После EMV Shift кредитные карты по-прежнему не настолько безопасны, насколько это возможно

Прошло более шести месяцев с тех пор, как изменились правила, связанные с мошенничеством с кредитными картами, что привело к переходу от старых кредитных карт с магнитной полосой к картам, встроенным в чипы EMV. Но только 20% терминалов кредитных карт в США были активированы для использования чипов до апреля 2016 года, согласно Консультативной группе Mercator. И только 60% всех кредитных карт были обновлены чипами.

Тем не менее, вы, возможно, прошли новый процесс прикрепления своей чип-карты к читателю, ожидая подтверждения транзакции и получения звукового сигнала от машины, если вы оставите свою карту слишком долго.

Этот процесс в значительной степени продвигается, поскольку мы лучше заботимся о ваших данных. Но это, вероятно, не так безопасно, как транзакция EMV. И есть довольно низкий бар для того, насколько безопасный любой EMV транзакция может быть. Часть этого является пределом технологии, а часть - реалиями человеческого поведения.

Поведение потребителей как точка прилипания

Широко отмечены некоторые коряги в процессе EMV. С одной стороны, транзакции могут быть медленными. С другой стороны, вы по-прежнему проверяете свою личность старомодным способом, подписывая свое имя, и для небольших транзакций вам даже не нужно этого делать.

«Транзакции пройдут значительно дольше на контрольных дорожках магазинов, в которых чип-карты будут погружены в считыватели чип-карт - по крайней мере, на короткий срок, поскольку торговцы учатся ускорять процесс», - говорит Брайан Кребс, журналист и безопасность эксперт в Krebs on Security. «Кроме того, вероятно, еще много людей будут оставлять свои карты внутри машин и увеличивать потерянные и украденные потери [карты] для банков, по крайней мере, в ближайшей перспективе, пока потребители не привыкнут к устройствам».

В Европе потребители в течение нескольких десятилетий используют чиппированные кредитные карты. Но для дополнительной безопасности карты требуют, чтобы владельцы карт вводили ПИН-код, чтобы проверить их личность во время транзакции. Так почему же США не взяли чип-и-PIN-систему вместо чип-и-подписи? Основным фактором было признание эмитентами того, как трудно заставить изменить поведение потребителей.

"НАС. потребители не используют для ввода PIN-кода с транзакциями по кредитным картам », - говорит Джули Конрой, директор по исследованиям в Aite Group в Массачусетсе. «Многие эмитенты, с которыми я разговаривал, выбрали чип и подпись, потому что ни один эмитент не хотел выпускать карты, чей пользовательский опыт поставил его в невыгодное конкурентное преимущество. По словам одного из эмитентов, обучению потребителей окунанию вместо салфетки было достаточно изменений; они не хотели рисковать, чтобы научить потребителей менять два поведения одновременно ».

Попытка остановить мошенничество

Почему потребители США меняют что-нибудь? Основной причиной было мошенничество.

В 2014 году было потеряно более 16 миллиардов долларов во всемирном мошенничестве с кредитными картами, говорится в отчете The Nilson Report, который охватывает отрасль платежей. Из потерь 48% произошло в США. Традиционные карты с магнитной полосой легче взломать, поскольку информация, хранящаяся на полосе, является статичной или неизменной. Скопируйте его один раз, и вы можете сделать дубликат карты. Однако EMV-чипы генерируют уникальный код для каждой транзакции, поэтому информация, скопированная из одной транзакции, не может использоваться в другой.

"НАС. потребители в значительной степени защищены от мошенничества [прямой стоимости кредитной карты], благодаря регулирующей среде США и гарантированной с нулевой гарантией, которую предоставляют платежные сети », - говорит Конрой. Таким образом, переход на EMV в большей степени связан с защитой эмитентов кредитных карт от потерь от мошенничества, чем защита потребителей.

В октябре 2015 года были введены новые правила об ответственности за мошенничество с кредитными картами. Если происходит мошенничество, какая бы сторона не использовала технологию EMV, она несет ответственность за потери. Если рассматриваемая карта не была скопирована на EMV, ответственность лежит на эмитенте. Если у торговца не было считывателя микросхем EMV, то торговец несет ответственность. Ответственность также может быть разделена.

PIN-код предлагает только ограниченную защиту

Что не влияет на уравнение ответственности, является ли чип-карта полагаться на ПИН или подпись для проверки. И правда в том, что большинство мошенничества с кредитными картами даже не будет предотвращено с помощью чипа и PIN-кода.

«Чип-и-ПИН защищает от утерянного и украденного мошенничества, т. Е. Если кто-то крадет ваш кошелек, они не могут легко взять ваши карты в шоппинг-бум», - говорит Конрой. Конвой говорит, что этот тип мошенничества является незначительным по сравнению с общим мошенничеством с кредитными картами.

Кроме того, воры всегда найдут способ защитить себя. «Мы видели, на примере других стран, что преступники получили достаточную уверенность в том, что захватили ПИН, либо посредством атак на скрайбирование, либо на плечо, либо на точечные камеры», - говорит Конрой. Поскольку PIN-код не изменяется при каждой покупке, Конрой сказал, что «имеет свои пределы в плане своей способности эффективно бороться с мошенничеством. Когда U.K отправился на чип-код и PIN-код, потерянное и украденное мошенничество быстро опустилось, но через несколько лет вернулось к уровням предварительного PIN-кода ».

Фишки EMV также не играют никакой роли в онлайн-транзакциях, поэтому чип-карты так же уязвимы, как карты с магнитной полосой.

Есть ли более безопасный способ?

Конрой говорит, что чип-и-PIN-код в лучшем случае является краткосрочным решением.«В идеале, я бы хотел увидеть PIN-код отрасли и перейти к другим формам проверки, таким как биометрия, мобильная проверка и т. Д.», - говорит она. «В этом процессе мы также должны отказаться от подписи - это дорогостоящее для продавцов, которые хранят и бесполезны в качестве метода аутентификации клиентов, как в настоящее время реализовано».

Кребс предлагает использовать «токены» в качестве способа борьбы с мошенничеством. При использовании токенизации компьютеры продавцов вообще не хранят данные кредитной карты. Вместо этого они хранят номер-заполнитель или токен, который может использоваться для извлечения данных от эмитента.

«Токенизация может помочь продавцам избежать хранения данных карты в течение какого-то времени и в процессе уменьшить вероятность того, что киберкроусы будут нацелены на них для карточных данных», - говорит он. Токенизация уменьшит угрозу от нарушений данных, а именно то, как большинство потребителей становятся жертвами мошенничества с кредитными картами.

У мобильных решений есть свои ограничения

Мобильные платежи и цифровые кошельки, такие как Apple Pay, могут стать альтернативой. Но Конрой говорит: «В то время как некоторые коммерческие реализации мобильных платежей видят большой успех - Starbucks, для одного - принятие мобильных платежей с открытым контуром - Apple Pay, Android Pay - продвигается намного медленнее».

Кребс также видит угрозу безопасности для мобильных платежей. «Apple Pay использует форму токенизации, но проблемы в прошлом с Apple Pay вызваны слабыми процедурами регистрации в банках и зависимостью от статических элементов данных [таких как номера социального страхования или даты рождения] для аутентификации, когда эти элементы данных широко распространены скомпрометированы и проданы практически для всех американцев ».

Единственное, что останется мобильным, скорее всего, будет в вашей кошельке. «Потребители очень комфортно взаимодействуют с карточками, - говорит Конрой, - и изменить поведение потребителей сложно, поэтому карты будут с нами в течение некоторого времени».

Эллен Кэннон является штатным писателем в Investmentmatome, личном финансовом сайте. Электронная почта: [email protected]. Twitter: @ellencannon.