8 800 777 32 16

Позвонить

Банковские карты стандарта EMV - все о платежах

Времена, когда кредитные и дебетовые карты оперировали магнитной полосой, как базовым и единственным инструментом для хранения пользовательских и аутентификационных данных, почти закончились. Хотя бы потому, что использование магнитной полосы не самый актуальный способ обмена данными с терминалом. Не говоря уже о том, что эта технология подвержена частым взломам и дублированием.

23 Января 2019 22:27
Комментариев: 0
Банковские карты стандарта EMV - все о платежах

Грубо говоря, чтобы получить доступ к кредитке с традиционной магнитной полосой, мошеннику нужно совершить не так уж много дел. Если коротко, то схема клонирования карты выглядит следующим образом:

  1. Мошенник устанавливает скиммер;
  2. Тот в свою очередь считывает дамп с магнитной полосы;
  3. Все данные необходимые для дубляжа уже получены;
  4. Вот тут за дело и берутся кардеры, заливающие данные на пустую болванку карты.

Жертва может даже не догадываться о том, что ее карта взломана. И лишь в случаях, когда банк вдруг начинает списывать денежные средства (якобы потраченные пользователем) встает закономерный вопрос, а кто это делает. Держатель карты недоумевает и чешет затылок пока с его денежные средства просто улетают в неизвестном направлении. Сегодня мы постараемся ответить на вопрос о том, в чем отличие карт стандарта EMV от других карт?

Магнитная полоса, как способ авторизации

Популяризация кредитных и дебетовых карт, как инструмента для платежей, пришлась на конец 80-х прошлого столетия. Компании и банки буквально тонули в горах выписок, договоров и всей макулатуры, хоть отдаленно связанной с кредитованием отдельного человека. Тогда-то и возникла мысль о том, что неплохо было бы автоматизировать хоть часть процесса, делегировав его компьютерам.

Впервые, карта с магнитной полосой появилась в конце 70-х, в известной компании IBM. К концу 90-х, такие карты были практически у любого американца и частично у жителей Западной Европы. Этой технологии пришлось преодолеть почти 40 лет, прежде чем она повсеместно начала отвоевывать свою долю рынка. Сейчас же, кредитная карта уже никого удивляет.

Согласно результатам исследований, только за 2011 год через терминалы прошло около 50 миллиардов списаний картами. О том, что на момент публикации статистики, говорилось о том, что это фантастическое число дополняется еще одним фактором. Списания были подсчитаны исходя из огромного количества кредитных карт (около 6млрд.). Надо полагать, что к нынешнему моменту количество выпущенных дебетовых и кредитных карт превышает население Земли в несколько раз (а может и в десятки).

банковские, карты, стандарта, emv Банковские карты стандарта EMV - все о платежах

Предыстория

В конце 70-х перед техническим подразделением IBM стояла задача создания приложений для увеличения продаж компьютеров и периферийной техники. Инженеры известной компании как раз и представили миру альтернативный вариант - использование аналога перфокарт, которые были в то время очень актуальны.

Самое интересное то, что IBM буквально на здоровом энтузиазме и скромном контакте сумела разработать и вывести новый вид карт, с информацией считываемой машинным способом. И стратегия сработала на ура, к концу 1998 года, на 1 доллар, потраченный компанией на исследование и создание карт, защищенных магнитной полосой в среднем приходилось по 1.5 тыс. долларов, полученных от продажи компьютеров и техники. Впечатляющий результат по тем временам.

А что с авторизацией?

Поначалу, предложение со штрих - кодом не казалось таким уж плохим, но позже от него пришлось отказаться. Внимание инженеров привлекла другая технология-хранение аудиоданных на магнитной ленте. Этой технологии на тот момент было без малого около 20-30 лет. Все дело в том, что технологически невозможно было уместить весь поток информации, помещающийся на ленте. Ведь это были не только численные, но и буквенные данные. А заказчик (крупная авиакомпания) требовала носитель, способный вмещать в себя огромное количество информации для связки с собственными базами данных. Чуть позже, этим воспользовались и банки.

Себестоимость производства карт была очень высока, из-за чего оптимизировать расходы удалось лишь к концу 80-х годов, когда стоимость изготовления удалось снизить до 5 центов за одну карту. К слову сказать, в нынешнее время себестоимость производства карты с полосой составляет 2 цента.

Как это работает?

По сути, дальнейшее повествование об истории не имеет практического смысла, так как способ слойного кодирования позволило загрузить в карту сразу 2 разных набора данных. В целом, полоса состоит из 3 отдельных дорожек:

  1. Авиационная индустрия (номер счета и шифр);
  2. Банковские операции (отдельная дорожка с зашифрованным значением);
  3. Третья дорожка оставалась свободной.

К сожалению, эта технология почти изжила себя. Так как все расходы на развитие инфраструктуры уже окупились, а вот вопрос безопасности так решить и не удалось.

Проблема кардинга

Производители карт старались защитить их от взлома и клонирования, но принятых мер безопасности оказалось недостаточно. Так, для защиты, на карте размещается информация об:

  • Владельце (в магнитной полосе);
  • Голографическая наклейка банка;
  • Пин-код;
  • Подпись держателя карты.

Суровая реальность повернула индустрию в диаметрально противоположное направление. Единственный инструмент, способный защитить карт - это полоса, которая очень быстро копируется даже дешевым скиммером. Да, у злоумышленника может не оказаться пин-кода, но существовали схемы оплаты, где пин-код вообще не требовался. Для тех случаев, когда он все же потребуется, кардер мог установить незаметную камеру прямо на банкомате, снимающую клавиатуру (на которой и вводится пин-код).

Самые виртуозные взломщики умудряются подделать и картоприемник (установив скиммер) и накладную клавиатуру с кей-логгером. Как только жертва введет пин-код с такой клавиатуры, шансов у нее практически не остается.

Проблем безопасности с развитием электронной коммерции не убавилось, а только прибавилось. Зная CVV-код, мошенник мог без труда произвести оплату чужой картой в каком-нибудь интернет-магазине. Для снятия этого кода также использовался скиммер. И лишь двухфакторная авторизация помогает решить проблему, но только частично.

Например в торговых терминалах и магазинах ее использование лишь усугубит ситуацию и усложнит процесс покупки. А это значит, что терминал мошенников априори может обойти способ подтверждения смс-кодом с телефона.

Проблем у карт с магнитной полосой оказалось так много, что пришлось разрабатывать новую технологию авторизации банковской карты. Дальше мы разберемся с тем, что означает стандарт EMV, и как он защищает карты от злоумышленников и намеренного дублирования.

банковские, карты, стандарта, emv Банковские карты стандарта EMV - все о платежах

Банковские карты стандарта EMV, что это такое?

Это привычные всем нынче карты с чипом. Так как технология, используемая магнитную полосу для хранения данных, оказалась не очень то и безопасной, в индустрии возникла потребность создания новой защиты и системы идентификации банковской карты. Вот как раз использование чипа, параллельно с магнитной полосой и позволило защитить держателей карт от несанкционированного доступа. Но лишь на время.

Так в 2012 году публике была представлена уязвимость таких карт, с помощью которых мошенникам удалось клонировать носитель стандарта EMV. В 2014-м году эта тема поднималась на симпозиуме, проходившем в Калифорнии (США). Впрочем, сложность реализации клонирования свела на нет все усилия разработчиков, и отсеять большую часть кардеров все-же удалось. О том,

кто придумал и внедрил стандарт EMV

поговорим позже, а пока рассмотрим ряд преимуществ карт этого стандарта перед привычными носителями с одной магнитной полосой.

Преимущества:

  • Увеличение безопасности проведения транзакций;
  • Использование криптографии для шифрования данных;
  • Отсутствие базовых уязвимостей (характерных для магнитной полосы);
  • Жесткий контроль и мониторинг на предмет безопасности;
  • Более гибкая система внедрения новых алгоритмов и технологий.

Единственным минусом тут является то, что существует теоретическая методика клонирования карты, защищенной чипом, без участия этого самого чипа. Да и проблема фейковых транзакций осталась актуальной (мошеннику достаточно узнать PAN-идентификатор и CVV-2 для оплаты покупок в большинстве интернет-магазинов). Но ответственность за эту проблему лежит на инфраструктуре, обслуживающей и разрабатывающей терминалы для считывания карт.

В остальном, чип EMV не имеет пока никакой адекватной альтернативы. Так, для считывания данных потребуется нарушить его целостность, что автоматически выводит карту из строя. Проблема с размагничиванием ему так же не страшна (в отличие от типичных магнитных полос). В конце концов срок службы чипа увеличен в несколько раз (в отличие от полосы).

Как делается оплата по картам со стандартизацией EMV?

Вообще, популяризацией нового стандарта в свое время занимались отдельные подразделения международных платежных систем (как то MasterCard или Visa). Технологические особенности рассматривать подробно не будем, так как в их основе лежит одна и та же технология.

В остальном, процесс проведения транзакций мало чем отличается. В процессе обмена данными и оплаты участвует:

  1. Эквайер;
  2. Эмитент;
  3. Торговый терминал;
  4. Держатель карты.

В первую очередь, надо рассмотреть вопрос аутентификацией. Если не вдаваться в подробности, то эта процедура нужна для авторизации карты в шлюзах банка и платежной системы. Задача проверки подлинности карты лежит на организации, которая ее и выпустила (эмитенте).

Однако, и этот стандарт не решил всех проблем. Все дело в том, что аутентификация требует использования статической информации, часть которой в теории может быть скопирована кардерами. Но это в теории, а на практике ситуация не такая уж и печальная. Если же кардеру удастся дублировать всю карту целиком, то банк просто не сможет отличить ее от настоящей и начнет обмен данных без каких-либо подозрений.

банковские, карты, стандарта, emv Банковские карты стандарта EMV - все о платежах

Вопрос использования динамической информации

Чтобы снизить риск дублирования конкретной банковской карты, была использована технология, с помощью которой аутентификация проводится с динамическими данными. Эти данные несут в себе цифровую подпись и информацию о транзакции, которые подделать очень сложно, если вообще возможно.

Вкратце, схема покупки с использованием банковской карты EM выглядит следующим образом:

  1. Как только карта вставлена в терминал, инициируется процесс транзакции;
  2. После этого терминал передает данные карте;
  3. Проводится 2-сторонняя проверка подлинности данных;
  4. Карта использует подпись (цифровую) для акцептирования платежа;
  5. Торговый терминал шифрует данные и отправляет их эквайеру;
  6. Эквайер отправляет запрос эмитенту.

Но и это еще не все. Эмитент проводит сверку подлинности подписи и криптограмму. Таким образом и осуществляется защита от несанкционированного дублирования.

Стоит заметить, что мы описали лишь упрощенную схему проверки. С появлением технологии динамической аутентификации, у организации участвующей в качестве эмитента, появились дополнительные возможности:

  1. Сверка криптограмм (динамических)
  2. Дуплексная аутентификация (эмитент передает подпись карте);
  3. Возможность обновления данных после авторизации.

Подытоживая стоит сказать, что двусторонняя проверка сильно усложняет процесс принятия решения о списании средств, что вредит тем, кто пытается получить несанкционированный доступ и вмешаться в процесс оплаты.

Особенности использования

Так как современные платежные карты имеют собственную файловую систему, в которой развертываются приложения, вопрос ограничения доступа к данным остается открытым. Тут есть один очень интересный момент. Доступ к чипу обеспечивает компания, выпустившая карту. Но это первичная система ограничения.

На каждую партию карточек выпускает свой, уникальный ключ-код, задача которого состоит ограничении доступа и аутентификации. Встроенное же приложение нужно для того, чтобы держатель мог пройти персонализацию в базе данных платежной системы. Ключ приложения нужен и для того, чтобы окончательно запечатать доступ к данным карты извне. По сути, сразу после персонализации, первичный доступ закрывается раз и навсегда, что сильно затрудняет процесс считывания данных в скимере.

Кроме того, ключ приложения и ОС надежно защищают банковскую карту на всех этапах ее производства. Сделано это для того, чтобы злоумышленник получивший доступ к программаторам, не смог внедрить уязвимость.

банковские, карты, стандарта, emv Банковские карты стандарта EMV - все о платежах

Скриптовая команда

И все же, после выпуска карты банком, некоторые модификации данных в приложении все же возможны. Это реализуется с помощью отдельных скриптовых команд.

Зачем это нужно:

  • Для обновления лимитов по конкретной карте;
  • Блокировки/разблокировки (в случае утери карты);
  • Внедрения новых параметров и настроек.

Изменения вносятся параллельно с транзакцией или любой другой манипуляцией с банковской картой. Ничего изменить на этом этапе злоумышленник не может даже теоретически, ведь план обновлений и изменения шифрования держится в строжайшем секрете.

Опять-таки, даже процесс инициируемый банком надежно защищен. Для этого используется некий аналог цифровой подписи (MAC) о которой говорилось чуть выше. MAC определяется одним из трех DES-алгоритмов, изначально зашитых в карту, еще на стадии производства.

Доступ к данным EMV приложения всегда открыт, несмотря на то, что считать информацию самого приложения на данный момент не представляется возможным.

Возможно ли дублировать карту с EMV

В теории, рабочая технология существует. Если в руки кардеру попала неперсонализированная карта, то он может скопировать ее. Однако, тут система безопасности оказалась на шаг впереди. Из-за отсутствия возможности получения ключа, мошенник не сможет пройти простую проверку безопасности со стороны эмитента. На практике, банк просто будет отклонять все неверно подписанные транзакции и запросы, автоматически пресекая весь смысл дальнейших манипуляций.

Безопасность и надежность банковских карт

Идея о том, чтобы считанные данные приложения клонировать на магнитную полосу витала в воздухе уже очень давно. К счастью, это не имеет смысла хотя бы потому, что для аутентификации используются коды CVV, получить доступ к которым не всегда представляется возможным.

Вопрос офлайн-транзакций (когда терминал пытается провести платеж без связи с банком) стоит очень остро. По сути, держателю карты и владельцу терминала даже не всегда понятно, осуществилось ли списание средств в онлайн или офлайн-режимах.

Суть этого метода приема платежей предельно проста. Терминал заранее принимает транзакцию, и ставит ее в расписание для отправки денежных средств сразу, как только связь с банком будет установлена. Делается это в пределах лимита, установленного правилами и внутренним алгоритмом отслеживания платежей. К сожалению, практического применения этот способ не нашел, и большинство торговых терминалов в России практически не используют метод офлайн-списания с банковской карты.

SDA - защитная система терминала

Помимо всех вышеперечисленных способов проверки подписи и ключей, терминалы могут самостоятельно проверять данные карты на предмет несанкционированных изменений. Данные из массива SDA, к слову сказать, могут быть скопированы. Для работоспособности этой схемы проверки используются приватные-ключи, выпускаемые эмитентом (компанией, выдавшей карту держателю). Сейчас ведется работа по модернизации этой технологии (CDA).

Важно! По всем вопросам, если не знаете, что делать и куда обращаться:

Звоните 8-800-777-32-16.

Бесплатная горячая юридическая линия.

Просмотров: 38

Комментарии

   По техническим причинам: Комментарии временно отключены.

   Приносим извинения за причиненные неудобства.

   С уважением администрация портала!

Юл+многое другое

© www.yurlitsa.ru 2018. Копирование материалов сайта www.yurlitsa.ru допускается с разрешения администрации сайта.