Come vengono protette le carte di pagamento?

Esistono diversi tipi di autenticazione per le carte. Anni fa le vecchie schede di banda magnetica (ancora in uso negli Stati Uniti) avevano solo "Static Data Authentication" (SDA), che era un numero fisso, immutabile incorporato nella striscia mag, simile al CVV2 stampato sul retro della scheda . Le violazioni dei dati che si sono scatenate in tutta l'America negli ultimi anni sono dovute al problema identificato; cioè il malware nel terminale di pagamento fa una copia dei dati e la invia all'hacker. SDA non può difendersi dal tipo di copia che descrivi.

Un tipo più moderno di autenticazione si chiama Dynamic Data Authentication (DDA). Sfrutta il fatto che i dati delle carte vengono consegnati da un chip del computer e non è solo un flusso di dati fissi. Il chip del computer esegue un algoritmo per generare il numero DDA; questo algoritmo utilizza un codice rolling. Questo DDA prende quindi il posto del vecchio SDA. Durante l'autorizzazione, la banca rileva il valore rolling code utilizzato per generare tale DDA e invalida qualsiasi DDA precedente per impedire un attacco di riproduzione utilizzando qualsiasi codice DDA precedente.

Ciò significa che se un terminale esegue una copia dei dati di una scheda DDA testualmente, incluso il DDA, la banca la respingerà ancora nelle transazioni future perché tale DDA è già stato utilizzato.

Infine, EMV supporta il metodo combinato DDA (CDA), che è un'operazione crittografica basata su vari pezzi di dati disponibili nella transazione, tra cui il numero di transazione, l'ammontare, l'ID del terminale, un contatore interno, un casuale generato dal terminale numero e una chiave segreta memorizzata lì dalla banca emittente. L'algoritmo produce un crittogramma che può essere ricalcolato solo da qualcuno che conosce tutti questi componenti; poiché includono la chiave segreta, solo la banca o il chip della carta potrebbero riprodurli.

(C'è stato un attacco possibile quando i numeri casuali generati dal terminale non erano veramente casuali, le modifiche alle specifiche EMV nella revisione 4.3 l'hanno indirizzata.)

Si noti che alcuni vecchi chip EMV possono ancora usare SDA perché è ancora supportato dai protocolli. Ma se i dati di autorizzazione sono scremati o copiati, la banca che ha emesso il chip con SDA deve pagare per la frode perché ha usato una tecnologia nota e insicura.

Disclaimer: non sono in questo campo, quello che so è molto limitato, per favore non contare su di esso e non mandatemi meno se non sono esattamente giusto. Sto cercando di aiutare - correzioni / modifiche / falsificazioni molto gradite! :)

Come ogni tecnologia che usa Universal Integrated Circuit Card come protezione, si può solo verificare una transazione con essa. non è possibile (o diciamo senza effetti molto difficili, ad esempio usando un microscopio radar molto sofisticato per decodificare la scheda) per rubare il private key memorizzato su di esso.

Poiché la transazione si basa su timewindow , non è possibile "archiviare" la verifica e usarla in seguito, per quanto ne so!

Ciò che è effettivamente possibile è mostrare una quantità errata (una inferiore) all'utente sul dispositivo manipolato. Inoltre ci sono alcuni metodi che possono aumentare il raggio di lettura di una carta. checkout ad esempio: link