EMV – EMV – abcdef.wiki

2022: скрытое оборудование отключает проверку pin-кода на украденной карте

11 февраля 2022 года команда Мердока и Драймера из Кембриджского университета объявила, что они обнаружили «недостаток в микросхеме и ПИН-коде, настолько серьезный, что они думают, что он показывает, что вся система нуждается в переписывании», что было «настолько простым, что это их шокировало».

Команда программы BBC Newsnight посетила кафетерий Кембриджского университета (с разрешения) с системой и смогла заплатить, используя свои собственные карты (вор мог использовать украденные карты), подключенные к сети, вставив поддельную карту и набрав ” 0000 “в качестве ПИН-кода.

Транзакции регистрировались в обычном режиме и не отслеживались системами безопасности банков. Один из членов исследовательской группы сказал: «Даже мелкие криминальные системы имеют лучшее оборудование, чем мы. Уровень технической сложности, необходимой для проведения этой атаки, действительно довольно низок».

В объявлении об уязвимости говорилось: «Требуемый опыт невысокий (электроника на уровне бакалавриата) … Мы оспариваем утверждение банковского сектора о том, что преступники недостаточно опытны, потому что они уже продемонстрировали гораздо более высокий уровень навыков. чем это необходимо для этой атаки, в их миниатюрных скиммерах для ввода ПИН-кода “. Неизвестно, использовалась ли эта уязвимость.

EMVCo не согласился и опубликовал ответ, в котором говорилось, что, хотя такая атака может быть теоретически возможна, ее будет чрезвычайно сложно и дорого провести успешно, что текущие компенсирующие меры, вероятно, обнаружат или ограничат мошенничество, и что возможная финансовая выгода от атака минимальна, в то время как риск отклонения транзакции или разоблачения мошенника значительный.

Когда к нам обратились за комментариями, несколько банков (Кооперативный банк, Barclays и HSBC) заявили, что это проблема всей отрасли, и направили команду Newsnight в ассоциацию банковской торговли для получения дальнейших комментариев.

По словам Фила Джонса из Ассоциации потребителей , чип и PIN-код помогли снизить количество карточных преступлений, но многие случаи остаются необъясненными. «Что мы действительно знаем, так это то, что у нас есть дела, выдвинутые отдельными лицами, которые кажутся весьма убедительными».

Поскольку отправка ПИН-кода подавлена, это точный эквивалент выполнения продавцом транзакции обхода ПИН-кода. Такие транзакции не могут быть успешными в автономном режиме, поскольку карта никогда не генерирует автономную авторизацию без успешного ввода ПИН-кода.

В результате этого транзакция ARQC должна быть отправлена ​​онлайн эмитенту, который знает, что ARQC был сгенерирован без успешной отправки PIN-кода (поскольку эта информация включена в зашифрованный ARQC) и, следовательно, может отклонить транзакцию, если это было связано с высоким значением, несоответствием характеру или иным образом выходящим за рамки типичных параметров управления рисками, установленных эмитентом.

Первоначально клиенты банка должны были доказать, что они не проявили халатность со своим PIN-кодом, прежде чем получить компенсацию, но правила Великобритании, действующие с 1 ноября 2009 года, жестко возлагали бремя на банки, чтобы доказать, что клиент проявил халатность в любом споре, с Заказчику дано 13 месяцев на предъявление претензии.

Мердок сказал, что «[банкам] следует оглянуться на предыдущие транзакции, в которых клиент сказал, что их PIN-код не использовался, а банковская запись показала, что это было так, и рассмотреть вопрос о возмещении этим клиентам, поскольку они могут быть жертвами такого типа мошенничества. “

1 Онлайн EMV-транзакция

Основным методом подтверждения подлинности карты в онлайн-транзакциях является аутентификация карты онлайн. В основе данного метода лежит генерация картой криптограммы ARQC (Authorisation Request Cryptogram) для каждой платежной операции. Давайте рассмотрим этот процесс подробнее.

Онлайн EMV-транзакция

В основе генераций и проверок криптограмм лежит алгоритм 3DES. Эмитент и карта владеют общим секретным ключом MKac (Application Cryptogram Master Key). В начале транзакции карта генерирует на основе MKac сессионный ключ SKac (Application Cryptogram Session Key).

В процессе транзакции, сгенерированная картой криптограмма ARQC, отправляется в банк-эмитент, Банк сверят пришедшую ARQC с криптограммой которую, рассчитал самостоятельно. Для этой операции банком генерируется сессионный ключ, затем на основании пришедших данных транзакции, рассчитывается собственный ARQC. Если собственный (сгенерированный эмитентом) ARQC и ARQC карты сходятся – карта подлинная.

Далее эмитент по похожему алгоритму на основе динамических данных транзакции и данных ответа генерирует ARPC (Authorisation Response Cryptogram) и отсылает эту криптограмму назад карте. В тот момент, когда карта подтвердит пришедший ARPC, взаимная аутентификация карты и эмитента – выполнена.

Выше описан основной механизм аутентификации карты, который используется для онлайн-транзакций. Как уже было сказано, в онлайн-транзакции может присутствовать офлайн-аутентификация. Однако, чтобы не усложнять, рассмотрим детальное описание офлайн-аутентификации в контексте офлайн-транзакции.

Следующим методом безопасности являются расширенные данные в Field/DE 55 которые передаются в банк-эмитент. Field/DE 55 содержит результаты работы карты и терминала, оценки рисков и анализа транзакции.

Как показано на изображении выше, в Field/DE 55 содержится важная информация. Например, Terminal Verification Result, Сard Verification Result, которые в сумме с остальными данными помогают понять эмитенту и платежной системе как происходит транзакция и предоставляют множество дополнительных деталей для оценки рисков транзакции.

2 Офлайн EMV-транзакция

Особенность офлайн-транзакции заключается в том, что транзакция проводится картой и терминалом без обращения к банку и платежной системе. В процессе такой транзакции карта может одобрить транзакцию в пределах установленного лимита, а терминал, в свою очередь, отправляет информацию в банк позже по расписанию, либо когда появится связь с банком.

Как происходит аутентификация карты при офлайн-транзакции?

Ранее упоминалось, что онлайн- и офлайн-аутентификации используют разные технологии. Если онлайн использует криптографический алгоритм 3DES, то в случае с офлайн используется RSA c ассиметричными ключами. Зачем же использовать такие разные технологии?

Все дело в том, что при онлайн-аутентификации, ключи хранят только карта и банк. В случае же офлайна – ключ нужно доверить терминалу. Учитывая наличие большого количества терминалов, существует вероятность, что секретный ключ доверенный терминалам недолго останется секретным.

Т.к. детальное описание офлайн-аутентификации карты достаточно большое, рассмотрим упрощенную модель.

Static Data Authentication

Во главе всего стоит платежная система (точнее центр сертификации), которая выпускает пару ключей: приватный ключ (красный) и публичный ключ (синий). Банк-эмитент также имеет свою пару ключей. Для своих ключей эмитент специальным образом генерирует сертификат (Issuer Public Key Certificate), который содержит в себе публичный ключ эмитента.

Когда платежный терминал устанавливают в торговую точку и подключают к системе, публичный ключ платежной системы через банк-эквайер загружается в терминал.

В процессе офлайн-транзакции терминал производит офлайн-аутентификацию карты. Сначала терминал вычитывает из карты Issuer Public Key Certificate, и с помощью публичного ключа платежной системы проверяет правильность подписи сертификата (т.е. расшифровывает).

Описанный выше метод относится к статической аутентификации SDA (Static Data Authentication). В настоящее время чаще используются динамические аутентификации: DDA (Dynamic Data Authentication) и CDA (Dynamic Data Authentication), которые включают в себя SDA и дополнительно, по аналогии с онлайн, подписывают данные, которые курсируют между терминалом и картой.

Технология SDA позволяет терминалу проверить, что данные на карте не модифицированы. Однако, она не позволяет полностью идентифицировать подлинность карты (существует возможность скопировать SDA-данные). В свою очередь, технологии DDA и CDA позволяют подтвердить подлинность карты, потому что карта является носителем уникального приватного ключа, чей сертификат (публичный ключ) подписан приватным ключом эмитента (сертификат эмитента (его публичный ключ) подписан приватным ключом платежной системы).

Технологии DDA и CDA уже содержат в себе SDA и в целом сходны. Оба алгоритма используют уникальный ключ карты и динамические данные. DDA-аутентификация является отдельной операцией и выполняется до основного цикла процесса транзакции. CDA выполняется в основном цикле транзакции, а в качестве подписываемых данных дополнительно используется криптограмма карты. В целом, сегодня, технология DDA более распространена, хотя CDA является более предпочтительной в использовании.

Помимо цифровой подписи, терминал и карта умеют оценивать риски транзакции. Для офлайн-транзакции карта может оперировать несколькими видами счетчиков транзакций и аккумуляторов офлайн-сумм, валютами и странами, офлайн-пином и его лимитами, а также дополнительными правилами.

Для каждой из реализаций приложения конкретной платежной системы существует свой набор правил, на основании которых карта может принимать решения проводить офлайн, онлайн или отклонять транзакцию. Список этих правил достаточно гибкий и может по-разному настраиваться эмитентом для каждого карточного продукта. В процессе решения могут участвовать результаты предыдущих транзакций, офлайн-счетчики, результаты проверки пина и т.д.

Cvm configuration per product

Key: Online PIN – 1, Offline Plaintext PIN – 2, Offline Enciphered PIN – 3, Signature – 4, No CVM – 5, CDCVM – 6

Key differences with classic emv

This implementation allows the cardholder to retrieve the card faster but with certain consequences:

• The cardholder cannot confirm the real transaction amount before the transaction is executed. However, the final amount can be displayed at the end of the transaction.
• The Authorization request will contain two different amounts:
  • The placeholder amount in DE 55 – Tag 9f02
  • The real transaction amount in DE 4
• Card risk management, including CVM processing, is based on the placeholder amount, which can be different from the actual amount (e.g. placeholder amount can be under the CVM limit, while actual amount will be above).
• Card risk management based on the issuer data (ARPC validation, second Card Action Analysis) cannot be executed.
• Issuer scripting cannot be executed.

Best Practice

Offline and online transactions

When it comes to transaction authorization, it is necessary to differentiate offline and online scenarios:

• Offline authorization scenario

  • Offline approval
    The terminal requests, in the First Generate AC, a Transaction Certificate (TC). The card approves the transaction based on settings defined by the issuer. The transaction was not sent online for authorization. This scenario is defined as an “offline transaction.”

  • Offline decline
    An offline decline can be a result of either the First Generate AC (before an online authorization request), or Second Generate AC (after an online authorization request).

    This scenario can occur in three cases:

    • The terminal requests, in either the First or Second Generate AC, an offline approval from the card, but the card chooses to decline.
      • The terminal may request an offline approval in the Second Generate AC if the terminal tried to go online for authorization but was unable to do so.
      • The terminal requests, in the First Generate AC, an offline decline which is granted by the card. This is used in certain scenarios such as refunds, reversals, etc.
      • The terminal requests the card to provide a cryptogram to go online for authorization but the chip rejects the request and declines offline.

• Online authorization scenario
  Online authorization scenarios occur in the situations where the terminal requests the transaction go online to the issuer for approval (standard scenario in North America) or if the terminal requests an offline approval but is asked to go online by the card. Whatever is the trigger for seeking online authorization of the transaction, there are three possible outcomes:

  • Online approval:
    The issuer approves the transaction online.

  • Online decline:
    The issuer declines the transaction. This can happen for many reasons (insufficient funds, card compromised, suspected fraud, etc.).

  • Online approval declined by the card:
    The issuer can grant authorization to the transaction online but the card chooses to decline the transaction. This can happen for many reasons (e.g: information received from the issuer is suspicious or suspected fraud, other risk management parameters, etc.).

Select application

The first step of the transaction consists of selecting the application to be used for processing. As EMV uses multi-application capable chip cards, cards can host multiple applications on the same card, such as:

• Debit and Credit application on the same card;
• Multiple debit (or credit) applications with different risk parameters.

Selection of the Application can be done in two different ways:

1. The terminal explicitly selects the AID (Application Identifier) by issuing multiple commands to the chip. The chip determines which applications supported by the terminal are also supported by the chip. The chip identifies a priority for each supported application, and the terminal chooses the highest mutually supported priority.

   

   Figure 13 Application Selection – Explicit selection

2. The card provides a list of supported AIDs from the PSE (Payment System Environment), which the terminal uses to select the application used for the transaction. The terminal will select a mutually supported application from the list based on the priorities set by the card for each application supported.

   

   Figure 14 Application Selection – Selection with PSE

Best Practice

• Application Selection should be made using the PSE (method 2 above), as it streamlines transaction processing, by avoiding unnecessary selection commands of non-present applications, and is more future-proof.

• Elavon recommends cardholder selection based on application name and merchant-preferred selection for the Application Selection.

Анализ действия терминала

Результаты предыдущих шагов обработки используются для определения того, должна ли транзакция быть одобрена в автономном режиме, отправлена ​​в оперативный режим для авторизации или отклонена в автономном режиме. Это выполняется с помощью комбинации объектов данных, известных как коды действий терминала (TAC), хранящихся в терминале, и кодов действий эмитента (IAC), считываемых с карты. TAC логически объединяется с IAC, чтобы предоставить эквайеру уровень контроля над результатом транзакции.

Оба типа кода действия принимают значения Denial, Online и Default. Каждый код действия содержит серию битов, которые соответствуют битам в результатах проверки терминала (TVR), и используются для принятия терминалом решения о том, принять, отклонить или перейти в режим онлайн для платежной транзакции.

TAC устанавливается эквайером карты; на практике схемы карт рекомендуют настройки TAC, которые следует использовать для конкретного типа терминала в зависимости от его возможностей. IAC устанавливается эмитентом карты; Некоторые эмитенты карт могут решить, что карты с истекшим сроком действия должны быть отклонены, установив соответствующий бит в Denial IAC.

Устройство, доступное только в режиме онлайн, например банкомат, всегда пытается подключиться к запросу на авторизацию, если оно не отклонено в автономном режиме из-за кодов действий эмитента – настройки отказа. Во время обработки IAC-Denial и TAC-Denial для устройства, работающего только в режиме онлайн, единственным релевантным битом результатов проверки Терминала является «Услуга не разрешена».

Когда устройство, работающее только в режиме онлайн, выполняет обработку IAC — Online и TAC — Online, единственным релевантным битом TVR является «Значение транзакции превышает минимальный предел». Поскольку нижний предел установлен на ноль, транзакция всегда должна переходить в оперативный режим, а все другие значения в TAC — Online или IAC — Online не имеют значения. Устройствам, работающим только в режиме онлайн, не требуется выполнять обработку IAC по умолчанию.

История

До введения чипа и PIN-кода все личные транзакции по кредитным или дебетовым картам включали использование магнитной полосы или механического отпечатка для чтения и записи данных учетной записи, а также подпись для проверки личности.

Клиент передает свою карту кассиру в точке продажи, который затем пропускает карту через магнитный считыватель или делает оттиск с выпуклого текста на карте. В первом случае система проверяет реквизиты счета и распечатывает квитанцию ​​для подписи клиентом.

В случае механического отпечатка заполняются детали транзакции, просматривается список украденных номеров, и покупатель подписывает отпечатанный бланк. В обоих случаях кассир должен убедиться, что подпись клиента совпадает с подписью на обратной стороне карты, чтобы подтвердить транзакцию.

Использование подписи на карте в качестве метода проверки имеет ряд недостатков безопасности, наиболее очевидным из которых является относительная легкость, с которой карты могут исчезнуть до того, как их законные владельцы смогут их подписать. Другой включает стирание и замену законной подписи, а третий – подделку правильной подписи.

Изобретение кремниевой интегральной схемы в 1959 году привело к идее встроить ее в пластиковую смарт-карту в конце 1960-х годов двумя немецкими инженерами, Хельмутом Греттрупом и Юргеном Детлоффом .

Первые смарт-карты были представлены как телефонные карты в 1970-х годах, а затем были адаптированы для использования в качестве платежных карт . Смарт-карты с тех пор использовали микросхемы интегральных схем MOS , наряду с технологиями MOS-памяти, такими как флэш-память и EEPROM (электрически стираемая программируемая постоянная память ).

Первым стандартом для смарт-платежных карт был Carte Bancaire B0M4 от Bull-CP8, развернутый во Франции в 1986 году, за ним последовал B4B0 ‘(совместимый с M4), развернутый в 1989 году. Geldkarte в Германии также предшествовал EMV.

Первоначально EMV обозначало E uropay , M astercard и V isa , три компании, создавшие стандарт. Стандарт теперь управляется EMVCo , консорциумом, в котором контроль поровну разделен между Visa, Mastercard, JCB , American Express , China UnionPay и Discover.

JCB присоединилась к консорциуму в феврале 2009 года, China UnionPay – в мае 2022 года, Discover – в сентябре 2022 года и RuPay – 26 марта 2022 года.

Контроль стандарта emv

Контактная площадка для электрического интерфейса на лицевой стороне кредитной карты

Первая версия стандарта EMV была опубликована в 1995 году. Сейчас стандарт определяется и управляется частной корпорацией EMVCo LLC. В настоящее время членами EMVCo являются American Express , Discover Financial , JCB International , Mastercard , China UnionPay и Visa Inc.

Признание соответствия стандарту EMV (т. Е. Сертификация устройства) выдается EMVCo после представления результатов испытаний, проведенных аккредитованной испытательной лабораторией.

Тестирование на соответствие EMV имеет два уровня: EMV Level 1, который охватывает интерфейсы физического, электрического и транспортного уровня, и EMV Level 2, который охватывает выбор платежных приложений и обработку кредитных финансовых транзакций.

После прохождения общих тестов EMVCo программное обеспечение должно быть сертифицировано платежными брендами на соответствие проприетарным реализациям EMV, таким как Visa VSDC, American Express AEIPS, Mastercard MChip, JCB JSmart или EMV-совместимым реализациям сторонних участников, таких как LINK в Великобритания или Interac в Канаде.

Обход pin-кода

В 2020 году исследователи Дэвид Басин, Ральф Сассе и Хорхе Торо из ETH Zurich сообщили о критической проблеме безопасности, затрагивающей бесконтактные карты Visa . Проблема заключается в отсутствии криптографической защиты критических данных, отправляемых картой на терминал во время транзакции EMV.

Рассматриваемые данные определяют метод проверки держателя карты (CVM, например, проверка PIN-кода), который будет использоваться для транзакции. Команда продемонстрировала, что можно изменить эти данные, чтобы заставить терминал поверить в то, что PIN-код не требуется, поскольку владелец карты был проверен с помощью своего устройства (например, смартфона).

Исследователи разработали экспериментальное приложение для Android , которое эффективно превращает физическую карту Visa в мобильное платежное приложение (например, Apple Pay , Google Pay ) для совершения дорогостоящих покупок без ввода PIN-кода.

Атака осуществляется с помощью двух смартфонов с поддержкой NFC , один из которых находится рядом с физической картой, а второй – возле платежного терминала. Атака могла затронуть карты Discover и China’s UnionPay, но на практике это не было продемонстрировано, в отличие от карт Visa.

В начале 2021 года та же команда сообщила, что карты Mastercard также уязвимы для атаки с обходом PIN-кода. Они показали, что преступники могут обманом заставить терминал совершать операции с бесконтактной картой Mastercard, считая, что это карта Visa.

«Сложные системы, такие как EMV, должны анализироваться автоматическими инструментами, такими как средства проверки моделей » , – отмечают исследователи в качестве основного вывода из своих выводов. В отличие от людей, инструменты проверки моделей, такие как Tamarin, подходят для этой задачи, поскольку они могут справиться со сложностью реальных систем, таких как EMV.

Объединенное королевство

Чип и PIN-код Великобритании логотип

Чип и ПИН-код были опробованы в Нортгемптоне , Англия, с мая 2003 года, и в результате 14 февраля 2006 года они были развернуты по всей Великобритании с рекламой в прессе и на национальном телевидении, рекламирующей лозунг «Безопасность в цифрах».

На первых этапах развертывания, если считалось, что произошла мошенническая транзакция с магнитной картой, банк-эмитент возмещал розничному продавцу деньги, как это было до введения чипа и PIN-кода. 1 января 2005 г. ответственность по таким операциям перешла к розничному продавцу; это послужило стимулом для розничных продавцов к обновлению своих систем точек продаж (PoS), и большинство крупных уличных сетей были модернизированы вовремя к крайнему сроку EMV.

Новые карты с магнитными полосами и чипами теперь выпускаются всеми крупными банками. Замена карт с предварительным чипом и PIN-кодом была серьезной проблемой, поскольку банки просто заявили, что потребители получат свои новые карты «по истечении срока действия их старой карты» – несмотря на то, что многие люди имели карты со сроком действия еще в 2007 году.

Внедрение чипа и PIN-кода подверглось критике за то, что оно призвано снизить ответственность банков в случаях заявленного мошенничества с картами, требуя от клиента доказать, что он действовал «с разумной осторожностью» для защиты своего PIN-кода и карты, а не о том, что банк должен доказать соответствие подписи.

До появления чипа и PIN-кода, если подпись клиента была подделана, банки несли юридическую ответственность и должны были возместить клиенту расходы. До 1 ноября 2009 года не существовало такого закона, защищающего потребителей от мошенничества с использованием их чипов и PIN-кодов, только добровольный банковский код .

Было много сообщений о том, что банки отказывались возмещать жертвам мошенничества с использованием карт, утверждая, что их системы не могут дать сбой в указанных обстоятельствах, несмотря на несколько задокументированных успешных крупномасштабных атак.

Положения о платежных услугах 2009 года вступили в силу 1 ноября 2009 года и возложили на банки ответственность доказать, а не предполагать, что владелец карты виноват. Управление финансовых услуг (FSA) заявило, что «банк, строительный кооператив или компания, выпускающая кредитные карты, должны доказать, что транзакция была проведена вами, и не было никаких сбоев в процедурах или технических трудностей», прежде чем отказаться от ответственности.

Операции онлайн, по телефону и по почте

В то время как технология EMV помогла снизить уровень преступности в торговых точках, мошеннические транзакции превратились в более уязвимые транзакции по телефону , Интернету и почте, известные в отрасли как транзакции без предъявления карты или транзакции CNP.

• Программные подходы к онлайн-транзакциям, которые включают взаимодействие с банком-эмитентом карты или веб-сайтом сети, например, Verified by Visa и Mastercard SecureCode (реализация протокола Visa 3-D Secure ). 3-D Secure теперь заменяется надежной аутентификацией клиентов, как это определено в Европейской директиве о вторых платежных услугах .
• Создание одноразовой виртуальной карты, привязанной к физической карте с заданной максимальной суммой.
• Дополнительное оборудование с клавиатурой и экраном, которое может выдавать одноразовый пароль , например программа аутентификации чипа .
• Клавиатура и экран интегрированы в сложные карты для создания одноразового пароля . С 2008 года Visa запускает пилотные проекты с использованием карты Emue, где сгенерированный номер заменяет код, напечатанный на обратной стороне стандартных карт.

Реализация

Первоначально EMV означало Europay , Mastercard и Visa – три компании, создавшие стандарт. Стандарт теперь управляется EMVCo , консорциумом финансовых компаний. Наиболее известные микросхемы стандарта EMV:

• ВИС: Виза
• Чип Mastercard: Mastercard
• AEIPS: American Express
• UICS: China Union Pay
• J Smart: JCB
• D-PAS: Discover / Diners Club International
• Рупай: NPCI
• Verve

Visa и Mastercard также разработали стандарты использования карт EMV в устройствах для поддержки транзакций без предъявления карт (CNP) по телефону и через Интернет. Mastercard имеет программу аутентификации чипа (CAP) для безопасной электронной коммерции.

Во многих странах мира платежные системы по дебетовым и / или кредитным картам ввели сдвиг в ответственности. Обычно ответственность за мошеннические транзакции несет эмитент карты. Однако после реализации сдвига ответственности, если банкомат или торговый терминал продавца не поддерживает EMV, владелец банкомата или продавец несет ответственность за мошенническую транзакцию.

Системы с чипом и PIN-кодом могут создавать проблемы для путешественников из стран, которые не выпускают карты с чипом и PIN-кодом, поскольку некоторые розничные продавцы могут отказать в приеме их бесколлекторных карт. Хотя большинство терминалов по-прежнему принимают карты с магнитной полосой, а основные бренды кредитных карт требуют, чтобы продавцы принимали их, некоторые сотрудники могут отказать в приеме карты, полагая, что они несут ответственность за любое мошенничество, если карта не может проверить PIN-код.

Соединенные штаты

После широко распространенной кражи личных данных из-за слабой безопасности в торговых точках Target , Home Depot и других крупных розничных продавцов Visa, Mastercard и Discover в марте 2022 года – и American Express в июне 2022 года – объявили о своих планах перехода на EMV для Соединенные Штаты.

В 2022 году ряд компаний начали выпускать предоплаченные дебетовые карты с чипом и PIN-кодом, позволяющие американцам загружать наличные в евро или фунтах стерлингов . Федеральный кредитный союз Организации Объединенных Наций был первым эмитентом США, предложившим кредитные карты с чипом и PIN-кодом.

В мае 2022 года в пресс-релизе Gemalto (глобального производителя карт EMV) было указано, что Федеральный кредитный союз Организации Объединенных Наций в Нью-Йорке станет первым эмитентом карт EMV в Соединенных Штатах, предлагающим своим клиентам кредитную карту EMV Visa.

По состоянию на апрель 2022 года 70% потребителей в США имеют карты EMV, а по состоянию на декабрь 2022 года примерно 50% продавцов соответствуют требованиям EMV. Однако развертывание у разных поставщиков было медленным и непоследовательным. Даже продавцы с оборудованием EMV могут быть не в состоянии обрабатывать транзакции с чипами из-за недостатков программного обеспечения или нормативных требований.

Bloomberg также указывал на проблемы с развертыванием программного обеспечения, включая изменения звуковых подсказок для компьютеров Verifone, на выпуск и развертывание программного обеспечения может уйти несколько месяцев. Однако отраслевые эксперты ожидают в США большей стандартизации развертывания программного обеспечения и стандартов.

• American Express ввела сдвиг ответственности для терминалов торговых точек 1 октября 2022 года. Для оплаты на заправочной станции на заправочных станциях сдвиг ответственности наступает 16 апреля 2021 года. Срок действия ответственности был продлен с 1 октября 2020 года из-за осложнений, связанных с коронавирусом.

• Ознакомьтесь с введенной смещением ответственности 1 октября 2022 года. Для оплаты на заправочной станции на заправочных станциях смещение ответственности наступает 1 октября 2020 года.
• 19 апреля 2022 года Maestro ввела сдвиг ответственности для международных карт, используемых в США.
• Mastercard ввела сдвиг ответственности для терминалов торговых точек 1 октября 2022 года. Для оплаты на заправочной станции на заправочных станциях сдвиг ответственности формально наступает 1 октября 2020 года. Для банкоматов дата изменения ответственности была 1 октября 2022 года.
• Visa осуществила сдвиг ответственности для терминалов торговых точек 1 октября 2022 года. Для оплаты на заправочной станции на заправочных станциях сдвиг ответственности формально наступает 1 октября 2020 года. Для банкоматов дата изменения ответственности была 1 октября 2022 года.

Успешные атаки

Захват разговора – это форма атаки, которая, как сообщается, произошла против терминалов Shell в мае 2006 года, когда они были вынуждены отключить всю аутентификацию EMV на своих заправочных станциях после того, как у клиентов было украдено более 1 миллиона фунтов стерлингов.

В октябре 2008 года сообщалось, что сотни считывателей карт EMV для использования в Великобритании, Ирландии, Нидерландах, Дании и Бельгии были искусно взломаны в Китае во время или вскоре после производства. В течение 9 месяцев данные и ПИН-коды кредитных и дебетовых карт отправлялись по сетям мобильной связи преступникам в Лахоре , Пакистан.

США Национальной Контрразведки Исполнительный Джоэл Бреннер сказал: «Раньше лишь в несколько государственной нации «сек спецслужба была бы способна стаскивать этот тип операции. Это страшно.» Данные обычно использовались через пару месяцев после транзакции по карте, чтобы следователям было сложнее выявить уязвимость.

После того, как мошенничество было обнаружено, было обнаружено, что взломанные терминалы могут быть идентифицированы, поскольку дополнительные схемы увеличили их вес примерно на 100 г. Считается, что были украдены десятки миллионов фунтов стерлингов.

Эта уязвимость подтолкнула к усилиям по внедрению лучшего контроля над электронными POS-устройствами на протяжении всего их жизненного цикла, практика, одобренная стандартами безопасности электронных платежей, такими как стандарты, разработанные Secure POS Vendor Alliance (SPVA).