Платежные карты: Бизнес-энциклопедия
Шрифт:
При совершении операций по МПК в ТСП вводится ПИН-код. Это влечет:
• увеличение точек ввода ПИН-кода (количество POS-терминалов во много раз превышает АТМ);
• места установки POS-терминалов отличаются от мест установки АТМ (при вводе ПИН-кода рядом с держателем находится кассир и другие клиенты — нет зоны безопасности);
• POS-терминал является менее защищенным устройством по сравнению с АТМ;
• POS терминал менее контролируем со стороны эквайрера чем АТМ (отключение от процессинга, модернизация, подмена и др.).
Негативные последствия программы «ЧИП и ПИН»:
• увеличение количества компрометаций ПИН-кодов
• увеличение потерь по банкоматному мошенничеству. Потери по скомпрометированной карте в АТМ больше чем в ТСП;
• неготовность банков к противодействию мошенническим операциям в АТМ. Если с мошенничеством в предприятиях торговли банки уже научились бороться (вплоть до разрыва договорных отношений и заявления в правоохранительные органы о возбуждении уголовного дела), то в случае если у банка-эквайера в его банкоматах идут операции по поддельным картам, не совсем ясно, что же делать (отключать банкомат не будет никто);
• компрометация ПИН-код как аналога собственноручной подписи, как следствие — мошенничество со стороны легитимных держателей. Данный вид мошенничества ставит под сомнение собственно ПИН-код как аналог собственноручной подписи держателя, а следовательно, и легитимность операций, в том числе и законных держателей, подтвержденных ПИН-кодом. Негативные последствия данной дискредитации ПИН-кода для банков-эмитентов будут очень болезненны;
• появляются новые атаки на уровне терминала (мошеннический ПИН-ПАД).
Все вышеизложенное находит свое практическое подтверждение.
Май 2006 г. компания SHELL в Великобритании прекратила использовать на безозаправочных терминалах приема платежных карт технологию «чип и пин» после того как мошенники украли более 1 млн ф. ст. Шестьсот терминалов были модифицированы мошенниками в целях несанкционированного копирования 2 трека магнитной полосы и ПИН-кода и поддельные карты использовались в не чиповых банкоматах.
Июль 2006 г. Банк Lloyds-TSB заявил о возросшем уровне мошенничества по МПК из банкоматов в других странах.
Август 2006 г. Монреаль. Модернизация торговых терминалов с целью копирования магнитной полосы и ПИН (18 тыс. карт).
Август 2006 г. Копенгаген. В книжном магазине у держателей копировалась магнитная полоса и ПИН-код (509 карт за 3 дня). Далее снимались денежные средства в банкоматах.
2007 г. Уведомление от MasterCard (Ref Number: 200702_001) об атаках в Австрии, Германии, Швейцарии, Швеции, выразившихся в замене подлинных терминалов ложными с функцией перехвата ПИН-кодов.
Рассмотрим подробнее угрозы, которые появляются с использованием технологии «ЧИП и ПИН».
• «Подглядывание из-за плеча». Мошенник может узнать персональный код держателя банковской карты, подглядывая из-за его плеча, пока тот вводит свой код, выполняя операции в ТСП. При этом магнитная полоса может негласно копироваться либо позднее карта похищается. В банкоматах данная угроза также существует, но уровень ее существенно ниже. При грамотной установке банкоматов они имеют так называемую зону безопасности, пространство, которое отделяет держателя карты, пользующегося банкоматом, от остальных людей в очереди. В торговом предприятии такую зону создать невозможно, дополнительно рядом с держателем присутствует кассир, который также может видеть вводимый ПИН-код.
• Подмена криптографического ключа. В торговый терминал (пин-пад) загружается известный злоумышленнику криптографический ключ ТМК (терминальный
• Мошенничество со стороны персонала ТСП.
До технологии «ЧИП и ПИН» недобросовестный сотрудник торгового предприятия мог только скопировать магнитную полосу карты (скимминг). Теперь же он получает возможность дополнительно узнать и ПИН-код как обычным подглядыванием за его вводом, так и с использованием технических средств (например видеокамер). В результате эффективность деятельности мошенников увеличивается и растут потери банков. Поскольку, похитив только информацию с магнитной полосы карты, необходимо изготовить поддельную карту, что требует определенных затрат. Далее с такой картой нужно прийти в магазин и осуществить покупку. Мошенник не знает доступный на карте баланс, всегда есть риск, что персонал торговой точки определит поддельность карты и злоумышленника задержат правоохранительные органы. В случае же копирования второго трека полосы карты и получения ПИН-кода, затраты на изготовление «белого пластика» минимальны. Использование такой карты в банкомате влечет значительно меньший риск быть задержанным по сравнению с предприятием торговли и есть возможность снять все денежные средства, доступные на карточном счете.
К уязвимостям стандарта EMV следует отнести, во-первых, легкую доступность ПИН-кода (учитывая, что магнитная полоса остается на смарткартах, по ним возможно проведение не чиповых операций, что увеличивает риск компрометации карт). Во-вторых, EMV предполагает аутентификацию карты и эмитента, но не предусматривает аутентификацию подлинности терминала, в связи с чем усилятся атаки на сам терминал — от простой подмены, до модернизации. Что уже сейчас подтверждается данными. Так, исследователи Кембриджского университета 5 января 2007 г. перепрограммировали «ЧИП и ПИН»-терминал, превратив его в игровую приставку для игры в «тетрис».
Появились новые атаки на уровне терминала (разновидность мошеннического ПИН-ПАДа) — атака трансляцией. Данный вид атаки позволяет злоумышленнику с использованием относительно недорогого оборудования (при реализации затраты комплектующих составили 442 долл. США) осуществить перехват и трансляцию всего трафика между подлинной МПК картой и подлинным торговым терминалом. При этом подлинные карта и терминал географически находятся в разных точках и осуществляют взаимодействие через поддельные терминал и карту соответственно, которые имеют удаленную связь между собой.