Sicherheit von Zahlungskarten
Sicherheit von Zahlungskarten
Moderne Zahlungskarten sind mit einer Reihe von technologischen Lösungen ausgestattet, die das Sicherheitsniveau ihrer Verwendung erhöhen. Diese Sicherheitsmerkmale sollen einerseits die Karte gut schützen und andererseits vom Händler, Käufer und Aussteller der Karte (der Bank) leicht verifizierbar sein. Sie müssen sicherstellen, dass:
- Die Karte ist original und wurde nicht von Kriminellen gefälscht;
- Sein Besitzer ist derjenige, der behauptet, bereits behandelt worden zu sein.
Um die Möglichkeit von Betrug zu verringern, verwenden Kartenorganisationen und Banken daher ein mehrstufiges Sicherheitssystem. Es ist so aufgebaut, dass sich seine einzelnen Bereiche ergänzen. Dieses System beinhaltet:
- offene und verdeckte visuelle Sicherheit;
- in die Karte integrierte elektronische Sicherheit;
- Sicherheitsmaßnahmen schützen die Datenübertragung während des Zahlungsautorisierungsprozesses.
visuelle Sicherheit
Der primäre Schutz einer Zahlungskarte vor Fälschung und unbefugter Nutzung ist die Personalisierung, also die Zuordnung der Karte zu einem bestimmten Kunden, der Bank und der Kartenorganisation. Diese Sicherheitssuite umfasst:
- 16-stellige Kartennummer (unten auf der Vorderseite eingeprägt);
- Ablaufdatum der Karte, angegeben im Format MM / JJ – die alte Karte muss automatisch reserviert oder vom Geldautomaten oder an der Verkaufsstelle abgelehnt werden;
- Vor- und Nachname des Karteninhabers – die Karte kann nur von der Person verwendet werden, deren persönliche Daten auf dem Plastik erscheinen;
- Der dreistellige CVC2/CVV2-Code, ein Sicherheitsmerkmal bei Remote-Transaktionen, bei denen keine PIN verwendet werden kann. Es wird nur auf der Rückseite der Karte und im Informationstechnologiesystem der Bank platziert;
- Die Unterschrift des Eigentümers (und bei Visitenkarten der eingravierte Firmenname). Nicht signierte Karten gelten als ungültig;
- Jede Zahlungskarte muss zusätzlich das Logo des Systems enthalten (zB VISA, Eurocard/Mastercard, PolCard, American Express).
Eine interessante Tatsache ist, dass eine andere Form der Sicherheit die genaue Reihenfolge aller Elemente ist, die auf der Karte erscheinen. Jeder Verkäufer erhält zusammen mit dem Gerät Anweisungen vom Betreiber, in denen die Reihenfolge der einzelnen Details beschrieben ist. Beispielsweise gibt es in den PaySquare-Richtlinien für Verkäufer Informationen, dass im Fall von Karten der Marke Masterdcard „die vier Ziffern unter der Kartennummer mit den ersten vier Ziffern der Kartennummer übereinstimmen müssen und mit ‚5‘, der Karte, beginnen müssen Nummer“ muss in viereckigen Blöcken angeordnet sein und ist in Größe und Form identisch.
Natürlich ist die Personalisierung der Karte nicht die einzige Sicherheit. Darüber hinaus bringen Kartenherausgeber spezielle Markierungen an, die es schwierig machen, Plastik zu fälschen. Dieser Satz von Sicherheitsmerkmalen umfasst die folgenden Elemente: Hologramme, Grafiken, feine Drucke sowie Zeichen, die nur unter UV-Licht sichtbar sind.
Hologramm
Ein Hologramm ist ein dreidimensionales optisches Tag, das auf einer dünnen laserlichtempfindlichen Folie eingraviert ist. Der Inhalt des Hologramms erscheint im richtigen Licht und in der richtigen Kartenposition. Das Hologramm kann nicht entfernt oder verändert werden, da es mit einer Methode namens Heißprägefolie in das Kartenmaterial eingeschmolzen wird.
Das Hologramm ist eines der besten offenen Sicherheitsmerkmale von Zahlungskarten. Ein großer Vorteil ist die Möglichkeit der schnellen Verifizierung durch den Händler, die keine zusätzlichen Geräte am Ort der Transaktion benötigt, beispielsweise in einem Geschäft, Restaurant oder an einer Tankstelle.
Die Verwendung von Hologrammen ist ziemlich teuer (aufgrund der sehr hohen Kosten der Matrix), aber – paradoxerweise – ist es dieser Faktor, der Betrüger daran hindert, „Fälschungen“ zu erstellen. Leider gibt es Fälle, in denen Kriminelle in eine teure Druckmaschine investieren und Karten mit einem scheinbar originellen Hologramm herstellen können.
Fun Fact: Vor einigen Jahren hat die polnische Polizei auf diese Weise eine mehr als 2.000-köpfige Bande demontiert. Kreditkarten, dann wurde mit ihrer Hilfe die Ware um mindestens 1,5 Millionen PLN betrogen.
Sicherheitsgrafiken und Kleingedrucktes
Diese Gegenstände werden als bewertete Sicherheitsmerkmale eingestuft, da sie mit bloßem Auge schwer zu erkennen sind. Dabei handelt es sich um sehr komplexe, unregelmäßige und kleine Grafiken, die beim Drucken mit Spezialklebeband auf die Karte aufgebracht werden.
Mikroabdrücke werden nur im richtigen Licht und bei starker Vergrößerung sichtbar, sodass Kartenhändler sie nicht überprüfen müssen. Sie werden häufig verwendet, um die Karte bei Ermittlungen durch Strafverfolgungsbehörden auf einer spezialisierten Forschungsebene zu validieren.
In UV-Strahlen sichtbare Sicherheitsmerkmale
In der Regel sind dies grafische Symbole von Zahlungsorganisationen, aber nicht immer. Manchmal handelt es sich bei den Buchstaben auch um einzelne Buchstaben, die der Betrachter an unerwarteter Stelle platziert, zum Beispiel in der Ecke einer Karte, unter der Beschichtung des Magnetstreifens usw. Für den UV-Druck wird eine spezielle Tinte verwendet, die chemische Eigenschaften hat, die es unmöglich machen, ein solches Zeichen mit bloßem Auge zu lesen.
Fun Fact: Unter UV-Licht erscheint auf der Visa Karte zwischen den Buchstaben „I“ und „S“ ein zusätzlicher Buchstabe V. Auf Mastercard-Karten befindet sich die Abkürzung MC auf der linken Seite der Karte.
Hat der Kartenhändler Bedenken hinsichtlich der Echtheit, kann er diese Garantie selbstständig prüfen (es handelt sich jedoch nicht um eine zwingende Verpflichtung). Terminalbetreiber geben in ihren Händleranweisungen jedoch immer an, was die UV-Komponente auf einem bestimmten Kartentyp ist, sodass Händler wissen, wo und mit welcher Markierung sie erscheinen muss.
Unterschriftenband – Besonderer Schutz
Eines der besonders geschützten Elemente der Karte ist das Band auf der Rückseite, auf dem der Plastikkarteninhaber seine Unterschrift setzt. Dieser Platz ist mit einer Reihe unterschiedlicher Sicherheitsmerkmale wie UV-Druck und/oder Steckprägung ausgestattet.
Darüber hinaus befindet sich unter dem Miniaturdruck eine Schicht weißer Farbe, die den charakteristischen Hintergrund darstellt. Bei einem betrügerischen Versuch, den Namen auf der Leiste zu entfernen oder zu zerkratzen, wird die Unterstützung automatisch entfernt, und das beschädigte Feld zeigt „VOID“ (Mastercard) oder „Ungültige Karte“.
Die Verwendung vieler Sicherheitsmerkmale wird durch die Tatsache bestimmt, dass es bei Offline-Transaktionen die Unterschrift ist, die es Verkäufern ermöglicht, die Identität des Eigentümers des Kunststoffs zu überprüfen. Wie wir jedoch wissen, schauen Verkäufer selten auf unsere Karte, wenn wir damit bezahlen. Erstens, weil eine gründliche Überprüfung jeder Karte sehr lange dauern wird, und zweitens – wenn sie dies zum ersten Mal versuchen, verlieren sie den Kunden wahrscheinlich für immer. Aus diesem Grund setzen Banken verstärkt auf Fernsicherheit.
Onlinesicherheit
Wie kann jedoch aus der Ferne überprüft werden, ob die Person, die die Karte verwendet, dazu berechtigt ist? Bei Online-Transaktionen (z. B. Bargeldabhebungen an Geldautomaten) wird die visuelle Sicherheit weniger wichtig und die elektronische Sicherheit wichtiger. Dank ihnen kann der Kartenaussteller (die Bank) sicherstellen, dass eine bestimmte Operation vom echten Karteninhaber und nicht von einem Betrug in Auftrag gegeben wurde.
Die primäre Sicherheit der Karte ist eine PIN (Personal Identification Number). Sie ist eine Art „elektronische Unterschrift“ des Kunststoffbesitzers und wird von Finanzinstituten einer handschriftlichen Unterschrift gleichgestellt. Dieser vierstellige Code ermöglicht Ihnen Transaktionen in Geschäften und Geldabhebungen an Geldautomaten und schützt gleichzeitig unsere Ersparnisse – natürlich nur, wenn wir uns angemessen um deren Sicherheit kümmern und sie nicht leichtsinnig mit Dieben teilen.
Zur elektronischen Sicherheit gehört auch ein Magnetstreifen und/oder Chip. An diesen Stellen befindet sich der verschlüsselte Datensatz auf dem Kunststoffhalter. Die im Prozessorchip gespeicherten Informationen ergänzen die visuelle Sicherheit der Karte und werden verwendet, um Ferntransaktionen zu ermöglichen.
Magnetstreifenkarte anfällig für Betrug
Das Magnetband besteht aus drei Pfaden, dh parallelen Magnetfeldern, die von einem Magnetkopf gelesen werden, der sich in einem Geldautomaten oder Terminal befindet. Die erste Spur enthält den Vor- und Nachnamen des Karteninhabers sowie Angaben zu Land und Bank, die die Karte ausgestellt haben. Die zweite Spur enthält die Kartennummer, das Ablaufdatum und den Servicecode, der zum korrekten Abschluss der Transaktion erforderlich ist. Andererseits wird der dritte Pfad verwendet, um private Bankinformationen aufzuzeichnen.
Leider sind die Sicherheitsmerkmale dieser Art von Karten sehr leicht zu knacken. Mit einem Gerät namens Programmierer können Betrüger den Inhalt des Bandes einfach kopieren und die sensiblen Daten der Karte auf ihre Kopie übertragen. Eine geklonte Karte funktioniert genau wie die Originalkarte und Transaktionen werden damit zugunsten ihres rechtmäßigen Besitzers getätigt.
Kopiersicherere Chipkarten
Chipkarten, die Magnetstreifenkarten ersetzt haben, sind mit einem viel besseren Sicherheitssystem ausgestattet. Es enthält neben dem Mikroprozessor auch ein permanentes ROM, auf das das Betriebssystem geladen wird. Wir zeichnen uns aus durch:
- freier Lesebereich – enthält die verschlüsselten Daten des Karteninhabers: seinen Vor- und Nachnamen, seine Kartenidentifikationsnummer, sein Ablaufdatum sowie den Namen des ausstellenden Finanzinstituts;
- Geheimer Bereich – zugänglich nach Eingabe der PIN-Nummer. In diesem Bereich werden Informationen über den Kartenhersteller und vertrauliche Daten über den Benutzer gespeichert;
- Arbeitsbereich – wo variable Daten gespeichert werden (z. B. Kartentransaktionsliste, Bankkontosaldo, Transaktionszähler usw.).
Außerdem ist der Chip mit einem Coprozessor zur Codierung ausgestattet, der auf Basis komplexer Algorithmen arbeitet. Darüber hinaus kann die Kommunikation zwischen dem Programm und dem Prozessor auch verschlüsselt werden, was einen zusätzlichen Schutz vor fortgeschrittenen Hackerangriffen darstellt.
Kurz gesagt, der in die Karte eingebettete Chip verwendet mehrstufige Verschlüsselungstechniken und generiert einzigartige dynamische Daten für jede Transaktion (die sogenannte Nachrichtensignatur). Dadurch ist es nahezu unmöglich, die Informationen auf der Chipkarte zu kopieren.
Die Sicherheit deckt den Autorisierungsprozess ab
Wenn wir mit einer Karte in einem Geschäft bezahlen oder mit ihrer Hilfe Bargeld an einem Geldautomaten abheben, muss unsere Bank sicherstellen, dass wir dazu berechtigt sind und nicht vorgeben, der rechtmäßige Eigentümer des Plastiks zu sein. Dieser Vorgang wird Autorisierung genannt und die Online-Transaktion läuft folgendermaßen ab: Ein Geldautomat oder ein Endgerät liest die Daten vom Chip oder Magnetstreifen und sendet sie an den Käufer, der die Gültigkeit der Karte überprüft. Ist dies der Fall, muss der Käufer den im Gerät noch verschlüsselten PIN-Code eingeben und in dieser Form an die Bank senden (damit auch eine Person in der Berechtigungsstelle ihn nicht lesen kann). Wenn die PIN korrekt ist, erlaubt der Abrechnungszentrumscomputer die Transaktion.
Es sollte beachtet werden, dass die Autorisierungssysteme der Banken zusätzliche Sicherheitsmaßnahmen eingebaut haben, um Betrug zu erkennen, d. h. unkonventionelle und verdächtige Kartentransaktionen. Wenn eine bestimmte Zahlung vom typischen Transaktionsalgorithmus eines bestimmten Kunden abweicht, z. B. um 13 Uhr in Żabka mit einer Karte bezahlt und nach ein paar Stunden einen Mercedes in Florida kauft, kann die Bank beschließen, in die falschen Hände zu geraten und den Autorisierungsprozess unterbrechen (oder auch ohne Wissen des Karteninhabers die Karte sperren).
Offline-Transaktionen sind etwas anders erlaubt, zum Beispiel mit einer kontaktlosen Karte. In diesem Fall kontaktiert der Geldautomat oder das Terminal nicht das Autorisierungszentrum der Bank und überprüft die Daten, die zum Abschluss der Transaktion selbst erforderlich sind. Als zusätzliche Sicherheitsmaßnahme prüft das Gerät automatisch, ob eine bestimmte Karte nicht in der sogenannten Urlaubsentwöhnung, also der Liste der gestohlenen und gesperrten Karten, enthalten ist. In diesem Fall beendet das Gerät die Autorisierung und zeigt eine Meldung an den Händler an, der die Karte an dieser Stelle behalten sollte.
Den Weg des Lizenzierungsverfahrens haben wir in diesem Artikel ausführlich besprochen.
Sicherheit bei Online -Zahlungen
Weniger klar ist die Situation bei der Sicherung von Online-Transaktionen, bei denen der Verkäufer die Echtheit der Karte nicht visuell beurteilen kann und die einzige Form der Überprüfung der Identität des Besitzers des Plastiks der dreistellige CVC2 / CVV2-Code ist . Wenn ein Dieb unsere Karte stiehlt, muss er die PIN nicht kennen – er muss lediglich sensible Kartendaten angeben und Zahlungen für Einkäufe werden unserem Konto belastet.
Eine Lösung, um diese Art von Betrug zu verhindern, ist der 3D Secure-Dienst, der von den meisten polnischen Banken angeboten wird. Es besteht aus einer zusätzlichen Bestätigung der Transaktion mit einem Einmalpasswort. Je nach verwendetem Autorisierungstool kann es sich um einen Code aus einer Textnachricht, einer Rubbelkarte oder einem Token handeln. Nachdem bestätigt wurde, dass die Person, die den Kauf getätigt hat, der tatsächliche Karteninhaber ist, leitet die Bank die Transaktion weiter, um die normale Autorisierung zu erhalten.
Es ist erwähnenswert, dass Besitzer von Online-Shops auch verpflichtet sind, die Sicherheit von Transaktionen zu gewährleisten. Zunächst einmal müssen sie ihren Kunden versichern, dass die Übertragung von Daten zwischen ihren Heimcomputern und dem Server, auf dem Website und Datenbank im Geschäft gehostet werden, gegen Hacker resistent ist. Das primäre Tool, das einen solchen Schutz ermöglicht, ist ein SSL-Zertifikat (Secure Socket Layer). Es hat drei wichtige Funktionen:
- Ermöglicht die Verschlüsselung von Daten dank vollständiger Vertraulichkeit;
- schützt die Datenintegrität während der Übertragung – Daten können nicht von Dritten geändert werden oder diese Änderung wird automatisch erkannt;
- Benutzern wird garantiert, dass sie auf einer sicheren Seite gelandet sind und nicht auf eine gefälschte, aber zum Verwechseln ähnliche Seite weitergeleitet wurden.
Die Information, dass der Online-Shop über ein SSL-Zertifikat verfügt, erscheint in der Website-Adresse: Das Präfix „https“ zeigt an , dass die Website eine verschlüsselte Verbindung verwendet. Das zusätzliche Symbol ist das Vorhängeschloss-Symbol oder das grüne Adressfeld.
Viele große Online-Shops verwenden jedoch ein sehr strenges zusätzliches Sicherheitssystem, das gemeinsam von den größten Zahlungsorganisationen entwickelt wurde. Der sogenannte PCI-DSS-Standard (Payment Card Industry Data Security Standard) umfasst 12 wichtige Bereiche im Zusammenhang mit der Speicherung, dem Versand und der Verarbeitung von Daten, die einzelne Karten identifizieren. Die Nichteinhaltung der PCI-DSS-Anforderungen kann schwerwiegende kommerzielle und finanzielle Folgen für das Unternehmen haben und kann auch dazu führen, dass es von der Teilnahme am Zahlungskartendienst ausgeschlossen wird.
Zukunftssicherheit
Vielleicht werden aber – in recht ferner Zukunft – Sicherheitsmaßnahmen umgesetzt, die Kartenbetrugsversuche auf nahezu null reduzieren und die Überprüfung der Identität des Plastiknutzers erleichtern.
Bereits heute arbeiten die größten Zahlungsorganisationen an biometrischen Karten, die es ermöglichen, eine bestimmte Person anhand eindeutiger physiologischer Merkmale wie Fingerabdruckmuster, Gefäßanordnung, Irismuster oder Handgeometrie zu identifizieren.
Eine alternative Lösung könnten Bankkarten in Form eines unter die Haut implantierten Chips mit einer NFC-Einheit sein, die jetzt in kontaktlosen Karten verwendet wird. Diese Karten können in keiner Weise gefälscht oder imitiert werden, daher ist ihre einzige Schwachstelle die Datenübertragung.
Mehr über Karten mit biometrischer PIN erfahren Sie in diesem Artikel.
Zusammenfassung
Die Einführung optischer Sicherheit und Chips verhinderte zwar das Klonen von Zahlungskarten, aber die Kriminellen gaben nicht auf. Heute findet der eigentliche Kampf um die Sicherheit von Zahlungskarten im Cyberspace statt, und die am stärksten angreifbaren Orte sind die Übertragungskanäle, über die die für den Autorisierungsprozess erforderlichen Daten übertragen werden. Durch das Abfangen der im Kartenprozessor gespeicherten Informationen können Sie sich immer noch als Besitzer des Plastiks ausgeben und Zahlungen auf sein Konto vornehmen.
Manchmal müssen sich Kriminelle jedoch nicht viel Mühe geben, weil wir selbst ihnen – leichtfertig – diese Daten zur Verfügung stellen. Zahlungskartenbetrug macht derzeit 92 % aller Straftaten gegen Bankkunden aus. Daher ist am Ende eine weitere sehr wichtige Sicherheitskomponente der Karte zu erwähnen, die unser gesunder Menschenverstand sein muss. Wir müssen uns auch selbst um die Sicherheit von Zahlungskarten kümmern und sie klug und sorgfältig verwenden.
Mehr sehen