困境中的美国支付卡行业(PCI)的救济在望。到2015年10月,美国很可能将不再是世界信用卡欺诈的领头羊。
嗯,也许吧。
从下个月开始的一年后,这种上世纪60年代的“刷卡签名”磁条卡系统有望被EMV(以其最初的开发商欧洲支付、万事达和Visa命名)严重击败。芯片和销” - 智能卡系统,该系统已经在欧洲和世界其他地区广泛使用了近二十年。
这一备受期待和争论的转变,将不会是因为授权。但明年10月标志着所谓的“负债转移”——如果商户和银行还没有转变的话,这显然会促使它们做出转变。
如万事达卡的卡洛琳·巴尔凡尼解释它华尔街日报》今年早些时候,“会有什么改变的是,如果有卡欺诈的发生率,无论一方有较小的技术将承担赔偿责任。”
因此,如果顾客有一张芯片卡,而商家有老式的刷卡签名技术,交易仍然可以进行,但如果是欺诈,商家将承担成本。或者,如果商家有了新的终端,但银行尚未向客户发放EMV卡,银行将承担任何欺诈的成本。
EMV的目的是用嵌入的微芯片取代磁条,以防止磁条的撇取。它还要求用户输入PIN(类似借记卡)来验证购买的商品。
根据变化的主张,应该大幅度提高信用卡的安全性在美国,现在居住着约一半的世界信用卡诈骗罪,即使只有所有交易的四分之一发生在这里。
根据EMV连接英国信用卡协会报告说,“自2004年以来,英国零售商的亏损下降了67%;在2004年到2009年间,丢失和被盗的信用卡诈骗下降了58%;自2004年以来,邮件无收据欺诈已经下降了91%。”
它说,加拿大看到了类似的改进,在2008年推出EMV之后。
但批评人士表示,这并不是故事的全部。安全博主布莱恩·克雷布斯去年5月指出,EMV终端无法阻止去年秋末塔吉特公司(Target)发生的灾难性入侵。他写道:“如果没有对银行卡数据进行端到端加密,卡号和有效期仍有可能被窃取,并用于在线交易。”
此外,剑桥大学的一家英国研究公司也发布了一份研究报告纸在今年早些时候的题为“芯片和撇写:复制EMV卡与预播放攻击”中,他们说他们发现了严重的漏洞,使犯罪分子可以克隆EMV卡,即使他们没有实际拥有这些卡。
他们同意EMV使“使用伪造和偷来的信用卡……变得更加困难”,但指出“罪犯适应了”,将他们的注意力转向攻击“无卡”(CNP)交易,这超出了EMV的范围。
研究团队写道:“EMV没有像其支持者预测的那样减少欺诈。”
EMV连接承认攻击者已转移至CNP交易,但它指出,万事达晶片认证计划(CAP)和Visa动态密码认证(DPA)可改善EMV卡在网上交易的保安。
但是,它的苹果公司薪酬制度的苹果公司,最近宣布它会与iPhone 6,将绕过该卡的需求完全是,通过让用户负载卡信息到手机(在那里进行加密),然后验证用指纹,并通过在参与商户将手机放置旁边的近场通信(NFC)接收器的购买。据了解,维萨,万事达和美国运通已同意其参加。
虽然苹果支付尚未在测试现实世界中,和其他喜欢我的进步PinPad大卫•弗劳德在英国有人们喜欢博客的创始人和核心概念的安全,宣称美国拯救本身是有意义的数十亿美元将成本转移到EMV并简单地直接转移到更安全的移动支付选项。据估计,实现这一转变的成本在60亿到86亿美元之间,包括信用卡、POS机和自动取款机。
“当EMV背后的主要驱动因素每天都在被支付技术的创新所抵消时,银行为什么还要支付这笔费用呢?”弗劳德在一个七月里问道帖子他指出,EMV并不是最先进的技术,因为它是在21年前引入法国的。
但是一些其他的安全专家,虽然他们同意EMV不是完美的,但他们说它明显比mag条好,而且很值得花钱。
“出于一些奇怪的原因,很多安全领域的人把‘不是万灵药’等同于‘没有价值’,而这在infosec中是不存在的,”Gartner技术专业人士安全与风险管理研究主管Anton Chuvakin说。“如果AV只能捕获30%的病毒怎么办?”你宁愿和三分之一的人打交道吗?EMV也一样——来自欧盟的可靠数据表明,EMV减少了信用卡诈骗。”
这也是Sikich LLP的技术服务总监Jacob Ansari的观点,他认为尽管EMV只对“现在的卡片”交易有效,但这是目前在美国发生的主要欺诈类型
他说:“在美国,想要实施信用卡诈骗的攻击者可以轻而易举地做到这一点。”他还补充说,采用EMV的国家的结果表明,它在美国也采用了,“将会导致信用卡欺诈的显著减少。”
朱莉·康罗伊Aite Group的分析师说,“没有技术,将消灭所有欺诈,“和,虽然EMV不会阻止目标突破,“这将大大阻碍了罪犯的赚钱能力,使它很难使用偷来的数据在销售点”。
朱莉·康罗伊,分析师,爱特集团
关于英国研究小组的发现,康罗伊说,EMV“在大学实验室环境之外并没有受到影响。”
成本作过渡,她说,是不是值得更多。“单是信用卡诈骗罪的问题是$ 3十亿,并迅速成长,”她说。“借记卡欺诈也到九的数字,并以同样迅速的速度增长。”
康罗伊还认为它会比一些估计,把在$ 3-5 $发行EMV卡更换的成本更便宜。“对于最主要的发行,谁代表我们卡市场的80%以上,成本大约是$ 1.30每塑料,”她说。
Securosis分析师兼首席技术官阿德里安•莱恩(Adrian Lane)表示,尽管互联网购买欺诈率“在各地继续攀升”,但这并不意味着EMV不值得这么做。他说,成本“不是什么大问题,因为大型零售商已经升级了主要的销售点终端,以接受智能卡和NFC。”
Chuvakin称这种转换的成本“便宜得令人难以置信,因为现在几乎每家商店都有一个magstripe阅读器,而这个系统却花了将近半个世纪才建成。”
不过,如果更好、更安全的替代品已经出现或即将出现,为什么要花那么多钱呢?
莱恩说,他认为这项技术要普及还需要相当长的时间——4到10年。在此期间,EMV信用卡将节省数十亿美元。
他说:“芯片、PIN或智能手机/安全元素支付都需要NFC终端。”虽然商家已经在安装NFC技术,但“在消费者方面,还需要多少年才能让每个用户都拥有一款带有安全元素的智能手机?”
艾德里安巷Securosis的分析师和首席技术官
里说的消费习惯可能在EMV部署如何发挥出重要的作用。他说,Visa和万事达卡今年早些时候宣布,他们将市场EMV卡,但那些仍然使用的签名,而不是一个PIN码,否则消费者不会使用它们。
发卡机构认为,设置密码太麻烦了,人们根本就不会使用信用卡。他们认为整体交易额将会下降——这是各大信用卡品牌的禁忌博客文章。
康罗伊同意了。“我们还没有看到消费者接受移动支付,”她说。“他们很喜欢使用信用卡,我们一次又一次地看到,要让他们改变这种行为,需要强有力的激励。”
专家们普遍认为,EMV不应该奇迹般地解决这个问题,但它可以在减少欺诈损失方面发挥重要作用。
“信用卡欺诈是一场多方面的战争,”康罗伊说,除了EMV,还需要标记化和点对点加密(P2PE),更健壮的欺诈分析进入CNP通道,可能还有更侵入性的认证方法。
安萨里同意了。他说,这将需要“技术、运营、法律和监管方面的综合控制”。
这个故事,“芯片和PIN:没有灵丹妙药,但值得的努力-和成本”最初发表CSO 。