بيت Securitywatch تشيب ودبوس بطاقات أكثر أمنا من بطاقات السحب ، أيضا فظيعة جدا

تشيب ودبوس بطاقات أكثر أمنا من بطاقات السحب ، أيضا فظيعة جدا

فيديو: من زينو نهار اليوم ØµØ Ø¹ÙŠØ¯ÙƒÙ… انشر الفيديو Øتى يراه كل Ø§Ù„Ø (شهر نوفمبر 2024)

فيديو: من زينو نهار اليوم ØµØ Ø¹ÙŠØ¯ÙƒÙ… انشر الفيديو Øتى يراه كل Ø§Ù„Ø (شهر نوفمبر 2024)
Anonim

بالنسبة لقرائنا الأمريكيين ، الدفع باستخدام بطاقة ائتمان يعني تمرير شريط مغناطيسي. ولكن بالنسبة للأشخاص في معظم أوروبا وبلدان أخرى ، فهذا يعني إدخال بطاقة الشريحة في قارئ وإدخال رقم التعريف الشخصي. لطالما تم وصف هذا الحل المزعوم للرقاقة والرقم السري بأنه أفضل بكثير من الضربة الأمريكية ، وهو في معظم الطرق. ولكن هناك بعض المشكلات الخطيرة المتعلقة بكيفية تنفيذ المخطط.

حدد روس أندرسون تاريخ فريقه في البحث عن بطاقات الرقائق والرقم السري في بلاك هات هذا العام. بالنسبة لنظام مصمم ليكون أكثر صعوبة في الغش ، كان لدى أندرسون مقدار مفاجئ لقوله.

الفرسان من العيوب

تجديد سريع للرقاقة والرقم السري: يدرج المستهلكون بطاقاتهم عند الشراء. ثم يدخلون رمز PIN الخاص بهم ، وهو ما تؤكده البطاقة على الجهاز - عندما تعمل ، يجب ألا يترك رقم التعريف الشخصي القارئ مطلقًا. ثم تتحدث البطاقة مع البنك لتوثيق المعاملة ، ويتم البيع. على الورق ، يبدو كل شيء رائعًا.

لقد مر أندرسون بالعديد من نقاط الضعف غير المعروفة التي وجدها هو وفريقه ، وغيرها من النقاط التي لوحظت لأول مرة في البرية ثم قام المهندسون الأمنيون بعكسها.

ركزت العديد من الهجمات على الأجهزة التي يستخدمها التجار لتنفيذ المعاملات وأجهزة الصراف الآلي. وجد فريقه أن العديد من الأجهزة لم تكن ، في الواقع ، مخصصة للمواصفات الأمنية التي ادعوا أنها تتبعها. وبأقل جهد ممكن ، قال إنه يمكنهم التنصت على الأجهزة واستخراج رقم التعريف الشخصي أثناء عملية البيع.

تضمنت هجمات أخرى تثبيت ما أطلق عليه أندرسون "إلكترونيات شريرة" على القراء للحصول على بيانات المعاملات. في إحدى الحالات ، قام المحتالون بتثبيت أدواتهم الشريرة في برامج قراءة البطاقات قبل أن يتم تسليمهم للتجار.

ولكن كان هناك العديد من الهجمات الأخرى ، مثل تضمين electornics مباشرةً على الرقاقة وبطاقات PIN ، وتوصيل البطاقات بالأجهزة المخفية التي سمحت لصًا بالسماح للبطاقة برمز عشوائي ، وحتى الهجمات التي "أعادت تشغيل" المعاملات في مواقع مختلفة.

متفوقة تقنيا ، مشكلة عمليا

سألت أندرسون إذا كان ، بعد كل العيوب التي وجدها مع الرقاقة والدبوس ، لا يزال يعتقد أنه متفوق على تمرير البطاقات. لقد كان لا لبس فيه: فبطاقة الرقاقة ورقم التعريف الشخصي متفوقة تقنياً ببساطة لأنها أصعب بكثير من استنساخ البطاقات.

تكمن المشكلة الأكبر في كيفية نشر الرقاقة ورقم التعريف الشخصي في أوروبا. أوضح أندرسون أنه من أجل جعل التجار الأوروبيين يتحولون ، وعدت البنوك التجار بأنهم سيكونون مسؤولين عن الرسوم الاحتيالية. مع بطاقات السحب ، يتم عكس رسوم الاحتيال ببساطة إلى التاجر. ودعا أندرسون هذا "تحويل المسؤولية".

يبدو وكأنه خطة جيدة ولكن الواقع كان قاسيا للغاية. وقال أندرسون إن البنوك تقوم في كثير من الأحيان بإلقاء اللوم على ضحايا الاحتيال ، الذين اتهموهم بفضح أرقام التعريف الشخصية الخاصة بهم بطريقة ما. في حالات أخرى ، غيرت البنوك ببساطة رأيها وعكس الرسوم على التجار. في الحالات القصوى ، رفضت البنوك وشركات بطاقات الائتمان توجيه اتهامات ضد المحتالين المعروفين ، بدافع الحرج على ما يبدو.

لا أحد ، على ما يبدو ، أراد أن يتحمل مسؤولية تزوير الرقاقة والرقم السري. سأل أندرسون ، "إذا كان البنك لا يدفع ثمن الاحتيال ، فلماذا يفسدون الأمعاء للحفاظ عليها آمنة؟"

وانتقد أندرسون أيضًا مؤلفي الرقاقة ووثائق PIN لعدم وجود رؤية واضحة ، وترك الوثائق خارجة عن السيطرة. ووصفها بأنها مأساة المشاعات ، وأشار إلى أنه لم يتقدم أي شخص إلى تأليف إصدار محدث يمكنه بالفعل إجراء تغييرات الأمان الضرورية على المعيار.

القدوم الى أميركا

قد يتساءل قرائنا الأمريكان ، والمحتوى ببطاقات السحب الخاصة بهم ، عن سبب أهمية ذلك لهم على الإطلاق. هناك سبب بسيط واحد: تستعد بطاقات الرقاقة والرقم السري لإدخالها في هذا البلد. وقال أندرسون إن البنوك مستعدة لإجراء عملية الانتقال بحلول عام 2015.

قد لا تسير الأمور بشكل سيء في هذا البلد. لسبب واحد ، بعض البنوك فقط هي التي تختار مخططات الرقاقة والرقم السري ، في حين ستقوم البنوك الأخرى بطرح الرقاقة وبطاقات التوقيع. تم استخدام خطة المصادقة هذه في سنغافورة ، وهي مصممة لتوفير حماية أكبر للمستهلك. أشار أندرسون أيضًا إلى أن دور مجلس الاحتياطي الفيدرالي في البنوك الأمريكية يوفر أيضًا حماية أكبر للمستهلك - على افتراض أنه لا يتآكل بشكل كبير في المستقبل القريب.

وقال إنه كان هناك دور يمكن لجمهور القبعة السوداء أن يلعبه. وقال "ليس بروتوكولًا واحدًا ، بل هو مجموعة أدوات كبيرة وعشوائية ماكرة لبناء بروتوكولات الدفع". "يمكنك إما أن تتوصل إلى شيء آمن حقًا ، أو شيء دموي حقًا".

هنا على أمل أن نحصل على السابق.

تشيب ودبوس بطاقات أكثر أمنا من بطاقات السحب ، أيضا فظيعة جدا