לאחר EMV Shift, כרטיסי אשראי עדיין לא בטוח ככל האפשר

זה היה יותר משישה חודשים מאז הכללים סביב כרטיס אשראי הונאה השתנה, נהיגה מעבר מן הישן מגנטי כרטיסי אשראי פס לכרטיסים מוטבע עם שבבי EMV. אבל רק 20% מסופי כרטיס האשראי בארה"ב הופעלו לשימוש בשבבים עד אפריל 2016, על פי קבוצת הייעוץ מרקטור. ורק 60% מכלל כרטיסי האשראי עודכנה עם צ 'יפס.

עם זאת, ייתכן שעבר את התהליך החדש של דבק כרטיס שבב שלך בקורא, מחכה העסקה להיות מאומת, מקבל צפצף על ידי המכונה אם אתה משאיר את הכרטיס שלך יותר מדי זמן.

התהליך כבר קידם בכבדות כמו טיפול טוב יותר של הנתונים שלך. אבל זה כנראה לא בטוח כמו עסקת EMV יכול להיות. ויש שם בר נמוך למדי עד כמה מאובטח כל העסקה EMV יכול להיות. חלק מזה הוא גבולות הטכנולוגיה, וחלק הוא המציאות של ההתנהגות האנושית.

התנהגות הצרכן כנקודת דבק

כמה snags במעבר EMV כבר ציין נרחב. דבר אחד, עסקאות יכול להיות איטי. עבור אחר, אתה עדיין לאמת את הזהות שלך בצורה מיושנת, על ידי חתימת שמך - ועבור עסקאות קטנות יותר, אתה אפילו לא צריך לעשות את זה.

"העסקאות ייקח הרבה יותר זמן על נתיבי היציאה של חנויות הדורשים כרטיסי שבב להיות טבול הקוראים כרטיס שבב שלהם - לפחות בטווח הקצר, כמו סוחרים ללמוד להאיץ את התהליך", אומר בריאן קרבס, עיתונאי אבטחה מומחה בקרבס לביטחון. "כמו כן, קרוב לוודאי שיותר אנשים יעזבו את הקלפים שלהם בתוך המכונות ויגברו על הפסדי הבנקים, לפחות בטווח הקצר עד שהלקוחות יתרגלו למכשירים".

באירופה, הצרכנים כבר באמצעות כרטיסי אשראי סדוקה במשך שנים - עשורים, במקרים מסוימים. אבל עבור אבטחה נוספת, הקלפים מחייבים את מחזיקי הכרטיס להזין קוד PIN כדי לאמת את זהותם במהלך עסקה. אז למה לא אימצה ארה"ב מערכת שבבים ו- PIN, במקום שבב וחתימה? גורם מרכזי היה ההכרה של המנפיקים עד כמה קשה לכפות שינוי בהתנהגות הצרכנים.

"ארה"ב הצרכנים לא משמשים להזנת PIN עם עסקאות בכרטיסי אשראי ", אומרת ג'ולי קונרוי, מנהלת מחקר בקבוצת Aite במסצ'וסטס. "הרבה מנפיקים כי דיברתי נבחר שבב וחתימה כי לא מנפיק רצה להיות הנפקת קלפים אשר חוויית המשתמש לשים את זה בחסרון תחרותי. במילותיו של מנפיק אחד, הוראת הצרכנים לטבול במקום לסחוב היה מספיק לשנות; הם לא רצו להסתכן בכך שילמדו את הצרכנים לשנות שתי התנהגויות בו זמנית ".

ניסיון לעצור הונאות

למה לגרום לצרכנים בארה"ב לשנות משהו? הסיבה העיקרית היתה הונאה.

ב -2014, יותר מ -16 מיליארד דולר אובדו בהונאות של כרטיסי אשראי ברחבי העולם, על פי דו"ח נילסון, המכסה את תעשיית התשלומים. מההפסדים, 48% התרחשו בארה"ב. קל יותר לפרוץ את כרטיסי המגנטי-מגנטי המסורתיים, מכיוון שהמידע המאוחסן על הפס הוא סטטי או בלתי משתנה. להעתיק אותו פעם אחת, ואתה יכול לעשות כרטיס כפול. שבבי EMV, לעומת זאת, יוצרים קוד ייחודי עבור כל עסקה, ולכן המידע המועתק מעסקה אחת אינו ניתן לשימוש בקוד אחר.

"ארה"ב הצרכנים מוגנים במידה רבה מפני הונאות [העלות הישירה של כרטיס אשראי], הודות לסביבה הרגולטורית של ארה"ב ולערבות אפס שמספקת רשתות התשלום ", אומר קונרוי. המעבר ל- EMV, אם כן, הוא באמת יותר בהגנה על מנפיקי כרטיסי האשראי מפני הפסדי הונאה מאשר בהגנה על הצרכנים.

אוקטובר 2015 ראה את ההקדמה של כללים חדשים על אחריות הונאה בכרטיס אשראי. אם מתרחשת הונאה, לפי צד לא היה משתמש בטכנולוגיה EMV אחראי על ההפסדים. אם הכרטיס המדובר לא היה EMV סדוקה, האחריות היא על המנפיק. אם לסוחר לא היה קורא שבב EMV, אז הסוחר נושא באחריות. גם האחריות יכולה להיות משותפת.

PIN מציע הגנה מוגבלת בלבד

מה אינו גורם למשוואת ההתחייבות הוא האם כרטיס השבב מסתמך על קוד PIN או חתימה לאימות. והאמת היא כי רוב הונאה בכרטיס אשראי לא היה אפילו למנוע עם שבב ו- PIN.

"צ'יפ אנד פין מגן מפני הונאה שאבדה וגנובה - כלומר, אם מישהו גונב את הארנק שלך, הם לא יכולים בקלות לקחת את הקלפים שלך במסע קניות", אומר קונרוי. זה סוג של הונאה מזערי לעומת הונאה בכרטיס אשראי כללי, אומר קונרוי.

בנוסף, גנבים תמיד ימצאו דרך לעקוף את האבטחה. "ראינו, על פי הדוגמה של מדינות אחרות, כי פושעים הפכו להיות מיומנים למדי ללכוד את ה- PIN, בין אם באמצעות פיגועים, גלישת כתף או מצלמות נקודתיות", אומר קונרוי. מאחר שה- PIN אינו משתנה עם כל רכישה, קונרוי אמר כי "יש לו מגבלות מבחינת יכולתו להילחם ביעילות במרמה. כאשר U.K. הלך על שבב- and-PIN, אבוד ו-נגנב הונאה טבל בקצרה אבל בתוך כמה שנים היה ישר בחזרה את רמות ה- PIN מראש."

שבבים EMV גם אין תפקיד בעסקאות מקוונות, ולכן כרטיסי שבב הם פשוט פגיעים שם כמו כרטיסי מגנטי פס.

האם יש דרך בטוחה יותר?

קונרוי אומר שבב ו- PIN הוא במקרה הטוב תיקון לטווח קצר."באופן אידיאלי, אני רוצה לראות את קוד ה- PIN לקפיצת התעשייה ולעבור לצורות אחרות של אימות, כגון ביומטריה, אימות נייד וכו '", היא אומרת. "בתהליך זה, אנחנו צריכים גם לחסל את החתימה - זה יקר עבור הסוחרים לאחסן הוא חסר תועלת כמו שיטת אימות הלקוח כפי מיושם כיום."

קרבס מציע להשתמש "אסימונים" כדרך להילחם הונאה. עם tokenization, המחשבים של הסוחרים לא לאחסן נתונים כרטיס האשראי בכלל. במקום זאת, הם מאחסנים מספר מציין מיקום, או אסימון, שבו ניתן להשתמש כדי לאחזר נתונים מהמנפיק.

"טוקניזציה יכולה לסייע לסוחרים להימנע מאחסן נתוני כרטיס לכל אורך זמן ובתוך כך להפחית את הסבירות כי cybercrooks יכוון אותם עבור נתוני כרטיס", הוא אומר. Tokenization יפחית את האיום מפני הפרות נתונים, וזה איך רוב הצרכנים הופכים קורבנות של הונאה בכרטיס אשראי.

פתרונות ניידים יש מגבלות משלהם

תשלומים ניידים וארנקים דיגיטליים כגון Apple Pay עשויים לספק חלופה. אבל קונרוי אומר, "בעוד כמה יישומים ספציפיים הסוחר של תשלומים ניידים הם רואים הצלחה גדולה - סטארבקס, עבור אחד - אימוץ של לולאה לפתוח תשלומים ניידים - Apple Pay, אנדרואיד Pay - הוא זז הרבה יותר לאט."

גם קרבס רואה סיכון ביטחוני לתשלומים ניידים. "Apple Pay משתמשת בטכניקה של טוקניזציה, אך הבעיות בעבר עם Apple Pay נבעו מהליכי רישום ברשומות בבנקים ובהסתמכות על אלמנטים נתונים סטטיים [כגון מספרי ביטוח לאומי או תאריכי לידה] לאימות כאשר אלמנטים אלה נתונים נרחבים מתפשרת על כל האמריקנים ".

הדבר היחיד שישאר הנייד יהיה כנראה את הכרטיס בארנק שלך. "הצרכנים מרגישים מאוד בנוח עם קלפים", אומר קונרוי, "ושינוי התנהגות הצרכנים קשה, אז הקלפים יהיו איתנו עוד כמה זמן".

אלן קנון הוא סופר צוות ב Investmentmatome, אתר כספים אישי. דוא"ל: [email protected]. Twitter: @ellencannon.