勝手に使われるクレジットマスターの恐怖……“なりすまし”の裏事情

私もこの計算方法知ってます。仕事でクレジット決済系のプログラム組んでたもの。

でも、カード番号が解ったところで、カード番号と有効期限でカード会社にオーソリ行って、有効期限が違えば弾かれます。
総当たりしてたらさすがに怪しすぎてカード会社側でリジェクトするだろと思ってました。
が
この記事読む限り、カード会社側からリジェクトしないっぽいねぇ。

専門家は「防ぎようがない」と指摘している。

怪しいオーソリは記録して、そのカードの利用一時停止すりゃ防御力上がるだろ。

あるカード会社も、「番号の流出については対策の施しようがない」と嘆くのみだ。

カード番号なんか漏れて当たり前くらいに思ってないとダメだろ。

被害にあった通販業者ですら「システムを変えるにはコストがかかる。お客さまにとっても不便になるし、暗証番号などをネット上に入力することに抵抗を感じる方も多い。今は改善に向けての検討段階としか申し上げられない」とする。

結局は被害額とシステム改修コストのどっちが大きいかってことだけだよね。
暗証番号については、暗証番号よりもセゾンのやってるNetアンサーみたいな認証システムを使わせてもらうようにしたほうがいいだろう。
利便性云々より安心感のほうが強いと思うんだけどなぁ。

Netアンサーが無理でも、カード番号・有効期限だけじゃなく、カード名義も加えてオーソリチェックできたはずだから、カード名義必須にすりゃ防御力上がるでしょ。
これくらいの改修だったら、高くても100万行かないだろうし。安いシステムなら10万いかないっしょ。
ついでの総当たりしてそうなアタックも防御しちゃおうぜ。