Emv crypto на чеке что это
О банковских картах стандарта EMV
Уже давно безвозвратно ушли те времена, когда все получали зарплату наличными, а потом прятали полученные деньги под матрасом или в шкафу с вещами. Сейчас в нашу жизнь вошли пластиковые карты: на их счета мы получаем оплату своего труда, с их помощью можно снимать деньги и проводить безналичные расчеты.
«Новое слово»: стандарт EMV
Владельцы самых первых банковских карт помнят, что на их оборотной полосе была только магнитная полоса, которая «хранила» в себе сведения о владельце карты, а также всю необходимую информацию для аутентификации клиента. С 2010 года был внедрен новый стандарт EMV, согласно которому все банковские карты, выпущенные с момента его принятия, должны иметь специальный микрочип. Микропроцессорные карты теперь используют практически во всех уголках мира: они дают клиентам банков максимальную защиту от посягательств на их деньги.
Что дает нам EMV?
Новый стандарт EMV – это не только появление на карте микропроцессорного чипа. Технология использования чипового микропроцессора – это:
В общем, оплата банковской картой с чипом EMV или снятие денег в банкомате теперь защищены по полной программе!
Совместное использование с магнитной полосой
Вы наверняка уже заметили, что на оборотной стороне вашей карты есть не только EMV-чип, внешне напоминающий СИМ-карту. Да, на ней есть и та самая устаревшая магнитная полоса. Зачем? Все просто. Стандарт EMV разрешает совместное использование полосы и чипа.
Магнитная полоса пригодится вам в том случае, когда поблизости не окажется банкоматов или мест, принимающих чиповые карты. Она также дает возможность оплачивать различные услуги в терминалах, кассах и других местах.
Сегодня EMV – главный мировой стандарт. Карты с микропроцессорным чипом – самые популярные пластиковые карты среди жителей всего земного шара. Технологии не стоят на месте, и, вполне возможно, скоро мы получим еще большую степень защиты денежных средств. А пока все пользуются карточками с чипами – простыми и надежными средствами управления финансами.
EMV 3-D Secure, или кто украл SMS с одноразовым паролем. Часть 1
Введение
Обеспечение безопасности при проведении платежей было и остается одной из главнейших задач любой платежной системы. Инженеры и криптографы работают над созданием новых алгоритмов и систем защиты, а злоумышленники пытаются найти в этой защите уязвимые места. Значительный рост безопасности платежных карт пришелся на период с 2000 по 2010 годы, когда внедрение стандарта EMV для физических карт и 3-D Secure для платежей в интернете сильно ограничили возможности мошенников в подделке карт и эксплуатации украденных реквизитов.
В итоге технически платежные карты оказались защищены настолько хорошо, что самым слабым звеном при совершении платежей оказался человек, и внимание злоумышленников во всем мире начиная с 2010-х годов все сильнее акцентируется именно на нем.
В то же время реальный опыт показал, что внедрение дополнительных ступеней защиты не только снижает удобство для конечного пользователя, но и уменьшает долю успешно завершающихся платежей, так называемую конверсию.
Потеря конверсии обозначает, что магазин недополучит прибыль, а держатель карты не совершит желанную покупку. Таким образом, проигравшими оказываются все.
Меня зовут Алексей Касякин, я технический владелец платформы 3-D Secure в НСПК. Вместе с Сергеем Лысенко (в НСПК руководит развитием EMV 3DS 2.0) и Алексеем Крутиковым (лидер команды разработки платформы) мы хотим рассказать про технологию 3-D Secure, ее историю, основные проблемы и перспективы развития. А также о том, почему не надо бояться, если перестал приходить одноразовый пароль.
Краткая история 3-D Secure 1.0
В конце 1990-х годов наблюдалось стремительное проникновение интернета в повседневную жизнь человека. Появившийся канал продаж через интернет открыл новую страницу в истории торговли и вызвал взрывной рост дистанционных платежей по банковским картам. Одновременно стремительно растет доля мошенничества с картами в интернете, т.к. для совершения платежа достаточно было иметь только номер карты и срок действия.
Платежные системы реагируют на новую угрозу вводом нового защитного параметра, который печатается на обратной стороне карты. Он призван гарантировать, что платеж совершает именно владелец карты. Однако из-за малой длины кода (3 символа) существует возможность подсмотреть его при оплате товаров на кассе или заполучить его путем кражи физической карты.
Тогда острая необходимость защитить дистанционные платежи и привела к появлению первого стандарта безопасности 3-D Secure. Он позволяет банку в момент оплаты запросить у держателя карты дополнительное подтверждение, без которого оплата не проводится. С тех пор уже более 20 лет технология 3-D Secure обеспечивает безопасность платежей, совершаемых в интернете.
Схема работы 3-D Secure 1.0.2
Протокол описывает взаимодействие трех сторон, называемых доменами (domain), что отражено в названии «3D». Принятие решения о возможности совершения операции с привлечением трех независимых доменов стало основной идеей технологии.
Выделим эти домены и зоны их ответственности:
Домен Эквайрера – включает интернет-магазин и банк, обслуживающий его счет и операции (Эквайрер). Этот домен отвечает за выстраивание коммерческих отношений с покупателем, а также за проведение финансовой составляющей операции через платежную систему. Именно из домена Эквайрера инициируется проведение платежной операции. Основной 3DS-компонент в домене Эквайрера называется MPI (Merchant Plugin Interface).
Домен взаимодействия – это платежная система (ПС). Платежная система обеспечивает взаимодействие между доменом Эквайрера и доменом Эмитента, устанавливает правила этого взаимодействия, определяет требования к безопасности, а также предоставляет возможность совершения финансовой части операции. Основной 3DS-компонент в домене ПС называется DS (Directory Server).
Теперь, когда мы определились со всеми действующими лицами, давайте немного углубимся в техническую реализацию. Протокол 3-D Secure построен поверх HTTPS протокола с использованием сообщений в формате XML для передачи данных между доменами.
Упрощенная схема работы представлена на рисунке ниже.
Выполнение платежа состоит из следующих шагов:
Держатель карты оформляет заказ в интернет-магазине с оплатой онлайн, на платежной странице вводит реквизиты карты и нажимает кнопку «Оплатить»
Данные с платежной страницы передаются в MPI
MPI отправляет в DS сообщение VEReq (1) с номером карты и данными об интернет-магазине
DS проверяет VEReq-сообщение, определяет банк-эмитент карты и отправляет сообщение VEReq (2) в ACS
ACS проверяет VEReq-сообщение и определяет возможность проведения аутентификации покупателя по 3-D Secure, после чего формирует сообщение VERes (3). Если проведение аутентификации возможно, в VERes передается URL страницы ACS, на которую должен быть перенаправлен пользователь. Сообщение VERes передается в DS
DS проверяет сообщение VERes и возвращает его обратно в MPI (4)
MPI формирует сообщение PAReq (5) с информацией об операции и техническими данными от ACS. Сообщение передается через браузер на URL-адрес ACS, полученный в VERes
ACS в ответ на запрос браузера PAReq (6) возвращает форму аутентификации держателя карты. Держатель видит поле ввода одноразового пароля
Держатель вводит полученный по sms/push код и нажимает кнопку «Подтвердить», код отправляется в ACS
ACS проверяет код и формирует сообщение PARes с результатом аутентификации и данными для выполнения финансовой составляющей операции. Сообщение PARes (7) передается через браузер на адрес MPI
MPI получает от браузера PARes (8), проверяет сообщение, включая подпись, и, в случае успеха, инициирует проведение финансовой части операции (авторизации)
MPI получает результат проведения авторизации и перенаправляет браузер обратно в интернет-магазин, держатель видит результат проведения платежа
Как видим, в процессе 3DS-аутентификации происходит обмен технической информацией между несколькими вовлеченными сторонами, при этом для пользователя процесс выглядит довольно просто.
Этапы развития 3-D Secure в России
Технология 3DS стала совершенно новым явлением в платежном пространства страны, поэтому её вхождение на российский рынок было непростым. Как следствие, внедрение 3DS поначалу сильно подорвало транзакционный поток, ту самую конверсию. Давайте вспомним, какие методы использовали банки для проверки клиента:
Статичный пароль. Наиболее простой способ, внедрялся одним из самых ранних. При первом платеже из интернет-магазина клиент переадресовывался на ACS, где должен был придумать пароль, заполнив регистрационную форму. Созданный пароль привязывался к карте. При последующих платежах появлялась страница аутентификации, где нужно было вводить этот пароль. Преимуществами этого способа была относительная простота и возможность быстро поменять пароль при необходимости. Какое-то время данный способ аутентификации считался безопасным и удобным. Но вскоре безопасность статичных паролей стала падать: их крали у клиентов, находя через браузеры «дыры» в безопасности; в колл-центрах банков могли быть «свои» люди, которые узнавали пароли; бывали даже случаи, когда пароль находили записанным на клочке бумаги в украденном кошельке, как это бывало и с ПИН-кодами. Спустя несколько лет после запуска статичные пароли перестали считаться безопасными и платежные системы настоятельно не рекомендуют их использовать для 3DS-аутентификации.
Скретч-карта. Это карта, на которой информация находится под стираемым слоем. Все мы хоть раз играли в моментальную лотерею или получали в магазинах подобные карты, с которых потом монеткой стирали слой, чтобы добраться до сокровенного. Для 3-D Secure выпускались подобные карты, на каждой находилось некоторое количество одноразовых паролей. Клиенты получали эти карты в отделениях банков. При очередном платеже на странице ACS требовалось ввести один из паролей со скретч-карты. Такой подход обеспечивал более высокий уровень безопасности, но возникали другие проблемы: одноразовые коды на карте заканчивались либо карта терялась, приходилось идти в отделение банка за новой. Клиенты забывали про это и сталкивались с проблемой уже при проведении платежа. Дальше начинались попытки вводить уже использованные коды и звонки в колл-центры банков с просьбами разрешить платеж со старым кодом, что было технически невозможно. В итоге падала и конверсия, и удовлетворенность клиента.
Коды на чеке. Этот подход схож с предыдущим вариантом, но тут одноразовые коды печатались на чеке при совершении операции в банкомате, где получать их было удобнее, чем в отделениях. Но чеки тоже можно было украсть. Причем в банкоматах появился еще один способ: имея дубликат карты, так называемый белый пластик, злоумышленник мог снять деньги, получить коды и расплатиться в интернете.
CAP-ридер (Chip Authentication Program). Это устройство, похожее на современные мобильные терминалы, при получении карты выдавалось клиенту. В него вставлялась карта, вводился код доступа, и на экране генерировался одноразовый пароль. Такой подход обеспечивал высокую криптографическую защиту, но не получил массового распространения ввиду большой цены CAP-ридера и неудобства использования.
Display Card – Банковская карта с генератором случайных паролей. Чуть больше можно прочитать здесь. Такие карты были и удобны, и безопасны, т.к. генератор паролей всегда был под рукой и имел устойчивую криптографическую защиту. Но были и серьезные минусы, не позволившие подобным картам распространиться массово. В первую очередь это цена, которая не рассчитана на массового клиента. Кроме того, в карте присутствовал автономный источник питания, который мог разрядиться раньше истечения срока действия карты, и в целом подобные карты были более уязвимы к механическим воздействиям.
С 2008-2009 года мобильные операторы в РФ начали постепенно снижать тарифы на отправку SMS. Благодаря этому стало возможным применение Dynamic OTP (One Time Password), который оказалось очень удобно отправлять в SMS-сообщении на телефонный номер клиента, привязанный к карте. После переадресации клиента на ACS (сообщение PAReq) ему отправлялся пароль в SMS, после ввода которого личность держателя карты считалась подтвержденной. Так как SMS-сообщения могут быть получены любым телефоном, именно они на тот момент имели наибольший потенциал как дешевый и надежный механизм подтверждения. В последнее время есть тренд перехода на Push сообщения в качестве более дешевого для банков способа. Кроме того, их нельзя перехватить на стороне мобильного оператора. В случае с SMS именно мобильный оператор становится дополнительным звеном в цепи «доверия», а в случае с роумингом – их несколько.
На сегодняшний день многими банками используется гибридная система из PUSH- и SMS-сообщений. Такой подход оправдан, т.к. приложение банка может быть не установлено, работать некорректно или не иметь доступ к интернету. В этом случае используется SMS. Тем не менее способ аутентификации с помощью OTP перестает удовлетворять современным требованиям удобства при совершении платежей, а мошенники находят все новые пути и возможности в получении OTP у клиентов. Большинство других описанных выше способов подтверждения со временем были заменены как небезопасные, слишком дорогие или неудобные для клиента.
Что потребовало улучшений в 3DS 1.0
Более двадцати лет первая версия протокола 3DS решает поставленную перед ней задачу обеспечения безопасности дистанционных платежей. Однако, любая технология устаревает, и с течением времени проявились некоторые особенности 3DS 1.0, которые потребовали следующих улучшений:
Повышение конверсии. Какой бы способ аутентификации ни использовался, любое дополнительное подтверждение платежа клиентом создает дополнительный барьер для завершения оплаты, от чего страдает и сам клиент, и магазин. Причины, по которым платеж не завершается, могут быть самыми разными:
Недоверие клиентов к всплывающим окнам и вводу в них кодов, страх быть обманутым.
Непонимание что именно требуется сделать для подтверждения оплаты.
Ошибки при вводе, ввод другого значения, например, ПИН; ввод не того кода со скретч-карты и т.д.
Плохое интернет-соединение, проблемы переадресации на ACS или обратно из ACS в магазин.
Отсутствие доступа к телефону, привязанному к карте.
Неуверенный прием, проблемы с отправкой SMS на стороне банка, либо с доставкой SMS на телефон клиента.
Адаптация к мобильным устройствам. Платежные системы при сертификации Эмитентов по технологии 3-D Secure 1.0 накладывали определенные требования по размеру и содержанию страницы аутентификации. Данные требования сильно ограничивают веб-разработчика в верстке этих страниц. В результате может получиться, что при попытке оплаты в красивом, современном интернет-магазине, нас переадресовывает на маленькую страницу где-то в углу экрана. При этом форма ввода кода в некоторых случаях может быть даже не видна. В случае использования мобильного устройства (доля оплат с которых растет каждый год), пользователь сталкивается с похожей проблемой: HTML-форма, предъявляемая Эмитентом, выглядит инородно в GUI мобильного приложения, ее масштаб и положение могут быть неудобны для пользователя.
Улучшение пользовательского опыта. За прошедшие 20 лет банки приучили клиентов, что ввод OTP – это нормально. Но в действительности менее 0,05 % всех операций являются мошенническими. То есть почти по всем операциям с вводом OTP на самом деле он не требуется, т.к. ее проводит легитимный владелец карты.
Для решения этих задач и была разработана следующая версия протокола – EMV 3DS 2.0. О его зарождении, возможностях и преимуществах, а также о его запуске в ПС «Мир» мы расскажем в следующей статье
Emv crypto на чеке что это
EMV — стандарт для пластиковых карт, совместно разработанный платежными системами Europay, Mastercard и Visa; название EMV составлено из первых букв названий этих компаний.
Повышенный уровень безопасности карт стандарта EMV обусловлен наличием встроенного чипа, который называется Secure Element. Чип может запускать приложения и обмениваться командами с кассовыми терминалами. Информация на чипе защищена, и считать ее технически гораздо сложнее, чем с магнитной полосы.
Типы карт стандарта EMV
Карты стандарта EMV бывают двух типов:
Разница между ними заключается в способе аутентификации транзакций: в первом случае для валидации транзакции пользователь должен ввести ПИН-код; во втором достаточно подписи. Карты с чипом и ПИН-кодом считаются более безопасными, так как подпись легко подделать. Карта может поддерживать и оба способа аутентификации — на выбор пользователя.
Безопасность и совместимость карт стандарта EMV
Большинство дебетовых и кредитных карт, выпущенных за последние годы, используют стандарт EMV. Поскольку полный переход на EMV требует значительных затрат времени со стороны как банков, так и магазинов, большинство карт стандарта EMV также имеют и магнитную полосу для совместимости со старым оборудованием, все еще используемым во многих странах.
Несмотря на то что карты стандарта EMV значительно более безопасны по сравнению с картами только с магнитной полосой, их все же можно клонировать из-за недостаточно жестких требований стандарта к аутентификации, некорректных реализаций стандарта EMV и возможности чипа загружать и выполнять произвольные программы. Поскольку основная масса карт стандарта EMV также оснащена и магнитной полосой, информация о карте может быть скопирована с помощью скиммеров — специальных устройств, используемых киберпреступниками для кражи данных банковских карт.
Некоторые карты стандарта EMV также поддерживают бесконтактные платежи с использованием технологии NFC. В таких картах вместе с чипом EMV установлены также чип NFC и RFID-антенна.
Публикации на схожие темы
Почему не стоит искать в Интернете «Мстители: Финал»
Как жулики используют цифрового двойника, чтобы расплатиться вашей картой
Facebook – между вами и банком
Киберугрозы для финансовых организаций в 2022 году
Развитие информационных угроз в третьем квартале 2021 года
Развитие информационных угроз в третьем квартале 2021 года. Мобильная статистика
Близкие контакты. Разбираемся, как работают системы безопасности кредитных карт
Содержание статьи
Номер карты
Оплата по номеру карты исторически — самая старшая. Раньше на картах не было ничего, кроме этого номера. Номер был «эмбоссирован» — выдавлен на карте. При оплате карта «прокатывалась» на специальном устройстве, что позволяло продавцу быстро внести номер в древнюю замену базы данных, то есть отпечатать на листе бумаги.
В конце рабочего дня или недели эти данные собирались и передавались в банк‑эквайер. Далее банк отправлял запросы на списание этих денег у владельцев карт через банки‑эмитенты. Это было так давно, что немного людей знают, откуда появился трехзначный код верификации платежей, записанный на обратной стороне карты, так называемый CVV2/CVC2. До нас дошла информация, что этот код использовался скорее как контрольная сумма, нужная, чтобы владелец карты не ошибся и корректно ввел всю информацию при оплате. Похоже на правду, если учесть, насколько короткий этот код.
Сейчас физическая карта может и вовсе не участвовать в оплате. Это называется card not present и чаще всего используется при оплате в интернете. Если номер карты вводится при оплате в платежном терминале, а это характерно для отелей, бизнесов, ведущих дела по телефону, а также для большинства терминалов в США, такой подтип платежей называется PAN Key Entry.
Многие до сих пор считают, что поле Cardholder name с лицевой стороны карты нужно вводить корректно и что оно проверяется. Это не так — ни один банк не проверяет это поле.
Магнитная полоса
Операции с магнитной полосой — один из самых простых методов. Он ассоциируется у людей с определенными типами мошенничества. Скимминг в банкоматах, двойные снятия в ресторанах — все это возможно благодаря недостаткам магнитной полосы. Магнитную полосу легко скопировать — для этого необходим только специальный ридер/энкодер магнитной полосы. Дальше клонированной магнитной полосы достаточно для того, чтобы расплачиваться в большинстве супермаркетов мира. Для верификации владельца карты предполагалось использовать подпись на чеке, которую кассир должен сверить с подписью на обратной стороне карты.
На картинке выше ты видишь пример записанной на карту информации. Черные полоски — это единицы, белые — нули. Существуют open source решения для декодирования этих данных — к примеру, magstripe.
На самом деле по изображению видно, что на карте не одна, а целых две магнитные полосы разной плотности (Track1 и Track2). Какие данные содержатся на магнитной полосе?
Чип/EMV
На смену магнитной полосе в девяностых пришли смарт‑карты, для популяризации которых создали консорциум EMV (Europay, MasterCard, Visa). Продвигаемая консорциумом идея была проста: используя особенности смарт‑карт, симметричную криптографию и криптографию с открытым ключом, решить все проблемы, связанные с магнитной полосой. Операции со смарт‑картой обеспечивают три степени защиты:
Давай пройдемся по используемым методам.
Аутентификация карты
Для аутентификации карты используется криптография с открытым ключом по протоколу RSA. Текущие минимальные требования по длине ключа — 1024 бита. Ограниченное число центров сертификации выпускают ключи для банков, а банки их уже привязывают к самим картам. Приватный ключ хранится на самой смарт‑карте в области, недоступной для чтения. Корневые сертификаты устанавливаются на терминал при его настройке. Во время транзакции карта предоставляет публичные ключи платежному терминалу вместе с информацией, зашифрованной приватным ключом в режиме цифровой подписи. Если публичный ключ доверенный и информация, переданная картой, успешно расшифровывается этим ключом, то терминал считает карту аутентичной, выпущенной именно тем банком, который подписал приватный ключ, выданный центром сертификации.
Всего существует три режима аутентификации карты:
В первом методе использовалось только одно статическое поле, хранящееся на карте. Оно подписывалось приватным ключом и проверялось терминалом. Это было EMV-поле AIP (application interchange profile). Но консорциум EMV быстро понял, что для популярных в то время офлайновых терминалов (они не выходили в онлайн для сверки криптограммы) этого было явно недостаточно — любой мог клонировать публичный ключ и подписанную статическую строку, чтобы создать подделку.
Однако в 2009 году исследователи из Кембриджского университета представили работу, описывающую так называемую атаку PIN OK (PDF). Специальное устройство, располагающееся между картой и терминалом, совершало атаку «человек посередине» и подменяло одно из полей, которые отправляла карта. Эту подмену нельзя было обнаружить на терминале с помощью описанных выше методов. Для защиты от таких атак консорциум EMV еще до находки исследователей предусмотрел новый механизм защиты — схему CDA. Во время нее терминал может проверить целостность большинства полей, которые передает карта и которые участвуют в фазе под названием «риск‑менеджмент».
Офлайновая аутентификация создавалась в первую очередь для защиты офлайновых платежей, когда терминал не подключен к интернету постоянно. Именно поэтому, если результат работы режимов DDA или CDA не заканчивается успехом, в современных терминалах, подключенных к интернету, это не приведет к отказу транзакции в 99% случаев, так как банк‑эмитент авторизует ее с помощью криптограммы, как описано ниже. Однако некоторые платежные системы рекомендуют обращать внимание на постоянные неуспешные аутентификации, особенно если они происходят в разных терминалах.
Верификация плательщика
Есть два основных способа верификация плательщика: ПИН‑код и подпись. На самом деле их немного больше — ПИН‑код может проверяться в офлайне (на самой карте) и онлайн. Он может быть зашифрован (с помощью симметричного ключа 3DES) или передаваться в открытом виде.
Еще возможен способ верификации NoCVM — то есть отсутствие верификации. Хороший пример таких операций — те, которые не превышают лимиты 3000 рублей и не требуют ввода ПИН‑кода. Их иногда называют Tap & Go.
Другой способ, который в зависимости от платежной системы называется CDCVM или On-Device CVM, делает возможной верификацию на мобильном телефоне владельца карты. Как ты уже догадался, он используется в Google Pay и Apple Pay.
Авторизация транзакции
Для авторизации транзакции смарт‑карты создают платежную криптограмму. Карта отправляет терминалу список полей — их набор зависит от версии криптограммы и настроек карты. Как правило, это сумма операции, валюта, дата и другие важные для этапа риск‑менеджмента настройки терминала. Далее карта дополняет эти поля своими внутренними полями: счетчик операций, версия криптограммы.
Полученная строка шифруется с помощью записанного на карте секретного ключа 3DES в режиме цифровой подписи и передается банку вместе со всей подписанной информацией. Банк‑эмитент использует аппаратный модуль безопасности (hardware security module, HSM), на котором в защищенной от чтения области памяти содержится копия симметричного ключа карты.
HSM также создает цифровую подпись по данным от платежного терминала. Если он получит такую же криптограмму, то транзакция будет считаться авторизованной. Это значит, что никто не подменил данные операции во время их передачи от карты до банка эмитента. На этом же этапе расшифровывается и сверяется ПИН‑код карты, в случае если используется онлайн‑сверка ПИН.
Обрати внимание, что все эти три функции работают хорошо только вместе. Чтобы корректно работала верификация, она должна контролироваться с помощью аутентификации. Если нет авторизации — вся транзакция становится высокорисковой, и так далее.
Бесконтактные платежи
Бесконтактные платежи стали набирать популярность с середины 2010-х годов. Банки и платежные системы продвигают их как быстрый и удобный способ оплаты. Оно и понятно — чем больше народ платит картами, тем больше можно заработать на комиссиях! С развитием технологий нужно развивать и безопасность, но это далеко не всегда так. И бесконтактные платежи как раз пример из неудачных.
Когда создавались бесконтактные платежи, карты с чипом в США еще не были особенно распространены, поэтому Visa и MasterCard предусмотрели промежуточный шаг, когда новыми бесконтактными картами можно платить на старых несовременных платежных терминалах, которые не поддерживают современную криптографию. Этот шаг называется Legacy modes — режимы, степень безопасности которых значительно ниже, чем у платежей EMV и современных форм бесконтактных платежей.
Legacy modes по степени защиты больше напоминают операции с магнитной полосой, только проводятся через NFC. Несмотря на то что эти режимы предполагалось использовать лишь в нескольких странах, а через какое‑то время и вовсе отменить, мы в 2020 году встречаем их повсеместно — в том числе в России, где даже магнитная полоса запрещена.
Отдельная проблема — это то, как платежные системы подошли к реализации бесконтактных платежей. Вместо того чтобы придумать что‑то новое, в компаниях Visa и MasterCard решили и здесь использовать EMV, но каждая сделала это по‑своему, так что де‑юре они перестали быть частью стандарта EMV.
Что из этого следует:
В компании Visa были недовольны слишком долгим временем проведения платежа. Когда для этого использовался чип, проблем не было — карта вставлялась в терминал. Однако в Visa посчитали, что держать карту у терминала, ожидая, пока пройдут все шаги EMV, — это не очень‑то удобно. Этап, который вызывал основную задержку, — это офлайновая аутентификация карты.
Одновременно с этим в MasterCard приняли диаметрально противоположное решение — признали, что офлайновая аутентификация важна и для тех карт, которые поддерживают наиболее безопасную схему аутентификации CDA, и сделали ее обязательной. В спецификации EMV, если взаимодействие по схеме CDA не заканчивается успешно, терминал все еще может отправить криптограмму для онлайновой авторизации. Тогда как для бесконтактных платежей MasterCard неудачная аутентификация CDA всегда ведет к отмене платежа. Разница во времени операций незначительная, однако это остается решающим фактором для Visa.
Выводы
Теперь, когда ты знаешь, как работают электронные и в том числе бесконтактные платежи, ты готов к разговору об уязвимостях в этих схемах. Это мы обсудим в следующих статьях, а заодно разберем самые громкие кейсы мошенничества.