Oppgradering av massiv betalingskort har blandede resultater i Australia

Til tross for en årlig oppgradering av Australias betalingssystemer, svikter fortsatt svindlere, og lar en tvilsom rekord for et stort program for å utstede debet- og kredittkort med nye sikkerhetsfunksjoner.

Australia har i flere år overgått til EMV (Europay, MasterCard, Visa) betalingskort, som har et microchip med avanserte kryptografiske evner som er utformet for å avskrekke svindel. Sikkerhetsendringene er ment å redusere bruken av den svarte magnetiske stripen på baksiden av kortene, som kan kopieres for å skape forfalskninger.

EMV-systemet, utviklet i midten av 1990-tallet, har blitt brukt i hele Europa og i noen andre land. Systemet har blitt drevet av Visa og MasterCard delvis av trusler om nye svindelforpliktelser, betegnet "ansvarsskift", for kjøpmenn og betalingsprosessorer.

[Videre lesing: Best NAS-bokser for media streaming og backup]

En undersøkelse av IDG News Service viser flyttingen til EMV i Australia - et land med fire store banker og en befolkning på 22 millioner - har vært sakte og savnet selvpålagte industristæringer. Situasjonen kan foreskygge vanskeligheter med EMV-adopsjon i det mye større amerikanske markedet, med en befolkning på mer enn 300 millioner mennesker og oppover 6000 finansinstitusjoner. Mens flyttingen til EMV i Australia har ført til nedgang i enkelte former for svindel, har andre typer økt, uten klar grunn.

Svindeltab rapportert - men gjorde det?

I juni ble Australian Payment Clearing Foreningen (APCA), en selvregulerende instans som forvalter oppgjørspolitikker mellom finansinstitusjoner, hevdet en nedgang på falsk kortfusk på 18 prosent i 2011.

Tap fra forfalskede debet og kredittkort falt fra US $ 40,84 millioner (US $ 42 millioner) i 2010 til 33,46 millioner dollar i 2011, sa apca. Men en nærmere undersøkelse av tallene, gitt til banken og kredittkortselskapene, til APCA, gir ikke et så klart positivt resultat.

Australia har et komplekst betalingsmiljø. Det er debet- og kredittkort med og uten EMV-mikrochip. Svindelstallene som sendes til APCA, omfatter betalingskort utstedt i Australia, samt kort som er utstedt i utlandet og brukes i landet.

For å komme til nedgangen på 18 prosent, kombinerte APCA kostnaden for falsk svindel for innenlandske australske "scheme" -kort, som bære merkevaren til selskaper som MasterCard og Visa, med de av betalingskort som er utstedt utenlands, men brukt i Australia.

Sistnevnte kategori så en merkbar nedgang i falsk svindel fra 28 millioner dollar i 2010 til 17 millioner dollar i 2011. Men svindel skutt opp på australske utstedte kort, fra $ 12,9 millioner i 2010 til $ 16,4 millioner i 2011, det høyeste tallet siden APCA begynte å publisere statistikk for seks år siden.

Dataene antyder at australiere bruker skjemakort i sitt eget land mot et høyere risiko for forfalskning, selv om disse kortene har EMV-mikrochip. Ytterligere gjørme APCAs generelle krav er at den ikke vet om de utlandet-utstedte kortene bare har magnetstrimmelen eller inneholder også EMV-brikken. «

« Helt klart snakker de tallene så godt de kan, »sa Stephen Wilson, administrerende direktør i The Lockstep Group, et smartkort og digital identitetskonsulent basert i Sydney. "Pressemeldingene er markedsføringsøvelser."

US Federal Reserve Bank of Atlanta noterte i en rapport fra januar 2012 at nedgangen i svindel på grunn av EMV-utrulling i Australia er "mer beskjeden enn nedgangen i falsk svindel i andre chip- og-PIN-markeder. "

APCAs CEO Chris Hamilton innrømmer at tallene utstedt av hans gruppe ikke er resultatet av en vitenskapelig studie. Konklusjonene er delvis spekulative basert på tilbakemelding fra kilder som leverer APCA med statistikk. "Jeg synes det er en rettferdig uttalelse at det ikke er veldig klart," sa Hamilton.

APCA opprettholder nedgangen i andre typer svindel, kan tilskrives den utbredte distribusjonen av POS-enheter (chip-capable point-of-sale).

Forfalsket svindel falt for eksempel betydelig på såkalte "proprietære" debetkort, som er kort utstedt av banker som bruker et betalingssystem som drives av et firma kalt EFTPOS Payments Australia Limited (EPAL).

EFTPOS-transaksjoner utgjør 51 prosent av alle transaksjoner i Australia og 80 prosent av debetkorttransaksjoner, i henhold til organisasjon. Men disse kortene har ikke EMV-brikken, noe som gjør kortene mer utsatt for forfalskning. EPAL opprettholder at det har styrket sikkerheten til proprietære debetkort, men ville ikke gi spesifikke detaljer.

ATM-operatører Motvillig til å hoppe

EPAL har holdt av å flytte kortene sine til EMV, men planlegger de neste par årene å begynn å utplassere kortene. EMV er sett på som et "housekeeping" -problem, ifølge en talsmann.

Det var nødvendig med forhandlere i Australia å ha EMV-mulige betalingsterminaler i april. Hvis de ikke har disse terminaler, kan forhandlere holdes ansvarlig for tap på grunn av svindel, i henhold til overholdelsestidspunkter.

Men Australias minibank for minibanker, som omfatter mer enn 30.000 maskiner rundt om i landet, har ikke blitt oppgradert så fort.

Montering av en minibank for EMV, som kan innebære maskinvare- og programvareoppgraderinger, er ikke trivielt. Å gjøre en ATM EMV-kompatibel er arbeidskrevende, sier Issa Keshek, som spesialiserer seg på ATM EMV-samsvar for selskapet Clear2Pay, og har jobbet med australske banker. Maskinene må gjennomgå tusenvis av tester for å sikre at de vil jobbe med forskjellige korttyper.

Til tross for en årlig oppgradering av Australias betalingssystemer, svikter fortsatt svindlere, og lar en tvilsom rekord for et stort program for å utstede debetkort, kredittkort og minibanker med nye sikkerhetsfunksjoner.

Som et resultat har de australske bankene stanset og tillot selvpålagte frister for å forfalle. Minibankene skulle være EMV-klage innen oktober 2013. Fristen ble deretter flyttet frem til juni 2014, men datoen er fortsatt ikke satt i stein, noe som gir ytterligere muligheter for svindel, sa Keshek. sikkert land blir et mål, "sa Keshek. "Angriperne begynner å se på ganske store land som ikke har samme sikre infrastruktur, Australia er en av dem."

Commonwealth Bank, som går over 4000 minibanker i Australia, sa i november 2011 at det ville være den første til Rulle ut minibanker som oppfyller EMV-standarden. NAB planlegger ATM-flåten til å være fullt EMV-aktivert innen utgangen av juni 2013, mens ANZ sa at planene var kommersielt følsomme, men at oppgraderingen var en "topp prioritet". WestPac sa at flertallet av minibankene er EMV-kompatible, men det betyr ikke nødvendigvis at maskinene er kompatible ennå.

Omtrent halvparten av de 30.000 minibankene i Australia drives av ikke-bank selskaper. Den største er First Data og kundes minibank. Kunde-minibanken nektet å kommentere, mens First Data nektet å gi et intervju, men sa at det var i ferd med å oppnå full EMV-overholdelse.

Vanligvis vil ikke-minibanker ikke bygges til de samme sikkerhetsstandardene som bankautomater fordi de er billigere enheter, sier Iain Swaine, hovedkonsulent for forebygging av e-kriminalitet på Greenway Solutions, en konsultasjon basert i Storbritannia. De ikke-bankbaserte minibankene må oppfylle de samme sikkerhetsstandardene som pålagt Visa og MasterCard, men Swaine sa at enhetene kan ikke være så fysisk sikker som bankautomater.

"Det er derfor det er flere muligheter for at kortskimmere jobber med dem, og at angriperne enten fysisk kan komme inn i enhetene for å sette inn interne skummer eller for å avlyse på modemforbindelsen ut av tilbake, sier Swaine.

Siden ikke alle betalingskort har EMV-brikken i Australia, kan enkelte banker ikke ha slått av den såkalte "fallback" -mekanismen som gjør at en minibank kan lese data fra kortets magnetiske stripe. I noen tilfeller vil minibanker også lese magnetiske stripedata hvis brikken virker feil.

Det åpner et vindu for muligheter for svindlere, som kan dra nytte av kompleksiteten, teste minibanker for å se om enhetene vil betale ut.

Hvis en kundes minibank er skummet og et forfalsket kort er gjort, "det er ingen vei for en bank å fortelle om en klonet magstripe eller en ekte magstripe blir brukt, sier Steven J. Murdoch, en forsker i sikkerhetsgruppen på University of Cambridge Computer Laboratory som har studert EMV omfattende. "Bankoppføringer skal kunne skille mellom chip og magstripe."

Situasjonen er dårlige nyheter for kunder, som kan ta ansvaret dersom deres chipkort brukes sviktfritt. Hvis et brikkekorts magnetiske stripe er klonet og en bankens minibank er konfigurert til bare å lese magnetbåndet, kan det være vanskelig for en kunde å bevise at de ikke utførte en mistenkelig transaksjon.

"Banken tar enda mer aggressive skritt for å Prøv å vise at du har gjort noe galt, og at det er din feilbehandling, sier Keshek. "Du er nesten skyldig før du er blitt uskyldig."

Banker kan bruke andre midler til å oppdage forfalskede kort. For eksempel, hvis et kort brukes i Sydney, og en time senere pleide å ta ut penger i Romania, er det et godt tegn på at en svindler kan være på jobb.

Men blokkeringer med geografisk plassering har sine grenser, særlig når en svindelstransaksjon finner sted nær hvor en kortinnehaver lever. "Det er veldig vanskelig å fange disse transaksjonene fordi svindelsystemene ikke er tette nok," sier Avivah Litan, en svindelekspert og analytiker hos Gartner. "Ellers begynner de å forstyrre gode kunder."

Bankene utvikler fortsatt bedre systemer for å fange svindel, sa Swaine. Det globale finansielle systemet som gjør det mulig å betale kort over hele verden, er så teknisk, sier Wilson, "Det er utrolig det fungerer i det hele tatt."

Send nyheter og kommentarer til [email protected]