Opgradering af massive betalingskort har blandede resultater i Australien

På trods af en års lang opgradering af Australiens betalingssystemer er svindlere stadig ved at vinde og efterlader en tvivlsom rekord for et stort program til at udstyre debet- og kreditkort med nye sikkerhedsfunktioner.

Australien har i flere år overgået til EMV (Europay, MasterCard, Visa) betalingskort, som har en mikrochip med avancerede kryptografiske evner designet til at afskrække svig. Sikkerhedsændringerne har til formål at reducere brugen af ​​den sorte magnetstrimmel på bagsiden af ​​kortene, som kan kopieres for at skabe forfalskede.

EMV-systemet, der blev udviklet i midten af ​​1990'erne, er blevet implementeret i hele Europa og i nogle andre lande. Systemet er blevet drevet af Visa og MasterCard til dels ved trusler om nye bedrageriforpligtelser, der betegnes som et erstatningsansvar for købere og betalingsprocessorer.

[Yderligere læsning: Bedste NAS-kasser til streaming og backup af medier]

En undersøgelse af IDG News Service viser flytningen til EMV i Australien - et land med fire store banker og en befolkning på 22 millioner - har været langsom og savnet selvpålagte industristæringer. Situationen kunne skabe vanskeligheder med EMV-vedtagelse på det meget større amerikanske marked med en befolkning på mere end 300 millioner mennesker og op mod 6000 finansielle institutioner. Mens flytningen til EMV i Australien har medført fald i nogle former for bedrageri, har andre typer steget, uden nogen klar grund til det.

Fraud Drop Reported - men gjorde det?

i juni blev den australske betalings clearing Association (APCA), som er et selvregulerende organ, der forvalter afviklingspolitikker mellem finansielle institutioner, hedder 18% fald i falskkortsvig i 2011.

Tab fra forfalskede debet og kreditkort faldt fra 40,84 mio. US $ (42 mio. USD) i 2010 til 33,46 mio. $ i 2011, sagde apca. Men en nærmere undersøgelse af tallene, der leveres af banker og kreditkortselskaber til APCA, giver ikke et så klart positivt resultat.

Australien har et komplekst betalingsmiljø. Der er debet- og kreditkort med og uden EMV-mikrochip. Svigstal indsendt til APCA omfatter betalingskort udstedt i Australien samt kort udstedt i udlandet og brugt i landet.

For at nå frem til et fald på 18 procent, kombinerede APCA prisen for falsk svindel til indenlandske australske "scheme" -kort, som bære varemærket af virksomheder som MasterCard og Visa, med de af betalingskort udstedte i udlandet, men brugt i Australien.

Sidstnævnte kategori oplevede et markant fald i falsk bedrageri fra 28 millioner dollars i 2010 til 17 millioner dollar i 2011. Men svindel optog på australske udstedte kort, fra $ 12,9 millioner i 2010 til $ 16,4 millioner i 2011, det højeste tal siden APCA begyndte at offentliggøre statistikker for seks år siden.

Dataene tyder på, at australierne bruger skemaer i deres eget land overfor en højere risiko for forfalskning, selv om disse kort har EMV-mikrochip. Yderligere muddying APCAs overordnede påstand er, at det ikke ved, om de oversøiske udstedte kort kun har magnetstripen eller også indeholder EMV-brikken.

"Helt klart spinder de tallene de bedste, de kan," sagde Stephen Wilson, CEO for The Lockstep Group, et smartcard og digital identitetskonsulent baseret i Sydney. "Pressemeddelelser er markedsføringsøvelser."

US Federal Reserve Bank of Atlanta noterede sig i en rapport fra januar 2012, at nedgangen i svig som følge af EMV-udrulning i Australien er "mere beskeden end faldet i falsk svindel i andre chip- og-PIN-markeder. "

APCA CEO Chris Hamilton indrømmer, at tallene fra hans gruppe ikke er resultatet af en videnskabelig undersøgelse. Konklusionerne er delvist spekulative baseret på feedback fra kilder, der leverer APCA med statistik. "Jeg synes det er en retfærdig erklæring om, at det ikke er helt klart," sagde Hamilton.

APCA opretholder nedgangen i andre former for bedrageri skyldes den udbredte udbredelse af POS-enheder (chip-capable point-of-sale).

F.eks. Faldt falsk svindel betydeligt på såkaldte "proprietære" debetkort, som er udstedt af banker, der bruger et betalingssystem, der drives af et firma kaldet EFTPOS Payments Australia Limited (EPAL).

EFTPOS-transaktioner tegner sig for 51 procent af alle transaktioner i Australien og 80 procent af debetkorttransaktioner i henhold til organisation. Men disse kort har ikke EMV-chip, hvilket gør kortene mere sårbare over for falskmøntneri. EPAL hævder, at det har styrket sikkerheden ved proprietære betalingskort, men ville ikke give specifikke detaljer.

ATM-operatører tilbageholdende med at hoppe

EPAL har holdt af med at flytte sine kort til EMV, men planlægger de næste par år at begynde at bruge kortene. EMV ses som et "housekeeping" problem, ifølge en talsmand.

Det var nødvendigt, at forhandlere i Australien havde EMV-mulige betalingsterminaler i april. Hvis de ikke har disse terminaler, kan detailhandlerne være ansvarlige for tab som følge af svig i henhold til overholdelsesfrister.

Men Australiens ATM-flåde, der omfatter mere end 30.000 maskiner rundt omkring i landet, er ikke blevet opgraderet så hurtigt.

Montering af en pengeautomat til EMV, som kan indebære hardware og softwareopgraderinger, er ikke trivielt. At lave en ATM EMV-kompatibel er arbejdskrævende, siger Issa Keshek, som har specialiseret sig i ATM EMV-overholdelse for firmaet Clear2Pay og har arbejdet med australske banker. Maskinerne skal gennemgå tusindvis af tests for at sikre, at de vil arbejde med forskellige korttyper.

På trods af en års lang opgradering af Australiens betalingssystemer er svindlere stadig ved at vinde og efterlader en tvivlsom rekord for et stort program til at udstede debetkort, kreditkort og pengeautomater med nye sikkerhedsfunktioner.

Som følge heraf har de australske banker stoppet og tilladt selvindførte frister at bortfalde. Pengeautomater skulle være EMV-klage i oktober 2013. Fristen blev derefter flyttet frem til juni 2014, men denne dato er stadig ikke sat i sting, hvilket giver yderligere muligheder for svig, siger Keshek. sikkert land bliver et mål, "sagde keshek. "Attackerne begynder at se på temmelig store lande, der ikke har samme sikre infrastruktur, idet Australien er en af ​​dem."

Commonwealth Bank, der kører mere end 4.000 pengeautomater i Australien, sagde i november 2011, at det ville være det første til Rul ud pengeautomater, der opfylder EMV-standarden. NAB planer for sin ATM-flåde at være fuldt EMV-aktiveret inden udgangen af ​​juni 2013, mens ANZ sagde, at planerne var kommercielt følsomme, men at opgraderingen var en "højeste prioritet". WestPac sagde, at hovedparten af ​​sine pengeautomater er EMV-kompatible, men det betyder ikke nødvendigvis, at maskinerne er i overensstemmelse endnu.

Omkring halvdelen af ​​de 30.000 pengeautomater i Australien drives af ikke-bankvirksomheder. Den største er First Data and Customers ATM. Kundernes pengeautomat undlod at kommentere, mens First Data afviste at give et interview, men sagde, at det var på vej mod fuld EMV-overholdelse.

Typisk vil ikke-bankautomater "blive bygget til de samme sikkerhedsstandarder som bankautomater, fordi de er billigere enheder ", siger Iain Swaine, hovedkonsulent for forebyggelse af e-kriminalitet i Greenway Solutions, en konsulentvirksomhed i Storbritannien. De ikke-bankautomater skal opfylde de samme sikkerhedsstandarder som pålagt af Visa og MasterCard, men Swaine sagde, at enhederne kan ikke være så fysisk sikker som bankautomater.

"Det er derfor, der er større chance for, at kortskimmere arbejder på dem, og at angribere enten fysisk kan komme ind i enhederne for at sætte interne skimmere eller til at aflytte modemtilslutningen ud af Tilbage, "sagde Swaine. Da ikke alle betalingskort har EMV-chip i Australien, kan nogle banker ikke have slukket den såkaldte" backback "-mekanisme, som gør det muligt for en pengeautomat at læse data fra kortets magnetiske stribe. I nogle tilfælde vil pengeautomater også læse magnetiske stripedata, hvis chippen forekommer defekt.

Det åbner et vindue med mulighed for svindlere, der kan udnytte kompleksiteten og teste pengeautomater for at se om enhederne skal betale.

Hvis en kundes ATM-kort er blevet skummet og et forfalsket kort er lavet, "er der ingen måde for en bank at fortælle om en klonet magstripe eller en ægte magstripe anvendes ", siger Steven J. Murdoch, en forsker i sikkerhedsgruppen på University of Cambridge Computer Laboratory, som har studeret EMV i vid udstrækning. "Bankregistre skal kunne skelne mellem chip og magstripe."

Situationen er dårlige nyheder for kunder, der kan påtage sig ansvaret, hvis deres chipkort anvendes svigagtigt. Hvis et chipkorts magnetiske stribe er klonet, og en bankens pengeautomat er konfigureret til kun at læse magnetbåndet, kan det være svært for en kunde at bevise, at de ikke udførte en mistænkelig transaktion. "

" Banken tager endnu mere aggressive skridt til Prøv at vise, at du har gjort noget galt, og at det er din fejlbehandling, "sagde Keshek. "Du er næsten skyldig, før du er blevet uskyldig."

Banker kan bruge andre midler til at registrere falske kort. Hvis et kort f.eks. Bruges i Sydney, og en time senere bruges til at hæve penge i Rumænien, er det et godt tegn på, at en bedrager kan være på arbejde.

Men geografiske placeringer har deres grænser, især når en svigagtig transaktion finder sted i nærheden hvor en kortindehaver lever. "Det er meget svært at fange disse transaktioner, fordi svindelsystemerne ikke er stramme nok", siger Avivah Litan, en svindelopdagelsesekspert og analytiker hos Gartner. "Ellers begynder de at forstyrre gode kunder."

Bankerne udvikler stadig bedre systemer til at fange svig, siger Swaine. Det globale finansielle system, der muliggør kortbetalinger rundt omkring i verden, er så teknisk, siger Wilson, "Det er fantastisk, det virker altid."

Send nyhedstips og kommentarer til [email protected]