Massale upgrade van betaalkaart heeft gemengde resultaten in Australië

Ondanks een jarenlange upgrade van de Australische betalingssystemen, profiteren fraudeurs nog steeds van een twijfelachtig record voor een uitgebreid programma om debit- en creditcards uit te rusten met nieuwe beveiligingsfuncties.

Al enkele jaren is Australië aan het overstappen naar EMV-betaalkaarten (Europay, MasterCard, Visa) met een microchip met geavanceerde cryptografische mogelijkheden om fraude te ontmoedigen. De beveiligingswijzigingen zijn bedoeld om het gebruik van de zwarte magneetstrip op de achterkant van de kaarten te verminderen, die kan worden gekopieerd om namaak te creëren.

Het EMV-systeem, dat halverwege de jaren negentig werd ontwikkeld, is in heel Europa en in een aantal andere landen. Het systeem werd voortgestuwd door Visa en MasterCard, gedeeltelijk door bedreigingen van nieuwe fraudeverplichtingen, een 'liability shift' genoemd, voor verkopers en betalingsverwerkers.

[Meer lezen: de beste NAS-boxen voor mediastreaming en back-up]

Uit een onderzoek van IDG News Service blijkt dat de overstap naar EMV in Australië - een land met vier grote banken en een bevolking van 22 miljoen - langzaam is verlopen en de zelfopgelegde deadlines voor de industrie hebben gemist.

De situatie zou een voorbode zijn van problemen met EMV-adoptie in de veel grotere Amerikaanse markt, met een bevolking van meer dan 300 miljoen mensen en meer dan 6000 financiële instellingen. Hoewel de overstap naar EMV in Australië heeft geleid tot een daling van sommige soorten fraude, zijn andere typen toegenomen, zonder duidelijke reden.

Bedrog gemeld - maar deed het?

In juni heeft de Australische betalingsoptie plaatsgevonden Association (APCA), een zelfregulerend orgaan dat het afwikkelingsbeleid tussen financiële instellingen beheert, kondigde in 2011 een daling van 18 procent van de valse kaartfraude aan.

De verliezen door valse debet- en creditcards daalden van AU $ 40,84 miljoen (US $ 42 miljoen) in 2010 tot $ 33,46 miljoen in 2011, zei APCA. Maar een nadere bestudering van de cijfers die door banken en creditcardmaatschappijen aan APCA zijn verstrekt, biedt niet zo'n duidelijk positief resultaat. Australië heeft een complexe betalingsomgeving. Er zijn pinpassen en creditcards met en zonder de EMV-microchip. Fraudecijfers ingediend bij APCA omvatten betaalkaarten die zijn uitgegeven binnen Australië, evenals kaarten die in het buitenland zijn uitgegeven en in het land zijn gebruikt.

Om te komen tot de daling van 18 procent, combineerde APCA de kosten van valse fraude voor binnenlandse Australische "scheme" -kaarten, die het merk van bedrijven zoals MasterCard en Visa dragen, met die van betaalkaartjes uit het buitenland, maar gebruikt in Australië.

In de laatste categorie nam de valse fraude aanzienlijk toe, van $ 28 miljoen in 2010 tot $ 17 miljoen in 2011. Maar fraude deed zich voor op door Australië uitgegeven kaarten, van $ 12,9 miljoen in 2010 tot $ 16,4 miljoen in 2011, het hoogste cijfer sinds APCA begon met het publiceren van statistieken zes jaar geleden.

De gegevens suggereren dat Australiëers die kaartjes in hun eigen land gebruiken een hoger niveau hebben risico van vervalsing, ook al hebben die kaarten de EMV-microchip. Verder modderend De algemene claim van APCA is dat het niet weet of de door overzee uitgegeven kaarten alleen de magnetische streep hebben of ook de EMV-chip bevatten.

"Het is duidelijk dat ze de cijfers zo goed mogelijk draaien," zei Stephen Wilson, CEO van The Lockstep Group, een adviesbureau voor smartcards en digitale identiteit gevestigd in Sydney. "De persberichten zijn marketingoefeningen."

De Amerikaanse Federal Reserve Bank van Atlanta merkte in een rapport van januari 2012 op dat de daling in fraude als gevolg van EMV-uitrol in Australië "bescheidener is dan de daling van valse fraude in andere chip- en-PIN-markten. "

APCA CEO Chris Hamilton geeft toe dat de cijfers van zijn groep niet het resultaat zijn van een wetenschappelijke studie. De conclusies zijn deels speculatief gebaseerd op feedback van bronnen die APCA voorzien van statistieken. "Ik denk dat het een eerlijke verklaring is dat het niet erg duidelijk is," zei Hamilton.

APCA blijft erbij dat de daling van andere soorten fraude te wijten is aan de wijdverspreide inzet van chip-capable POS-apparaten (POS).

Valse fraude nam bijvoorbeeld aanzienlijk af op zogenaamde "eigen" debetkaarten, Dit zijn kaarten uitgegeven door banken die een betalingssysteem gebruiken dat wordt gerund door een bedrijf genaamd EFTPOS Payments Australia Limited (EPAL).

EFTPOS-transacties zijn goed voor 51 procent van alle transacties in Australië en 80 procent van de pinpastransacties, volgens de organisatie. Maar die kaarten hebben niet de EMV-chip, waardoor de kaarten kwetsbaarder worden voor vervalsingen. EPAL beweert dat het de beveiliging van eigen debetkaarten heeft versterkt, maar geen specifieke details zou geven.

ATM-operators die niet springen

EPAL heeft zijn kaarten niet naar EMV verplaatst, maar plant de komende jaren plannen om begin met het inzetten van de kaarten. EMV wordt volgens een woordvoerder gezien als een 'huishoudprobleem'.

Winkeliers in Australië moesten in april EMV-geschikte betaalterminals hebben. Als ze die terminals niet hebben, kunnen retailers aansprakelijk worden gesteld voor verliezen als gevolg van fraude, volgens nalevingslimieten.

Maar het ATM-wagenpark van Australië, dat meer dan 30.000 machines in het hele land omvat, is niet zo snel geüpgraded.

Het plaatsen van een ATM voor EMV, waarbij hardware- en software-upgrades mogelijk zijn, is niet triviaal. Een ATM EMV-compliant maken is arbeidsintensief, zegt Issa Keshek, die gespecialiseerd is in ATM EMV-compliance voor het bedrijf Clear2Pay en heeft gewerkt met Australische banken. De machines moeten duizenden tests ondergaan om ervoor te zorgen dat ze met verschillende kaarttypen kunnen werken. Ondanks een jarenlange upgrade van de Australische betalingssystemen, profiteren fraudeurs nog steeds van een twijfelachtig record voor een uitgebreid programma voor het uitrusten van betaalpassen, creditcards en geldautomaten met nieuwe beveiligingsfuncties.

Hierdoor zijn Australische banken tot stilstand gekomen en hebben de zelfopgelegde deadlines kunnen vervallen. Geldautomaten moesten in oktober 2013 EMV-klacht zijn. De deadline werd vervolgens naar juni 2014 verplaatst, maar die datum is nog steeds niet in orde, waardoor er nog meer mogelijkheden voor fraude zijn, aldus Keshek.

"Van nature zijn minder veilig land wordt een doelwit, "zei Keshek. "Aanvallers kijken naar vrij grote landen die niet over dezelfde beveiligde infrastructuur beschikken, waaronder Australië."

Commonwealth Bank, die meer dan 4.000 geldautomaten in Australië exploiteert, zei in november 2011 dat het de eerste was die uitrollen van geldautomaten die voldoen aan de EMV-standaard. NAB is van plan om zijn ATM-vloot tegen eind juni 2013 volledig EMV-enabled te maken, terwijl ANZ zei dat zijn plannen commercieel gevoelig waren maar dat de upgrade een "topprioriteit" was. WestPac zei dat het merendeel van zijn geldautomaten EMV-capabel is, maar dat betekent nog niet dat de machines nog aan de regels voldoen.

Ongeveer de helft van de 30.000 geldautomaten in Australië worden beheerd door niet-bancaire bedrijven. De grootste zijn First Data en Customers ATM. Klanten wilden niet reageren, terwijl First Data weigerde een interview toe te kennen, maar zeiden dat het werkte aan volledige EMV-naleving.

zijn goedkopere apparaten, "zei Iain Swaine, principal consultant voor e-crime prevention bij Greenway Solutions, een adviesbureau gevestigd in het Verenigd Koninkrijk. De niet-bancaire geldautomaten moeten voldoen aan dezelfde veiligheidsnormen als vereist door Visa en MasterCard, maar Swaine zei dat de apparaten mogelijk niet zo fysiek veilig zijn als bank-pinautomaten.

"Dit is de reden waarom er meer kans is dat kaart-skimmers eraan werken en dat aanvallers fysiek in de apparaten kunnen stappen om interne skimmers te plaatsen of om de modemverbinding af te luisteren uit de terug, "zei Swaine.

Omdat niet alle betaalkaarten de EMV-chip in Australië hebben, hebben sommige banken mogelijk het zogenaamde" fallback "-mechanisme niet uitgeschakeld, waardoor een geldautomaat gegevens van de magnetische strip van de kaart kan lezen. In sommige gevallen zullen geldautomaten ook de magnetische stripgegevens lezen als de chip defect lijkt te zijn.

Dat biedt fraudeurs een kans, die kunnen profiteren van de complexiteit en ATM's kunnen testen om te zien of de apparaten zullen worden uitbetaald.

Als de ATM-kaart van een klant is afgeroomd en er een vervalste kaart is gemaakt, is er geen manier voor een bank om te zeggen of een gekloonde magstripe of een echte magstripe wordt gebruikt, "zei Steven J. Murdoch, een onderzoeker bij de veiligheidsgroep van het computerlaboratorium van de universiteit van Cambridge, die EMV uitgebreid heeft bestudeerd. "Bankgegevens moeten onderscheid kunnen maken tussen chip en magstripe."

De situatie is slecht nieuws voor klanten, die de verantwoordelijkheid kunnen dragen als hun chipkaart frauduleus wordt gebruikt. Als de magnetische strip van een chipkaart wordt gekloond en de ATM van een bank zo is geconfigureerd dat alleen de magneetstrip wordt gelezen, kan het voor een klant moeilijk zijn om te bewijzen dat ze geen verdachte transactie hebben uitgevoerd.

"De bank neemt nog agressievere stappen om Probeer te laten zien dat je iets verkeerd gedaan hebt en dat het jouw misdaad is, "zei Keshek. "Je bent bijna schuldig voordat je bent bewezen onschuldig te zijn."

Banken kunnen andere manieren gebruiken om valse kaarten te detecteren. Als een kaart bijvoorbeeld in Sydney wordt gebruikt en een uur later wordt gebruikt om geld op te nemen in Roemenië, is dat een goed teken dat een fraudeur aan het werk kan zijn.

Maar geolokalisatieblokken hebben hun limieten, vooral wanneer er een frauduleuze transactie plaatsvindt in de buurt van waar een kaarthouder woont. "Het is heel moeilijk om deze transacties te vangen omdat de fraudesystemen niet strak genoeg zijn," zei Avivah Litan, een fraudedetectiedeskundige en analist bij Gartner. "Anders beginnen ze goede klanten lastig te vallen." Toch ontwikkelen banken betere systemen om fraude te bestrijden, zei Swaine. Het wereldwijde financiële systeem dat kaartbetalingen over de hele wereld mogelijk maakt, is zo technisch. Wilson zei: "Het is verbazingwekkend dat het ooit werkt."

Stuur nieuwstips en opmerkingen naar [email protected]