EMV Shiftin jälkeen luottokortit eivät ole vielä yhtä turvallisia kuin mahdollista

Se on ollut yli kuusi kuukautta siitä lähtien, kun luottokorttipetoksia koskevat säännöt muuttuivat, mikä ajoi siirtymistä vanhoista magneettiristikorteista EMV-siruihin upotettuihin kortteihin. Mutta vain 20% Yhdysvaltojen luottokorttiterminaaleista oli aktivoitu sirukäyttöön huhtikuun 2016 jälkeen, Mercator Advisory Groupin mukaan. Ja vain 60% kaikista luottokorteista oli päivitetty pelimerkillä.

Siitä huolimatta olet ehkä käynyt läpi uuden prosessin, joka kiinnittää sirukorttisi lukijaan odottamalla transaktiota tarkistettavaksi ja koneen saapuessa siihen, jos jätät kortin liian kauan.

Prosessia on edistetty voimakkaasti parantaen tietojasi. Mutta se ei todennäköisesti ole yhtä turvallinen kuin EMV-tapahtuma voisi olla. Ja suhteellisen turvallinen on melko alhainen minkä tahansa EMV-tapahtuma voi olla. Osa tästä on teknologian rajoja, ja osa on ihmiskäyttäytymisen todellisuutta.

Kuluttajien käyttäytyminen tarttumispisteinä

Eräitä EMV-siirtymän vaurioita on havaittu laajalti. Yhden asian suhteen liiketoimet voivat olla hidasta. Toinen puolestaan ​​edelleen vahvistaa henkilöllisyytesi vanhanaikaisella tavalla allekirjoittamalla nimesi - ja pienemmille tapahtumille, sinun ei tarvitse edes tehdä sitä.

"Kaupat kestää huomattavasti kauemmin myymälöissä, jotka vaativat sirukorttien liikkumista sirukortinlukijoihin - ainakin lyhyellä aikavälillä, kun kauppiaat oppivat nopeuttamaan prosessia", sanoo journalisti ja turvallisuusjohtaja Brian Krebs. Krebsin turvallisuusasiantuntija. "Luultavasti paljon ihmisiä jättävät korttinsa koneiden sisällä ja kasvattavat pankkien menetetyt ja varastetut [kortti] tappiot ainakin lähiaikoina, kunnes kuluttajat tottuvat laitteisiin."

Euroopassa kuluttajat ovat käyttäneet leikattuja luottokortteja vuosia - vuosikymmeniä joissakin tapauksissa. Mutta lisäturvallisuuden vuoksi kortit vaativat kortinhaltijoilta PIN-koodin vahvistaakseen identiteettinsä tapahtuman aikana. Joten miksi USA ei hyväksynyt siru-ja-PIN-järjestelmää sirun ja allekirjoituksen sijasta? Merkittävänä tekijänä oli liikkeeseenlaskijoiden tunnustaminen siitä, kuinka vaikeaa on pakottaa muutokset kuluttajien käyttäytymiseen.

"MEILLE. kuluttajat eivät ole tottuneet syöttämään PIN-koodia luottokorttimarkkinoilla ", sanoo Massachusettsin Aite-konsernin tutkimusjohtaja Julie Conroy. "Monet liikkeeseenlaskijoista, jotka puhuin valittujen sirujen ja allekirjoitusten kanssa, koska yksikään liikkeeseenlaskija ei halunnut antaa kortteja, joiden käyttökokemus asettaa kilpailuhaitoihin. Yhden liikkeeseenlaskijan sanojen mukaan kuluttajien opetus murskata pisteen sijasta oli tarpeeksi muutosta. he eivät halunneet riskiä joutua opettamaan kuluttajia vaihtamaan kahta käyttäytymistä samanaikaisesti."

Yrittäminen petosten lopettamiseksi

Miksi Yhdysvaltojen kuluttajat muuttaisivat mitään? Ensisijainen syy oli petos.

Vuonna 2014 menetettiin yli 16 miljardia dollaria maailmanlaajuisissa luottokorttipetoksissa maksutekniikkaa käsittelevän Nilson-raportin mukaan. Tappioista 48 prosenttia tapahtui Yhdysvalloissa. Perinteiset magneettinauha-kortit ovat helpompi hakata, koska raidalla tallennetut tiedot ovat staattisia tai muuttumattomia. Kopioi se kerran, ja voit tehdä kaksoiskappaleen. EMV-sirut tuottavat kuitenkin yksilöllisen koodin jokaiselle tapahtumalle, joten yhdestä tapahtumasta kopioitavaa tietoa ei voi käyttää toisessa.

"MEILLE. kuluttajat ovat suurelta osin suojattuja [välittömien luottokorttikustannusten] petoksesta Yhdysvaltain sääntely-ympäristön ja maksuverkkojen tarjoamien nollatilanteiden takia ", Conroy sanoo. Siirtyminen EMV: hyn on siis pikemminkin suojata luottokorttien liikkeeseenlaskijoita petollisilta tappioilta kuin suojella kuluttajia.

Lokakuussa 2015 otettiin käyttöön uusia sääntöjä vastuusta luottokorttipetoksille. Jos petos tapahtuu, kumpi osapuolista ei käyttänyt EMV-teknologiaa, se on vastuussa tappioista. Jos kyseinen kortti ei ole EMV-leikattu, velka on liikkeeseenlaskija. Jos kauppiaalla ei ole EMV-sirun lukijaa, kauppiaalla on vastuu. Vastuuta voitaisiin myös jakaa.

PIN-koodi tarjoaa vain rajoitetun suojan

Vastuuyhtälöä ei oteta huomioon, onko sirukortti PIN-koodin tai allekirjoituksen varmentamiseen. Ja totuus on se, että useimmat luottokorttipetokset eivät edes saisi estää sirukoodin ja PIN-koodin avulla.

"Chip-ja-PIN suojaa kadonneilta ja varastetuilta petoksilta - toisin sanoen jos joku varastaa lompakkosi, he eivät voi helposti ottaa kortteja ostoksilla", Conroy sanoo. Tällainen petos on vähäinen verrattuna yleisiin luottokorttipetoksiin, Conroy sanoo.

Lisäksi varkaille löytyy aina keino turvallisuuden varalta. "Olemme nähneet muiden maiden esimerkin perusteella, että rikolliset ovat joutuneet olemaan varsin taitavia PIN-koodin kaappaamiseen joko skimming-iskuilla, olka-surfingilla tai pinpoint kameroilla", Conroy sanoo. Koska PIN-koodi ei muutu jokaisen oston yhteydessä, Conroy sanoi, että sillä on "rajoituksia sen kyvystä torjua tehokkaasti petoksia. Kun U.K siirtyi siruun ja PIN-koodiin, kadotetut ja varastetut petit katoavat lyhyesti, mutta muutamassa vuodessa oli jälleen oikea PIN-taso."

EMV-siruilla ei myöskään ole roolia verkkokaupoissa, joten sirukortit ovat yhtä haavoittuvia kuin magneettinauhat-kortit.

Onko turvallisempaa tapaa?

Conroy sanoo, että siru-ja-PIN on parhaimmillaankin lyhytaikainen korjaus."Ihannetapauksessa haluaisin nähdä alan leapfrog-PIN-koodin ja siirtyä muihin todentamismuotoihin, kuten biometriikka, mobiilivahvistus jne.", Hän sanoo. "Prosessissa meidän on myös poistettava allekirjoitus - se on kallista kauppiaiden tallentamiseksi ja on hyödytön asiakkaiden todennusmenetelmänä tällä hetkellä toteutettuna."

Krebs ehdottaa "rahakkeiden" käyttöä petosten torjumiseksi. Tokenisoitumisen myötä kauppiaiden tietokoneet eivät tallenna luottokorttitietoja lainkaan. Sen sijaan ne tallentavat paikanvarausnumeron tai tunnuksen, jota voidaan hakea liikkeeseenlaskijalta.

"Tokenisaatio voi auttaa kauppiaita välttämään korttitietojen tallentamista mihinkään aikaan ja prosessissa pienentää todennäköisyyttä, että tietoturvaohjelmat kohdistavat heidät korttitietoihin", hän sanoo. Tokenisaatio vähentäisi tietojen rikkomusten uhkaa, jolloin useimmat kuluttajat joutuvat luottokorttipetoksiin.

Mobiiliratkaisuilla on omat rajoituksensa

Mobiilimaksut ja digitaaliset lompakot, kuten Apple Pay, voivat tarjota vaihtoehdon. Mutta Conroy sanoo: "Vaikka jotkin mobiilimaksujen kauppiaslähtöiset toteutukset näyttävät menestykseltä, Starbucks, yksi avoimen silmukan mobiilimaksujen hyväksyntä - Apple Pay, Android Pay - liikkuu paljon hitaammin."

Krebs näkee myös tietoturvariskin mobiilimaksujen osalta. "Apple Pay käyttää tietomallin muotoa, mutta aiemmin Apple Payin ongelmat johtuivat pankkien lax-kirjautumismenettelyistä ja luotettavuudesta statisten tietojenkäsitteiden [kuten sosiaaliturvatunnusten tai syntymäpäivien] kanssa, kun nämä tiedot ovat laajalti kompromissi ja myyntiin lähes kaikista amerikkalaisista."

Yksi asia, joka pysyy liikkuvana, on todennäköisesti kortti lompakossa. "Kuluttajat ovat erittäin mukavia ja korttien kanssa", Conroy sanoo, "ja kuluttajien käyttäytymisen muuttuminen on vaikeaa, joten kortit tulevat olemaan mukana jo jonkin aikaa."

Ellen Cannon on Investmentmatomein henkilökunnan kirjailija, joka on henkilökohtainen talous-sivusto. Sähköposti: [email protected]. Twitter: @ellencannon.