Valery's Mlog

Mindlog of a Freak
December 15th, 2010 by Valery Dachev

(Не)сигурна кредитна карта (част 1)

(08.6.2011: Тази публикация отново е разчистването на стари чернови. Първоначалният тласък дойде от две извършени от мен странни трансакции преди време, а след това – от пускането на MasterCard PayPass на българския пазар.)

Живея в XXI в. с пълна сила – разхождам се мобилни и смарт телефони, компютър, Интернет, електронен подпис, кредитни и дебитни карти, клубни карти и такива за намаления, (живот и здраве скоро и) лична карта с биометрични данни… въобще окичен с множество от миниатюрни компютърчета осигуряващи комфорта и превъплъщение на екзотиките от края на миналия век и научната фантастика на началото му. Тези джаджи днес ми спестиха усилия, които иначе можеха да костват работния ми ден – намирането, резервирането и заплащането на билет за автобус и престой в хотел.

И всичко изглеждаше прекрасно и синьо (не, не розово!) до момента, в който не си дадох сметка как станаха тези разплащания и колко сигурни са сигурните кредитни карти… За съжаление от кредитния център на моята банка не можаха да дадат задоволителен отговор на въпросите ми и ме препратиха към отдела по управление на риска. Проблемът всъщност е основно в самите кредитни институции и плашещия компромис, който те правят със сигурността в името на удобството. Вината на моята и на всички други банки е там, че предлагат на клиентите си високо рисков продукт. Следващите редове са за тези, които не вярват в този риск; другите, които искат да го минимизират; и третите – които просто искат да видят своите мисли в писмен вид.

Магнитна лента

До преди време банковите карти разполагаха единствено с магнитна лента. Една логически коректна процедура по извършване на трансакция по този начин би трябвало да е следната:

  1. Търговецът проверява наличието на чип на картата. Ако картата е с чип, той би трябвало да използва него за обработка на трансакцията. Но тъй като процедурата може да бъде много по-бърза от тази с чип, повечето търговци първо опитват с магнитната лента, надявайки се POS терминалът да го позволи. Случвало ми се е въобще да не ме питат дали не предпочитам това да стане с чипа;
  2. Търговецът проверява наличието на подпис на притежателя на гърба на картата. Ако липсва подпис, той би трябвало да откаже извършване на трансакцията, тъй като подписът подпомага проверката на преносителя. Преди да осъзная нуждата от него, нямах такъв, но никога не съм имал проблеми. Логично би било служител на банката да изиска да се подпиша на картата пред него още при получаването ѝ;
  3. Търговецът изисква документ за самоличност от преносителя и съпоставя данните с от картата. Ако информацията (и подписа) на банковата карта не съответстват на документа за самоличност, той би трябвало да откаже извършване на трансакцията. В общия случай обаче търговците въобще не изискват такъв документ;
  4. Търговецът въвежда сумата за плащане и прекарва магнитната лента на картата през четеца на терминала. Магнитната лента на картата oбикновено съдържа съвсем малко повече информация от тази, която е изписана на картата. В общия случай това е нещо като PIN код, който одобрява на трансакцията. За съжаление обаче, този “PIN”, не само не може да бъде променен, но и може да бъде прочетен с произволен четец на карти за магнитни ленти. Когато такъв “PIN” няма, там често стои кодът за сигурност, който е изписан на гърба на картата. С други думи докопвате такава карта, прекарвате я през четец и разполагате с достатъчно информация, за да осъществявате плащания с нея в Интернет. Притежателят ѝ може и да не разбере, че сигурността ѝ е компрометирана;
  5. Терминалът издава бележка в две копия, като на едното преносителят се подписва – подпис, който търговецът сверява с този на картата. Последното на мен не ми се е случвало и го приписвам към фантастиката;

Ако някоя от точките по-горе породи някакво съмнение, би трябвало трансакцията да бъде отказана и при нужда да се споделят на компетентните органи, особено предвид факта, че такива карти са страшно лесни за копиране и злоупотребите с тях – сравнително лесни.

Карти с чип

Поради гореспоменатите причини издателите на финансови карти пристъпиха към издаването на т.нар. карти с чип – технология, която сама по себе си дава достатъчна сигурност. Но самите несигурността при тях се определя от два фактора: 1. повечето карти са хибридни (т.е. едновременно и с магнитна лента, и с чип), за да работят на по-стари терминали, и 2. по тях все още има изписана достатъчно информация, за да се осъществяват разплащания в Интернет. Досега не съм видял банкова карта, която да е адресирала тези две слабости.

Не че не могат да ви пребият, за да ви вземат картата и после да го направят още веднъж, за да си кажете PIN кода… но в общия слуачй зависите от добрата воля на търговеца и настояването на терминала, за да използвате технологията с чип.

RFID карти

Технологията на безконтактното разплащане с RFID карти наскоро настъпи и в България (популяризирана с Visa/MasterCard PayPass). Банките предоставящи такива карти уверяват, че това тя е принципно същата като чип-технологията с разликата, че обменът на данните става чрез доближаване на картата до терминалното устройство, като последното активира съответния чип в картата. Макар чип-технологията да дава известна защита, фактът, че комуникацията е безконтактна поставя пред риск преносителите на подобни карти. Оказва се, че картата предоставя не малко информация за себе си на статистически достижимо от злонамерени лица разстояние оборудвани с необходимата техника. В този дух изказването на Adam Savage от Mythbusters направено преди две години по време на The Last HOPE, собственото му опровержение и това на Texas Instruments в последствие са преинтересни.

Разплащане в Интернет

Колкото и банално да звучи, най-притеснително е разплащането в Интернет. За него и как да затрудним злоупотребите – в следващата част! :)

Comments

2 Responses to “(Не)сигурна кредитна карта (част 1)”
  1. […] кредитна карта (част 2) В първата част на тази публикация писах за рисковете, които крият банковите карти като […]

  2. […] кредитна карта (част 3) В първата част на тази публикация писах за рисковете, които крият банковите карти като […]

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggers like this: