アカウント名:
パスワード:
いまどきのオンライン決済だと、その上にカードに紐づけたユーザーIDやパスワード認証なんかもないと決済できんわけだし。
1)どこからかクレジット番号と有効期限を入手2)BOTを使って適当な通販サイトでアカウントを作成、クレジット情報を登録3)その際にセキュリティコードは辞書攻撃で当たっていく4)2~3の手順を複数回行うことで「正しい」セキュリティコードを入手5)本命のサイトでセキュリティコードを不正利用し買い物をする
という流れでしょう。ユーザーIDやパスワード認証は関係ない。
VISAに関して言うなら、VISA認証サービス [visa.co.jp]という、VISA側が一元的に提供しているパスワード認証(IDはクレジット番号に相当するが、決済時に店舗側から送信されるので入力する必要はない)があるので、辞書攻撃等を行った場合は検知できる。・・・逆に言えばVISA認証サービスを使っていないオンラインサイトがある限り上記のような問題は発生するので、そういうオンラインサイトはとっとと淘汰されてしまえ、と思うけどね。
> VISA認証サービス あの画面ってめっちゃしょぼいですよね。レガシー感あるというか。もうちょっとなんとかならんのか。
JCBにもJ/Secure http://www.jcb.co.jp/service/safe-secure/activity/jsecure/ [jcb.co.jp] ってのがありますが、ここに飛ばされる決済サイトは多くない印象・・・
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
CVV/CVC2は (スコア:0)
CID 使ってる AMEXでも 4桁の数字。
カード番号と有効期限までわかってるケースなら、残りの3桁か4桁の数字なんて、素人でも総当たりで調査出来るレベルの規模だとわかる話
いまどきのオンライン決済だと、その上にカードに紐づけたユーザーIDやパスワード認証なんかもないと決済できんわけだし。
Re:CVV/CVC2は (スコア:1)
1)どこからかクレジット番号と有効期限を入手
2)BOTを使って適当な通販サイトでアカウントを作成、クレジット情報を登録
3)その際にセキュリティコードは辞書攻撃で当たっていく
4)2~3の手順を複数回行うことで「正しい」セキュリティコードを入手
5)本命のサイトでセキュリティコードを不正利用し買い物をする
という流れでしょう。ユーザーIDやパスワード認証は関係ない。
VISAに関して言うなら、VISA認証サービス [visa.co.jp]という、VISA側が一元的に提供しているパスワード認証(IDはクレジット番号に相当するが、決済時に店舗側から送信されるので入力する必要はない)があるので、辞書攻撃等を行った場合は検知できる。
・・・逆に言えばVISA認証サービスを使っていないオンラインサイトがある限り上記のような問題は発生するので、そういうオンラインサイトはとっとと淘汰されてしまえ、と思うけどね。
Re: (スコア:0)
通販サイトのアカウントじゃない。
VISA 認証は簡易なものだけど、他のカード会社の認証だとクレジットカードとは別に ID とパスワード必須ですよ。
当然ですけど、カード番号(がわかる情報)は店舗から送信されても、パスワードやIDは送信されたりしません。
Re: (スコア:0)
> VISA認証サービス
あの画面ってめっちゃしょぼいですよね。レガシー感あるというか。
もうちょっとなんとかならんのか。
Re: (スコア:0)
JCBにもJ/Secure http://www.jcb.co.jp/service/safe-secure/activity/jsecure/ [jcb.co.jp] ってのがありますが、ここに飛ばされる決済サイトは多くない印象・・・