Эксперты говорят, что карты с чипами ненадежны – шифруйте все данные!

В США сейчас существуют предпосылки к переходу на платежные карты, оснащенные чипами, в результате грабежей в крупных ресторанных сетях и у крупных розничных торговцев, уровень которых повысился за последние 12 месяце, однако эксперты предупреждают, что переключение на такой тип оплаты не сможет полностью исключить мошенничество.

Стандарт EMV (Europay, MasterCard и Visa) очень широко используется по всему миру, и за последние 10 лет или около того он стал основным платежным методом в Европе, который там также известен, как метод «чип и пин». Карты считываются банкоматами и платежными терминалами с использованием уникального пина пользователя, а также данных, которые располагаются на интегрированном чипе.

Для того, чтобы больше распространить такой метод в США, брэнды кредитных карт планируют усилить свою деятельность к 2015 году, после чего стороны, которые не будут использовать такой метод оплаты, могут быть обвинены в мошеннических операциях.

Однако спецификации EMV страдают и в регуляторном плане, и в плане безопасности. Уже есть реальные данные о мошенничестве и при использовании такого метода, как заявляет Росс Андресон, профессор безопасной инженерии в Кембридже, обладающий 25 годами стажа в вопросах безопасности платежных систем.

Во время прошедшей в четверг конференции по безопасности в Лас Вегасе, Андресон подчеркнул некоторые типы атак, которые могут быть направлены и против существующей системы EMV. Банки пытались дискредитировать эти заявления, говоря, что такие методы мошенничества непрактичны или слишком сложны для того, чтобы их использовали злоумышленники.

Таким образом, существует вид мошенничества, известный как “preplay”, когда карта вставляется в мошеннический платежный терминал и может быть считана, а с нее списываются денежные средства за транзакцию, которая была сделана мошеннической картой в терминале где-либо в другой точке нашего мира. Второй вариант – «беспиновый», в процессе которого украденная карта используется следующим образом – она связывается с портативным устройством, в который вставлена карта злоумышленника. Это дает мошеннику возможность обойти верификацию по пину в различных терминалах розничной торговли и авторизовать свои мошеннические транзакции. Также команда Андерсона в Кембридже обнаружила, что многие банкоматы генерируют случайные числа во вполне предсказуемой манере.