Банковские карты (кредитки) быстрыми темпами переходят на новый технологический уровень. Взамен изделий с магнитной защитной полосой появились карты с чипом. Они произвели мини-революцию в мире платежных систем и позволили выйти на новый уровень контроля доступа к памяти кредиток.
Небольшой чип, встроенный в изделия с левой стороны, гарантирует безопасность финансовых операций и расширяет область применения.
Об особенностях таких карты готовы рассказать сотрудники Бробанк.ру.
Идея внедрения микросхем
Разобраться в том, какую пользу приносят банковские карты с чипом банкам, сервисным и торговым предприятиям и обычным пользователям, поможет экскурс в историю технологии. В 1999 году платежные системы Mastercard, Europay и Visa объединились для создания компании под названием EMVCo (по первым буквам предприятий-основателей). Основной целью новой фирмы стало развитие и обслуживание чиповой технологии.
До появления чипов EMV стандартом банковской отрасли были кредитки с магнитной лентой. Они имели свои слабые места, поэтому мошенники легко научились копировать данные с магнитных полос с помощью «скиммеров» — специальных устройств для считывания информации. Полученные обманным путем данные помогали им производить подделки.
В отличие от магнитной, чиповая технология EMV практически не поддается взлому.
Микросхемы надежно защищены от несанкционированного доступа и действий мошенников. Другой их важный аспект — применение динамических данных. Для транзакций необходим ввод уникального кода, который крайне сложно рассчитать без использования оригинальной карты.
Спустя два десятилетия чипование все еще считается наиболее надежным. Компания EMV лидирует в области безопасности платежных систем, а внедренная с ее помощью инновация стала стандартом банковской отрасли.
Разработаны контактные и бесконтактные модели кредиток. В первом случае финансовые операции осуществляются с помощью платежных терминалов, которые считывают информацию с чипов. При этом требуется введение пин-кода.
Во втором случае карту достаточно поднести к специальному устройству, которое считает информацию. Вводить код и ставить роспись на чеке не нужно, если сумма покупки меньше 1000 рублей (в России). Для обеспечения безопасности бесконтактных карт (например, Visa payWave) и осуществления транзакций через опцию NFC в телефонах применяют принцип использования динамических данных. Современные бесконтактные карты с чипом взаимодействуют с терминалами посредством зашифрованного радиосигнала. Его распространяет встроенная в чип миниатюрная антенна.
Чиповая технология EMV практически не поддается взлому, что делает ее достойной внимания
Переход на чипированные карты позволяет противостоять мошенникам и обеспечивает безопасность трансакций для участников платежной индустрии. Современные банки активно используют ее в своей деятельности.
Устройство чипованной карты
Любая банковская кредитная карта имеет стандартные размеры 85,6×53,98 мм. Фоновый рисунок подбирает финансовое учреждение.
В некоторых банках его можно выбрать самостоятельно, заказав карту со своим фото или любимым изображением.
Главное при этом — не нарушать ничьи авторские права. В номере может быть от 13 до 19 цифр.
Наиболее распространенный вариант — комбинация из 16 цифр.
Дополнительно на пластике указывают логотип платежной системы, эмитента и компании партнера.
Описание основных элементов, без которых карта не может использоваться
Кроме номера, основными элементами являются:
- Наименование банка-эмитента. Карта является его собственностью и выдается клиентам (держателям)
- Срок действия. У каждой кредитки свое время работы (от 1 до 5 лет). Дата его окончания указана на лицевой стороне изделия. Например, данные 12/2020 означают, что она действительно до 31 декабря 2020 года включительно.
- Имя держателя. Указано на именной карте, по нему легче найти адресата, если она утеряна. Кроме того, изделия бывают неименные.
- Электронный чип на банковской карте. Встроенный микропроцессор с информацией о держателе. Позволяет идентифицировать клиента во время пользования банкоматами, платежными системами. На картах, которые используются для дистанционной оплаты, два контакта уходят к антенне. Чип в этом случае работает, как билеты в метро, на частоте 13,56 МГц, и на ней же получает питание. Поверхность микросхемы защищена от взлома металлизацией.
- Магнитная полоса. Аналогично чипу содержит информацию о держателе. Большинство современных терминалов считывает информацию именно с микросхем. Однако банки перестраховываются и оставляют магнитную ленту, поскольку еще не все терминалы способны работать с чипами. Карты только с магнитной полосой выпускали до 2015 года, в настоящее время они практически вышли из обихода.
- Голограмма. Располагается на лицевой или задней поверхности изделия, выглядит как объемное трехмерное изображение, на котором в зависимости от наклона проявляется рисунок. Является одним из способов защиты от подделок.
- Код проверки подлинности. Позволяет совершать безопасные онлайн-покупки.
- Полоса для подписи. Расписаться на ней следует при получении изделия, поскольку без этого оно недействительно. Есть чипованные модели, лишенные полосы.
- Данные банка. Представленная информация — номер телефона и адрес банковского учреждения. Информацию следует переписать и хранить в доступном месте. Зачем это нужно? Контакты позволят обратиться в финансовую организацию с целью блокировки карты в случае ее утери или кражи.
Пластик с чипом и магнитом
Карта с чипом — пластиковый образец, в котором информация о держателе вшита в микросхему. Карта без чипа — пластиковая модель, где данные о держателе записаны на магнитную ленту. Разница между ними состоит в обеспечении безопасности данных. Чип позволяет хранить не только банковскую информацию. Пластиковые образцы дополнительно могут быть транспортными (для оплаты билетов), топливными, идентификационными с удостоверением личности, бонусными, медицинской страховкой и другими.
Смысл использования чипованных карт есть в ситуациях, когда по ним предполагаются те или иные финансовые операции. Если они нужны только для погашения кредита (утром деньги положены клиентом на кредитку, а вечером списаны финансовым учреждением), смысла в чипе нет. В 99% случаях средства на таких картах не задерживаются. Если же мошеннические действия фиксируются, то они проходят на оборудовании родного банка, и ответственность за махинации ложится на финансовое учреждение. Клиент в этом случае полностью защищен.
Когда карта активно используется для расчетов, чип отвечает за ее информационную безопасность. Его подделать невозможно, как и считать информацию, что гарантирует сохранность финансов держателя. Распространенность устройств для считывания информации с чипированных карт в России — 70%.
Карта с чипом — информация о держателе вшита в микросхему. Карта без чипа — данные о держателе записаны на магнитную ленту
Как только она достигнет 100%, необходимость в выпуске комбинированных карт (с чипом и магнитной лентой) отпадет. Подобный переходный вариант также ненадежен и может стать объектом внимания мошенников.
Преимущества чипования
Карты с микропроцессором — настоящее и будущее банковской платежной системы. Они просты в применении и доступны держателям. Чипы существенно дороже магнитных аналогов, однако при тиражировании крупными партиями этот недостаток нивелируется. Потребителей он и вовсе не касается, для них кредитки дороже не станут. Можно сказать, банки платят за безопасность своих средств и поддержание репутации.
Основные преимущества чипированной карты:
- повышенная безопасность при проведении платежей;
- множество точек обслуживания;
- защита от мошенников;
- долговечность (пластик с чипом служит 5 лет, с магнитной лентой — 2 года);
- простота использования;
- обмен данными с банками в отложенном режиме, что позволяет оплачивать товары в магазине при отсутствии связи с банком или неработоспособности серверов;
- возможность выбрать вариант погашения кредита;
- применение по всему миру.
Из недостатков пластиковых образцов с чипом можно выделить медлительность транзакции («общения» микропроцессора с аппаратурой pos-терминала или банкомата). Однако с развитием технологий время операций постоянно сокращается.
Выпуская чипованные карты, банки платят за безопасность своих средств и поддержание репутации
Способ получить в пользование
Чтобы оформить бесконтактную или контактную кредитку с чипом, следует обратиться отделение банка, к которому есть доверие. При себе следует иметь паспорт, СНИЛС и мобильный телефон, на который придет смс с подтверждением кода. Привязать карточку можно к клиент-банку, что упрощает проведение обязательных платежей. Открыть ее также несложно с помощью интернета или в личном онлайн-кабинете банка (если он есть).
Оформление именных карт проходит по предварительной заявке с последующим рассмотрением. Об условиях их получения следует интересоваться в каждом банке. Обычно выпуск является бесплатным, однако в случае перевыпуска по причине утраты придется заплатить не менее 300 рублей. Стоимость годового обслуживания также зависят от вида кредитки. Классическая именная модель может быть бесплатной или обходится не более 750 руб в год. За облуживание образцов «Платинум» и «Голд» ежегодно приходится платить 3−5 тыс. руб.
С позиции платежных систем карты с микрочипами несут в себе только плюсы. Они гарантируют безопасность финансовых транзакций, обеспечивают возможность их бесконтактного проведения.
Комментарии: 0
Источник
На самом деле чип на карте — это полноценный микрокомпьютер, и порй весьма сложный.
Я как-то уже писал об этом кратенько, когда говорил, что на карте даже установлена своя собственная операционная система. А сегодня поговорим о том, какие устройства и возможности есть на чипе банковской (и не только) карты.
Ну, без центрального процессора никакой компьютер работать не сможет. Поэтому это устройство идет первым пунктом. Кстати, на всякий случай объясню, что эта многоножка делает вообще. Самое сердце микропроцессора — его Арифметико-Логическое Устройство (АЛУ). Точнее, не сердце, а его «думалка». Другой орган, может и поважнее сердца. Именно этим местом процессор выполняет конкретную операцию над числами (операндами). А какую именно операцию — определяется по текущей команде программы. Процессор этим своим АЛУ умеет выполнять строго ограниченный набор операций. «Строго ограниченный» — не значит «маленький», а значит «ничего другого сверх того, что есть в этом наборе». И именно этим разнообразием (в некоторых случаях весьма большим) команд и обеспечивается универсальность микропроцессорного устройства. До изобретения процессора устройства могли выполнять только строго заданную операцию (пусть даже и весьма сложную). А с появлением процессора возникла возможность на одном и том же устройстве выполнять разные операции, да еще и определяемые без изменения структуры устройства, одним написанием программы.
Так, прошу прощения за графоманские спазмы, дальше постараюсь их избегать.
Микрочип пластиковой карты содержит микропроцессор разрядностью 8, 16, или уже даже 32 разряда. Т.е., как мы видим, вполне серьезная такая штука. Обычно это RISC-процессоры, которые зарекомендовали себя как устройства с более прогнозируемым временем выполнения разных команд (тот самый «строго ограниченный набор операций»). Все потому, что каждая команда выполняется за один такт процессора. Противоположный подход, с большим набором команд, выполняющихся за разное количество тактов — в архитекутре CISC.
Частоты, на которых работают микропроцессоры карт, лежат в диапазоне 1-33 МГц, но у рекордсменов показатели достигают 66 МГц при разрядности в 32 бита. А может быть, сейчас уже и выше.
Кстати говоря, чиповые карты называются «микропроцессорными», хотя термин этот не совсем точен. Дело в том, что на самом деле чип карты представляет собой, скорее, микроконтроллер, или даже более того — SoC (System-On-Chip), целую систему. Тогда как микропроцессор — это просто главный узел микроконтроллера (или системы на чипе). Говорю это потому, что в чипе карты присутствует еще весьма большое количество других устройств. Переходим к ним.
На чипе карты размещена еще память, причем целых три вида. Это ROM (память только для чтения), RAM (оперативная память, на чтение и запись) и EEPROM (электрически перепрограммируемая память, энергнонезависимая; для простоты — что-то вроде флэшки, но не флэш, там немного другая технология).
Прежде, чем рассказать о емкости этой памяти, нужно небольшое отстутпление. Как вы знаете, все элементы микрочипа «наносятся» на поверхность кристалла кремния. При этом они занимают какую-то площадь на нем. Чем сложнее устройство, которое мы формируем на кристалле, тем больше необходимая площадь кристалла (при одной и той же технологии ненасения). Так вот, меньше всего места требует ROM. Связано это с его простым устройством. При записи («прошивании») ROM там фактически просто пережигаются «перемычки» с помощью повышенного тока. Назад уже никак, на то оно и read-only. Но и от питания или его отсутствия состояние перемычек уже никак не зависит.
Примерно в 4 раза больше места на чипе занимает 1 бит памяти EEPROM. Дополнительное место уходит на то, чтобы добавить структуры управления ячейкой памяти. Содержимое этой памяти не зависит от наличия питания.
И максимальное место, в 16 раз (!) больше, занимает RAM. Все потому, что реализуется ячейка такой памяти с помощью триггеров, а это такие устройства, для которых надо использовать несколько транзисторов (плюс пассивные элементы), что и требует соответствующего места.
Так вот, размер ROM обычно 16-196 Кб, хотя есть карты с размером ROM более 256 Кб. В эту память прошивается операционная система и системные приложения.
RAM вмещает обычно от 256 байтов до 4 Кб. Для Java-карт размер обычно лежит в пределах от 4 до 8 Кб, хотя на рынке есть предложения до 16Кб. Небольшая, правда? Здесь хранятся переменные программы, буферы и проч. С отключением питания эта память превращается в тыкву.
EEPROM обычно вмещает от 2 до 72 Кб, но известны карты с размером до 1 Мб. Прям почти целая флэшка в бумажнике. Чем хороша эта память — при отключении питания она все сохраняет. Здесь хранятся ключи, журналы, настройки, да и вообще любые файлы.
На чипе может быть криптосопроцессор. Это, с одной стороны, более «тупое» устройство, которое умеет намного меньше, чем центральный процессор. Но зато он умеет это делать намного лучше! Дело в том, что криптографические операции — весьма ресурсоемкая задача. Особенно, если речь идет об асимметричной криптографии. При той же криптостойкости вычисления для асимметричной криптографии занимают на два порядка (в 100 раз!) больше времени. А это уже весьма заметно. Например, шифрование открытым ключом на центральном 8-разрядном процессоре пластиковой карты может занять 10-20 секунд (!), в то время как нормальный криптосопроцессор выполняет эту операцию за пару десятков милисекунд. С учетом того, что полное время обработки транзакции не должно превышать 3 секунды, вариант с центральным процессором отпадает. Поэтому для карт без криптосопроцессора некоторые виды аутентификации просто недоступны. Как итог — транзакция проходит с гораздо меньшим уровнем безопасности (SDA-аутентификация). Вроде бы зачем тогда такие чипы? А дело в том, что криптосопроцессор заметно удорожает чип, а учитывая то, что карточный бизнес для банка в основном убыточен, криптосопроцессоры встречаются уже не в самых дешевых картах, все-таки не Visa Electron, а что-то посерьезнее.
Из более-менее экзотических устройств, пожалуй, упомним еще генератор случайных чисел. Дело в том, что в криптографических вычислениях широко применяются случайгые числа. От генерации ключей до добавления случайного числа в подписываемый запрос. Но тут есть нюанс. В обычных компьютерах специального устройства, которое было бы источником случайных чисел, нет. В них используется генератор псевдослучайных чисел. Для формирования числа используется разнообразная информация, преимущественно — текущие показания (в микро-тиках) часов реального времени. Но числа, которые генерирует этот генератор, не являются абсолютно случайными, и в таких чувствительных вещах, как криптографические вычисления, их использовать недопустимо. Кстати, вспомнил, что одна преступная группировка разработала способ обыгрывать игровые автоматы, потому что в них использовался генератор псевдослучайных чисел. Там какой-то непростой такой алгоритм был… Интересная схема, где игрок через телефон (специально разработанное приложение) фиксировал время реакции программы в какой-то момент времени, это значение сообщники использовали для расчетов ставки… Собственно, главное, что из этого следует — если есть «псевдо» в случайности, то безопасность резко снижается. Поэтому на карте может быть специальное устройство, которое генерирует по-настоящему случайное значение.
Для взаимодействия с внешним миром на чипе есть еще такая штука — UART, асинхронный приемо-передатчик. Именно его лапки выведены на контактные площадки карты. У карты ведь нет ни монитора, ни терминала, а взаимодейтсвовать с внешним миром ей как-то надо. Вот этим и занимается это устройство.
Кроме него на карте может быть еще…. Та-дам!… USB-интерфейс!
Если на карте не шесть площадок, а восемь, то с большой вероятностью нижние две, которые в стандарте обозначены как «зарезервированные для будущего применения», подразумевают подключение по USB v1.1 (до 12 МБит/с, на всякий случай).
Ну и чтобы все эти устройства на чипе могли между собой взаимодействовать, там есть еще всякие контроллеры типа контроллер доступа к памяти, контроллер магистральной шины, тактовый генератор (до какого-то момента, кстати, тактового генератора на картах не было, использовался сигнал тактирования, подаваемый терминалом) и много других служебных устройств.
Как видите, весьма непростой кусочек кремния лежит в вашем кошельке.
Подписывайтесь на канал «Технологии Денег» в Яндекс.Дзен и Телеграм! У меня много интересного материала!
Источник
Банковские карты с чипом разработаны так, чтобы не было смысла клонировать их с помощью скиммеров или вредоносных программ, когда вы расплачиваетесь, используя чип карты, а не магнитную полосу. Однако несколько недавних атак на американские магазины показывают, что воры эксплуатируют слабые места реализации этой технологии некоторыми из финансовых организаций. Это позволяет им обходить чип карточки и, по сути, создавать пригодные для использования подделки.
Традиционно пластиковые карты кодируют данные счёта владельца прямым текстом на магнитной полоске. Скиммеры или вредоносное ПО, скрытно установленные в терминалы для оплаты, могут считать с неё данные и записать их. Затем эти данные можно закодировать на любую другую карточку с магнитной полосой и использовать для мошеннических финансовых операций.
В более современных картах используется технология EMV (Europay + MasterCard + Visa), шифрующая данные учётной записи, хранящиеся на чипе. Благодаря этой технологии каждый раз, когда карта взаимодействует с терминалом, поддерживающим чипы, генерируется единовременный уникальный ключ, который называют токеном или криптограммой.
Практически на всех картах с чипом хранятся те же самые данные, что закодированы на магнитной полосе карточки. Это сделано для обратной совместимости, поскольку очень многие продавцы в США до сих пор не перешли на терминалы с поддержкой чипов. Эта двойная функциональность также позволяет владельцам карт использовать магнитную полосу, если чип карты или терминал продавца работают неправильно.
Однако между данными, хранящимися на чипе EMV, и данными на магнитной полосе, существует несколько отличий. Одно из них – это компонент чипа под названием «код проверки карты с интегральной микросхемой», или iCVV, который также иногда называют «динамическим CVV».
iCVV отличается от кода подтверждения карты CVV, хранящегося на магнитной ленте, и защищает от копирования данных с чипа и их использования для создания поддельных карт с магнитной полосой. И iCVV, и CVV не связаны с тем трёхзначным цифровым кодом, который напечатан на обратной стороне карточки, и который обычно используется для оплаты в интернет-магазинах или подтверждения карты по телефону.
Плюс подхода EMV в том, что даже если скиммер или вирус перехватывает информацию о транзакции с картой, эти данные будут действительными только для этой транзакции, и в будущем уже не должны позволить ворам проводить мошеннические платежи.
Однако, чтобы вся эта система безопасности работала, бэкенд-системы, развёрнутые финансовыми организациями, выпускающими карты, должны проверять, что в случае, когда карта вставлена в терминал, вместе с данными выдаётся только iCVV, и наоборот, что при оплате магнитной полосой выдаётся только CVV. Если эти данные не совпадают с выбранным типом транзакции, финансовая организация должна эту транзакцию отклонить.
Проблема в том, что не все организации правильно настроили свои системы. Неудивительно, что воры знают об этих слабых местах уже много лет. В 2017 году я писал об увеличении процента использования «шиммеров» – высокотехнологичных скиммеров, перехватывающих данные с транзакций, сделанных при помощи чипа.
Шиммер, обнаруженный в канадском банкомате
Недавно исследователи из Cyber R&D Labs опубликовали результаты исследования, в котором они тестировали 11 видов реализации чипа на картах от 10 различных банков Европы и США. Они обнаружили, что могут снимать данные с четырёх из них, после чего создавать клонированные карты с магнитной полосой, и успешно использовать их для платежей.
Есть все основания полагать, что метод, подробно описанный Cyber R&D Labs, используется вредоносными программами, устанавливаемыми в терминалы магазинов. Программы перехватывают данные транзакций с EMV, которые затем можно перепродавать и использовать для изготовления копий карт с чипом, но использующих магнитную полосу.
В июле 2020 крупнейшая платёжная сеть в мире Visa выпустила предупреждение об угрозах в безопасности, касающихся терминалов скомпрометированного недавно продавца. В их терминалах вредоносные программы были исправлены так, чтобы работать с картами с чипом.
«Реализация безопасных технологий платежей типа EMV Chip значительно уменьшила пользу от платёжных данных учётной записи для третьих лиц, поскольку в эти данные входят только номер личного счёта PAN, код проверки карты iCVV и дата окончания действия данных, — писала Visa. – Поэтому при правильном подтверждении iCVV риск изготовления подделки был минимальным. Кроме того, многие продавцы использовали терминалы с шифрованием данных P2PE, шифрующие PAN, что ещё сильнее уменьшает риск проведения платежей».
Название продавца упомянуто не было, однако нечто похожее, судя по всему, случилось в сети супермаркетов Key Food Stores Co-Operative Inc., находящихся на северо-востоке США. Изначально Key Food раскрыла подробности о взломе карт в марте 2020, но в июле 2020 обновила заявление, уточняя, что данные по транзакциям EMV также были перехвачены.
«Терминалы в магазинах поддерживали EMV, — поясняет Key Food. – По нашему мнению, вредоносные программы во время транзакций на этих точках могли перехватить только номер карты и срок окончания её действия (не имя владельца и не внутренний код подтверждения)».
Технически, заявление Key Food можно считать правильным, однако оно приукрашивает реальность – украденные данные EMV всё равно можно использовать для создания вариантов карточек с магнитной полосой, которые затем можно использовать на тех кассах, где установлены терминалы с вредоносным ПО, когда выпускавший карту банк не реализовал защиту EMV корректно.
В июле компания Gemini Advisory, специализирующаяся на защите от мошенников, опубликовала запись в блоге, где подробно описала произошедшие в последнее время взломы продавцов – включая и Key Food – в результате которых были украдены данные по EMV-транзакциям, которые затем появились в продаже в нелегальных магазинах для кардеров.
«Платёжные карты, украденные во время этого инцидента, предлагались к продаже в дарквебе, — поясняют в Gemini. – Вскоре после обнаружения этого инцидента несколько финансовых учреждений подтвердили, что все участвовавшие в нём карты обрабатывались через EMV, не полагаясь на магнитную полосу в качестве резервного метода».
В Gemini говорят, что подтвердили, что ещё один инцидент с безопасностью, произошедший в алкогольном магазине штата Джорджия, также привёл к компрометации данных по EMV-транзакциям, в результате чего позднее они появились в дарквебе на сайтах, продающих краденные карточки. Как отметили Gemini и Visa, в обоих случаях правильное подтверждение данных iCVV от банков должно было сделать эти данные бесполезными для мошенников.
В Gemini определили, что само количество пострадавших магазинов говорит о том, что очень маловероятно, чтобы воры перехватывали EMV-данные посредством вручную установленных EMV-шиммеров.
«Учитывая непрактичность подобной тактики, можно заключить, что они использовали другую технику для проникновения в терминалы оплаты и сбора достаточного количества данных по EMV для осуществления EMV-Bypass Cloning»,- написала компания.
Стас Алфёров, директор Gemini по исследованиям и развитию, сказал, что финансовые учреждения, не проводящие подобные проверки, теряют возможность отследить случаи неправомерного использования таких карточек.
Дело в том, что многие банки, выпустившие карты с чипами, считают, что пока их используют для транзакций с применением чипа, риск их клонирования и продажи на подпольных рынках практически отсутствует. Поэтому когда эти организации ищут закономерности в мошеннических транзакциях, чтобы определить, оборудование каких продавцов оказалось скомпрометированным вредоносным ПО, они могут совершенно упустить из виду платежи, совершённые при помощи чипов, и сконцентрироваться только на тех кассах, где покупатели проводили карту полосой.
«Карточные сети начинают понимать, что в настоящее время появляется гораздо больше взломов EMV-транзакций, — сказал Алфёров. – Более крупные организации, выпускающие карты, такие, как Chase или Bank of America, уже проверяют несоответствия iCVV и CVV, и отвергают подозрительные транзакции. Однако менее крупные организации явно этого не делают».
К добру или худу, мы не знаем, какие именно финансовые организации неправильно реализовали стандарт EMV. Поэтому всегда стоит тщательно следить за своими расходами по карте и незамедлительно сообщать о любых несанкционированных транзакциях. Если ваш банк даёт вам возможность получать текстовые сообщения о транзакциях, это поможет вам почти в реальном времени отслеживать подобную активность.
Источник