В то же время заметим, что проблема обеспечения целостности приложения терминала не является надуманной. По мнению экспертов в области безопасности карточных операций по мере повышения защищенности карт, внимание мошенников во все возрастающей степени будет обращаться на среду их обслуживания. Терминал является близким окружением карты, и потому, несомненно, станет мишенью для атак. Поскольку терминал сегодня фактически представляет собой персональный компьютер, то для атак будут использоваться те же методы. В частности, применение специальных программ (аналог программ spyware, Trojan horse, keyboard (screen) logger, вирусов) позволит мошеннику получать интересующую его информацию о карте (например, запись второй дорожки магнитной полосы карты, значение случайной последовательности терминала и случайного числа карты, используемых для шифрования PIN-блока, значение зашифрованного PIN-блока и т. п.).
Важна также и проблема подмены настоящего POS-терминала банка терминалом, установленным мошенниками. Стоимость терминала невелика — 400–600 долл. Поэтому подобная подмена является весьма правдоподобной при сговоре мошенника с кассиром торгового предприятия (известны случаи установки даже ложных банкоматов!). Возможны также случаи, когда торговое предприятие использует POS-терминал только с целью сбора информации о картах.
В случае применения ложного терминала может записываться не только содержимое магнитной дорожки карты, но и значение PIN-кода держателя карты. С учетом использования на практике гибридных карт, имеющих магнитную полосу, получив информацию о магнитной дорожке карты и значение его PIN-кода, мошенник может изготовить «белые» карты для их употребления в банкомате.
Для решения проблемы ложного терминала при обработке операций в онлайновом режиме необходимо повсеместно внедрять коды MAC для сообщений, циркулирующих между терминалом и хостом обслуживающего банка. Это обеспечит целостность информационного обмена и аутентификацию POS-терминала.
Между тем использование кодов MAC позволяет эффективно решить проблему только для онлайновых операций. Информация об оффлайновых транзакциях, выполненных на терминале, также может подписываться для передачи в обслуживающий банк. Однако мошеннический терминал может и не передавать эту информацию в банк достаточно долго или вообще никогда. В случае, когда терминал действует в оффлайновом режиме, к сожалению, кроме организационных мер для борьбы с подобного рода мошенничествами, предложить пока нечего.
Достаточно эффективным способом борьбы с заменой терминалов стало бы введение в стандарт EMV процедуры взаимной аутентификации карты и терминала. Заведение на терминал пары секретного и открытого асимметричных ключей обслуживающего банка и сертификата этого ключа на ключе системы, а также поддержка картой процедуры аутентификации терминала и хранение на карте хэш-функций открытых ключей системы позволит исключить подмену терминала. Хранение на карте хэш-функций открытых ключей системы необходимо для того, чтобы избежать ситуации, когда мошенник сам придумывает ложный ключ системы и генерирует для заведения в терминал пару ключей обслуживающего банка с сертификатом, вычисленным на ложном ключе системы.
Конечно, хранение хэш-функций ключей системы (очевидно, что придется хранить информацию о ключах, сгенерированных впрок, чтобы не получилось так, что во время жизненного цикла карты на терминалах появятся ключи системы, неизвестные карте) накладывает ограничения на размер памяти EEPROM. Терминал должен хранить до 6 ключей системы. Поэтому с учетом ключей, заводимых впрок, и размера значения хэш-функции SHA-1, равного 20 байтам, потребуется зарезервировать около 200 байтов памяти EEPROM для одной платежной системы.
Остановимся еще на одном виде мошенничества, возможного со стороны недобросовестного торгового предприятия. В упрощенном виде мошенничество выглядит следующим образом.
Когда в торговое предприятие за покупкой обращается держатель микропроцессорной карты, торговое предприятие любое решение терминала (карты) завершает отклонением транзакции. При этом держатель карты либо уходит из торгового предприятия ни с чем, либо расплачивается за товар наличными.
Далее мошенническое торговое предприятие отправляет обслуживающему банку данные по неуспешной транзакции, как об операции, успешно выполненной в оффлайновом режиме. При этом обслуживающему банку предъявляются все доказательства того, что транзакция была выполнена успешно: подделанное значение cryptogram information data, указывающее на завершение операции генерацией картой криптограммы TC, значение криптограммы, которое не зависит от своего типа (TC, ARQC, AAC), значение ICC dynamic number. Все эти данные за исключением cryptogram information data могли быть сформированы только реальной микропроцессорной картой.
Обслуживающий банк на основе полученных данных формирует презентменты, которые отправляет в платежную систему, и возмещает торговому предприятию средства по «выполненным» в нем операциям.
Через некоторое время некоторые держатели карт инициируют чар-джбэки по мошенническим операциям, выполненным с использованием их карт. Однако эмитенту будет сложно их инициировать, поскольку обслуживающий банк предъявил в презентменте или по запросу эмитента (сообщение retrieval request) криптограмму TC.
В данном случае разобраться в ситуации сможет платежная система, которая через некоторое время обнаружит, что возникшая странная ситуация, когда клиенты жалуются, клиринговые сообщения, переданные обслуживающим банком, выглядят убедительно, необыкновенно часто случается в одной торговой точке. Чтобы разобраться в такой ситуации, платежной системе потребуется время. За это время мошенники успеют скрыться.
Другой способ борьбы с описанным выше мошенничеством — использование для оффлайновой аутентификации карты метода CDA и требования к торговому предприятию, которое состоит в том, что предприятие предоставляет в распоряжение обслуживающего банка элемент signed dynamic application data, а не просто криптограмму. В этом случае обслуживающий банк извлекает из элемента signed dynamic application data правильное значение cryptogram information data и описанная ранее схема совершения мошенничества не работает.
Борьба с банкоматным мошенничеством
При использовании микропроцессорной карты в онлайновом режиме знание PIN-кода и любых других данных карты, доступных терминалу, недостаточно для успешного выполнения операции мошенником. Необходимым условием в этом случае является знание недоступного мошеннику секретного ключа карты, который используется для генерации криптограммы. Ключ необходим для взаимной аутентификации карты и эмитента, без успешного выполнения которой транзакция будет отклонена (мы не рассматриваем достаточно редкий на сегодня случай, когда эмитент не поддерживает обработку «чиповых» данных карты).
Таким образом, в мире, в котором все карты являются микропроцессорными, а терминалы поддерживают EMV, скимминг через банкоматы ничего мошенникам не дает.
ЗаключениеРезюмируя сказанное выше, можно сделать вывод о том, что с увеличением количества микропроцессорных карт и расширением инфраструктуры их приема уровень карточного фрода неукоснительно снижается. Однако эффективность борьбы с карточным мошенничеством с помощью перехода на использование EMV-карт зависит от синхронности миграции банков на чип. Даже если банки какой-то страны полностью мигрируют на чип, но останутся страны, в которых процесс идет медленно, мигрировавшие на чип банки будут страдать от менее продвинутых с точки зрения миграции стран. Поэтому европейские страны, достигшие значительных результатов в миграции на чип, не может не беспокоить ситуация с положением дел в США. Действительно, все усилия европейского банка, выпустившего микропроцессорную карту, аннулируются возможностью выполнения операции по мошеннической карте, изготовленной на основе данных магнитной полосы этой микропроцессорной карты в «магнитном» терминале (терминале, принимающем только карты с магнитной полосой) американского банка.
То же утверждение о важности синхронности миграции банков на чип верно и для отдельно взятой страны. Не смотря на то, что внутри страны может действовать упоминавшийся выше сдвиг ответственности, и банк, заменивший свои карты микропроцессорными (гибридными) картами, всю ответственность за фрод по поддельной гибридной карте в магнитных терминалах перемещает на обслуживающий банк, моральный ущерб, наносимый держателю карты, а также
Обозначения:
I — фрод произойдет и ответственность за него лежит на стороне эмитента;