web-dev-qa-db-ja.com

最近でもクレジットカード番号をメールで送るのは危険ですか?

私たちは誰もそれをしないことを知っていますが、誰かが私のクレジットカード番号とCVVコードを私のGmailにメールしました。

リスクが非常に低いので、カードをキャンセルするために電話をする必要がないかと思います。

電子メールは、信頼できるISPの電子メールアカウントから、ADSLダイヤルアップ(ISPは国内で最大)を介して私のGmailアドレスに送信されます。安全でないPCを経由せずに、バックボーンに接続されているISPがメールをGmailサーバーに配信すると想定しても安全ですか?カードをキャンセルする必要はありませんか?

networkemail
29
Anddd

どれどれ:

あなたが言うことが正しく、ISPが岩のようにしっかりしているとしても

  1. この「誰か」を信頼していますか?回答が「いいえ」の場合-いかなる場合でもクレジットカードをキャンセルしてください。

  2. クレジットカード番号+ CVVはこの人の[送信済み]フォルダにあります。彼のメールボックスがハッキングされる場合、攻撃者はCCを取得します。

  3. クレジットカード情報はGoogleサーバーに永久に保存されます

  4. キャンセルします
41
AaronS

メールはクレジットカード番号を共有する安全な方法ではありません

説明する方法は、さまざまな理由で安全ではありません。これらには以下が含まれます:

プレーンテキストでの番号の送信は安全ではありません

あなたが説明したテクニックは、あなたがあなたのカード番号をプレーンテキストで送ることを含んでいたかもしれません(コンピュータからISPへ電子メールを送る行為)。これは安全ではありません。さまざまな方法で入手できた可能性があります

メールは複数の場所に保持されます

そのクレジットカード番号は複数の場所に存在できるようになりました

  • 送信元のコンピューターの「送信済み」フォルダー内
  • ISPサーバー上
  • Gmailアカウント

これで、保存できる場所は3か所になりました。バックアップを考慮に入れると、すでに多数のコピーが世界中に広まっている可能性があります。

30
Andy Smith

上記の答えは正しいと思います。クレジットカードの詳細をメールで送信するのは安全ではありません。ただし、他の回答で言及されているさまざまなストレージポイントではなく、輸送中の傍受について具体的に懸念していたため、少なくとも逆張りの視点を検討する価値があります。

攻撃ツリーについて考えてみましょう。

固定ネットワーク(企業内):

  • 攻撃者は、物理的なアクセス制御に違反する(またはコピーを修理する)か、インサイダーになる必要があります。
  • NACを通過する(ただし、ほとんどの企業にはこれがない)か、ワークステーションを持っている
  • パックドスイッチネットワーク(現代のすべての企業)では、大量のブロードキャストトラフィックにアクセスできません。
  • したがって、ネットワーク管理者でないと想定すると、ルーターまたはスイッチにアクセスする必要があります。これは、セキュリティの設定ミスや脆弱性を悪用することを意味します(メタスプロイトは存在し、ほとんどの組織は特にネットワークデバイスへのパッチ適用に苦労しています)。 Cisco/Juniperなど、3か月ごとにパッチを適用し(少なくとも本当に悪いもの)、少なくともRASサーバーに対してすべてを認証する
  • アクセス、ARPポイズニング、DNSキャッシュポイズニングをすべて取得できる場合でも、次の問題があります。それはボリュームです。主要なルーターやキースイッチにアクセスする大量のデータの地獄があります。多くは現在ギガビット対応であり、それは消防用ホースから飲むことを意味します。正当なネットワークDLPモニターを使用している場合でも、高性能のパケット再構成ツール、優れたハードウェアとソフトウェア、そして効果的なパターンマッチングを実行する機能が必要です。だから、そのCEOのメールは非常にタフで、奇妙なパスワードはおそらくそれほど悪くない
  • このデータも一時的です-パケットがなくなると(管理者ログインは頻繁に発生する可能性がありますが)失われますが、機会の制限があります
  • 別の方法として、監視したいボックスにスニファを配置するという先に述べた方法を実行することもできますが、これも、設定の誤りやセキュリティの脆弱性、またはマルウェア対策の制御の欠如である適切なアクセスを想定した同じ問題です。また、最初の2つでは、より標的を絞った攻撃になります。

パブリックネットワーク:

  • はるかに簡単なターゲットのようです-中間ボックスまたはネットワークデバイスのアクセス制御についてはもはや快適ではありません
  • しかし、メールのようなものを見てみましょう-Googleのような大きなものを含むほとんどのMail Transfer Agents(MTA)は、今や楽観的なTLSを使用しています。もう何もすることなく
  • 共有MPLSネットワークにもVLANタグ付け
  • 再び、あなたはファイアホースの問題を抱えていますが、100万倍悪いと一時的な情報ページ
  • 転送中のデータの傍受に関するdatalossdb.orgまたはweb app secインシデントで実際に悪用された損失インシデントの数を確認する

無線ネットワーク:

  • 企業:WPA2は事実上の標準であり、完全ではありませんが、何もせずに暗号化を取得しています
  • 自宅/スターバックスなど:これは実際に正当なリスクであり、OWASPが提供する最良かつ唯一の例です。 10トランスポート暗号化の欠如は、セキュリティで保護されていないホームワイヤレスネットワークの傍受です-ストリートビューのGoogle車でさえそれを実行できます。しかし、ここでもリモートアクセスを提供するほとんど/すべての企業がVPNを提供しているので、さらに何か必要ですか?

完全なブログ投稿: http://www.rakkhis.com/2010/08/why-ssl-is-just-not-that-important.html

おそらくカードをキャンセルする必要がありますが、カードの制限などの他のコントロールを考慮して、3Dセキュア(ビザによる検証など)を有効にしている場合は、ステートメント、銀行の不正検出システムを監視します。これらがあなたのリスクアペタイト内のリスクを生む場合、あなたは輸送中の傍受のリスクを判断するかもしれません、またはあなたが受け入れるのに十分なほど低いです。

12
Rakkhi

GoogleのメールサーバーはAUTH TLSを優先的にサポートしているため、クレジットカードが転送中に暗号化された可能性が高くなります。繰り返しますが、これで「トラック2」データを保存できなくなりました。つまり、CVVにしてはなりません。

このクレジットカードが実際にデビットカードである場合、私は間違いなくすぐにキャンセルします。クレジットカードは詐欺的な活動についてかなり良い保護/手間のかからない。私は確かに不安を感じるでしょう。質問を投稿しなかったので、あなたもおそらく不安を覚えるでしょう。そのため、クレジットカードを再発行してもらうだけでしょう。

その「誰か」が商人である場合、彼らがあなたのカード会員データにとても無頓着であるなら、あなたは彼らと取引をしたくないかもしれません。その人が信頼できる人物である場合は、カードが電子メールで送信された理由を評価し、そのプロセスを修正する必要があります。

6
M15K

安全を確保するためにカードを交換することをお勧めしますが、それがMYカードであれば、心配する必要はありません。

クレジットカードへのリスクを不必要に増加させるべきではないことは明らかですが、レストランで支払いをするたびにウェイターがあなたのカードを持ち帰ってそれを取り戻すたびに、カードを交換しますか?

あなたが説明したこの特定のケースであなたのカードに追加されたリスクを考えるとき、私はあなたのカードの使用中(通常は数年に及ぶ)の他のリスクを考慮する価値があると思います。カード使用の他のシナリオには、通常、次のものが含まれます。

  • レストラン/バー-これまでにクレジットカードで支払いをしたことはありませんか?カードの詳細を書き留めたり覚えたりするのはどれほど簡単か
  • コールセンター-電話でカードの詳細を教えたことはありますか?
  • ショップ(CCTVカメラを設置しているショップの数に気づいたことがありますか?)
  • あなたがメンバーであるコミュニティセンター/ジム
  • もちろん、あなたがそれらの詳細に誰がアクセスできるかを知る方法がないほど多くのウェブサイト

カード番号とCVV +有効期限の両方を入手できる場所はたくさんありますが、そのような状況の多くでは、氏名や住所、さらには生年月日など、すでにあなたについて何か知っているかもしれません。

ですから、クレジットカードを持っている人ならだれでも受けなければならないリスクを、これと比較してみてください1通のメール(そして、このメールを取得できることの意味についての@Rakkhiからの優れた概要):他のリークシナリオは、Gmailから、またはネットワークを盗聴している誰かからよりもはるかに可能性が高いです。

6
Yoav Aner

これは古い質問ですが、カードをキャンセルする必要があると思います。

誰もが誰かが転送中にメールを傍受する可能性について話しました。つまり、ローカルネットワークが既にMiTM化されていない限り、その可能性は非常に低いです。

巨大な露出面とは、他の人のメールアカウントに間違いなくパスワードが間違っているか、閲覧習慣やウイルスの問題があることです。 CCは送信済みフォルダーにあり、ボットネットを介してその情報を自動的に検索してマイニングするのは非常に簡単です。あなたのアカウントも問題ですが、少なくともあなたがコントロールできます。他のアカウントを制御することはできません。

2
Josh

このパーティーにパンとCVVがあったのはなぜですか?

それらを提供した場合、それらはpci-dssに準拠している必要があり、これに関する私の限られた知識から、パンを暗号化せずに送信または保存することはできません。 CVVデータは保存しないでください。

他の人が言ったように、多くのSMTPトラフィックmayは暗号化されますが、これが特定のメッセージに当てはまるかどうかを事前に判断することは非常に困難ですが、電子メールかどうかを知ることは事実上不可能です第三者によって準拠した方法で保存されます。

1
symcbean