כרטיס האשראי שלכם בעלי שבב המיישם תקן EMV? אם לא, כדאי שתמהרו להחליף!


1 דקות קריאה

כולנו, או לפחות רובנו, טיילנו בשנתיים - שלוש האחרונות בחו"ל ובפרט באירופה ובארה"ב,

מי שבחר לבצע תשלום באמצעות כרטיס האשראי שלו, נדרש היה להכניס את כרטיסו לתוך מכשירון / מוסופון ולהקיש את ה PIN קוד שלו (סיסמת הכספומט).

אז מה זו הטכנולוגיה הזו? האם מאובטחת? 

כרטיסי הצ'יפ מתפרשים במיליונים ברחבי ארה"ב, 

בתאוריה,

כרטיסי צ'יפ, הכוללים מיקרו-מעבד משובץ שמצפין את נתוני הכרטיס, הם חלופה בטוחה יותר לכרטיסי פס מגנטיים.

מקרים רבים של חשיפה ופרסום פרטים של כרטיסי אשראי ברשת האינטרנט חייב את חברות האשראי לבצע שינוי בנושא אבטחת כרטיסי האשראי.

ב 12 החודשים האחרונים נפגעו כ 60 מיליון כרטיסים בארה"ב, למרות שכ- 93% מהם היו מאופיינים בשבב המיישם את תקן EMV, אך אי שימוש נכון מצד הסוחרים, פירושו שמיליוני כרטיסי אשראי עדיין חשופים לסכנה.

תקן EMV מייצג את חברות האשראי העולמיות: Europay, MasterCard ו- Visa, זהו תקן עולמי עבור תאימות כרטיסי שבב עם מסופי נקודת מכירה (PoS) שהפך לברירת מחדל של ארבעת מנפיקי כרטיסי האשראי הגדולים בארה"ב - ויזה, מאסטרקארד, אמריקן אקספרס ודיסקובר.

בשנת 2015 ארבעת חברות האשראי בארה"ב החליטו לחייב את הסוחרים לשדרג ולהחליף למערכת תשלומים מסוג EMV, פרט לתחנות הדלק, אשר עד 2020 יהיו חייבים לבצע את המעבר (בגלל ההוצאות הקשורות בהחלפת משאבות גז).

בינתיים מה במציאות?

המציאות היא נגדית, 

על פי מחקר של חברת Gemini המבוסס על נתוני טלמטריה שנאספו ממקורות שונים של Dark-Web, היא ש -60 מיליון כרטיסי ארה"ב נפגעו במהלך 12 החודשים האחרונים. מתוכם, 93 אחוזים היו בעלי שבב המיישם את תקן ה EMV.

כמו כן, 75 אחוזים, או 45.8 מיליון דולר, היו רשומות שנגנבו כעסקאות אדם ("כרטיס מתנה" בתעשיית הענף). הסכנה ברובה בגלל תוכנות ריגול של תוכנות זדוניות בנקודת מכירה (POS) במפעלים כמו קמעונאים, בתי מלון ומסעדות, שכמותם ממשיכה לכותרות שאנו שומעים. 

תוצאות נוספות מראות כי ארה"ב מובילה את שאר העולם בסכום הכולל של כרטיסי תשלום EMV שנפרצו , כ 37.3 מיליון רשומות.

ב -12 החודשים האחרונים נרשמו למכירה ב Dark-Web (כ -15.9 מיליון כרטיסי תשלום לא-אמריקאים שנפרצו, בין 11.3 מיליון כרטיסים לא-מקוונים (כיום) לבין 4.6 מיליון רשומות של כרטיסים, מתוכם 4.3 מיליון בעלי שבב המיישם את תקן ה EMV . משמעות הדבר היא כי רמת הגניבה של נתונים כרטיס מאופשר EMV בארה"ב הוא גבוה יותר ב 87 אחוז מאשר שאר העולם יחד.

אז מדוע לא עוברים לעבוד עם השבב בעלי התקן EMV?

הסיבה לעובדה זו, לדברי חברת Gemini, היא היעדר תאימות של סוחרים בארה"ב - יותר מדי מהם עדיין משתמשים בפונקציה של פס מגנטי במסופי PoS.

"ישנם מקומות רבים של סוחרים שעדיין מבקשים מהלקוחות שלהם להחליק (להעביר בפס המגנטי) במקום להשתמש בשיטת הכנסת השבבים (EMV), ובכך מזניחים לחלוטין את תכונות האבטחה של EMV", הסבירה חברת  Gemini בדו"ח. "במקרים מסוימים, קמעונאים מתנגדים לטכנולוגיה החדשה, ה EMV, בגלל העלות הגבוהה הטבועה של הציוד. כדי לשדרג באופן מלא את החומרה והתוכנה של מסוף קופה, תג מחיר יכול להגיע לכמה אלפי דולרים, אשר לעתים קרובות מהווה נטל עבור עסקים קטנים עד בינוניים, ומשאיר אותם חשופים להונאת כרטיסי אשראי.

קבוצות איומי מוטיבציה פיננסית כמו כנופיית FIN7, הידועים לשמצה, נוטים להתמקד על רשתות סוחרים, למצוא את דרכם אל מסופי קופה ופריסה של תוכנות זדוניות של קופה. לאחר שהתוכנה הזדונית מזהה נתוני רשומה של כרטיס אשראי, היא מועתקת, מקודדת ולאחר מכן מועברת לבסוף לשרת פקודה ושליטה.

לדברי חברת  Gemini, מסלול נוסף לגניבת הנתונים הינו באמצעות שיטה ידנית יותר על ידי קבוצות skimmer, המשתמשים בחומרה מותאמת אישית בשם "shimmers" כדי להקליט ולהפיץ נתונים כספומטים ומערכות קופה. Shimmers "יושב" בין השבב על הכרטיס ובין קורא השבב של הכספומט או של נקודת המכירה במכשיר, מקליט את נתונים השבב כפי שנקרא על ידי המכונה הבסיסית.

אם פונקציות EMV אינן נפרסות במלואן, המסלול 1 ומסלול 2 נתוני אשראי יכולים להיגנב בקלות בעת העסקה.

אז מי צריך לחשוש יותר? ואיפה מבחינתנו מסוכן יותר לרכוש?

בעוד שרוב הסוחרים הגדולים בארה"ב עברו באופן מלא לעבוד עם תקן ה EMV, מסופי משאבות הגז ועסקים קטנים / בינוניים מהווים כמטרות העיקריות של פושעים מקוונים.

חברת  Gemini צופה, כי קבוצות איום המונעות על-ידי פיננסים, ימקדו את המשאבים שלהן לתקיפת עסקים קטנים עד בינוניים עם 10-50 מקומות, מאחר שלעסקים כאלה יש סיכוי נמוך יותר ליישם באופן מלא את המעבר לתקן ה EMV.

סרטון קצרצר המסביר על תקן ה EMV בכרטיסי האשראי בעלי השבב:



מקורות:

https://threatpost.com/u-s-chip-cards-are-being-compromised-in-the-millions/139028/


הערות
* כתובת הדואר האלקטרוני לא תוצג באתר.