Karty z mikroprocesorem na dobre zadomowiły się w naszych portfelach. Standard EMV spełnił część pokładanych w nim nadziei – liczba kartowych oszustw w krajach, w których wdrożono nowe rozwiązanie na chwilę znacznie się obniżyła. Przestępcy jednak wykorzystują otwarte drzwi, jakimi jest pasek magnetyczny wciąż znajdujący się na nowoczesnych kartach. Skradzione dane teraz wędrują do krajów, gdzie EMV to dopiero przyszłość.
Europol, „europejska policja” powołana do walki z międzynarodową przestępczością i terroryzmem, ogłosiła właśnie uruchomienie wyspecjalizowanej komórki, która ma wziąć pod lupę cyberprzestępczość. Zadaniem European Cybercrime Center (EC3) będzie m.in. walka z ponadnarodowymi gangami zajmującymi się oszustwami kartowymi.
Ogłoszeniu Europolu towarzyszy raport, który przedstawia najważniejsze wyzwania związane ze ściganiem kartowych oszustw. Europejska policja nie ukrywa, że do tej pory jej sukcesy na tym polu były dość mizerne. Zorganizowana przestępczość ma globalny charakter, a Unii Europejskiej dotyczy najczęściej tylko wycinek działalności złodziei. Europa jest „eksporterem” skopiowanych kart, które zostają ogołocone tysiące kilometrów od Berlina czy Paryża. Jak szacują eksperci Europolu, rocznie kartowy biznes przynosi przestępcom około 1,5 mld euro zysku. Środki te pozwalają finansować działalność zorganizowanej przestępczości lub trafiają, po wypraniu, do oficjalnego obiegu jako kapitał zalążkowy dla nowych przedsiębiorstw.
Nieszczęsny pasek
Przestępstwa kartowe to interesujący przykład tego, jak szybko i sprawnie półświatek przystosowuje się do zmieniających się warunków. Wprowadzenie standardu EMV pozornie utrudniło życie kartowym złodziejom. Jedną z zalet mikroprocesora jest odporność na próby nieuprawnionego odczytu oraz możliwość użycia dynamicznych (zmieniających się) danych podczas weryfikacji autentyczności karty. Dla oszustów oznacza to poważny problem – skopiowanie chipa jest obecnie niewykonalne, a proste metody sklonowania danych karty (np. przechwycenie danych wymienianych z terminalem i odtworzenie ich w następnej transakcji) nie przyniosą oczekiwanych rezultatów.
Niestety, nawet w krajach, które jako pierwsze przesiadły się na EMV w obiegu dominują karty hybrydowe, posiadające zarówno chip, jak i pasek magnetyczny. Stara technologia trzyma się mocno z jednego powodu – plastikowym pieniądzem powinniśmy móc zapłacić wszędzie, a mikroprocesor nie przyda się nam do niczego np. za oceanem. Pełni on także rolę zapasowego nośnika danych. Procedura fallback przewiduje, że w razie kłopotów z odczytaniem chipa, akceptant może skorzystać ze starszej technologii.
W imię kompatybilności i globalnego zasięgu wydawcy zdecydowali się zatem, przynajmniej na razie, nie żegnać się zupełnie z paskiem magnetycznym. Dla przestępców to okazja – skimming nadal się opłaca, pod warunkiem, że skopiowane z paska dane trafią do kraju, w którym można będzie użyć sklonowanej karty do zakupów w fizycznym punkcie handlowym (w transakcji card present).
Importerzy sklonowanych kart
Zgodnie z publikowanymi przez Europol danymi skopiowane w UE karty trafiają przede wszystkim do sześciu krajów:
-
USA
-
Dominikany
-
Kolumbii
-
Federacji Rosyjskiej
-
Brazylii
-
Meksyku.
W efekcie olbrzymie nakłady na wzmocnienie bezpieczeństwa obrotu kartowego, obejmujące m.in. wymianę kart i infrastruktury akceptacji, nie przynoszą oczekiwanych rezultatów. Oszustwa typucard presentnie stały się wcale mniej liczne, zmieniła się tylko ich struktura. Dziś znacząca większość z nich ma miejsce poza granicami Europy.
Międzynarodowy zasięg fraudów spowodował, że znacznie trudniej jest je ścigać. Krajowe organy ścigania zatrzymują tylko część złodziejskiej machiny – osoby, które montują skimmery w bankomatach lub w inny sposób pozyskują karty, a czasem „słupy” pośredniczące w procederze prania skradzionych pieniędzy. Reszta przestępczych organizacji działa w krajach, z którymi krajowa policja i Europol mają utrudniony kontakt.
Czeka nas geoblocking?
Tymczasowym rozwiązaniem problemu może być geoblocking, czyli zablokowanie możliwości dokonywania transakcji kartą w krajach „wysokiego ryzyka”. Praktyka taka może przybrać jedną z dwóch form:
-
opt-in, czyli blokada uruchamiana jest (i zdejmowana) na życzenie posiadacza karty
-
opt-out, czyli wydawca domyślnie blokuje wszystkie emitowane przez siebie karty, a posiadacz ma możliwość rezygnacji z tego zabezpieczenia (np. czasowo, przed podróżą do USA).
Geoblocking jest stosowany w sześciu europejskich krajach i przynosi obiecujące rezultaty. W raporcie Europolu przywołano przykład Belgii, gdzie liczba oszustw kartowych związanych z kopiowaniem kart spadła niemal do zera.
Oczywiście to tylko półśrodek. Konieczność dodatkowego aktywowania karty przed każdym zagranicznym wyjazdem to uciążliwy kłopot, zwłaszcza dla bardziej mobilnych użytkowników plastikowego pieniądza. Problem ostatecznie może rozwiązać tylko globalne wprowadzenie standardu EMV, a na to się szybko nie zanosi. Szczególnie interesujące będą dalsze losy kart mikroprocesorowych w Stanach Zjednoczonych, gdzie największe organizacje wyznaczyły już daty przesunięcia odpowiedzialności. Trudno spodziewać się, że migracja do EMV na olbrzymim amerykańskim rynku odbędzie się tak szybko, jak np. w Wielkiej Brytanii. A dopóki gdzieś na świecie będzie można użyć karty z paskiem, dopóty słowa „skimming” nie będzie można wykreślić ze słownika.