzutage immer noch unsicher, eine Kreditkartennummer per E-Mail zu senden?

Wir alle wissen, dass wir es nicht tun sollen, aber jemand hat meine Kreditkartennummer und meinen Lebenslaufcode per E-Mail an mein Google Mail-Konto gesendet.

Ich frage mich, ob das Risiko so gering ist, dass ich nicht anrufen muss, um meine Karte zu stornieren.

Die E-Mail wird von einem seriösen ISP-E-Mail-Konto über die ADSL-Einwahl (der ISP ist der größte im Land) an meine Google Mail-Adresse gesendet. Ist es sicher anzunehmen, dass der mit dem Backbone verbundene ISP die E-Mail an den Google Mail-Server übermittelt, ohne den ungesicherten PC zu durchlaufen? Ich muss meine Karte also nicht stornieren?

29
Anddd

Wir werden sehen:

Auch wenn das, was Sie sagen, richtig ist und der ISP steinhart ist

  1. Vertraust du diesem "Jemand"? Wenn die Antwort Nein lautet, stornieren Sie die Kreditkarte auf jeden Fall.

  2. Ihre Kreditkartennummer + CVV befindet sich jetzt in dem Ordner "Gesendet" dieser Person. Wenn seine Mailbox gehackt wird, hat der Angreifer Sie CC.

  3. Ihre Kreditkarteninformationen werden für immer auf Google-Servern gespeichert

  4. Ich würde es abbrechen
41
AaronS

E-Mail ist keine sichere Möglichkeit, Kreditkartennummern zu teilen

Die von Ihnen beschriebene Methode ist aus verschiedenen Gründen nicht sicher. Diese beinhalten:

Das Senden von Zahlen im Klartext ist nicht sicher

Bei der von Ihnen beschriebenen Technik könnten Sie Ihre Kartennummern im Klartext gesendet haben (das Senden der E-Mail vom Computer an den ISP). Dies ist nicht sicher. Es hätte auf verschiedene Weise aufgenommen werden können

E-Mails werden an mehreren Stellen gespeichert

Diese Kreditkartennummer kann jetzt an mehreren Stellen vorhanden sein

  • Im Ordner "gesendet" des Computers, von dem es gesendet wurde
  • Auf den ISP-Servern
  • Im Google Mail-Konto

Das sind nur 3 Stellen, an denen es gespeichert werden könnte. Wenn Sie Backups berücksichtigen, können bereits viele, viele Kopien Ihrer Nummern auf der ganzen Welt verteilt sein.

30
Andy Smith

Ich denke, die obigen Antworten sind richtig und das Senden von Kreditkartendaten per E-Mail ist unsicher. Da Sie jedoch eher über das Abfangen während des Transports als über die verschiedenen in den anderen Antworten erwähnten Speicherpunkte besorgt waren, sollten Sie zumindest einen konträren Standpunkt in Betracht ziehen:

Betrachten Sie den Angriffsbaum:

Feste Netzwerke (innerhalb des Unternehmens):

  • Ein Angreifer müsste gegen physische Zugangskontrollen verstoßen (oder ein Fotokopierer sein) oder ein Insider sein
  • Überholen Sie ein NAC (aber die meisten Unternehmen haben dies nicht) oder haben Sie eine Workstation
  • In gepackten Switched-Netzwerken (alle modernen Unternehmen) haben Sie einfach keinen Zugriff auf viel Broadcast-Verkehr
  • Sie müssen also Zugriff auf einen Router oder Switch erhalten, vorausgesetzt, Sie sind kein Netzwerkadministrator. Dies bedeutet, dass Sie eine Sicherheitsfehlkonfiguration oder -anfälligkeit ausnutzen (in Ordnung, es gibt keine Probleme mit Metasploit, die meisten Organisationen sind am Patchen, insbesondere an Netzwerkgeräten), aber sagen wir, Sie hören zu Cisco/Juniper usw. und Patch alle 3 Monate (zumindest die wirklich schlechten Sachen) oder so und Sie authentifizieren zumindest alles bei einem RAS Server)
  • Selbst wenn Sie Zugriff, ARP-Vergiftung oder DNS-Cache-Vergiftung erhalten, haben Sie das nächste Problem: Lautstärke. Es gibt verdammt viele Daten, die auf einen wichtigen Router oder Schlüsselschalter zugreifen. Viele sind jetzt Gigabit-fähig und das bedeutet, aus einem Feuerwehrschlauch zu trinken. Selbst mit einem legitimen Netzwerk-DLP-Monitor benötigen Sie einen leistungsstarken Paketzusammensetzer, gute Hardware und Software und dann die Fähigkeit, einen effektiven Mustervergleich durchzuführen. Es ist also sehr schwierig, die E-Mail des CEO zu erhalten, und das ungerade Passwort ist wahrscheinlich nicht so schlecht
  • Diese Daten sind auch vorübergehend - sobald die Pakete verschwunden sind, sind sie verschwunden (obwohl Administratoranmeldungen häufig vorkommen können), aber es gibt nur ein begrenztes Zeitfenster
  • Alternativ können Sie das tun, worüber ich zuvor gesprochen habe, indem Sie den Sniffer auf die Box setzen, die Sie überwachen möchten, obwohl das gleiche Problem einen vernünftigen Zugriff voraussetzt, der eine falsche Konfiguration oder Sicherheitslücke darstellt, oder das Fehlen von Anti-Malware-Kontrollen. Auch bei den ersten beiden ist es ein viel gezielterer Angriff

Öffentliche Netzwerke:

  • Scheint ein viel einfacheres Ziel zu sein - Sie können sich nicht mehr mit Zugriffskontrollen von Zwischenboxen oder Netzwerkgeräten vertraut machen
  • Aber schauen wir uns etwas wie E-Mail an - die meisten Mail Transfer Agents (MTA), einschließlich großer wie Google, verwenden jetzt optimistisches TLS, was bedeutet, dass der Großteil Ihrer E-Mails, die möglicherweise Ihre vertraulichsten Informationen enthalten, während der Übertragung wahrscheinlich verschlüsselt wird ohne dass Sie mehr tun müssen
  • Sogar gemeinsam genutzte MPLS-Netzwerke haben VLAN Tagging)
  • Wieder haben Sie das Feuerlöschproblem aber millionenfach schlimmer und die vorübergehende Informationsseite
  • Sehen Sie, wie viele tatsächlich ausgenutzte Schadensvorfälle Sie auf datalossdb.org oder in Web-App-Sec-Vorfällen beim Abfangen von Daten während der Übertragung finden

Drahtloses Netzwerk:

  • Corporate: WPA2 ist ein De-facto-Standard, der nicht perfekt ist, aber Sie erhalten Verschlüsselung, ohne mehr zu tun
  • Home/Starbucks usw .: Dies ist ein legitimes Risiko, in der Tat das beste und einzige Beispiel, das OWASP für Nein gibt. 10 Fehlende Transportverschlüsselung ist das Abfangen in einem ungesicherten drahtlosen Heimnetzwerk - zum Teufel können es sogar Google-Autos auf Streetview. Aber auch hier bieten die meisten Unternehmen, die Remotezugriff anbieten, ein VPN an. Benötigen Sie also noch etwas?

Vollständiger Blog-Beitrag: http://www.rakkhis.com/2010/08/why-ssl-is-just-not-that-important.html

Sie sollten die Karte wahrscheinlich immer noch stornieren. Wenn Sie jedoch andere Steuerelemente wie das Limit auf der Karte berücksichtigen und Ihre 3D-Sicherheit aktivieren (z. B. durch ein Visum überprüft), überwachen Sie Ihre Kontoauszüge und die Betrugserkennungssysteme Ihrer Banken. Wenn dies das Risiko innerhalb Ihres Risikoappetits erhöht, können Sie entscheiden, dass das Risiko des Abfangens während des Transports oder der Lagerung so gering ist, dass Sie es akzeptieren können.

12
Rakkhi

Die Mail-Server von Google unterstützen AUTH TLS nach Belieben, sodass die Wahrscheinlichkeit groß ist, dass Ihre Kreditkarte während der Übertragung verschlüsselt wurde. Jetzt haben Sie wieder 'Track 2'-Daten gespeichert, die nicht sein sollten, nämlich Ihr CVV.

Wenn diese Kreditkarte tatsächlich eine Debitkarte ist, würde ich sie mit Sicherheit sofort stornieren. Kreditkarten haben einen ziemlich guten Schutz/Probleme bei betrügerischen Aktivitäten. Ich würde mich auf jeden Fall unwohl fühlen, und auch Sie würden sich wahrscheinlich unwohl fühlen, da Sie die Frage nicht gestellt hätten, also würde ich wahrscheinlich nur die Kreditkarte neu ausstellen lassen.

Wenn dieser "Jemand" ein Händler ist, möchten Sie möglicherweise keine Geschäfte mit ihm machen, wenn er mit Ihren Karteninhaberdaten so unbekümmert ist. Wenn es sich bei dieser Person um eine vertrauenswürdige Person handelt, müssen Sie den Grund für die Übertragung Ihrer Karte in einer E-Mail bewerten und diesen Vorgang beheben.

6
M15K

Ich würde Ihnen trotzdem raten, Ihre Karte zu ersetzen, um auf der sicheren Seite zu sein, aber wenn es MEINE Karte wäre, würde ich mir darüber keine Sorgen machen.

Sie sollten das Risiko für Ihre Kreditkarte natürlich nicht unnötig erhöhen, aber ersetzen Sie Ihre Karte trotz alledem jedes Mal, wenn Sie in einem Restaurant bezahlen und der Kellner mit Ihrer Karte weggeht und sie zurückbringt?

Wenn Sie das zusätzliche Risiko für Ihre Karte in diesem von Ihnen beschriebenen speziellen Fall berücksichtigen, sollten Sie meiner Meinung nach andere Risiken für Ihre Karte während ihrer Verwendung (normalerweise über einen Zeitraum von einigen Jahren) in Betracht ziehen. Andere Szenarien der Kartennutzung umfassen normalerweise:

  • Restaurants/Bars - haben Sie noch nie mit Kreditkarte bezahlt? Wie einfach es ist, Ihre Kartendetails aufzuschreiben oder auswendig zu lernen
  • Call Center - haben Sie Ihre Kartendaten noch nie telefonisch angegeben?
  • Geschäfte (merkt man jemals, wie viele Geschäfte CCTV-Kameras haben?)
  • Gemeindezentren/Fitnessstudios, in denen Sie Mitglied sind
  • Natürlich so viele Websites, dass Sie nicht wissen können, wer Zugriff auf diese Details hat

Es gibt viele Orte, an denen jemand sowohl Ihre Kartennummer als auch das Ablaufdatum von CVV + erhalten kann. In vielen dieser Situationen weiß er möglicherweise bereits etwas über Sie, wie Ihren vollständigen Namen und Ihre Adresse und möglicherweise sogar Ihr Geburtsdatum.

Vergleichen Sie also diese Risiken, die so ziemlich jeder mit einer Kreditkarte eingehen muss, mit dieser eine E-Mail (und einem guten Überblick von @Rakkhi darüber, was es bedeutet, diese E-Mail abrufen zu können): Ich denke Die anderen Leck-Szenarien sind weitaus wahrscheinlicher als von Google Mail oder von jemandem, der das Netzwerk beschnüffelt.

6
Yoav Aner

Dies ist eine alte Frage, aber ich denke, Sie sollten die Karte stornieren.

Alle sprachen über die Wahrscheinlichkeit, dass jemand die E-Mail während des Transports abfängt. Das ist ... sehr unwahrscheinlich, es sei denn, Ihr lokales Netzwerk ist bereits MiTMed.

Die RIESIGE Oberfläche ist das E-Mail-Konto einer anderen Person mit ihrem zweifellos beschissenen Passwort oder schlechten Surfgewohnheiten/Virenproblemen. Ihr CC befindet sich in seinem gesendeten Ordner und es ist super einfach, automatisch nach diesen Informationen zu suchen und sie über das Botnetz abzubauen. Ihr Konto ist auch ein Problem, aber zumindest haben Sie die Kontrolle. Sie haben keine Kontrolle über das andere Konto.

2
Josh

Warum hatte diese Party deine Pfanne und deinen Lebenslauf?

Wenn Sie es ihnen zur Verfügung gestellt haben, sollten sie pci-dss-konform sein, und nach meinem begrenzten Wissen ist es nicht möglich, Pan unverschlüsselt zu senden oder zu speichern. CVV-Daten dürfen nicht gespeichert werden.

Während, wie andere gesagt haben, viel SMTP-Verkehr möglicherweise verschlüsselt ist, ist es sehr schwierig, im Voraus festzustellen, ob dies für eine bestimmte Nachricht der Fall ist, aber es ist praktisch unmöglich zu wissen, ob es sich um eine E-Mail handelt wird von Dritten konform gespeichert.

1
symcbean