تم تصميم البطاقات المصرفية ذات الرقاقة بحيث لا جدوى من استنساخها باستخدام كاشطات أو برامج ضارة عند الدفع باستخدام بطاقة رقاقة بدلاً من شريط مغناطيسي. إلا أن العديد من الهجمات الأخيرة على المتاجر الأمريكية تشير إلى أن اللصوص يستغلون نقاط الضعف في تطبيق هذه التقنية من قبل بعض المؤسسات المالية. هذا يسمح لهم بتجاوز البطاقات الذكية ، وفي الواقع ، إنشاء بطاقات مزيفة قابلة للاستخدام.
تقليديًا ، تقوم البطاقات البلاستيكية بترميز بيانات حساب المالك بنص عادي على شريط مغناطيسي. يمكن للكاشطات أو البرامج الضارة المخفية في محطات الدفع قراءة البيانات منها وتدوينها. يمكن بعد ذلك ترميز هذه البيانات على أي بطاقة شريطية مغناطيسية أخرى واستخدامها في المعاملات المالية الاحتيالية.
تستخدم البطاقات الأكثر حداثة تقنية EMV (Europay + MasterCard + Visa) ، والتي تقوم بتشفير بيانات الحساب المخزنة على الشريحة. بفضل هذه التقنية ، في كل مرة تتفاعل فيها بطاقة مع محطة تدعم الرقائق ، يتم إنشاء مفتاح فريد لمرة واحدة ، يسمى رمز أو رمز تشفير.
تخزن جميع بطاقات الشرائح تقريبًا نفس البيانات المشفرة على الشريط المغناطيسي للبطاقة. هذا من أجل التوافق مع الإصدارات السابقة ، حيث لا يزال يتعين على العديد من البائعين الأمريكيين التبديل إلى المحطات الطرفية التي تدعم الشرائح. تتيح هذه الوظيفة المزدوجة أيضًا لحاملي البطاقات استخدام الشريط المغناطيسي إذا كانت شريحة البطاقة أو محطة التاجر لا تعمل بشكل صحيح.
ومع ذلك ، هناك العديد من الاختلافات بين البيانات المخزنة على شريحة EMV والبيانات الموجودة على شريط مغناطيسي. أحد هذه المكونات هو مكون رقاقة يسمى رمز التحقق من بطاقة الدائرة المتكاملة ، أو iCVV ، والذي يشار إليه أحيانًا باسم "CVV الديناميكي".
يختلف iCVV عن رمز تأكيد بطاقة CVV المخزن على شريط مغناطيسي ويحمي من نسخ البيانات من الشريحة واستخدامها لإنشاء بطاقات شريطية ممغنطة مزيفة. لا يقترن كل من iCVV و CVV بالرمز الرقمي المكون من ثلاثة أرقام المطبوع على ظهر البطاقة ، والذي يستخدم عادةً للدفع في المتاجر عبر الإنترنت أو تأكيد البطاقة عبر الهاتف.
تتمثل ميزة نهج EMV في أنه حتى إذا اعترض الكاشطة أو الفيروسات معلومات حول معاملة البطاقة ، فإن هذه البيانات ستكون صالحة فقط لتلك المعاملة ، وفي المستقبل يجب ألا تسمح للصوص بإجراء مدفوعات احتيالية.
ومع ذلك ، لكي يعمل هذا النظام الأمني بالكامل ، يجب أن تتحقق أنظمة الواجهة الخلفية التي تنشرها المؤسسات المالية التي تصدر البطاقات من أنه عند إدخال بطاقة في الجهاز ، يتم إصدار iCVV فقط مع البيانات ، والعكس صحيح ، عند الدفع باستخدام شريط مغناطيسي ، فقط CVV. إذا كانت هذه المعلومات لا تتطابق مع نوع المعاملة المحدد ، فيجب على المؤسسة المالية رفض المعاملة.
تكمن المشكلة في عدم قيام جميع المؤسسات بتهيئة أنظمتها بشكل صحيح. ليس من المستغرب أن يعرف اللصوص نقاط الضعف هذه منذ سنوات. في عام 2017 ، كتبت عن زيادة النسبة المئوية لاستخدام " الوميض " - كاشطات عالية التقنية تعترض البيانات من المعاملات التي تتم باستخدام شريحة.
وجدت وميض في ماكينة الصراف الآلي الكندية
نشر باحثون من Cyber R&D Labs مؤخرًا نتائج دراسة اختبروا فيها 11 نوعًا من تنفيذ الرقائق على بطاقات من 10 بنوك مختلفة في أوروبا والولايات المتحدة. ووجدوا أن بإمكانهم أخذ بيانات من أربعة منهم ، ثم إنشاء بطاقات شريطية ممغنطة مستنسخة واستخدامها بنجاح في عمليات الدفع.
هناك كل الأسباب للاعتقاد بأن الطريقة التي تم تفصيلها بواسطة Cyber R&D Labs يتم استخدامها بواسطة البرامج الضارة التي يتم تثبيتها في محطات المتجر. تعترض البرامج بيانات المعاملات من EMV ، والتي يمكن بعد ذلك إعادة بيعها واستخدامها لعمل نسخ من البطاقات الذكية ، ولكن باستخدام شريط مغناطيسي.
في يوليو 2020 ، أصدرت أكبر شبكة دفع فيزا في العالم تحذيرًاحول التهديدات الأمنية المتعلقة بأجهزة البائع المخترق مؤخرًا. تم تصحيح البرامج الضارة في أجهزتهم الطرفية للعمل مع البطاقات الذكية.
كتب Visa: "أدى تطبيق تقنيات الدفع الآمنة مثل EMV Chip إلى تقليل فوائد بيانات دفع الحساب للأطراف الثالثة بشكل كبير ، نظرًا لأن هذه البيانات لا تتضمن سوى رقم حساب PAN الشخصي ورمز التحقق من بطاقة iCVV وتاريخ انتهاء صلاحية البيانات". "لذلك ، مع تأكيد iCVV الصحيح ، كان خطر التزوير ضئيلًا. بالإضافة إلى ذلك ، استخدم العديد من التجار محطات P2PE المشفرة التي تقوم بتشفير شبكات PAN ، مما يقلل من مخاطر إجراء المدفوعات. "
لم يُذكر اسم البائع ، ولكن يبدو أن شيئًا مشابهًا قد حدث في Key Food Stores Co-Operative Inc. ، وهي سلسلة سوبر ماركت في شمال شرق الولايات المتحدة. كشفت Key Food في البداية عن تفاصيل اختراق البطاقة في مارس 2020 ، لكنها قامت بتحديث البيان في يوليو 2020 لتوضيح أن بيانات معاملات EMV قد تم اعتراضها أيضًا.
يوضح Key Food: "كانت المحطات الموجودة في المتاجر مزودة بتقنية EMV". "في رأينا ، أثناء المعاملات في هذه النقاط ، يمكن للبرامج الضارة فقط اعتراض رقم البطاقة وتاريخ انتهاء الصلاحية (ليس اسم المالك وليس رمز التأكيد الداخلي)."
في حين أن مطالبة Key Food صحيحة من الناحية الفنية ، إلا أنها تزين الواقع - لا يزال من الممكن استخدام بيانات EMV المسروقة لإنشاء متغيرات من البطاقات الشريطية الممغنطة التي يمكن استخدامها بعد ذلك في سجلات النقد حيث يتم تثبيت المحطات الطرفية المزودة ببرامج ضارة عندما لا يبيع البنك المصدر. حماية EMV صحيحة.
في تموز (يوليو) ، نشرت شركة Gemini Advisory لمكافحة الاحتيال منشور مدونة يشرح بالتفصيل الاختراقات الأخيرة للتجار - بما في ذلك Key Food - التي سرقت بيانات معاملات EMV ، والتي تم طرحها للبيع بشكل غير قانوني المحلات التجارية للكرتون.
يوضح جيميني: "تم عرض بطاقات الدفع المسروقة خلال هذه الحادثة للبيع على الويب المظلم". "بعد وقت قصير من اكتشاف الحادث ، أكدت العديد من المؤسسات المالية أن جميع البطاقات المشاركة تمت معالجتها من خلال EMV ، دون الاعتماد على الشريط المغناطيسي كطريقة احتياطية."
تقول Gemini إنها أكدت أن حادثًا أمنيًا آخر في متجر لبيع الخمور في جورجيا قد تسبب أيضًا في اختراق بيانات معاملات EMV ، مما أدى إلى ظهورها لاحقًا على الشبكة المظلمة للمواقع التي تبيع البطاقات المسروقة. كما لاحظت Gemini و Visa ، في كلتا الحالتين ، كان من المفترض أن يؤدي التأكيد الصحيح لبيانات iCVV من البنوك إلى جعل البيانات عديمة الفائدة للمحتالين.
قرر Gemini أن العدد الهائل من المتاجر المتأثرة يشير إلى أنه من غير المحتمل جدًا أن يقوم اللصوص باعتراض بيانات EMV باستخدام وميض EMV المثبت يدويًا.
وكتبت الشركة: "نظرًا لعدم جدوى هذا التكتيك ، يمكن استنتاج أنهم استخدموا أسلوبًا مختلفًا لاقتحام محطات الدفع وجمع بيانات EMV كافية لأداء EMV-Bypass Cloning".
قال ستاس ألفيروف ، مدير البحث والتطوير في شركة الجوزاء ، إن المؤسسات المالية التي لا تجري مثل هذه الفحوصات تفقد القدرة على تتبع حالات إساءة استخدام هذه البطاقات.
الحقيقة هي أن العديد من البنوك التي أصدرت البطاقات الذكية تعتقد أنه طالما يتم استخدامها في المعاملات باستخدام الشريحة ، فلا يوجد عمليا أي خطر استنساخها وبيعها في الأسواق السرية. لذلك عندما تبحث هذه المؤسسات عن أنماط في المعاملات الاحتيالية لتحديد معدات البائعين التي تعرضت للاختراق بواسطة البرامج الضارة ، فقد تتغاضى تمامًا عن المدفوعات القائمة على الشرائح وتركز فقط على عدادات الخروج تلك حيث يقوم العملاء بتمرير البطاقة في خطوط.
قال ألفيروف: "بدأت شبكات البطاقات تدرك أن هناك العديد من معاملات EMV التي تم اختراقها الآن". "يقوم مصدرو البطاقات الأكبر حجمًا مثل Chase أو Bank of America بالتحقق بالفعل من تناقضات iCVV و CVV ويرفضون المعاملات المشبوهة. ومع ذلك ، من الواضح أن المنظمات الأصغر لا تفعل ذلك ".
للأفضل أو للأسوأ ، لا نعرف المؤسسات المالية التي نفذت معيار EMV بشكل غير صحيح. لذلك ، يجب عليك دائمًا مراقبة إنفاق بطاقتك بعناية والإبلاغ عن أي معاملات غير مصرح بها على الفور. إذا كان البنك الذي تتعامل معه يسمح لك بتلقي رسائل نصية حول المعاملات ، فسيساعدك هذا على تتبع هذا النشاط في الوقت الفعلي تقريبًا