Kartu kredit rentan terhadap serangan tipe brute force

 (metin.nextc.org)
1 poin oleh GN⁺ 1 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • PCI DSS membatasi penyimpanan dan penampilan data kartu, tetapi hanya dengan informasi yang diizinkan seperti BIN, 4 digit terakhir, dan tanggal kedaluwarsa, pelaku tetap dapat melanjutkan upaya pembayaran tambahan di merchant lain
  • Dari akun yang dibobol, penyerang memperoleh status apakah kartu masih dapat digunakan, nama bank, nomor kartu yang dimasking, dan tanggal kedaluwarsa lengkap melalui halaman 3D Secure bank, lalu sekitar 6 jam kemudian memicu upaya autentikasi di beberapa merchant
  • Nomor kartu pembayaran (PAN) memiliki struktur IIN, pengenal akun, dan digit pemeriksa Luhn; bila respons gateway pembayaran membedakan nilai mana yang salah, menebak PAN, tanggal kedaluwarsa, dan CVV menjadi lebih mudah
  • Kecepatan pengujian nyata sekitar 6 kali per detik, atau sekitar 2 kali per detik per API; karena IP berubah lewat proxy dan nomor kartu juga terus berbeda, merchant sulit mendeteksi brute force ini
  • Penyerang memanfaatkan merchant dengan pengecualian 3D Secure untuk memindahkan seluruh limit yang sudah diturunkan ke dompet elektronik; dana dikembalikan lewat chargeback, tetapi pembatasan laju CVC2 di bank hanya sebatas pemblokiran beberapa menit

Apa yang dicegah PCI DSS dan apa yang masih tersisa

  • PCI DSS adalah standar industri yang mendefinisikan langkah keamanan minimum saat menangani data perbankan sensitif seperti kartu kredit, dan membatasi penyimpanan serta penampilan agar informasi lengkap tidak terekspos meskipun akun dibobol atau data kartu jatuh ke pihak ketiga
  • Berdasarkan PCI DSS 4, informasi yang boleh ditampilkan di layar atau struk adalah PAN yang dimasking, nama pemegang kartu, service code, dan tanggal kedaluwarsa; untuk PAN, yang boleh ditampilkan adalah BIN dan sampai 4 digit terakhir
  • Informasi yang tidak boleh ditampilkan dibatasi pada data track lengkap, kode verifikasi kartu, dan PIN/PIN block
  • Baik situs e-commerce maupun struk fisik dapat terdampak masalah yang sama; bukan hanya pembobolan akun, sebagian informasi kartu juga bisa bocor dari struk yang tidak dimusnahkan

Alur insiden

  • Korban menggunakan kartu kredit virtual dengan batas limit, telah mengaktifkan 3D Secure sebagai autentikasi dua langkah, dan hanya menyimpan kartu di merchant yang dikenal
  • Setelah akun lama yang dibuat bertahun-tahun lalu dibobol, SMS percobaan pembelian dari situs yang menyimpan kartu itu datang; korban segera login, mengganti kata sandi, memeriksa apakah ada pembelian, lalu menurunkan limit kartu virtual secara drastis
  • Alasannya tidak langsung menonaktifkan kartu sepenuhnya adalah karena ia menilai informasi lengkap kartu belum bocor
  • Sekitar 6 jam setelah pembobolan awal, muncul 3–4 percobaan SMS 3D Secure dari beberapa merchant yang tidak pernah digunakan; semuanya gagal, tetapi kemudian menjadi petunjuk penting untuk memahami metode serangan
  • Beberapa menit kemudian, saat menelepon bank untuk menonaktifkan kartu sepenuhnya, penyerang memakai merchant lain yang tidak menggunakan 3D Secure untuk menarik seluruh limit yang sudah diturunkan lewat beberapa transaksi
  • Uang dipindahkan ke dompet elektronik di marketplace yang memungkinkan pencairan tunai; korban mengajukan chargeback dan bank mengembalikan dana tersebut

Informasi yang didapat penyerang

  • Penyerang mencoba melakukan pembayaran dari akun yang dibobol, melihat halaman 3D Secure bank, lalu membatalkan pesanan dan pergi
  • Dalam proses ini, ia memperoleh fakta bahwa kartu masih aktif, nama bank, nomor kartu yang dimasking, dan tanggal kedaluwarsa lengkap
  • Secara umum, untuk menyelesaikan pembayaran kartu dengan normal, dibutuhkan 16 digit PAN lengkap, tanggal kedaluwarsa, nomor CVC2, dan informasi seperti nomor ponsel untuk 3D Secure
  • Dalam serangan nyata ini, hanya dengan sebagian informasi, upaya tambahan tetap bisa dilanjutkan di merchant lain

Struktur PAN dan kemungkinan ditebak

  • Nomor kartu pembayaran (PAN) adalah pengenal kartu yang digunakan pada kartu kredit, kartu debit, stored-value card, dan gift card
  • PAN memiliki skema penomoran umum sesuai ISO/IEC 7812, dengan struktur internal sebagai berikut
    • Issuer Identification Number (IIN) 6 digit atau 8 digit
    • pengenal akun individual hingga 12 digit
    • 1 digit pemeriksa yang dihitung dengan algoritme Luhn
  • Bank korban tidak mengizinkan pembayaran hanya dengan nomor kartu; PAN, tanggal kedaluwarsa, dan CVV harus disertakan bersama
  • Beberapa bank dan gateway pembayaran dapat memproses pembayaran hanya dengan nomor kartu, dan inilah bagian yang paling sulit dipercaya oleh korban

Kondisi brute force yang dibentuk oleh respons gateway pembayaran

  • Bank korban menolak pembayaran ketika nilai yang diperlukan tidak ada atau salah, tetapi menginformasikan bagian mana yang salah melalui kode respons
  • Contoh responsnya sebagai berikut
    • “Bukan kartu kredit yang valid”
    • “Kartu telah kedaluwarsa”
    • “Informasi lain semuanya benar, tetapi CVV salah”
  • Respons seperti ini dapat dipakai penyerang untuk membedakan nilai mana di antara nomor kartu, tanggal kedaluwarsa, dan CVV yang benar atau salah
  • Dalam serangan nyata, penyerang menguji sekitar 6 kali per detik, atau sekitar 2 kali per detik per API
  • Kecepatan ini sulit dideteksi dari sisi merchant, karena IP asal berubah lewat proxy, nomor kartu juga tidak sama karena sifat brute force, dan frekuensi permintaan sangat rendah

Peran merchant pengecualian 3D Secure

  • Bank memiliki daftar merchant pengecualian 3D Secure; merchant ini dianggap tepercaya oleh bank sehingga dapat menerima pembayaran dan langganan tanpa 3D Secure
  • Merchant seperti ini menanggung tanggung jawab bila terjadi chargeback
  • Penyerang menggunakan merchant tanpa 3D Secure untuk memindahkan dana dalam batas limit kartu ke dompet elektronik

Tindak lanjut dan masalah yang tersisa

  • Dana dikembalikan dengan cepat melalui chargeback
  • Sudah diberitahukan ke merchant bahwa sistem yang mengubah pembayaran kartu menjadi uang tunai digunakan untuk penarikan tanpa izin, tetapi merchant menjawab agar menanyakan hal itu ke bank
  • Ke situs e-commerce juga disampaikan bahwa menampilkan 10 digit nomor kartu bersama tanggal kedaluwarsa mempermudah serangan, tetapi situs tersebut tidak menganggapnya sebagai kerentanan dan menjawab bahwa itu sengaja dirancang sesuai standar PCI DSS 3 dan 4
  • Orang-orang yang membangun API pembayaran atau bekerja di industri pembayaran tidak terkejut, dan beberapa merchant menjawab bahwa transaksi bahkan bisa dilakukan tanpa tanggal kedaluwarsa
  • Setelah insiden ini, pihak yang sebelumnya menguangkan pembayaran kartu tidak lagi memprosesnya tanpa 3D Secure
  • Bank korban masih menerapkan pembatasan laju yang relatif longgar terhadap brute force CVC2, dan ketika batas itu terpicu, kartu terkait hanya diblokir sementara selama beberapa menit

Bacaan terkait

1 komentar

 
GN⁺ 1 jam lalu
Opini Hacker News

  • Dari kasus-kasus terkait, bisa jadi penulis asli sebenarnya mengejar penyebab yang keliru. Baru-baru ini muncul tagihan kecil tidak sah terkait FB/Meta di kartu kredit, dan tampaknya seseorang sedang menguji apakah kartunya terdeteksi
    Setelah menelepon penerbit kartu untuk membatalkan transaksi dan menutup kartu, lalu menerima kartu baru dengan nomor kartu, tanggal kedaluwarsa, dan CVV baru, tagihan penipuan FB/Meta kembali muncul bahkan di kartu baru yang belum pernah dipakai. Ternyata penyebabnya adalah dompet digital, dan meski kartu ditutup, nomor kartu dan detail lain bisa dipindahkan lewat dompet digital
    Saat menelepon lagi dan meminta semua dompet digital dinonaktifkan, ternyata ada 99 buah, dan itu tidak bisa dilakukan secara online sehingga harus lewat petugas call center. Meski sudah dijelaskan bahwa semua pembayaran berulang akan direset, tetap harus secara eksplisit meminta agar kartu dan semua dompet digital dibatalkan, dan harus menunggu sampai 20 menit. Menutup kartu bisa berbeda dari yang dibayangkan orang, dan karena pembayaran berulang sangat menguntungkan bagi penerbit kartu, penutupan tampaknya berarti kehilangan pendapatan yang besar

    • Entah itu benar-benar “dompet digital” atau bukan, tetapi konsep pembaruan detail kartu setelah kartu baru diterbitkan memang ada dan merupakan layanan yang disediakan penerbit kartu
      Blog Stripe: https://stripe.com/resources/more/what-is-a-card-account-upd...
    • Saya juga kena tagihan 200 euro dari Meta/FB, dan masih menunggu kartu baru
    • Dengan privacy.com, kita bisa membuat kartu sendiri dan, kalau mau, memakai satu kartu untuk tiap layanan
    • Soal “tidak ada cara online untuk menonaktifkan semua dompet digital” sangat bergantung pada bank. Misalnya Bank of America memungkinkan melihat dan menghapus kartu yang ditambahkan ke dompet digital lewat situs web
    • Dalam kasus saya, hampir pasti begitu. Semuanya terjadi dalam sehari, dan kartu yang dipakai adalah kartu virtual yang hanya digunakan di beberapa situs e-commerce besar
      Kalau bocornya dari tempat lain, rasanya pelaku tidak perlu sampai mencoba login ke akun e-commerce yang tidak terkait

  • Tulisan ini tidak membahas bagian yang paling penting. Settlement, yaitu persetujuan bank untuk memindahkan uang dari rekening saya ke merchant, sepenuhnya terpisah dari otorisasi
    Otorisasi adalah EMV modern, yaitu autentikasi “chip dan PIN”, CVV online, serta berbagai mekanisme yang dipakai bank untuk melindungi diri dari penipuan dan secara sekunder juga melindungi merchant
    Jaringan pembayaran bisa saja menerima ketika Amazon berkata, “ini nomor kartunya, dan orang ini katanya membayar kami $400.” Itu hanya settlement dan akan masuk ke tagihan. Tanpa kriptografi canggih, tanpa mekanisme setingkat PIN 4 digit, tanpa verifikasi sekelas mengingat nama gadis ibu—cukup “oke, kami percaya.” Itulah sebabnya konsumen harus membaca tagihan kartu kredit dan menggugat transaksi yang tidak dikenal, kalau tidak ya akan tetap ditagihkan
    Jaringan pembayaran hampir tidak punya insentif untuk peduli kalau konsumen dirugikan. Kalau tidak ada sengketa, semua pihak senang; kalau ada sengketa, tinggal ditagihkan balik ke merchant, jadi bukan masalah mereka

    • “Kalau disengketakan tinggal ditarik lagi dari merchant dan selesai” memang benar untuk pembayaran online tanpa 3DS, tetapi tidak berlaku untuk pembayaran tatap muka atau pembayaran online dengan 3DS. Dalam kasus seperti itu biasanya penerbit yang menanggung tanggung jawab

  • Pemroses pembayaran tidak membiarkan enumerasi kartu atau card testing dengan brute force atas seluruh nomor kartu, dan jaringan kartu juga menjatuhkan sanksi keras kepada merchant dan pemroses pembayaran yang tidak mencegahnya

    1. https://stripe.com/newsroom/news/card-testing-surge
    2. https://stripe.com/blog/the-ml-flywheel-how-we-continually-i...
    3. https://docs.stripe.com/disputes/monitoring-programs#enumera...
    • Kalau memakai beberapa API verifikasi kartu, frekuensi percobaannya jadi sangat rendah. Jika PAN-nya berbeda-beda dan IP asalnya juga berbeda-beda, saya tidak yakin bagaimana itu bisa dikaitkan
      Enumerasi CVC2 untuk satu PAN itu cerita yang berbeda
    • Sampai sekitar 6 tahun lalu, Stripe sama sekali tidak menyamarkan nomor kartu di log API

  • Ini justru bukti bahwa infrastruktur anti-penipuan benar-benar melindungi. Bank menanggung kerugian penipuan dan uangnya juga dikembalikan
    Pada akhirnya sistem bank memang peduli pada kerugian penipuan, dan juga sangat mahir dalam mendeteksinya. Sistem pembayaran kartu begitu besar sehingga sangat sulit diubah, jadi kalau tidak ada bukti kuat bahwa perubahan tertentu benar-benar menurunkan tingkat penipuan, bank cenderung memilih untuk tidak mengubah apa pun

    • Sayangnya, cukup sering merchant, bukan bank, yang menanggung kerugian penipuan, dan di situlah muncul masalah principal-agent
      Karena bank penerbit mendapat biaya settlement dari setiap transaksi, jika mereka tidak menanggung tanggung jawab penipuan maka insentif dasarnya adalah menyetujui sebanyak mungkin transaksi lalu membereskannya nanti lewat chargeback. Namun 3DS cukup banyak mengubah perhitungan ini, dan transaksi tatap muka biasanya juga menjadi tanggung jawab bank penerbit
    • Bukan berarti bank benar-benar menelan kerugiannya sendiri; mereka sudah menambahkan margin yang cukup untuk menutup biaya penipuan ke semua layanan
      Pada akhirnya semua konsumen bersama-sama menanggung semua biaya penipuan. Itu tidak muncul sebagai baris terpisah di tagihan, tetapi kita membayar sedikit lebih mahal untuk semua barang yang kita beli
    • Kita hanya dilindungi kalau menyadari ada transaksi penipuan itu
    • Saya pernah mengalami bank menyerah ketika menghadapi pihak chargeback yang sangat termotivasi
      Saat saya mengalaminya terkait kartu kredit curian di eBay, awalnya prosesnya berjalan baik, tetapi setelah eBay mengirim setumpuk dokumen ke bank, chargeback dibalik, dan tak lama kemudian rekening bank saya bahkan ditutup
      Uang kembali lewat chargeback bukan berarti semuanya selesai. Awalnya tampaknya itu hanya penanganan sementara sambil memberi waktu pihak lawan untuk merespons, lalu eBay menenggelamkan saya dengan dokumen hingga butuh sekitar 30 hari untuk membuka kembali chargeback tersebut. Penjelasan mereka begitu efektif sampai bank saya justru menganggap saya pelakunya
      Saya juga tidak yakin benar bahwa bank selalu menanggung rugi 100%. Kalau pihak yang terkena chargeback sampai repot menggugat, itu berarti pada akhirnya entah pihak yang dikenai chargeback atau pihak yang mengajukan chargeback akan menanggung kerugiannya. Jika struktur kerugiannya memang ditelan bank, tidak ada alasan bagi eBay untuk memakai tenaga ahli guna menyelidiki dan melawan chargeback saya

  • Akan jauh lebih membantu kalau 3D Secure diwajibkan di mana-mana, tetapi setahu saya di AS ini hampir tidak dipakai. Karena pasar AS sangat besar, penerbit kartu praktis terpaksa menerima permintaan tanpa 3D Secure, karena kalau tidak pelanggan tidak akan bisa memakai kartunya di terlalu banyak tempat
    Ini berarti mekanisme anti-penipuan yang sangat kuat jadi sangat dibatasi, yang dari sudut pandang sebagian besar negara lain cukup membuat frustrasi
    Saya tidak paham apakah konsumen AS memang lebih memilih tertipu daripada menerima sedikit ketidaknyamanan. Bahkan kalau bukan korbannya langsung, merchant akan memasukkan biaya penipuan dan asuransi ke harga barang, jadi pada akhirnya semua orang tetap membayar

    • Biasanya pertimbangannya begini: kalau penurunan konversi akibat mekanisme keamanan tertentu lebih besar daripada rata-rata tingkat penipuan, maka secara finansial tidak ada alasan untuk menerapkannya
      Namun kalau dilihat secara industri, ini masalah koordinasi yang klasik. Konversi turun karena alternatif yang lebih mudah masih tersedia; jika semua merchant dan bank sekaligus mewajibkan 3DS, tidak akan ada lagi opsi yang lebih nyaman untuk pindah. Suka atau tidak, pengguna akhirnya terbiasa dengan cara baru yang lebih aman dan tingkat konversi akan naik lagi
      Kewajiban 3DS untuk banyak pembayaran di UE bekerja seperti ini, tetapi bahkan di sana regulator mengakui bahwa penerapan 100% justru bisa kontraproduktif, jadi titik optimalnya ada di tengah-tengah
      Contoh lain dari prinsip yang sama: kartu kredit AS tidak punya PIN. Kalau satu bank saja menerapkan PIN, pelanggan akan beralih ke kartu pesaing yang tanpa PIN dan tingkat pemakaiannya akan turun tajam. Di pasar lain, berkat intervensi regulasi atau insentif dari jaringan kartu, semua kartu memakai PIN, dan orang-orang akhirnya terbiasa saja
    • AS punya hukum yang berbeda, dan lebih berpihak pada konsumen, jadi perilaku konsumennya juga berbeda
      Pada masa awal kartu kredit, ketika mulai berkembang di AS, Kongres meloloskan Fair Credit Billing Act 1974, yang membatasi tanggung jawab konsumen menjadi $50 jika kartu yang hilang dilaporkan dalam 60 hari setelah siklus tagihan penipuan berakhir. Waktu itu pembayaran masih diproses di kertas dengan alat cetak karbon kartu yang berbunyi “kachunk”, sepenuhnya offline
      Hukum itu tidak berubah, dan dalam praktiknya kebanyakan bank bahkan membebaskan $50 itu juga sehingga pemegang kartu sama sekali tidak dimintai tanggung jawab untuk kasus yang dilaporkan. Dari sudut pandang bank, tidak sepadan membuat pelanggan kesal demi $50
      Internet membuat kartu tiba-tiba jauh lebih mudah dicuri dan disalahgunakan, tetapi bank tetap harus menanggung semua kerugian yang dilaporkan dalam 60 hari setelah akhir siklus tagihan. Karena itu bank-bank AS berinvestasi besar-besaran dalam pemantauan transaksi kartu kredit secara real time, dan mereka mengawasinya dengan sangat serius karena pada akhirnya merekalah yang bertanggung jawab. Sebaliknya, konsumen jadi kurang peduli. Dari sudut pandang konsumen, alasan kartu AS tampak jauh lebih longgar dibanding kartu Eropa adalah karena tidak seperti di Eropa, konsumen dibebaskan dari tanggung jawab sehingga bank berinvestasi jauh lebih besar di belakang layar
      Secara terpisah, UE mengatur biaya settlement yang boleh dibebankan perusahaan kartu, sedangkan AS tidak menetapkan batas atas. Akibatnya pemegang kartu di AS bisa mendapat reward yang cukup besar dari penggunaan kartu, terutama di 10% kelompok terkaya, dan ini praktis mustahil dengan kartu terbitan UE yang biaya settlement-nya dibatasi
      Sekarang ada gugatan besar yang berupaya agar merchant bisa menerima hanya kartu dengan biaya rendah. Kontrak standar VISA/MC/AMEX mengharuskan semua kartu diperlakukan sama, dan karena itu penerbit kartu punya insentif untuk mendorong orang ke kartu dengan biaya settlement lebih tinggi. Hasil gugatan itu masih harus dilihat, tetapi sampai saat itu konsumen besar di AS bisa menikmati reward kartu yang jauh lebih besar, dan ini juga mendorong penggunaan kartu serta mengurangi friksi dibanding kartu gaya UE
    • Apa maksudnya kita yang meminta metode pembayaran yang kurang aman?
      Bukan berarti kami lebih suka ditipu, hanya saja ini masalah negosiasi antara penerbit kartu dan merchant
    • Sebagai catatan, kalau Anda di AS dan menginginkannya, HSBC USA Mastercard menggunakan 3D Secure
    • Kira-kira berapa besar kerugian penipuan yang bisa dicegah oleh 3D Secure, mungkin sekitar 0,1%?

  • Dulu pernah ada orang yang direkrut di perusahaan kami mulai menyombongkan diri karena menemukan cara menambahkan nilai tersimpan ke gift card. Belakangan diketahui dia sedang diselidiki FBI
    Itu bahkan kontraktor pemerintah, dan akhirnya petugas keamanan terbesar yang pernah saya lihat datang dan menggiring orang itu keluar

    • Maksudnya “menambahkan nilai tersimpan ke gift card” itu apa?

  • Kartu kredit virtual sudah ada sejak lama. Saya ingat lebih dari 15 tahun lalu Bank of America atau Citi pernah menawarkannya, mungkin berupa aplikasi Java atau executable mandiri. Heran kenapa ini tidak lebih luas dipakai
    Robinhood melakukannya dengan sangat baik. Ini sistem kartu kredit virtual terbaik yang pernah saya pakai dan sangat mulus. Kita bisa mengotorisasi kartu sekali pakai, 24 jam, atau tanpa batas sampai dibatalkan, dan UI/UX-nya sangat bagus

    • Ini tidak menyebar karena menanggung biaya penipuan lebih mudah daripada memelihara sistemnya. Sederhananya, ini fitur yang menguntungkan konsumen, jadi tidak mendapat tempat
    • MBNA, sebelum diakuisisi Chase pada awal 2000-an, punya aplikasi kartu virtual berbasis Flash dan saya sangat sering memakainya
      Di dunia sekarang yang semuanya serba langganan, saya tidak mengerti kenapa fitur seperti ini tidak menyebar luas. Kemampuan menentukan tanggal kedaluwarsa dan batas pengeluaran agar tidak perlu tawar-menawar kotor saat membatalkan langganan itu sangat bagus

  • Baru-baru ini saya menerima SMS dari bank bahwa ada transaksi mencurigakan di luar negeri pada kartu istri saya, dan jumlahnya benar-benar $0 saat istri saya tidak sedang memakai ponsel maupun komputer
    Awalnya saya kira SMS itu phishing, tetapi setelah dicek online format pesannya cocok, dan halaman web bank juga menjamin tidak meminta informasi apa pun dalam proses umpan balik, jadi saya mengonfirmasi bahwa transaksi itu bukan dilakukan oleh kami
    Bank langsung membatalkan kartu dan mengirim kartu baru
    Awalnya saya kira sistem keamanan bank terlalu sensitif, tetapi ternyata memang ada seseorang yang melakukan seperti yang dijelaskan di artikel ini, dan tampaknya bank mendeteksinya lebih awal

  • Sebaiknya pisahkan kartu untuk pembayaran online dan isi saldo hanya secukupnya untuk membayar
    Saya tahu ini terdengar naif
    Kembali ke artikel, kelemahannya ada pada kata sandi, dan itu berujung ke merchant lain yang tidak memakai 3D Secure
    Dari artikel itu terlihat penyerang punya sistem yang sepenuhnya otomatis, jadi merchant besar seharusnya menangani upaya login otomatis dari alamat IP yang sama ke akun-akun berbeda. Dari log Wordfence kami, rotasi IP tidak secepat itu, jadi rasanya pemblokiran IP permanen bisa cukup membantu

    • Kalau merchant dalam kondisi sekarang tidak bertanggung jawab atas penipuan yang terjadi, kenapa mereka harus melakukan itu?
    • Jujur saja, saya biasanya tidak terlalu peduli pada penipuan kartu kredit karena bank akan menggantinya. Saya cuma memeriksa hal-hal aneh di rekening koran
    • Mercury sekarang menyediakan rekening bank pribadi. Seperti layanan perusahaan semacam Brex/Mercury/Ramp, ini memungkinkan membuat kartu debit virtual
    • Saya setuju soal kartu terpisah. Punya saya juga kartu terpisah, dan syukurlah berkat itu nilainya tidak terlalu besar
      Saya rasa kebocoran kata sandi tidak seharusnya berujung pada kebocoran seluruh data kartu kredit. Data yang sama juga tercetak pada struk kertas di toko, kadang 4 digit, kadang 10 digit. Dengan struk kertas yang ditinggalkan di toko pun brute force masih tetap mungkin dilakukan
    • Saya tidak terkait, tetapi kartu virtual Capital One Eno cocok untuk penggunaan seperti ini

  • Tambahan lagi, merchant tidak bisa memilih tingkat keamanan sesuka mereka dari pemroses kartu kredit. Misalnya di authorize.net, pembayaran tetap bisa diterima meski alamatnya tidak cocok
    Pertanyaan sebenarnya adalah bagaimana uangnya dikeluarkan. Apakah mereka membeli gift card di merchant dengan keamanan longgar?
    Menebak nomor dan mengeluarkan uang dari sistem adalah dua hal yang sama sekali berbeda

    • Pernyataan bahwa “merchant tidak bisa memilih tingkat keamanan yang mereka inginkan dari pemroses pembayaran” bergantung pada pemrosesnya. Banyak pemroses memungkinkan merchant menentukan aturan otorisasi dengan cukup mendalam
      Pasar pemroses memang agak terbelah dua. Satu sisi menawarkan kesederhanaan dan mengurangi beban bagi pelanggan, sisi lain mengekspos seluruh kompleksitas dan memberi kontrol rinci. Yang pertama tidak membiarkan Anda menetapkan persyaratan keamanan, yang kedua memberi ratusan opsi. Tentu ada juga pemroses yang berada di tengah-tengah, dan kedua sumbu itu biasanya menyasar pelanggan yang berbeda