¿Es posible utilizar por fuerza bruta o accidentalmente la tarjeta de crédito de otra persona?

Question

Revisando mis extractos bancarios, me di cuenta de que varios meses antes Netflix me había cobrado unas 13 libras esterlinas en mi tarjeta de crédito, pero sólo por un único pago (no recurrente). Sabía que el pago no podía haberlo hecho yo, así que me puse en contacto con Netflix, que suspendió la cuenta a la que estaba conectado y me reembolsó el dinero. Sin embargo, lo que me sigue molestando es cómo sucedió esto.

En primer lugar, si alguien hubiera robado los datos de mi tarjeta de crédito, ¿por qué sólo los utilizaría para un único pago de Netflix y no, por ejemplo, para comprar cosas por Internet?

En segundo lugar, esta tarjeta de crédito en particular sólo la utilizo para compras en tiendas fuera de línea y nunca la he utilizado en ningún lugar o país dudoso. Por lo tanto, no veo cómo pudieron robar mi información en primer lugar.

Lo que me pregunto es si es prácticamente posible que alguien haya utilizado mi tarjeta de crédito por accidente, debido a que los números son similares. Dado que la primera parte del número de la tarjeta de crédito no es aleatoria, el número de números de tarjeta diferentes es significativamente menor de lo que se podría suponer, teniendo en cuenta los 16 dígitos completos. Todavía hay cientos de millones de combinaciones, y además hay diferentes fechas de validez también, pero, por otro lado, hay una gran cantidad de compras con tarjeta de crédito que se hacen todo el tiempo, lo que hace probable que un evento improbable ocurra de vez en cuando...

¿O podría haber una explicación más sencilla?

Answer 1

Ni siquiera cerca.

Comencemos con el dígito de control el último dígito del número de su tarjeta de crédito. Se calcula a partir de una fórmula pública, y muchas páginas web tienen sencillos Javascripts para comprobar (localmente, sin necesidad de red) si el número de la tarjeta tiene checksum. Sería bastante fácil incrementar el resto del número y obtener cualquier número de tarjeta de crédito válido de 16 dígitos, muchos de ellos asociados a cuentas reales.

Por eso el sitio web también quiere:

• caducidad
• CVV2 o como sea que llamen al número de 3 dígitos que aparece en el reverso, generalmente
• Código postal, normalmente
• nombre en la cuenta

Y el cargo será rechazado a menos que todos estos coincidan razonablemente. El CVV2 se utiliza exactamente para lo que dice en la lata, como prueba de que tienes la tarjeta en la mano. Pero también lo son las otras cifras .

• La caducidad se utiliza como el CVV2, añadiendo efectivamente 5 bits de entropía.
• El código postal es una "mini autenticación de 2 factores", es algo que conozca que no está en la tarjeta. Por eso, si pierdes una tarjeta de crédito y un malhechor la encuentra, la utilizará en los lugares donde el delincuente pueda pasarla, y no en Internet. Esto tiene un valor limitado si estás en una ciudad pequeña.
• El nombre está físicamente en la tarjeta, pero ayuda a los comerciantes a correlacionar a la persona con la que están interactuando, con el nombre de la tarjeta. Esa es una de las razones por las que la TSA quiere ver que tu identificación con foto se corresponde con el nombre del billete. Significa que si Frank Abagnale intenta volar con la tarjeta de crédito robada de Tyrone Justice, se ve obligado a descaradamente libro con el nombre de Frank como pasajero y el nombre de Tyrone como tarjeta de crédito. Y eso le da al departamento de seguridad de la aerolínea alguna señal con la que trabajar.

¿Podrían intercambiar accidentalmente dos dígitos con dos espacios de diferencia en la tarjeta, dando el mismo dígito de control? Claro. ¿Podrían tener accidentalmente la misma caducidad? Tal vez. ¿Podrían también ¿difundir su CVV en lugar del tuyo? No. ¿Podrían también ¿dedo gordo su código postal? No. ¿Podrían también ¿Gordito su apellido? No sin una tabla Ouija.

Ahora, Netflix puede tener un acuerdo en el que no necesita pedir el ZIP. En ese caso, un empleado de 9 dólares/hora que maneje tu tarjeta físicamente podría inscribirse con la información que haya sacado de la tarjeta. O bien, usted podría estar en una pequeña ciudad donde el ZIP es bastante adivinar. Lo más probable es que esto haya sucedido así, un simple delito menor F2F.

Answer 2

Los números de las tarjetas de crédito no se utilizan de forma consecutiva, sino que llevan incorporada una protección de tipo checksum.
Esto significa que un número aleatorio tiene una probabilidad muy pequeña de constituir un número válido, y un simple cambio de dígitos dará como resultado un número no válido.

Esto evita la mayor parte del uso accidental del número de otra persona, pero, por supuesto, alguien que conozca el algoritmo de comprobación -o que sea lo suficientemente paciente y diligente como para probar muchos números- podrá producir tarde o temprano un número válido, con el mes y el año de validez correspondientes.

Lo más probable es que haya sido un abuso intencionado, pero sí, es extraño que lo haya usado sólo una vez. Tal vez produce muchos números de esta manera, y evita la detección al limitar el uso a una sola vez - la mayoría de la gente pasaría por alto una sola carga pequeña, o no se molestaría (si es que incluso miran su lista de cargos).

Answer 3

¿Podría ser una transacción válida de alguien conocido?

En realidad no es motivo suficiente para acusar a nadie, pero este tipo de transacciones (completamente válidas, pequeñas pero inexplicables) a veces son realizadas con la tarjeta legítima por alguien que no es el propietario de la tarjeta, a menudo alguien a quien el propietario conoce - por ejemplo, un niño, o un amigo durante el consumo de alcohol / marihuana / lo que sea. Puede ser "oh, realmente quiero esto, necesito pedirle un poco a Bjorn - está ocupado pero probablemente no le importará", o puede ser más siniestro, por ejemplo, he visto a gente disputando retiros en cajeros automáticos con chip (por lo que es muy poco probable que tengan una tarjeta clonada), afirmando que la tarjeta siempre estuvo con ellos, pero reconociendo a un miembro de la familia cuando se les muestra el video del cajero.

Una compra de Netflix ciertamente está dentro del rango que puedo imaginar (en ciertos escenarios, para ciertas mentalidades) que alguien haga sin pensar mucho sólo porque su billetera estaba disponible.

Answer 4

El uso fuera de línea no necesariamente aumenta la seguridad, siempre existe la posibilidad de que tus números sean sustraídos por cualquiera que maneje tu tarjeta. Esto parece más probable que alguien genere los números de la tarjeta o que se produzca un error tipográfico accidental, pero cualquiera de estos casos también es posible.

Una errata sería bastante rara porque tendrían que escribir al menos dos de los números y hacer que sigan pasando la suma de comprobación (algoritmo Luhn u otro) y el código de seguridad (CVV) tendría que seguir coincidiendo (bastante seguro de que Netflix utiliza el código CVV).

Generar números también es posible, las reglas no son demasiado complejas, pero hay muchas posibilidades como mencionas. Podría ser que utilizasen Netflix para comprobar la validez de los números generados antes de probarlos en compras rentables, pero me imagino que hay opciones más sencillas, ya que sólo se pueden probar tantos números antes de que los sitios web se pongan quisquillosos, especialmente los sitios web importantes como Netflix. Según mi breve investigación, parece que es mucho más fácil obtener números de tarjeta reales que generarlos, así que yo pondría esto en la categoría de plausible pero no probable.

Para mí, el uso único a Netflix se siente amateur o accidental. El típico cargo fraudulento sería para algo fácilmente convertible en efectivo, como tarjetas de regalo o algo tangible. Así que apuesto por un estafador inexperto y poco avispado que tuvo acceso a tu tarjeta en algún momento, pero todos nos quedamos con la duda.

Answer 5

¿alguien podría haber utilizado mi tarjeta de crédito por accidente, debido a números similares?

No.

esta tarjeta de crédito en particular sólo la utilizo para compras en tiendas fuera de línea y nunca la he utilizado en ningún lugar o país dudoso. Por lo tanto, no veo cómo pudieron robar mi información en primer lugar.

Los datos también pueden ser robados en las tiendas donde se paga fuera de línea. Desde el simple uso de desnatadores a los compromisos de los proveedores. Véase, por ejemplo, el famoso Violación del objetivo hace cuatro años, el recientemente revelado compromiso en los hoteles Marriott o la reciente edición en Clientes de NEXTEP .

si alguien hubiera robado los datos de mi tarjeta de crédito, ¿por qué sólo los utilizaría para un único pago de Netflix y no, por ejemplo, para comprar cosas por Internet?

En el caso de las violaciones de tarjetas, los ladrones suelen tener muchos más números de tarjetas de los que pueden abusar (ya sea directamente o por los que les compran trozos de tarjetas). También hay que tener en cuenta que los datos de las tarjetas de crédito robadas pierden valor de un día para otro, y un número excesivo de tarjetas hace que la brecha sea más fácil de encontrar.

En este caso, el cargo de NetFlix puede haber sido simplemente una transacción para verificar que los datos de la tarjeta de crédito robada eran válidos. Otras formas que utilizan los delincuentes para esto son hacer pequeñas donaciones a conocidas organizaciones sin ánimo de lucro.

Dado que hubo un uso no autorizado de su tarjeta, debe contacta con tu banco para avisarles y que te lo cambien .

El hecho de que sólo hayas encontrado una transacción no autorizada no significa que no haya más en el futuro. Además, el contrato de tu tarjeta de crédito probablemente te obliga a notificar rápidamente cualquier uso indebido de tu tarjeta.