Mutt
Professional
- Messages
- 1,458
- Reaction score
- 1,280
- Points
- 113
Внедрение кредитных карт с чипом и PIN-кодом может стоить 8,6 млрд долларов и более. Некоторые эксперты говорят, что это того не стоит - технология уже устарела и скоро появятся более качественные и менее дорогие варианты. Другие говорят, что пройдут годы, прежде чем эти варианты станут мейнстримом, и давно пора сократить количество случаев мошенничества.
Ожидается облегчение для осажденной индустрии платежных карт США (PCI). К октябрю 2021 года есть вероятность, что Америка больше не будет иметь сомнительного лидерства в мире по мошенничеству с кредитными картами.
Что же, может быть.
Ожидается, что через год, начиная со следующего месяца, система карт с магнитной полосой «проведи и подпись» производства 1960-х годов серьезно уступит место EMV (названному в честь своих первоначальных разработчиков, Europay, MasterCard и Visa), также известному как «чип и PIN»- система смарт-карт, которая широко используется в Европе и других частях мира на протяжении почти двух десятилетий.
Долгожданный и обсуждаемый сдвиг произойдет не из-за мандата. Но в октябре следующего года произойдет так называемый «сдвиг ответственности» - явный стимул для продавцов и банков осуществить переход, если они еще не сделали этого.
Как объяснила это Wall Street Journal в начале этого года Каролин Балфани из MasterCard, «что изменится, так это то, что если произойдет мошенничество с картами, ответственность будет нести та, у которой есть меньшая технология».
Таким образом, если у покупателя есть чип-карта, а у продавца старая технология считывания и подписи, транзакция все равно будет работать, но если она мошенническая, все расходы несет продавец. Или, если у продавца есть новый терминал, но банк не выдал клиенту карту EMV, банк берет на себя расходы за любое мошенничество.
Цель EMV - предотвратить скимминг путем замены магнитной полосы встроенным микрочипом. Он также требует, чтобы пользователь вводил PIN-код, как дебетовая карта, для аутентификации покупки.
По мнению сторонников этого изменения, это должно значительно улучшить безопасность кредитных карт в США, где сейчас совершается около половины случаев мошенничества с кредитными картами в мире, хотя здесь происходит только около четверти всех транзакций.
По данным EMV Connection, Ассоциация карт Великобритании сообщает, что «убытки британских розничных продавцов упали на 67% с 2004 года; количество случаев мошенничества с утерянными и украденными картами снизилось на 58% с 2004 по 2009 год; а количество случаев мошенничества с неполучением почты сократилось на 91% с 2004 года ».
В нем говорится, что Канада увидела аналогичные улучшения после развертывания EMV в 2008 году.
Но критики говорят, что это не все. Блогер по безопасности Брайан Кребс отметил в мае прошлого года, что терминалы EMV не смогли бы предотвратить катастрофическое нарушение работы в Target в конце прошлой осени. «Без сквозного шифрования данных карты номера карт и даты истечения срока их действия могут быть украдены и использованы в онлайн-транзакциях», - написал он.
Кроме того, британская исследовательская фирма в Кембриджском университете ранее в этом году выпустила доклад под названием «Chip and Skim: клонирование карт EMV с помощью предварительной атаки», в котором они заявили, что обнаружили серьезные уязвимости, которые позволят преступникам клонировать Карты EMV, даже если они физически не владели этими картами.
Они согласились с тем, что EMV сделала «использование поддельных и украденных карт… более сложным», но отметили, что «преступники адаптировались», обратив свое внимание на атаки на транзакции «без предъявления карты» (CNP), которые выходят за рамки EMV.
Итог: «EMV не сократила мошенничество, как предсказывали его сторонники», - написала команда.
EMV Connection признает, что злоумышленники перешли на транзакции CNP, хотя он указывает на программу аутентификации MasterCard Chip Authentication Program (CAP) и Visa Dynamic Passcode Authentication (DPA) как на улучшения безопасности для карт EMV при онлайн-транзакциях.
Но недавнее объявление Apple своей системы Apple Pay, которая будет поставляться с iPhone 6, полностью обойдёт потребность в карте, поскольку пользователь загружает информацию о карте в телефон (где она затем шифруется), а затем аутентифицирует покупка по отпечатку пальца и размещение телефона рядом с приемником связи ближнего радиуса действия (NFC) у участвующих продавцов. Как сообщается, Visa, MasterCard и American Express уже согласились участвовать в нем.
Хотя Apple Pay еще не тестировалась в реальном мире, это и другие достижения, такие как My PinPad в Великобритании, заставили людей вроде Дэвида Фрауда, блоггера и основателя Core Concept Security, заявить, что для США имеет смысл сэкономить деньги. миллиарды будет стоить переход на EMV и просто переход непосредственно к более безопасным вариантам мобильных платежей. Стоимость перехода для кредитных карт, кассовых терминалов и банкоматов колеблется от 6 миллиардов долларов до более чем 8,6 миллиардов долларов.
«Зачем банкам нести эти расходы, если основной движущий фактор EMV ежедневно сводится на нет инновациями в платежных технологиях?» Фрауд задался вопросом в июльском сообщении, отметив, что EMV не совсем ультрасовременный, поскольку он был представлен во Франции 21 год назад.
Но ряд других экспертов по безопасности, хотя и согласны с тем, что EMV не идеален, но заявляют, что он явно лучше, чем магнитная полоса, и того стоит.
«По какой-то странной причине многие специалисты по безопасности приравнивают« не панацею »- а ее нет в информационной безопасности - к« не имеет ценности », - сказал Антон Чувакин, директор по исследованиям Gartner по управлению безопасностью и рисками. Технические специалисты. «Что, если антивирус улавливает всего 30% вирусов? Вы бы предпочли иметь дело с еще одной третью из них? То же самое и с EMV - есть надежные данные из ЕС о том, что EMV сократила мошенничество с предъявлением карт ».
По какой-то странной причине многие специалисты по безопасности приравнивают «не панацею» - а ее нет в информационной безопасности - к «не имеет значения».
Это аргумент Джейкоба Ансари, директора по техническим услугам в Sikich LLP, что, хотя EMV эффективен только с транзакциями «с предъявлением карты», это основной вид мошенничества, который сейчас происходит в США.
«Злоумышленники, желающие совершить мошенничество с предъявлением карт в США, могут сделать это до смешного легко», - сказал он, добавив, что результаты в странах, которые приняли EMV, показывают, что его внедрение в США «приведет к заметному снижению количества карт. настоящее мошенничество ».
Джули Конрой, аналитик Aite Group, сказала, что «не существует технологии, которая уничтожит все случаи мошенничества», и, хотя EMV не предотвратила бы взлом Target, «это значительно затруднило бы способность преступников монетизировать нарушение, из-за того, что очень сложно использовать украденные данные в местах продажи ».
Мы еще не видели, чтобы потребители приняли мобильные платежи », - сказала она. «Они очень довольны своими пластиковыми картами.
Что касается выводов британской исследовательской группы, Конрой сказал, что EMV «не подвергался риску за пределами университетской лаборатории».
Стоимость перехода, по ее словам, более чем оправдана. «Одна только проблема мошенничества с кредитными картами составляет 3 миллиарда долларов и быстро растет», - сказала она. «Мошенничество с дебетовыми картами также исчисляется девятизначными числами и растет такими же быстрыми темпами».
Конрой также утверждает, что это будет дешевле, чем по некоторым оценкам, стоимость выпуска заменяющих EMV-карт составляет 3-5 долларов. «Для крупнейших эмитентов, которые представляют более 80% нашего рынка карт, стоимость одного пластика составляет около 1,30 доллара США», - сказала она.
Адриан Лейн, аналитик и технический директор Securosis, сказал, что, хотя уровень мошенничества с покупками в Интернете «продолжает расти повсюду», это не означает, что EMV того не стоит. Стоимость, по его словам, «не является такой большой проблемой, поскольку основные торговые точки уже обновлены для приема смарт-карт и NFC крупными розничными торговцами».
Чувакин называет стоимость перехода «невероятно дешевой, учитывая, что на создание существующей системы со считывателем магнитной полосы почти у каждого продавца ушло почти полвека».
Тем не менее, зачем тратить все эти деньги, если лучшие и более безопасные альтернативы либо уже здесь, либо на горизонте?
Лейн сказал, что, по его мнению, потребуется значительное время - от четырех до десяти лет - чтобы эта технология стала обычным явлением. Тем временем можно сэкономить миллиарды с помощью кредитных карт EMV.
«Для оплаты чипом и PIN-кодом или смартфоном / защищенным элементом требуются терминалы NFC, - сказал он. И хотя продавцы уже устанавливают технологию NFC, «со стороны потребителя, сколько лет пройдет, прежде чем у каждого пользователя появится смартфон с защищенным элементом?»
Сколько лет пройдет, прежде чем у каждого пользователя появится смартфон с защищенным элементом?
Лейн сказал, что потребительские привычки могут сыграть важную роль в развертывании EMV. Он сказал, что Visa и MasterCard объявили ранее в этом году, что они будут продавать карты EMV, но те, которые по-прежнему будут использовать подпись, а не PIN-код, потому что в противном случае потребители не будут их использовать.
«Эмитенты утверждают, что установка ПИН-кода - слишком сложная задача, поэтому люди вообще не будут использовать карты. Они считают, что общий объем транзакций упадет - а это нет для производителей карт», - написал он в своем блоге.
Конрой согласился. «Мы еще не видели, чтобы потребители приняли мобильные платежи», - сказала она. «Им очень комфортно пользоваться своими пластиковыми картами, и мы неоднократно видели, что для того, чтобы заставить их изменить такое поведение, нужны мощные стимулы».
Эксперты сходятся во мнении, что нельзя ожидать, что EMV волшебным образом решит проблему, но что он может сыграть значительную роль в сокращении потерь от мошенничества.
«Карточное мошенничество - это война с множеством фронтов», - сказал Конрой, и, помимо EMV, потребуются токенизация и двухточечное шифрование (P2PE), более надежная аналитика мошенничества в канале CNP и, возможно, более навязчивые методы аутентификации.
Ансари согласился. По его словам, для этого потребуется «сочетание средств контроля: технических, операционных, юридических и нормативных».
Ожидается облегчение для осажденной индустрии платежных карт США (PCI). К октябрю 2021 года есть вероятность, что Америка больше не будет иметь сомнительного лидерства в мире по мошенничеству с кредитными картами.
Что же, может быть.
Ожидается, что через год, начиная со следующего месяца, система карт с магнитной полосой «проведи и подпись» производства 1960-х годов серьезно уступит место EMV (названному в честь своих первоначальных разработчиков, Europay, MasterCard и Visa), также известному как «чип и PIN»- система смарт-карт, которая широко используется в Европе и других частях мира на протяжении почти двух десятилетий.
Долгожданный и обсуждаемый сдвиг произойдет не из-за мандата. Но в октябре следующего года произойдет так называемый «сдвиг ответственности» - явный стимул для продавцов и банков осуществить переход, если они еще не сделали этого.
Как объяснила это Wall Street Journal в начале этого года Каролин Балфани из MasterCard, «что изменится, так это то, что если произойдет мошенничество с картами, ответственность будет нести та, у которой есть меньшая технология».
Таким образом, если у покупателя есть чип-карта, а у продавца старая технология считывания и подписи, транзакция все равно будет работать, но если она мошенническая, все расходы несет продавец. Или, если у продавца есть новый терминал, но банк не выдал клиенту карту EMV, банк берет на себя расходы за любое мошенничество.
Цель EMV - предотвратить скимминг путем замены магнитной полосы встроенным микрочипом. Он также требует, чтобы пользователь вводил PIN-код, как дебетовая карта, для аутентификации покупки.
По мнению сторонников этого изменения, это должно значительно улучшить безопасность кредитных карт в США, где сейчас совершается около половины случаев мошенничества с кредитными картами в мире, хотя здесь происходит только около четверти всех транзакций.
По данным EMV Connection, Ассоциация карт Великобритании сообщает, что «убытки британских розничных продавцов упали на 67% с 2004 года; количество случаев мошенничества с утерянными и украденными картами снизилось на 58% с 2004 по 2009 год; а количество случаев мошенничества с неполучением почты сократилось на 91% с 2004 года ».
В нем говорится, что Канада увидела аналогичные улучшения после развертывания EMV в 2008 году.
Но критики говорят, что это не все. Блогер по безопасности Брайан Кребс отметил в мае прошлого года, что терминалы EMV не смогли бы предотвратить катастрофическое нарушение работы в Target в конце прошлой осени. «Без сквозного шифрования данных карты номера карт и даты истечения срока их действия могут быть украдены и использованы в онлайн-транзакциях», - написал он.
Кроме того, британская исследовательская фирма в Кембриджском университете ранее в этом году выпустила доклад под названием «Chip and Skim: клонирование карт EMV с помощью предварительной атаки», в котором они заявили, что обнаружили серьезные уязвимости, которые позволят преступникам клонировать Карты EMV, даже если они физически не владели этими картами.
Они согласились с тем, что EMV сделала «использование поддельных и украденных карт… более сложным», но отметили, что «преступники адаптировались», обратив свое внимание на атаки на транзакции «без предъявления карты» (CNP), которые выходят за рамки EMV.
Итог: «EMV не сократила мошенничество, как предсказывали его сторонники», - написала команда.
EMV Connection признает, что злоумышленники перешли на транзакции CNP, хотя он указывает на программу аутентификации MasterCard Chip Authentication Program (CAP) и Visa Dynamic Passcode Authentication (DPA) как на улучшения безопасности для карт EMV при онлайн-транзакциях.
Но недавнее объявление Apple своей системы Apple Pay, которая будет поставляться с iPhone 6, полностью обойдёт потребность в карте, поскольку пользователь загружает информацию о карте в телефон (где она затем шифруется), а затем аутентифицирует покупка по отпечатку пальца и размещение телефона рядом с приемником связи ближнего радиуса действия (NFC) у участвующих продавцов. Как сообщается, Visa, MasterCard и American Express уже согласились участвовать в нем.
Хотя Apple Pay еще не тестировалась в реальном мире, это и другие достижения, такие как My PinPad в Великобритании, заставили людей вроде Дэвида Фрауда, блоггера и основателя Core Concept Security, заявить, что для США имеет смысл сэкономить деньги. миллиарды будет стоить переход на EMV и просто переход непосредственно к более безопасным вариантам мобильных платежей. Стоимость перехода для кредитных карт, кассовых терминалов и банкоматов колеблется от 6 миллиардов долларов до более чем 8,6 миллиардов долларов.
«Зачем банкам нести эти расходы, если основной движущий фактор EMV ежедневно сводится на нет инновациями в платежных технологиях?» Фрауд задался вопросом в июльском сообщении, отметив, что EMV не совсем ультрасовременный, поскольку он был представлен во Франции 21 год назад.
Но ряд других экспертов по безопасности, хотя и согласны с тем, что EMV не идеален, но заявляют, что он явно лучше, чем магнитная полоса, и того стоит.
«По какой-то странной причине многие специалисты по безопасности приравнивают« не панацею »- а ее нет в информационной безопасности - к« не имеет ценности », - сказал Антон Чувакин, директор по исследованиям Gartner по управлению безопасностью и рисками. Технические специалисты. «Что, если антивирус улавливает всего 30% вирусов? Вы бы предпочли иметь дело с еще одной третью из них? То же самое и с EMV - есть надежные данные из ЕС о том, что EMV сократила мошенничество с предъявлением карт ».
По какой-то странной причине многие специалисты по безопасности приравнивают «не панацею» - а ее нет в информационной безопасности - к «не имеет значения».
Это аргумент Джейкоба Ансари, директора по техническим услугам в Sikich LLP, что, хотя EMV эффективен только с транзакциями «с предъявлением карты», это основной вид мошенничества, который сейчас происходит в США.
«Злоумышленники, желающие совершить мошенничество с предъявлением карт в США, могут сделать это до смешного легко», - сказал он, добавив, что результаты в странах, которые приняли EMV, показывают, что его внедрение в США «приведет к заметному снижению количества карт. настоящее мошенничество ».
Джули Конрой, аналитик Aite Group, сказала, что «не существует технологии, которая уничтожит все случаи мошенничества», и, хотя EMV не предотвратила бы взлом Target, «это значительно затруднило бы способность преступников монетизировать нарушение, из-за того, что очень сложно использовать украденные данные в местах продажи ».
Мы еще не видели, чтобы потребители приняли мобильные платежи », - сказала она. «Они очень довольны своими пластиковыми картами.
Что касается выводов британской исследовательской группы, Конрой сказал, что EMV «не подвергался риску за пределами университетской лаборатории».
Стоимость перехода, по ее словам, более чем оправдана. «Одна только проблема мошенничества с кредитными картами составляет 3 миллиарда долларов и быстро растет», - сказала она. «Мошенничество с дебетовыми картами также исчисляется девятизначными числами и растет такими же быстрыми темпами».
Конрой также утверждает, что это будет дешевле, чем по некоторым оценкам, стоимость выпуска заменяющих EMV-карт составляет 3-5 долларов. «Для крупнейших эмитентов, которые представляют более 80% нашего рынка карт, стоимость одного пластика составляет около 1,30 доллара США», - сказала она.
Адриан Лейн, аналитик и технический директор Securosis, сказал, что, хотя уровень мошенничества с покупками в Интернете «продолжает расти повсюду», это не означает, что EMV того не стоит. Стоимость, по его словам, «не является такой большой проблемой, поскольку основные торговые точки уже обновлены для приема смарт-карт и NFC крупными розничными торговцами».
Чувакин называет стоимость перехода «невероятно дешевой, учитывая, что на создание существующей системы со считывателем магнитной полосы почти у каждого продавца ушло почти полвека».
Тем не менее, зачем тратить все эти деньги, если лучшие и более безопасные альтернативы либо уже здесь, либо на горизонте?
Лейн сказал, что, по его мнению, потребуется значительное время - от четырех до десяти лет - чтобы эта технология стала обычным явлением. Тем временем можно сэкономить миллиарды с помощью кредитных карт EMV.
«Для оплаты чипом и PIN-кодом или смартфоном / защищенным элементом требуются терминалы NFC, - сказал он. И хотя продавцы уже устанавливают технологию NFC, «со стороны потребителя, сколько лет пройдет, прежде чем у каждого пользователя появится смартфон с защищенным элементом?»
Сколько лет пройдет, прежде чем у каждого пользователя появится смартфон с защищенным элементом?
Лейн сказал, что потребительские привычки могут сыграть важную роль в развертывании EMV. Он сказал, что Visa и MasterCard объявили ранее в этом году, что они будут продавать карты EMV, но те, которые по-прежнему будут использовать подпись, а не PIN-код, потому что в противном случае потребители не будут их использовать.
«Эмитенты утверждают, что установка ПИН-кода - слишком сложная задача, поэтому люди вообще не будут использовать карты. Они считают, что общий объем транзакций упадет - а это нет для производителей карт», - написал он в своем блоге.
Конрой согласился. «Мы еще не видели, чтобы потребители приняли мобильные платежи», - сказала она. «Им очень комфортно пользоваться своими пластиковыми картами, и мы неоднократно видели, что для того, чтобы заставить их изменить такое поведение, нужны мощные стимулы».
Эксперты сходятся во мнении, что нельзя ожидать, что EMV волшебным образом решит проблему, но что он может сыграть значительную роль в сокращении потерь от мошенничества.
«Карточное мошенничество - это война с множеством фронтов», - сказал Конрой, и, помимо EMV, потребуются токенизация и двухточечное шифрование (P2PE), более надежная аналитика мошенничества в канале CNP и, возможно, более навязчивые методы аутентификации.
Ансари согласился. По его словам, для этого потребуется «сочетание средств контроля: технических, операционных, юридических и нормативных».
