EMV Shift'ten sonra, Kredi Kartları Hala Mümkün Olduğunda Güvenli Değil

Kredi kartı sahteciliği ile ilgili kurallar değiştikçe altı aydan uzun bir süredir, eski manyetik şeritli kredi kartlarından EMV çipleri ile yerleştirilmiş kartlara geçiş yapıyor. Ancak, Mercator Danışmanlık Grubuna göre, ABD'deki kredi kartı terminallerinin sadece% 20'si çip için etkinleştirildi. Ve tüm kredi kartlarının sadece% 60'ı cips ile güncellendi.

Yine de, kartınızı çok uzun süre bırakırsanız, çip kartınızı bir okuyucuya yapıştırmayı, işlemin doğrulanmasını beklemeyi ve makine tarafından bipleme işlemini gerçekleştirmiş olabilirsiniz.

Süreç, verilerinizin daha iyi bakımı olarak yoğun bir şekilde tanıtıldı. Ama muhtemelen bir EMV işlemi kadar güvenli değil. Ve ne kadar güvenli olduğu için oldukça düşük bir bar var. herhangi EMV işlemi yapılabilir. Bunun bir kısmı teknolojinin sınırlarıdır ve kısmen insan davranışlarının gerçekleridir.

Yapıştırma noktası olarak tüketici davranışı

EMV geçişindeki bazı sapmalar yaygın olarak not edilmiştir. Bir şey için, işlemler yavaş olabilir. Bir başkası için, kimliğinizi hala eski moda yoldan, isminizi imzalayarak doğrulayabilirsiniz - ve daha küçük işlemler için, bunu yapmak zorunda değilsiniz.

Bir gazeteci ve güvenlik şirketi olan Brian Krebs, “İşlemciler, çip kart okuyucularına batırılması gereken mağazaların çıkış şeritlerinde - en azından kısa vadede tüccarlar süreci hızlandırmayı öğrendikleri için - ödeme şeritlerinde önemli ölçüde daha uzun sürecek” diyor. Krebs on Security şirketinde expert. “Ayrıca, muhtemelen çok daha fazla kişi, makinelerin içinde kartlarını bırakacak ve tüketiciler cihazlara alışıncaya kadar en azından yakın vadede bankalar için kayıp ve çalınan [kart] kayıplarını artıracak.”

Avrupa'da, tüketiciler yıllardır, bazı durumlarda yirmi yıldır kredi kartlarını kullanıyorlar. Ancak ek güvenlik için kartlar, işlem sırasında kimliklerini doğrulamak için kart sahiplerinin bir PIN kodu girmesini gerektirir. Öyleyse neden ABD çip ve imza yerine çipli bir PIN sistemi benimsedi? Önemli bir faktör, ihraççıların tüketici davranışlarında bir değişikliği zorlamanın ne kadar zor olduğunu fark etmeleriydi.

"BİZE. Tüketiciler kredi kartı işlemleri ile bir PIN kodunu girmek için kullanılmaz ”diyor Massachusetts'deki Aite Group'taki araştırma direktörü Julie Conroy. “Seçilmiş çip ve imza ile konuştum ihraççıların birçoğu, çünkü hiçbir yayıncı, kullanıcı deneyimini rekabetçi bir dezavantaja sokan kartlar vermek istemiyordu. Bir yayıncının ifadesiyle, tüketicileri tokatlamak yerine daldırmak yeterliydi; Tüketicilere aynı anda iki davranışı değiştirmeyi öğretmek zorunda kalmayı istemediler. ”

Dolandırıcılık durdurma girişimi

ABD'li tüketiciler neden bir şey değiştiriyor? Ana sebep sahtekarlıktı.

Ödemeler sektörünü kapsayan The Nilson Report'a göre, 2014 yılında dünya çapında kredi kartı sahtekarlığında 16 milyar dolardan fazla kayıp oldu. Kayıpların% 48'inin ABD Geleneksel manyetik şeritli kartlarda kırılması daha kolaydır, çünkü şerit üzerinde saklanan bilgiler durağan veya değişmezdir. Bir kez kopyalayın ve bir kopya kartı oluşturabilirsiniz. Bununla birlikte, EMV çipleri her işlem için benzersiz bir kod oluşturur, bu nedenle bir işlemden kopyalanan bilgiler başka bir işlemde kullanılamaz.

"BİZE. Conroy, tüketicilerin, ABD'nin düzenleyici ortamı ve ödeme ağlarının sağladığı sıfır sorumluluk garantisi sayesinde [kredi kartının doğrudan maliyeti] dolandırıcılığından büyük ölçüde korunmaktadır. Öyleyse, EMV'ye geçiş, kredi kartı verenleri, tüketicileri korumaktan çok dolandırıcılık kayıplarından korumakla ilgilidir.

Ekim 2015, kredi kartı sahtekarlığı için yeni kurallar getirildiğini gördü. Dolandırıcılık meydana gelirse, hangi tarafın EMV teknolojisini kullanmadığı zararlardan sorumludur. Söz konusu kart EMV-yontulmuş değilse, sorumluluk ihraççıdadır. Satıcı bir EMV chip okuyucusuna sahip değilse, satıcı sorumluluğu üstlenir. Sorumluluk da paylaşılabilir.

PIN sadece sınırlı koruma sunar

Sorumluluk denklemine dahil olmayan, çip kartının bir PIN'e mi yoksa doğrulama için bir imzaya mı sahip olduğudır. Gerçek şu ki, çoğu kredi kartı sahtekarlığı bile çip-ve-PIN ile engellenmeyecekti.

“Çip-ve-PIN, kayıp ve çalınan dolandırıcılığa karşı korur - yani, eğer birisi cüzdanınızı çalarsa, kartlarınızı bir alışveriş çılgınlığı üzerinde kolayca çekemez” diyor Conroy. Conroy, bu tür sahtekârlığın genel kredi kartı sahtekarlığına kıyasla çok küçük olduğunu söylüyor.

Buna ek olarak, hırsızlar her zaman güvenlik etrafında bir yol bulacaktır. Conroy, “Diğer ülkelerin örneklerine dayanarak, suçluların yakalama saldırıları, omuz sörfü veya hassas kameralar aracılığıyla PIN'in yakalanmasında oldukça usta olduklarını gördük” diyor. Her satın alma işleminde PIN'in değişmemesi nedeniyle Conroy, “dolandırıcılıkla etkin bir şekilde mücadele etme kabiliyeti açısından sınırlarının olduğunu” belirtti. İngiltere'de fişek-to-PIN'e gittiğinde, kayıp ve çalınan dolandırıcılık kısa bir süre için dibe vuruldu, ancak birkaç yıl içinde PIN'in ön seviyelerine geri döndü. ”

EMV çiplerinin çevrimiçi işlemlerde de bir rolü yoktur, bu nedenle çip kartlar manyetik şeritli kartlar kadar hassastır.

Daha güvenli bir yol var mı?

Conroy, çip-ve-PIN'in en iyi ihtimalle kısa vadeli bir düzeltme olduğunu söylüyor.“İdeal olarak, endüstri atılım PIN numarasını görmek ve biyometri, mobil doğrulama vb. Gibi diğer doğrulama türlerine geçmek istiyorum” diyor. “Süreçte, imzayı da ortadan kaldırmalıyız - bu, tüccarların depolanması için maliyetlidir ve halihazırda uygulanmakta olan bir müşteri kimlik doğrulama yöntemi olarak işe yaramaz.”

Krebs, sahtekârlıkla mücadele etmenin bir yolu olarak “jetonları” kullanmayı önerir. Tolerans ile, satıcıların bilgisayarları hiç bir şekilde kredi kartı verilerini saklamıyor. Bunun yerine, yayıncıdan verileri almak için kullanılabilecek bir yer tutucu numarası veya jetonu depolar.

“Jetonlaştırma, tüccarların, kart verilerini herhangi bir süre saklamaktan kaçınmasına yardımcı olabilir ve bu süreçte, siber kirpiklerin bunları kart verileri için hedefleme olasılığını azaltır” diyor. Tokenlaşma, çoğu tüketicinin kredi kartı sahtekarlığı mağduru olduğu şeklindeki veri ihlallerinden kaynaklanan tehdidi azaltacaktır.

Mobil çözümlerin kendi sınırlamaları vardır

Mobil ödemeler ve Apple Pay gibi dijital cüzdanlar bir alternatif sağlayabilir. Ancak Conroy, “Mobil ödemelerin bazı ticari uygulamalarının büyük başarılar görmesine rağmen, Starbucks, açık döngü mobil ödemelerin benimsenmesi - Apple Pay, Android Pay - çok daha yavaş hareket ediyor.”

Krebs, mobil ödeme için de bir güvenlik riski görüyor. “Apple Pay bir tür belirteç kullanmaktadır, ancak Apple Pay ile geçmişte yaşanan sorunlar, bankalardaki lax kayıt prosedürlerinden ve bu veri öğelerinin yaygın olarak kullanıldığı zaman kimlik doğrulaması için statik veri öğelerine [Sosyal Güvenlik numaraları veya doğum tarihleri ​​gibi] dayanmaktadır. hemen hemen tüm Amerikalılar üzerinde uzlaşılmış ve satılıktır. ”

Mobilde kalacak olan tek şey muhtemelen cüzdanınızdaki kart olacaktır. “Tüketiciler kartlarla işlem yapmaktan çok rahatlar,” diyor Conroy, “ve tüketici davranışlarını değiştirmek zordur, bu yüzden kartlar gelecek bir süre bizimle olacaktır.”

Ellen Cannon, kişisel finans sitesi olan Investmentmatome'de çalışan bir yazardır. Email: [email protected]. Twitter: @ellencannon.