Sau khi chuyển đổi EMV, Thẻ tín dụng vẫn không an toàn như có thể

Đã hơn sáu tháng kể từ khi các quy tắc xung quanh gian lận thẻ tín dụng thay đổi, thúc đẩy chuyển từ thẻ tín dụng từ tính cũ sang thẻ được nhúng với chip EMV. Nhưng chỉ có 20% thiết bị đầu cuối thẻ tín dụng ở Hoa Kỳ đã được kích hoạt để sử dụng chip đến hết tháng 4 năm 2016, theo Nhóm tư vấn Mercator. Và chỉ có 60% của tất cả các thẻ tín dụng đã được cập nhật với chip.

Tuy nhiên, bạn có thể đã trải qua quá trình mới gắn thẻ chip của bạn vào đầu đọc, chờ giao dịch được xác minh và bị máy tính phát ra nếu bạn để thẻ của bạn quá lâu.

Quá trình này đã được quảng cáo rất nhiều khi chăm sóc tốt hơn dữ liệu của bạn. Nhưng nó có thể không an toàn như giao dịch EMV. Và có một thanh khá thấp để bảo mật bất kì Giao dịch EMV có thể được. Một phần trong đó là giới hạn của công nghệ, và một phần là thực tế của hành vi con người.

Hành vi tiêu dùng như điểm gắn bó

Một số snags trong quá trình chuyển đổi EMV đã được ghi nhận rộng rãi. Đối với một điều, giao dịch có thể chậm. Đối với người khác, bạn vẫn xác minh danh tính của mình theo cách cũ, bằng cách ký tên - và đối với các giao dịch nhỏ hơn, bạn thậm chí không phải làm điều đó.

"Các giao dịch sẽ mất nhiều thời gian hơn ở các cửa hàng thanh toán của các cửa hàng yêu cầu thẻ chip được nhúng vào đầu đọc thẻ chip của họ - ít nhất là trong thời gian ngắn, như các thương gia học cách tăng tốc quá trình", Brian Krebs, một nhà báo và an ninh nói. chuyên gia tại Krebs on Security. "Ngoài ra, có lẽ nhiều người hơn sẽ để lại thẻ của họ bên trong máy móc và làm mất thẻ [mất] bị mất cho các ngân hàng, ít nhất là trong thời gian ngắn cho đến khi người tiêu dùng quen với các thiết bị."

Ở châu Âu, người tiêu dùng đã sử dụng thẻ tín dụng bị sứt mẻ trong nhiều thập kỷ, trong một số trường hợp. Nhưng để bảo mật hơn, thẻ yêu cầu chủ thẻ nhập mã PIN để xác minh danh tính của họ trong một giao dịch. Vậy tại sao Hoa Kỳ không áp dụng hệ thống chip và mã PIN thay vì chip và chữ ký? Một yếu tố chính là sự công nhận của nhà phát hành về mức độ khó khăn của việc thay đổi hành vi của người tiêu dùng.

“Hoa Kỳ người tiêu dùng không được sử dụng để nhập một mã PIN với các giao dịch thẻ tín dụng, ”Julie Conroy, giám đốc nghiên cứu của Tập đoàn Aite ở Massachusetts cho biết. “Rất nhiều tổ chức phát hành mà tôi đã nói với việc chọn và ký tên được bầu chọn bởi vì không có tổ chức phát hành nào muốn phát hành thẻ có kinh nghiệm người dùng đặt nó vào thế bất lợi cạnh tranh. Theo lời của một nhà phát hành, việc dạy người tiêu dùng nhúng thay vì vuốt là đủ thay đổi; họ không muốn mạo hiểm phải dạy người tiêu dùng thay đổi hai hành vi cùng một lúc. ”

Một nỗ lực để ngăn chặn gian lận

Tại sao người tiêu dùng Hoa Kỳ thay đổi bất cứ điều gì? Lý do chính là gian lận.

Trong năm 2014, hơn 16 tỷ đô la đã bị mất trong gian lận thẻ tín dụng trên toàn thế giới, theo Báo cáo của Nilson, trong đó bao gồm các ngành công nghiệp thanh toán. Trong số các tổn thất, 48% xảy ra trong thẻ từ tính truyền thống của Hoa Kỳ dễ bị hack hơn, vì thông tin được lưu trữ trên sọc là tĩnh hoặc không thay đổi. Sao chép nó một lần và bạn có thể tạo một thẻ trùng lặp. Tuy nhiên, chip EMV tạo mã duy nhất cho mỗi giao dịch, do đó, thông tin được sao chép từ một giao dịch không thể được sử dụng trong một giao dịch khác.

“Hoa Kỳ người tiêu dùng phần lớn được bảo vệ từ [chi phí trực tiếp của thẻ tín dụng] gian lận, nhờ vào môi trường pháp lý của Hoa Kỳ và đảm bảo không chịu trách nhiệm mà các mạng thanh toán cung cấp, ”Conroy nói. Sự chuyển đổi sang EMV, sau đó, thực sự là nhiều hơn về việc bảo vệ các tổ chức phát hành thẻ tín dụng khỏi những tổn thất gian lận hơn là bảo vệ người tiêu dùng.

Tháng 10 năm 2015 đã chứng kiến ​​sự ra đời của các quy định mới về trách nhiệm pháp lý đối với gian lận thẻ tín dụng. Nếu xảy ra gian lận, bất kỳ bên nào không sử dụng công nghệ EMV đều chịu trách nhiệm về các tổn thất. Nếu thẻ được đề cập không bị EMV cắt, trách nhiệm pháp lý là trên tổ chức phát hành. Nếu người bán không có đầu đọc chip EMV thì thương gia chịu trách nhiệm. Trách nhiệm pháp lý cũng có thể được chia sẻ.

Mã PIN chỉ cung cấp bảo vệ giới hạn

Điều không ảnh hưởng đến phương trình trách nhiệm pháp lý là liệu thẻ chip có dựa trên mã PIN hay chữ ký để xác minh hay không. Và sự thật là hầu hết các gian lận thẻ tín dụng thậm chí sẽ không được ngăn chặn bằng chip và mã PIN.

"Chip-and-PIN bảo vệ chống lại gian lận bị mất và bị đánh cắp - tức là, nếu ai đó ăn cắp ví của bạn, họ không thể dễ dàng lấy thẻ của bạn trên một khu mua sắm", Conroy nói. Đó là loại gian lận là trừ đi so với gian lận thẻ tín dụng chung, Conroy nói.

Ngoài ra, kẻ trộm sẽ luôn tìm cách an toàn. "Chúng tôi đã thấy, dựa trên ví dụ của các quốc gia khác, rằng bọn tội phạm đã trở nên khá giỏi trong việc nắm bắt mã PIN, hoặc thông qua các cuộc tấn công lướt sóng, lướt sóng hoặc máy ảnh chính xác", Conroy nói. Vì mã PIN không thay đổi theo từng lần mua hàng, Conroy cho biết “có giới hạn về khả năng chống gian lận hiệu quả. Khi U.K. đi đến chip-và-PIN, gian lận bị mất và bị đánh cắp bị rút gọn nhưng trong vòng vài năm đã trở lại mức tiền mã PIN. ”

Chip EMV cũng không có vai trò trong giao dịch trực tuyến, do đó thẻ chip cũng dễ bị tổn thương ở đó như thẻ từ.

Có cách nào an toàn hơn không?

Conroy cho biết chip-and-PIN là tốt nhất trong một sửa chữa ngắn hạn."Lý tưởng nhất, tôi muốn thấy mã PIN nhảy vọt của ngành và chuyển sang các hình thức xác minh khác, chẳng hạn như sinh trắc học, xác minh di động, v.v.", cô nói. “Trong quá trình này, chúng tôi cũng nên loại bỏ chữ ký - điều đó tốn kém cho người bán để lưu trữ và vô dụng như một phương thức xác thực của khách hàng như hiện đang được triển khai”.

Krebs gợi ý sử dụng “mã thông báo” như một cách để chống gian lận. Với mã thông báo, máy tính của người bán không lưu trữ dữ liệu thẻ tín dụng. Thay vào đó, chúng lưu trữ một số giữ chỗ, hoặc mã thông báo, có thể được sử dụng để lấy dữ liệu từ tổ chức phát hành.

"Mã hóa có thể giúp người bán tránh lưu trữ dữ liệu thẻ trong bất kỳ khoảng thời gian nào và trong quá trình giảm khả năng các cybercrook sẽ nhắm mục tiêu chúng cho dữ liệu thẻ", ông nói. Mã hóa sẽ làm giảm mối đe dọa từ các vi phạm dữ liệu, đó là cách mà hầu hết người tiêu dùng trở thành nạn nhân của gian lận thẻ tín dụng.

Giải pháp di động có những hạn chế riêng của họ

Thanh toán di động và ví điện tử như Apple Pay có thể cung cấp phương án thay thế. Nhưng Conroy nói: “Trong khi một số khoản thanh toán di động cụ thể của người bán đang thấy thành công lớn - Starbucks, vì một - thông qua thanh toán di động mở - Apple Pay, Android Pay - đang chuyển động chậm hơn nhiều”.

Krebs cũng thấy rủi ro về bảo mật cho thanh toán di động. “Apple Pay sử dụng hình thức tokenization, nhưng các vấn đề trong quá khứ với Apple Pay bắt nguồn từ các thủ tục đăng ký lỏng lẻo tại ngân hàng và phụ thuộc vào các yếu tố dữ liệu tĩnh [như số an sinh xã hội hoặc ngày sinh] để xác thực khi các thành phần dữ liệu này được sử dụng rộng rãi bị xâm phạm và bán trên tất cả mọi người Mỹ. ”

Một trong những điều mà sẽ ở lại điện thoại di động có thể sẽ là thẻ trong ví của bạn. "Người tiêu dùng rất thoải mái giao dịch với thẻ", Conroy nói, "và thay đổi hành vi của người tiêu dùng là khó khăn, vì vậy thẻ sẽ được với chúng tôi trong một thời gian tới."

Ellen Cannon là một nhà văn nhân viên tại Investmentmatome, một trang web tài chính cá nhân. Email: [email protected]. Twitter: @ellencannon.