Come può un cliente autenticare il dispositivo EPOS e assicurarsi che non sia falso?

Naviga le tue risposte
0

Nello scenario in cui i clienti utilizzano carte di pagamento a banda magnetica e pagano tramite EPOS, un commerciante può mettere sul tavolo un falso EPOS che sembra identico a quelli reali, il cliente usa la sua carta su questo dispositivo e inserisce il suo spillo.

Questo dispositivo registra le informazioni della carta e il pin inserito e dice che non è riuscito a connettersi alla banca o al gateway di pagamento.

Quindi il commerciante dice al cliente di usare un altro EPOS che è autentico e il pagamento ha esito positivo. È come il phishing ma nel mondo reale con dispositivi fisici.

In questo scenario non è possibile per il cliente autenticare questo dispositivo EPOS e assicurarsi che sia il dispositivo reale e connesso alla rete bancaria.

Esistono metodi attualmente in uso per mitigare questo rischio? Quali sono le contromisure da mettere in atto, per non cadere per questo attacco?

(promemoria) questi dispositivi sono resistenti alle manomissioni, il che significa che non è possibile aprirli e manipolare i circuiti, ma lo scenario sopra riportato utilizza un dispositivo totalmente falso che sembra proprio un vero dispositivo EPOS.

    
posta Silverfox 25.10.2015 - 12:28
fonte

1 risposta

1

Passa da magstripe a chip card

L'unico modo per impedire a un commerciante o a un POS fraudolento di impersonare un cliente / carta consiste nel garantire che i dati della carta non possano essere copiati e clonati dal commerciante semplicemente mettendo la carta disponibile durante una normale procedura di pagamento. Il passaggio alle chip card EMV era inteso come soluzione per questo e altri problemi.

Lo scenario che descrivi è molto simile ad altri attacchi popolari come una terza parte che collega un dispositivo di schiumatura (ad es. su bancomat) o un cameriere disonesto che striscia una carta in un terminale reale e anche un altro lettore di schede. Il cliente può individuare tali rischi in alcuni casi, ma in generale non può eliminare i rischi, non può effettuare una convalida completa e dovrà fidarsi del commerciante e accettare alcuni rischi o non utilizzare le carte di pagamento magstripe.

Il principale modo pratico per combattere questo tipo di frode è identificare il punto comune di acquisto dopo che è avvenuta la frode e verificare le identità dei potenziali commercianti - in modo che diventi poco pratico farlo perché è molto probabile che vengano scoperti presto e non è così facile per questi criminali ricreare nuove connessioni commerciali legittime molte volte.

    
risposta data 25.10.2015 - 12:53
fonte

Leggi altre domande sui tag

Il mio ISP utilizza un proxy trasparente Domanda - "D3 (js) ti consente di associare dati arbitrari a un DOM"