Nechci trolit ale IMHO při platbě embosovanou kartou pomocí té "žehličky" se na formulář otiskne nejen číslo karty, ale také jméno a platnost.
Takže samotné číslo karty IMHO na platbu nestačí.
Nicméně je možné ale že v určitých případech postačí číslo a alespoň platnost (osobní zkušenost s neautorizovanými platbami z usa).
Ano, jenže jméno je veřejný údaj – pokud by se jednalo o e-mailový phishing, je nutné předpokládat, že odesílatel e-mailu jméno zná. A platnost – když budu předpokládat pětiletou platnost karty, nejpozději na 60. pokus to útočník trefí, reálně podstatně dřív.
Nebo-li to, co potřebuje útočník zjistit, je právě číslo karty. Protože jméno už zná a expiraci může snadno hádat.