stringtranslate.com

ЭМВ

Кредитная карта EMV
Кредитная карта EMV

EMV — это метод оплаты, основанный на техническом стандарте для смарт- платежных карт , а также для платежных терминалов и банкоматов , которые могут их принимать. EMV означает « Europay , Mastercard и Visa » — три компании, создавшие стандарт. [1]

Карты EMV — это смарт-карты , также называемые чип-картами, картами с интегральными схемами или картами IC, которые хранят свои данные на микросхемах с интегральными схемами в дополнение к магнитным полосам для обратной совместимости . К ним относятся карты, которые необходимо физически вставить или «погрузить» в считывающее устройство, а также бесконтактные карты , которые можно прочитать на небольшом расстоянии с помощью технологии ближней связи . Платежные карты, соответствующие стандарту EMV, часто называются картами с чипом и PIN-кодом или картами с чипом и подписью , в зависимости от методов аутентификации, используемых эмитентом карты, таких как личный идентификационный номер (PIN) или электронная подпись . Существуют стандарты, основанные на ISO/IEC 7816 для контактных карт и на основе ISO/IEC 14443 для бесконтактных карт ( Mastercard Contactless , Visa PayWave , American Express ExpressPay ). [2] [ нужен лучший источник ]

История

До введения чипа и ПИН-кода все личные транзакции по кредитным или дебетовым картам включали использование магнитной полосы или механического отпечатка для считывания и записи данных учетной записи, а также подписи для целей проверки личности. Покупатель передает свою карту кассиру в торговой точке , который затем пропускает карту через магнитный считыватель или делает отпечаток на рельефном тексте карты. В первом случае система проверяет данные счета и распечатывает квитанцию, которую клиент может подписать. В случае механического отпечатка заполняются данные транзакции, просматривается список украденных номеров, и клиент подписывает отпечатанный бланк. В обоих случаях кассир должен убедиться, что подпись клиента совпадает с подписью на обратной стороне карты, чтобы подтвердить транзакцию.

Использование подписи на карте в качестве метода проверки имеет ряд недостатков безопасности, наиболее очевидным из которых является относительная легкость, с которой карты могут пропасть до того, как их законные владельцы смогут их подписать. Другой предполагает стирание и замену законной подписи, а третий — подделку правильной подписи.

Изобретение кремниевой интегральной схемы в 1959 году привело к идее включения ее в пластиковую смарт-карту в конце 1960-х годов двумя немецкими инженерами, Хельмутом Грёттрупом и Юргеном Детлоффом . [3] Самые ранние смарт-карты были представлены в качестве визитных карточек в 1970-х годах, а затем были адаптированы для использования в качестве платежных карт . [4] [5] С тех пор в смарт-картах используются интегральные микросхемы MOS, а также технологии MOS-памяти , такие как флэш-память и EEPROM (электрически стираемая программируемая постоянная память ). [6]

Первым стандартом смарт-платежных карт был Carte Bancaire B0M4 от Bull-CP8, внедренный во Франции в 1986 году, за которым последовал B4B0' (совместимый с M4), внедренный в 1989 году. Geldkarte в Германии также предшествовал EMV. EMV был разработан, чтобы обеспечить обратную совместимость карт и терминалов с этими стандартами. С тех пор Франция перевела всю свою карточную и терминальную инфраструктуру на EMV.

EMV означает Europay, Mastercard и Visa — три компании, создавшие стандарт. В настоящее время стандарт управляется консорциумом EMVCo , контроль над которым поровну разделен между Visa, Mastercard, JCB , American Express , China UnionPay и Discover. [7] EMVCo принимает публичные комментарии по своим проектам стандартов и процессов, но также позволяет другим организациям становиться «партнерами» и «подписчиками» для более глубокого сотрудничества. [8] JCB присоединилась к консорциуму в феврале 2009 года, China UnionPay в мае 2013 года, [9] и Discover в сентябре 2013 года. [10]

Ведущими поставщиками карт и чипов EMV являются: ABnote (American Bank Corp), CPI Card Group, IDEMIA (в результате слияния Oberthur Technologies и Safran Identity & Security (Morpho) в 2017 году), Gemalto (приобретена Thales Group в 2019 году ). ) Giesecke & Devrient и универсальная карточная технология. [11]

Различия и преимущества

Переход к платежным системам кредитных карт на основе смарт-карт имеет два основных преимущества: улучшенная безопасность (с соответствующим сокращением случаев мошенничества) и возможность более точного контроля «автономных» утверждений транзакций по кредитным картам. Одной из первоначальных целей EMV было обеспечение возможности использования нескольких приложений на карте: приложений для кредитных и дебетовых карт или электронного кошелька. Дебетовые карты нового выпуска в США [ когда? ] содержат два приложения — приложение для привязки карт (Visa, Mastercard и т. д.) и обычное приложение для дебета. Идентификатор общего дебетового приложения в некоторой степени является неправильным, поскольку каждое «обычное» дебетовое приложение фактически использует приложение для ассоциации карты резидента. [12]

Операции по картам с чипом EMV повышают защиту от мошенничества по сравнению с транзакциями по картам с магнитной полосой, которые основаны на подписи владельца и визуальном осмотре карты для проверки таких функций, как голограмма . Использование PIN-кода и криптографических алгоритмов, таких как Triple DES , RSA и SHA, обеспечивает аутентификацию карты на обрабатывающем терминале и в хост-системе эмитента карты. Время обработки сравнимо с онлайн-транзакциями, в которых большую часть времени занимает задержка связи, а криптографические операции на терминале занимают сравнительно мало времени. Предполагаемая повышенная защита от мошенничества позволила банкам и эмитентам кредитных карт добиться «смены ответственности», в результате чего продавцы теперь несут ответственность (с 1 января 2005 г. в регионе ЕС и с 1 октября 2015 г. в США) за любое мошенничество, которое возникает в результате транзакций в системах, которые не поддерживают EMV. [1] [13] [14] Большинство реализаций карт и терминалов EMV подтверждают личность владельца карты, требуя ввода личного идентификационного номера (ПИН-кода), а не подписывая бумажную квитанцию. Происходит ли аутентификация по PIN-коду, зависит от возможностей терминала и программирования карты.

Когда кредитные карты были впервые представлены, торговцы использовали механические, а не магнитные портативные импринтеры карт, которым для создания отпечатка требовалась копировальная бумага . Они не общались электронно с эмитентом карты, и карта никогда не уходила из поля зрения клиента. Продавец должен был подтвердить транзакции, превышающие определенный валютный лимит, позвонив эмитенту карты. В 1970-е годы в США многие торговцы подписались на регулярно обновляемый список украденных или недействительных номеров кредитных карт. Этот список обычно печатался в виде буклета на газетной бумаге в порядке номеров, очень похоже на тонкую телефонную книгу, но без каких-либо данных, кроме списка недействительных номеров. Кассиры на кассах должны были просматривать этот буклет каждый раз, когда предъявлялась кредитная карта для оплаты любой суммы, прежде чем утверждать транзакцию, что приводило к небольшой задержке. [15]

Позже оборудование связалось с эмитентом карты в электронном виде, используя информацию с магнитной полосы для проверки карты и авторизации транзакции. Это было намного быстрее, чем раньше, но требовало, чтобы транзакция происходила в фиксированном месте. Следовательно, если транзакция происходила не возле терминала (например, в ресторане), продавцу или официанту приходилось забирать карту у покупателя и передавать в карточный автомат. Нечестный сотрудник в любой момент мог легко тайно провести карту через дешевую машину, которая мгновенно записывала информацию на карту и полосу; Фактически, даже на терминале вор мог наклониться перед покупателем и поднести карту к скрытому считывателю. Это сделало незаконное клонирование карт относительно простым и более распространенным явлением, чем раньше. [ нужна цитата ]

С момента введения чипа и ПИН-кода платежной карты клонирование чипа невозможно; Копировать можно только магнитную полосу, а скопированную карту нельзя использовать отдельно на терминале, требующем PIN-код. Внедрение чипа и PIN-кода совпало с тем, что технология беспроводной передачи данных стала недорогой и широко распространенной. В дополнение к магнитным считывателям на базе мобильных телефонов сотрудники торговых точек теперь могут приносить покупателю беспроводные ПИН-пады, поэтому карта никогда не выходит из поля зрения владельца карты. Таким образом, для снижения рисков несанкционированного считывания и клонирования карт можно использовать как чип, так и PIN-код, а также беспроводные технологии. [16]

Чип и PIN-код по сравнению с чипом и подписью

Чип и PIN-код — это один из двух методов проверки, которые могут использовать карты с поддержкой EMV. [15] Вместо того, чтобы физически подписывать квитанцию ​​в целях идентификации, пользователь вводит личный идентификационный номер (ПИН), обычно состоящий из четырех-шести цифр. Этот номер должен соответствовать информации, хранящейся на чипе или PIN-коде на хосте. Технология чипа и ПИН-кода значительно усложняет мошенникам использование найденной карты, поскольку, если кто-то украдет карту, они не смогут совершать мошеннические покупки, если не знают ПИН-код.

С другой стороны, чип и подпись отличаются от чипа и ПИН-кода тем, что личность потребителя подтверждается подписью. [17]

По состоянию на 2015 год карты с чипом и подписью более распространены в США, Мексике, некоторых частях Южной Америки (например, Аргентина, Колумбия, Перу) и некоторых азиатских странах (таких как Тайвань, Гонконг, Таиланд, Южная Корея, Сингапур и Индонезия), тогда как карты с чипом и PIN-кодом более распространены в большинстве европейских стран (например, Великобритании, Ирландии, Франции, Португалии, Финляндии и Нидерландах), а также в Иране, Бразилии, Венесуэле, Индии, Шри-Ланке, Канаде, Австралии. и Новая Зеландия. [18] [19]

Транзакции онлайн, по телефону и почте

Хотя технология EMV помогла снизить преступность в точках продаж, мошеннические транзакции переместились в более уязвимые транзакции по телефону , Интернету и почте , известные в отрасли как транзакции без предъявления карты или CNP. [20] Транзакции CNP составляют не менее 50% всего мошенничества с кредитными картами. [21] Из-за физического расстояния в таких случаях продавец не может предоставить покупателю клавиатуру, поэтому были разработаны альтернативные варианты, в том числе

Что касается того, что быстрее, The New York Times объяснила, что это вопрос восприятия: хотя метод чипа требует, чтобы чип оставался в машине до тех пор, пока транзакция и процесс авторизации не будут завершены, метод считывания телефона выполняет авторизацию в фоновом режиме. ; чек начинает приходить сразу. [23]

Команды

ISO/IEC 7816-3 определяет протокол передачи между чиповыми картами и считывателями. С помощью этого протокола обмен данными осуществляется в блоках данных протокола приложения (APDU). Это включает отправку команды на карту, ее обработку картой и отправку ответа. EMV использует следующие команды:

Команды, за которыми следует «7816-4», определены в ISO/IEC 7816-4 и представляют собой межотраслевые команды, используемые для многих приложений с чип-картами, таких как SIM- карты GSM .

Поток транзакций

Транзакция EMV состоит из следующих шагов: [24] [ необходим сторонний источник ]

Выбор приложения

ISO/IEC 7816 определяет процесс выбора приложения. Целью выбора приложений было позволить картам содержать совершенно разные приложения, например GSM и EMV. Однако разработчики EMV реализовали выбор приложения как способ идентификации типа продукта, поэтому все эмитенты продуктов (Visa, Mastercard и т. д.) должны иметь собственное приложение. Способ выбора приложения, предписанный в EMV, является частым источником проблем совместимости между картами и терминалами. Книга 1 [25] стандарта EMV отводит 15 страниц описанию процесса выбора приложения.

Идентификатор приложения (AID) используется для обращения к приложению на карте или эмуляции хост-карты (HCE), если оно поставляется без карты. AID состоит из пятибайтового зарегистрированного идентификатора поставщика приложений (RID), который выдается органом регистрации ISO/IEC 7816-5. За этим следует собственное расширение идентификатора приложения (PIX), которое позволяет поставщику приложений различать различные предлагаемые приложения. AID печатается на всех квитанциях держателей карт EMV. Эмитенты карт могут изменить название приложения на название карточной сети. Например, Chase переименовывает приложение Visa на своих картах Visa в «CHASE VISA», а приложение Mastercard на своих картах Mastercard в «CHASE MASTERCARD». Capital One переименовывает приложение Mastercard на своих картах Mastercard в «CAPITAL ONE», а приложение Visa на своих картах Visa в «CAPITAL ONE VISA». В остальном приложения те же. [а]

Список приложений:

Начать обработку заявки

Терминал отправляет на карту команду получения параметров обработки . При выдаче этой команды терминал предоставляет карте любые элементы данных, запрошенные картой, в списке объектов данных вариантов обработки (PDOL). PDOL (список тегов и длин элементов данных) дополнительно предоставляется картой терминалу во время выбора приложения. Карта отвечает профилем обмена приложениями (AIP) — списком функций, которые необходимо выполнить при обработке транзакции. Карта также предоставляет указатель файлов приложения (AFL), список файлов и записей, которые терминалу необходимо прочитать с карты. [ нужна цитата ]

Чтение данных приложения

Смарт-карты хранят данные в файлах. AFL содержит файлы, содержащие данные EMV. Все это необходимо прочитать с помощью команды чтения записи. EMV не определяет, в каких файлах хранятся данные, поэтому необходимо прочитать все файлы. Данные в этих файлах хранятся в формате BER TLV . EMV определяет значения тегов для всех данных, используемых при обработке карт. [28]

Ограничения обработки

Цель ограничений обработки — определить, следует ли использовать карту. Проверяются три элемента данных, считанные на предыдущем шаге: номер версии приложения, контроль использования приложения (показывает, предназначена ли карта только для внутреннего использования и т. д.), проверка даты вступления в силу/истечения срока действия приложения. [ нужна цитата ]

Если какая-либо из этих проверок не пройдена, карта не обязательно отклоняется. Терминал устанавливает соответствующий бит в результатах проверки терминала (TVR), компоненты которых формируют основу для принятия/отклонения решения позже в потоке транзакции. Эта функция позволяет, например, эмитентам карт разрешить держателям карт продолжать использовать карты с истекшим сроком действия после истечения срока их действия, но при этом все транзакции с картой с истекшим сроком действия будут выполняться в режиме онлайн. [ нужна цитата ]

Аутентификация данных в автономном режиме (ODA)

Аутентификация данных в автономном режиме — это криптографическая проверка карты с использованием криптографии с открытым ключом . В зависимости от карты можно выполнить три различных процесса :

EMV-сертификаты

Для проверки подлинности платежных карт используются EMV-сертификаты. Центр сертификации EMV [29] выдает цифровые сертификаты эмитентам платежных карт. По запросу чип платежной карты предоставляет терминалу сертификат открытого ключа эмитента карты и SSAD. Терминал извлекает открытый ключ ЦС из локального хранилища и использует его для подтверждения доверия к ЦС и, если ему доверяют, для проверки того, что открытый ключ эмитента карты был подписан ЦС. Если открытый ключ эмитента карты действителен, терминал использует открытый ключ эмитента карты для проверки того, что SSAD карты подписан эмитентом карты. [30]

Проверка держателя карты

Проверка владельца карты используется для оценки того, является ли лицо, предъявившее карту, законным держателем карты. В EMV поддерживается множество методов проверки держателей карт (CVM). Они [ нужна цитата ]

Терминал использует список CVM, считанный с карты, для определения типа проверки, которую необходимо выполнить. Список CVM устанавливает приоритет использования CVM относительно возможностей терминала. Разные терминалы поддерживают разные CVM. Банкоматы обычно поддерживают онлайн-ПИН-код. POS-терминалы различаются по поддержке CVM в зависимости от типа и страны. [ нужна цитата ]

При использовании методов автономного шифрования PIN-кода терминал шифрует блок PIN-кода в открытом виде с помощью открытого ключа карты перед отправкой его на карту с помощью команды Verify. Для онлайн-метода PIN-код открытого текста PIN-блок шифруется терминалом с использованием его ключа двухточечного шифрования перед отправкой его процессору-эквайеру в сообщении запроса авторизации.

Все оффлайн-методы уязвимы для атак «человек посередине». В 2017 году EMVCo добавила поддержку методов биометрической проверки в версию 4.3 спецификаций EMV. [31]

Управление рисками терминала

Управление рисками терминала осуществляется только в устройствах, где необходимо принять решение о том, должна ли транзакция быть авторизована онлайн или офлайн. Если транзакции всегда выполняются онлайн (например, в банкоматах) или всегда офлайн, этот шаг можно пропустить. Управление рисками терминала проверяет сумму транзакции на соответствие предельному лимиту в автономном режиме (при превышении которого транзакции должны обрабатываться в режиме онлайн). Также возможно иметь 1 на онлайн-счетчике и проверять список горячих карт (что необходимо только для автономных транзакций). Если результат любого из этих тестов положительный, терминал устанавливает соответствующий бит в результатах проверки терминала (TVR). [32]

Анализ действий терминала

Результаты предыдущих этапов обработки используются для определения того, следует ли транзакцию утвердить в автономном режиме, отправить онлайн для авторизации или отклонить в автономном режиме. Это делается с использованием комбинации объектов данных , известных как коды действий терминала (TAC), хранящихся в терминале, и кодов действий эмитента (IAC), считанных с карты. TAC соединен логическим ИЛИ с IAC, чтобы предоставить эквайеру уровень контроля над результатом транзакции. Оба типа кода действия принимают значения Denial, Online и Default. Каждый код действия содержит серию битов, которые соответствуют битам в результатах проверки терминала (TVR) и используются при принятии терминалом решения о том, принять, отклонить или перейти в режим онлайн для платежной транзакции. TAC устанавливается эквайером карты; на практике карточные схемы подсказывают настройки ТАС, которые следует использовать для конкретного типа терминала в зависимости от его возможностей. IAC устанавливается эмитентом карты; некоторые эмитенты карт могут решить, что карты с истекшим сроком действия следует отклонить, установив соответствующий бит в Denial IAC. Другие эмитенты могут захотеть, чтобы транзакция проходила в режиме онлайн, чтобы в некоторых случаях они могли разрешить проведение этих транзакций. [33] [ нужен лучший источник ]

Когда устройство, работающее только в режиме онлайн, выполняет обработку IAC-Online и TAC-Online, единственным соответствующим битом TVR является «Значение транзакции превышает нижний предел». Поскольку нижний предел установлен на ноль, транзакция всегда должна осуществляться в режиме онлайн, а все остальные значения в TAC-Online или IAC-Online не имеют значения. Устройствам, работающим только в режиме онлайн, не требуется выполнять обработку IAC по умолчанию. Устройство, работающее только в режиме онлайн, такое как банкомат, всегда пытается подключиться к сети с запросом авторизации, если только оно не будет отклонено в автономном режиме из-за настроек IAC-Denial. Во время обработки IAC-Denial и TAC-Denial для устройства, работающего только в режиме онлайн, единственным соответствующим битом результатов проверки терминала является «Служба не разрешена». [34]

Анализ действия первой карты

Одним из объектов данных, считываемых с карты на этапе чтения данных приложения, является CDOL1 (список объектов данных карты). Этот объект представляет собой список тегов, которые карта хочет отправить ей для принятия решения об одобрении или отклонении транзакции (включая сумму транзакции, а также многие другие объекты данных). Терминал отправляет эти данные и запрашивает криптограмму с помощью команды создания криптограммы приложения. В зависимости от решения терминала (оффлайн, онлайн, отказ) терминал запрашивает с карты одну из следующих криптограмм :

Этот шаг дает карте возможность принять анализ действий терминала, отклонить транзакцию или принудительно провести транзакцию в режиме онлайн. Карта не может вернуть TC, когда запрошен ARQC, но может вернуть ARQC, когда запрошен TC. [34]

Авторизация онлайн-транзакций

Транзакции переходят в режим онлайн, когда запрошен ARQC. ARQC отправляется в сообщении авторизации. Карта генерирует ARQC. Его формат зависит от применения карты. EMV не определяет содержимое ARQC. ARQC, созданный приложением карты, представляет собой цифровую подпись деталей транзакции, которую эмитент карты может проверить в режиме реального времени. Это обеспечивает надежную криптографическую проверку подлинности карты. Эмитент отвечает на запрос авторизации кодом ответа (принятие или отклонение транзакции), криптограммой ответа на авторизацию (ARPC) и, при необходимости, сценарием эмитента (строка команд, которые будут отправлены на карту). [34]

Обработка ARPC не выполняется в контактных транзакциях, обрабатываемых с помощью Visa Quick Chip [35] для EMV и Mastercard M/Chip Fast, [36] и в бесконтактных транзакциях между схемами, поскольку карта удаляется из считывателя после создания ARQC.

Анализ действий второй карты

CDOL2 (список объектов данных карты) содержит список тегов, которые карта хотела отправить после авторизации онлайн-транзакции (код ответа, ARPC и т. д.). Даже если по какой-либо причине терминал не смог выйти в интернет (например, сбой связи), терминал должен повторно отправить эти данные на карту с помощью команды генерации криптограммы авторизации. Это позволяет карте узнать ответ эмитента. Приложение карты может затем сбросить ограничения на использование в автономном режиме.

Обработка сценария эмитента

Если эмитент карты хочет обновить почтовый выпуск карты, он может отправлять команды на карту, используя обработку сценария эмитента. Скрипты эмитента не имеют смысла для терминала и могут быть зашифрованы между картой и эмитентом для обеспечения дополнительной безопасности. Скрипт эмитента можно использовать для блокировки карты или изменения параметров карты. [37]

Обработка сценария эмитента недоступна в контактных транзакциях, обрабатываемых с помощью Visa Quick Chip [35] для EMV и Mastercard M/Chip Fast, [36] и для бесконтактных транзакций между схемами.

Спецификация чипа EMV

Контактная площадка для электрического интерфейса на лицевой стороне кредитной карты

Первая версия стандарта EMV была опубликована в 1995 году. Сейчас стандарт определяется и управляется частной корпорацией EMVCo LLC. В настоящее время членами EMVCo [38] являются American Express , Discover Financial , JCB International , Mastercard , China UnionPay и Visa Inc. Каждая из этих организаций владеет равной долей EMVCo и имеет представителей в организации EMVCo и рабочих группах EMVCo.

Признание соответствия стандарту EMV (т. е. сертификация устройства) выдается EMVCo после предоставления результатов испытаний, проведенных аккредитованной испытательной организацией. [ нужна цитата ]

Тестирование на соответствие EMV имеет два уровня: уровень EMV 1, который охватывает интерфейсы физического, электрического и транспортного уровня, и уровень EMV 2, который охватывает выбор платежного приложения и обработку кредитно-финансовых транзакций. [ нужна цитата ]

После прохождения общих тестов EMVCo программное обеспечение должно быть сертифицировано платежными брендами на соответствие проприетарным реализациям EMV, таким как Visa VSDC, American Express AEIPS, Mastercard MChip, JCB JSmart, или EMV-совместимым реализациям компаний, не являющихся членами EMVCo, например LINK в Великобритания или Interac в Канаде. [ нужна цитата ]

Список документов и стандартов EMV

По состоянию на 2011 год, начиная с версии 4.0, официальные стандартные документы EMV, которые определяют все компоненты платежной системы EMV, публикуются в виде четырех «книг» и некоторых дополнительных документов:

Версии

Первый стандарт EMV появился в 1995 году как EMV 2.0. Он был обновлен до EMV 3.0 в 1996 году (иногда называемый EMV '96) с более поздними поправками к EMV 3.1.1 в 1998 году. В декабре 2000 года в него были внесены поправки до версии 4.0 (иногда называемой EMV 2000). Версия 4.0 вступила в силу в июне 2004 г. Версия 4.1 вступила в силу в июне 2007 г. Версия 4.2 действует с июня 2008 г. Версия 4.3 действует с ноября 2011 г. [44]

Уязвимости

Возможности сбора PIN-кодов и клонирования магнитных полос.

В дополнение к данным второй дорожки на магнитной полосе карты EMV обычно содержат идентичные данные, закодированные на чипе, которые считываются как часть обычного процесса транзакции EMV. Если считыватель EMV скомпрометирован до такой степени, что разговор между картой и терминалом перехвачен, то злоумышленник сможет восстановить как данные второй дорожки, так и PIN-код, что позволит создать карту с магнитной полосой, которая, хотя не может использоваться в терминале с чипом и PIN-кодом, может использоваться, например, в терминальных устройствах, которые позволяют перейти к обработке магнитных полос для иностранных клиентов без чип-карт и дефектных карт. Эта атака возможна только в том случае, если (а) автономный ПИН-код представлен в виде открытого текста устройством ввода ПИН-кода на карте, когда (б) резервный вариант магнитной полосы разрешен эмитентом карты и (в) когда географическая и поведенческая проверка не может быть выполнена. производится эмитентом карты. [ нужна цитата ]

APACS , представляющая платежную индустрию Великобритании, заявила, что изменения, внесенные в протокол (где значения проверки карты различаются между магнитной полосой и чипом – iCVV), сделали эту атаку неэффективной и что такие меры будут действовать с января 2008 года. [45 ] ] Тесты карт в феврале 2008 года показали, что это могло быть отложено. [46]

Успешные атаки

Перехват разговоров — это форма атаки, которая, как сообщается, имела место против терминалов Shell в мае 2006 года, когда они были вынуждены отключить всю аутентификацию EMV на своих заправочных станциях после того, как у клиентов было украдено более 1 миллиона фунтов стерлингов. [47]

В октябре 2008 года сообщалось, что сотни устройств чтения карт EMV, предназначенных для использования в Великобритании, Ирландии, Нидерландах, Дании и Бельгии, были квалифицированно подделаны в Китае во время или вскоре после производства. В течение 9 месяцев данные и PIN-коды кредитных и дебетовых карт пересылались по сетям мобильных телефонов преступникам в Лахоре , Пакистан. Руководитель национальной контрразведки США Джоэл Бреннер заявил: «Раньше только разведывательное управление национального государства было способно провести операцию такого типа. Это страшно». Данные обычно использовались через пару месяцев после транзакций по карте, чтобы следователям было сложнее выявить уязвимость. После того, как мошенничество было обнаружено, выяснилось, что подделанные терминалы можно идентифицировать, поскольку дополнительная схема увеличила их вес примерно на 100 г. Предполагается, что десятки миллионов фунтов стерлингов были украдены. [48] ​​Эта уязвимость стимулировала усилия по улучшению контроля над электронными POS-устройствами на протяжении всего их жизненного цикла — практика, одобренная стандартами безопасности электронных платежей, подобными тем, которые разрабатываются Secure POS Vendor Alliance (SPVA). [49]

Сбор PIN-кода и клонирование полос

В программе BBC Newsnight в феврале 2008 года исследователи из Кембриджского университета Стивен Мердок и Саар Дример продемонстрировали один пример атаки, чтобы проиллюстрировать, что чип и PIN-код недостаточно безопасны, чтобы оправдать перекладывание ответственности за доказывание мошенничества со стороны банков на клиентов. [50] [51] Эксплойт Кембриджского университета позволил экспериментаторам получить как данные карты для создания магнитной полосы, так и PIN-код.

APACS , британская платежная ассоциация, не согласилась с большей частью отчета, заявив, что «типы атак на устройства ввода PIN-кода, подробно описанные в этом отчете, трудно осуществимы и в настоящее время экономически невыгодны для мошенников». [52] Они также заявили, что изменения в протоколе (определяющие разные значения проверки карты между чипом и магнитной полосой – iCVV) сделают эту атаку неэффективной с января 2008 года. В октябре 2008 года сообщалось, что мошенничество действовало в течение 9 месяцев (см. выше), вероятно, в то время действовал, но не был обнаружен в течение многих месяцев.

В августе 2016 года исследователи безопасности корпорации NCR показали, как воры кредитных карт могут переписать код магнитной полосы, чтобы она выглядела как карта без чипа, что позволяет подделывать ее. [ нужна цитата ]

2010: Скрытое оборудование отключает проверку PIN-кода на украденной карте.

В Викиновостях есть связанные новости:
  • Чип и ПИН-код «не соответствуют своему назначению», говорит исследователь из Кембриджа

11 февраля 2010 года команда Мердока и Дримера из Кембриджского университета объявила, что они обнаружили «недостаток в чипе и ПИН-коде, настолько серьезный, что они думают, что это показывает, что вся система нуждается в переписывании», которая была «настолько простой, что их шокировала». Украденная карта подключается к электронной схеме и к поддельной карте, которая вставляется в терминал (« атака посредника »). Любые четыре цифры можно ввести и принять в качестве действительного PIN-кода. [53] [54]

Команда программы BBC Newsnight посетила кафетерий Кембриджского университета (с разрешения) с помощью системы и смогла расплатиться с помощью своих собственных карт (вор мог использовать украденные карты), подключенных к схеме, вставив поддельную карту и набрав « 0000» в качестве PIN-кода. Транзакции были зарегистрированы в обычном режиме и не были зафиксированы системами безопасности банков. Член исследовательской группы сказал: «Даже мелкие преступные системы оснащены лучшим оборудованием, чем мы. Уровень технической сложности, необходимый для осуществления этой атаки, на самом деле довольно низок». В объявлении об уязвимости говорилось: «Необходимый опыт невелик (бакалавриат в области электроники)… Мы оспариваем утверждение банковской отрасли о том, что преступники недостаточно искушены, поскольку они уже продемонстрировали гораздо более высокий уровень навыков. чем необходимо для этой атаки в их миниатюрных скиммерах с устройствами ввода PIN-кода». Неизвестно, была ли использована эта уязвимость, но она могла объяснить нераскрытые случаи предполагаемого мошенничества. [54]

EMVCo с этим не согласилась и опубликовала ответ, в котором говорилось, что, хотя такая атака теоретически возможна, ее успешное осуществление будет чрезвычайно трудным и дорогостоящим, что существующие компенсирующие средства контроля, скорее всего, позволят обнаружить или ограничить мошенничество, и что возможная финансовая выгода от атака минимальна, а риск отклонения транзакции или разоблачения мошенника значителен. [55] Команда Кембриджа с этим не согласна: они провели это незаметно для банков, используя готовое оборудование с некоторыми нехитрыми дополнениями. Можно легко сделать менее громоздкие версии. Производители такого оборудования для атаки не должны подвергать себя риску, а могут продать его кому угодно через сеть. [54]

Когда к ним обратились за комментариями, несколько банков (Co-operative Bank, Barclays и HSBC) заявили, что это проблема всей отрасли, и направили команду Newsnight в отраслевую банковскую ассоциацию для получения дальнейших комментариев. [56] По словам Фила Джонса из Ассоциации потребителей , чип и PIN-код помогли снизить количество преступлений с использованием карт, но многие случаи остаются необъяснимыми. «Что мы действительно знаем, так это то, что у нас есть случаи, рассказанные отдельными людьми, которые кажутся весьма убедительными». [ нужна цитата ]

Атака использует тот факт, что выбор метода аутентификации не аутентифицирован, что позволяет человеку оказаться посередине. Терминал запрашивает PIN-код, получает его и получает подтверждение транзакции с карты, которая думает, что выполняет транзакцию с использованием карты и подписи, которая действительно может быть успешной в автономном режиме. Работает и онлайн, возможно из-за недостаточности проверок. [57]

Первоначально клиенты банка должны были доказать, что они не проявили небрежности в отношении своего ПИН-кода, прежде чем получить возмещение, но правила Великобритании, вступившие в силу с 1 ноября 2009 года, твердо возложили на банки бремя доказывания того, что клиент проявил небрежность в любом споре. клиенту дано 13 месяцев на предъявление претензии. [58] Мердок сказал, что «[банкам] следует оглянуться на предыдущие транзакции, в которых клиент сообщал, что его ПИН-код не использовался, а банковская запись показала, что он использовался, и рассмотреть возможность возврата денег этим клиентам, потому что, возможно, они стали жертвами этого типа». мошенничества». [54]

2011: переход на более раннюю версию CVM позволяет собирать произвольные PIN-коды.

На конференции CanSecWest в марте 2011 года Андреа Барисани и Даниэле Бьянко представили исследование, раскрывающее уязвимость в EMV, которая позволяет собирать произвольный PIN-код, несмотря на конфигурацию проверки владельца карты, даже если данные поддерживаемых CVM подписаны. [59]

Сбор ПИН-кода можно выполнить с помощью скиммера для стружки. По сути, список CVM, который был изменен для понижения статуса CVM до автономного PIN-кода, по-прежнему учитывается POS-терминалами, несмотря на то, что его подпись недействительна. [60]

Обход PIN-кода

В 2020 году исследователи Дэвид Басин, Ральф Сасс и Хорхе Торо из ETH Zurich сообщили [61] [62] о критической проблеме безопасности, затрагивающей бесконтактные карты Visa : отсутствие криптографической защиты важных данных, отправляемых картой на терминал во время транзакции EMV. . Соответствующие данные определяют метод проверки владельца карты (CVM, например проверка PIN-кода), который будет использоваться для транзакции. Команда продемонстрировала, что можно изменить эти данные, чтобы заставить терминал поверить в то, что ПИН-код не требуется, поскольку владелец карты был проверен с помощью своего устройства (например, смартфона). Исследователи разработали экспериментальное приложение для Android , которое эффективно превращает физическую карту Visa в мобильное платежное приложение (например, Apple Pay , Google Pay ) для совершения дорогостоящих покупок без использования PIN-кода. Атака осуществляется с использованием двух смартфонов с поддержкой NFC , один из которых находится рядом с физической картой, а второй — рядом с платежным терминалом. Атака могла затронуть карты Discover и китайской UnionPay , но на практике этого не было продемонстрировано, в отличие от карт Visa.

В начале 2021 года та же команда сообщила, что карты Mastercard также уязвимы для атаки с обходом PIN-кода. Они показали, что преступники могут обманным путем заставить терминал совершить транзакцию с бесконтактной картой Mastercard, при этом полагая, что это карта Visa. Эта путаница с брендами карт имеет критические последствия, поскольку ее можно использовать в сочетании с обходом ПИН-кода для Visa, чтобы также обойти ПИН-код для карт Mastercard. [62]

«Сложные системы, такие как EMV, должны анализироваться с помощью автоматизированных инструментов, таких как средства проверки моделей [62] » , — отмечают исследователи в качестве основного вывода своих выводов. В отличие от людей, инструменты проверки моделей, такие как Tamarin, справляются с этой задачей, поскольку они могут справиться со сложностью реальных систем, таких как EMV. [ нужна цитата ]

Выполнение

EMV означает « Europay , Mastercard и Visa » — три компании, создавшие стандарт. В настоящее время стандарт управляется EMVCo , консорциумом финансовых компаний. [1] Другими широко известными чипами стандарта EMV являются:

Visa и Mastercard также разработали стандарты использования карт EMV в устройствах для поддержки транзакций без предъявления карты (CNP) по телефону и через Интернет. Mastercard имеет программу аутентификации чипа (CAP) для безопасной электронной коммерции. Его реализация известна как EMV-CAP и поддерживает ряд режимов. Visa использует схему динамической аутентификации по паролю (DPA), которая представляет собой реализацию CAP с использованием различных значений по умолчанию.

Во многих странах мира платежные сети по дебетовым и/или кредитным картам внедрили изменение ответственности. [ нужна цитата ] Обычно эмитент карты несет ответственность за мошеннические транзакции. Однако после реализации смещения ответственности, если банкомат или терминал торговой точки не поддерживает EMV, владелец банкомата или торговый центр несет ответственность за мошенническую транзакцию.

Системы с чипом и PIN-кодом могут вызвать проблемы у путешественников из стран, которые не выпускают карты с чипом и PIN-кодом, поскольку некоторые розничные торговцы могут отказаться принимать их бесчиповые карты. [63] Хотя большинство терминалов по-прежнему принимают карты с магнитной полосой, а основные бренды кредитных карт требуют, чтобы продавцы принимали их, [64] некоторые сотрудники могут отказаться принимать карты, полагая, что они несут ответственность за любое мошенничество, если карта не может проверить PIN-код. Карты без чипа и ПИН-кода также могут не работать в некоторых автоматических торговых автоматах, например, на вокзалах или в кассах самообслуживания в супермаркетах. [65]

Африка

Южная Африка

Азиатско-Тихоокеанские страны

Австралия

Малайзия

Новая Зеландия

Европа

Великобритания

Зеленый прямоугольник, содержащий ряд из четырех белых звездочек в черных квадратах; контур руки указывает на вторую звездочку и закрывает ее.
Логотип чипа и PIN-кода Великобритании

Чип и ПИН-код были опробованы в Нортгемптоне , Англия , в мае 2003 года [73] и в результате были распространены по всей стране в Соединенном Королевстве 14 февраля 2006 года [74] с рекламой в прессе и на национальном телевидении, рекламирующей «Безопасность в цифрах». лозунг. На первых этапах развертывания, если считалось, что произошла мошенническая транзакция с магнитной картой, ритейлеру возмещалась банк-эмитент, как это было до внедрения чипа и PIN-кода. С 1 января 2005 г. ответственность за такие сделки была переложена на розничного торговца; это послужило стимулом для ритейлеров модернизировать свои системы точек продаж (PoS), а большинство крупных торговых сетей выполнили обновление вовремя, к крайнему сроку EMV. Многие малые предприятия поначалу не хотели обновлять свое оборудование, поскольку для этого требовалась совершенно новая система PoS, а это были значительные инвестиции.

Новые карты с магнитными полосами и чипами теперь выпускаются всеми крупными банками. Замена карт с чипом и PIN-кодом была серьезной проблемой, поскольку банки просто заявляли, что потребители получат свои новые карты «когда истечет срок действия их старой карты» - несмотря на то, что у многих людей были карты со сроком действия еще в 2007 году. Эмитент карты Switch потеряла крупный контракт с HBOS в пользу Visa , поскольку они не были готовы выпустить новые карты так рано, как этого хотел банк.

Внедрение чипа и ПИН-кода подверглось критике за то, что оно призвано снизить ответственность банков в случаях предполагаемого мошенничества с картами, требуя от клиента доказать, что он действовал «с разумной осторожностью» для защиты своего ПИН-кода и карты, вместо того, чтобы банку приходилось это делать. докажите, что подпись совпала. До появления чипа и ПИН-кода, если подпись клиента была подделана, банки несли юридическую ответственность и должны были возместить клиенту компенсацию. До 1 ноября 2009 года не существовало такого закона, защищающего потребителей от мошеннического использования их транзакций с чипом и ПИН-кодом, а был только добровольный Банковский кодекс . Было много сообщений о том, что банки отказывались возмещать расходы жертвам мошеннического использования карт, утверждая, что их системы не могли выйти из строя в описанных обстоятельствах, несмотря на несколько задокументированных успешных крупномасштабных атак. [ нужна цитата ]

Положения о платежных услугах 2009 года вступили в силу 1 ноября 2009 года [75] и переложили на банки обязанность доказывать, а не предполагать, что виноват держатель карты. [58] Управление финансовых услуг (FSA) заявило: «Банк, строительное общество или компания, выпускающая кредитные карты, должны доказать, что транзакция была совершена вами, и что не было никаких нарушений процедур или технических трудностей», прежде чем отказаться от ответственности.

Латинская Америка и Карибский бассейн

Бразилия

Колумбия

Мексика

Венесуэла

Средний Восток

Северная Америка

Канада

Соединенные Штаты

После широко распространенной кражи личных данных из-за слабой безопасности в торговых терминалах в Target , Home Depot и других крупных розничных сетях Visa, Mastercard и Discover [80] в марте 2012 года и American Express [81] в июне 2012 года объявили о их планы миграции EMV в США. [82] С момента этого объявления несколько банков и эмитентов карт анонсировали карты с технологией чипа и подписи EMV, в том числе American Express, Bank of America, Citibank, Wells Fargo , [83] JPMorgan Chase, US Bank и несколько кредитных союзов. .

В 2010 году ряд компаний начали выпускать предоплаченные дебетовые карты с чипом и PIN-кодом, которые позволяют американцам вносить наличные в евро или фунтах стерлингов . [84] [1] Федеральный кредитный союз ООН был первым эмитентом в США, предложившим кредитные карты с чипом и PIN-кодом. [85] В мае 2010 года в пресс-релизе Gemalto (глобального производителя карт EMV) указывалось, что Федеральный кредитный союз Организации Объединенных Наций в Нью-Йорке станет первым эмитентом карт EMV в Соединенных Штатах, предлагающим своим клиентам кредитную карту EMV Visa. . [86] JPMorgan был первым крупным банком, представившим карту с технологией EMV, а именно карту Palladium , в середине 2012 года. [87]

По состоянию на апрель 2016 года 70% потребителей в США имели карты EMV, а по состоянию на декабрь 2016 года примерно 50% продавцов соответствовали требованиям EMV. [88] [89] Однако развертывание было медленным и непоследовательным у разных поставщиков. Даже продавцы с оборудованием EMV могут быть не в состоянии обрабатывать транзакции с использованием чипов из-за недостатков программного обеспечения или соответствия требованиям. [90] Bloomberg также упомянул проблемы с развертыванием программного обеспечения, в том числе изменения в звуковых подсказках для компьютеров Verifone , выпуск и развертывание программного обеспечения которых может занять несколько месяцев. Однако отраслевые эксперты ожидают в США большей стандартизации развертывания программного обеспечения и стандартов. Visa и Mastercard внедрили стандарты для ускорения транзакций с использованием чипов с целью сократить время их проведения до трех секунд. Эти системы имеют маркировку Visa Quick Chip и Mastercard M/Chip Fast. [91]

Примечания

  1. ^ Эти названия приложений не встречаются в версиях этих карт Apple Pay . Вместо этого они сохраняют исходное имя сети.

Смотрите также

Рекомендации

  1. ^ abcdefg Стейси Коули (23 сентября 2015 г.). «Скоро на кассах: платежные системы с использованием микрочиповых карт». Нью-Йорк Таймс . Проверено 31 июля 2022 г.
  2. ^ Важные отраслевые стандарты смарт-карт. ISO 7816, Кардверк Технологии
  3. ^ Чен, Чжицюнь (2000). Технология Java Card для смарт-карт: Руководство по архитектуре и программированию . Аддисон-Уэсли Профессионал . стр. 3-4. ISBN 9780201703290.
  4. ^ «Краткий обзор смарт-карт (обновление 2019 г.)» . Джемальто . 7 октября 2019 года . Проверено 27 октября 2019 г.
  5. Соренсен, Эмили (26 июля 2019 г.). «Подробная история автоматов по производству кредитных карт». Мобильная сделка . Проверено 27 октября 2019 г.
  6. ^ Вендрик, Гарри Дж. М. (2017). Нанометровые КМОП-ИС: от основ к ASIC. Спрингер. п. 315. ИСБН 9783319475974.
  7. ^ «Члены EMVCo». ЭМВКо. Архивировано из оригинала 15 февраля 2016 года . Проверено 10 мая 2015 г.
  8. ^ «Способы участия» . Проверено 31 января 2023 г.
  9. ^ «Китайская UnionPay присоединяется к EMVCo» (пресс-релиз). Finextra Research. 20 мая 2013 года . Проверено 10 мая 2015 г.
  10. ^ «Discover присоединяется к EMVCo, чтобы способствовать развитию глобальных стандартов EMV» . Откройте для себя сетевые новости. 3 сентября 2013 года . Проверено 10 мая 2015 г.
  11. ^ 7 крупнейших поставщиков на мировом рынке карт EMV с 2016 по 2020 год, пресс-релиз Technavio, 24 августа 2016 г.
  12. ^ «Visa и MasterCard поддерживают общие решения для обеспечения маршрутизации дебетовых чипов в США» . Мастеркард. Архивировано из оригинала 14 июня 2021 года . Проверено 7 октября 2020 г.
  13. ^ «Смена ответственности за мошеннические операции». Карточная ассоциация Великобритании . Проверено 10 мая 2015 г.
  14. ^ «Понимание изменений ответственности за мошенничество в США в 2015 году» (PDF) . www.emv-connection.com . Миграционный форум EMV. Архивировано из оригинала (PDF) 19 сентября 2015 года . Проверено 15 ноября 2015 г.
  15. ^ аб Марк Скотт (2 декабря 2014 г.). «Подготовка к использованию карт с чипом и ПИН-кодом в США». Нью-Йорк Таймс . Проверено 31 июля 2022 г.
  16. ^ «Почему вы все еще не застрахованы от мошенничества, если у вас есть кредитная карта с чипом» . Новости АВС .
  17. Энн Каррнс (20 июня 2011 г.). «Банк США и Chase добавляют к чиповым картам EMV для путешественников» . Проверено 31 июля 2022 г.
  18. ^ Чип и ПИН-код против чипа и подписи, CardHub.com (теперь Wallethub) , получено 31 июля 2012 г. {{citation}}: Проверить |url=значение ( помощь )
  19. ^ «Обновление EMV: обсуждение с Федеральной резервной системой» (PDF) . Виза . Проверено 2 января 2017 г.
  20. Карлин, Патрисия (15 февраля 2017 г.). «Как уменьшить возвратные платежи, не убивая онлайн-продажи». Форбс .
  21. ^ «BBC NEWS – Технологии – Код кредитной карты для борьбы с мошенничеством» . bbc.co.uk. _
  22. ^ «Visa тестирует карты со встроенным PIN-кодом» . ЭТО ПРОФЕССИОНАЛЬНО . 11 ноября 2008 г.
  23. Брайан X. Чен (4 мая 2016 г.). «Почему Apple Pay и другие мобильные кошельки превосходят чиповые карты». Нью-Йорк Таймс . Проверено 31 июля 2022 г.
  24. ^ «Как работает EMV (чип и PIN-код) - Блок-схема транзакций» . КредитКолл, ООО . Проверено 10 мая 2015 г.
  25. ^ ab «Книга 1: Требования к интерфейсу терминала, независимые от приложения» (PDF) . 4.3. ЭМВКо. 30 ноября 2011 года . Проверено 20 сентября 2018 г.[ постоянная мертвая ссылка ]
  26. Варминг, Ян Бигум (21 августа 2022 г.). Платежи: от ракушек каури до биткойнов. Независимо опубликовано. ISBN 979-8-8405-4325-2.
  27. ^ «Продукты и услуги MasterCard — Документация» . Проверено 17 апреля 2017 г.
  28. ^ «Руководство по технологии чипов EMV» (PDF) . ЭМВКо. Ноябрь 2014 г. Архивировано из оригинала (PDF) 16 февраля 2021 г. . Проверено 7 октября 2020 г.
  29. ^ "ЭМВ Калифорния". Центр сертификации EMV по всему миру. 20 ноября 2010 г. Архивировано из оригинала 4 июля 2020 г. . Проверено 20 марта 2020 г.
  30. ^ «Книга 2: Безопасность и управление ключами (PDF). 4.3» (PDF) . ЭМВКо. 29 ноября 2011 года . Проверено 20 сентября 2018 г.[ постоянная мертвая ссылка ]
  31. ^ Контактный чип - Общие часто задаваемые вопросы (FAQ). Архивировано 15 июня 2021 г. в Wayback Machine.
  32. ^ «Бесконтактные спецификации для платежных систем» (PDF) . ЭМВКо. Архивировано из оригинала (PDF) 15 июня 2021 года . Проверено 7 октября 2020 г.
  33. ^ Определение TAC: Код действия терминала
  34. ^ abc «Технологический партнер Visa: Код действия терминала (минимум VISA)» .
  35. ^ ab "Быстрый чип".
  36. ^ ab «Быстрый M/Chip Fast от MasterCard ускоряет транзакции EMV и увеличивает количество покупателей при оформлении заказа». Архивировано из оригинала 28 октября 2020 года . Проверено 30 ноября 2020 г. .
  37. ^ «Условия использования» (PDF) .[ постоянная мертвая ссылка ]
  38. ^ EMVCo. «Члены EMVCo» . Проверено 1 августа 2020 г.
  39. ^ «Книга 2: Безопасность и управление ключами» (PDF) . 4.3. ЭМВКо. 29 ноября 2011 года . Проверено 20 сентября 2018 г.[ постоянная мертвая ссылка ]
  40. ^ «Книга 3: Спецификация приложения» (PDF) . 4.3. ЭМВКо. 28 ноября 2011 года . Проверено 20 сентября 2018 г.[ постоянная мертвая ссылка ]
  41. ^ «Книга 4: Требования к интерфейсу держателя карты, помощника и эквайера» (PDF) . 4.3. ЭМВКо. 27 ноября 2011 года . Проверено 20 сентября 2018 г.[ постоянная мертвая ссылка ]
  42. ^ «Бюллетени SB CPA Спецификация v1 Plus» (PDF) . ЭМВКо. 1 марта 2008 года . Проверено 20 сентября 2018 г.[ постоянная мертвая ссылка ]
  43. ^ «Спецификация персонализации карты EMV®» ​​(PDF) . ЭМВКо. 1 июля 2007 года . Проверено 20 сентября 2018 г.[ постоянная мертвая ссылка ]
  44. ^ «Спецификации карт с интегральной схемой для платежных систем» . ЭМВКо. Архивировано из оригинала 2 апреля 2012 года . Проверено 26 марта 2012 г.
  45. ^ «Насколько безопасны чип и PIN-код?». Вечер новостей BBC. 26 февраля 2008 г.
  46. ^ Саар Дример; Стивен Дж. Мердок; Росс Андерсон. «Уязвимости устройства ввода PIN-кода (PED)» . Компьютерная лаборатория Кембриджского университета . Проверено 10 мая 2015 г.
  47. ^ «Бензиновая фирма приостанавливает работу чипа и булавки» . Новости BBC . 6 мая 2006 года . Проверено 13 марта 2015 г.
  48. ^ «Организованная преступность вмешивается в европейские устройства для считывания карт» . Регистр. 10 октября 2008 г.
  49. ^ «Технические рабочие группы, Альянс поставщиков безопасных POS-терминалов» . 2009. Архивировано из оригинала 15 апреля 2010 года.
  50. ^ «Действительно ли чип и пин-код безопасны?». Новости BBC . 26 февраля 2008 года . Проверено 2 мая 2010 г.
  51. ^ «Чип и булавка» . 6 февраля 2007 г. Архивировано из оригинала 5 июля 2007 г.
  52. Джон Лейден (27 февраля 2008 г.). «Скрепка атакует шампуры Чипом и ПИН-кодом». Канал . Проверено 10 мая 2015 г.
  53. ^ Стивен Дж. Мердок; Саар Дример; Росс Андерсон; Майк Бонд. «Уязвимость «клина» проверки PIN-кода EMV» . Компьютерная лаборатория Кембриджского университета . Проверено 12 февраля 2010 г.
  54. ^ abcd Сьюзан Уоттс (11 февраля 2010 г.). «Обнаружены новые недостатки в системе чипов и штифтов». Новости BBC . Проверено 12 февраля 2010 г.
  55. ^ «Ответ EMVCo на отчет Кембриджского университета об уязвимостях чипа и ПИН-кода («Чип и ПИН-код сломаны» - февраль 2010 г.)» (PDF) . ЭМВКо. Архивировано из оригинала (PDF) 8 мая 2010 года . Проверено 26 марта 2010 г.
  56. ^ Сьюзен, Уоттс. «Обнаружены новые недостатки в системе чипов и штифтов (11 февраля 2010 г.)». Вечер новостей . Би-би-си . Проверено 9 декабря 2015 г.
  57. ^ Росс Андерсон (11 февраля 2010 г.). «Чип и PIN-код сломаны». Ни для нас, ни для банкиров неудивительно, что эта атака работает в автономном режиме [...] настоящий шок заключается в том, что она работает и в Интернете.
  58. ^ AB Ричард Эванс (15 октября 2009 г.). «Карточное мошенничество: банкам теперь придется доказывать вашу вину». Телеграф . Архивировано из оригинала 21 октября 2009 года . Проверено 10 мая 2015 г.
  59. ^ Андреа Барисани; Даниэле Бьянко; Адам Лори; Зак Франкен (2011). «Чип и PIN-код определенно сломаны» (PDF) . Лаборатории Апертуры. Архивировано из оригинала (PDF) 19 октября 2015 года . Проверено 10 мая 2015 г.
  60. ^ Адам Лори; Зак Франкен; Андреа Барисани; Даниэле Бьянко. «EMV - Атака на понижение версии CVM с помощью чипа и контакта». Aperture Labs и Inverse Path. Архивировано из оригинала 19 октября 2015 года . Проверено 10 мая 2015 г.
  61. ^ Д. Басин, Р. Сасс, Дж. Торо-Посо (2020). «Стандарт EMV: сломать, исправить, проверить». Симпозиум IEEE по безопасности и конфиденциальности (SP) 2021 г .: 1766–1781. arXiv : 2006.08249 .{{cite journal}}: CS1 maint: несколько имен: список авторов ( ссылка )
  62. ^ abc «Стандарт EMV: сломать, исправить, проверить».
  63. ^ «Кредитные карты США устарели и менее полезны за рубежом, поскольку карты с чипом и PIN-кодом стали популярными» . Creditcards.com .[ постоянная мертвая ссылка ]
  64. ^ "Виза в Австралию" . Visa-Asia.com . Архивировано из оригинала 22 сентября 2013 года . Проверено 29 июня 2015 г.
  65. Хиггинс, Мишель (29 сентября 2009 г.). «Американцы меньше покупают пластик за границей». Нью-Йорк Таймс . Проверено 17 апреля 2017 г.
  66. ^ abcdefghi «Руководство по возвратному платежу» (PDF) . Мастеркард по всему миру. 3 ноября 2010 г. Проверено 10 мая 2015 г.
  67. ^ abc «Правила эксплуатации» (PDF) . Виза Интернешнл. Архивировано из оригинала (PDF) 3 марта 2013 года.
  68. ^ abcdefghi «Путешествие к динамическим данным». Виза. Архивировано из оригинала 28 июня 2021 года.
  69. ^ ab «Visa расширяет дорожную карту США по внедрению чипов EMV, включая банкоматы и общее дебетовое решение» (пресс-релиз). Фостер-Сити, Калифорния: Visa. 4 февраля 2013 года . Проверено 10 мая 2015 г.
  70. ^ ab «MasterCard объявляет пятилетний план по изменению облика платежной индустрии в Австралии» . Мастеркард Австралия. Архивировано из оригинала 28 января 2013 года.
  71. ^ «Малайзия первой завершила миграцию карт на основе чипа» . Звезда онлайн .
  72. ^ «США учатся у Малайзии, 10 лет спустя» . Ракьят Пост. 14 октября 2015 г. Архивировано из оригинала 20 марта 2019 г. . Проверено 30 декабря 2016 г.
  73. ^ «Кредитные карты для борьбы с мошенничеством проходят испытание» . Деловые новости BBC . 11 апреля 2003 года . Проверено 27 мая 2015 г.
  74. ^ Карточная ассоциация Великобритании. «Руководство по чипам и PIN-кодам» (PDF) . Проверено 27 мая 2015 г.
  75. ^ Фонд, Интернет-память. «[АРХИВНОЕ СОДЕРЖИМОЕ] Веб-архив правительства Великобритании – Национальный архив» . Архивировано из оригинала 12 ноября 2008 года . Проверено 17 апреля 2017 г.
  76. ^ abc «Узнайте, как обеспечить изменение ответственности EMV к 2015 году» (пресс-релиз). Finextra Research. 12 ноября 2012 года . Проверено 10 мая 2015 г.
  77. ^ abc «Сдвиг ответственности за чипы». глобальные платежи. Архивировано из оригинала 30 июля 2013 года.
  78. ^ "Интерак - Для торговцев" . Проверено 17 апреля 2017 г.
  79. ^ «EMV сокращает количество случаев мошенничества с предъявлением карт в Канаде (инфографика) — официальный блог Helcim™» . Проверено 17 апреля 2017 г.
  80. ^ «Discover реализует мандат EMV для США, Канады и Мексики» . Архивировано из оригинала 10 мая 2012 года.
  81. ^ «American Express объявляет дорожную карту EMV США по развитию контактных, бесконтактных и мобильных платежей» (пресс-релиз). Нью-Йорк: Американ Экспресс. 29 июня 2012 года. Архивировано из оригинала 10 мая 2015 года . Проверено 10 мая 2015 г.
  82. ^ «Неопределенная судьба EMV в США» . Протеанский платеж. Архивировано из оригинала 29 сентября 2013 года . Проверено 22 сентября 2012 г.
  83. Камхи, Джонатан (3 августа 2012 г.). «Wells Fargo представляет новую карту EMV для потребителей». Банковские системы и технологии. Архивировано из оригинала 5 июня 2014 года . Проверено 10 мая 2015 г.
  84. ^ «Travelex предлагает первую в Америке предоплаченную карту в иностранной валюте с чипом и PIN-кодом» . Деловой провод . 1 декабря 2010 года . Проверено 6 февраля 2014 г.
  85. ^ «UNFCU станет первым эмитентом в США, предлагающим кредитные карты с чипом высокой безопасности» . Федеральный кредитный союз ООН .
  86. Рэй Визбовски (13 мая 2010 г.). «Федеральный кредитный союз ООН выбирает Gemalto в качестве первой выпущенной в США платежной карты, соответствующей мировым стандартам» (пресс-релиз). Остин, Техас: Джемальто . Проверено 10 мая 2015 г.
  87. Пол Риглер (25 июля 2013 г.). «Справочник по кредитным картам с чипом и пин-кодом и чипом и подписью на 2013 год». Частый деловой путешественник . Проверено 10 мая 2015 г.
  88. Голдман, Шэрон (20 марта 2017 г.). «Станет ли тернистый путь к внедрению EMV в розничной торговле более гладким?». Журнал ИТ-директоров . Архивировано из оригинала 27 марта 2017 года . Проверено 17 апреля 2017 г.
  89. ^ "Опрос по кредитным картам EMV" . Архивировано из оригинала 27 марта 2017 года . Проверено 26 марта 2017 г.
  90. ^ «У розничных торговцев есть считыватели чиповых карт — почему они ими не пользуются?» . Проверено 22 ноября 2017 г. .
  91. ^ «План сделать кредитные карты с чипом менее раздражающими» . Bloomberg.com . 17 июля 2017 года . Проверено 5 августа 2017 г.
  92. ^ ab Кэти Медич (июль 2012 г.). «Миграция EMV – обусловлена ​​важными этапами платежного бренда» . Проверено 10 мая 2015 г.
  93. ^ «Amex присоединяется к Visa в отсрочке миграции газа EMV в США» . 5 мая 2020 г.
  94. ^ Дэвид Хын (10 сентября 2012 г.). «MasterCard внедряет политику ответственности за использование чиповых карт EMV в банкоматах США». ИсточникМедиа. Архивировано из оригинала 22 февраля 2014 года . Проверено 10 мая 2015 г.
  95. ^ ab «Проблемы мошенничества с картами насосов EMV по задержке ответственности за топливо» . Кредитный союз Таймс . Проверено 4 декабря 2016 г.
  96. Бет Китченер (10 сентября 2012 г.). «MasterCard расширяет дорожную карту миграции EMV в США на канал банкоматов» (пресс-релиз). Покупка, Нью-Йорк: Mastercard. Архивировано из оригинала 8 мая 2015 года . Проверено 10 мая 2015 г.
  97. ^ «EMV для покупателей из США: семь руководящих принципов готовности к EMV» (PDF) . Архивировано из оригинала (PDF) 5 июля 2016 года . Проверено 17 апреля 2017 г.
  98. ^ «Visa объявляет об участии США в глобальном изменении ответственности за поддельную продукцию в точках продаж» (PDF) (пресс-релиз). Виза. 9 августа 2011 г. Архивировано из оригинала (PDF) 23 мая 2015 г. . Проверено 10 мая 2015 г.

Внешние ссылки