![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
По ссылке от Кребса.
http://paymentsviews.com/2016/02/09/fake-out-you-cant-put-your-card-in-that-emv-slot/
Фкрации, типовая кредитная или дебитная банковская карта в продвинутых европах и даже в России это т.н. ЕМВ смарт-карта с чипом, т.е. небольшим проциком с памятью и стораджем, который может хранить то и сё (например, приватный ключ) и кое-как процессировать, например, шифровать данные понемногу. Такие карты легко отличить по наличию типового контактного вывода характерного медного цвета, при помощи которого карта коммуницирует с приёмным оборудованием, т.е. такие карты необходимо всегда куда-то "засовывать". Технология старая, я помню себя использующим эти карты ещё в 90-х.
Раньше было не так, а в штатах и до сих пор во многом не так, раньше карта была "дамб" в отличие от "смарт", не имела ни процика ни памяти, а содержала лишь магнитную ленту по всей длине карты, где была закодирована информация о номере карты, владельце и т.п. Такие карты для работы необходимо т.н. "свайпать" характерным скользящим жестом проводя её по считке.
Многие современные карты в штатах универсальны, т.е. являются как "смарт", так и "дамб", т.е. содержат как процик, так и магнитную ленту.
Ну и вот, в связи со взломами Таргета, Хоум Дипота, сетей отелей и закусочных и парковок, несть им числа, в Америце наконец-то собрались ускорить прогресс и, не прошло и двух лет с первого громкого взлома, обязали все торговые сети нести все издержки по взломам, если они с 1 октября 2015 года не используют ЕМВ, а полагаются на "страйп", т.е. на данные с магнитной ленты.
Казалось бы, это серьёзная угроза, если очередной Таргет взломают сегодня, то все расходы от взлома понесёт Таргет, включая перевыпуск 100500 кредитных и дебитных карт, данные украденные с карт, деньги украденные с карт и т.п. Думаете, условный таргет испугался? Никак нет.
Как сообщает ЦЕО Визы, лишь 17% ритэйлеров на данный момент принимают смарт-карты к оплате. Почему же тормозят остальные? В статье даётся ряд причин, одна из основных такая:
Т.е. все потенциальные издержки и ущербы от хакеров оцениваются меньше, нежели небольшой простой в несколько секунд (разница по времени между покупками по "смарт" и "дамб" картам минимальна и связана просто с тем, что нужно не "свайпать" карту, а вставлять её в дырку) связанный с тем, что покупатели не умеют вставлять смарт-карту.
Пусть никого не удивляют проблемы с бюджетами на инфобез, т.к. инфобез с т.з. бизнеса это не более чем досадная статья расходов от которой никакого прибытка. Более того, вложения в инфобез бессмысленны и неоправданы, если они превышают потенциальный ущерб от хакеров. Риск менеджмент всё считает и принимает выгодное для бизнеса решение. И бизнес прав, надо, кстати, выложить данные с презентации которую я делал недавно на секьюрити митапе на чикагщине, стэй тюнд.
http://paymentsviews.com/2016/02/09/fake-out-you-cant-put-your-card-in-that-emv-slot/
Фкрации, типовая кредитная или дебитная банковская карта в продвинутых европах и даже в России это т.н. ЕМВ смарт-карта с чипом, т.е. небольшим проциком с памятью и стораджем, который может хранить то и сё (например, приватный ключ) и кое-как процессировать, например, шифровать данные понемногу. Такие карты легко отличить по наличию типового контактного вывода характерного медного цвета, при помощи которого карта коммуницирует с приёмным оборудованием, т.е. такие карты необходимо всегда куда-то "засовывать". Технология старая, я помню себя использующим эти карты ещё в 90-х.
Раньше было не так, а в штатах и до сих пор во многом не так, раньше карта была "дамб" в отличие от "смарт", не имела ни процика ни памяти, а содержала лишь магнитную ленту по всей длине карты, где была закодирована информация о номере карты, владельце и т.п. Такие карты для работы необходимо т.н. "свайпать" характерным скользящим жестом проводя её по считке.
Многие современные карты в штатах универсальны, т.е. являются как "смарт", так и "дамб", т.е. содержат как процик, так и магнитную ленту.
Ну и вот, в связи со взломами Таргета, Хоум Дипота, сетей отелей и закусочных и парковок, несть им числа, в Америце наконец-то собрались ускорить прогресс и, не прошло и двух лет с первого громкого взлома, обязали все торговые сети нести все издержки по взломам, если они с 1 октября 2015 года не используют ЕМВ, а полагаются на "страйп", т.е. на данные с магнитной ленты.
Казалось бы, это серьёзная угроза, если очередной Таргет взломают сегодня, то все расходы от взлома понесёт Таргет, включая перевыпуск 100500 кредитных и дебитных карт, данные украденные с карт, деньги украденные с карт и т.п. Думаете, условный таргет испугался? Никак нет.
Как сообщает ЦЕО Визы, лишь 17% ритэйлеров на данный момент принимают смарт-карты к оплате. Почему же тормозят остальные? В статье даётся ряд причин, одна из основных такая:
Make Someone Else the Trainer. Some merchants, particularly the large ones, don’t want to “educate America” on how to perform an EMV transaction. This was especially acute during the holiday season. They see EMV as just slowing down lines and chose to wait until consumers learned what to do—and do it quickly—at someone else’s store.
Т.е. все потенциальные издержки и ущербы от хакеров оцениваются меньше, нежели небольшой простой в несколько секунд (разница по времени между покупками по "смарт" и "дамб" картам минимальна и связана просто с тем, что нужно не "свайпать" карту, а вставлять её в дырку) связанный с тем, что покупатели не умеют вставлять смарт-карту.
Пусть никого не удивляют проблемы с бюджетами на инфобез, т.к. инфобез с т.з. бизнеса это не более чем досадная статья расходов от которой никакого прибытка. Более того, вложения в инфобез бессмысленны и неоправданы, если они превышают потенциальный ущерб от хакеров. Риск менеджмент всё считает и принимает выгодное для бизнеса решение. И бизнес прав, надо, кстати, выложить данные с презентации которую я делал недавно на секьюрити митапе на чикагщине, стэй тюнд.
