비디오: KTìì´ë¸ë¡, CJì¼ì´ë¸ë· ë± ì´íë¡ì§ ì¤í ë¦¬ì§ ì±ê³µ êµ¬ì¶ ì¬ë¡ (십월 2024)
미국 독자에게 신용 카드로 지불하는 것은 자기 띠를 문지르는 것을 의미합니다. 그러나 많은 유럽 및 기타 국가의 사람들에게는 칩 카드를 리더에 넣고 PIN을 입력하는 것을 의미합니다. 이 소위 칩 및 PIN 솔루션은 오랫동안 미국의 강타보다 훨씬 뛰어나며, 대부분의 경우에 그러합니다. 그러나 체계가 어떻게 구현되었는지에는 몇 가지 심각한 문제가 있습니다.
로스 앤더슨 (Ros Anderson)은 올해 블랙 햇에서 팀의 칩 및 PIN 카드 조사 기록을 발표했다. 치트하기가 어려운 시스템의 경우, Anderson은 말할 것도없이 놀랍습니다.
결함의 기병대
칩 및 PIN에 대한 빠른 정보: 소비자는 구매할 때 카드를 삽입합니다. 그런 다음 PIN을 입력합니다. PIN은 장치의 카드에서 확인됩니다. 작동하는 경우 PIN은 절대 리더를 떠나지 않아야합니다. 그런 다음 카드는 은행과 거래하여 거래를 승인하고 판매가 이루어집니다. 종이에는 모두 훌륭하게 들립니다.
앤더슨은 그와 그의 팀이 발견 한 몇 가지 unqiue 취약점과 야생에서 처음 관찰 된 다음 보안 전문가에 의해 리버스 엔지니어링 된 취약점을 조사했습니다.
많은 공격이 판매자가 거래를 수행하는 데 사용한 장치와 ATM에 중점을 두었습니다. 그의 팀은 실제로 여러 장치가 그들이 주장하는 보안 사양에 맞지 않았다는 것을 발견했습니다. 최소한의 노력으로 그는 판매 중에 장치를 도청하고 PIN을 추출 할 수 있다고 말했다.
다른 공격에는 트랜잭션 데이터를 캡처하기 위해 Anderson이 "악한 전자 제품"을 판독기에 설치하는 것이 포함되었습니다. 어떤 경우에는 사기꾼이 악의적 인 상품을 상인에게 배달하기 전에 카드 리더기에 설치했습니다.
그러나 칩과 PIN 카드에 직접 전자 장치를 내장하거나, 카드를 숨겨진 장치에 연결하여 도둑이 임의의 코드로 카드를 인증 할 수있게하고, 다른 위치에서 트랜잭션을 "재생"하는 공격과 같은 많은 다른 공격이있었습니다.
기술적으로 우수하고 실질적으로 문제가 있음
나는 앤더슨에게 칩과 핀으로 발견 된 모든 결함 후에도 여전히 카드를 긁는 것보다 우수하다고 생각하는지 물었다. 칩과 PIN 카드는 스 와이프 카드보다 복제하기가 훨씬 어렵 기 때문에 기술적으로 우수합니다.
더 큰 문제는 유럽에서 칩과 PIN이 출시되는 방식에 있습니다. 앤더슨은 유럽 가맹점을 전환하기 위해 은행은 가맹점에 대해 책임을 질 것이라고 가맹점에 약속했다고 설명했다. 스 와이프 카드를 사용하면 사기 청구가 단순히 판매자에게 취소됩니다. 앤더슨은 이것을 "책임의 전환"이라고 불렀습니다.
좋은 계획처럼 들리지만 현실은 매우 잔인했습니다. 앤더슨은 사기의 희생자들이 은행에 의해 자주 비난을 받았으며 은행은 PIN을 어떻게 든 노출했다고 비난했습니다. 다른 경우에, 은행은 단순히 마음을 바꾸고 요금을 상인에게 되돌 렸습니다. 극단적 인 경우 은행과 신용 카드 회사는 당황스럽게도 알려진 사기꾼에 대한 요금 청구를 거부했습니다.
칩과 PIN 사기에 대한 책임은 아무도없는 것처럼 보였다. 앤더슨은 "은행이 사기에 돈을 지불하지 않는다면 왜 보안을 유지하기 위해 장을 터뜨릴 까?"라고 물었다.
앤더슨은 또한 칩 및 PIN 문서 작성자에게 명확한 비전이없고 문서가 통제 불능 상태가되게했다고 비판했습니다. 그는이를 공통의 비극이라고 불렀으며, 실제로 표준에 필요한 보안 변경을 수행 할 수있는 업데이트 된 버전을 제작하려는 사람은 아무도 없었습니다.
미국에 오기
스 와이프 카드가 포함 된 미국 독자들은 왜 이것이 중요한지 궁금 할 것입니다. 한 가지 간단한 이유가 있습니다. 칩과 PIN 카드가이 나라에 소개 될 준비가되어 있습니다. 앤더슨은 은행들이 2015 년까지 전환 할 것이라고 말했다.
이 나라에서는 상황이 그리 좋지 않을 수 있습니다. 우선, 일부 은행 만이 칩 및 PIN 체계를 선택하고 다른 은행은 칩 및 서명 카드를 출시 할 것입니다. 이 인증 계획은 싱가포르에서 사용되었으며 소비자 보호를 강화하도록 설계되었습니다. 앤더슨은 또한 미국 은행에서 연방 준비 제도 이사회의 역할은 또한 가까운 미래에 크게 침식되지 않는다고 가정 할 때 더 큰 소비자 보호를 제공한다고 언급했다.
그는 블랙 햇 청중이 할 수있는 역할도 있다고 말했다. "단일 프로토콜이 아니며 지불 프로토콜을 구축하기위한 크고 무작위의 교묘 한 툴킷"이라고 그는 말했다. "당신은 정말로 안전한 것, 또는 정말로 피의 끔찍한 것을 생각 해낼 수 있습니다."
우리가 전자를 받기를 바라고 있습니다.
