Man
Professional
- Messages
- 2,965
- Reaction score
- 488
- Points
- 83
Это было названо самым большим изменением на британской главной улице с момента перехода на десятичную систему, когда клиентам требовалось ввести секретный номер перед покупкой. Но действительно ли технология чипа и пин-кода защитит нас от мошенничества с картами? Айда Эдемариам отправляется за ответами.
Реклама была во всех газетах на прошлой неделе. На ней был изображен мужчина, держащий светодиодное табло и пин-пад. Под первой была подпись: «Числа могут заставить вас почувствовать что угодно»; под второй — «Чип и пин-код заставляют вас чувствовать себя в безопасности».
Рекламные объявления были для «нового безопасного способа оплаты», известного как чип и пин-код. Магнитные полосы на кредитных и дебетовых картах дополняются смарт-чипами, которые гораздо сложнее клонировать, и которые работают только тогда, когда клиент вводит свой собственный четырехзначный персональный идентификационный номер или «пин-код». Организаторы кампании назвали это самым большим изменением для британских покупателей с момента перехода на десятичную систему: ожидается, что 36 из 42 миллионов держателей карт получат свои новые карты к концу года. Только в сентябре было отправлено три миллиона карт; за тот же период 42 000 магазинов установили свои новые кассы. Кажется, за одну ночь технология чипов и пин-кодов произвела революцию в том, как мы совершаем покупки.
Конечно, заявления кампании о большей безопасности карт убедительны. Когда десять лет назад во Франции была введена система на основе ПИН-кода, говорят организаторы, уровень мошенничества с кредитными картами снизился на 80%; эта система более продвинута, чем французская, поэтому у них еще большие надежды. Но что на самом деле означает эта революция, которая обходится банковской отрасли в 300 миллионов фунтов стерлингов? И действительно ли эта система безопаснее предыдущей?
В моем местном газетном киоске на юге Лондона я спрашиваю, установили ли они уже свою систему, и встречаю полное недоумение. Наконец, один из двух мужчин за прилавком спрашивает: «Вам нужна телефонная карта?» Двое продавцов в видеомагазине за углом немного больше разбираются в этом. «О да, это», — говорит один. «У нас это уже давно есть, но никто еще не дошел до ее использования». «Не понимаю, в чем тут дело», — добавляет другой. «Австралийцы делают это уже давно» (так же, надо сказать, как и голландцы, французы, новозеландцы и южноафриканцы). Я спрашиваю всех, с кем говорю, проходили ли они какое-либо обучение — представитель программы чип-и-пин, некоммерческого офиса, отвечающего за внедрение, сказал мне, что у них «очень всеобъемлющая программа обучения розничных продавцов», — но никто не понимает, о чем я говорю.
Наконец, менеджер оптики через пару домов, Имран Патель, признается, что он пользуется системой уже пару недель, и "все идет очень хорошо. Было так много раз, когда мне приходилось смотреть на подпись и говорить: "Извините, я не могу это принять". Это значительно упрощает задачу. Я думаю, что это блестящая идея с точки зрения безопасности". Или, как говорится в письме, которое я недавно получил из своего банка: "Недостатки? Их нет!"
Это, конечно, красная тряпка для скептика. И действительно, не все так радужно. Одним из первых эффектов чипа и пин-кода, похоже, стал резкий скачок числа потерянных карт: к сентябрю было отправлено 56,8 млн карт с чипом и пин-кодом, а за последний год мошенничество с картами, утерянными по почте, выросло на 51%. Ассоциация платежных клиринговых служб признала в начале этого месяца, что появление чипа и пин-кода вызвало «безумие мошенничества».
Новые технологии, которые внедряются, тоже не помогают. Пин-пады находятся на удивление публично, и многие из них, похоже, не имеют защитных экранов. Я впервые ввел свои номера в ресторане на прошлой неделе, остро осознавая, что официантка стоит надо мной и наблюдает. Когда я закончил, моя подруга указала, что она не планировала этого делать, «но теперь я знаю ваш пин-код, и она, вероятно, тоже». Патель говорит, что беспокоится о своих пожилых и инвалидных клиентах, многим из которых трудно его разглядеть. Его особенно не впечатлили пин-пады, которые прикреплены к прилавкам, обращенными наружу. «Я думаю, это дерьмо».
Менеджер среднего по размеру магазина с лицензией на продажу спиртного на главной улице неподалеку говорит, что его больше беспокоят небольшие магазины с камерой над кассой. «Если у них появится нечестный сотрудник, то сама система безопасности, призванная помогать клиентам, нанесет им ущерб».
Проблема, говорит Майк Бонд, эксперт по безопасности в Кембриджском университете, заключается в том, что в настоящее время снятие наличных достаточно отделено от использования кредитных или дебетовых карт. Но если вы используете один и тот же пин-код для разных карт, как делают многие из нас, и вас выслеживают из магазина и наказывают, новая система может позволить чрезмерно наблюдательному покупателю немедленно получить доступ к вашим кредитным или дебетовым картам и средствам снятия наличных. Кроме того, мы будем вводить пин-коды гораздо чаще, чем когда-либо прежде, в самых разных контекстах, что экспоненциально увеличивает количество случаев, когда мы уязвимы для серфинга через плечо. Не нужно много расследований, чтобы обнаружить общее ощущение, что, хотя чип и пин-код могут гарантировать нам лучшую защиту от определенных видов крупномасштабного мошенничества, мы можем подвергать себя гораздо большему риску от мелкой преступности.
Так почему же банки и розничные торговцы так стремятся стать пастырями в новой системе? За всеми песнями и танцами о системах чип-пин скрывается также проект, который «не столько касается снижения рисков, сколько проектирования ответственности», утверждает Росс Андерсон, профессор инженерии безопасности в Кембриджском университете и ведущий ученый по безопасности в Великобритании. На первый взгляд, все в пользу клиента. В настоящее время банки несут ответственность за любые убытки, понесенные после того, как карта была заявлена как украденная, хотя они не слишком заинтересованы в том, чтобы мы это осознали (отсюда и огромное количество из нас, кто безропотно платит страховку кредитных карт). По словам Андерсона, чип-пин позволяет им требовать своего рода упреждающий карт-бланш. Они могут начать с обвинения в халатности: «Ты непослушный человек, ты был немного неосторожен с этим пин-кодом, не так ли? Наши новые системы защищены, так что это, должно быть, твоя вина». В случае серьезного мошенничества бремя доказательства ненадежности своих систем может лечь на клиента, что является «невыполнимым бременем доказательства», говорит Андерсон, который даже знал банк, преследовавший клиента, ставшего жертвой фиктивных снятий средств, за попытку мошенничества.
И поэтому мы отброшены назад к самой базовой, самой старомодной и низкотехнологичной из ценностей: доверию — особенно в 21 веке, когда это, волей-неволей, слепое доверие. На каком-то уровне мы все это знаем, и это ответственно за своего рода низкоуровневое, постоянное беспокойство и общую технологическую ярость. «Как общество, мы имеем странное отношение к доверию», — говорит Джон Кларк, старший преподаватель критических систем в Йоркском университете, специализирующийся на безопасности и криптографии. «Мы хотим доверия, как будто это все или ничего, мы хотим уверенности, как будто это все или ничего, и мы хотим безопасности, как будто это все или ничего. Но абсолютная безопасность невозможна. Все, что вы можете сделать, это управлять рисками».
Это также ставит банки в странное положение. Им нужно наше доверие — отсюда и оптимистичные заявления о безопасности — но если что-то пойдет не так, если произойдет серьезный сбой в системе безопасности, они мгновенно потеряют доверие 42 миллионов держателей карт.
Имеем ли мы право доверять им? В 2003 году Андерсон и Бонд выступили в качестве экспертов-свидетелей в судебном деле между г-ном Сингхом и Diner's Club. Пытаясь выяснить, как Сингх мог снять 55 000 фунтов стерлингов за одни выходные в Лондоне, пока он был в Южной Африке, Бонд обнаружил, что вместо минимальных 10 000 или около того комбинаций, которые, как мы все наивно верим, должны быть испробованы, номера пин-кодов могут быть алгоритмическими функциями номера вашего счета, что позволяет взломать пин-код примерно за 15 попыток. Хотя банкоматы позволяют только три, это теоретически означает, что коррумпированный инсайдер может получить доступ к 12 000 счетов за 20 минут. Citibank немедленно запросил запрет на разглашение информации.
Это не проблема конкретного чипа и пин-кода, но, говорит Бонд, «Вы должны помнить, что в переходный период, когда и магнитные полосы, и чип и пин-код будут использоваться вместе, и когда многие люди будут устанавливать свой пин-код на тот, который они уже используют, может оказаться, что те же самые уязвимости продолжат подвергать риску безопасность людей в течение многих лет». Андерсон откровенен. «В этих системах есть много дыр, и есть много способов, которыми инсайдеры могут ими воспользоваться».
Очевидно, что любая комбинация уязвимости пин-кода и чипа, не подкрепленная подписью, будет невероятно разрушительной, и некоторые эксперты опасаются, что это лишь вопрос времени. Когда Франция перешла на чип-пин, в Великобританию произошел огромный приток преступности, говорит Бонд. «Мы должны признать, что одной из причин, по которой Франция выиграла от ее введения, было то, что у них она была, а у других ее не было». Тем временем голландская система уже была взломана. Есть надежда, что преступники теперь пойдут в другое место — и все же, поскольку все больше стран ее принимают, мест, куда можно пойти, будет меньше, и в этот момент, говорит Бонд, «схема чип-пин подвергнется серьезной атаке». И если будет такая согласованная технологическая атака, говорит Кларк, «широкая общественность и большинство сотрудников банка не будут иметь никаких шансов понять ее».
К тому времени, конечно, мы, возможно, просто перейдем на биометрические системы безопасности — паспорта с технологией распознавания лиц, например, должны быть введены в Великобритании в следующем году. Вот это, говорит Дэвис, действительно пугает, потому что люди действительно считают биометрию непогрешимой: «Это ложное чувство безопасности. Представьте, если бы мое строительное общество начало использовать считыватель глазного яблока, чтобы получить доступ к счету моей кредитной карты: кто угодно мог бы взломать базу данных и получить рисунок моей радужной оболочки, а затем пойти и разработать специальные контактные линзы». Более того, добавляет Кларк, такая информация, вероятно, также будет использоваться на удостоверениях личности, которые вполне могут быть связаны с персональными данными (например, медицинскими записями), безопасность которых поднимает «всевозможные гражданские либертарианские вопросы».
Все это поднимает вопрос о том, как, в практическом смысле, мы защищаем свою индивидуальную идентичность. Если в целях безопасности нас считают теми, за кого себя выдаем, потому что мы помним пин-код, выданный учреждением, которое зашифровало некоторые цифры по поддающейся взлому формуле, то невольно возникает вопрос, почему характерный почерк не может идентифицировать нас лучше. ПИН-коды — это четырехзначные ключи к нашей жизни, о которых банки уже имеют тревожный уровень понимания.
Вывод Андерсона ясен, хотя и вызывает беспокойство: чип и пин-код для клиента, если не для банков, — это «совершенно негативный шаг. С точки зрения клиента, безопаснее использовать подпись». Бонд более осторожен, но все равно утверждает, что «чип и пин-код усложнят и осложнят жизнь клиентов в течение первых пяти лет после их внедрения. Я думаю, в краткосрочной перспективе некоторые клиенты будут получать от этого нечестную сделку».
Так что же мы можем сделать? На самом деле не так уж много, разве что знать как можно больше. Особенно важно, говорит Кларк, чтобы клиенты понимали, что чип и пин-код — это не технологическая вакцина, которая защитит их от всех видов мошенничества. И несколько конкретных трюков: когда вы снимаете наличные в банкомате, прикрывайте одну руку другой; когда вы вводите свой пин-код в магазине, поставьте свое тело на пути — помните, что он обычно прикреплен к проводу, который выглядит как телефонный провод, а значит, вы можете разместить его там, где вам будет удобнее всего. Как сказал один менеджер магазина, с которым я говорил, «Я думаю, важно, чтобы люди чувствовали уязвимость своих карт». Потому что это суть: в цифрах нет полной безопасности.
Источник
Реклама была во всех газетах на прошлой неделе. На ней был изображен мужчина, держащий светодиодное табло и пин-пад. Под первой была подпись: «Числа могут заставить вас почувствовать что угодно»; под второй — «Чип и пин-код заставляют вас чувствовать себя в безопасности».
Рекламные объявления были для «нового безопасного способа оплаты», известного как чип и пин-код. Магнитные полосы на кредитных и дебетовых картах дополняются смарт-чипами, которые гораздо сложнее клонировать, и которые работают только тогда, когда клиент вводит свой собственный четырехзначный персональный идентификационный номер или «пин-код». Организаторы кампании назвали это самым большим изменением для британских покупателей с момента перехода на десятичную систему: ожидается, что 36 из 42 миллионов держателей карт получат свои новые карты к концу года. Только в сентябре было отправлено три миллиона карт; за тот же период 42 000 магазинов установили свои новые кассы. Кажется, за одну ночь технология чипов и пин-кодов произвела революцию в том, как мы совершаем покупки.
Конечно, заявления кампании о большей безопасности карт убедительны. Когда десять лет назад во Франции была введена система на основе ПИН-кода, говорят организаторы, уровень мошенничества с кредитными картами снизился на 80%; эта система более продвинута, чем французская, поэтому у них еще большие надежды. Но что на самом деле означает эта революция, которая обходится банковской отрасли в 300 миллионов фунтов стерлингов? И действительно ли эта система безопаснее предыдущей?
В моем местном газетном киоске на юге Лондона я спрашиваю, установили ли они уже свою систему, и встречаю полное недоумение. Наконец, один из двух мужчин за прилавком спрашивает: «Вам нужна телефонная карта?» Двое продавцов в видеомагазине за углом немного больше разбираются в этом. «О да, это», — говорит один. «У нас это уже давно есть, но никто еще не дошел до ее использования». «Не понимаю, в чем тут дело», — добавляет другой. «Австралийцы делают это уже давно» (так же, надо сказать, как и голландцы, французы, новозеландцы и южноафриканцы). Я спрашиваю всех, с кем говорю, проходили ли они какое-либо обучение — представитель программы чип-и-пин, некоммерческого офиса, отвечающего за внедрение, сказал мне, что у них «очень всеобъемлющая программа обучения розничных продавцов», — но никто не понимает, о чем я говорю.
Наконец, менеджер оптики через пару домов, Имран Патель, признается, что он пользуется системой уже пару недель, и "все идет очень хорошо. Было так много раз, когда мне приходилось смотреть на подпись и говорить: "Извините, я не могу это принять". Это значительно упрощает задачу. Я думаю, что это блестящая идея с точки зрения безопасности". Или, как говорится в письме, которое я недавно получил из своего банка: "Недостатки? Их нет!"
Это, конечно, красная тряпка для скептика. И действительно, не все так радужно. Одним из первых эффектов чипа и пин-кода, похоже, стал резкий скачок числа потерянных карт: к сентябрю было отправлено 56,8 млн карт с чипом и пин-кодом, а за последний год мошенничество с картами, утерянными по почте, выросло на 51%. Ассоциация платежных клиринговых служб признала в начале этого месяца, что появление чипа и пин-кода вызвало «безумие мошенничества».
Новые технологии, которые внедряются, тоже не помогают. Пин-пады находятся на удивление публично, и многие из них, похоже, не имеют защитных экранов. Я впервые ввел свои номера в ресторане на прошлой неделе, остро осознавая, что официантка стоит надо мной и наблюдает. Когда я закончил, моя подруга указала, что она не планировала этого делать, «но теперь я знаю ваш пин-код, и она, вероятно, тоже». Патель говорит, что беспокоится о своих пожилых и инвалидных клиентах, многим из которых трудно его разглядеть. Его особенно не впечатлили пин-пады, которые прикреплены к прилавкам, обращенными наружу. «Я думаю, это дерьмо».
Менеджер среднего по размеру магазина с лицензией на продажу спиртного на главной улице неподалеку говорит, что его больше беспокоят небольшие магазины с камерой над кассой. «Если у них появится нечестный сотрудник, то сама система безопасности, призванная помогать клиентам, нанесет им ущерб».
Проблема, говорит Майк Бонд, эксперт по безопасности в Кембриджском университете, заключается в том, что в настоящее время снятие наличных достаточно отделено от использования кредитных или дебетовых карт. Но если вы используете один и тот же пин-код для разных карт, как делают многие из нас, и вас выслеживают из магазина и наказывают, новая система может позволить чрезмерно наблюдательному покупателю немедленно получить доступ к вашим кредитным или дебетовым картам и средствам снятия наличных. Кроме того, мы будем вводить пин-коды гораздо чаще, чем когда-либо прежде, в самых разных контекстах, что экспоненциально увеличивает количество случаев, когда мы уязвимы для серфинга через плечо. Не нужно много расследований, чтобы обнаружить общее ощущение, что, хотя чип и пин-код могут гарантировать нам лучшую защиту от определенных видов крупномасштабного мошенничества, мы можем подвергать себя гораздо большему риску от мелкой преступности.
Так почему же банки и розничные торговцы так стремятся стать пастырями в новой системе? За всеми песнями и танцами о системах чип-пин скрывается также проект, который «не столько касается снижения рисков, сколько проектирования ответственности», утверждает Росс Андерсон, профессор инженерии безопасности в Кембриджском университете и ведущий ученый по безопасности в Великобритании. На первый взгляд, все в пользу клиента. В настоящее время банки несут ответственность за любые убытки, понесенные после того, как карта была заявлена как украденная, хотя они не слишком заинтересованы в том, чтобы мы это осознали (отсюда и огромное количество из нас, кто безропотно платит страховку кредитных карт). По словам Андерсона, чип-пин позволяет им требовать своего рода упреждающий карт-бланш. Они могут начать с обвинения в халатности: «Ты непослушный человек, ты был немного неосторожен с этим пин-кодом, не так ли? Наши новые системы защищены, так что это, должно быть, твоя вина». В случае серьезного мошенничества бремя доказательства ненадежности своих систем может лечь на клиента, что является «невыполнимым бременем доказательства», говорит Андерсон, который даже знал банк, преследовавший клиента, ставшего жертвой фиктивных снятий средств, за попытку мошенничества.
И поэтому мы отброшены назад к самой базовой, самой старомодной и низкотехнологичной из ценностей: доверию — особенно в 21 веке, когда это, волей-неволей, слепое доверие. На каком-то уровне мы все это знаем, и это ответственно за своего рода низкоуровневое, постоянное беспокойство и общую технологическую ярость. «Как общество, мы имеем странное отношение к доверию», — говорит Джон Кларк, старший преподаватель критических систем в Йоркском университете, специализирующийся на безопасности и криптографии. «Мы хотим доверия, как будто это все или ничего, мы хотим уверенности, как будто это все или ничего, и мы хотим безопасности, как будто это все или ничего. Но абсолютная безопасность невозможна. Все, что вы можете сделать, это управлять рисками».
Это также ставит банки в странное положение. Им нужно наше доверие — отсюда и оптимистичные заявления о безопасности — но если что-то пойдет не так, если произойдет серьезный сбой в системе безопасности, они мгновенно потеряют доверие 42 миллионов держателей карт.
Имеем ли мы право доверять им? В 2003 году Андерсон и Бонд выступили в качестве экспертов-свидетелей в судебном деле между г-ном Сингхом и Diner's Club. Пытаясь выяснить, как Сингх мог снять 55 000 фунтов стерлингов за одни выходные в Лондоне, пока он был в Южной Африке, Бонд обнаружил, что вместо минимальных 10 000 или около того комбинаций, которые, как мы все наивно верим, должны быть испробованы, номера пин-кодов могут быть алгоритмическими функциями номера вашего счета, что позволяет взломать пин-код примерно за 15 попыток. Хотя банкоматы позволяют только три, это теоретически означает, что коррумпированный инсайдер может получить доступ к 12 000 счетов за 20 минут. Citibank немедленно запросил запрет на разглашение информации.
Это не проблема конкретного чипа и пин-кода, но, говорит Бонд, «Вы должны помнить, что в переходный период, когда и магнитные полосы, и чип и пин-код будут использоваться вместе, и когда многие люди будут устанавливать свой пин-код на тот, который они уже используют, может оказаться, что те же самые уязвимости продолжат подвергать риску безопасность людей в течение многих лет». Андерсон откровенен. «В этих системах есть много дыр, и есть много способов, которыми инсайдеры могут ими воспользоваться».
Очевидно, что любая комбинация уязвимости пин-кода и чипа, не подкрепленная подписью, будет невероятно разрушительной, и некоторые эксперты опасаются, что это лишь вопрос времени. Когда Франция перешла на чип-пин, в Великобританию произошел огромный приток преступности, говорит Бонд. «Мы должны признать, что одной из причин, по которой Франция выиграла от ее введения, было то, что у них она была, а у других ее не было». Тем временем голландская система уже была взломана. Есть надежда, что преступники теперь пойдут в другое место — и все же, поскольку все больше стран ее принимают, мест, куда можно пойти, будет меньше, и в этот момент, говорит Бонд, «схема чип-пин подвергнется серьезной атаке». И если будет такая согласованная технологическая атака, говорит Кларк, «широкая общественность и большинство сотрудников банка не будут иметь никаких шансов понять ее».
К тому времени, конечно, мы, возможно, просто перейдем на биометрические системы безопасности — паспорта с технологией распознавания лиц, например, должны быть введены в Великобритании в следующем году. Вот это, говорит Дэвис, действительно пугает, потому что люди действительно считают биометрию непогрешимой: «Это ложное чувство безопасности. Представьте, если бы мое строительное общество начало использовать считыватель глазного яблока, чтобы получить доступ к счету моей кредитной карты: кто угодно мог бы взломать базу данных и получить рисунок моей радужной оболочки, а затем пойти и разработать специальные контактные линзы». Более того, добавляет Кларк, такая информация, вероятно, также будет использоваться на удостоверениях личности, которые вполне могут быть связаны с персональными данными (например, медицинскими записями), безопасность которых поднимает «всевозможные гражданские либертарианские вопросы».
Все это поднимает вопрос о том, как, в практическом смысле, мы защищаем свою индивидуальную идентичность. Если в целях безопасности нас считают теми, за кого себя выдаем, потому что мы помним пин-код, выданный учреждением, которое зашифровало некоторые цифры по поддающейся взлому формуле, то невольно возникает вопрос, почему характерный почерк не может идентифицировать нас лучше. ПИН-коды — это четырехзначные ключи к нашей жизни, о которых банки уже имеют тревожный уровень понимания.
Вывод Андерсона ясен, хотя и вызывает беспокойство: чип и пин-код для клиента, если не для банков, — это «совершенно негативный шаг. С точки зрения клиента, безопаснее использовать подпись». Бонд более осторожен, но все равно утверждает, что «чип и пин-код усложнят и осложнят жизнь клиентов в течение первых пяти лет после их внедрения. Я думаю, в краткосрочной перспективе некоторые клиенты будут получать от этого нечестную сделку».
Так что же мы можем сделать? На самом деле не так уж много, разве что знать как можно больше. Особенно важно, говорит Кларк, чтобы клиенты понимали, что чип и пин-код — это не технологическая вакцина, которая защитит их от всех видов мошенничества. И несколько конкретных трюков: когда вы снимаете наличные в банкомате, прикрывайте одну руку другой; когда вы вводите свой пин-код в магазине, поставьте свое тело на пути — помните, что он обычно прикреплен к проводу, который выглядит как телефонный провод, а значит, вы можете разместить его там, где вам будет удобнее всего. Как сказал один менеджер магазина, с которым я говорил, «Я думаю, важно, чтобы люди чувствовали уязвимость своих карт». Потому что это суть: в цифрах нет полной безопасности.
Источник
