Wallester Insights: PSD2 и строгое соответствие требованиям аутентификации клиентов

Любое программное обеспечение должно включать инструменты аутентификации, чтобы обеспечить его надежность и удобство использования среди различных аудиторий. Он стал важнейшим компонентом архитектуры защиты и безопасности, и его роль в финтех-индустрии трудно переоценить. Поскольку каждую секунду происходит несколько транзакций электронной коммерции, этот рынок подвержен большему количеству угроз отмывания денег и мошенничества. С этой точки зрения выбор службы выпуска карт, которая соответствует высоким стандартам аутентификации и кибербезопасности, — это больше, чем просто рекомендация.

Вот где вступают в действие правила PSD2. Оставайтесь с нами, чтобы понять истинное значение этого термина и роль его влияния на финансовую среду любого бизнеса. Вперед!

Усовершенствованные методы клонирования

В настоящее время авторизация клонированных карт EMV в режиме реального времени остается невыполнимой задачей. Извлечение основных криптографических ключей для создания платежных криптограмм оставалось затруднительным как для злоумышленников, так и для прилежных исследователей. Однако крайне важно признать, что существуют альтернативные методы создания реплик функциональных карт:

Один из таких методов, используемых преступниками, включает запись значения эквивалента Track2 на магнитной полосе. Путем дублирования информации, представленной на магнитной полосе карты, известной как эквивалент Track2, этот метод служит параметром для идентификации карты в системах аппаратного модуля безопасности (HSM) и других специализированных подсистемах, отвечающих за обработку карт.

Следовательно, злоумышленники иногда используют эту атаку, встраивая эквивалентные данные Track2 в магнитную полосу, что позволяет им выполнять мошеннические транзакции либо как типичные транзакции с магнитной полосой, либо используя технический резервный режим. В таких случаях обычно используются скиммеры, устройства, специально предназначенные для извлечения таких данных из банкоматов.

Для дублирования транзакций злоумышленники могут прибегнуть к атакам EMV Pre-play и Re-play. Атака Re-play сосредоточена на обходе механизмов, разработанных для обеспечения уникальности каждой транзакции и криптограммы. Используя эту уязвимость, злоумышленники могут «клонировать» транзакции для использования в будущем, не требуя владения оригинальной картой. В случаях, когда скомпрометированный терминал генерирует одно и то же поле UN (Unpredictable Number), криптограмма, полученная с карты с предсказуемым значением UN, может быть повторно использована неограниченное количество раз.

Даже в последующие дни злоумышленники могут отправить информацию о старой криптограмме с запросом на авторизацию, отмеченным датой предыдущего дня. Схема Pre-play становится актуальной, когда скомпрометированный терминал генерирует предсказуемый UN вместо идентичного. В таких сценариях злоумышленник при физическом доступе к карте может клонировать несколько транзакций для дальнейшего использования. Однако, в отличие от первоначальной атаки, в этом конкретном сценарии каждая транзакция может использоваться только один раз.

Связанный: Соответствие WooCommerce PCI: все, что вам нужно знать!

PSD2: определение, влияние и цели

С тех пор как в 2007 году была выпущена первая Директива о платежных услугах, рынок претерпел радикальные изменения и модификации. Развитие технологий и бум онлайн-платежей также показывают обратную сторону медали. Новые бизнес-модели часто сопровождаются нерегулируемой политикой, а развитие экономики API способствует постоянно растущему уровню мошенничества в Европе.

В двух словах, PSD2 — это набор стандартов и законов, которым должна следовать любая платежная служба, чтобы иметь возможность работать в ЕС и ЕЭЗ. Эта политика обеспечивает безопасность интернет-транзакций и укрепляет экономическую среду как в теории, так и на практике.

Вот некоторые особенности, которые отличают PSD2 от других финансовых норм:

• Это делает выпуск карт более прозрачным, поскольку поставщики услуг, соответствующие требованиям, обязаны публично раскрывать свою финансовую информацию. В то же время, это нововведение помогает новым игрокам быть конкурентоспособными и предлагать свои решения наравне с хорошо зарекомендовавшими себя организациями.
• PSD2 установила лицензирование для решений по выпуску карт. С одной стороны, это позволяет предприятиям, предлагающим такие услуги в ЕС, доказать свою надежность и авторитет, несмотря на меньший опыт. С другой стороны, этот метод также эффективен для целевых аудиторий, позволяя им легко выбрать лучшее учреждение по выпуску и обработке карт.
• PSD2 идет рука об руку с надежной аутентификацией клиентов. Двухфакторная аутентификация и подобные средства поддерживают большую часть онлайн-платежей и служат дополнительным уровнем защиты таких финансовых операций. В этой директиве есть небольшая лазейка. Когда одна из вовлеченных сторон не находится в пределах ЕЭЗ, она не должна обязывать требованием внедрения так называемого SCA.

Ожидается, что по состоянию на 2022 год более пятисот миллионов человек будут совершать онлайн-покупки в Европе. Этот показатель, вероятно, возрастет еще больше. Резервное копирование такого огромного количества транзакций с помощью сервисов, совместимых с PSD2, несомненно, принесет долгосрочные выгоды.

Пересмотренная Директива о платежных услугах (PSD2)

В каждой стране мира есть свои рекомендации относительно лимитов No CVM (Cardholder Verification Method), которые применяются, когда верификация плательщика не требуется. Это широко известно как схема Tap & Go. Например, в пределах Европейской экономической зоны рекомендуемый лимит транзакции составляет 50 евро.

В то время как магазины и банки-эквайеры могут свободно устанавливать свои собственные лимиты для терминалов, они также берут на себя связанные с этим риски мошенничества No CVM. Вот почему не все банки или продавцы могут устанавливать лимиты выше среднего, так как это может привлечь большее количество мошенников.

Одним из распространенных видов мошенничества с использованием украденных бесконтактных карт является использование схемы Tap & Go путем проведения нескольких транзакций в пределах ограничений No CVM. Системы защиты от мошенничества редко вмешиваются, чтобы заблокировать такие транзакции. Некоторые дерзкие мошенники даже нашли кассиров, готовых разделить крупную купюру на несколько меньших транзакций, например, по 30 фунтов стерлингов каждая, эффективно обходя ограничения.

Борьба с этими мошенническими действиями

Для борьбы с этими мошенническими действиями Европейский Союз ввел ряд новых правил, известных как Директива о платежных услугах, версия 2 (PSD2). Эти правила включают в себя особые требования, касающиеся периодичности проверки плательщика. Начиная с 2020 года банки-эмитенты обязаны устанавливать лимиты на количество транзакций ниже порога Tap & Go. Они должны отслеживать общую потраченную сумму и запрашивать PIN-код после каждых пяти транзакций или когда владелец карты достигает эквивалента максимальной суммы для пяти транзакций Tap & Go, например 250 евро.

MasterCard и Visa предлагают две альтернативы для транзакций, превышающих лимиты Tap & Go: мягкие лимиты и жесткие лимиты. В большинстве стран применяется схема «Мягкие лимиты», которая требует дополнительной проверки плательщика, например, подписи или онлайн-пин-кода, для платежей сверх установленного лимита. Однако в Соединенном Королевстве действует схема Hard Limits, которая требует использования карты с чипом для платежей, превышающих лимиты «Tap & Go». Важно отметить, что этот сценарий не применяется к мобильным кошелькам, поскольку для них действуют отдельные лимиты.

Эксперты по безопасности провели тесты, чтобы оценить эффективность этих правил и изучить потенциальные способы их обхода с помощью общеизвестных уязвимостей или недавно обнаруженных вариантов. Результаты показали, что хакеры, владеющие украденными картами и настроенным терминалом, могут совершать платежи в обычных магазинах, превышающие заранее установленные лимиты, путем сброса этих лимитов с помощью своего взломанного терминала.

Работа с профессиональными платформами выпуска карт: Wallester Edition

Количество и разнообразие услуг, соответствующих нормам PSD2, постоянно растет, что дает предприятиям прекрасную возможность найти наилучшее стратегическое и экономическое соответствие их потребностям и задачам. Сотрудничая с Wallester, вы выбираете кредитные и дебетовые карты, которые безопасно использовать в ЕС для целей электронной коммерции. Используя передовые технологии SCA, такие как 3D Secure, биометрическая проверка, ПИН-код и другие, вы делаете активный шаг вперед, создавая надежную и заслуживающую доверия финансовую среду для потенциальных пользователей ваших услуг.

Количество и регулярность процедур SCA определяются несколькими факторами — от покупательского поведения и привычек вашей аудитории до того, какой вы продавец.

Список типичных ограничений и проверок включает следующее:

• Система ограничит доступное количество бесконтактных платежей и потребует от конечных пользователей ввести PIN-код, когда лимит будет достигнут.
• Сервис проверяет платежи, если они превышают максимальную сумму денег, которую можно потратить на покупку или на онлайн-покупки в целом.

Вышеупомянутые критерии также зависят от ваших собственных правил. Wallester позволяет клиентам устанавливать пользовательские ограничения производительности при выпуске желаемого типа и количества карт, посетите их веб-сайт https://wallester.com.

Связанный: Автоматизация соответствия требованиям HIPAA с помощью DevOps | Все, что тебе нужно знать!

Заверните

Хотя бесконтактные банковские карты удобны, они также обладают уязвимостями, которыми могут воспользоваться мошенники. Устаревшие режимы и использование магнитных полос создают риски безопасности, позволяя злоумышленникам клонировать карты и манипулировать данными транзакций. Несмотря на эти риски, банки продолжают поддерживать устаревшие способы оплаты по нескольким причинам, включая совместимость, сопутствующие расходы, принятие пользователями и международное признание.

Более того, методы проверки держателя карты можно обойти, а схема Tap&Go подвержена злоупотреблениям. Хотя для борьбы с мошенничеством были введены такие правила, как PSD2, ограничения по-прежнему можно обойти с помощью скомпрометированных терминалов. Постоянные улучшения в области безопасности платежей имеют решающее значение для эффективного решения этих проблем.

Если вы хотите обеспечить здоровье и статус вашей компании в долгосрочной перспективе, лучше уже сейчас позаботиться о том, насколько она соответствует последним нормам и правилам. Благодаря таким решениям, как Wallester, вам не нужно беспокоиться о том, как внедрить стандарты PSD2 и SCA — это делается за вас по умолчанию.