Содержание

Кредитные карты Ситибанка защищены чипом EMV

Кредитные карты Ситибанка1 оснащены встроенным чипом2. Это современная технология, которая обеспечивает дополнительную защиту Ваших денежных средств.

Обращаем Ваше внимание, что в настоящее время данной технологией оснащены только кредитные карты Citibank MasterCard, Citibank MasterCard Gold, CASH BACK,
Аэрофлот-Ситибанк, Аэрофлот-Ситибанк Премиум, Citi Select, Miles & More, Просто кредитная карта, Детский мир — Ситибанк, Citi PremierMiles.

Помимо традиционного способа оплаты с использованием магнитной полосы и личной подписи на чеке (слипе), теперь операции по кредитной карте Ситибанка могут быть осуществлены с использованием встроенного чипа.

Преимущества

Встроенный чип предлагает новый уровень безопасности:

  • Карту со встроенным чипом практически невозможно подделать.
  • Все операции по карте подтверждаются введением ПИН-кода.

Кроме того, карта со встроенным чипом — это беспрепятственная оплата товаров и услуг за рубежом, т. к. некоторые торговые точки могут не принять к оплате карты, оснащенные только магнитной полосой.

Особенности

Все операции по карте с чипом осуществляются при условии обязательного ввода ПИН-кода, как при оплате покупок в торговых точках, так и при получении наличных денежных средств через банкоматы.

Однако процесс оплаты товаров и услуг в интернете остается прежним и введение ПИН-кода не требуется.

Проводить операции с использованием карты с чипом2 и введением ПИН-кода можно в том случае, если оборудование, в котором используется карта, его поддерживает. При отсутствии или неисправности терминала, поддерживающего операции с использованием карт с чипом

2, операция проводится с использованием магнитной полосы карты.

Рекомендации по использованию

Если Ваша карта оснащена встроенным чипом2, после создания ПИН-кода, а также после каждой последующей смены ПИН-кода мы рекомендуем Вам совершить первую операцию по карте через банкомат.

Перечень операций, совершаемых без комиссии в банкоматах Ситибанка в РФ:

В банкоматах других банков:

  • запрос баланса по счету карты.

Чем карта с чипом лучше карты с магнитной полосой

По данным Центробанка некоторые банки России уже не предлагают своим клиентам кредитные карты с магнитной полосой, да и остальные также постепенно переходят на выпуск банковских карт с чипом. Сегодня использования чипа – больше желание обезопасить счета своих клиентов, чем обязанность для кредитных учреждений.

«Пластиковые» проекты медленно, но верно в начале 2000-х набирали обороты. Теперь скорее отсутствие пластиковой карты у человека вызывает удивление, чем наоборот. Не секрет, что у каждого работающего россиянина есть как минимум одна банковская карта, что, в свою очередь, интересует преступников, претендующих на достаточно значимые объемы денежных средств, проходящие через кредитки.

По статистике, около пары процентов всех операций по пластиковым картам связаны с мошенничеством. Основной вопрос был (и остается) с карточками, где в качестве носителя информации используется магнитная полоса.

Технология передавать сведения с помощью намагниченной ленты была изобретена более 50 лет тому назад. С тех пор цифровые технологии ушли далеко вперед и теперь одним из самых безопасных является чип. Мошеннические операции по чиповым картам сводятся к нулю.

Карты с чипами стали массово выпускаться коммерческими банками в 90-е годы. Отчасти это можно назвать вынужденной мерой в ответ на возросший уровень мошенничества: преступные элементы находили различные способы получения данных, записанных на магнитной полосе пластиковых карт, а также ее PIN-кода, после чего делали копию карточки и спокойно расплачивались ею или снимали наличные. Чипы же подделать практически невозможно, поэтому массовый выпуск карт с ними помог многократно снизить объем незаконных операций с кредитками.

В нашей стране сейчас уровень мошенничества с картами существенно ниже, чем на западе, поэтому у нас выпускались до недавних пор карты без чипа. Карты с чипом, в первую очередь, стоит оформлять тем, кто планирует поехать за рубеж.

Перевод карт-счетов на чип банки осуществляют поэтапно: по мере истечения срока действия клиенту выдается новый тип карты. Однако далеко не все «пластиковые» проекты необходимо переводить на чип, считают банкиры.

Единственный тип карт, который ВТБ24 выпускает по-прежнему без чипа, – карты мгновенной выдачи, предназначенные для внесения денежных средств на погашение кредитов или пополнение депозитов, – говорит начальник управления пластиковых карт ВТБ24 Александр Бородкин. – Если, к примеру, карта используется исключительно для погашения кредита в банкомате банка, выпустившим карту, т.е. днем положил средства, вечером они списались в погашение кредита, – смысла в чипе нет. Во-первых, на 99% средств на таких картах нет, они приходят и тут же уходят. Во-вторых, если мошеннические действия прошли на оборудовании родного банка, то ответственность однозначно ложится на банк и оспариванию не подлежит, так что клиент защищен.

Одной из причин, по которой банки не хотят переводить абсолютно все карты на чип – это стоимость её изготовления. По некоторым оценкам карточки с чипами обходятся в несколько раз дороже магнитной. также дополнительных затрат требует замена оборудования некоторых банкоматов.

Для участников зарплатных проектов, а также заемщиков с единовременной выдачей всей суммы кредита, подойдет карта и с магнитной полосой. Риск мошенничества в данном случае сведен к минимуму, а себестоимость таких карт примерно в пять раз ниже чиповых.

Сегодня на картах международных платежных систем присутствует как магнитная полоса, так и чип. Их предлагают такие гиганты как MasterCard и VISA, а, к примеру, наша отечественная платежная система «Золотая корона» изначально была чиповой и также преимущественно сейчас и остается без магнитной полосы. Совмещенные карты удобны тем, что в случае если банкомат или POS-терминал не оборудован системой считывания информации с чипа, то данные фиксируются посредством магнитной полосы.

Проверка кредитной карты

Редкий гражданин ответит на вопрос, какого типа у него банковская карта. Это не проблема, ведь при необходимости достаточно обратиться в банк, выпустивший карту. Менеджеры кредитного учреждения ответят на все интересующие клиента вопросы.

Но как быть, когда не хочется тратить время на визит в банк или нужно проверить кредитную карту другого человека?

Когда нужна проверка кредитной карты?

Банковские пластиковые карты разделяются на два типа: дебетовые и кредитные. При покупке или оплате каких-либо услуг на территории России тип карты не имеет практического значения.

А вот при оплате через интернет, например, авиационного билета, цена товара или услуги нередко отличается в зависимости от типа банковской карточки. При этом покупателю предлагают указать, какого именно типа карта.

Информация о чужой банковской карточке становится актуальной, если предстоит перевести деньги за товар или услугу малознакомому человеку.

Например, при покупке через социальные сети, где нередко встречаются мошенники. Также проверка кредитных карт актуальна для тех, кто нанимает людей для работы через интернет. Если работа строится на авансовой системе оплаты, заказчику стоит проверить, соответствуют ли личные данные владельца карты информации о нанятом работнике.

Какую информацию содержит карта?

Нужные сведения содержатся не только в магнитной полосе на карте, но и в номере, находящемся на её лицевой стороне. Именно этот номер нужно указывать при переводе денег через интернет-банк или при оплате услуг или товаров на сайтах. В России распространены карты со следующим количеством цифр в номере.

  • Тринадцатизначные (VISA).
  • Шестнадцатизначные (MasterCard или Visa).
  • Девятнадцатизначные (American Express).

Чаще всего российские банки выпускают карточки с шестнадцатизначными номерами, но встречаются и другие варианты. Итак, в первых шести цифрах любой дебетовой или кредитной карты зашифрована информация о платёжной системе, типе карточки и банке, который её выпустил. Первые шесть цифр называются BIN, что расшифровывается как Bank Identification Number.

В частности, если первая цифра в номере банковской карты «3», то она числится за American Express, «4» – за VISA, «5» – за MasterCard.

В следующих трёх цифрах указан код банка, выпустившего карточку. В цифрах с седьмой по четырнадцатую скрыта информация о идентификационном номере банковского счёта держателя карты. Последняя цифра нужна для проверки правильности ввода номера карты. Она генерируется при помощи специального алгоритма.

При проверке кредитных карт, как и дебетовых, интерес представляет только BIN-номер. Информация о идентификационном номере счёта бесполезна, так как не позволяет получить сведения о держателе карты и требуется исключительно для идентификации карточки в платёжной системе.

Проверка кредитной карты по BIN-номеру

Для такой проверки целесообразно использовать специализированные сайты, например, https://www.bindb.com/bin-database.html. Этот ресурс за несколько секунд проверяет BIN-код и выдаёт следующую информацию.

  1. Платёжная система.
  2. Банк, выпустивший карту.
  3. Тип карты (кредитная либо дебетовая).
  4. Уровень привилегий (например, стандартный, золотой, платиновый).
  5. Сайт и контактный телефон банка, выпустившего карту.

Приведённые данные можно получить и по-другому: обратившись в банк или воспользовавшись интернет-поисковиком, но проверка кредитных карт через специальный сайт занимает намного меньше времени.

При этом владелец карты ничем не рискует, так как указывает лишь первые шесть цифр номера карточки и не указывает код безопасности.

Код безопасности – три цифры на обороте карты, расположенные рядом с графой «Подпись». Нельзя сообщать этот код посторонним. При наличии номера карточки и кода злоумышленники смогут оплачивать покупки в интернет-магазинах.

Как получить личные данные при проверке кредитной карты?

В номере карты нет сведений о личных данных её держателя. Такая информация есть только у кредитного учреждения, выпустившего карточку. Однако при желании всё-таки можно узнать имя, отчество и первую букву фамилии владельца карты без обращения в банк.

Для получения этих сведений нужно воспользоваться личным кабинетом какого-либо банка, например, Сбербанка России, карты которого есть у большинства россиян.

В процессе перевода денег на карту другого гражданина через личный кабинет пользователю сообщают имя, отчество и первую букву фамилии адресата.

Если эти данные не совпадают с фактической информацией о получателе перевода, то владелец карты:

  • допустил ошибку в номере;
  • умышленно указал чужой номер.

В обоих случаях стоит отменить перевод и связаться с владельцем карты для уточнения её номера. Вполне вероятно, что получатель перевода попросту ошибся. Если же очевидно умышленное искажение номера карты, значит её держатель преднамеренно обманул отправителя, что косвенно указывает на дурные намерения.

Проверка кредитных карт с чипом

Российские банки всё чаще выдают клиентам карты с электронным чипом на лицевой стороне. Такие карты гораздо труднее подделать, ведь электронный чип устроен сложнее, чем привычная магнитная полоса на оборотной стороне карточки.

Пока большинство карт с чипом имеют ещё и магнитную полосу. Однако в дальнейшем платёжные системы планируют отказаться от магнитной полосы в пользу чипов. При этом комбинированный вариант нужен на переходный период, чтобы у банкиров было время заменить считывающее оборудование.

В чипе содержится больше сведений о карте и её держателе, потому такая информация представляется более интересной, чем данные с магнитной полосы, но получить её практически невозможно.

Для проверки кредитной карты по чипу потребуется не только оборудование для считывания информации, но и пин-код.

Такая проверка возможна только при наличии самой карты, а значит не подходит для случаев, когда нужно получить информацию о чужой карточке. То есть фактически нельзя проверить кредитные карты по чипу. Однако для комбинированных карт подходят уже упомянутые способы проверки.

Близкие контакты. Как работают атаки на чиповые карты — «Хакер»

Прак­тичес­ки все сов­ремен­ные бан­ков­ские кар­ты снаб­жены спе­циаль­ным чипом, на котором хра­нит­ся необ­ходимая для пла­тежей информа­ция. В сегод­няшней статье я рас­ска­жу о спо­собах мошен­ничес­тва с такими кар­тами, а так­же о при­меня­емых бан­ками методах про­тиво­дей­ствия кар­дерам.

 

Чиповое легаси

Один из видов информа­ции, содер­жащей­ся на чиповой кар­те, — это так называ­емый Track2 Equivalent. Он прак­тичес­ки один в один пов­торя­ет содер­жимое маг­нитной полосы и, ско­рее все­го, слу­жит в качес­тве парамет­ра иден­тифика­ции кар­ты в сис­темах HSM и дру­гих под­систе­мах кар­точно­го про­цес­синга. Один из видов атак, которые вре­мя от вре­мени про­водят­ся зло­умыш­ленни­ками, под­разуме­вает запись дан­ных Track2 Equivalent на маг­нитную полосу, пос­ле чего мошен­ничес­кие опе­рации про­водят­ся либо как обыч­ные тран­закции по маг­нитной полосе, либо в режиме technical fallback. Для хищения таких дан­ных из бан­коматов исполь­зуют­ся так называ­емые шим­меры.

Шим­мер — устрой­ство для незамет­ного сня­тия дан­ных при исполь­зовании чиповых карт в бан­коматах

В одной из ста­тей о шим­минге упо­мина­ется, что в 2006 году, в самом начале выпус­ка чиповых карт, в Великоб­ритании поле Track2 Equivalent содер­жало в себе ори­гиналь­ный CVV2/CVC2. Из‑за этой ошиб­ки было лег­ко соз­давать кло­ны маг­нитных полос карт, по которым опла­та про­исхо­дила с помощью чипа. Тог­да пла­теж­ные сис­темы решили исполь­зовать раз­ные seed при генера­ции полей CVV2/CVC2 на маг­нитной полосе и в поле Track2 Equivalent. Казалось бы, задача решена — зна­чение сек­ретно­го поля CVV2/CVC2 на маг­нитной полосе не сов­пада­ет с тем, что записа­но на чипе. Но шим­минг жив и по‑преж­нему проц­вета­ет. Почему?

Мно­гие бан­ки до сих пор одоб­ряют тран­закции со счи­тан­ными с чипа зна­чени­ями CVV2/CVC2! Об этом час­то упо­мина­ет Visa и поч­ти не пишет MasterCard. Одна из при­чин, по моему мне­нию, — прак­тичес­ки во всех кар­тах MasterCard CVC2 в Track2 Equivalent равен 000. Для рус­ских карт это так­же неак­туаль­но: сре­ди про­тес­тирован­ных мной за два года десят­ков бан­ков я не нашел ни одной кар­ты, где эта ата­ка была бы воз­можна. Тем не менее сто­ит отме­тить, что подоб­ные ата­ки по­пуляр­ны в Аме­рике.

info

Од­на из нем­ногих карт MasterCard, с которой мне уда­лось вос­про­извести эту ата­ку, при­над­лежала бан­ку, вооб­ще не про­веряв­шему зна­чение поля CVC2. Я мог под­ста­вить туда что угод­но — 000, 999 или любые дру­гие вари­анты меж­ду эти­ми чис­лами. Ско­рее все­го, в этом бан­ке не был отклю­чен режим отладки, одоб­ряющий любые тран­закции.

Чем это чре­вато? Хакер мог бы под­менить поле Service Code, ука­зыва­ющее, что кар­та не содер­жит чипа, и свер­ка целос­тнос­ти это­го поля была бы невоз­можна, потому что любой CVC2 при­нимал­ся про­цес­сингом. Уяз­вимость, очень силь­но похожая на сле­дующую в спис­ке, была быс­тро устра­нена пос­ле пись­ма в банк.

По моей ста­тис­тике, 4 из 11 карт были под­верже­ны подоб­ным ата­кам.

 

Бразильский хак

Под этим тер­мином понима­ют нес­коль­ко видов атак, в том чис­ле ата­ку на офлайн‑тер­миналы, опи­сан­ную «Лабора­тори­ей Кас­пер­ско­го». О самой мас­совой ата­ке c таким наз­вани­ем рас­ска­зывал Брай­ан Кребс. В чем суть нашумев­шей ата­ки?

В начале 2010-х чиповые кар­ты наконец‑то получи­ли широкое рас­простра­нение в США. Нес­коль­ко бан­ков начали выпус­кать такие кар­ты. Сто­ит заметить, что до сих пор самая рас­простра­нен­ная чиповая схе­ма в США — это не Chip & PIN, а Chip & Signature. Вла­дель­цу подоб­ной кар­ты не надо вво­дить ПИН‑код, а нуж­но толь­ко вста­вить кар­ту в счи­тыва­тель и под­твер­дить тран­закцию под­писью на чеке. Почему эта схе­ма так при­жилась — рас­ска­жу даль­ше.

Как мне кажет­ся, где‑то в этом про­цес­се про­изош­ла инсай­дер­ская утеч­ка информа­ции, и хакеры узна­ли, что чиповая тран­закция вро­де и про­ходит, но не про­веря­ется на сто­роне бан­ка‑эми­тен­та. Банк прос­то брал поле Track2 Equivalent и про­водил иден­тифика­цию, как если бы это была обыч­ная тран­закция по маг­нитной полосе. С нес­коль­кими нюан­сами: ответс­твен­ность за мошен­ничес­тво такого рода по новым пра­вилам EMV Liability Shift теперь лежала на бан­ке‑эми­тен­те. А бан­ки‑эми­тен­ты, не до кон­ца понимая, как работа­ли такие кар­ты, не вво­дили силь­ных огра­ниче­ний на «чиповые» тран­закции и не исполь­зовали сис­темы антифро­да.

Быс­тро сооб­разив, что из это­го мож­но извлечь выгоду, кар­деры ста­ли откры­вать мер­чант‑акка­унты и, исполь­зуя куп­ленные на чер­ном рын­ке дан­ные маг­нитных полос Track2, совер­шали сот­ни тран­закций «чипом». Рас­сле­дова­ние заняло годы, и к момен­ту его окон­чания мошен­ники уже скры­лись. Сум­мы потерь не раз­гла­шают­ся, одна­ко оче­вид­но, что они были сущес­твен­ными. Самое печаль­ное, что с тех пор жители стран Латин­ской Аме­рики ры­щут по все­му све­ту в поис­ках «белых китов» и активно тес­тиру­ют бан­ки, пыта­ясь най­ти дру­гой такой же неот­клю­чен­ный отла­доч­ный интерфейс.

 

Cryptogram Replay и Cryptogram Preplay

«В дикой при­роде» подоб­ная ата­ка наб­людалась лишь еди­нож­ды. Она была задоку­мен­тирова­на и опи­сана (PDF) в иссле­дова­нии извес­тных спе­циалис­тов из Кем­бридж­ско­го уни­вер­ситета.

Суть ата­ки зак­люча­ется в обхо­де механиз­мов, обес­печива­ющих уни­каль­ность каж­дой тран­закции и крип­тограм­мы. Ата­ка поз­воля­ет «кло­ниро­вать тран­закции» для даль­нейше­го исполь­зования уже без дос­тупа к ори­гиналь­ной кар­те. В пер­вой час­ти уже рас­ска­зыва­лось, что на вхо­де кар­та получа­ет опре­делен­ный набор дан­ных: сум­му, дату тран­закции, а так­же два поля, обес­печива­ющих энтро­пию, даже если сум­ма и дата оди­нако­вые. Со сто­роны тер­минала энтро­пию 232 обес­печива­ют 4 бай­та поля UN — слу­чай­ного чис­ла. Со сто­роны кар­ты — ATC-счет­чик опе­раций, уве­личи­вающий­ся каж­дый раз на еди­ницу. Псев­дофун­кция выг­лядит при­мер­но так:

Cryptogram=Signature(ATC,UN,Amount,Misc,SecretKey)

Ес­ли одно из полей меня­ется, изме­няет­ся и выход­ное зна­чение крип­тограм­мы. Одна­ко что про­изой­дет, если все поля оста­нут­ся преж­ними? Зна­чит, и преж­няя крип­тограм­ма оста­нет­ся валид­ной. Из это­го сле­дуют две воз­можнос­ти атак на чиповые тран­закции.

Cryptogram Replay. Если ском­про­мети­рован­ный тер­минал выда­ет одно и то же поле UN, однажды счи­тан­ная с кар­ты крип­тограм­ма с передан­ным пред­ска­зуемым полем UN может исполь­зовать­ся сколь­ко угод­но раз. Даже на сле­дующий день зло­умыш­ленни­ки могут переда­вать информа­цию о ста­рой крип­тограм­ме со ста­рой датой в зап­росе на авто­риза­цию, и это не при­ведет к отка­зу. В моих прош­логод­них тес­тах я пов­торил одну и ту же крип­тограм­му семь раз на про­тяже­нии семи дней, и это не выз­вало никаких подоз­рений у бан­ка.

Схе­ма ата­ки Cryptogram Replay

Cryptogram Preplay. Эта схе­ма исполь­зует­ся, если уяз­вимый тер­минал воз­вра­щает не один и тот же UN, но выда­ет их пред­ска­зуемы­ми. Имен­но так работал уяз­вимый бан­комат в опи­сан­ной выше маль­тийской ата­ке. В таком слу­чае зло­умыш­ленник при физичес­ком дос­тупе к кар­те кло­ниру­ет нес­коль­ко тран­закций «на будущее». В отли­чие от пер­вой ата­ки, каж­дая тран­закция может исполь­зовать­ся толь­ко один раз.

Эта ата­ка инте­рес­на с исто­ричес­кой точ­ки зре­ния раз­вития про­токо­ла EMV. Ког­да про­токол соз­давал­ся, поле ATC было соз­дано спе­циаль­но для защиты от подоб­ных атак.

Банк‑эми­тент дол­жен был про­верять зна­чение поля ATC, и, если эти зна­чения при­ходи­ли не по поряд­ку, с замет­ными скач­ками, подоз­ритель­ные тран­закции откло­нялись.

Нап­ример, если на про­цес­синг пос­тупали тран­закции зна­чени­ем ATC 0001, 0002, *0008*, *0008*, *0008*, 0009, 0010, *0003*, *0004*, то опе­рации, номера которых выделе­ны в этой пос­ледова­тель­нос­ти, дол­жны были счи­тать­ся подоз­ритель­ными и откло­нять­ся про­цес­сингом. Но затем начали пос­тупать жалобы от кли­ентов, и в тех­нологию были вне­сены кор­ректи­вы.

Рас­смот­рим при­мер: кли­ент бан­ка садит­ся в самолет, рас­пла­чива­ется в самоле­те кар­той с исполь­зовани­ем офлайн‑тер­минала. Далее самолет при­зем­ляет­ся, и кли­ент рас­пла­чива­ется кар­той в оте­ле. И толь­ко пос­ле это­го исполь­зуемый в самоле­те тер­минал под­клю­чает­ся к сети и переда­ет дан­ные о тран­закци­ях. В таком слу­чае будет зафик­сирован ска­чок ATC, и, сле­дуя пра­вилам пла­теж­ных сис­тем, банк мог бы откло­нить абсо­лют­но легитим­ную тран­закцию. Пос­ле нес­коль­ких подоб­ных эпи­зодов пла­теж­ные сис­темы внес­ли кор­ректи­вы в их тре­бова­ния по «скач­кам ATC»:

  • скач­ки дол­жны счи­тать­ся, толь­ко если дель­та меж­ду зна­чени­ями счет­чика «выше Х», где зна­чение Х каж­дый банк дол­жен опре­делять инди­виду­аль­но;
  • скач­ки не обя­затель­но слу­жат приз­наком мошен­ничес­тва, одна­ко пос­тоян­ные скач­ки выше зна­чения Х — это повод свя­зать­ся с кли­ентом для выяс­нения обсто­ятель­ств.

При этом за бор­том изме­нений остался пер­вый сце­нарий — cryptogram replay. Если кар­точный про­цес­синг спро­екти­рован кор­рек­тно, нет ни одно­го разум­ного объ­ясне­ния ситу­ации, ког­да один и тот же набор дан­ных (Cryptogram, UN, ATC) пос­тупа­ет на вход мно­го раз и успешно одоб­ряет­ся бан­ком. За пос­ледний год я отпра­вил информа­цию об этой ата­ке более чем в 30 раз­ных бан­ков и получил дос­таточ­но широкий спектр отве­тов.

В некото­рых слу­чаях неп­равиль­ное про­екти­рова­ние сер­висов про­цес­синга при­водит к тому, что банк не может прос­то заб­локиро­вать опе­рации с оди­нако­выми зна­чени­ями. Так­же сто­ит отме­тить, что в «дикой при­роде» я не встре­чал тер­миналы, которые воз­вра­щали бы оди­нако­вое зна­чение поля UN. То есть зло­умыш­ленни­кам при­ходит­ся исполь­зовать их собс­твен­ные тер­миналы, что дела­ет отмы­вание денег более слож­ным.

Кро­ме того, даже офлайн‑аутен­тифика­ция не всег­да помога­ет: ее мож­но обой­ти либо пред­положить, что источник UN ском­про­мети­рован и в ней. В этом слу­чае мож­но заранее выс­читать резуль­тиру­ющие зна­чения схем аутен­тифика­ции DDA/CDA для пред­ска­зуемо­го поля UN.

Ста­тис­тика показы­вает, что 18 из 31 бан­ков­ской кар­ты под­верже­ны ата­кам replay/preplay в отно­шении кон­так­тно­го или бес­контак­тно­го чипа. При этом в Рос­сии я не смог най­ти ни одно­го уяз­вимого для это­го типа атак бан­ка, что край­не любопыт­но.

 

PIN OK

По­жалуй, это самая извес­тная ата­ка на чипы. Пер­вые теоре­тичес­кие пред­посыл­ки к этой ата­ке коман­да из Кем­брид­жа опи­сала в 2005 году в иссле­дова­нии Chip and Spin, за год до того, как стан­дарт EMV получил рас­простра­нение в Великоб­ритании. Но повышен­ное вни­мание к этой ата­ке воз­никло гораз­до поз­днее.

В 2010 году выходит пол­ноцен­ное иссле­дова­ние кем­бридж­ской чет­верки, пос­вящен­ное ата­ке PIN OK. Для этой ата­ки они исполь­зовали устрой­ство, реали­зующее тех­нику «человек посере­дине» меж­ду чипом кар­ты и ридером тер­минала.

Ус­трой­ство для реали­зации тех­ники «человек посере­дине»

В 2011 году на кон­ферен­циях Black Hat и DEFCON груп­па иссле­дова­телей из Inverse Path и Aperture Labs пред­ста­вила боль­ше информа­ции об этой ата­ке. Тог­да же, в 2011 году, орга­низо­ван­ная прес­тупная груп­пиров­ка исполь­зовала 40 укра­ден­ных бан­ков­ских карт для совер­шения 7000 мошен­ничес­ких тран­закций, в резуль­тате которых было укра­дено 680 тысяч евро. Вмес­то при­меняв­шегося иссле­дова­теля­ми гро­моз­дко­го устрой­ства прес­тупни­ки вос­поль­зовались малень­ким незамет­ным «вто­рым чипом», уста­нов­ленным поверх ори­гиналь­ного, что поз­воляло эму­лиро­вать ата­ку в реаль­ных усло­виях.

В декаб­ре 2014 года иссле­дова­тели из Inverse Path сно­ва под­няли тему атак на тран­закции EMV и пред­ста­вили нем­ного ста­тис­тики, соб­ранной ими за три года (PDF). В 2015 году было выпуще­но деталь­ное тех­ничес­кое иссле­дова­ние ата­ки (PDF), совер­шенной неиз­вес­тны­ми зло­умыш­ленни­ками в 2011 году.

Да­вай рас­смот­рим тех­ничес­кие детали этой ата­ки. Для ее реали­зации, напом­ним, нуж­но исполь­зовать тех­нику man in the middle. Кар­та переда­ет тер­миналу поле CVM List (Сard Verification Method) — при­ори­тет­ный спи­сок методов верифи­кации вла­дель­ца кар­ты, под­держи­ваемых кар­той. Если пер­вое пра­вило на кар­те «офлайн‑ПИН шиф­рован­ный/нешиф­рован­ный», на этом эта­пе ничего не про­исхо­дит. Если пер­вое пра­вило дру­гое, то во вре­мя ата­ки пер­вое пра­вило под­меня­ется на «офлайн‑ПИН».

За­тем тер­минал зап­рашива­ет у вла­дель­ца кар­ты ПИН‑код. Пра­вило «офлайн‑ПИН» озна­чает, что ПИН‑код будет передан кар­те для свер­ки в откры­том или шиф­рован­ном виде. В ответ кар­та либо отве­тит 63C2 «Невер­ный ПИН, оста­лось две попыт­ки», либо 9000 «ПИН ОК». Имен­но на этом эта­пе зло­умыш­ленник, внед­ривший­ся в про­цесс авто­риза­ции, заменит пер­вый ответ вто­рым.

На дан­ном эта­пе тер­минал счи­тает, что ПИН вве­ден кор­рек­тно, и зап­рашива­ет у кар­ты крип­тограм­му (зап­рос Generate AC), переда­вая ей все зап­рашива­емые поля. Кар­та зна­ет, что ПИН либо не вве­ден сов­сем, либо вве­ден некор­рек­тно. Но при этом кар­та не зна­ет, какое решение даль­ше при­нял тер­минал. Нап­ример, есть тер­миналы, которые при вво­де некор­рек­тно­го ПИН‑кода про­сят дер­жателя кар­ты пос­тавить под­пись на тачс­кри­не — дела­ется это для его же ком­форта. Поэто­му, ког­да тер­минал зап­рашива­ет крип­тограм­му, кар­та отда­ет ее. В отве­те содер­жится поле CVR — Card Verification Results, которое ука­зыва­ет, был ли про­верен ПИН‑код кар­той или нет. Более того, это поле явля­ется частью пла­теж­ной крип­тограм­мы, и под­менить его зна­чение зло­умыш­ленни­кам не удас­тся: попыт­ка при­ведет к ошиб­ке свер­ки крип­тограм­мы на HSM.

Тер­минал отсы­лает все дан­ные в пакете ISO 8583 Authorization Request бан­ку‑эквай­еру, затем они пос­тупа­ют бан­ку‑эми­тен­ту. Банк видит два поля: CVMResults, которое ука­зыва­ет, что в качес­тве метода верифи­кации был выб­ран офлайн‑ПИН и что тер­минал под­держи­вает этот метод верифи­кации. Но еще банк видит, что кар­та НЕ при­няла ПИН‑код либо что он был вве­ден некор­рек­тно. И нес­мотря ни на что, одоб­ряет тран­закцию.

Ес­ли кар­та исполь­зует схе­му аутен­тифика­ции CDA и зло­умыш­ленни­кам необ­ходимо под­менить пер­вое пра­вило CVM list, офлайн‑аутен­тифика­ция будет завер­шена с ошиб­кой. Одна­ко это всег­да обхо­дит­ся под­меной полей Issuer Action Code. Под­робнос­ти дан­ного слу­чая опи­саны в пос­ледней вер­сии пре­зен­тации от 2014 года экспер­тами из Inverse Path.

Так­же в пер­вом иссле­дова­нии от 2011 года спе­циалис­ты показа­ли, что стан­дарт EMV поз­воля­ет не откло­нять тран­закции на пла­теж­ном устрой­стве, даже если безопас­ные методы аутен­тифика­ции и верифи­кации не сра­бота­ли, а идти даль­ше, каж­дый раз выбирая менее безопас­ные методы (так называ­емый fallback). Это откры­вает перед зло­умыш­ленни­ками дру­гие воз­можнос­ти, вклю­чая ата­ки на похище­ние ПИН‑кода во вре­мя опе­раций на ском­про­мети­рован­ных POS-тер­миналах.

 

Заключение

Ин­терес­ная ста­тис­тика за пос­ледний год: нес­мотря на то что еще в 2010-м «нас­тоящие безопас­ники» из бан­ков уми­лялись тому, как кто‑то не сле­дит за оче­вид­ными проб­лемами кар­точно­го про­цес­синга, в 2020 году все при­мер­но так же пло­хо. Ста­тис­тика про­верок за прош­лый год показа­ла, что 31 из 33 карт бан­ков с раз­ных угол­ков Зем­ли, вклю­чая рос­сий­ские, уяз­вима к этой ата­ке.

В сле­дующей статье я рас­смот­рю схе­мы атак на бес­контак­тные кар­ты и свя­зан­ные с ними при­ложе­ния — мобиль­ные кошель­ки.

Чип-кредитные карты приходят в США: вот что вам нужно знать

НЕКЕШЕРОВАННЫЙ КОНТЕНТ

После многих лет использования в других странах мира кредитные карты с чипом приходят в США. Использование кредитных карт только с магнитной полосой прекращается раньше, чем крайний срок — 1 октября 2015 года.

Если у вас есть кредитная карта, вы, вероятно, скоро получите замену с чипом. К 1 октября вся страна не перейдет на чиповые карты, но ритейлеры и банки, которые этого не сделают, возьмут на себя большую финансовую ответственность.

Как использовать чип-карту

Чтобы использовать кредитную карту с чипом, вы вставляете ее в нижнюю часть платежного терминала и оставляете там на время транзакции. Важно отметить, что карта должна оставаться в считывателе до завершения транзакции, а не считываться, как магнитная полоса.

Хотя на современных кредитных картах вы встретите платежные терминалы с поддержкой как магнитной полосы, так и чипа, вы не обязательно можете использовать только магнитную полосу. Попробуйте провести картой с чипом на таких терминалах, и вас, вероятно, попросят вставить карту и оплатить чиповым методом.

Основы работы с EMV-картами

Кредитные карты с чипами используют стандарт EMV, что означает «Europay, Mastercard и Visa». EMV — это глобальный стандарт, позволяющий чип-картам взаимодействовать с системами кассовых терминалов и банкоматами. (Несмотря на название, American Express и Discover также участвуют.)

Знайте, что старая магнитная полоса в ближайшее время никуда не денется. Кредитная карта с чипом имеет чип EMV, а также магнитную полосу. Если вы когда-нибудь окажетесь в месте, где принимаются только магнитные полосы — в США или в других странах мира — вы все равно сможете использовать свою карту.

Магнитную полосу можно легко клонировать, проведя по ней, а данные с этой магнитной полосы можно скопировать на другую карту и использовать для совершения мошеннических покупок. Чип-карта работает иначе — в ней есть небольшой компьютерный чип. Когда чип-карта вставляется в платежный терминал, создается одноразовый код транзакции, который можно использовать только один раз. Другими словами, чипы не так просто скопировать, как магнитные ленты. Любые платежные реквизиты будут храниться с одноразовым кодом. Если бы США перешли на чиповые карты раньше, катастрофическое нарушение правил Target можно было бы предотвратить. Все эти просочившиеся платежные данные кредитной карты не были бы так полезны для преступников.

Сдвиг ответственности 1 октября

Банки США выпускали чиповые карты в течение последнего года до крайнего срока 1 октября 2015 года. После этой даты произойдет «сдвиг ответственности». Любые розничные продавцы, решившие принимать платежи с помощью магнитной полосы чип-карты, могут продолжать это делать, но несут ответственность за любые мошеннические покупки. Любые эмитенты кредитных карт (например, банки, выпускающие кредитные карты Visa и Mastercard), которые не выпускают кредитные карты EMV, также будут на крючке в отношении любых мошеннических покупок.

По сути, Visa и Mastercard говорят банкам и розничным торговцам, что они могут продолжать использовать старую систему с учетом своего финансового риска. Не все будут переведены на новую версию до 1 октября, но все, кто этого не сделал, будут нести дополнительную ответственность, что побудит их выполнить переход как можно скорее.

Это не влияет на вашу личную ответственность — если ваш банк не выдаст вам кредитную карту с PIN-кодом до 1 октября, он берет на себя ответственность. Это их проблема, а не ваша. Все эти данные находятся между розничными продавцами, банками, Visa и Mastercard. Но они объясняют, почему чип-карты выпускаются так быстро.

Чип и PIN-код против чипа и подписи

Многие другие страны перешли с транзакций с магнитной полосой на систему «чип-и-PIN». Вы вставляете чип-карту в нижнюю часть платежного терминала и вводите цифровой PIN-код на терминале для аутентификации. Это немного похоже на оплату дебетовой картой и PIN-кодом — подпись не требуется.

Однако США в значительной степени перейдут на систему «чип и подпись». Теперь вы вставляете чип-карту в нижнюю часть платежного терминала, а затем вам нужно будет подписать свою подпись — так же, как сегодня вы делаете это со стандартной кредитной картой.

Как мы все знаем, подписи на кредитных картах совершенно небезопасны — мало кто когда-либо проверяет, совпадает ли подпись с подписью на обратной стороне карты. Если кто-то завладеет вашей картой с чипом и подписью, он все равно сможет использовать ее для совершения покупок в терминале с чипом. К сожалению, эти карты с чипом и подписью не обязательно будут совместимы с системами EMV в других странах, где предполагается использование карт с чипом и PIN-кодом.

Один эмитент кредитной карты объяснил почему чип и подпись были приняты вместо чипа и PIN:

«Мы действительно не думаем, что можем научить американцев делать две вещи одновременно. Итак, мы собираемся начать с обучения их тому, как нырять, и если у нас будет еще одно переломное событие, такое как взлом Target, и потребители начнут требовать PIN-код, мы внесем поправки ».

Система с чипом и PIN-кодом потребует от клиентов запоминания PIN-кода для каждой кредитной карты. Первоначальный переход на чиповые карты в США не потребует нового метода проверки — просто новый способ использования карты в платежных терминалах и та же старая подпись.

В то время как розничные продавцы, вероятно, предпочтут чип и PIN-код, банки не хотят использовать чип и PIN. Когда вы вставляете карту в банкомат для снятия денег, вам нужно ввести ПИН-код. Если это тот же PIN-код, который вы постоянно вводите при использовании карты, его будет проще подслушать и перехватить. Если PIN-код вводится только в банкомате, потому что вы используете подпись при совершении большинства платежей, это защищает банки от мошеннические транзакции в банкоматах .

Карты EMV не исключают мошенничества

СВЯЗАННЫЕ С: Как работают скиммеры кредитных карт и как их обнаружить

Чип-карты не устраняют проблему мошенничества. В частности, на обратной стороне этих карт все еще есть номера, даты истечения срока действия и трехзначные коды. Кто-то может скопировать эту информацию и использовать ее для покупок в Интернете. Карту с чипом и подписью можно использовать в торговых точках вместе с поддельной подписью. Магнитная полоса все еще может использоваться старым способом на многих терминалах по всему миру.

Но, хотя чип-карты не устранят всех случаев мошенничества, они усложнят мошенничество. Это также поможет предотвратить такие разрушительные повреждения платежных систем в будущем, как то, что произошло в Target.


Некоторые карты с чипом могут также поддерживать бесконтактные платежи с использованием NFC . Эта функция оплаты одним касанием работает аналогично тому, как вы платите с помощью Apple Pay или Google Wallet на смартфоне — приложите карту к считывателю. Подобные платежи NFC не требуют подписи или PIN-кода, поэтому они работают только для небольших недорогих покупок.

МВД предложило выдавать иностранцам карты с чипом о дактилоскопии :: Общество :: РБК

С 29 декабря трудовым мигрантам и другим иностранцам, которые приезжают в Россию больше, чем на 90 дней, необходимо будет получать специальные пластиковые карты с электронным носителем, если предложение МВД будет принято

МВД предложило с 29 декабря выдавать трудовым мигрантам пластиковые карты с личными данными, фотографией и чипом о дактилоскопии (процедура снятия отпечатков пальцев). Проект соответствующего приказа ведомства опубликован на портале проектов нормативно-правовых актов.

Такую же пластиковую карту получат иностранцы, приехавшие в Россию на срок от 90 дней. Карты с электронным носителем будут выдавать при наличии технической возможности. В противном случае иностранцы и мигранты будут обязаны иметь бумажный документ, подтверждающий, что они прошли дактилоскопию и сфотографировались для ведомства.

Пластиковая карта с электронным носителем зеленого цвета будет иметь форму 85,6 х 53,98 мм, состоять из лицевой и оборотной сторон. На лицевой стороне разместят: цветное или ч/б фото иностранца размером 30 х 40 мм, его ФИО, сведения о гражданств, документе, удостоверяющем личность. Также будет чип в виде микросхемы с бесконтактным интерфейсом с информацией о владельце документа. Кроме того, чип будет содержать электронное изображение папиллярных узоров двух пальцев рук, пригодное для идентификации.

от металла до металла — компания Smart Engines

05.06.2020 г.

Все новые технологии базируются на знании и анализе того, откуда они появились и как изменялись с течением времени. Для улучшения технологий распознавания банковских карт, которыми мы занимаемся в Smart Engines, очень полезно знать, откуда берут начало банковские карты как технология, их историю и как они эволюционировали за сто с небольшим лет.

В современном мире мгновенным проведением платежа с использованием банковской карты или даже исключительно ее электронного двойника в мобильном телефоне никого не удивишь. При этом сама карта — кусок пластика или — для экстрапремиальных вариантов — ценного металла, продолжает развиваться как самостоятельное изделие. Сегодня для большинства жителей планеты может показаться удивительным, тот факт что банковские карты появились задолго до создания WWW (Интернета), а выдавленная (эмбоссированная) надпись, которая сегодня используется, скорее, для защиты карты от подделки и придания ей «статуса», являлась первым прообразом автоматического ввода данных клиента.

О том, что роднит банковскую карту и футляр для очков

Первые прототипы платежных карт появились в начале XX века и изготавливались из картона. От них не требовалось быть чересчур износостойкими: их не вставляли в банкоматы или в другие считывающие устройства. Их требовалось лишь предъявлять при совершении покупки в магазине, кафе или автозаправке. Говорить о какой-то интеграции карты с единой информационной банковской системой не приходилось: задача первых карт — идентифицировать владельца и обозначить его платежеспособность в конкретной сети магазинов, АЗС или сетей питания. Сегодня мы бы назвали эти карты картами лояльности.

В начале 1920-х платежные карты начали распространяться в сфере торговли топливом. В 1924 году General Petroleum Corporation в Калифорнии начала выпускать то, что они называли «льготными картами» (courtesy card), и другие сетевые АЗС быстро последовали их примеру. Картонные платежные карточки были выданы постоянным клиентам по всем США. С помощью этой карты клиент мог расплачиваться за бензин, а также покупать сопутствующие товары на любой из сетевых станций, которые могли находиться на значительном расстоянии друг от друга, что позволяло удержать путешествующего по стране клиента.

Первые карты, как и другие документы, изготавливались из картона. Так как ими пользовались значительно чаще, чем, скажем, паспортом, они быстро приходили в негодность и их приходилось менять, что доставляло неудобства и организациям, которые выдавали карты, и клиентам. Масштабная модернизация карт произошла в 1928 году, когда бостонская компания Farrington Manufacturing, специализировавшаяся на изготовлении металлических гравированных шкатулок и футляров, выпустила прообраз металлической карты лояльности — Charga Plate, которые быстро вошли в обиход торговых сетей.

Эмбоссирование как шаг к искусственному интеллекту

На выпущенных картах был выдавлены (эмбоссированны) данные владельца. Покупатель, совершая покупку, передавал продавцу карту, который при помощи специального пресса — импринтера — делал отпечаток карты покупателя на квитанции. То есть карта служила оттиском, подтверждающим покупку товара держателем карты. Эмбоссирование упрощало и ускоряло взаимодействие покупателя и и продавца, так как избавляло продавца от необходимости вручную заполнять квитанцию о продаже и вносить в неё данные покупателя. Если представить данную операцию в современном мире то, по сути, с помощью такой карты ставилась печать на чек, подтверждающая покупку товара конкретным клиентом.

Инновация, как сообщала реклама, позволяла экономить время на диктовке имени продавцу, позволяла идентифицировать клиента в любом магазине, и снижала вероятность ошибки при заполнении адреса доставки и выставления счета. И просуществовали Сharga Plates вплоть до вхождения в обиход настоящих кредиток. Вот такую карту (ни разу не использованную!), ставшую сегодня раритетом, можно купить на аукционе:

www.ebay.com 

Ручное устройство для эмбоссирования, способ нанесения надписи на металлические пластины, и устройство для постановки оттиска на слипе были запатентованы, как и фирменный шрифт Farrington OCR 7b. Фактически с разработанной и запатентованной технологии изготовления металлических эмбоссированных жетонов началась история распознавания образов — Optical Character Recognition, OCR — на которой базируются принципы распознавания банковских карт и сегодня.

Карты с выдавленным именем владельца и индивидуальным номером сохранились и сегодня и используются в тех местах, где торговля ведется в отсутствие интернета: как и раньше карту «прокатывают» в специализированном устройстве, которое оставляет оттиск данных на бумажном «слипе». Владелец карты уходит с покупкой, а продавец идет к телефону и авторизует платеж по телефону. С такими процедурами путешественник сталкивается в странах, где развитие торговли опережает развитие информационных технологий.

Чип не роскошь

Появившиеся в середине XX века банковские карты представляли собой уже более сложный платежный инструмент, задачей которого было не только идентифицировать клиента, но и предоставить продавцу информацию о состоянии его банковского счета, а также обеспечить как можно более быстрое взаимодействие с банком и проведение транзакции. На картах появились магнитные полосы, содержащие необходимые данные, а позже карты стали снабжаться электронным чипом, обеспечивающим более быстрое взаимодействие с кассовым аппаратом.

По своей форме и виду до недавнего времени карты существенно не эволюционировали. Созданные по формату стандартной визитной карточки — размером примерно 55*90 мм (сегодня стандарт указывает точный размер 85,6Х53,98Х0,76 мм), они существуют и сегодня, удобно помещаясь в бумажник. На карте как и раньше основными реквизитами остаются имя клиента и номер карты, привязанной к расчетному счету. В номере счета закодирован тип используемой платежной системы, идентификационный номер банка и личный номер клиента.

Формат номера кредитной карты в наши дни определяется международным стандартом ISO 7812. В большинстве случаев номер кредитной карты состоит из 16 цифр. Такие номера используются наиболее распространенными в мире платежными системами VISA и MasterCard. При этом встречаются номера карт, состоящие из 19 или 13 цифр.

Что в надписи тебе моей?

Первые 6 цифр номера — это уникальный номер банка, выпустившего карты — Issuer Identification Number (IIN) или Bank Identification Number (BIN).

При этом первый знак номера, нанесенного на платежную карту, идентифицирует платежную систему, в которой эта карта работает. Номера карт родоначальника кредитных карт Diners Club, а также система American Express, или региональная японская платежная система JCB начинаются с цифры 3, цифра 4 обозначает принадлежность карты к системе VISA, 5 — принадлежит MasterCard (с этой же цифрой на первой позиции выпускаются карты Diners Club на территории США и Канады). С цифрой 6 на первом месте выпускаются карты платежными системами Discover, Laser и InstaPayment. Российская платежная система МИР использует в первой позиции цифру 2.

Цифры, стоящие на позициях с 7 по 15 формируют Account Number — номер владельца счета, уникальных для каждого клиента. Последняя цифра номера — контрольная сумма (Checksum), рассчитываемая по определенному алгоритму и необходимая для проверки корректности введенных данных.

На лицевой стороне большинства карт нанесены фамилия и имя держателя карты. Имя обычно наносится латинскими символами в международной транскрипции, иногда дублируется на национальном языке. На лицевой стороне карты как правило указывается также срок её действия.

Под первыми четырьмя цифрами, нанесенными шрифтом «OCR 7b» дублируются первые четыре или 6 знаков номера платежной карты, которые отображаются на чеках и платежных квитанциях. На лицевой стороне карты может указываться и другая информация, позволяющая упростить идентификацию карты. На обратной стороне карты расположен проверочный код: в системе VISA он называется CVV (card verification value), Master Card CVC (card validation code), в системе МИР — card verification parameter), состоящий из трёх цифр. Они являются дополнительной ступенью защиты карты от неправомерного использования, однако сейчас утрачивают свою актуальность в связи с развитием способов многофакторной аутентификации.

Когда электроника не выручает

Автоматизация процессов взаимодействия банковских карт и платежных терминалов позволила банкам при выпуске карт массового использования отойти от принципа эмбоссирования, упростив процесс персонификации пластиковой болванки, при этом расширив возможности ее электронной начинки. Сегодня магнитная полоса на карте дублируется контактным и бесконтактным чипом, позволяющим проводить взаимодействие с терминалами без необходимости вставлять их в считывающее устройство. Реквизиты пользователя наносятся на карту менее затратными чем эмбоссирование методами лазерной печати, гравировкой (indent) и плоской печатью (flat printed).

Важно, что с развитием сферы удаленных платежей при помощи мобильного телефона, вновь, как и сто лет назад, возникает необходимость разработки и совершенствования технологий автоматизации ввода карточных данных в платежные системы там, где невозможно взаимодействие на уровне чипа. Карта снова становится носителем визуальной информации, значимой для проведения платежа. Только теперь стоит задача упростить внесение данных в систему не для продавца, а для пользователя.

Современная технология автоматического распознавания банковских карт Smart CardReader, как и первые механические машины, проставлявшие оттиск карты на слипе, направлена на автоматизацию распознавания и ввода реквизитов с различных банковских карт. Система автоматически находит и распознает номер, срок действия и имя владельца на картах разных форматов и различным типом печати.

Нестандартная карта: маркетинг или что-то кроме?

Банковская карта давно стала обыденным предметом, которым пользуются миллиарды людей во всем мире. Рынок банковских карт развивается самостоятельно, и поэтому банки стараются привлечь клиентов картами, которые значительно отличаются от карт конкурентов.

Несмотря на сложность электронных систем идентификации в банковских картах, визуально они не позволяют в значительной мере дифференцировать клиента как держателя карты. В борьбе за клиентов и подчеркивание их премиального статуса, банки выпускать нестандартные карты, используя особенные цветовые и дизайнерские решения, создавая текстурную и зеркальную поверхность, применяя различные методы ламинирования и фольгирования.

При изготовлении карт начали использоваться новые материалы — прозрачный и фактурный пластик. И вновь — как и сто лет назад — появились металлические карты, но уже не медные, а из драгоценных и просто дорогих сплавов. Кроме этого некоторые банки выпускают карты нестандартного размера, а также с нетиповым размещением основных реквизитов: в вертикальной ориентации или на обратной стороне.

Все эти нестандартные ходы, конечно, положительно влияют на привлечение клиента, но доставляют хлопот системам, связанным с обработкой таких карт. Мы постоянно развиваем нашу технологию Smart CardReader и научили ее достаточно успешно справляться с трудностями распознавания карт, связанными возникающими артефактами при использовании необычных материалов и с нестандартным расположением реквизитов. Даже если карту держать «вверх ногами».

Узнайте больше о программном продукте Smart CardReader и его применении
Smart CardReader
Smart Code Engine

Скачайте мобильное демо приложение и попробуйте технологию распознавания Smart CardReader в действии

Кредитные карты с чипом EMV — CreditCards.com


Сравнение кредитных карт с чипом EMV

В последние три года эмитенты карт рассылают новые пластиковые карты с небольшим квадратом на лицевой стороне, что имеет большое значение в мире.

Это небольшое изменение, названное чипом EMV, сделало наши карты более безопасными, чем старая технология магнитной полосы. На самом деле, как отмечают эксперты, мошенничество за последние три года значительно сократилось.

Что такое чип-карты EMV и как они работают?

EMV, что означает EuroPay, Mastercard, Visa, оснащает кредитные и дебетовые карты компьютерными чипами и технологиями для аутентификации транзакций с чип-картой.

EMV-карты или чип-карты использовались в Европе и во всем мире в течение десятилетий, и они добились успехов в США. Они рекламируются как более безопасные, чем магнитные полосы, которые долгое время использовались в Соединенных Штатах до последнего. пара лет.

В то время как старые магнитные полосы содержат неизменные данные, которые злоумышленники, вероятно, могут украсть, карта EMV создает новый код транзакции для каждого платежа, который нельзя использовать снова. Это не означает, что взломы невозможны, но это усложняет задачу для воров.

Visa сообщает о 75% -ном снижении количества поддельных долларов за мошенничество с сентября 2015 года по март 2018 года среди продавцов, которые перешли на эту услугу, и 46% -ное снижение в целом. Также Visa сообщает, что 97% объема платежей приходилось на карты EMV в июне 2018 года, а транзакции с чипами выросли с 4,8 млрд долларов в сентябре 2015 года до 76,7 млрд долларов в июне 2018 года.

Хотите узнать, как производятся чипы EMV? Посмотрите это видео.

Как работает EMV

Существует несколько аспектов работы чип-карты.Вот мнение Visa:

  1. Компьютерный микрочип. Компьютерный чип надежно хранит данные карты, которые находятся на магнитной полосе. Это делает практически невозможным создание поддельной чип-карты EMV.
  2. Уникальная криптограмма. Компьютерный чип обеспечивает более безопасную обработку, создавая одноразовый код для каждой транзакции.
  3. Мобильный шоппинг. Технология EMV также позволит использовать одноразовый код для мобильных транзакций и поддерживать другие инновации в области безопасности, такие как токенизация.

Как использовать кредитную карту с чипом EMV

Не знаете, как использовать эту новую карту с чипом? Это просто:

  1. Вставьте карту. Вставьте карту, повернув микросхему к терминалу вверх, а не проводите пальцем.
  2. Оставьте карту в покое. Оставьте карту в терминале до тех пор, пока не будет предложено ее вынуть.
  3. Подпишите квитанцию. Вас могут попросить предоставить подпись или PIN-код, хотя многие продавцы теперь разрешают небольшие покупки без подписи.
  4. Удалите карту. Некоторые терминалы будут предлагать вам извлечь карту с громким звуковым сигналом. В любом случае, не забывайте об этом!

Основные преимущества

Чип-карты EMV, в которых безопасность является главной особенностью, обеспечивают дополнительную защиту каждой вашей покупки. Как выяснили финансовые эксперты, мошенничество — это большой бизнес, поэтому вам нужна вся помощь, которую вы можете получить:

  • Проверки были направлены против
  • 74%
  • Были нацелены на мошенничество с использованием электронных средств
  • 48%
  • Было выявлено мошенничество с корпоративными картами
  • 30%

Источник: Исследование AFP Payments Fraud Survey за 2018 год

В связи с тем, что многие потребители думают о мошенничестве, карта с чипом — это долгожданный пакет в почте.Все еще нужно убедить? Вот преимущества чип-карты EMV:

  • Нельзя легко подделать. Поскольку чип-карты EMV используют криптограммы, уникальные для каждой транзакции, украденные данные чип-карты не могут быть использованы для создания поддельных карт, сообщает Visa.
  • Меньше риска мошенничества. Visa заявляет, что дополнительный уровень безопасности, обеспечиваемый чип-картами, делает данные кредитных и дебетовых карт гораздо менее ценными, что снижает стимул для кражи данных злоумышленниками.
  • Нулевая ответственность. С чип-картами держатели карт по-прежнему защищены от мошеннических покупок благодаря политике нулевой ответственности Visa, которая широко распространена в отрасли.
  • Простота использования. Как только вы освоите это, вы обнаружите, что чип-карта очень проста. Если вы чувствуете, что это занимает слишком много времени, вы не одиноки (хотя на самом деле это занимает всего несколько секунд). Опрос CreditCards.com показал, что одна шестая потребителей считает, что это занимает слишком много времени, хотя почти три пятых не имеют жалоб.

Об авторе

Лаура Мохаммад

Старший редактор CreditCards.com Лаура Мохаммад пишет, редактирует и тренирует все, что связано с кредитными картами, и работает, чтобы предоставить вам самый последний анализ и советы.За более чем 20 лет работы Лоры в качестве журналиста по финансам и личным финансам, ее работы появлялись в таких публикациях и веб-сайтах, как The New York Times, The Associated Press, StreetAuthority.com и American City Business Journals. Вы можете связаться с Лаурой по адресу [email protected]

Как работает чип в моей кредитной карте?

За последнее десятилетие эмитенты кредитных карт по всему миру перешли от кредитных карт с магнитной полосой к кредитным картам с чипом EMV®. Основная причина изменения — безопасность; Чип-кредитная карта менее подвержена личному мошенничеству, чем карты с магнитной полосой.

Вот краткое изложение того, как карты с чипом делают ваши транзакции в точках продаж более безопасными, а также почему вам все же необходимо принимать меры предосторожности для защиты вашей личной информации.

Сравнение магнитной полосы и кредитных карт с чипом

Основная проблема магнитных полос на кредитных картах заключается в том, что они содержат всю информацию о держателях карт, которая может потребоваться для совершения покупки или изготовления поддельной карты. А с помощью современных технологий эти данные можно украсть с помощью простых телефонных приложений или десятков считывателей полосок.

Итак, как чип вашей кредитной карты останавливает потенциальных воров? Не вдаваясь в технические подробности, вот основное отличие: хотя данные на магнитной полосе карты остаются неизменными с течением времени, чип на вашей карте генерирует уникальный код для каждой транзакции, который можно использовать только один раз.

Другими словами, каждый раз, когда вы вставляете свою кредитную карту с чипом в считывающее устройство или используете функцию бесконтактной оплаты, компьютер в чипе генерирует новый код транзакции для этой покупки.Это означает, что даже если вор сумел скопировать информацию о чипе вашей кредитной карты для определенной транзакции в торговой точке (POS), он не сможет ничего с ней сделать.

То же самое верно и в отношении утечки данных в розничных сетях. Чип вашей кредитной карты не остановит похитителя данных от кражи данных транзакций или записей для личных покупок, но он делает сами данные гораздо менее ценными и более сложными в использовании.

Нужна ли для вашей кредитной карты подпись или PIN-код?

На протяжении десятилетий держатели карт, которые использовали кредитные карты с магнитной полосой, были обязаны расписываться при каждой покупке.Затем эта подпись сравнивалась компанией с подписью на обратной стороне вашей кредитной карты. Однако после перехода на чиповые кредитные карты подписи стали менее распространенными.

В наши дни стало несколько редкостью, когда вас просят подписать квитанцию, если вы совершаете покупку с помощью кредитной карты с чипом, хотя это случается (в основном в ресторанах). В большинстве случаев вы вставляете свою чип-карту в считыватель, ждете несколько секунд, а затем вынимаете карту, когда будет предложено (часто с помощью абразивного предупреждения, предназначенного для того, чтобы вы не ушли без карты).

Однако подход с использованием чипа и подписи используется только в США. Если вы путешествуете за границу, ваша карта на основе подписи может вызвать недоумение или вообще не работать.

Это потому, что многие другие страны, особенно в Европе, используют систему с чипом и PIN-кодом, которая использует как чип кредитной карты EMV®, так и четырехзначный PIN-код для крупных покупок. Для небольших покупок широко распространены бесконтактные платежи, для которых не требуется PIN-код.

Чип-карты не решают все

Чтобы быть совершенно ясным, технология карт EMV® не защищает вас от мошенничества.Во-первых, кто-то, кто украл вашу физическую карту, все еще может использовать ее для покупок в любом месте, где не проверяются подписи или удостоверения личности (что, давайте посмотрим правде в глаза, в настоящее время большинство мест).

Более того, чип вашей кредитной карты не решает проблему мошенничества с цифровыми картами. Вору все еще относительно легко использовать информацию о вашей украденной кредитной карте в Интернете. Таким образом, в то время как чиповые кредитные карты помогли сократить количество случаев мошенничества с картами лично, количество случаев мошенничества с кредитными картами в Интернете неуклонно растет.

Технология чиповых карт также не предотвращает различные виды мошенничества с кредитными картами, например воров, которые обманом заставляют владельцев карт раскрывать информацию об учетной записи, такую ​​как номер карты или пароль.Это также не мешает открывать счета на имена потребителей без их ведома.

Шаг в правильном направлении

К настоящему времени большинство, если не все, ваши кредитные карты, вероятно, используют чиповые технологии, и у большинства розничных продавцов есть считыватели чип-карт. Но хотя кредитная карта с чипом, безусловно, может сделать вашу кредитную информацию более безопасной, она не на 100% безопасна.

Даже если у вас есть кредитная карта с чипом, по-прежнему чрезвычайно важно хранить вашу личную информацию в безопасности и отслеживать свои кредитные отчеты на предмет любых подозрительных действий, чтобы избежать мошенничества с кредитными картами.

Если вы действительно стали жертвой мошенничества с кредитными картами, сразу же сообщите об этом своему эмитенту. С другой стороны, несанкционированные покупки с помощью кредитной карты не обанкротят вас; по закону вы несете ответственность только за мошеннические покупки по кредитным картам на сумму до 50 долларов, и большинство эмитентов не взимают с вас ни цента.

Чип EMV — Что такое смарт-карта EMV? (Май 2021 г.)

Последнее обновление: 3 мая 2021 г. — Приблизительное время прочтения: 9 минут

Что означает EMV?

EMV — это сокращение от Europay, MasterCard и Visa, основателей в 1994 году.Обычно это кредитная карта со смарт-чипом.

Стандарт EMV — это технология безопасности, используемая во всем мире для всех платежей, совершаемых с помощью кредитных, дебетовых и предоплаченных смарт-карт EMV.

Новый чип на кредитных картах означает безопасность платежей для почти 11 миллиардов карт в начале 2021 года.

Его можно использовать в трех формах: контактном, бесконтактном и мобильном.

Давайте узнаем, почему чиповые карты EMV завоевывают мир по 8 точкам и видео.

№1.Что такое чип EMV?

№2. Чип-и-ПИН и Чип-и-подпись. Какая разница?

№3. Почему EMV более безопасен?

№4. Значение сдвига ответственности EMV (сильная мотивация)

№5. Последняя статистика развертывания EMV

№6. Каковы ключевые особенности EMV?

№ 7. Ощутимые преимущества

№8. EMV для мобильных платежей тоже

Давайте прыгнем прямо.

№1.Что такое карта EM V?

Карты EMV используют смарт-чип вместо магнитной полосы для хранения данных, необходимых для обработки транзакции.

EMV® определяет набор стандартов безопасности для транзакций по кредитным и дебетовым картам. EMV также можно использовать для мобильных платежей NFC.

Их также называют «EMV-карты», «EMV-карты» или «EMV-кредитные карты», «чиповые карты и карты с PIN-кодом», «чиповые карты и карты подписи» или даже «IC-карты» (для интегральных схем).

Видео по теме: Как создаются чипы EMV

№2.В чем разница между чипом и PIN-кодом и чипом и подписью?

В обоих случаях это карты EMV.

  • Большинство карт, выпущенных в США, имеют чип и подпись . Процесс оплаты EMV требует, чтобы владелец карты предоставил подпись для завершения транзакции, как это обычно делалось с кредитными картами в прошлом.
  • За пределами США более распространен код с чипом и PIN-кодом . Функция PIN требует секретного четырехзначного PIN-кода, известного только держателю карты, для подтверждения платежа EMV.Это более безопасно.

В 2021 году большинство банкоматов и платежных терминалов за пределами США были обновлены и могут определять, что ваша карта соответствует стандарту EMV , что PIN-код не был выпущен для вашей карты, и подтверждать транзакцию.

В любом случае, неплохо было бы путешествовать с чип-картой, которая предлагает оба метода аутентификации, и иметь при себе несколько кредитных карт.

№3. Почему чиповые карты EMV более безопасны?

EMV обеспечивает повышенную безопасность и глобальную совместимость с карточными и мобильными платежами, даже при платежах без карты, в сочетании с устройством для чтения карт или устройством одноразового пароля.

Чип * на карте EMV может выполнять гораздо более сложную аутентификацию, чем карты с магнитной полосой.

Другими словами, в каждую карту EMV встроена полностью работающая компьютерная система .

Чип защищен от несанкционированного доступа, поэтому клонирование карты практически невозможно.

С помощью прежней технологии (магнитной полосы), изобретенной IBM в 60-х годах, платежную карту стало очень легко дублировать.

* Дополнительную информацию о технологии смарт-карт можно найти здесь: основы смарт-карт.

№4. Что означает изменение ответственности EMV?

В США в октябре 2015 года вступила в силу смена ответственности за мошенничество (также известная как «Смена ответственности EMV ») для устройств POS (Point Of Sale).

Смена ответственности для наружных автоматических ТРК была запланирована на 1 октября 2020 года.

Перед лицом COVID 19 бренды карт (Visa, Mastercard, Discover, American Express и Voyager) решили отложить перенос ответственности за автоматические топливораздаточные колонки (насосы) до 16 апреля 2021 года.

Однако обновление до EMV не является законом как таковым .

Но в правилах, определенных Express, Discover, MasterCard и Visa (мандат EMV ), четко указано следующее:

Ответственность за мошенничество с предъявлением карты (обычно, когда вы передаете свою карту продавцу в магазине) теперь может ложиться на банк-эмитент карты или торговца, если технология EMV отсутствует.

Раньше этого не было.

Другими словами: бремя мошенничества ложится на сторону продавца, если карта «проведена» (с использованием магнитной полосы), а не «погружена» (с использованием чипа и выполнением транзакции EMV).

Это происходит с предприятиями, использующими терминал EMV, если они не используют его должным образом, и с продавцами, которые еще не перешли на EMV.

На этом этапе вы понимаете, почему продавцы заинтересованы в обновлении своих платежных устройств для приема новых карт и почему банки выпускают чиповые карты EMV.

Излишне говорить, что миграция EMV сейчас идет полным ходом в США.

В августе 2015 года Резервный банк Индии (RBI) обязал банки поэтапно отказаться от платежных карт с магнитной полосой и перейти на чиповые карты EMV.RBI установил 31 декабря 2018 года в качестве крайнего срока для переноса чипа и PIN-карты. (Почему индийские банки обновляют ваши дебетовые и кредитные карты.)

Транзакция в банкомате может быть отклонена из-за не-EMV TXN (TXN — это сокращение от транзакции). Это означает, что у вас нет карты EMV, и вам нужно ее получить. Этот шаг соответствует рекомендациям RBI для банков в отношении транзакций, не связанных с EVM.

Результат?

№ 5. Статистика развертывания EMV

Сейчас их более 10.81 миллиард чиповых карт EMV в обращении на конец 2020 года. Это почти на 10% больше, чем в 2019 году.

В четвертом квартале 2020 года, согласно информации, полученной от American Express, Discover, JCB, Mastercard, UnionPay и Visa, 86,1% всех транзакций с использованием чип-карты в мире (как контактных, так и бесконтактных) — использовались чипы EMV технология.

Итак, переход на EMV завершен?

Нет, пока нет в Азии и в США

Точнее на 2020 год, общее количество транзакций EMV составило:

  • 98.21% для Африки и Ближнего Востока с 339 млн карт в обращении
  • 81,03% для Азии с 6,88 млрд карт
  • 95,43% для Латинской Америки, Канады и Карибского бассейна с 1,02 млрд. Emv-карт
  • 99,23% для зоны 1 Европы с 1,07 млрд.
  • 96,97% для зоны Европы 2 с 335 м
  • 72,83% для США с 1,16 млрд.

В 2020 году 66,4% всех выпущенных платежных карт в мире были на базе чипов EMV.

Только в США:

  • За год (с 2019 по 2020) количество транзакций по предъявлению карт EMV увеличилось с 62.97% до 72,83%, т. Е. + 15,6%.

Статистика мошенничества с EMV

Согласно отчету Visa, опубликованному в июне 2019 года, мошенничество в США (по стоимости) в марте 2019 года сократилось на на 87% () по сравнению с сентябрем 2015 года.

Это означает, что технология EMV работает по плану.

Узнайте, как чиповые карты EMV могут снизить уровень мошенничества при оплате в случаях мошенничества без предъявления карты.

№6. Как работает EMV?

Микросхема EMV

Почему спецификации EMV явно требуют наличия смарт-чипа внутри каждой карты?

По одной причине — безопасность.

Чип смарт-карты — это небольшой компьютер с микропроцессором, некоторой памятью и прикладным программным обеспечением.

В отличие от карты с магнитной полосой, смарт-карту сложно взломать, поскольку она разработана с учетом требований безопасности.

Он также содержит безопасное хранилище, в котором хранятся уникальные ключи для каждой карты, которые защищают ваши транзакции.

Уникальный код для каждого платежа EMV

Карты

EMV генерируют уникальный код, который ваш банк проверяет для каждой транзакции, и этот код нельзя использовать повторно.

Мошенник не может совершить транзакцию с использованием поддельной карты с украденными данными на терминале EMV, потому что он не сгенерирует правильный код.

Короче говоря, с технологией EMV: без перемотки, без повтора.

Расширенная криптография

Безопасность

EMV основана на надежной криптографии, которая генерирует уникальные коды транзакций, которые позволяют терминалу аутентифицировать карту.

Эта криптография построена на инфраструктуре закрытого ключа, а это означает, что только персонализированная чип-карта с закрытым ключом держателя карты во время производства может сгенерировать действительную транзакцию.

SDA в сравнении с DDA

Методы аутентификации карты

(CAM) были основаны на аутентификации статических данных (SDA).

Однако мир движется вперед, и подавляющее большинство поставляемых сегодня платежных карт имеют более сложную динамическую аутентификацию данных (DDA) или комбинированную аутентификацию данных (CDA).

Так что же такое DDA точнее?

Это протокол проверки подлинности карты EMV.

Это офлайн-метод аутентификации (то есть без сети).Он использует данные с карты, чтобы позволить терминалу EMV аутентифицировать карту.
Терминал (например, POS) поставляется с предварительно загруженными ключами. Он будет проверять дополнительные ключи на карте для каждой транзакции . Это отличная защита от клонирования сертификатов и скимминга карт.

Visa и MasterCard обязали перейти на DDA для всех смарт-карт EMV в Европе и Канаде, и это становится стандартом и в США.

Токенизация EMV

EMV Tokenization — это новый стандарт безопасности, недавно разработанный EMVCO для облегчения электронной коммерции.

Его цель — защитить платежи по карте в файле, например, платежи с использованием информации карты клиента, уже сохраненной из предыдущей транзакции.

Доказано, что процесс токенизации EMV значительно снижает количество отказов карт.

  • Это сокращает потенциальную потерю выручки , когда покупки не могут быть завершены.
  • Это улучшает пользовательский опыт (и они не пойдут на соревнование).

№ 7. Каковы преимущества EMV?

Безопасность платежей: чип EMV вдвое сократил количество случаев мошенничества в США.С. первый год.

EMV — одна из самых безопасных форм оплаты .

EMV почти на 100% эффективен в предотвращении личного мошенничества с поддельными картами (в магазине, мошенничество с предъявлением карты ).

  • Когда Франция перешла на EMV в 2005 году, мошенничество с картами практически исчезло.
  • Случай был воспроизведен в Великобритании в 2012 году (чип и PIN-код).

США начали внедрение в конце 2015 года, и исследование Федеральной резервной системы (США), проведенное в 2018 году, показало, что количество мошенничества с предъявлением карт в стране снизилось с 3 долларов.68 миллиардов долларов в 2015 году до 1,91 миллиарда долларов в 2016 году.

Это снижение на 48% за ОДИН год.

Согласно отчету Visa за июнь 2019 года, упомянутому ранее, за три с половиной года это снижение на 87%.

Увеличение расходов на карту

Удобство использования бесконтактной чиповой карты EMV, вероятно, сделает ее новым фаворитом ваших клиентов, что приведет к повышению лояльности и увеличению расходов по этой карте.

Увеличение емкости бесконтактных карт даже привело к значительному увеличению количества транзакций с этими картами.

Глобальная совместимость стандарта EMV

EMV — это международный стандарт для платежей. Проникновение технологии на рынок растет во всем мире, в частности, почти 100% соответствие требованиям EMV в некоторых частях Европы и Канады.

Сегодня, используя карты с магнитной полосой, ваши клиенты, возможно, не смогут расплачиваться своими картами во время международных поездок.

Другими словами: везде, где держатели чиповых карт EMV совершают покупки, они получают надежность и удобство.

Укрепление отношений с клиентами

Переход на EMV — это возможность показать вашим клиентам, что вы серьезно относитесь к их безопасности.

№8. Чип EMV для мобильных платежей тоже

Контактная чип-карта EMV.

Contact EMV предлагает дополнительную безопасность чипа EMV, что делает невозможным создание поддельных карт. Контактные карты можно использовать во всех платежных POS-терминалах с поддержкой EMV.

Карта вставлена ​​в терминал.Он остается там, пока клиент вводит ПИН-код или пишет свою подпись.

Бесконтактная (двойная) карта EMV

Contactless — это уровень, на который стоит пойти, если вам нужна удобная, перспективная и безопасная технология.

Ограничение бесконтактных платежей по стране позволяет осуществлять платежи с помощью NFC без авторизации по PIN-коду.

Карта постукивается о POS-терминал или машет перед ним.

Бесконтактный — безопасный вариант, который согласуется с рекомендациями по социальному дистанцированию.

Общее использование бесконтактных технологий (карты и цифровой кошелек) быстро растет в США, особенно во втором квартале 2020 года.

По сообщению NFCW 1 мая 2020 года, в США сейчас самое большое количество бесконтактных карт среди всех рынков — 175 миллионов.

Мобильный платеж

При использовании мобильного EMV учетные данные клиента загружаются непосредственно в сотовый телефон или носимое устройство с поддержкой NFC. Этот процесс так же безопасен, как и бесконтактный чип EMV, но с превосходным удобством и дополнительными возможностями.

Смартфон постукивают или машут рукой касательно терминала, как бесконтактной картой.

Дополнительные ресурсы по оплате EMV

Кредитные карты теперь поставляются с чипом

Возможно, вы недавно получили новую кредитную карту или дебетовую карту со встроенным в нее компьютерным чипом. Это часть общенационального перехода основных эмитентов карт к обеспечению дополнительной защиты от мошенничества и переносу ответственности с эмитентов карт на продавцов, если они не перейдут на эту технологию к октябрю.1, 2015.

Но действительно ли эта новая технология поможет защитить потребителей и снизить издержки от мошенничества? По данным Javelin Research, только в США в прошлом году расходы на мошенничество с кредитными и дебетовыми картами составили 16 миллиардов долларов.

ПодробнееБанки борются с мошенничеством с кредитными картами

Таким образом, эмитенты карт принимают меры, чтобы затруднить подделку карт. К крайнему сроку, 1 октября, компании, выпускающие кредитные карты, и розничные продавцы перейдут на «смарт-карты» с использованием новой технологии под названием EMV, что означает Europay, MasterCard и Visa, три компании, которые создали стандарт обработки платежей.Но не все компании смогут это сделать к этому сроку. И многие потребители, возможно, еще не активировали свои новые чиповые карты EMV.

Около 120 миллионов американцев уже получили карту, и ожидается, что к концу года это число вырастет до 600 миллионов, согласно сайту сравнения карт CreditCards.com.

Как усложнить подделку

Микрочип на вашей кредитной или дебетовой карте затрудняет работу мошенников по двум важным причинам.»Это затрудняет физическую подделку карты и создает уникальный код транзакции, который передается продавцу каждый раз, когда вы совершаете покупку с помощью карты. Это означает, что у продавца будет намного меньше ваших полезных данных, а вместо этого будет этот уникальный код транзакции », — говорит Мэтт Шульц, старший аналитик CreditCards.com.

Подробнее Какой остаток нужно погасить в первую очередь?

Кража уникального кода транзакции и использование его для мошеннических покупок — это все равно что иметь пароль с истекшим сроком действия: он никому не принесет никакой пользы.Но в то время как новые чиповые карты могут защитить вас от так называемого мошенничества с «наличием карты», когда злоумышленники используют физические поддельные карты, технология еще не решила проблему онлайн-мошенничества. Это составляет примерно 16 процентов от общих потерь от мошенничества с кредитными и дебетовыми картами.

Аналитики прогнозируют, что мошенничество с кредитными картами в обычных розничных сетях упадет после внедрения карт с чипом. Тем не менее ожидается, что онлайн-мошенничество будет расти, поскольку все больше продавцов постепенно присоединяются к новой системе.По оценкам исследовательской и консалтинговой компании Aite Group, мошенничество с онлайн-картами в США увеличится более чем вдвое, до 6,4 млрд долларов с 3,1 млрд долларов в период с 2015 по 2018 год.

Провал вместо считывания

По данным в Федеральный резервный банк Чикаго.

Для многих малых предприятий это может быть значительными расходами, задерживая переход. А с 1 октября, если мошенническая деятельность происходит в розничном магазине, который еще не модернизировал свою систему для поддержки технологии чипов, то ответственность будет нести продавец, а не эмитент карты или обработчик платежей.

ПодробнееПочему задолженность по кредитной карте становится более рискованной

«Это действительно движущая сила этого шага», — сказал Шульц.

Что касается потребителей, пожалуй, самым большим изменением станет конец свайпа. Вместо этого вы будете опускать свою карту в терминалы для каждой транзакции — и, возможно, придется подписывать или вводить PIN-код для завершения покупки.

Почему EMV более безопасен?

Безопасность чип-карты — это последний стандарт безопасности кредитных карт. Этот стандарт (названный EMV®, который был разработан и управляется American Express, Discover, JCB, Mastercard, UnionPay и Visa) включает в себя небольшой микрочип на кредитной карте, который защищает покупателей от мошеннических транзакций.

Из-за изменений в системе безопасности кредитных карт банки постепенно отказываются от карт с магнитной полосой в пользу этих более безопасных и аутентифицированных способов оплаты. Но в чем именно проблема карт с магнитной полосой? И чем чиповые карты лучше? Что ж, по ряду причин.

Во-первых, карты с магнитной полосой сильно устарели — они существуют с 60-х годов и используют ту же технологию, что и кассеты. И что удивительно, Соединенные Штаты — одна из последних стран, где они все еще существуют.EMV является стандартом в большинстве стран мира уже более десяти лет (вы, возможно, заметили, что чип-карты являются нормой, когда вы путешествуете по таким местам, как, например, Европа).

Так что же именно помогает чип-картам бороться с мошенничеством?

Функции безопасности чип-карты

1. EMV разработан для предотвращения мошенничества.
Карты

EMV в первую очередь предназначены для предотвращения мошеннических транзакций, которые происходят, когда кто-то физически проводит поддельную карту в платежном терминале.И технология чип-карт работает. В странах, которые приняли EMV в качестве стандарта, некоторые виды мошенничества с кредитными картами резко сократились.

2. Чип-карты действительно сложно клонировать.

Карты с магнитной полосой хорошо намагничены. Когда вы проводите по ним, платежный процессор считывает их магнитные поля и сопоставляет их с данными вашего банковского счета. Проблема заключается в том, что данные статичны, что упрощает мошенникам возможность поднять вашу информацию и клонировать ее на новую карту.На самом деле есть нечто, называемое скиммером, которое они могут получить или заработать всего за 20 долларов, и с которым это довольно легко сделать.

С другой стороны, данные на чип-картах постоянно меняются, что затрудняет их выделение и извлечение. Чтобы сорвать его, кто-то должен был бы проникнуть в схему физического чипа и манипулировать вещами, чтобы получить информацию о вашем банке. Этот уровень обработки данных не только действительно сложен, но и требует набора высокотехнологичного оборудования, которое может стоить к северу от 1 миллиона долларов.Это не те деньги, которые есть у среднего мошенника.

Принимайте карты с чипом и Apple Pay везде.

Заказать Квадратный бесконтактный и чип-ридер.

3. Кредитные карты с чипом и PIN-кодом имеют сложное шифрование.

Карты с магнитной полосой передают банковскую информацию в платежный терминал «как есть». Square Reader и Stand обеспечивают безопасность этой информации, шифруя ее сразу после получения. Чип-карты отличаются тем, что они имеют сложное шифрование, встроенное прямо в чип.Когда вы опускаете чип-карту (это погружение, а не смахивание), она разговаривает с платежным терминалом на секретном языке, чтобы убедиться, что это действительно вы платите.

Длинный и короткий из этого? EMV и NFC — намного лучшие способы оплаты, чем карты с магнитной полосой. И как малый бизнес, вы сможете принять и то, и другое. Вы можете заказать бесконтактный и чиповый ридер Square уже сегодня.

Риски безопасности чип-карты

Кредитные карты

US EMV определенно являются усовершенствованием своих аналогов с магнитной полосой.Но это не значит, что вы можете ослабить бдительность. В американских кредитных картах с чипом используется стратегия под названием «Чип и подпись», что означает, что вам не нужно вводить пин-код для завершения транзакции.
Но в Европе этот процесс стал стандартом и обеспечивает большую безопасность.
В США дебетовые карты EMV обычно используют PIN-коды, но не все банки еще выпустили новые карты, поскольку они предпочитают в первую очередь продвигать новые кредитные карты с чипом.

Еще одна потенциальная угроза безопасности? Если в местном магазине нет точки продажи с чипом (это означает, что нет слота, в который можно было бы «погрузить» свою кредитную карту), то вам необходимо использовать магнитную полосу на обратной стороне карты, а чип — нет. t активирован.Это означает отсутствие дополнительной защиты от чипа.

К счастью, всех этих рисков можно избежать, добавив в телефон свою дебетовую и кредитную карты. Мобильные платежи фактически не хранят номер кредитной карты устройства. Вместо этого они используют так называемую «токенизацию» для отправки временных номеров, которые точки продажи могут использовать для этой конкретной транзакции. Затем номер изменится, и его нельзя будет использовать снова. Кроме того, с новыми смартфонами Apple и Android Pay используют биометрические данные (отпечатки пальцев), чтобы сделать его еще более безопасным.

Вскоре вы захотите настроить свой бизнес на прием платежей NFC (бесконтактные) и EMV.

Общая безопасность кредитных карт — это то, чего следует остерегаться в 2016 году. Но с появлением новых технологий, таких как чиповые и PIN-коды кредитных карт и Apple Pay, эта тенденция определенно набирает обороты.

Описание чипов EMV и всех кредитных карт, в которых они есть

Мы являемся свидетелями серьезных изменений в том, как мы расплачиваемся с помощью кредитных карт.Он представлен в виде небольшого чипа, который называется чипом EMV.

Микросхема , которую некоторые потребители уже имеют на своих картах сегодня, предназначена для лучшей защиты вашей информации всякий раз, когда вы используете свою карту в магазине .

Как это работает и где взять кредитную карту с EMV-чипом? Разрешите заполнить.

Что означает «EMV»?

EMV — это сокращение от Europay, MasterCard и Visa , трех глобальных компаний, выпускающих карты, которые первоначально разработали новый стандарт безопасности для платежных карт в 1995 году.

Эта технология широко считается более безопасной по сравнению с традиционной магнитной полосой, которую сегодня можно увидеть на большинстве кредитных карт США.

Чипы EMV, встроенные в ваши карты, считываются путем вставки карты в платежный терминал (аналогично использованию дебетовой карты в банкомате), а не при считывании.

Обычно чип шифрует информацию о транзакции, когда вы совершаете покупку.

Даже если кто-то украл эту информацию, было бы чрезвычайно сложно использовать данные для совершения мошенничества, обычно в форме несанкционированных покупок.

Принимая во внимание череду утечек данных — затронувших Target, Home Depot и многие другие — которые преследовали розничных торговцев, банки и потребителей в прошлом году, подумайте о головных болях, которые были бы спасены с помощью технологии чипов EMV.

EMV станет стандартом США

Если EMV — лучший способ, почему не все наши кредитные карты уже оснащены им? Что ж, до недавнего времени США не находили достаточно веских причин для отказа от традиционной магнитной полосы на платежных картах.Эти утечки данных, несомненно, сыграли роль в подчеркивании необходимости более безопасных платежей по картам.

Фактически, чипы EMV уже являются стандартной технологией для карт для многих зарубежных стран, особенно для Европы, где мошенничество с картами вышло из-под контроля. США просто играют в догонялки после того, как их критиковали за опоздание на вечеринку.

Итак, это две основные причины, по которым мы должны отказаться от магнитных полос:

  1. Более безопасные покупки в магазине
  2. Прием карт при выезде за пределы США.С.

К счастью, скоро мы увидим гораздо больше кредитных карт с чипами EMV благодаря совместным усилиям четырех крупных сетей обработки карт США.

Согласно правилам, которые вступят в силу в конце 2015 года, American Express, Discover, Mastercard и Visa обязывают эмитентов карт и / или продавцов покрывать убытки, связанные с мошенническими покупками, если они не предлагают кредитные карты с чипом EMV (эмитенты карт). или не принимайте их (торговцы). Правила будут применяться позже для заправочных станций.

Эмитенты карт и продавцы, которые не хотят оплачивать счета за мошенничество, захотят убедиться, что покупки совершались с помощью карт с чипом EMV.

Ознакомьтесь с предстоящими изменениями в политике для каждой из этих сетей карточных платежей:

Сроки смены ответственности EMV

Сетевая карта Правило о переносе ответственности за мошенничество Срок
American Express Ответственность за определенные типы мошеннических транзакций перейдет от стороны (эмитента карты или продавца), у которой есть наиболее безопасная форма технологии EMV. 1 октября 2015 г. (1 октября 2017 г. для АЗС)
Откройте для себя Ответственность за мошеннические транзакции переходит от стороны (эмитента карты или продавца), которая имеет наивысший уровень безопасности платежей. 1 октября 2015 г. (1 октября 2017 г. для АЗС)
MasterCard Сторона (эмитент карты или продавец), которая сделала инвестиции для обработки транзакций с чипом EMV, будет защищена от финансовой ответственности в случае потерь от мошенничества с предъявлением карты. 1 октября 2015 г. (1 октября 2017 г. для АЗС)
Виза Сторона (эмитент карты или продавец), которая является причиной того, что транзакция «чип-на-чипе» не состоялась, будет нести финансовую ответственность за убытки от мошенничества с предъявлением карты. 1 октября 2015 г. (1 октября 2017 г. для АЗС)

Найти кредитную карту с EMV-чипом

Многие из крупнейших эмитентов кредитных карт США начали предлагать версии своих кредитных карт с чипом EMV.American Express, Chase и Citibank — лишь некоторые из известных компаний, занимающихся этим.

Вы с большей вероятностью найдете чипы на туристических кредитных картах, потому что у вас больше шансов найти продавцов, которым требуются карты с чипом EMV при поездках за границу.

На самом деле существует два типа чиповых карт EMV: чип-и-подпись и чип-и-PIN. Различия могут быть очевидны. Чип и подпись потребуют только подписи при совершении покупок. Chip-and-PIN потребует от вас ввести число, которое знаете только вы.

Поскольку подпись легко подделать, чип и PIN-код считается более безопасным из двух типов. В настоящее время большинство карт с чипом EMV в США — это карты с чипом и подписью. Однако люди просят чип и PIN-код из-за дополнительной безопасности.

Некоторые банки удовлетворяют спрос. Chase, например, выпустил кредитные карты с чипом и PIN-кодом в конце 2014 года — банк выдает карты с чипом и подписью уже несколько лет.

Ниже вы найдете полный список кредитных карт с чипом EMV, которые в настоящее время доступны в США.S. Если у вас есть карта с чипом EMV, вам следует позвонить по номеру телефона, указанному на обратной стороне карты, и запросить обновленную карту.

Карты с чипом EMV

! !
Финансовое учреждение Карточка (ы) Тип микросхемы EMV
Alliant Credit Union Платиновые и платиновые награды Чип и подпись
American Express Почти все платежные и кредитные карты American Express Чип и подпись
Эндрюс FCU GlobeTrek Rewards Чип-подпись / Чип-и-PIN
Банк Америки BankAmericard Travel Rewards Чип и подпись
Банк Америки Награды для участников AAA Чип и подпись
Банк Америки Дебетовая BofA Чип и подпись
Банк Америки Королевский Карибский бассейн Чип и подпись
Банк Америки Норвежская круизная линия Чип и подпись
Банк Америки BankAmericard Cash Rewards ™ Чип и подпись
Банк Америки BankAmericard Чип и подпись
Банк Америки BankAmericard Power Rewards Чип и подпись
Банк Америки Virgin Atlantic White Card Чип и подпись
Банк Америки Черная карта Virgin Atlantic Чип и подпись
Банк Америки Привилегии BankAmericard с программами Travel Rewards Чип и подпись
Банк Америки Привилегии BankAmericard с денежными вознаграждениями Чип и подпись
Банк Америки Черная карта Virgin Atlantic Чип и подпись
Банк Америки Asiana Airlines Чип и подпись
Банк Америки Alaska Airlines Чип и подпись
Банк Америки Гавайские авиалинии Чип и подпись
Barclaycard / Bank of Hawaii Гавайские авиалинии Чип-подпись / Чип-и-PIN
BMO Harris Bank Diners Club Чип-и-PIN
Capital One Венчурное предприятие Чип и подпись
Чарльз Шваб Charles Schwab Bank VISA Дебетовая карта Чип и подпись
Чейз Чейз Фридом® Чип и подпись
Чейз Хаятт Чип и подпись
Чейз Marriott Rewards Premier Чип и подпись
Чейз British Airways Чип и подпись
Чейз Дж.П. Морган Селект Чип и подпись
Чейз J.P. Morgan Palladium Чип и подпись
Чейз Ритц-Карлтон Чип и подпись
Чейз Сапфир предпочтительный Чип и подпись
Ситибанк Платина Выбрать Чип и подпись
Ситибанк Спасибо, You Preferred Чип и подпись
Ситибанк Предпочтительный алмаз Чип и подпись
Ситибанк Дивиденды Чип и подпись
Ситибанк Простота Чип и подпись
Ситибанк Нападающий Чип и подпись
Ситибанк AAdvantage Gold Чип и подпись
Ситибанк AAdvantage Platinum (Visa) Чип и подпись
Ситибанк AAdvantage Platinum (MasterCard) Чип и подпись
Ситибанк Hilton Honors Reserve Чип и подпись
Ситибанк Спасибо, Premier Чип и подпись
Ситибанк Престиж Чип и подпись
Ситибанк AAdvantage Executive Чип и подпись
Городской национальный банк Платина Чип и подпись
Городской национальный банк Подпись Чип и подпись
Городской национальный банк Кристалл Чип и подпись
Коммерческий банк Визовая подпись Чип-подпись / Чип-и-PIN
Верность American Express Чип и подпись
Верность Виза Чип и подпись
HSBC Premier World MasterCard® Чип и подпись
HSBC Платина с вознаграждением Cash or Fly Чип и подпись
HSBC Платина Чип и подпись
NC SECU Дебетовая карта Visa Check Чип и подпись
PenFed Обещание Чип-подпись / Чип-и-PIN
PenFed Золото Чип-подпись / Чип-и-PIN
PenFed Платиновые денежные вознаграждения Чип-подпись / Чип-и-PIN
PNC PNC Premier Traveller Reserve Чип и подпись
PNC PNC Premier Traveler Чип и подпись
Sam’s Club / GE Capital Sam’s Club Mastercard Чип и подпись
Кредитный союз Star One Visa Classic Чип и подпись
Государственный департаментFCU Платиновые награды Чип-подпись / Чип-и-PIN
UNFCU Лазурный Чип-и-PIN
UNFCU Элит Чип-и-PIN
Банк США Льготы + Чип и подпись
Банк США Награды FlexPerks Travel Rewards Чип и подпись
Банк США KoreanAir SkyPass Classic Чип и подпись
Банк США KoreanAir SkyPass Secured Чип и подпись
Банк США Подпись KoreanAir SkyPass Чип и подпись
USAA Денежные вознаграждения World MasterCard® Чип-подпись / Чип-и-PIN
Walmart Walmart MasterCard Чип и подпись
Уэллс Фарго Платина Чип-подпись / Чип-и-PIN
Уэллс Фарго Награды Чип-подпись / Чип-и-PIN
Уэллс Фарго Кэшбэк Чип-подпись / Чип-и-PIN
Уэллс Фарго Propel World American Express Чип-подпись / Чип-и-PIN
Wings Financial Визовая подпись Чип-подпись / Чип-и-PIN

Почему чип-карты безопаснее считывания?

Вы получили новую кредитную карту с чипом.Теперь каждый раз, когда вы идете в магазин, возникает путаница, когда вы вставляете карту или проводите по ней. Вы слышали, что это как-то связано с безопасностью, но в чем именно смысл?

Чип-карты более безопасны, чем карты, в которых используется только магнитная полоса. Карты, которые используют технологию чипа EMV, сложнее скопировать мошенникам из личных транзакций. Карты с магнитной полосой несут статические данные непосредственно на магнитной полосе. Это означает, что мошенники могут легко скопировать вашу карту с помощью скиммера — инструмента, который обычно добавляется на заправочные станции и банкоматы для кражи информации о держателях карт.Чип-карты зашифрованы, поэтому их намного сложнее скопировать. Мошенникам придется физически манипулировать чипом на карте, чтобы получить информацию о вашем банке.

Прекращение мошенничества с кредитными картами

Количество мошенничества с кредитными картами и других форм кражи личных данных превышает 16 миллиардов долларов в год. Эмитенты кредитных карт тратят в среднем 12,75 долларов на замену каждой отдельной карты, которая, как сообщается, украдена или является частью крупномасштабной утечки данных.

В то время как потребители почти никогда не оплачивают расходы на мошенничество с кредитными картами напрямую — обычный результат — полное возмещение мошеннических расходов и бесплатная замена карты — защита от мошенничества осуществляется за скрытые расходы.Банки повышают процентные ставки и ежегодные сборы, чтобы покрыть свои убытки. Если продавцам не возместит банк их убытки, они также поднимут цены.

Прекращение поддельных транзакций

Один из крупнейших источников мошенничества с кредитными картами — это поддельные карты. Это также известно как клонирование. На это приходится 37 процентов мошенничества с кредитными картами.

Воры создают поддельные карты, воруя номера кредитных карт и даты истечения срока их действия с кредитных карт потребителей. Затем они создают свою собственную карту с вашей информацией и используют ее в магазинах.Чтобы получить информацию, они могут взломать большие базы данных или использовать скимминговые устройства в таких местах, как бензоколонки и торговые автоматы.

Проблема с картами с магнитной полосой заключается в том, что эта информация встроена прямо в полосу. Любой, у кого есть подходящий считыватель, может удалить всю вашу информацию с вашей карты, даже не осознавая, что происходит.

При использовании чиповых карт EMV информация все еще находится на вашей карте, но в зашифрованном виде. Чип, по сути, создает постоянно меняющийся секретный код.Информация о вашей кредитной карте различается для каждой транзакции, поэтому даже если воры просканируют вашу EMV-карту, они не смогут использовать ее без чипа.

Как насчет мест, которые все еще пролистывают?

Некоторые продавцы все еще заставляют клиентов проводить магнитные полосы вместо того, чтобы вставлять чипы. Это устраняет преимущества безопасности чипа, но вам не о чем беспокоиться. Как потребитель, вы по-прежнему получаете полную защиту своей кредитной карты от мошенничества, независимо от того, используете ли вы магнитную полосу или чип EMV.

Единственная разница между перенесенными и вставленными транзакциями на этом этапе заключается в том, кто покрывает стоимость мошенничества. Традиционно эмитенты кредитных карт покрывают убытки от мошенничества за счет своих комиссий за транзакции и процентных сборов. В соответствии с изменением ответственности EMV магазин теперь оплачивает убытки от мошенничества, если они не используют считыватель чипов EMV для обработки транзакций.

Как насчет онлайн-транзакций?

Онлайн-транзакции практически не зависят от новой технологии чипов EMV. Это потому, что процесс онлайн-оплаты остается прежним — вы вручную вводите данные своей кредитной карты.

Что делать?

Хорошая новость в том, что вам не нужно ничего делать. Несмотря на то, что во время перехода вы можете столкнуться с небольшими неудобствами в очереди на кассу в магазине, ваш кредитный союз и эмитенты карт прилагают все усилия, чтобы защитить вас за кулисами. Вы можете с комфортом пользоваться своей кредитной картой, зная, что у вас по-прежнему есть полная защита от мошенничества.




Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *