Skimmerzy kontra banki

Nadużycia powodowane przez cyberprzestępców, kopiujących karty płatnicze, wpisały się w codzienne życie wielu banków. Chociaż wprowadzane są coraz lepsze zabezpieczenia, ryzyko wcale nie maleje.

Dzisiejsze karty bankomatowe coraz częściej są wyposażane w mikroprocesor, by podwyższyć bezpieczeństwo transakcji. Jest to znaczący postęp, bo takiej karty nie można skopiować za pomocą prymitywnych środków. Pierwsze wersje kart chipowych, potwierdzanych PIN-em, miały jednak bardzo poważne wady. Ross Anderson, Mike Bond oraz Steven J. Murdoch z uniwersytetu w Cambridge twierdzą, że nawet karty mikroprocesorowe nie zapewniają dostatecznego poziomu bezpieczeństwa. Podobną tezę wysunęli także eksperci z Grupy Roboczej ds. EMV i Mobilnych Płatności Związku Banków Polskich, wydając w 2005 r. dokument opisujący zagadnienia migracji do standardu EMV - czyli założeń technicznej zgodności nowoczesnych kart płatniczych.

Słabością tradycyjnego systemu jest to, że w wielu miejscach eksploatowane są nadal urządzenia, które nie posiadają czytników mikroprocesorowych lub dopuszczają pracę jedynie w trybie paska magnetycznego. Opcja fallback umożliwia w takim przypadku przygotowanie kopii karty chipowej z uszkodzonym mikroprocesorem, która w dzisiejszych urządzeniach będzie działać w tradycyjny sposób. Jest to, oczywiście, okres przejściowy, ale nadal można spotkać wiele terminali w punktach usługowych, które nie wymagają wykorzystania czytnika mikroprocesorowego. Wymuszenie autoryzacji za pomocą mikroprocesora powoduje jednak niezgodność z kartami, które go nie posiadają (na przykład większość kart wystawianych przez banki w USA).

Standard EMV

Podrobione przez skimmerów karty stały się poważnym problemem i dlatego zaproponowano rozwiązanie, które w założeniu umożliwia wykrywanie fałszywych kart. Opracowano trzy podstawowe standardy - Static Data Authentication (SDA), Dynamic Data Authentication (DDA) oraz Combined Dynamic Data Authentication (CDA). Każdy z nich ma chronić przed różnymi aspektami fraudów: SDA ma na celu przede wszystkim sprawdzenie, czy nie wystąpiła nieautoryzowana modyfikacja karty, DDA potwierdza autentyczność karty oraz danych wygenerowanych przez nią i otrzymanych z terminala, CDA dodatkowo zapewnia niezmienność danych transakcji w trakcie jej wykonywania.

Najprostsza z metod, SDA, wykorzystuje klucz symetryczny, znany bankowi i zapisany w karcie. Po potwierdzeniu kodu PIN przez kartę, terminal oblicza certyfikat transakcji, który podlega weryfikacji w banku. Terminal tego klucza nie zna, gdyż byłoby to zbyt ryzykowne. Poważnym problemem jest jednak autoryzacja offline, gdy nie można zweryfikować podczas transakcji, czy karta nie została podrobiona. Przestępcy doskonale wiedzą, które z bankomatów działają offline (i kiedy, bo niektóre banki mają regularne przerwy w pracy spowodowane przetwarzaniem danych w nocy). Wtedy wystarczy spreparować mikroprocesor w ten sposób, by akceptował każdy PIN. Badacze twierdzą, że model SDA w połączeniu z bankomatami offline jest mniej bezpieczny od tradycyjnej karty z paskiem magnetycznym.