Hostel möchte meinen Kreditkarten-Sicherheitscode per E-Mail, ist das legitim?

21

Warum möchte ein Hostel, das ich über HostelWorld buche, den Sicherheitscode meiner Kreditkarte (auf der Rückseite)?

Werden sie diese verwenden, um ihre eigene Einzahlung zu belasten und im Wesentlichen mit Buchungen herumzuspielen, anstatt HostelWorld die Verwaltung zu überlassen?

Sie sagen, dass die Reservierung nicht gespeichert wird, wenn Sie diese Informationen nicht angeben. Das ist ziemlich schlecht für ein Hostel, das eine Website wie HostelWorld nutzt und einfach jede über diese Website getätigte Buchung "missachtet".

Sie müssen den Sicherheitscode (CVV / CVC) der Karte, die Sie bei der Buchung verwendet haben, per E-Mail senden, um Ihre Buchung vollständig abzusichern. Andernfalls können Sie Ihre Reservierung verlieren.

bookings security hostels fraud hostelworld insidesin
quelle
6
Ich würde es auf jeden Fall mit Hostelworld besprechen, da auf der Website angegeben ist, dass bei einer Buchung über Hostelworld Your booking 100% confirmedkeine separate Kartennummer für die Reservierung erforderlich sein sollte, die bereits über Hostelworld gebucht wurde (und vermutlich haben Sie eine Anzahlung für die Reservierung geleistet) ).
Johnny
2
Aktualisiere @Johnny. Ich brachte es auf den Punkt und HostelWorld sagte einfach: "Ja, sie sagen, dass sie das tun, damit sie das tun können." wtf ... Wenn also ein Hostel diese eine Zeile angibt , kann es jede Anzahlung oder jeden Vorteil einer Buchung über HostelWorld
komplett
NIEMALS KREDITKARTENINFOS ÜBER E-MAIL SENDEN. Das Versenden von E-Mails ist wie das Versenden einer Postkarte. Nichts hindert jemanden daran, es auf dem Weg zum Ziel zu lesen.
Andy
Das könnte eine Phishing-E-Mail sein. Ich habe meine Kreditkarte zuvor bei hostelworld verwendet und seitdem wurden Betrugsaufträge bearbeitet. Meine Bank hat mich alarmiert, ich habe die Karte wegen Betrugs storniert. Vorsicht mit Hostels!
pbu

Antworten:

23

Ich hatte das gleiche Problem mit einem Hostel in Großbritannien. Ich drückte auf das Hostel, um eine Erklärung zu erhalten, und fand auch einen Forum-Thread mit Hostel-Managern, die diese Richtlinie diskutierten. Beide gaben die gleiche Erklärung.

Aus ihrer Sicht war es so, dass sie das Geld von meinem Konto abheben konnten, wenn ich nicht auftauchte . Sie sagten, dass sie es nur in geschäftigen Zeiten tun, wenn sie wissen, dass sie voll sind, damit sie kein Geld verlieren und Kunden nur abweisen, wenn sie feststellen, dass die gebuchten Kunden nicht auftauchen.

Aber tu es nicht!

Selbst wenn Sie darauf vertrauen, dass dieses Hostel Sie nicht absichtlich verarscht, geben Sie alle Kreditkarteninformationen ein, die jemand zum Begehen von Kreditkartenbetrug benötigt, ungesichert, unverschlüsselt, auf einem (wenn Sie Glück haben) kaputten alten Laptop gespeichert einen Empfang oder (wenn Sie Pech haben) einen Stapel Papierausdrucke, die unbeaufsichtigt herumliegen, während der einzige Schichtarbeiter einen Notfall behebt. Es wäre für einen Kriminellen oder auch nur einen zufälligen Opportunisten wie einen verärgerten Hostelmitarbeiter, einen lokalen Computerreparaturmann oder einen Gast schockierend einfach, genügend Informationen zu erhalten, um Ihre Karte zu klonen oder Ihr Konto zu überfallen.

Ich lehnte ab - und erklärte mich stattdessen bereit, einen Teil (60%, wenn ich mich recht erinnere) der Rechnung im Voraus über PayPal zu bezahlen . Dies löste sicher ihre Nichterscheinen-Sorge auf und sicherte, obwohl nicht ideal, die Unterkunft, die ich wollte, als überall sonst voll war. Es ist nicht ungewöhnlich, dass geschäftige Orte auf Vorauszahlungen bestehen - mein einziges Unglück war, dass es unehrlich erscheint, dass dies zu dem Zeitpunkt, als ich die Buchung vorgenommen habe, nicht offensichtlich war und dass sie die Anzahlung, die ich geleistet hatte, nicht respektierten bereits bezahlt.

HostelWorld teilt dem Hostel einige Kartendetails wie Kartennummer, Name usw. mit, aber (aus gutem Grund) nicht genug, damit das Hostel einfach eine Abbuchung mit einem Standardkartenautomaten vornehmen kann.

Ein häufiges, teures Problem für Hostelbesitzer ist, dass Leute, die in geschäftigen Zeiten buchen, nicht auftauchen und Zimmer und Betten leer lassen, die möglicherweise voll sind. Auch die Anzahlung, die Sie an HostelWorld zahlen, bleibt (anscheinend) bei HostelWorld als Gebühr, so dass das Hostel selbst im Falle einer Nichterscheinen nichts bekommt, nicht einmal eine Anzahlung (ich habe nur ein Hostel-Wort dazu).

Dies ist eine grobe, Low-Tech-, möglicherweise illegale und mit Sicherheit nicht PCI-konforme Problemumgehung.

Hier ist ein Thread in einem Hostel-Manager-Forum, in dem sie darüber diskutieren, wie sie mit No-Shows von HostelWorld und Hostelbookers umgehen können . Jemand weist zu Recht darauf hin:

verstoßen möglicherweise gegen die AGB Ihres Kartenanbieters und sind nicht PCI-konform!

... aber es scheint trotzdem mäßig beliebt zu sein ...

Es ist unwahrscheinlich, dass die Herberge selbst die Leute betrügt (aber möglich), da die Herbergen nach ihrem Ruf leben und sterben (mit Ausnahme gut gelegener Touristenfallen, in denen alle Wetten geschlossen sind, einschließlich "werde ich mit meinem ganzen Gepäck und beiden Nieren aufwachen"). Trotzdem würde ich wärmstens empfehlen, nicht zu befolgen, weil:

  1. Ihre vollständigen Kreditkarteninformationen werden unverschlüsselt auf einem Computersystem gespeichert, das nicht zum sicheren Speichern von Kreditkarteninformationen eingerichtet ist . Sie könnten sich sogar auf einem Stapel gedruckter E-Mails befinden, die auf einem Tisch liegen, soviel Sie wissen. Damit ein Online-Shop Kreditkartendaten akzeptieren und speichern kann, muss er die Serversicherheit (PCI-Konformität) einer strengen Überprüfung unterziehen oder eine hohe Geldstrafe verhängen. Klartext in einer E-Mail würde diese Prüfungen definitiv nicht bestehen.
  2. Selbst wenn Sie dem Hostel vertrauen, wissen Sie nicht, dass Sie jedem vertrauen können, der den Hostelcomputer verwendet . Der Hostelbesitzer ist zwar legitim (wenn auch unwissend / rücksichtslos gegenüber den Kreditkarten seiner Gäste), aber es ist nur eine verärgerte, unterbezahlte Rezeptionistin oder eine zwielichtige lokale Computerreparaturperson oder ein Gast erforderlich, der die Rezeptionistin davon überzeugt, dass sie "dringend" muss Benutze den Computer des Hostels für 5 Minuten oder einen technisch versierten Gast oder Nachbarn (E-Mail ist nicht sicher) ...

Da es in der Regel darum geht, dass sich das Hostel vor Nichterscheinen schützt, sollten Sie in der Lage sein, einen Kompromiss auszuhandeln, bei dem Sie einen Teil der Gebühr im Voraus zahlen.

Wenn dies nicht der Fall ist , bleiben Sie woanders : Entweder haben sie schlimmere Gründe oder sie sind nicht technisch versiert genug, um Geld per PayPal zu erhalten (daher können Sie auf keinen Fall darauf vertrauen, dass Ihre Kartendaten sicher sind!).

Hier sind einige Auszüge aus meinem E-Mail-Austausch, um Ihnen ein Beispiel zu geben:

Sie:

Vielen Dank für Ihre Buchung bei uns!

In Stoßzeiten werden Kreditkarten vorautorisiert, um Ihre Buchungsgebühr zu decken, falls Sie nicht anreisen. Ich befürchte, dass die Vorautorisierung nicht abgeschlossen werden konnte. Dazu benötigen wir Ihre CVC-Nummer, die Sie bei der Buchung leider nicht angegeben haben.

Damit wir Ihre Reservierung garantieren können, setzen Sie sich bitte umgehend mit uns in Verbindung

Ich: (paraphrasierend) Nein, das wurde ich noch nie gefragt, ich schreibe meine Kartendaten nicht in eine E-Mail und du hast bereits meine Einzahlung erhalten. Spielen Sie gut, oder ich fordere eine Rückerstattung der Anzahlung an, buche woanders und melde Sie bei HostelWorld wegen versuchten Kreditkartenbetrugs. (aber höflicher formuliert)

Sie:

Wir erhalten keine Anzahlung. Es wurden bereits £ 8.64 bezahlt und es ist eine Hostelworld.com-Gebühr. In unseren Allgemeinen Geschäftsbedingungen wird angegeben, dass wir eine Vorautorisierung durchführen und dafür eine CVC-Nummer benötigen.

Es besteht die Möglichkeit, anstelle der Vorautorisierung per Vorkasse per Paypal zu bezahlen.

Begraben in ihren Geschäftsbedingungen:

Vorautorisierungsrichtlinie

Die Vorautorisierung ist keine Gebühr und es wurde kein Guthaben von Ihrem Konto abgebucht.

Warum ist die Kreditkarte vorautorisiert? Wenn Sie uns eine Kredit- / Debitkarte geben, garantiert uns die Vorautorisierung, dass die Mittel zur Begleichung der anfallenden Kosten zur Verfügung stehen.

Was kostet eine Vorautorisierung? Der Betrag, den wir vorautorisieren, hängt vom Wert Ihrer Buchung und dem Buchungskanal ab, den Sie zur Buchung Ihrer Buchung verwendet haben

Wann ist die Karte vorautorisiert? Alle Kredit- oder Debitkarten werden innerhalb von 24/48 Stunden nach Ihrer Buchung vorautorisiert. HSBC Merchant Services ist für die Wartung und Verwaltung des Vorautorisierungsprozesses verantwortlich.

Ich wollte nicht, dass meine Kartendaten ungesichert in ihren E-Mails usw. stehen, und zu diesem Zeitpunkt war alles andere ausgebucht, sodass ich stattdessen im Voraus mit PayPal bezahlte, was ohne Probleme funktionierte.

user56reinstatemonica8
quelle
HostelWorld berechnet eine Anzahlung von 15%. Diese Anzahlung von 15% geht an HostelWorld. Aber was passiert, wenn ich im Hostel ankomme? Ich bezahle nicht die 100%, und werde diese Anzahlung nie wieder sehen. (Es ist keine Gebühr, oder?) Vielen Dank @ user568458 für Ihr Feedback !!! Es gibt keine Möglichkeit, dass sie Geld von mir bekommen, bis ich ankomme. Wenn das bedeutet, dass sie meine Buchung nicht garantieren können, dann buche ich woanders.
Insidesin
An dem Ort, an dem ich übernachtet habe, gab es eine komische Kompromisspolitik, so etwas wie: Ich habe 15% an HW gezahlt, 60% im Voraus per Paypal, dann die restlichen 25%, als ich ankam ... Skurril, aber besser, als ein Risiko für Kartenbetrug oder Obdachlosigkeit einzugehen !
user56reinstatemonica8
1
Aber nicht so gut, wenn Sie Pläne ändern wollten.: S Das ist sicher ein fieser Schachzug, sollte Sie aber nicht 75% der Buchung kosten.
Insidesin
7
@ user568458 +1 für Unkenntnis der Herberge. Ich habe in einem Hostel gearbeitet und Hunderte (wenn nicht Tausende) von Kreditkartendaten wurden unverschlüsselt in dem sehr unzuverlässigen Hostel-Laptop gespeichert. Sie haben einfach keine Ahnung, was sie tun.
Adrien Be
1
Tun sie? Ich habe noch nie ein Hotel nach einem CVV-Code fragen lassen. Sicher nicht per Email.
user56reinstatemonica8
8

Das Ausgeben Ihres Sicherheitscodes über eine nicht sichere Verbindung ist eine sehr schlechte Idee. Auf diese Weise verwandeln Sie Ihr Bankkonto im Wesentlichen in ein Selbstbedienungskonto.

Das Speichern des CVV-Codes in irgendeiner Form verstößt gegen die PCI-DSS-Anforderungen (Payment Card Industry Data Security Standard). Wenn Sie ihn per E-Mail senden, wird er auf einem Computer gespeichert, der möglicherweise nicht sicher ist, auf dem ein Schlüsselprotokollierer installiert ist und auf dem einige nicht gepatcht sind Fehler im Betriebssystem, die von Malware ausgenutzt werden oder von mehreren Personen gemeinsam genutzt werden. Wenn es ein Hostel ist, haben sie oft andere Rucksacktouristen, die die Rezeption in Teilzeit abwickeln und nach ein paar Wochen aufstehen. Woher wissen Sie, dass sie keine Kopie der Kartendetails mitnehmen?

Das CVV ist Ihr Beweis dafür, dass Sie im Besitz der Karte sind, da kein Online-Händler das CVV in irgendeiner Form speichern darf. Aus diesem Grund werden Sie von allen Online-Händlern, die diese Berechtigung haben, nach Ihrer CVV-Nummer gefragt, wenn Sie eine weitere Transaktion mit ihnen durchführen, auch wenn Sie zuvor auf "Meine Zahlungsdetails speichern" geklickt haben.

Ohne den Sicherheitscode sind alle durchsickernden Kreditkartennummernlisten im Internet unbrauchbar, da Sie bei jeder Transaktion nach dem CVV gefragt werden (außer bei wiederkehrenden Zahlungen).

TL; DR: Finde ein anderes Hostel, sonst gibst du nur vollen Zugriff auf dein Bankkonto.

Ich habe einen Computer
quelle
1
Ja hab ich. HostelWorld sagte immer wieder: "Nein, sie haben Recht, sie können das." Anschließend klicken Sie auf "Ja, Ihre Buchung ist garantiert." so im Wesentlichen sich selbst zu widersprechen. Es war eine nette Herberge, aber nicht nett genug, um mich darüber hinwegzusetzen. Was für eine dumme "Politik", die auch von HostelWorld unterstützt wird! Was ..
Insidesin
In vielen Geschäften können Sie bestellen, ohne wiederholt nach dem CVV-Code zu fragen, einschließlich Amazon.
JonathanReez unterstützt Monica
3
@JonathanReez Es gibt verschiedene Compliance-Stufen. Es ist eine Weile her, dass ich daran gearbeitet habe, aber ich erinnere mich an mindestens drei Ebenen: eine niedrige Ebene für Tante-Emma-Läden, die keine CC-Daten speichern und nur PayPal / Braintree / Stripe usw. verwenden; Ein durchschnittliches Level für mittelständische Unternehmen, deren Server alles außer CVV speichern (ich denke, dies erfordert jährliche Audits?), dann ein super-hohes Level für das Speichern von CVV usw. für Sofortzahlungen, bei denen die Sicherheitsstandards so streng sind, dass Sie ein Vollzeit-Team benötigen damit Schritt halten. X random hostel hat kein professionelles Datensicherheitsteam auf Amazon-Ebene!
user56reinstatemonica8
@JonathanReez Soweit ich weiß, kann ein Händler wiederkehrende Zahlungen (wie monatliche Zahlungen, Abonnements usw.) ausführen, ohne Sie nach der CVV-Nummer zu fragen, jedoch nicht bei einmaligen Transaktionen. In der Firma, für die ich zu der Zeit gearbeitet habe, würden wir keine Transaktion von der Bank / dem Zahlungsanbieter genehmigen lassen, ohne bei jeder Transaktion die richtige CVV-Nummer zu haben.
iHaveacomputer
2

Es gibt keinen legitimen Grund, warum das Hostel dies verlangen sollte. Was hier vor sich geht, ist, dass das Aufladen der Kreditkarte ohne CVC-Code mehr Kosten für das Hostel verursacht. Diese Kosten könnten niedriger sein, wenn das Hostel eine gute Bilanz hat. Vermutlich muss die Jugendherberge noch nachweisen, dass die Art und Weise, wie sie ihre Geschäfte abwickeln, für das Kreditkartenunternehmen, mit dem sie zu tun haben, sicher genug ist, um die Kosten für Transaktionen ohne CVC-Code zu senken.

Graf Iblis
quelle