EMV come tecnologia di autenticazione e non una tecnologia di sicurezza dei dati

3

Sto cercando di comprendere ciò che vedo come scappatoie per la sicurezza delle chip card EMV.

Ecco cosa mi è stato detto su EMV. Se una transazione viene registrata maliziosamente da una terza parte, otterrà il numero del tuo account, ma:

  1. perderanno le informazioni necessarie per creare una scheda a banda magnetica
  2. non otterranno il CVV [o l'iCVV che sostituisce il CVV] necessario per effettuare acquisti online

Le mie domande: 1. come saranno perse le informazioni? cosa impedisce la creazione di una banda magnetica? & 2. se è vero, come non è in gran parte impedita la frode con carta-non-presente proteggendo / trattenendo il CVV? Perché tutto questo parla di come i canali online vedranno un aumento delle frodi?

Grazie!

Domande provocate da: link & link

    
posta Zach Nichols 06.11.2015 - 23:19
fonte

2 risposte

2

1: Poiché EMV utilizza CVV dinamici, un CVV di una transazione registrata è inutile, dal momento che è stato utilizzato. In questo modo mancano le informazioni complete per creare una scheda a banda magnetica (funzionante). Tuttavia, fare una transazione falsa potrebbe dare una carta magstripe funzionante. Ma quella carta magstripe funzionerà solo una volta e non funzionerà dopo che il titolare della carta ha effettuato transazioni legittime, quindi la banca rileverà immediatamente gli iCVV fuori ordine e quindi bloccherà la carta.

Anche il frauster deve essere in grado di prevedere determinati numeri casuali, che in alcuni casi potrebbero essere prevedibili a causa di terminali privi di RNG buoni.

2: CVV diversi vengono utilizzati per scopi diversi, ad esempio un CVV per le transazioni CNP, un CVV per le transazioni magstripe, un CVV dinamico che utilizza keyA per le transazioni del chip del contatto, un altro CVV dinamico che utilizza la chiave B per le transazioni RFID. Ciò consente alla banca di differenziarsi per diversi tipi di transazione.

Tutte le transazioni POS sono registrate in modo diverso da tutte le transazioni online, TUTTAVIA: Alcuni webstore elaborano le loro transazioni come transazioni POS. Ciò fa sì che il sistema accetti la transazione comunque.

Alcuni rivenditori non richiedono CVV, a volte si tratta di rivenditori che non effettuano una sospensione di autorizzazione sull'account al momento della prima configurazione di una carta archiviata sul conto, e poiché è proibito archiviare CVV in QUALSIASI MODO, non lo fanno chiedilo perché non hanno i mezzi per verificarlo senza caricare la carta. Permettono di impostare la scheda memorizzata. Le aziende più rispettabili chiedono invece CVV quando archiviano la carta e poi si ricaricano come 1 $ sulla carta per verificare se la carta funziona effettivamente e quindi aggiunge tale importo al tuo account sul posto. Ciò tuttavia rimanda alcuni clienti.

    
risposta data 06.11.2015 - 23:32
fonte
1

Perché una transazione EMV registrata non è sufficiente per creare una copia a banda magnetica della carta?

I dati della carta statica EMV letti dal terminale e trasmessi al processore contengono, tra le altre cose, un campo chiamato Traccia 2 dati equivalenti . Questo potrebbe teoricamente essere scritto su una banda magnetica.

Tuttavia, gli emittenti sono liberi di utilizzare valori diversi per la banda magnetica e i dati equivalenti sul chip: potrebbero, ad esempio, variare i dati discrezionali dell'emittente, che tra l'altro contiene il CVV / CVC.

Poiché l'emittente sa anche se una richiesta di autorizzazione è stata creata da un EMV o da un terminale a banda magnetica, potrebbero quindi rifiutare la transazione se, ad esempio, il chip CVV si presenta su una transazione con banda magnetica.

Inoltre, se la carta viene utilizzata in un terminale compatibile con EMV, l'emittente può anche negare la transazione poiché il terminale non avrebbe mai dovuto usare la banda magnetica in primo luogo.

Perché le frodi CNP dovrebbero diminuire a causa di EMV?

Hai ragione sospettando che la transizione EMV non cambi realmente per le frodi EMV: il CVV2 / CVC2 sul retro della carta non è incluso nei dati della banda magnetica, né memorizzato sul chip.

Tuttavia, le aspettative sembrano essere che una volta che l'EMV è ampiamente utilizzato, le frodi con carte di credito passeranno dalle frodi di persona ai commercianti fisici (utilizzando i dati delle carte scremati) ai commercianti online.

    
risposta data 08.12.2015 - 14:40
fonte