¿Correo electrónico solicitando el CVV, dos días después de realizar una compra?

Question

Hace dos noches hice una compra en una web y no me pidió el CVV. Ahora, me he despertado con un correo electrónico pidiéndolo. Todavía no ha pasado por mi cuenta. ¿Es esto tan turbio como lo estoy haciendo ver?

Este es el texto del mensaje de correo electrónico que he recibido:

Querida Katelyn,

Estamos listos para procesar su pedido pero necesitamos los tres dígitos adicionales dígitos adicionales que se encuentran en el reverso de su tarjeta de crédito, en la franja donde firma su nombre. Por favor, facilítenos este número para que podamos agilizar su pedido.

Answer 1

NO responda directamente al correo electrónico con sus datos.

No puedo recalcarlo lo suficiente: NO responda al correo electrónico con ninguna información valiosa. Si decide enviarles el número CVV para procesar el pedido, vaya a su sitio web (no haga clic en un enlace del correo electrónico) y póngase en contacto con ellos a través de un correo electrónico de atención al cliente o del número de "Contacto" y pregúnteles directamente si han solicitado esta información. Si lo han hecho, llámalos por teléfono y comparte el CVV de esa manera, en lugar de hacerlo por correo electrónico.

Esto parece que podría ser phishing, en el que un estafador se hace pasar por alguien con quien has hecho negocios y te pide información que puede ser valiosa. Por lo general, se trata de un nombre de usuario y una contraseña del banco ("Su contraseña ha sido comprometida. Haga clic aquí para restablecerla". -- Nunca siempre haga clic allí). Si somos sinceros, no piense en esto es phishing (un estafador necesitaría los datos de tu CC para que el CVV tuviera alguna utilidad), pero podría serlo y es importante desarrollar hábitos seguros.

Un comerciante utiliza ese código para procesar el pago y verificar la posesión de la tarjeta si no se la entregan en persona (es decir, en las compras por Internet). Por lo tanto, si no lo pidieron antes, probablemente fue un error y, como mínimo, les expone a una mayor responsabilidad. Si es la primera vez que aceptan pagos con tarjeta de crédito, es posible que todavía lo estén averiguando todo y se trate de un error honesto. Pero ese es el tipo de cosas que deberían averiguar después de realizar un par de pedidos (por supuesto, un estafador también lo tendría claro, así que no lo consideraría una bandera roja en sí). (NOTA: Al parecer, el requisito no es tan fuerte como pensé en un principio (ver comentarios), pero yo consideraría que necesitar el CVV es la norma )

Podría estar dispuesto a concederles el beneficio de la duda si se trata de una operación nueva y pequeña (y en los últimos meses ha aumentado el número de empresas basadas en Internet por razones obvias), pero sería extremadamente cauteloso a la hora de responder directamente al correo electrónico con cualquier información personal o remotamente valiosa por las razones expuestas anteriormente. Ponte en contacto con la empresa directamente a través del sitio web para confirmarlo, preferiblemente con una llamada telefónica. No es perfecto, pero es mucho más seguro con un poco más de esfuerzo.

Answer 2

Puede que no sea un indicio de fraude, pero sí de incompetencia o amateurismo por parte de la empresa. Este no es el flujo normal para aceptar pagos con tarjeta de crédito -- ¿acaban de empezar a hacerlo?

Dice Ben Miller:

También podrían haber estado manejando mal el código si lo hubieran pedido en la caja.

Pero pedirlo en la caja es probablemente parte de un proceso de software estándar. Pedirlo en un correo electrónico sugiere un proceso inusual, manual, de "rodaje", que probablemente sea menos seguro que uno estándar. Aunque no seas responsable de ningún fraude, es una señal de que la empresa también puede ser poco profesional en otros aspectos (calidad, servicio al cliente).

Answer 3

Incluso si se trata de una petición inocente es equivocada .

La normativa PCI-DSS (de alcance mundial) es extremadamente estricta en cuanto a la gestión de los datos de las tarjetas. Algunos valores no pueden conservarse en absoluto y otros deben cifrarse tanto en tránsito como en reposo. El CVV es uno de los campos más protegidos, así que el hecho de que te pidan que lo envíes por correo electrónico ya es una infracción.

Como mínimo, no saben lo que hacen. Esto podría captarse mediante un formulario web seguro (la mayoría de las pequeñas empresas se limitan a pedir a un servicio de adquisición que les aloje la página), pero la captación por correo electrónico definitivamente no está en marcha.

Answer 4

En mi opinión, esto depende realmente del sitio web. Si el sitio web no es realmente una tienda, pero es - por ejemplo - una tienda de juegos local (local a algún lugar, de todos modos) que vende tarjetas de Magic/Pokémon en línea, algo así, donde toman su información a través de la página web, pero en realidad introducirlo en su sistema de punto de venta a mano, entonces esto es una cosa totalmente razonable. No es una buena manera de hacer las cosas -ninguna parte de un sistema en el que introduzcan información en el TPV que hayan recogido de otra manera lo es, y es casi seguro que no cumple con la forma en que deberían hacer las cosas- pero no es sorprendente Tampoco, y probablemente no sea fraudulento en ese caso; simplemente se olvidaron de exigir el código durante el proceso de compra.

Sin embargo, si el sitio web pareciera estar completo con la información de pago incorporada, entonces sería más cauteloso. Eso hace que me suene mucho más a phishing.

Sin embargo, teniendo en cuenta todo esto, parece poco probable que se trate de phishing, y muy probable que se trate de una tienda que... no es muy segura. Yo no les devolvería el correo electrónico, sino que llame a ellos. Si son como yo describo y hacen las cosas manualmente en su sistema de punto de venta, entonces es posible que puedas manejar esto por teléfono. Evitar que el código CVV esté en el correo electrónico es uno de los principales beneficios, y en segundo lugar, confirmar que el correo electrónico realmente vino de ellos poniéndose en contacto con ellos a través de un método diferente (y buscar su número de teléfono en línea, no utilice el correo electrónico que le enviaron).

Answer 5

Añadiendo a la respuesta de @davidfulton...

El CVV es un indicador de "prueba de posesión". Si conoce el CVV, significa que la tarjeta está en su mano y que lo está leyendo de la tarjeta. Nunca debe quedar registrado de forma permanente en ningún sitio. Cuando hablo con un agente de atención al cliente y me piden el CVV, mi respuesta es "¿lo estás anotando o lo estás introduciendo en un ordenador?". Si es lo primero, no se lo doy.

Un sistema de procesamiento de tarjetas de crédito correctamente construido manejará el CVV adecuadamente (y estos sistemas son auditados todo el tiempo). Escribirlo en un papel o ponerlo en un correo electrónico es un error.

Cualquiera que conozca su CVV y su número de tarjeta puede demostrar que "posee" su tarjeta.

Y sí, PCI-DSS es muy Es muy exigente en cuanto a lo que un comerciante puede hacer con la información de la tarjeta y, en particular, con la información del CVV. Nunca deberían pedirte que la pongas en un correo electrónico.