Vorrei ricordare un frodi avvenute in Francia nel 2011 per le quali è stato pubblicato un articolo (anche collegato da Ars). Mi sono imbattuto in questo dibattito sulla sicurezza delle carte EMV e sulla sua introduzione obbligatoria negli Stati Uniti. Io vivo comunque in Europa.
Questa domanda è direttamente correlata alla frode specifica e deve essere contestualizzata nell'anno 2011, poiché questa tecnica è mitigata. Ciò significa che la domanda non è effettiva .
Sommario
Adottando una sofisticata tecnica MITM, impiantando fisicamente un chip proxy su un vero chip della carta rubata, i criminali sono stati in grado di disabilitare completamente l'autenticazione dell'utente tramite codice PIN ed eseguire transazioni usando carte di credito rubate.
Dopo che la frode è stata scoperta e crittografata, sono stati implementati numerosi miglioramenti della prevenzione delle frodi al sistema POS e al protocollo delle carte per sconfiggere questa tecnica.
Citazione interessante dell'articolo
The reason we started our research was that people came to us again and again claiming that their cards had been stolen and used in store transactions which the banks swore proved that they'd been negligent with their PINs, while the customers were certain they could not have been.”
La mia domanda
Com'è possibile che una carta rubata sia stata utilizzabile per mesi?
Sin dall'introduzione delle carte EMV (molto tempo per noi europei) tutte le banche hanno ricevuto segnalazioni su carte rubate prima disabilitano la carta stessa e in tempo reale. Le carte di credito potrebbero essere fisicamente rubate (come la frode del 2011), o il loro PIN compromesso, vale a dire forzato.
In entrambi i casi, una macchina POS dall'anno 2011, pur accettando una carta che ha passato la verifica del PIN, otterrebbe un chiaro rifiuto dal processore di pagamento, poiché la carta dovrebbe apparire nelle carte della lista nera, o non nella lista delle carte abilitate .
Com'è possibile che tali transazioni siano state accettate ed elaborate? L'articolo parla chiaramente di carte rubate e non penso che tutti gli anni '40 siano stati rubati senza che il titolare della carta lo sapesse. E inoltre non sto parlando di una carta rubata e utilizzata il più rapidamente possibile prima che il titolare della carta chiami la banca per bloccare la carta.
Tutte le nostre banche da prima del 2011 offrivano un numero a composizione libera per denunciare la carta rubata. La carta è bloccata immediatamente (gli ATM potrebbero anche rifiutare di restituire la carta al presentatore) e successivamente la banca emetterà una nuova carta EMV con un nuovo PAN e un nuovo PIN. Ho dovuto bloccare la mia carta EMV rubata una volta, quindi ho esperienza diretta con questo. Non è mai stato utilizzato da chi l'ha ottenuto, essendo protetto da PIN, ma comunque ho bloccato la mia vecchia carta al telefono, e dopo alcune settimane è stata rilasciata una nuova scheda con nuovo numero e codice me.
Ho letto l'intero documento che ho linkato e non ho potuto capire come potrebbe essere efficace tale schema di frode contro le banche di elaborazione dei pagamenti. A meno che in quel momento il processore di pagamento non abbia verificato la presenza della carta , facendo affidamento sulla data di scadenza pubblicizzata (memorizzata nel chip) e sul risultato dell'autenticazione PIN.
Il senso di questa domanda è che, in teoria, una scheda EMV con il PIN compromesso segnalato rubato potrebbe essere (o avrebbe potuto essere in quel momento) utilizzato ulteriormente! Conosco un piccolo numero di casi di coercizione con PIN nel mio paese.