Содержание:
.
Клонирование в обход EMV происходит, когда кардер использует шиммер для копирования данных чипа карты на магнитную полосу. Это позволяет ему совершать несанкционированные покупки. Давайте разберёмся, как это работает и можно ли это предотвратить.
Раньше я считал, что EMV-чипы надёжны. Потом я узнал о клонировании, обходящем EMV, и моя паранойя усилилась. Изучив вопрос подробнее, я немного успокоился.
Тем не менее, как владельцу бизнеса и держателю карты, вам следует быть осторожнее. Я объясню, что это такое, как это работает и как вы можете себя защитить.
Давайте сначала освежим вашу память о картах EMV.
Если клиент станет жертвой клонирования в обход EMV, вы, как владелец бизнеса, можете столкнуться с возвратом платежа. Предотвратите это, используя оповещения о возврате платежа, чтобы решать проблемы до их эскалации.
Номер iCVV (интегрированное значение проверки карты) аналогичен номеру CVV на обратной стороне вашей карты.
«EMV» означает Europay, Visa и Mastercard — компании, создавшие этот стандарт.
Эти карты поддерживают различные способы оплаты:
На сегодняшний день 70,40% всех выпущенных карт поддерживают стандарт EMV [1]. Более 93% личных платежей по картам совершаются с использованием карт EMV [2].
Эти карты более безопасны, чем традиционные карты с электронными проводами, поскольку криптограммы меняются для каждой транзакции. Однако они не защищены от неумелого обращения.
Я расскажу об этом немного позже.
Давайте сначала разберемся, почему были введены эти карты.
Сработало?
Да. Количество случаев мошенничества с поддельными картами сократилось более чем на 87% [3]. Отчасти поэтому доля мошенничества со стороны третьих лиц в общем количестве возвратных платежей теперь составляет всего 1%.
Но карты EMV — часть продолжающейся борьбы. Преступники продолжают искать способы обойти эту защиту.
Вот пример.
У карт EMV по-прежнему есть магнитные полосы в качестве резервного варианта на случай, если терминал не сможет считать чип. Это создаёт уязвимость, поскольку кардеры могут перенести данные чипа на полосу, что упрощает клонирование.
Затем кардеры могут использовать клонированную полосовую карту для совершения покупок, часто утверждая, что ее эмитент не предоставил карту с поддержкой EMV.
Поскольку еще не все эмитенты предлагают карты EMV, это оправдание работает.
Хорошо. Как они это делают?
Получив ваши данные, кардеры смогут использовать клонированную карту для покупок, что напрямую сказывается на бизнесе. Затем они начнут совершать покупки, используя данные держателя карты.
Хорошо, что такое шиммер?
Шиммер — это тонкое устройство, помещаемое в терминал для карт. Оно считывает данные как с EMV-чипа, так и с магнитной полосы. Шиммеры работают аналогично скиммерам, но предназначены для карт с чипом.
Источник: Королевская канадская конная полиция Коквитлама
Вот видео, которое объясняет, как выглядят шиммеры и как они работают.
Существуют ли другие устройства, которые кардеры могут использовать для копирования данных?
Возможно, вы слышали о Flipper Zero.
Источник: Флиппер
Это многофункциональный инструмент, который можно использовать для взлома. И вам, возможно, интересно, можно ли его использовать для обхода EMV-клонирования.
Обход EMV с помощью таких устройств невозможен, поскольку данные карты зашифрованы. Для клонирования чипа кардеру потребуется доступ к закрытому ключу банка.
Почему банки не решили эту проблему?
Банки предполагали, что магнитные полосы в конечном итоге будут выведены из обращения, что сделает попытки клонирования неэффективными. 16 лет спустя 70,40% карт поддерживают стандарт EMV, и они по-прежнему имеют магнитные полосы.
Халатность ли это? Не мне судить.
Банки действительно учли эту проблему. Вроде того. Банки также обязаны проверять iCVV карты перед одобрением платежа. Предполагалось, что это поможет обойти EMV, поскольку он отличается от CVV на магнитной полосе.
Большинство банков следовали этому правилу. Это означало, что случаев подделок всё равно было предостаточно.
Принимая во внимание все эти меры безопасности, следует ли банкам и клиентам беспокоиться об обходе EMV?
Для клиентов чипы EMV обеспечивают более высокий уровень безопасности, чем магнитные полосы. Однако некоторые банки могут не полностью проверять iCVV при резервных транзакциях с магнитной полосой. Этот пробел позволяет киберпреступникам клонировать карты.
Предприятиям следует прочитать следующий раздел.
Основным последствием клонирования обхода EMV являются возвратные платежи. После обнаружения мошенничества клиенты подают иски о возврате платежей, связанных с настоящим мошенничеством.
В этих спорах процент выигрышей низкий (9%) по сравнению с другими. Обычно ваши шансы на победу составляют около 30%.
Комиссия за возврат платежа составляет от 10 до 100 долларов США за каждый спор. Эта комиссия взимается независимо от того, выиграете ли вы дело или проиграете. Для ведения спора требуются сотрудники, что также увеличивает расходы.
Если вы будете бороться со спором, вам придётся делегировать туда сотрудников. Это будет стоить определённых денег.
А поскольку вы, скорее всего, проиграете спор, возвратный платеж будет учитываться при подсчете показателей возвратных платежей и мошенничества.
Если процент возвратных платежей по вашему счету превысит 0,65%, вам могут грозить штрафы или вы можете быть помечены платежными системами как высокорискованные. В результате вы будете включены в программу мониторинга споров.
За это предусмотрены штрафы до 25 000 долларов США (и более), может быть утеряна возможность обрабатывать определённую карту, а также может быть занесён в список MATCH. Этот чёрный список запрещает вам принимать платежи от большинства платёжных систем в течение определённого времени.
Подробнее об этих программах мониторинга можно узнать в этом руководстве.
Уровень мошенничества. В случае любого мошенничества банки предоставляют эмитентам данные TC40. Эмитенты отслеживают уровень мошенничества, чтобы определить, входите ли вы в группу высокого риска. Если уровень мошенничества слишком высок, вы попадёте под программу мониторинга мошенничества.
Это похоже на программы мониторинга споров. Хотя они могут иметь более серьёзные последствия.
Помимо возврата платежей, вам придётся иметь дело с расходами, связанными с мошенничеством. Например, вам может потребоваться оплатить расследование.
Я вас напугал? Хорошо. Давайте рассмотрим, как этого избежать.
Давайте посмотрим, есть ли способы это предотвратить.
Для бизнеса проверка CVV-кода — лучшая защита. Клонированные карты не смогут совпадать с CVV-кодом.
Поощрение бесконтактных платежей, таких как Apple Pay, обеспечивает дополнительный уровень безопасности. Отсутствие необходимости вставлять карту означает, что никакие фейерверки не смогут украсть данные.
Устройства защиты от несанкционированного доступа также помогают защитить ваши терминалы.
Вам также стоит следить за своими сотрудниками. Иногда они сами устанавливают шиммеры. [4]
В противном случае регулярно обновляйте свои терминалы. Это всё, что вы можете сделать, чтобы предотвратить это.
Эта уязвимость затрагивает как клиентов, так и компании. Кража данных держателя карты может привести к опустошению его банковского счёта. Это приводит к возврату платежей (что вполне обоснованно), что негативно сказывается на репутации компании и приводит к штрафам.
Давайте посмотрим, как эта атака будет выглядеть в реальном мире.
Кардеры обошли систему безопасности EMV на POS-терминалах сети. Вероятно, они использовали вредоносное ПО для кражи данных EMV-чипов, включая iCVV. Используя эти данные, преступники создали клоны карт, несмотря на то, что оригинальные транзакции были выполнены с использованием технологии EMV.
Банки, не прошедшие надлежащую проверку iCVV, позволили использовать клонированные карты. Украденные данные были проданы в даркнете, что привело к дальнейшему мошенничеству.
Это неудачное изложение найденного мной примера.
Есть ли способ распознать эти попытки, если вы клиент?
Лучшее, что вы можете сделать, — это перенять мою стратегию, которую я использую каждый раз, когда пользуюсь терминалом оплаты картой:
Если они не отвечают, подайте в свой банк заявку на возврат платежа.
Мы расскажем, как это сделать, в отдельной статье. Если коротко, то вам нужно позвонить в свой банк или в компанию, выпустившую вашу карту.
Вот и все, ребята.
Для владельцев бизнеса подготовка к возврату платежей — ключевой момент. Оповещения о возврате платежей могут помочь, но для этого вам понадобится программное обеспечение или сервисы управления, такие как Verifi или Ethoca.
(c) Источник
- Ключевые выводы
- Что такое EMV-карты?
- Может ли кто-нибудь клонировать мою карту с чипом?
- Как кардеры обходят EMV-карты?
- Когда началось обходное клонирование EMV?
- Стоит ли мне беспокоиться о клонировании в обход EMV?
- Как обход клонирования EMV влияет на бизнес?
- Можно ли предотвратить обходное клонирование EMV?
- Реальные примеры обхода клонирования EMV
- Как распознать попытки клонирования EMV
- Подведение итогов
- Источники
.
Клонирование в обход EMV происходит, когда кардер использует шиммер для копирования данных чипа карты на магнитную полосу. Это позволяет ему совершать несанкционированные покупки. Давайте разберёмся, как это работает и можно ли это предотвратить.
Раньше я считал, что EMV-чипы надёжны. Потом я узнал о клонировании, обходящем EMV, и моя паранойя усилилась. Изучив вопрос подробнее, я немного успокоился.
Тем не менее, как владельцу бизнеса и держателю карты, вам следует быть осторожнее. Я объясню, что это такое, как это работает и как вы можете себя защитить.
Давайте сначала освежим вашу память о картах EMV.
Ключевые выводы
- Кардеры могут скопировать данные чипа EMV на карту с магнитной полосой.
- Такие нападения редки, но все же возможны.
- Клонирование в обход EMV существует с 2008 года.
- Чтобы снизить риск, выбирайте бесконтактные платежи.
- Финансовые потери могут стать проблемой, если вы станете жертвой клонирования в обход EMV.
Если клиент станет жертвой клонирования в обход EMV, вы, как владелец бизнеса, можете столкнуться с возвратом платежа. Предотвратите это, используя оповещения о возврате платежа, чтобы решать проблемы до их эскалации.
Что такое EMV-карты?
Карты EMV — это кредитные, дебетовые или предоплаченные карты с микрочипами для безопасных транзакций. Данные хранятся на чипах, а не на магнитных полосах. Карты EMV создают уникальные коды для каждой транзакции, защищая номера карт и коды iCVV от передачи.Номер iCVV (интегрированное значение проверки карты) аналогичен номеру CVV на обратной стороне вашей карты.
«EMV» означает Europay, Visa и Mastercard — компании, создавшие этот стандарт.
Эти карты поддерживают различные способы оплаты:
- Мобильный
- Бесконтактная оплата
- Чип-и-подпись
- Чип-и-ПИН-код
На сегодняшний день 70,40% всех выпущенных карт поддерживают стандарт EMV [1]. Более 93% личных платежей по картам совершаются с использованием карт EMV [2].
Эти карты более безопасны, чем традиционные карты с электронными проводами, поскольку криптограммы меняются для каждой транзакции. Однако они не защищены от неумелого обращения.
Я расскажу об этом немного позже.
Давайте сначала разберемся, почему были введены эти карты.
Почему были введены карты EMV
Visa и ее друзья представили карты EMV для:- Перекладывание ответственности: переложение ответственности за мошенничество с подделками на торговцев, не использующих EMV.
- Сокращение случаев мошенничества: сокращение случаев мошенничества путем создания уникальных кодов для каждой транзакции.
- Взаимодействие: обеспечить трансграничное взаимодействие.
Сработало?
Да. Количество случаев мошенничества с поддельными картами сократилось более чем на 87% [3]. Отчасти поэтому доля мошенничества со стороны третьих лиц в общем количестве возвратных платежей теперь составляет всего 1%.
Но карты EMV — часть продолжающейся борьбы. Преступники продолжают искать способы обойти эту защиту.
Вот пример.
Может ли кто-нибудь клонировать мою карту с чипом?
Чипы EMV невозможно клонировать, но мошенники могут этим воспользоваться. Они копируют данные чипа на карты с магнитной полосой, создавая функциональные клоны. Эта уязвимость существует, несмотря на улучшенные функции безопасности EMV.У карт EMV по-прежнему есть магнитные полосы в качестве резервного варианта на случай, если терминал не сможет считать чип. Это создаёт уязвимость, поскольку кардеры могут перенести данные чипа на полосу, что упрощает клонирование.
Затем кардеры могут использовать клонированную полосовую карту для совершения покупок, часто утверждая, что ее эмитент не предоставил карту с поддержкой EMV.
Поскольку еще не все эмитенты предлагают карты EMV, это оправдание работает.
Хорошо. Как они это делают?
Как кардеры обходят EMV-карты?
Кардеры обходят EMV-карты, используя шиммеры для кражи данных. Они создают клоны карт с магнитной полосой, модифицируют терминалы или используют программное обеспечение для обхода защиты чипа. Эти методы позволяют проводить мошеннические транзакции без использования оригинального EMV-чипа.Получив ваши данные, кардеры смогут использовать клонированную карту для покупок, что напрямую сказывается на бизнесе. Затем они начнут совершать покупки, используя данные держателя карты.
Хорошо, что такое шиммер?
Шиммер — это тонкое устройство, помещаемое в терминал для карт. Оно считывает данные как с EMV-чипа, так и с магнитной полосы. Шиммеры работают аналогично скиммерам, но предназначены для карт с чипом.
Источник: Королевская канадская конная полиция Коквитлама
Вот видео, которое объясняет, как выглядят шиммеры и как они работают.
Существуют ли другие устройства, которые кардеры могут использовать для копирования данных?
Возможно, вы слышали о Flipper Zero.
Источник: Флиппер
Это многофункциональный инструмент, который можно использовать для взлома. И вам, возможно, интересно, можно ли его использовать для обхода EMV-клонирования.
Обход EMV с помощью таких устройств невозможен, поскольку данные карты зашифрованы. Для клонирования чипа кардеру потребуется доступ к закрытому ключу банка.
Когда началось обходное клонирование EMV?
Клонирование с обходом EMV было впервые теоретически описано в 2008 году. Первоначально отвергнутый, этот метод привлёк внимание недавно, когда его начали применять в реальных условиях.Почему банки не решили эту проблему?
Банки предполагали, что магнитные полосы в конечном итоге будут выведены из обращения, что сделает попытки клонирования неэффективными. 16 лет спустя 70,40% карт поддерживают стандарт EMV, и они по-прежнему имеют магнитные полосы.
Халатность ли это? Не мне судить.
Банки действительно учли эту проблему. Вроде того. Банки также обязаны проверять iCVV карты перед одобрением платежа. Предполагалось, что это поможет обойти EMV, поскольку он отличается от CVV на магнитной полосе.
Большинство банков следовали этому правилу. Это означало, что случаев подделок всё равно было предостаточно.
Принимая во внимание все эти меры безопасности, следует ли банкам и клиентам беспокоиться об обходе EMV?
Стоит ли мне беспокоиться о клонировании в обход EMV?
Да. Клиентам и компаниям следует проявлять осторожность в отношении клонирования в обход EMV. Степень вашей обеспокоенности зависит от принимаемых вами мер безопасности.Для клиентов чипы EMV обеспечивают более высокий уровень безопасности, чем магнитные полосы. Однако некоторые банки могут не полностью проверять iCVV при резервных транзакциях с магнитной полосой. Этот пробел позволяет киберпреступникам клонировать карты.
Предприятиям следует прочитать следующий раздел.
Как обход клонирования EMV влияет на бизнес?
Клонирование в обход EMV влияет на бизнес следующим образом:- Повышенный риск возврата платежей: жертвы будут подавать мошеннические запросы на возврат платежей.
- Ответственность: Предприятия, не имеющие терминалов, совместимых со стандартом EMV, могут быть привлечены к ответственности за мошенничество.
- Цель мошенничества: предприятия, не соответствующие требованиям EMV, являются основной целью мошенников.
- Подрыв доверия потребителей. Осведомленность о скомпрометированных EMV-картах может снизить доверие потребителей.
- Более высокие затраты на борьбу с мошенничеством: затраты возрастут из-за расследований, возвратов средств и дополнительных мер безопасности.
Основным последствием клонирования обхода EMV являются возвратные платежи. После обнаружения мошенничества клиенты подают иски о возврате платежей, связанных с настоящим мошенничеством.
В этих спорах процент выигрышей низкий (9%) по сравнению с другими. Обычно ваши шансы на победу составляют около 30%.
Комиссия за возврат платежа составляет от 10 до 100 долларов США за каждый спор. Эта комиссия взимается независимо от того, выиграете ли вы дело или проиграете. Для ведения спора требуются сотрудники, что также увеличивает расходы.
Если вы будете бороться со спором, вам придётся делегировать туда сотрудников. Это будет стоить определённых денег.
А поскольку вы, скорее всего, проиграете спор, возвратный платеж будет учитываться при подсчете показателей возвратных платежей и мошенничества.
Если процент возвратных платежей по вашему счету превысит 0,65%, вам могут грозить штрафы или вы можете быть помечены платежными системами как высокорискованные. В результате вы будете включены в программу мониторинга споров.
За это предусмотрены штрафы до 25 000 долларов США (и более), может быть утеряна возможность обрабатывать определённую карту, а также может быть занесён в список MATCH. Этот чёрный список запрещает вам принимать платежи от большинства платёжных систем в течение определённого времени.
Подробнее об этих программах мониторинга можно узнать в этом руководстве.
Уровень мошенничества. В случае любого мошенничества банки предоставляют эмитентам данные TC40. Эмитенты отслеживают уровень мошенничества, чтобы определить, входите ли вы в группу высокого риска. Если уровень мошенничества слишком высок, вы попадёте под программу мониторинга мошенничества.
Это похоже на программы мониторинга споров. Хотя они могут иметь более серьёзные последствия.
Помимо возврата платежей, вам придётся иметь дело с расходами, связанными с мошенничеством. Например, вам может потребоваться оплатить расследование.
Я вас напугал? Хорошо. Давайте рассмотрим, как этого избежать.
Давайте посмотрим, есть ли способы это предотвратить.
Можно ли предотвратить обходное клонирование EMV?
Вот как компании могут снизить риски обхода клонирования EMV:- Проверьте номера CVV: всегда проверяйте CVV-коды карты.
- Поощряйте бесконтактные платежи: они обеспечивают дополнительные уровни безопасности.
- Установите устройства защиты от несанкционированного доступа: Оборудование, защищенное от несанкционированного доступа, предотвращает несанкционированный доступ.
- Модернизация терминалов: используйте устройства с расширенным шифрованием.
- Мониторинг транзакций: выявляйте подозрительную активность на ранних стадиях с помощью мониторинга в режиме реального времени.
- Обеспечить выполнение транзакций только с использованием чипа: отключить обработку магнитной полосы.
- Обучайте сотрудников: научите персонал выявлять попытки взлома и подозрительное поведение.
- Регулярно проводите аудит систем: проверяйте соблюдение требований и меры безопасности.
Для бизнеса проверка CVV-кода — лучшая защита. Клонированные карты не смогут совпадать с CVV-кодом.
Поощрение бесконтактных платежей, таких как Apple Pay, обеспечивает дополнительный уровень безопасности. Отсутствие необходимости вставлять карту означает, что никакие фейерверки не смогут украсть данные.
Устройства защиты от несанкционированного доступа также помогают защитить ваши терминалы.
Вам также стоит следить за своими сотрудниками. Иногда они сами устанавливают шиммеры. [4]
В противном случае регулярно обновляйте свои терминалы. Это всё, что вы можете сделать, чтобы предотвратить это.
Защита клиентов от обхода клонирования EMV
Вот как можно предотвратить обходное клонирование EMV:- Контролируйте банковские выписки: регулярно проверяйте свой счет на предмет несанкционированных транзакций.
- Включить оповещения о транзакциях: получайте оповещения в режиме реального времени о любых необычных действиях.
- Защитите ввод PIN-кода: не позволяйте другим видеть ваш PIN-код на терминалах.
- Используйте чип вместо магнитной полосы: всегда выбирайте транзакции с использованием чипа.
- Избегайте незнакомых банкоматов: используйте надежные и безопасные устройства.
Эта уязвимость затрагивает как клиентов, так и компании. Кража данных держателя карты может привести к опустошению его банковского счёта. Это приводит к возврату платежей (что вполне обоснованно), что негативно сказывается на репутации компании и приводит к штрафам.
Давайте посмотрим, как эта атака будет выглядеть в реальном мире.
Реальные примеры обхода клонирования EMV
В 2020 году крупная сеть супермаркетов Key Food Stores столкнулась с утечкой данных.Кардеры обошли систему безопасности EMV на POS-терминалах сети. Вероятно, они использовали вредоносное ПО для кражи данных EMV-чипов, включая iCVV. Используя эти данные, преступники создали клоны карт, несмотря на то, что оригинальные транзакции были выполнены с использованием технологии EMV.
Банки, не прошедшие надлежащую проверку iCVV, позволили использовать клонированные карты. Украденные данные были проданы в даркнете, что привело к дальнейшему мошенничеству.
Это неудачное изложение найденного мной примера.
Есть ли способ распознать эти попытки, если вы клиент?
Как распознать попытки клонирования EMV
Клиенту сложно обнаружить клонирование EMV, поскольку шиммеры сливаются с устройствами считывания карт.Лучшее, что вы можете сделать, — это перенять мою стратегию, которую я использую каждый раз, когда пользуюсь терминалом оплаты картой:
- Осмотрите считыватель карт: проверьте наличие сломанных защитных пломб или незакрепленных деталей.
- Вы также можете попробовать покачать считыватель карт и клавиатуру, чтобы проверить, надежно ли они закреплены.
- Проверьте клавиатуру: смещенные или трудно нажимаемые клавиши могут указывать на несанкционированный доступ.
- Осмотрите щель для оплаты: сравните ее с другими автоматами, чтобы найти различия.
- Обращайте внимание на признаки подделки: царапины, несоответствие цветов или рисунков могут указывать на мошенничество.
Если они не отвечают, подайте в свой банк заявку на возврат платежа.
Мы расскажем, как это сделать, в отдельной статье. Если коротко, то вам нужно позвонить в свой банк или в компанию, выпустившую вашу карту.
Вот и все, ребята.
Подведение итогов
Клонирование в обход EMV может привести к финансовым потерям для держателей карт и компаний. Хотя это случается редко, это всё же происходит. Лучшая защита — переход на бесконтактные платежи и принятие мер безопасности.Для владельцев бизнеса подготовка к возврату платежей — ключевой момент. Оповещения о возврате платежей могут помочь, но для этого вам понадобится программное обеспечение или сервисы управления, такие как Verifi или Ethoca.
Источники
- [1] Статистика развертывания. EMVco. 2024.
- [2] Процент платежей с использованием карты в мире с использованием EMV. NFCW. 15.08.2023.
- [3] Чиповые карты снижают риск мошенничества с подделками. PYMNTS. 9/04/2019.
- [4] На втором повороте магазина 7-Eleven обнаружен считыватель карт. KTVZ. 20.02.2024.
(c) Источник
Last edited:
