EMV – EMV – abcdef.wiki

2021: скрытое оборудование отключает проверку pin-кода на украденной карте

11 февраля 2021 года команда Мердока и Драймера из Кембриджского университета объявила, что они обнаружили «недостаток в микросхеме и ПИН-коде, настолько серьезный, что они думают, что он показывает, что вся система нуждается в переписывании», что было «настолько простым, что это их шокировало».

Команда программы BBC Newsnight посетила кафетерий Кембриджского университета (с разрешения) с системой и смогла заплатить, используя свои собственные карты (вор мог использовать украденные карты), подключенные к сети, вставив поддельную карту и набрав ” 0000 “в качестве ПИН-кода.

Транзакции регистрировались в обычном режиме и не отслеживались системами безопасности банков. Один из членов исследовательской группы сказал: «Даже мелкие криминальные системы имеют лучшее оборудование, чем мы. Уровень технической сложности, необходимой для проведения этой атаки, действительно довольно низок».

В объявлении об уязвимости говорилось: «Требуемый опыт невысокий (электроника на уровне бакалавриата) … Мы оспариваем утверждение банковского сектора о том, что преступники недостаточно изощрены, потому что они уже продемонстрировали гораздо более высокий уровень навыков. чем это необходимо для этой атаки, в их миниатюрных скиммерах для ввода ПИН-кода “. Неизвестно, использовалась ли эта уязвимость.

EMVCo не согласился и опубликовал ответ, в котором говорилось, что, хотя такая атака может быть теоретически возможной, ее будет чрезвычайно сложно и дорого провести успешно, что текущие компенсирующие меры, вероятно, обнаружат или ограничат мошенничество, и что возможная финансовая выгода от атака минимальна, в то время как риск отклонения транзакции или разоблачения мошенника значительный.

Когда к нам обратились за комментариями, несколько банков (Co-operative Bank, Barclays и HSBC) сказали, что это проблема всей отрасли, и направили команду Newsnight в ассоциацию банковской торговли для получения дополнительных комментариев.

По словам Фила Джонса из Ассоциации потребителей , чип и PIN-код помогли снизить количество карточных преступлений, но многие случаи остаются необъясненными. «Что мы действительно знаем, так это то, что у нас есть дела, выдвинутые отдельными лицами, которые кажутся весьма убедительными».

Поскольку отправка ПИН-кода подавлена, это точный эквивалент выполнения продавцом транзакции обхода ПИН-кода. Такие транзакции не могут быть успешными в автономном режиме, поскольку карта никогда не генерирует автономную авторизацию без успешного ввода ПИН-кода.

В результате этого транзакция ARQC должна быть отправлена ​​онлайн эмитенту, который знает, что ARQC был сгенерирован без успешной отправки PIN-кода (поскольку эта информация включена в зашифрованный ARQC) и, следовательно, может отклонить транзакцию, если это было связано с высокой стоимостью, несоответствием характеру или иным образом с типичными параметрами управления рисками, установленными эмитентом.

Первоначально клиенты банка должны были доказать, что они не проявили халатность со своим PIN-кодом, прежде чем получить компенсацию, но правила Великобритании, действующие с 1 ноября 2009 года, жестко возлагали бремя на банки, чтобы доказать, что клиент проявил халатность в любом споре, с Заказчику дано 13 месяцев на предъявление претензии.

Мердок сказал, что «[банкам] следует оглянуться на предыдущие транзакции, в которых клиент сказал, что их PIN-код не использовался, а банковская запись показала, что это было так, и рассмотреть вопрос о возмещении этим клиентам, поскольку они могли быть жертвами такого типа мошенничества. “

2021: переход на более раннюю версию cvm позволяет произвольно извлекать пин-код

На конференции CanSecWest в марте 2021 года Андреа Барисани и Даниэле Бьянко представили исследование, раскрывающее уязвимость в EMV, которая позволяет произвольно собирать PIN-код, несмотря на конфигурацию карты проверки держателя карты, даже если поддерживаемые данные CVM подписаны.

Сбор ПИН-кода может выполняться с помощью флотатора. По сути, список CVM, который был изменен для понижения CVM до автономного ПИН-кода, по-прежнему соблюдается POS-терминалами, несмотря на то, что его подпись недействительна.

Contact us

Австралия

• Mastercard требует, чтобы все терминалы в торговых точках были совместимы с EMV к апрелю 2021 года. Для банкоматов сдвиг ответственности произошел в апреле 2021 года. К концу 2021 года банкоматы должны быть совместимы с EMV.
• Сдвиг ответственности Visa за банкоматы состоялся 1 апреля 2021 года.

Автономная аутентификация данных (oda)

Автономная аутентификация данных – это криптографическая проверка для проверки карты с использованием криптографии с открытым ключом . В зависимости от карты можно выполнить три различных процесса:

• Статическая аутентификация данных (SDA) гарантирует, что данные, считанные с карты, были подписаны эмитентом карты. Это предотвращает изменение данных, но не предотвращает клонирование.
• Динамическая аутентификация данных (DDA) обеспечивает защиту от изменения данных и клонирования.
• Комбинированная криптограмма DDA / генерации приложения (CDA) объединяет DDA с генерацией криптограммы приложения карты для обеспечения действительности карты. Может потребоваться поддержка CDA в устройствах, поскольку этот процесс реализован на определенных рынках. Этот процесс не является обязательным в терминалах и может выполняться только там, где его поддерживают и карта, и терминал.

Анализ действия второй карты

CDOL2 (список объектов данных карты) содержит список тегов, которые карта хотела бы отправить после авторизации транзакции онлайн (код ответа, ARPC и т. Д.). Даже если по какой-либо причине терминал не может выйти в онлайн (например, сбой связи), терминал должен снова отправить эти данные на карту, используя команду генерации криптограммы авторизации.

Анализ действия первой карты

Одним из объектов данных, считываемых с карты на этапе чтения данных приложения, является CDOL1 (список объектов данных карты). Этот объект представляет собой список тегов, которые карта хочет отправить ей, чтобы принять решение о том, одобрить или отклонить транзакцию (включая сумму транзакции, но и многие другие объекты данных).

• Сертификат транзакции (TC) – офлайн-утверждение
• Криптограмма запроса авторизации (ARQC) – онлайн-авторизация
• Криптограмма проверки подлинности приложения (AAC) – отказ в автономном режиме.

Этот шаг дает карте возможность принять анализ действий терминала, отклонить транзакцию или принудительно выполнить транзакцию в режиме онлайн. Карта не может вернуть TC, когда был запрошен ARQC, но может вернуть ARQC, когда был запрошен TC.

Анализ действия терминала

Результаты предыдущих шагов обработки используются для определения того, должна ли транзакция быть одобрена в автономном режиме, отправлена ​​в оперативный режим для авторизации или отклонена в автономном режиме. Это выполняется с помощью комбинации объектов данных, известных как коды действий терминала (TAC), хранящихся в терминале, и кодов действий эмитента (IAC), считываемых с карты. TAC логически объединяется с IAC, чтобы предоставить эквайеру уровень контроля над результатом транзакции.

Оба типа кода действия принимают значения Denial, Online и Default. Каждый код действия содержит серию битов, которые соответствуют битам в результатах проверки терминала (TVR), и используются для принятия терминалом решения о том, принять, отклонить или перейти в режим онлайн для платежной транзакции.

TAC устанавливается эквайером карты; на практике схемы карт рекомендуют настройки TAC, которые следует использовать для конкретного типа терминала в зависимости от его возможностей. IAC устанавливается эмитентом карты; Некоторые эмитенты карт могут решить, что карты с истекшим сроком действия должны быть отклонены, установив соответствующий бит в Denial IAC.

Устройство, доступное только в режиме онлайн, например банкомат, всегда пытается подключиться к запросу на авторизацию, если оно не отклонено в автономном режиме из-за кодов действий эмитента – настройки отказа. Во время обработки IAC-Denial и TAC-Denial для устройства, работающего только в режиме онлайн, единственным релевантным битом результатов проверки Терминала является «Служба не разрешена».

Когда устройство, работающее только в режиме онлайн, выполняет обработку IAC — Online и TAC — Online, единственным релевантным битом TVR является «Значение транзакции превышает минимальный предел». Поскольку нижний предел установлен на ноль, транзакция всегда должна переходить в оперативный режим, а все другие значения в TAC — Online или IAC — Online не имеют значения. Устройствам, работающим только в режиме онлайн, не требуется выполнять обработку IAC по умолчанию.

Африке

• Сдвиг ответственности Mastercard между странами в этом регионе произошел 1 января 2006 года. К 1 октября 2021 года произошел сдвиг ответственности по всем транзакциям в точках продаж.
• Изменение ответственности Visa для точек продаж произошло 1 января 2006 года. Для банкоматов изменение ответственности произошло 1 января 2008 года.

Бразилия

• Смена ответственности Mastercard произошла 1 марта 2008 года.
• Изменение ответственности Visa для точек продаж произошло 1 апреля 2021 года. Для банкоматов изменение ответственности произошло 1 октября 2021 года.

Венесуэла

• Смена ответственности Mastercard произошла 1 июля 2009 года.

Версии

Первый стандарт EMV появился в 1995 году как EMV 2.0. Это было обновлено до EMV 3.0 в 1996 году (иногда называемое EMV ’96) с более поздними поправками к EMV 3.1.1 в 1998 году. Это было дополнительно исправлено до версии 4.0 в декабре 2000 года (иногда называемой EMV 2000). Версия 4.

Возможности сбора pin-кодов и клонирования магнитных полос

Помимо данных второй дорожки на магнитной полосе, карты EMV обычно содержат идентичные данные, закодированные на чипе, которые считываются как часть обычного процесса транзакции EMV. Если устройство чтения EMV скомпрометировано до такой степени, что перехватывается разговор между картой и терминалом, злоумышленник может восстановить как данные дорожки-два, так и PIN-код, что позволит создать карту с магнитной полосой, которая, в то время как не может использоваться в терминале с микросхемой и PIN-кодом, может использоваться, например, в оконечных устройствах, которые позволяют откатиться к обработке магнитной полосы для иностранных клиентов без чип-карт и дефектных карт.

Эта атака возможна только в том случае, если (а) автономный ПИН-код представлен в виде открытого текста устройством ввода ПИН-кода на карту, (б) запасной вариант магнитной полосы разрешен эмитентом карты и (в) если географическая и поведенческая проверка не может осуществляться. эмитентом карты.

APACS , представляющая платежную индустрию Великобритании, заявила, что изменения, указанные в протоколе (где значения проверки карты различаются между магнитной полосой и чипом – iCVV), сделали эту атаку неэффективной и что такие меры будут применяться с января 2008 года. карты в феврале 2008 г. указали, что это могло быть отложено.

Выбор приложения

ISO / IEC 7816 определяет процесс выбора приложений. Цель выбора приложения заключалась в том, чтобы позволить картам содержать совершенно разные приложения, например GSM и EMV. Однако разработчики EMV реализовали выбор приложений как способ определения типа продукта, поэтому все эмитенты продукта (Visa, Mastercard и т. Д.)

Идентификатор приложения (АИД) используется для адресации приложения в карты или хост – карты эмуляции (HCE) , если они доставлены без карты. AID состоит из пяти байтов зарегистрированного идентификатора поставщика приложения (RID), который выдается органом регистрации ISO / IEC 7816-5.

За этим следует проприетарное расширение идентификатора приложения (PIX), которое позволяет поставщику приложения различать различные предлагаемые приложения. AID печатается на всех квитанциях держателей карт EMV. Эмитенты карт могут изменить имя приложения на имя сети карты.

Chase , например, переименовывает приложение Visa на своих картах Visa в «CHASE VISA», а приложение Mastercard на своих картах Mastercard – в «CHASE MASTERCARD». Capital One переименовывает приложение Mastercard на своих картах Mastercard в «CAPITAL ONE», а приложение Visa на своих картах Visa – на «CAPITAL ONE VISA». В остальном приложения такие же.

Список приложений:

История

До введения чипа и PIN-кода все личные транзакции по кредитным или дебетовым картам включали использование магнитной полосы или механического отпечатка для чтения и записи данных учетной записи, а также подпись для проверки личности.

Покупатель передает свою карту кассиру в точке продажи, который затем пропускает карту через магнитный считыватель или делает оттиск с выпуклого текста на карте. В первом случае система проверяет реквизиты счета и распечатывает квитанцию ​​для подписи клиентом.

В случае механического отпечатка заполняются детали транзакции, просматривается список украденных номеров, и покупатель подписывает отпечатанный бланк. В обоих случаях кассир должен убедиться, что подпись клиента совпадает с подписью на обратной стороне карты, чтобы подтвердить транзакцию.

Использование подписи на карте в качестве метода проверки имеет ряд недостатков безопасности, наиболее очевидным из которых является относительная легкость, с которой карты могут исчезнуть до того, как их законные владельцы смогут их подписать. Другой включает стирание и замену законной подписи, а третий – подделку правильной подписи.

Изобретение кремниевой интегральной схемы в 1959 году привело к идее встроить ее в пластиковую смарт-карту в конце 1960-х годов двумя немецкими инженерами, Хельмутом Греттрупом и Юргеном Детлоффом .

Первые смарт-карты были представлены как телефонные карты в 1970-х годах, а затем были адаптированы для использования в качестве платежных карт . Смарт-карты с тех пор использовали микросхемы интегральных схем MOS , наряду с технологиями памяти MOS, такими как флэш-память и EEPROM (электрически стираемая программируемая постоянная память ).

Первым стандартом для смарт-платежных карт был Carte Bancaire B0M4 от Bull-CP8, развернутый во Франции в 1986 году, за ним последовал B4B0 ‘(совместимый с M4), развернутый в 1989 году. Geldkarte в Германии также предшествует EMV.

Первоначально EMV обозначало E uropay , M astercard и V isa – три компании, создавшие стандарт. Стандарт теперь управляется EMVCo , консорциумом с поровну контролем между Visa, Mastercard, JCB , American Express , China UnionPay и Discover.

JCB присоединилась к консорциуму в феврале 2009 года, China UnionPay – в мае 2021 года, Discover – в сентябре 2021 года и RuPay – 26 марта 2021 года.

Канада

• 31 октября 2021 года компания American Express осуществила сдвиг ответственности.
• 1 октября 2021 года Discover внедрила сдвиг ответственности для всех транзакций, за исключением операций с оплатой по факту на заправочных станциях; эти операции были перенесены 1 октября 2021 года.
• Interac (канадская сеть дебетовых карт) прекратила обработку транзакций, не связанных с EMV, в банкоматах 31 декабря 2021 года и ввела обязательные транзакции EMV в торговых точках 30 сентября 2021 года, а 31 декабря 2021 года произошел сдвиг в ответственности.
• 31 марта 2021 года Mastercard осуществила сдвиг обязательств по внутренней транзакции, а 15 апреля 2021 года – сдвиг по международным обязательствам. Для оплаты на заправочных станциях сдвиг ответственности был введен 31 декабря 2021 года.
• 31 марта 2021 года Visa осуществила сдвиг обязательств по сделкам внутри страны, а 31 октября 2021 года – сдвиг по международным обязательствам. Для оплаты на заправочных станциях сдвиг ответственности был введен 31 декабря 2021 года.
• За 5-летний период после перехода на EMV количество мошеннических транзакций с использованием внутренних карт и карт в Канаде значительно сократилось. Согласно отчетам Helcim, мошенничество с внутренними дебетовыми картами с предъявлением карт сократилось на 89,49%, а мошенничество с кредитными картами – на 68,37%.

Колумбия

• Смена ответственности Mastercard произошла 1 октября 2008 года.

Команды

ISO / IEC 7816 -3 определяет протокол передачи между чип-картами и считывающими устройствами. Используя этот протокол, данные обмениваются в единицах данных протокола приложения (APDU). Это включает отправку команды на карту, ее обработку и отправку ответа. EMV использует следующие команды:

• блок приложения
• разблокировать приложение
• блок карты
• внешняя аутентификация (7816-4)
• генерировать криптограмму приложения
• получить данные (7816-4)
• получить варианты обработки
• внутренняя аутентификация (7816-4)
• Изменение / разблокировка PIN-кода
• прочитать запись (7816-4)
• выберите (7816-4)
• проверить (7816-4).

Команды, за которыми следует «7816-4», определены в ISO / IEC 7816-4 и являются межотраслевыми командами, используемыми для многих приложений для чип-карт, таких как SIM- карты GSM .

Контроль стандарта emv

Контактная площадка для электрического интерфейса на лицевой стороне кредитной карты

Первая версия стандарта EMV была опубликована в 1995 году. Сейчас стандарт определяется и управляется частной корпорацией EMVCo LLC. В настоящее время членами EMVCo являются American Express , Discover Financial , JCB International , Mastercard , China UnionPay и Visa Inc.

Признание соответствия стандарту EMV (т. Е. Сертификация устройства) выдается EMVCo после представления результатов испытаний, проведенных аккредитованной испытательной лабораторией.

Тестирование на соответствие EMV имеет два уровня: EMV Level 1, который охватывает интерфейсы физического, электрического и транспортного уровня, и EMV Level 2, который охватывает выбор платежных приложений и обработку кредитных финансовых транзакций.

После прохождения общих тестов EMVCo программное обеспечение должно быть сертифицировано платежными брендами на предмет соответствия проприетарным реализациям EMV, таким как Visa VSDC, American Express AEIPS, Mastercard MChip, JCB JSmart или EMV-совместимым реализациям сторонних участников, таких как LINK в Великобритания или Interac в Канаде.

Латинская америка и карибский бассейн

• Перераспределение ответственности Mastercard между странами этого региона произошло 1 января 2005 года.
• Сдвиг ответственности Visa для точек продаж состоялся 1 октября 2021 года для всех стран в этом регионе, которые еще не внедрили изменение ответственности. Для банкоматов сдвиг ответственности произошел 1 октября 2021 года для всех стран в этом регионе, которые еще не внедрили сдвиг ответственности.

Малайзия

• Малайзия – первая страна в мире, которая полностью перешла на смарт-карты, совместимые с EMV, через два года после их внедрения в 2005 году.

Мексика

• 1 октября 2021 года Discover внедрила сдвиг ответственности. Что касается оплаты на заправочных станциях, то сдвиг ответственности произошел 1 октября 2021 года.
• Изменение ответственности Visa для точек продаж произошло 1 апреля 2021 года. Для банкоматов изменение ответственности произошло 1 октября 2021 года.

Начать обработку заявки

Терминал отправляет на карту команду получения параметров обработки . При подаче этой команды терминал снабжает карту любыми элементами данных, запрошенными картой в списке объектов данных опций обработки (PDOL). PDOL (список тегов и длин элементов данных) дополнительно предоставляется картой терминалу во время выбора приложения .

Карта отвечает профилем обмена приложениями (AIP), списком функций, выполняемых при обработке транзакции. Карта также содержит указатель файлов приложения (AFL), список файлов и записей, которые терминал должен прочитать с карты.

Новая зеландия

• Mastercard требует, чтобы все терминалы в торговых точках были совместимы с EMV к 1 июля 2021 года. Для банкоматов смещение ответственности произошло в апреле 2021 года. Банкоматы должны быть совместимы с EMV к концу 2021 года.
• Перенос ответственности Visa в отношении банкоматов произошел 1 апреля 2021 года.

Обработка скрипта эмитента

Если эмитент карты хочет обновить пост-выпуск карты, он может отправлять команды на карту, используя обработку сценария эмитента. Скрипты эмитента не имеют смысла для терминала и могут быть зашифрованы между картой и эмитентом для обеспечения дополнительной безопасности. Скрипт эмитента можно использовать для блокировки карт или изменения параметров карты.

Обработка сценария эмитента недоступна в контактных транзакциях, обрабатываемых с помощью Visa Quick Chip для EMV и Mastercard M / Chip Fast, а также для бесконтактных транзакций в разных схемах.

Обход pin-кода

В 2020 году исследователи Дэвид Басин, Ральф Сассе и Хорхе Торо из ETH Zurich сообщили о критической проблеме безопасности, затрагивающей бесконтактные карты Visa . Проблема заключается в отсутствии криптографической защиты критических данных, отправляемых картой на терминал во время транзакции EMV.

Рассматриваемые данные определяют метод проверки держателя карты (CVM, например, проверка PIN-кода), который будет использоваться для транзакции. Команда продемонстрировала, что можно изменить эти данные, чтобы заставить терминал поверить в то, что PIN-код не требуется, поскольку владелец карты был проверен с помощью своего устройства (например, смартфона).

Исследователи разработали экспериментальное приложение для Android , которое эффективно превращает физическую карту Visa в мобильное платежное приложение (например, Apple Pay , Google Pay ) для совершения дорогостоящих покупок без ввода PIN-кода.

Атака осуществляется с помощью двух смартфонов с поддержкой NFC , один из которых находится рядом с физической картой, а второй – возле платежного терминала. Атака могла затронуть карты Discover и China’s UnionPay, но на практике это не было продемонстрировано, в отличие от карт Visa.

В начале 2021 года та же команда сообщила, что карты Mastercard также уязвимы для атаки с обходом PIN-кода. Они показали, что преступники могут обманом заставить терминал совершать операции с бесконтактной картой Mastercard, считая, что это карта Visa.

«Сложные системы, такие как EMV, должны анализироваться автоматическими инструментами, такими как средства проверки моделей » , – отмечают исследователи в качестве основного вывода своих выводов. В отличие от людей, инструменты проверки моделей, такие как Tamarin, подходят для этой задачи, поскольку они могут справиться со сложностью реальных систем, таких как EMV.

Объединенное королевство

Чип и PIN-код Великобритании логотип

Чип и ПИН-код были опробованы в Нортгемптоне , Англия, с мая 2003 года, и в результате 14 февраля 2006 года они были развернуты по всей Великобритании с рекламой в прессе и на национальном телевидении, рекламирующей лозунг «Безопасность в цифрах».

На первых этапах развертывания, если считалось, что произошла мошенническая транзакция с магнитной картой, банк-эмитент возмещал розничному продавцу деньги, как это было до введения чипа и PIN-кода. 1 января 2005 г. ответственность по таким операциям перешла к розничному продавцу; это послужило стимулом для розничных продавцов к обновлению своих систем точек продаж (PoS), и большинство крупных уличных сетей были модернизированы вовремя к крайнему сроку EMV.

Новые карты с магнитными полосами и чипами теперь выпускаются всеми крупными банками. Замена карт с предварительным чипом и PIN-кодом была серьезной проблемой, поскольку банки просто заявили, что потребители получат свои новые карты «когда истечет срок их действия» – несмотря на то, что многие люди имели карты со сроком действия еще в 2007 году.

Внедрение чипа и PIN-кода подверглось критике как направленное на снижение ответственности банков в случаях заявленного мошенничества с картами, поскольку от клиента требовалось доказать, что он действовал «с разумной осторожностью» для защиты своего PIN-кода и карты, а не о том, что банк должен доказать соответствие подписи.

До появления чипа и PIN-кода, если подпись клиента была подделана, банки несли юридическую ответственность и должны были возместить клиенту расходы. До 1 ноября 2009 г. не существовало такого закона, защищающего потребителей от мошенничества с использованием их чипов и PIN-кодов, только добровольный банковский код .

Было много сообщений о том, что банки отказывались возмещать жертвам мошенничества с использованием карт, утверждая, что их системы не могут дать сбой в указанных обстоятельствах, несмотря на несколько задокументированных успешных крупномасштабных атак.

Положения о платежных услугах 2009 года вступили в силу 1 ноября 2009 года и возложили на банки ответственность доказать, а не предполагать, что владелец карты виноват. Управление финансовых услуг (FSA) заявило, что «банк, строительный кооператив или компания, выпускающая кредитные карты, должны доказать, что транзакция была проведена вами, и не было никаких сбоев в процедурах или технических трудностей», прежде чем отказаться от ответственности.

Ограничения обработки

Целью ограничений обработки является проверка того, следует ли использовать карту. Проверяются три элемента данных, считанных на предыдущем шаге: номер версии приложения, контроль использования приложения (показывает, предназначена ли карта только для домашнего использования и т. Д.), Проверка даты действия / истечения срока действия приложения.

Если какая-либо из этих проверок не удалась, карта не обязательно отклоняется. Терминал устанавливает соответствующий бит в результатах проверки терминала (TVR), компоненты которых формируют основу для принятия / отклонения решения позже в потоке транзакции.

Эта функция позволяет, например, эмитентам карт разрешать держателям карт продолжать использовать карты с истекшим сроком действия после даты истечения срока их действия, но все транзакции с картой с истекшим сроком действия должны выполняться в режиме онлайн.

Операции онлайн, по телефону и по почте

В то время как технология EMV помогла снизить уровень преступности в торговых точках, мошеннические транзакции превратились в более уязвимые транзакции по телефону , Интернету и почте, известные в отрасли как транзакции без предъявления карты или транзакции CNP.

• Программные подходы к онлайн-транзакциям, которые включают взаимодействие с банком-эмитентом карты или веб-сайтом сети, например, Verified by Visa и Mastercard SecureCode (реализация протокола Visa 3-D Secure ). 3-D Secure теперь заменяется надежной аутентификацией клиентов, как это определено в Европейской директиве о вторых платежных услугах .
• Создание одноразовой виртуальной карты, привязанной к физической карте с заданной максимальной суммой.
• Дополнительное оборудование с клавиатурой и экраном, которое может выдавать одноразовый пароль , например программа аутентификации чипа .
• Клавиатура и экран интегрированы в сложные карты для создания одноразового пароля . С 2008 года Visa запускает пилотные проекты с использованием карты Emue, где сгенерированный номер заменяет код, напечатанный на обратной стороне стандартных карт.

Отличия и преимущества

Есть два основных преимущества перехода к платежным системам с использованием смарт-карт: повышенная безопасность (с соответствующим сокращением случаев мошенничества) и возможность более точного контроля за утверждением транзакций по кредитным картам в автономном режиме.

Одна из первоначальных целей EMV заключалась в том, чтобы обеспечить несколько приложений на карте: приложение для кредитной и дебетовой карты или электронный кошелек. Дебетовые карты нового выпуска в США содержат два приложения – приложение для ассоциации карт (Visa, Mastercard и т. Д.)

Операции с чиповыми картами EMV повышают защиту от мошенничества по сравнению с операциями с картами с магнитной полосой, которые полагаются на подпись держателя и визуальный осмотр карты для проверки наличия таких функций, как голограмма .

Использование PIN-кода и криптографических алгоритмов, таких как Triple DES , RSA и SHA, обеспечивает аутентификацию карты для терминала обработки и хост-системы эмитента карты. Время обработки сопоставимо с онлайн-транзакциями, в которых задержка связи составляет большую часть времени, в то время как криптографические операции на терминале занимают сравнительно мало времени.

Предполагаемая повышенная защита от мошенничества позволила банкам и эмитентам кредитных карт провести «сдвиг ответственности», так что теперь продавцы несут ответственность (с 1 января 2005 года в регионе ЕС и с 1 октября 2021 года в США) за любое мошенничество, которое является результатом транзакций в системах, не поддерживающих EMV.

Большинство реализаций карт и терминалов EMV подтверждают личность держателя карты, требуя ввода личного идентификационного номера (ПИН-кода), а не подписания бумажной квитанции. Произойдет ли аутентификация по PIN-коду, зависит от возможностей терминала и программирования карты.

Когда кредитные карты были впервые представлены, продавцы использовали механические, а не магнитные портативные импринтеры для карт, для которых требовалась копировальная бумага . Они не общались в электронном виде с эмитентом карты, и карта никогда не уходила из поля зрения покупателя.

Продавец должен был подтвердить транзакции, превышающие определенный валютный лимит, позвонив эмитенту карты. В 1970-х годах в Соединенных Штатах многие торговцы подписывались на регулярно обновляемый список украденных или иным образом недействительных номеров кредитных карт.

Этот список обычно печатался в виде буклета на газетной бумаге в порядке номеров, как в тонкой телефонной книге, но без каких-либо данных, кроме списка недействительных номеров. Предполагалось, что кассиры будут листать этот буклет каждый раз при предъявлении кредитной карты для оплаты любой суммы до утверждения транзакции, что влекло за собой небольшую задержку.

Позже оборудование связывалось с эмитентом карты в электронном виде, используя информацию с магнитной полосы для проверки карты и авторизации транзакции. Это было намного быстрее, чем раньше, но требовало, чтобы транзакция происходила в фиксированном месте.

Следовательно, если транзакция не проводилась рядом с терминалом (например, в ресторане), служащий или официант должен был забрать карту у клиента и передать ее в банкомат. Для нечестного сотрудника было легко в любой момент тайно провести карту через дешевый аппарат, который мгновенно записал информацию на карту и полосу;

С момента введения Чипа платежной карты и ПИН-кода клонирование чипа невозможно; можно скопировать только магнитную полосу, а скопированную карту нельзя использовать отдельно на терминале, требующем PIN-кода. Появление чипа и PIN-кода совпало с тем, что технология беспроводной передачи данных стала недорогой и широко распространенной.

В дополнение к магнитным считывающим устройствам на мобильных телефонах, торговый персонал теперь может приносить покупателям беспроводные PIN-планшеты, так что карта никогда не пропадает из поля зрения держателя карты. Таким образом, для снижения рисков несанкционированного считывания и клонирования карт могут использоваться как чип-и-PIN, так и беспроводные технологии.

Поток транзакции

Транзакция EMV состоит из следующих этапов:

Проверка держателя карты

Проверка держателя карты используется для оценки того, является ли лицо, предъявившее карту, законным держателем карты. EMV поддерживает множество методов проверки держателя карты (CVM). Они есть

• Подпись
• Автономный ПИН-код в виде обычного текста
• Зашифрованный PIN-код в автономном режиме
• Автономный текстовый PIN-код и подпись
• Автономный зашифрованный PIN-код и подпись
• ПИН-код онлайн
• CVM не требуется
• Потребительское устройство CVM
• Ошибка обработки CVM

Терминал использует список CVM, считанный с карты, для определения типа проверки, которую необходимо выполнить. Список CVM устанавливает приоритет используемых CVM относительно возможностей терминала. Разные терминалы поддерживают разные CVM. Банкоматы обычно поддерживают онлайн-PIN. POS-терминалы различаются по поддержке CVM в зависимости от типа и страны.

Для автономных методов зашифрованного PIN-кода терминал шифрует блок PIN-кода в открытом виде с помощью открытого ключа карты перед отправкой его на карту с помощью команды Verify . Для метода онлайн-ПИН блок ПИН-кода в открытом виде зашифровывается терминалом с использованием его двухточечного ключа шифрования перед его отправкой процессору эквайера в сообщении с запросом на авторизацию.

В 2021 году EMVCo добавила поддержку методов биометрической верификации в версии 4.3 спецификаций EMV.

Прочитать данные приложения

Смарт-карты хранят данные в файлах. AFL содержит файлы, содержащие данные EMV. Все они должны быть прочитаны с помощью команды чтения записи. EMV не указывает, в каких файлах хранятся данные, поэтому все файлы должны быть прочитаны. Данные в этих файлах хранятся в формате BER TLV . EMV определяет значения тегов для всех данных, используемых при обработке карт.

Реализация

Первоначально EMV означало Europay , Mastercard и Visa – три компании, создавшие стандарт. Стандарт теперь управляется EMVCo , консорциумом финансовых компаний. Наиболее известные микросхемы стандарта EMV:

• ВИС: Виза
• Чип Mastercard: Mastercard
• AEIPS: American Express
• UICS: China Union Pay
• J Smart: JCB
• D-PAS: Discover / Diners Club International
• Рупай: NPCI
• Verve

Visa и Mastercard также разработали стандарты использования карт EMV в устройствах для поддержки транзакций без предъявления карт (CNP) по телефону и через Интернет. Mastercard имеет программу аутентификации чипа (CAP) для безопасной электронной коммерции.

Во многих странах мира платежные системы дебетовыми и / или кредитными картами ввели сдвиг ответственности. Обычно ответственность за мошеннические транзакции несет эмитент карты. Однако после реализации сдвига ответственности, если банкомат или торговый терминал продавца не поддерживает EMV, владелец банкомата или продавец несет ответственность за мошенническую транзакцию.

Системы с чипом и PIN-кодом могут создавать проблемы для путешественников из стран, которые не выпускают карты с чипом и PIN-кодом, поскольку некоторые розничные продавцы могут отказать в приеме их бесколлекторных карт. Хотя большинство терминалов по-прежнему принимают карты с магнитной полосой, а основные бренды кредитных карт требуют, чтобы продавцы принимали их, некоторые сотрудники могут отказать в приеме карты, полагая, что они несут ответственность за любое мошенничество, если карта не может проверить PIN-код.

Сбор pin-кода и клонирование полосы

В феврале 2008 года в программе BBC Newsnight исследователи Кембриджского университета Стивен Мердок и Саар Дример продемонстрировали один пример атаки, чтобы проиллюстрировать, что чип и PIN-код недостаточно безопасны, чтобы оправдать передачу ответственности за доказательство мошенничества с банков на клиентов.

APACS , британская платежная ассоциация, не согласилась с большей частью отчета, заявив, что «типы атак на устройства ввода PIN-кода, подробно описанные в этом отчете, сложно предпринять, и в настоящее время мошенник не может их осуществить с экономической точки зрения».

Они также заявили, что изменения в протоколе (указание различных значений верификации карты между чипом и магнитной полосой – iCVV) сделают эту атаку неэффективной с января 2008 года. Мошенничество, о котором сообщалось в октябре 2008 года, действовало в течение 9 месяцев (см. Выше), было вероятно, в то время находился в эксплуатации, но не был обнаружен в течение многих месяцев.

В августе 2021 года исследователи компьютерной безопасности NCR (компания платежных технологий) показали, как похитители кредитных карт могут переписать код магнитной полосы, чтобы она выглядела как карта без чипа, что позволяет подделывать ее.

Сертификаты emv

Для проверки подлинности платежных карт используются сертификаты EMV. Центр сертификации EMV выдает цифровые сертификаты эмитентам платежных карт. По запросу чип платежной карты предоставляет терминалу сертификат открытого ключа эмитента карты и SSAD.

Терминал извлекает открытый ключ CA из локального хранилища и использует его для подтверждения доверия для CA и, если он доверяет, для проверки того, что открытый ключ эмитента карты был подписан CA. Если открытый ключ эмитента карты действителен, терминал использует открытый ключ эмитента карты для проверки того, что SSAD карты был подписан эмитентом карты.

Соединенные штаты

После широко распространенной кражи личных данных из-за слабой безопасности в торговых точках Target , Home Depot и других крупных розничных продавцов Visa, Mastercard и Discover в марте 2021 года – и American Express в июне 2021 года – объявили о своих планах перехода на EMV для Соединенные Штаты.

В 2021 году ряд компаний начали выпускать предоплаченные дебетовые карты с чипом и PIN-кодом, позволяющие американцам загружать наличные в евро или фунтах стерлингов . Федеральный кредитный союз Организации Объединенных Наций был первым эмитентом США, который предложил кредитные карты с чипом и PIN-кодом.

В мае 2021 года в пресс-релизе Gemalto (глобального производителя карт EMV) указывалось, что Федеральный кредитный союз Организации Объединенных Наций в Нью-Йорке станет первым эмитентом карт EMV в Соединенных Штатах, предлагающим своим клиентам кредитную карту EMV Visa.

По состоянию на апрель 2021 года 70% потребителей в США имеют карты EMV, а по состоянию на декабрь 2021 года примерно 50% продавцов соответствуют требованиям EMV. Однако развертывание у разных поставщиков было медленным и непоследовательным. Даже продавцы с оборудованием EMV могут быть не в состоянии обрабатывать транзакции с чипами из-за недостатков программного обеспечения или нормативных требований.

Bloomberg также указал на проблемы с развертыванием программного обеспечения, включая изменения звуковых подсказок для компьютеров Verifone, на выпуск и развертывание программного обеспечения может уйти несколько месяцев. Однако отраслевые эксперты ожидают в США большей стандартизации развертывания программного обеспечения и стандартов.

• American Express ввела сдвиг ответственности для терминалов торговых точек 1 октября 2021 года. Для оплаты на заправочной станции на заправочных станциях сдвиг ответственности наступает 16 апреля 2021 года. Он был продлен с 1 октября 2020 года из-за осложнений, связанных с коронавирусом.

• Откройте для себя введенную смену ответственности 1 октября 2021 года. Для оплаты на заправке на заправочных станциях смена ответственности наступает 1 октября 2020 года.
• 19 апреля 2021 года Maestro ввела сдвиг ответственности для международных карт, используемых в США.
• Mastercard осуществила сдвиг ответственности для терминалов торговых точек 1 октября 2021 года. Для оплаты на заправочной станции на заправочных станциях сдвиг ответственности формально наступает 1 октября 2020 года. Для банкоматов дата изменения ответственности была 1 октября 2021 года.
• Visa осуществила сдвиг ответственности для терминалов торговых точек 1 октября 2021 года. Для оплаты на заправочной станции на заправочных станциях сдвиг ответственности формально наступает 1 октября 2020 года. Для банкоматов дата изменения ответственности была 1 октября 2021 года.

Список документов и стандартов emv

По состоянию на 2021 год, начиная с версии 4.0, официальные стандартные документы EMV, которые определяют все компоненты платежной системы EMV, публикуются в виде четырех «книг» и некоторых дополнительных документов:

• Книга 1: Требования к интерфейсу ICC и терминала, не зависящие от приложения
• Книга 2: Безопасность и управление ключами
• Книга 3: Спецификация приложения
• Книга 4: Требования к интерфейсу держателя карты, оператора и эквайера
• Общая спецификация платежного приложения
• Спецификация персонализации карты EMV

Страны азиатско-тихоокеанского региона

• Сдвиг ответственности Mastercard между странами этого региона произошел 1 января 2006 года. К 1 октября 2021 года сдвиг ответственности произошел для всех транзакций в точках продаж, за исключением внутренних транзакций в Китае и Японии.
• Сдвиг ответственности Visa для точек продаж состоялся 1 октября 2021 года. Для банкоматов дата смещения ответственности состоялась 1 октября 2021 года, за исключением Китая, Индии, Японии и Таиланда, где смещение ответственности произошло 1 октября 2021 года. Операции через банкоматы в Китае в настоящее время не подлежат переносу ответственности.

Управление терминальными рисками

Управление рисками терминалов выполняется только на устройствах, где необходимо принять решение о том, должна ли транзакция авторизоваться онлайн или офлайн. Если транзакции всегда выполняются в режиме онлайн (например, банкоматы) или всегда в автономном режиме, этот шаг можно пропустить.

Управление терминальным риском проверяет сумму транзакции на соответствие пределу автономного потолка (выше которого транзакции должны обрабатываться в интерактивном режиме). Также возможно иметь 1 в онлайн-счетчике и проверку по списку горячих карт (что необходимо только для автономных транзакций).

Успешные атаки

Захват разговора – это форма атаки, которая, как сообщается, имела место против терминалов Shell в мае 2006 года, когда они были вынуждены отключить всю аутентификацию EMV на своих заправочных станциях после того, как у клиентов было украдено более 1 миллиона фунтов стерлингов.

В октябре 2008 года сообщалось, что сотни считывателей карт EMV для использования в Великобритании, Ирландии, Нидерландах, Дании и Бельгии были искусно взломаны в Китае во время или вскоре после производства. В течение 9 месяцев данные и ПИН-коды кредитных и дебетовых карт отправлялись по сетям мобильной связи преступникам в Лахоре , Пакистан.

США Национальной Контрразведки Исполнительный Джоэл Бреннер сказал: «Раньше лишь в несколько государственной нации «сек спецслужба была бы способна стаскивать этот тип операции. Это страшно.» Данные обычно использовались через пару месяцев после транзакции по карте, чтобы следователям было сложнее выявить уязвимость.

После того, как мошенничество было обнаружено, было обнаружено, что взломанные терминалы могут быть идентифицированы, поскольку дополнительные схемы увеличили их вес примерно на 100 г. Считается, что были украдены десятки миллионов фунтов стерлингов.

Эта уязвимость подтолкнула к усилиям по внедрению лучшего контроля над электронными POS-устройствами на протяжении всего их жизненного цикла, практика, одобренная стандартами безопасности электронных платежей, такими как те, которые разрабатываются Secure POS Vendor Alliance (SPVA).

Чип и пин-код вместо чипа и подписи

Чип и ПИН-код – это один из двух методов проверки, которые могут использовать карты с поддержкой EMV. Вместо того, чтобы физически подписывать квитанцию ​​в целях идентификации, пользователь просто вводит личный идентификационный номер (PIN), как правило, длиной от 4 до 6 цифр.

Этот номер должен соответствовать информации, хранящейся на чипе. Технология чипа и PIN-кода значительно усложняет мошенникам использование найденной карты, поэтому, если кто-то украдет карту, он не сможет совершать мошеннические покупки, если не знает PIN-код.

Чип и подпись, с другой стороны, отличаются от чипа и ПИН-кода, подтверждая личность потребителя с помощью подписи.

По состоянию на 2021 год чипы и карты для подписи более распространены в США, Мексике, некоторых частях Южной Америки (таких как Аргентина, Колумбия, Перу) и некоторых странах Азии (таких как Тайвань, Гонконг, Таиланд, Южная Корея, Сингапур и Индонезия), тогда как карты с чипом и PIN-кодом более распространены в большинстве европейских стран (например, в Великобритании, Ирландии, Франции, Португалии, Финляндии и Нидерландах), а также в Иране, Бразилии, Венесуэле, Индии, Шри-Ланке, Канаде, Австралии. и Новая Зеландия.

Южная африка

• Смена ответственности Mastercard произошла 1 января 2005 года.