チップバンクカードは、磁気ストライプではなくチップカードを使用して支払う場合、スキマーやマルウェアでクローンを作成しても意味がないように設計されています。しかし、最近のアメリカの店舗への攻撃のいくつかは、泥棒が一部の金融機関によるこのテクノロジーの実装の弱点を悪用していることを示しています。これにより、チップカードをバイパスし、実際に使用可能な偽造品を作成できます。
従来、プラスチックカードは、所有者のアカウントデータを磁気ストリップ上のプレーンテキストでエンコードしていました。支払い端末に隠されたスキマーやマルウェアは、そこからデータを読み取って書き留めることができます。このデータは、他の磁気ストライプカードにエンコードして、不正な金融取引に使用できます。
最近のカードは、チップに保存されているアカウントデータを暗号化するEMVテクノロジー(Europay + MasterCard + Visa)を使用しています。このテクノロジーのおかげで、カードがチップをサポートする端末と対話するたびに、トークンまたはクリプトグラムと呼ばれる1回限りの一意のキーが生成されます。
ほとんどすべてのチップカードは、カードの磁気ストライプにエンコードされているのと同じデータを保存します。多くの米国のベンダーはまだチップ対応端末に切り替えていないため、これは下位互換性のためです。この二重機能により、カードのチップまたは販売者の端末が正しく機能していない場合でも、カード所有者は磁気ストライプを使用できます。
ただし、EMVチップに保存されているデータと磁気ストライプに保存されているデータにはいくつかの違いがあります。これらの1つは、集積回路カード検証コード(iCVV)と呼ばれるチップコンポーネントです。これは、「動的CVV」とも呼ばれます。
iCVVは、磁気テープに保存されているCVVカード確認コードとは異なり、チップからデータをコピーして、それを使用して偽の磁気ストライプカードを作成することを防ぎます。 iCVVとCVVはどちらも、カードの裏面に印刷されている3桁の数値コードとは関連付けられていません。これは通常、オンラインストアでの支払いや、電話でのカードの確認に使用されます。
EMVアプローチの利点は、スキマーやウイルスがカードトランザクションに関する情報を傍受した場合でも、このデータはそのトランザクションに対してのみ有効であり、将来、泥棒が不正な支払いを行うことを許可しないようにすることです。
ただし、このセキュリティシステム全体が機能するためには、カードを発行する金融機関によって展開されるバックエンドシステムは、カードが端末に挿入されると、データとともにiCVVのみが発行されることを確認する必要があります。逆に、磁気ストライプで支払う場合は、 CVV。この情報が選択したトランザクションタイプと一致しない場合、金融機関はトランザクションを拒否する必要があります。
問題は、すべての組織がシステムを正しく構成しているわけではないということです。泥棒がこれらの弱点を何年もの間知っていたのは当然のことです。 2017年に、私は「きらめき」(チップを使用して行われたトランザクションからのデータを傍受するハイテクスキマー)の使用率の増加について書きました。
カナダのATMで見つかったきらめき
最近、Cyber R&D Labsの研究者は、ヨーロッパと米国の10の異なる銀行のカードで11種類のチップの実装をテストした研究の結果を発表しました。彼らは、そのうちの4つからデータを取得し、クローン化された磁気ストライプカードを作成して、支払いに正常に使用できることを発見しました。
Cyber R&D Labsによって詳述された方法が、店舗の端末にインストールされるマルウェアによって使用されていると信じる理由はすべてあります。プログラムはEMVからのトランザクションデータを傍受します。EMVは転売してチップカードのコピーを作成するために使用できますが、磁気ストライプを使用します。
2020年7月、世界最大の支払いネットワークであるVisaが警告を発しました最近侵害された売り手の端末に関するセキュリティの脅威について。彼らの端末では、マルウェアはチップカードで動作するようにパッチが適用されています。
「EMVチップなどの安全な支払いテクノロジーの実装により、サードパーティのアカウント支払いデータのメリットが大幅に減少しました。このデータには、個人のPANアカウント番号、iCVVカード検証コード、およびデータの有効期限のみが含まれているためです」とVisaは書いています。 「したがって、正しいiCVVの確認により、偽造のリスクは最小限に抑えられました。さらに、多くの販売者はPANを暗号化するP2PE暗号化端末を使用しており、支払いを行うリスクをさらに軽減しています。」
売り手の名前は言及されていませんが、米国北東部のスーパーマーケットチェーンであるKey Food Stores Co-OperativeInc。でも同様のことが起こったようです。 Key Foodは当初2020年3月にカードハッキングの詳細を開示しましたが、EMVトランザクションデータも傍受されたことを明確にするために2020年7月に声明を更新しました。
「店舗の端末はEMV対応でした」とKeyFoodは説明します。 「私たちの意見では、これらの時点でのトランザクション中に、マルウェアはカード番号と有効期限のみを傍受できました(所有者の名前や内部確認コードではありません)。」
Key Foodの主張は技術的には正しいものですが、現実を装飾しています。盗まれたEMVデータを使用して、磁気ストライプカードのバリエーションを作成し、発行銀行が販売しなかったときにマルウェアを搭載した端末が設置されているキャッシュレジスターで使用できます。 EMV保護は正しいです。
7月、詐欺防止会社のGemini Advisoryは、 EMVトランザクションデータを盗んだ商人(Key Foodを含む)での最近のハッキングについて詳しく説明したブログ投稿を公開しました。カーダーのための店。
「この事件で盗まれたペイメントカードは、ダークウェブで売りに出されました」とジェミニは説明します。 「事件が発見された直後に、いくつかの金融機関は、フォールバック方法として磁気ストライプに依存することなく、参加しているすべてのカードがEMVによって処理されたことを確認しました。」
ジェミニは、ジョージアの酒屋での別のセキュリティ事件もEMVトランザクションデータを危険にさらし、盗まれたカードを販売するサイトの暗いウェブに後で表示されることを確認したと言います。 GeminiとVisaが指摘しているように、どちらの場合も、銀行からのiCVVデータを正しく確認することで、詐欺師はデータを役に立たなくするはずでした。
Geminiは、影響を受けた店舗の数が非常に多いことから、泥棒が手動でインストールされたEMVシマーを使用してEMVデータを傍受する可能性は非常に低いと判断しました。
「この戦術の非実用性を考えると、彼らは別の手法を使用して支払い端末に侵入し、EMVバイパスクローニングを実行するのに十分なEMVデータを収集したと結論付けることができます」と同社は書いています。
Geminiの研究開発ディレクターであるStasAlferovは、そのようなチェックを行わない金融機関は、そのようなカードの誤用の事例を追跡する能力を失うと述べました。
事実、チップカードを発行している多くの銀行は、チップを使用した取引に使用されている限り、それらを複製して地下市場で販売するリスクは実質的にないと考えています。したがって、これらの組織が不正なトランザクションのパターンを探して、マルウェアによって侵害されたベンダーの機器を特定する場合、チップベースの支払いを完全に見落とし、顧客がカードをストライプ状にスワイプしたチェックアウトカウンターのみに焦点を当てる可能性があります。
「カードネットワークは、現在ハッキングされているEMVトランザクションがもっとたくさんあることに気づき始めています」とAlferov氏は述べています。「ChaseやBankof Americaのような大規模なカード発行者は、すでにiCVVとCVVの不整合をチェックし、疑わしい取引を拒否しています。しかし、小規模な組織は明らかにそうではありません。」
良くも悪くも、どの金融機関がEMV標準を誤って実装したかはわかりません。したがって、カードの使用状況を常に注意深く監視し、不正なトランザクションがあればすぐに報告する必要があります。銀行が取引に関するテキストメッセージの受信を許可している場合、これはそのような活動をほぼリアルタイムで追跡するのに役立ちます。