Man
Professional
- Messages
- 3,012
- Reaction score
- 537
- Points
- 113
Платежные карты, связанные с криптовалютами, процветают. Но они сочетают в себе новую технологию (крипто) и старую (сети платежных карт). В этом гостевом посте исследователь безопасности платежей Тимур Юнусов говорит, что криптокомпании, объединяющиеся с платежными системами, управляемыми гигантами дебетовых и кредитных карт Visa и Mastercard, должны знать о рисках безопасности, которые они наследуют.
Криптовалюты — это новый черный. Они повсюду, и даже ваши бабушки и дедушки теперь могут сплетничать о них.
Но криптовалюты также чрезвычайно нестабильны, что означает, что люди не используют их для ежедневных транзакций. Вместо этого мы по-прежнему конвертируем в традиционные валюты и обратно, когда хотим оплатить счет или заплатить кому-то еще.
К сожалению, пересечь границу между традиционными деньгами и криптовалютой не всегда легко: достаточно вспомнить недавний запрет на платежи на криптовалютные биржи со стороны нескольких британских банков.
Присоединение к старой гвардии
С другой стороны, платежи в криптовалюту и из криптовалюты с использованием таких карточных сетей, как Visa и Mastercard, процветают. 6 июля Visa объявила, что ее клиенты потратили более 1 млрд долларов, используя ее карты, привязанные к криптовалюте, в первой половине 2021 года.
Для криптостартапов сотрудничество с одной из существующих сетей карт теперь является фактом жизни. Вы не можете просто создать свою собственную платежную экосистему. Платежи — это игра масштаба, и существующие поставщики карт, безусловно, обладают этим.
Для стартапов наиболее популярным вариантом является выбор поставщика платежных услуг white label, который возьмет на себя бремя регистрации пользователей карт, проведения платежей и выполнения всех закулисных операций. Одним из самых известных поставщиков платежных услуг была немецкая фирма Wirecard, пока она не обанкротилась в 2020 году после разоблачения масштабного мошенничества.
Однако Wirecard Card Solutions Limited, дочерняя компания фирмы в Великобритании, которая выпускала фирменные дебетовые карты для многих финтех- и крипто-стартапов, все еще работает. Она была продана Railsbank в конце прошлого года.
Новые технологии против старых технологий
Объединение криптовалютного предложения с сетью платежных карт поднимает ряд интересных вопросов.
Объединяясь с такими карточными сетями, как Visa или Mastercard, крипто- и финтех-компании объединяют новую технологию — свою собственную версию денег — с технологической архитектурой карточных компаний, которой почти 75 лет (современная платежная карта была создана в 1950 году в США Ральфом Шнайдером и Фрэнком Макнамарой).
Насколько надежна архитектура карточных платежей? Хотя разработчики карт за эти годы добавили много шагов для снижения мошенничества с платежами (магнитные полосы и PIN-коды — два примера усовершенствований, которые были добавлены к ранним картам для повышения их безопасности), все еще существуют недостатки, которыми может воспользоваться умный злоумышленник.
Ниже мы рассмотрим некоторые из оставшихся уязвимостей в конструкции платежных карт.
Операции без предъявления карты
Так называемые транзакции «карта-не-присутствие» происходят преимущественно, когда кто-то платит онлайн. Другой случай — когда данные вашей карты вводятся кем-то другим на терминале точки продажи («POS»), например, когда вы платите за отель по телефону.
В США транзакция без предъявления карты может иметь место, когда ваша карта не может быть считана во время личного платежа, и кассир предоставляет вам возможность ввести данные карты на терминале с пин-кодом (такая транзакция на жаргоне платежных карт называется «ввод ключа PAN» — таких, к сожалению, очень много).
Кстати, многие люди ошибочно полагают, что поле «имя владельца карты» проверяется где-то во время онлайн-платежа. Однако это не так, и вы можете ввести все, что захотите. Попробуйте в следующий раз!
Самая безопасная форма оплаты без предъявления карты подразумевает одноразовый код, который отправляется для проверки конкретного платежа (эта схема безопасности называется «3D-Secure»). Если транзакция была запрошена владельцем карты, он/она подтвердит ее с помощью кода, и платеж пройдет. В противном случае он будет отклонен.
Однако такая схема не идеальна, поскольку она несет в себе собственные риски безопасности. Например, хакеры могут перехватывать коды аутентификации или использовать фишинг, чтобы обмануть настоящих владельцев карт.
Если продавец или эмитент не поддерживает 3D-Secure, платеж можно осуществить, используя только PAN (длинный номер карты), дату окончания срока действия карты и трехзначный код безопасности карты на обратной стороне.
Это не добавляет многого с точки зрения безопасности. Некоторые хакеры могут атаковать мобильные приложения и украсть эти поля оттуда. Или они могут использовать другой метод, например, перебор 3 цифр кода безопасности карты.
Даже если злоумышленники ничего о вас не знают, но обладают картами того же стартапа, что и вы, вы уже можете быть под угрозой. Как это возможно?
Давайте посмотрим. Сначала мошенник открывает карточный счет. Теперь он знает свой PAN и дату истечения срока действия. Если стартап не использует функцию рандомизации PAN, номера карт идут последовательно один за другим. Это значит, что следующие клиенты после злоумышленника получат номера, которые он может предсказать. И поскольку они были выпущены примерно в одно и то же время, у них будет одинаковое или похожее поле даты истечения срока действия.
В зависимости от скорости выпуска новых карт, количество карт с одинаковым сроком действия будет меняться. Но единственное поле, которое теперь придется угадывать мошеннику, — это поле кода безопасности карты. Были случаи успешного мошенничества с угадыванием CSC: легко заметить, что для этого требуется всего до 999 запросов.
Транзакции с использованием магнитной полосы
Магнитные полосы на картах были введены в конце 1960-х годов как одна из первых попыток борьбы с мошенничеством с платежами. Основная проблема с этой функцией безопасности заключается в том, что данные магнитной полосы очень легко считывать и записывать.
В свою очередь, это приводит к широко распространенной возможности создания клонов платежных карт. И именно здесь происходит самый популярный тип мошенничества с картами. В так называемой атаке «скимминг» хакеры крадут данные магнитной полосы и продают их по всему миру.
Хотя в 1990-х годах карточные сети ввели обновление безопасности для противодействия мошенничеству с магнитной полосой (называемой «чипом» или «EMV» — см. следующий раздел), этот тип атак все еще продолжается. Это связано с тем, что торговцы в некоторых странах, таких как США, могли не обновить свои платежные терминалы, чтобы настаивать на транзакциях только с использованием EMV.
Основной способ борьбы с этим старым типом мошенничества с картами — ограничение транзакций с использованием магнитной полосы по географическому положению. Тот, у кого есть данные магнитной полосы вашей карты, не сможет использовать ее в магазине, находящемся в восьми часовых поясах от вас. В качестве альтернативы разрешения на оплату с использованием магнитной полосы можно вообще отключить.
EMV/NFC-транзакции
В 1990-х годах появилась более безопасная форма карточных платежей, называемая чиповой или EMV (что расшифровывается как Europay, MasterCard и Visa).
EMV представил концепцию использования функций смарт-карт для решения известных проблем магнитных полос. Используя симметричную криптографию 3-DES и асимметричную криптографию RSA, платежи с использованием смарт-карт предлагали дополнительные уровни защиты, в частности:
В начале 2000-х годов были введены бесконтактные платежи, побуждающие нас тратить больше, при этом сохраняя механизмы безопасности чиповых/EMV-карт. Visa, MasterCard и банки утверждают, что бесконтактные платежи — самый безопасный способ оплаты. Но так ли это?
Многие исследователи безопасности показали, что бесконтактные платежи не только унаследовали те же проблемы, что и EMV, но и добавили несколько своих собственных.
Еще одна проблема, влияющая на бесконтактные платежи, заключается в том, что EMV больше не отвечает за технические стандарты, которые определяют, как именно должны осуществляться платежи. Поэтому Visa и MasterCard осуществляют бесконтактные платежи по-своему, наряду с AmEx, UnionPay и другими внутренними платежными брендами.
Знайте риски
Современные платежи с использованием карт все еще подвержены влиянию технологических решений, принятых более 50 лет назад. Текущая модель «карта как услуга» помогает компаниям, особенно стартапам, передавать большую часть этапов обработки карт на аутсорсинг специализированным поставщикам услуг, но это решение имеет свою цену.
У большинства финтех-компаний нет собственной группы оценки рисков или специализированных отделов по борьбе с мошенничеством, а некоторые из них едва понимают, как работают карточные платежи.
В то же время это наши деньги, и мы должны быть уверены, что эти компании делают все возможное, чтобы защитить нас. Наши основные рекомендации — следить за тем, какие опции есть у вашей карты, ее различными лимитами, ее уведомлениями и функциями безопасности.
Хотя многие крипто- и финтех-стартапы, использующие традиционные карточные сети, имеют свои программы вознаграждения за обнаружение ошибок, не многие из них были готовы решать проблемы, о которых мы здесь сообщили. Некоторые даже не ответили.
Подробное описание уязвимостей платежных карт и способов их устранения при запуске новой программы платежей с использованием карт вы можете прочитать в техническом документе.
А презентацию по этой теме на недавней конференции DefCon вы можете посмотреть здесь.
Источник
Криптовалюты — это новый черный. Они повсюду, и даже ваши бабушки и дедушки теперь могут сплетничать о них.
Но криптовалюты также чрезвычайно нестабильны, что означает, что люди не используют их для ежедневных транзакций. Вместо этого мы по-прежнему конвертируем в традиционные валюты и обратно, когда хотим оплатить счет или заплатить кому-то еще.
К сожалению, пересечь границу между традиционными деньгами и криптовалютой не всегда легко: достаточно вспомнить недавний запрет на платежи на криптовалютные биржи со стороны нескольких британских банков.
Присоединение к старой гвардии
С другой стороны, платежи в криптовалюту и из криптовалюты с использованием таких карточных сетей, как Visa и Mastercard, процветают. 6 июля Visa объявила, что ее клиенты потратили более 1 млрд долларов, используя ее карты, привязанные к криптовалюте, в первой половине 2021 года.
Для криптостартапов сотрудничество с одной из существующих сетей карт теперь является фактом жизни. Вы не можете просто создать свою собственную платежную экосистему. Платежи — это игра масштаба, и существующие поставщики карт, безусловно, обладают этим.
Для стартапов наиболее популярным вариантом является выбор поставщика платежных услуг white label, который возьмет на себя бремя регистрации пользователей карт, проведения платежей и выполнения всех закулисных операций. Одним из самых известных поставщиков платежных услуг была немецкая фирма Wirecard, пока она не обанкротилась в 2020 году после разоблачения масштабного мошенничества.
Однако Wirecard Card Solutions Limited, дочерняя компания фирмы в Великобритании, которая выпускала фирменные дебетовые карты для многих финтех- и крипто-стартапов, все еще работает. Она была продана Railsbank в конце прошлого года.
Новые технологии против старых технологий
Объединение криптовалютного предложения с сетью платежных карт поднимает ряд интересных вопросов.
Объединяясь с такими карточными сетями, как Visa или Mastercard, крипто- и финтех-компании объединяют новую технологию — свою собственную версию денег — с технологической архитектурой карточных компаний, которой почти 75 лет (современная платежная карта была создана в 1950 году в США Ральфом Шнайдером и Фрэнком Макнамарой).
Насколько надежна архитектура карточных платежей? Хотя разработчики карт за эти годы добавили много шагов для снижения мошенничества с платежами (магнитные полосы и PIN-коды — два примера усовершенствований, которые были добавлены к ранним картам для повышения их безопасности), все еще существуют недостатки, которыми может воспользоваться умный злоумышленник.
Ниже мы рассмотрим некоторые из оставшихся уязвимостей в конструкции платежных карт.
Операции без предъявления карты
Так называемые транзакции «карта-не-присутствие» происходят преимущественно, когда кто-то платит онлайн. Другой случай — когда данные вашей карты вводятся кем-то другим на терминале точки продажи («POS»), например, когда вы платите за отель по телефону.
В США транзакция без предъявления карты может иметь место, когда ваша карта не может быть считана во время личного платежа, и кассир предоставляет вам возможность ввести данные карты на терминале с пин-кодом (такая транзакция на жаргоне платежных карт называется «ввод ключа PAN» — таких, к сожалению, очень много).
Кстати, многие люди ошибочно полагают, что поле «имя владельца карты» проверяется где-то во время онлайн-платежа. Однако это не так, и вы можете ввести все, что захотите. Попробуйте в следующий раз!
Самая безопасная форма оплаты без предъявления карты подразумевает одноразовый код, который отправляется для проверки конкретного платежа (эта схема безопасности называется «3D-Secure»). Если транзакция была запрошена владельцем карты, он/она подтвердит ее с помощью кода, и платеж пройдет. В противном случае он будет отклонен.
Однако такая схема не идеальна, поскольку она несет в себе собственные риски безопасности. Например, хакеры могут перехватывать коды аутентификации или использовать фишинг, чтобы обмануть настоящих владельцев карт.
Если продавец или эмитент не поддерживает 3D-Secure, платеж можно осуществить, используя только PAN (длинный номер карты), дату окончания срока действия карты и трехзначный код безопасности карты на обратной стороне.
Это не добавляет многого с точки зрения безопасности. Некоторые хакеры могут атаковать мобильные приложения и украсть эти поля оттуда. Или они могут использовать другой метод, например, перебор 3 цифр кода безопасности карты.
Даже если злоумышленники ничего о вас не знают, но обладают картами того же стартапа, что и вы, вы уже можете быть под угрозой. Как это возможно?
Давайте посмотрим. Сначала мошенник открывает карточный счет. Теперь он знает свой PAN и дату истечения срока действия. Если стартап не использует функцию рандомизации PAN, номера карт идут последовательно один за другим. Это значит, что следующие клиенты после злоумышленника получат номера, которые он может предсказать. И поскольку они были выпущены примерно в одно и то же время, у них будет одинаковое или похожее поле даты истечения срока действия.
В зависимости от скорости выпуска новых карт, количество карт с одинаковым сроком действия будет меняться. Но единственное поле, которое теперь придется угадывать мошеннику, — это поле кода безопасности карты. Были случаи успешного мошенничества с угадыванием CSC: легко заметить, что для этого требуется всего до 999 запросов.
Транзакции с использованием магнитной полосы
Магнитные полосы на картах были введены в конце 1960-х годов как одна из первых попыток борьбы с мошенничеством с платежами. Основная проблема с этой функцией безопасности заключается в том, что данные магнитной полосы очень легко считывать и записывать.
В свою очередь, это приводит к широко распространенной возможности создания клонов платежных карт. И именно здесь происходит самый популярный тип мошенничества с картами. В так называемой атаке «скимминг» хакеры крадут данные магнитной полосы и продают их по всему миру.
Хотя в 1990-х годах карточные сети ввели обновление безопасности для противодействия мошенничеству с магнитной полосой (называемой «чипом» или «EMV» — см. следующий раздел), этот тип атак все еще продолжается. Это связано с тем, что торговцы в некоторых странах, таких как США, могли не обновить свои платежные терминалы, чтобы настаивать на транзакциях только с использованием EMV.
Основной способ борьбы с этим старым типом мошенничества с картами — ограничение транзакций с использованием магнитной полосы по географическому положению. Тот, у кого есть данные магнитной полосы вашей карты, не сможет использовать ее в магазине, находящемся в восьми часовых поясах от вас. В качестве альтернативы разрешения на оплату с использованием магнитной полосы можно вообще отключить.
EMV/NFC-транзакции
В 1990-х годах появилась более безопасная форма карточных платежей, называемая чиповой или EMV (что расшифровывается как Europay, MasterCard и Visa).
EMV представил концепцию использования функций смарт-карт для решения известных проблем магнитных полос. Используя симметричную криптографию 3-DES и асимметричную криптографию RSA, платежи с использованием смарт-карт предлагали дополнительные уровни защиты, в частности:
- Аутентификация карты
- Проверка держателя карты
- Авторизация транзакции
В начале 2000-х годов были введены бесконтактные платежи, побуждающие нас тратить больше, при этом сохраняя механизмы безопасности чиповых/EMV-карт. Visa, MasterCard и банки утверждают, что бесконтактные платежи — самый безопасный способ оплаты. Но так ли это?
Многие исследователи безопасности показали, что бесконтактные платежи не только унаследовали те же проблемы, что и EMV, но и добавили несколько своих собственных.
Еще одна проблема, влияющая на бесконтактные платежи, заключается в том, что EMV больше не отвечает за технические стандарты, которые определяют, как именно должны осуществляться платежи. Поэтому Visa и MasterCard осуществляют бесконтактные платежи по-своему, наряду с AmEx, UnionPay и другими внутренними платежными брендами.
Знайте риски
Современные платежи с использованием карт все еще подвержены влиянию технологических решений, принятых более 50 лет назад. Текущая модель «карта как услуга» помогает компаниям, особенно стартапам, передавать большую часть этапов обработки карт на аутсорсинг специализированным поставщикам услуг, но это решение имеет свою цену.
У большинства финтех-компаний нет собственной группы оценки рисков или специализированных отделов по борьбе с мошенничеством, а некоторые из них едва понимают, как работают карточные платежи.
В то же время это наши деньги, и мы должны быть уверены, что эти компании делают все возможное, чтобы защитить нас. Наши основные рекомендации — следить за тем, какие опции есть у вашей карты, ее различными лимитами, ее уведомлениями и функциями безопасности.
Хотя многие крипто- и финтех-стартапы, использующие традиционные карточные сети, имеют свои программы вознаграждения за обнаружение ошибок, не многие из них были готовы решать проблемы, о которых мы здесь сообщили. Некоторые даже не ответили.
Подробное описание уязвимостей платежных карт и способов их устранения при запуске новой программы платежей с использованием карт вы можете прочитать в техническом документе.
А презентацию по этой теме на недавней конференции DefCon вы можете посмотреть здесь.
Источник
