Walka o nasze pieniądze - skimmerzy kontra banki

Nadużycia powodowane przez cyberprzestępców, kopiujących karty płatnicze, wpisały się w codzienne życie wielu banków. Chociaż wprowadzane są coraz lepsze zabezpieczenia, ryzyko wcale nie maleje.

Dzisiejsze karty bankomatowe coraz częściej są wyposażane w mikroprocesor, by podwyższyć bezpieczeństwo transakcji. Jest to znaczący postęp, bo takiej karty nie można skopiować za pomocą prymitywnych środków. Pierwsze wersje kart chipowych, potwierdzanych PIN-em, miały jednak bardzo poważne wady. Ross Anderson, Mike Bond oraz Steven J. Murdoch z uniwersytetu w Cambridge twierdzą, że nawet karty mikroprocesorowe nie zapewniają dostatecznego poziomu bezpieczeństwa. Podobną tezę wysunęli także eksperci z Grupy Roboczej ds. EMV i Mobilnych Płatności Związku Banków Polskich, wydając w 2005 r. dokument opisujący zagadnienia migracji do standardu EMV - czyli założeń technicznej zgodności nowoczesnych kart płatniczych.

Słabością tradycyjnego systemu jest to, że w wielu miejscach eksploatowane są nadal urządzenia, które nie posiadają czytników mikroprocesorowych lub dopuszczają pracę jedynie w trybie paska magnetycznego. Opcja fallback umożliwia w takim przypadku przygotowanie kopii karty chipowej z uszkodzonym mikroprocesorem, która w dzisiejszych urządzeniach będzie działać w tradycyjny sposób. Jest to, oczywiście, okres przejściowy, ale nadal można spotkać wiele terminali w punktach usługowych, które nie wymagają wykorzystania czytnika mikroprocesorowego. Wymuszenie autoryzacji za pomocą mikroprocesora powoduje jednak niezgodność z kartami, które go nie posiadają (na przykład większość kart wystawianych przez banki w USA).

Podrobione przez skimmerów karty stały się poważnym problemem i dlatego zaproponowano rozwiązanie, które w założeniu umożliwia wykrywanie fałszywych kart. Opracowano trzy podstawowe standardy - Static Data Authentication (SDA), Dynamic Data Authentication (DDA) oraz Combined Dynamic Data Authentication (CDA). Każdy z nich ma chronić przed różnymi aspektami fraudów: SDA ma na celu przede wszystkim sprawdzenie, czy nie wystąpiła nieautoryzowana modyfikacja karty, DDA potwierdza autentyczność karty oraz danych wygenerowanych przez nią i otrzymanych z terminala, CDA dodatkowo zapewnia niezmienność danych transakcji w trakcie jej wykonywania.

Więcej o zabezpieczeniach naszych pieniędzy w bankach na Computerworld.pl.