web-dev-qa-db-ja.com

チップおよびピンデバイスの内部で光る

最近、きらめきはニュースで多くのノイズを作り、非常に小さいのでATMにインストールするのが人気になりました。チップデバイスやピンデバイスの内部にインストールできますか?それともどこにインストールできますか?それから身を守る方法は?

更新:チップとピンのデバイスとは、小さいタイプのチップとピンのデバイスを意味し、通常はレストラン、ショップなどでの支払いに使用されます。-POS端末

写真のように:

chip and pin device

credit-cardbanksatm
2
Peter

カードには暗号化キー(EMV)があるため、通常の意味でチップアンドピンカードを「スキミング」することはできません。これは、端末から送信されたチャレンジへの応答を計算するために使用されます。銀行で。鍵は銀行とカードだけが知っています。

「シマー」という名前は、単語「シム」および「スキマー」のportmanteuに由来します。シムとは、薄いバネを指し、ばね式の南京錠を開くために使用される南京錠シムを指します。 「スキマーカード」は非常に薄いので、実際の支払いカードとリーダーの間に収まります。このような「スマートカード」シムは、オペレーターがロックした携帯電話を違法に改ざんするためにも使用されるため、どのオペレーターでも使用できます。 (基本的に、シムはオペレーターのSIMと電話の間にあり、適切なオペレーターからのSIMが挿入されている電話に「横になります」)

ただし、セキュリティ機能にもかかわらず、チップカードが悪用される可能性がある2つのケースがあります。

1:カードの詳細をスキムテキストで保存するため、カードの詳細をスキムすることが可能です。CVVはカードにクリアテキストで保存されます(銀行が使用する暗号化キーを銀行が知っている必要があるため、これらの詳細をクリアテキストで保存する必要があります)トランザクションの結果を確認します)。このカード番号と有効期限は、CVVが不要なすべてのWebショップで使用できます。

ただし、標準に従って、定期的なトランザクション(CVVはどこにも保存されない場合があります)を除いて、最初のトランザクションはCVVを持つ必要があるため、このようなトランザクションは論争を起こしやすいです。銀行は、その販売者とのCVV対応の初期取引があるかどうかを簡単に確認できます。 (マーチャントが今すぐ請求しないために、最初の承認トランザクションが後でキャンセルされた場合でも、それは最初のトランザクションとしてカウントされます)

また、VbV/3Dを使用しない場合、販売者も非常に頻繁にヒットします。

2:販売者が有効なオンライン接続を持っていない場合、チップの特別に高いセキュリティは使用できません。代わりに、「オフライントランザクション」が使用されます。カードリーダーは、スマートカードに対してPIN(または署名トランザクションを実行)を正しく検証し、静的な署名/承認コードを提供することを表明します。カードリーダーは本物のカードが使用されたことを確認する手段がないため、すべてのカードを拒否する必要があります(したがって、不正なカードを持っている人に商品が渡されることはありません)、または銀行はすべてのカードを受け入れる必要があります。不正なもの(したがって、正規のカード所有者は自分のカードの不正なコピーを使用して商品を入手し、それについて何も知らないと主張することはできません)。

つまり、チップカードのクローンを作成し、適切なPINとともに、または署名によって、オフライン端末で使用することが可能です。

これに対する主な防御策は、カードのオンライン検証を要求することです。通常、端末は、強制的にオンラインモードに入る前に、オフライントランザクションの数を許可するように設定されています(たとえば、オフライントランザクションの処理を拒否します)。この番号は、商人との合意に応じて、アクワイアラーによって設定されます。場合によっては、端末は電話認証を要求することができ、カードは商人によって行われた電話を介して「オンライン」で検証されます。カード発行会社は、カードの静的データ部分に特定のフラグとビットを設定してオンライン検証を要求することもできます。そうすると、接続のない端末はトランザクションの処理を拒否します。 (これは取引金額に応じて設定できますが、PIN、署名、またはカード所有者の確認が使用されていない場合は異なる場合があります)

端末が正しく設定されていない場合(EMV標準に準拠していない場合など)は、「オンラインのみ」のカードをオフライン処理に使用できます。 EMV規格に準拠する銀行は、処理時にマーチャントがオフライン取引を受け入れないように言われたため、そのような取引の処理を拒否する必要があります。

リンクされた記事は、この2番目の方法を参照しています。 「動的CVV値を検証しない」ということは、基本的に、銀行がフラグに基づいてオフライントランザクションを許可するか、カードのフラグがオンラインのみで使用できることを示している場合でもオフライントランザクションを処理して、トランザクションをオフラインで処理できることを意味します。

オフライントランザクションの場合、CVVは検証されないことに注意してください。magトランザクションの磁気ストライプCVVも検証されません。その理由は、上で概説したのと同じ理由です。カード所有者がカードのCVV値を変更したり、カードの偽造コピーを作成したりした場合、カード所有者は商品を購入して、偽造カードでの取引であると主張することができます。商品の代金を支払う必要はありません。

オフラインで行われた、無効なCVVまたは暗号文応答を伴うトランザクションは、応答の有効性に関係なく、カードのフラグがオフライントランザクションが許可されていることを示している場合、トラフになる必要があるのはそのためです。 (ただし、無効なCVVまたは暗号文の応答を使用して、将来の取引のためにカードを自動的にブロック*することができます)

*ここでも同じ:銀行は、特定の時間が経過するまで、カードが禁止されている場合(例:銀行のホットラインに電話してカードを紛失したことを伝えた場合)でも、オフラインで許可されたカードでオフラインで行われたトランザクションを処理する必要があります。カードが完全に禁止されるまでに経過する必要のある設定された時間の制限があります。これは、商人がブラックリストを更新する必要がある間隔です。そのため、カードを紛失したことを電話で伝えても、取引がアカウントに表示される場合があります。失われたカードのリストはすべてのオフライン端末に配布する必要があり、それらは6/12/24時間ごとに失われたカードのリストを再充電するだけかもしれません。

1
sebastian nielsen