Wallester Insights: PSD2 und strenge Einhaltung der Kundenauthentifizierung

Jede Software muss über Authentifizierungstools verfügen, um ihre Glaubwürdigkeit und Benutzerfreundlichkeit bei verschiedenen Zielgruppen sicherzustellen. Es ist zu einem entscheidenden Bestandteil der Sicherheitsarchitektur geworden und seine Rolle in der FinTech-Branche ist kaum zu unterschätzen. Da jede Sekunde mehrere E-Commerce-Transaktionen stattfinden, ist dieser Markt anfällig für mehr Geldwäsche- und Betrugsbedrohungen. Aus dieser Perspektive ist die Wahl eines Kartenausgabedienstes, der High-End-Authentifizierungs- und Cybersicherheitsstandards erfüllt, mehr als nur eine einfache Empfehlung.

Hier kommen die PSD2-Vorschriften ins Spiel. Bleiben Sie auf dem Laufenden, um die wahre Bedeutung des Begriffs und die Rolle seiner Auswirkungen auf das Finanzumfeld jedes Unternehmens zu verstehen. Vorwärts!

Verbesserte Klontechniken

Derzeit bleibt die Echtzeitautorisierung geklonter EMV-Karten eine unlösbare Aufgabe. Die Extraktion wesentlicher kryptografischer Schlüssel zur Generierung von Zahlungskryptogrammen ist sowohl für böswillige Akteure als auch für sorgfältige Forscher bislang schwer zu erreichen. Es ist jedoch wichtig zu erkennen, dass es alternative Methoden zur Erstellung funktionsfähiger Kartenrepliken gibt:

Eine dieser von Kriminellen angewandten Methoden besteht darin, den Track2-Äquivalentwert auf den Magnetstreifen zu schreiben. Durch die Duplizierung der auf dem Magnetstreifen einer Karte vorhandenen Informationen, dem so genannten Track2-Äquivalent, dient diese Technik als Parameter für die Kartenidentifizierung in Hardware Security Module (HSM)-Systemen und anderen dedizierten Subsystemen, die für die Kartenverarbeitung verantwortlich sind.

Folglich nutzen böswillige Personen gelegentlich diesen Angriff, indem sie Track2-äquivalente Daten in einen Magnetstreifen einbetten, wodurch sie betrügerische Transaktionen entweder als typische Magnetstreifentransaktionen oder durch Nutzung des technischen Fallback-Modus ausführen können. In diesen Fällen werden häufig Skimmer verwendet, Geräte, die speziell zum Extrahieren solcher Daten aus Geldautomaten entwickelt wurden.

Um Transaktionen zu duplizieren, können Täter auf die EMV-Pre-Play- und Re-Play-Angriffe zurückgreifen. Der Re-Play-Angriff konzentriert sich auf die Umgehung von Mechanismen, die die Einzigartigkeit jeder Transaktion und jedes Kryptogramms sicherstellen sollen. Durch die Ausnutzung dieser Schwachstelle können Angreifer Transaktionen für die zukünftige Verwendung „klonen“, ohne dass sie den Besitz der Originalkarte benötigen. In Fällen, in denen ein kompromittiertes Terminal dasselbe UN-Feld (Unpredictable Number) generiert, kann ein von der Karte erhaltenes Kryptogramm mit einem vorhersehbaren UN-Wert unbegrenzt oft wiederverwendet werden.

Auch an darauffolgenden Tagen können Angreifer Informationen über ein altes Kryptogramm übermitteln, wobei die Autorisierungsanfrage mit dem Datum des Vortages versehen ist. Das Pre-Play-Schema wird relevant, wenn ein kompromittiertes Terminal eine vorhersehbare UN anstelle einer identischen generiert. In solchen Szenarien kann ein Angreifer beim physischen Zugriff auf die Karte mehrere Transaktionen für die zukünftige Verwendung klonen. Im Gegensatz zum ersten Angriff kann in diesem speziellen Szenario jedoch jede Transaktion nur einmal verwendet werden.

Verwandt: WooCommerce PCI-Konformität: Alles, was Sie wissen müssen!

PSD2: Definition, Einfluss und Ziele

Seit der Veröffentlichung der ersten Zahlungsdiensterichtlinie im Jahr 2007 hat der Markt drastische Veränderungen und Modifikationen erfahren. Der technologische Fortschritt und der Boom von Online-Zahlungen zeigen auch die Kehrseite der Medaille. Neue Geschäftsmodelle gehen oft mit unregulierten Richtlinien einher, während die Entwicklung der API-Wirtschaft zu einem stetig steigenden Betrugsaufkommen in Europa beiträgt.

Kurz gesagt handelt es sich bei PSD2 um eine Reihe von Standards und Gesetzen, die jeder Zahlungsdienst befolgen muss, um in der EU und im EWR funktionieren zu können. Diese Richtlinie sichert internetbasierte Transaktionen und stärkt das wirtschaftliche Umfeld in Theorie und Praxis.

Hier sind einige Merkmale, die PSD2 von anderen Finanznormen unterscheiden:

• Dadurch wird die Kartenausgabe transparenter, da konforme Dienstleister verpflichtet werden, ihre Finanzinformationen öffentlich offenzulegen. Gleichzeitig hilft diese Innovation neuen Akteuren, wettbewerbsfähig zu sein und ihre Lösungen gemeinsam mit etablierten Unternehmen anzubieten.
• PSD2 hat die Lizenzierung für Kartenausgabelösungen eingeführt. Einerseits ermöglicht es Unternehmen, die solche Dienstleistungen in der EU anbieten, trotz geringerer Erfahrung ihre Zuverlässigkeit und Glaubwürdigkeit unter Beweis zu stellen. Andererseits ist diese Methode auch für Zielgruppen effizient und ermöglicht ihnen die einfache Auswahl des besten Kartenausgabe- und -abwicklungsinstituts.
• PSD2 geht mit einer starken Kundenauthentifizierung einher. Zwei-Faktor-Authentifizierung und ähnliche Mittel sichern den Großteil der Online-Zahlungen und dienen als zusätzliche Schutzschicht für solche Finanztransaktionen. In dieser Richtlinie gibt es eine kleine Lücke. Wenn eine der beteiligten Parteien nicht im EWR ansässig ist, sollte sie nicht der Verpflichtung zur Umsetzung des sogenannten SCA unterliegen.

Im Jahr 2022 würden voraussichtlich mehr als fünfhundert Millionen Menschen in Europa online einkaufen. Diese Rate dürfte noch weiter steigen. Die Sicherung einer so großen Anzahl von Transaktionen durch PSD2-konforme Dienste wird sicherlich langfristige Vorteile bringen.

Die überarbeitete Zahlungsdiensterichtlinie (PSD2)

Jedes Land weltweit hat seine eigenen Empfehlungen bezüglich der No-CVM-Grenzwerte (Cardholder Verification Method), die gelten, wenn keine Verifizierung des Zahlers erforderlich ist. Dies wird allgemein als Tap & Go-Schema bezeichnet. Beispielsweise gilt im Europäischen Wirtschaftsraum ein empfohlenes Transaktionslimit von 50 €.

Während Geschäfte und Acquiring-Banken die Freiheit haben, ihre eigenen Limits für Terminals festzulegen, übernehmen sie auch die damit verbundenen Risiken von No-CVM-Betrug. Aus diesem Grund entscheiden sich möglicherweise nicht alle Banken oder Händler dafür, die Limits über dem Durchschnitt festzusetzen, da dies eine größere Anzahl von Betrügern anlocken könnte.

Ein weit verbreiteter Betrug mit gestohlenen kontaktlosen Karten ist die Ausnutzung des Tap & Go-Systems durch die Durchführung mehrerer Transaktionen innerhalb der No-CVM-Grenzwerte. Betrugsbekämpfungssysteme greifen selten ein, um solche Transaktionen zu blockieren. Einige dreiste Betrüger haben sogar Kassierer gefunden, die bereit waren, eine große Rechnung in mehrere kleinere Transaktionen aufzuteilen, beispielsweise jeweils 30 £, und so die Beschränkungen effektiv zu umgehen.

Bekämpfung dieser betrügerischen Aktivitäten

Um diese betrügerischen Aktivitäten zu bekämpfen, hat die Europäische Union eine Reihe neuer Vorschriften eingeführt, die als Zahlungsdiensterichtlinie, Version 2 (PSD2) bekannt sind. Diese Vorschriften enthalten spezifische Anforderungen hinsichtlich der Häufigkeit der Überprüfung des Zahlers. Ab 2020 sind Emissionsbanken verpflichtet, die Anzahl der Transaktionen unterhalb des Tap & Go-Schwellenwerts zu begrenzen. Sie müssen den ausgegebenen Gesamtbetrag nachverfolgen und nach jeweils fünf Transaktionen oder wenn der Karteninhaber den Gegenwert des Höchstbetrags in fünf Tap & Go-Transaktionen erreicht, beispielsweise 250 Euro, zur Eingabe einer PIN auffordern.

MasterCard und Visa bieten zwei Alternativen für Transaktionen, die die Tap & Go-Limits überschreiten: Soft-Limits und Hard-Limits. Die meisten Länder folgen dem Soft-Limits-System, das für Zahlungen über dem festgelegten Limit eine zusätzliche Verifizierung des Zahlers erfordert, beispielsweise eine Unterschrift oder eine Online-PIN. Das Vereinigte Königreich unterliegt jedoch dem Hard-Limits-System, das die Verwendung einer Chipkarte für Zahlungen über die „Tap & Go“-Limits hinaus vorschreibt. Es ist wichtig zu beachten, dass dieses Szenario nicht für mobile Geldbörsen gilt, da für diese separate Beschränkungen gelten.

Sicherheitsexperten haben Tests durchgeführt, um die Wirksamkeit dieser Regeln zu bewerten und mögliche Möglichkeiten zu erkunden, wie sie mithilfe öffentlich bekannter Schwachstellen oder neu entdeckter Varianten umgangen werden können. Die Ergebnisse zeigten, dass Hacker, die gestohlene Karten und ein maßgeschneidertes Terminal besitzen, in regulären Geschäften Zahlungen tätigen könnten, die die vorgegebenen Limits überschreiten, indem sie diese Limits mit ihrem kompromittierten Terminal zurücksetzen.

Arbeiten mit professionellen Kartenausgabeplattformen: Wallester Edition

Die Zahl und Vielfalt der Dienste, die den Normen der PSD2 folgen, nimmt ständig zu, was eine perfekte Gelegenheit für Unternehmen ist, die beste strategische und wirtschaftliche Lösung für ihre Bedürfnisse und Ziele zu finden. Durch die Zusammenarbeit mit Wallester entscheiden Sie sich für Kredit- und Debitkarten, die in der EU sicher für E-Commerce-Zwecke verwendet werden können. Mit fortschrittlichen SCA-Technologien wie 3D Secure, biometrischer Verifizierung, PIN und anderen machen Sie einen proaktiven Schritt nach vorne und schaffen eine zuverlässige und glaubwürdige Finanzumgebung für potenzielle Nutzer Ihrer Dienste.

Die Menge und Regelmäßigkeit der SCA-Verfahren werden von mehreren Faktoren bestimmt – vom Einkaufsverhalten und den Einkaufsgewohnheiten Ihrer Zielgruppe bis hin zu der Art des Händlers, der Sie sind.

Die Liste der typischen Einschränkungen und Prüfungen umfasst Folgendes:

• Das System begrenzt die verfügbare Anzahl kontaktloser Zahlungen und verlangt vom Endbenutzer die Eingabe einer PIN, wenn das Limit erreicht ist.
• Der Dienst überprüft Zahlungen, wenn sie den maximalen Geldbetrag pro Einkauf oder für den gesamten Online-Einkauf überschreiten.

Die oben genannten Kriterien hängen auch von Ihren eigenen Vorschriften ab. Mit Wallester können Kunden individuelle Leistungsbeschränkungen einrichten, wenn sie den gewünschten Kartentyp und die gewünschte Anzahl von Karten ausgeben. Besuchen Sie dazu die Website https://wallester.com.

Verwandt: HIPAA-Compliance-Automatisierung mit DevOps | Alles was du wissen musst!

Wickeln Sie es

Kontaktlose Bankkarten bieten zwar Komfort, weisen jedoch auch Schwachstellen auf, die von Betrügern ausgenutzt werden können. Legacy-Modi und die Verwendung von Magnetstreifen bergen Sicherheitsrisiken und ermöglichen es Angreifern, Karten zu klonen und Transaktionsdaten zu manipulieren. Trotz dieser Risiken unterstützen Banken aus mehreren Gründen weiterhin veraltete Zahlungsmethoden, darunter Kompatibilität, damit verbundene Kosten, Benutzerakzeptanz und internationale Akzeptanz.

Darüber hinaus können Methoden zur Überprüfung von Karteninhabern umgangen werden, und das Tap & Go-System ist anfällig für Missbrauch. Obwohl Vorschriften wie PSD2 zur Betrugsbekämpfung eingeführt wurden, können Grenzwerte immer noch durch kompromittierte Terminals umgangen werden. Kontinuierliche Fortschritte bei der Zahlungssicherheit sind von entscheidender Bedeutung, um diese Herausforderungen effektiv zu bewältigen.

Wenn Sie die Gesundheit und den Status Ihres Unternehmens langfristig sichern möchten, ist es besser, sich jetzt darum zu kümmern, wie es den neuesten Normen und Vorschriften entspricht. Dank Lösungen wie Wallester müssen Sie sich keine Gedanken über die Implementierung der PSD2- und SCA-Standards machen – das wird standardmäßig für Sie erledigt.