Ödeme kartı güvenliği
Ödeme kartı güvenliği
Modern ödeme kartları, kullanımlarının güvenlik seviyesini artıran bir dizi teknolojik çözümle donatılmıştır. Bu güvenlik özellikleri bir yandan kartı iyi korumalı, diğer yandan işyeri, alıcı ve kartı veren kuruluş (banka) tarafından kolayca doğrulanmalıdır. Şunları sağlamaları gerekir:
- Kart orijinaldir ve suçlular tarafından sahte değildir;
- Sahibi, daha önce tedavi gördüğünü iddia eden kişidir.
Bu nedenle, dolandırıcılık olasılığını azaltmak için kart kuruluşları ve bankalar çok seviyeli bir güvenlik sistemi kullanır. Bireysel alanları birbirini tamamlayacak şekilde inşa edilmiştir. Bu sistem şunları içerir:
- açık ve gizli görsel güvenlik;
- kartta yerleşik elektronik güvenlik;
- Güvenlik önlemleri, ödeme yetkilendirme işlemi sırasında veri iletimini korur.
görsel güvenlik
Bir ödeme kartının sahteciliğe ve yetkisiz kullanıma karşı birincil koruması, kartın belirli bir müşteriye, bankaya ve kart organizasyonuna atanması olan kişiselleştirmedir. Bu güvenlik paketi şunları içerir:
- 16 haneli kart numarası (yüzün alt kısmında kabartmalı);
- AA / YY formatında belirtilen kart son kullanma tarihi – eski kart otomatik olarak rezerve edilmeli veya ATM tarafından veya satış noktasında reddedilmelidir;
- kart sahibinin adı ve soyadı – kart yalnızca plastik üzerinde kişisel verileri görünen kişi tarafından kullanılabilir;
- PIN’in kullanılamadığı uzak işlemlerde güvenlik özelliği olan üç haneli CVC2/CVV2 kodu. Sadece kartın arkasına ve bankanın bilgi teknolojisi sistemine yerleştirilir;
- Sahibinin imzası (ve kartvizitler durumunda – kazınmış şirketin adı). İmzasız kartlar geçersiz sayılır;
- Her ödeme kartı ayrıca sistem logosunu da içermelidir (örn. VISA, Eurocard/Mastercard, PolCard, American Express).
İlginç bir gerçek , başka bir güvenlik biçiminin, kartta görünen tüm öğelerin tam sırası olmasıdır. Her satıcı, cihazla birlikte, bireysel ayrıntıların sırasının açıklandığı operatörden talimatlar alır. Örneğin, Satıcılar için PaySquare Yönergeleri’nde, Masterdcard markalı kartlar söz konusu olduğunda, “Kart numarasının altındaki dört hane, kart numarasının ilk dört hanesiyle eşleşmeli ve ‘5’ ile başlamalıdır. numara” dörtgen bloklarda sırayla olmalı ve boyut ve şekil olarak aynı olmalıdır.
Tabii ki, kartı kişiselleştirmek tek güvenliği değildir. Ek olarak, kart veren kuruluşlar üzerlerine plastiğin taklit edilmesini zorlaştıran özel işaretler koyarlar. Bu güvenlik özellikleri seti şu öğeleri içerir: hologramlar, grafikler, ince baskılar ve yalnızca UV ışığı altında görülebilen karakterler.
hologram
Hologram, lazer ışığına duyarlı ince bir folyo üzerine kazınmış üç boyutlu bir optik etikettir. Hologramın içeriği doğru ışıkta ve doğru kart konumunda görünüyor. Hologram, sıcak damgalama folyosu olarak bilinen bir yöntem kullanılarak kart malzemesine eritildiği için çıkarılamaz veya değiştirilemez.
Hologram, ödeme kartlarının en iyi açık güvenlik özelliklerinden biridir. Büyük bir avantaj, örneğin bir mağaza, restoran veya benzin istasyonu gibi işlem yerinde ek cihazlar gerektirmeyen satıcı tarafından hızlı doğrulama imkanıdır.
Hologramların kullanımı oldukça pahalıdır (matriksin çok yüksek maliyeti nedeniyle), ancak – paradoksal olarak – dolandırıcıların “sahte” yaratmasını engelleyen bu faktördür. Ne yazık ki, suçluların pahalı bir matbaaya yatırım yaptığı ve görünüşte orijinal bir holograma sahip kartlar üretebildiği durumlar var.
Eğlenceli gerçek: Birkaç yıl önce, Polonya polisi bu şekilde 2.000’den fazla oluşan bir çeteyi dağıttı. Kredi kartları, daha sonra onların yardımıyla, mallar en az 1,5 milyon PLN için dolandırıldı.
Güvenlik grafikleri ve ince baskılar
Bu öğeler, çıplak gözle görülmeleri zor olduğundan, derecelendirilmiş güvenlik özellikleri olarak sınıflandırılır. Bunlar, özel bantla baskı sürecinde karta uygulanan çok karmaşık, düzensiz ve küçük grafiklerdir.
Mikro baskılar yalnızca doğru ışıkta ve yüksek büyütmede görünür hale gelir, bu nedenle kart bayilerinin bunları doğrulaması gerekmez. Genellikle, kolluk kuvvetleri tarafından yürütülen soruşturmalar sırasında kartı özel bir araştırma düzeyinde doğrulamak için kullanılırlar.
UV ışınlarında görünen güvenlik özellikleri
Kural olarak, bunlar ödeme kuruluşlarının grafik sembolleridir, ancak her zaman değil. Bazen harfler, izleyicinin beklenmedik bir yere, örneğin bir kartın köşesine, manyetik şeridi kaplayan kaplamanın altına vb. yerleştirdiği tek harflerdir. Böyle bir işareti çıplak gözle okumayı imkansız kılan kimyasal özelliklere sahip ultraviyole baskı yapmak için özel bir mürekkep kullanılır.
Eğlenceli gerçek: UV ışığında, Visa kartında “I” ve “S” harfleri arasında fazladan bir V harfi belirir. Mastercard kartlarında – MC kısaltması kartın sol tarafındadır.
Kart tüccarının orijinalliği konusunda çekinceleri varsa, bu garantiyi bağımsız olarak kontrol edebilir (ancak zorunlu bir zorunluluk değildir). Ancak, terminal operatörleri üye işyeri talimatlarında her zaman belirli bir kart tipinde UV bileşeninin ne olduğunu belirtirler, böylece üye iş yerleri nerede ve hangi işaretin görünmesi gerektiğini bilirler.
İmza Bandı – Özel Koruma
Kartın istisnai olarak korunan unsurlarından biri, plastik kart sahibinin imzasını attığı arkadaki kayıştır. Burası, UV baskı ve/veya birbirine geçen kabartma gibi bir dizi farklı güvenlik özelliği ile donatılmıştır.
Ek olarak, minyatür baskının altında imza arka planı olan beyaz bir boya tabakası bulunur. Çubuktaki adı silmeye veya çizmeye yönelik sahtekarlık girişimi, desteği otomatik olarak kaldırır ve hasarlı alanda ‘VOID’ (Mastercard) veya ‘Geçersiz kart’ gösterilir.
Birçok güvenlik özelliğinin kullanılması, çevrimdışı işlemler durumunda, satıcıların plastiğin sahibinin kimliğini doğrulamasını sağlayan imza olması gerçeğiyle belirlenir. Ancak, çok iyi bildiğimiz gibi, satıcılar onunla ödeme yaptığımızda nadiren kartımıza bakarlar. Her şeyden önce, her kartın kapsamlı bir doğrulaması çok uzun zaman alacağından ve ikincisi – bunu ilk kez yapmaya çalıştıklarında, müşteriyi sonsuza kadar kaybetmeleri muhtemeldir. Bu nedenle bankalar daha çok uzaktan güvenliğe güveniyor.
siber güvenlik
Ancak kartı kullanan kişinin buna hakkı olup olmadığı uzaktan nasıl kontrol edilir? Çevrimiçi işlemlerde (ATM’lerden para çekme gibi), görsel güvenlik daha az önemli hale gelir ve elektronik güvenlik daha önemli hale gelir. Onlar sayesinde, kartı veren kuruluş (banka), belirli bir işlemin sahtekarlık değil, gerçek kart sahibi tarafından sipariş edildiğinden emin olabilir.
Kartın birincil güvenliği bir PIN’dir (Kişisel Kimlik Numarası). Plastiğin sahibinin bir nevi “elektronik imzası” olup, finans kuruluşları tarafından el yazısı imza ile eşit muamele görmektedir. Bu dört haneli kod, mağazalarda işlem yapmanıza ve ATM’lerden para çekmenize olanak tanır ve aynı zamanda tasarruflarımızı korur – elbette ancak güvenliklerini gerektiği gibi önemsersek ve hırsızlarla pervasızca paylaşmazsak.
Elektronik güvenlik ayrıca bir manyetik şerit ve/veya çip içerir. Bu yerlerde, kodlanmış veri seti plastik tutucuda bulunur. İşlemci çipinde saklanan bilgiler, kartın görsel güvenliğini tamamlayıcı niteliktedir ve uzaktan işlemlere izin vermek için kullanılır.
Dolandırıcılığa açık manyetik şeritli kart
Manyetik bant, bir ATM veya terminalde bulunan bir manyetik başlık tarafından okunan paralel manyetik alanlardan oluşan üç yoldan oluşur. İlk parça, kart sahibinin adı ve soyadının yanı sıra kartı veren ülke ve bankanın ayrıntılarını içerir. İkinci parça, kart numarasını, son kullanma tarihini ve işlemi doğru bir şekilde tamamlamak için gereken hizmet kodunu içerir. Öte yandan, üçüncü yol özel banka bilgilerini kaydetmek için kullanılır.
Ne yazık ki bu tip kartlarda kullanılan güvenlik özellikleri çok kolay kırılabilmektedir. Dolandırıcılar, programcı adı verilen bir cihaz kullanarak bandın içeriğini kolayca kopyalayabilir ve kartın hassas verilerini kopyasına aktarabilir. Klonlanmış kart, orijinal kart gibi çalışır ve hak sahibi lehine işlem yapılır.
Kopyaya karşı daha dayanıklı çipli kartlar
Manyetik şeritli kartların yerini alan akıllı kartlar, çok daha iyi bir güvenlik sistemi ile donatılmıştır. Mikroişlemciye ek olarak, işletim sisteminin yüklendiği kalıcı bir ROM’u da içerir. Şu alanlarda mükemmeliz:
- ücretsiz okuma alanı – kart sahibinin şifreli verilerini içerir: adı, soyadı, kart kimlik numarası, son kullanma tarihi ve kartı veren finans kuruluşunun adı;
- Gizli alan – PIN numarası girildikten sonra erişilebilir. Bu alanda, kart üreticisine ait bilgiler ve kullanıcıya ait gizli bilgiler saklanır;
- Çalışma alanı – değişken verilerin depolandığı yer (örn. kart işlem listesi, banka hesabı bakiyesi, işlem sayaçları vb.).
Ek olarak, çip, karmaşık algoritmalar temelinde çalışan kodlama için bir yardımcı işlemci ile donatılmıştır. Ayrıca program ve işlemci arasındaki iletişim de şifrelenebilir, bu da gelişmiş hacker saldırılarına karşı ek bir koruma sağlar.
Kısacası, karta gömülü çip, çok aşamalı şifreleme tekniklerini kullanır ve her işlem için benzersiz dinamik veriler üretir (mesaj imzası olarak adlandırılır). Sonuç olarak, akıllı karttaki bilgileri kopyalamak neredeyse imkansızdır.
Güvenlik, yetkilendirme sürecini kapsar
Bir mağazada bir kartla veya onun yardımıyla bir ATM’den nakit çektiğimizde, bankamız bunu yapma hakkına sahip olduğumuzdan emin olmalı ve plastiğin gerçek sahibi gibi davranmamalıdır. Bu işleme yetkilendirme denir ve çevrimiçi işlem şu şekilde gerçekleşir: Bir ATM veya terminal cihazı, çipten veya manyetik şeritten verileri okur ve kartın geçerli olduğunu doğrulayan alıcıya gönderir. Bu durumda alıcının cihazda hala şifreli olan PIN kodunu girmesi ve bu formda bankaya göndermesi gerekmektedir (böylece yetkilendirme merkezinde çalışan bir kişi bile okuyamaz). PIN doğruysa, faturalandırma merkezi bilgisayarı işleme izin verir.
Bankaların yetkilendirme sistemlerinin, geleneksel olmayan ve şüpheli kart işlemleri gibi sahtekarlığı tespit etmeye yardımcı olmak için yerleşik ek güvenlik önlemlerine sahip olduğu unutulmamalıdır. Belirli bir ödeme, belirli bir müşterinin yaptığı tipik işlem algoritmasından farklıysa, örneğin saat 1’de Żabka’da bir kartla ödeme yapıyorsa ve birkaç saat sonra Florida’da bir Mercedes satın alıyorsa, banka yanlış ellere düşmeye karar verebilir. ve yetkilendirme sürecini kesintiye uğratın (hatta kart sahibinin bilgisi olmadan kartı bloke etmek için).
Çevrimdışı işlemlere biraz farklı şekilde izin verilir, örneğin temassız kartla. Bu durumda ATM veya terminal, bankanın yetkilendirme merkezi ile iletişime geçmez ve işlemi tamamlamak için gerekli verileri kontrol eder. Ek bir güvenlik önlemi olarak cihaz, belirli bir kartın sözde tatil durdurma, yani çalıntı ve kısıtlı kartlar listesine dahil olup olmadığını otomatik olarak kontrol eder. Bu durumda cihaz yetkilendirmeyi durdurur ve bayiye bu noktada kartı kimin elinde tutması gerektiğini belirten bir mesaj görüntüler.
Bu makalede lisanslama sürecinin yolunu ayrıntılı olarak tartıştık.
Çevrimiçi ödeme güvenliği
Satıcının kartın gerçekliğini görsel olarak değerlendiremediği ve plastik sahibinin kimliğini doğrulamanın tek yolunun üç haneli CVC2 / CVV2 kodu olduğu çevrimiçi işlemlerin güvence altına alınmasıyla ilgili durum daha az açıktır. . Bir hırsız kartımızı çalarsa, PIN’i bilmesine gerek yoktur – tek yapması gereken hassas kart ayrıntılarını vermektir ve satın alma ödemeleri hesabımızdan tahsil edilecektir.
Bu tür dolandırıcılığı önlemeye yönelik bir çözüm, çoğu Polonya bankası tarafından sunulan 3D Secure hizmetidir. Tek seferlik bir şifre kullanarak işlemin ek bir onayından oluşur. Kullandığımız yetkilendirme aracına bağlı olarak, bir metin mesajından gelen bir kod, bir kazı kazan kartı veya bir jeton olabilir. Banka, alışverişi yapan kişinin gerçek kart sahibi olduğunu onayladıktan sonra normal provizyonu almak için işleme yönlendirir.
Çevrimiçi mağaza sahiplerinin de işlemlerin güvenliğini sağlamakla yükümlü olduğunu belirtmekte fayda var. Her şeyden önce, müşterilerinin ev bilgisayarları ile mağazada web sitesi ve veritabanının barındırıldığı sunucu arasındaki veri aktarımının bilgisayar korsanlarına karşı dayanıklı olduğundan emin olmaları gerekir. Bu tür bir korumayı sağlayan birincil araç, bir SSL (Güvenli Yuva Katmanı) sertifikasıdır. Üç önemli işlevi vardır:
- Tam gizlilik sayesinde verilerin şifrelenmesini sağlar;
- aktarım sırasında veri bütünlüğünü korur – veriler üçüncü taraflarca değiştirilemez veya bu değişiklik otomatik olarak algılanır;
- Kullanıcılara güvenli bir sayfaya geldikleri ve sahte ancak kafa karıştıracak kadar benzer bir siteye yönlendirilmedikleri garanti edilir.
Çevrimiçi mağazanın bir SSL sertifikasına sahip olduğu bilgisi web sitesi adresinde görünür: “https” öneki , web sitesinin şifreli bir bağlantı kullandığını gösterir. Ek simge, asma kilit simgesi veya yeşil adres alanıdır.
Bununla birlikte, birçok büyük çevrimiçi mağaza, en büyük ödeme kuruluşları tarafından ortaklaşa geliştirilen çok katı bir ek güvenlik sistemi kullanır. PCI DSS (Payment Card Industry Data Security Standard) standardı olarak adlandırılan standart, bireysel kartları tanımlayan verilerin depolanması, gönderilmesi ve işlenmesi ile ilgili 12 önemli alanı kapsar. PCI DSS gereksinimlerine uyulmaması, Şirket için ciddi ticari ve mali sonuçlara yol açabilir ve ayrıca, ödeme kartı hizmetine katılımdan hariç tutulmasına neden olabilir.
gelecekteki güvenlik
Bununla birlikte, belki – oldukça uzak bir gelecekte – kart sahtekarlığı girişimlerini neredeyse sıfıra indirecek ve plastik kullanıcısının kimliğinin doğrulanmasını kolaylaştıracak güvenlik önlemleri uygulanacaktır.
Günümüzde en büyük ödeme kuruluşları, parmak izi deseni, damar düzeni, iris deseni veya el geometrisi gibi benzersiz fizyolojik özelliklere dayalı olarak belirli bir kişinin tanımlanmasına olanak tanıyan biyometrik kartlar üzerinde çalışıyor.
Alternatif bir çözüm, şimdi temassız kartlarda kullanılan NFC ünitesi ile deri altına yerleştirilen bir çip şeklindeki banka kartları olabilir. Bu kartlar hiçbir şekilde taklit edilemez veya taklit edilemez, bu nedenle tek zayıf noktaları veri aktarımı olacaktır.
Bu makalede biyometrik PIN’li kartlar hakkında daha fazla bilgi edinebilirsiniz.
Özet
Doğru, optik güvenlik ve çiplerin tanıtılması ödeme kartlarının klonlanmasını engelledi, ancak suçlular pes etmedi. Günümüzde ödeme kartlarının güvenliği için asıl savaş siber uzayda yaşanıyor ve saldırılara en açık yerler, yetkilendirme sürecinde ihtiyaç duyulan verilerin iletilmesi için kullanılan iletim kanallarıdır. Kart işlemcisinde saklanan bilgileri ele geçirmek, yine de plastiğin sahibini taklit etmenize ve hesabında ödeme yapmanıza olanak tanır.
Bununla birlikte, bazen suçluların fazla çaba göstermesi gerekmez, çünkü biz kendimiz – pervasızca – onlara bu verileri sağlıyoruz. Ödeme kartı dolandırıcılığı şu anda banka müşterilerine karşı işlenen tüm suçların %92’sini oluşturuyor. Bu nedenle, sonunda, sağduyumuz olması gereken kartın çok önemli bir başka güvenlik bileşenine dikkat çekmekte fayda var. Ödeme kartlarının güvenliğini de kendimiz sağlamalı, akıllı ve dikkatli kullanmalıyız.
daha fazla gör