Selepas EMV Shift, Kad Kredit Masih Tidak Sebaik-baiknya

Sudah lebih dari enam bulan sejak peraturan-peraturan yang mengelilingi penipuan kad kredit berubah, memandu pergeseran dari kad kredit jalur magnetik lama ke kad yang dibenamkan dengan cip EMV. Tetapi hanya 20% terminal kad kredit di A.S. telah diaktifkan untuk kegunaan cip melalui April 2016, menurut Mercator Advisory Group. Dan hanya 60% daripada semua kad kredit telah dikemas kini dengan cip.

Walau bagaimanapun, anda mungkin telah melalui proses baru melekatkan kad cip anda ke dalam pembaca, menunggu transaksi disahkan, dan mendapat beeped oleh mesin jika anda meninggalkan kad anda terlalu lama.

Proses ini telah dipromosikan dengan lebih baik sebagai mengambil penjagaan yang lebih baik dari data anda. Tetapi ia mungkin tidak selamat seperti urus niaga EMV. Dan ada bar yang agak rendah untuk keselamatannya mana-mana Transaksi EMV boleh. Sebahagian daripada itu adalah batas teknologi, dan sebahagiannya adalah realiti tingkah laku manusia.

Tingkah laku pengguna sebagai titik melekat

Beberapa pergerakan dalam peralihan EMV telah diperhatikan secara meluas. Untuk satu perkara, urus niaga boleh menjadi lambat. Untuk yang lain, anda masih mengesahkan identiti anda dengan cara yang lama, dengan menandatangani nama anda - dan untuk transaksi yang lebih kecil, anda tidak perlu berbuat demikian.

"Urus niaga akan mengambil masa yang lebih lama di lorong keluar kedai yang memerlukan kad cip dimasukkan ke dalam pembaca kad cip mereka - sekurang-kurangnya untuk jangka pendek, sebagai pedagang belajar untuk mempercepat proses," kata Brian Krebs, wartawan dan keselamatan pakar di Krebs on Security. "Juga, mungkin lebih ramai orang akan meninggalkan kad mereka di dalam mesin dan meningkatkan kerugian [kad] yang hilang dan dicuri untuk bank, sekurang-kurangnya dalam jangka masa terdekat sehingga pengguna terbiasa dengan peranti tersebut."

Di Eropah, pengguna telah menggunakan kad kredit terkumpul selama beberapa dekad, dalam beberapa kes. Tetapi untuk keselamatan tambahan, kad memerlukan pemegang kad untuk memasukkan kod PIN untuk mengesahkan identiti mereka semasa transaksi. Jadi mengapa tidak A.S. mengamalkan sistem cip-dan-PIN, bukan cip dan tandatangan? Faktor utama adalah pengiktirafan penerbit tentang betapa sukarnya memaksa perubahan tingkah laku pengguna.

"A.S. pengguna tidak digunakan untuk memasukkan PIN dengan transaksi kad kredit, "kata Julie Conroy, pengarah penyelidikan di Aite Group di Massachusetts. "Banyak penerbit yang saya bercakap dengan cip dan penandatangan yang dipilih kerana tiada penerbit ingin mengeluarkan kad yang pengalaman penggunanya meletakkannya pada kelemahan kompetitif. Dalam kata-kata satu penerbit, mengajar pengguna untuk mencelup bukannya sapu adalah cukup perubahan; mereka tidak mahu mengambil risiko untuk mengajar pengguna untuk menukar dua tingkah laku pada masa yang sama."

Percubaan untuk menghentikan penipuan

Mengapa membuat pengguna A.S. mengubah apa-apa? Sebab utama adalah penipuan.

Pada 2014, lebih daripada $ 16 bilion telah hilang dalam penipuan kad kredit di seluruh dunia, menurut The Nilson Report, yang merangkumi industri pembayaran. Daripada kerugian, 48% berlaku dalam kad Astronomi Tradisional A.S. adalah lebih mudah digodam, kerana maklumat yang disimpan pada jalur itu statik, atau tidak berubah. Salin sekali, dan anda boleh membuat kad pendua. Cip EMV, bagaimanapun, menjana kod unik untuk setiap transaksi, jadi maklumat yang disalin dari satu transaksi tidak boleh digunakan dalam yang lain.

"A.S. pengguna sebahagian besarnya dilindungi daripada penipuan kad [kos langsung kad kredit], terima kasih kepada persekitaran kawal selia A.S. dan jaminan sifar liabiliti yang menyediakan rangkaian pembayaran, "kata Conroy. Peralihan kepada EMV, maka, adalah lebih penting untuk melindungi penerbit kad kredit daripada kerugian penipuan daripada melindungi pengguna.

Oktober 2015 menyaksikan pengenalan peraturan baru mengenai liabiliti untuk penipuan kad kredit. Jika penipuan berlaku, mana-mana pihak yang tidak menggunakan teknologi EMV adalah bertanggungjawab terhadap kerugian tersebut. Jika kad yang dimaksudkan bukan EMV-terkeluar, liabiliti adalah pada penerbit. Jika pedagang tidak mempunyai pembaca cip EMV, maka pedagang menanggung tanggungjawab. Liabiliti juga boleh dikongsi.

PIN hanya menawarkan perlindungan terhad

Apa yang tidak mempengaruhi persamaan liabiliti ialah sama ada kad cip bergantung pada PIN atau tandatangan untuk pengesahan. Dan sebenarnya, kebanyakan penipuan kad kredit tidak akan dicegah dengan chip dan PIN.

"Chip-and-PIN melindungi daripada penipuan yang hilang dan dicuri - iaitu, jika seseorang mencuri dompet anda, mereka tidak boleh dengan mudah mengambil kad anda dengan membeli-belah," kata Conroy. Jenis penipuan adalah minuscule berbanding penipuan kad kredit umum, kata Conroy.

Di samping itu, pencuri akan sentiasa mencari jalan sekitar keselamatan. "Kami telah melihat, berdasarkan contoh negara-negara lain, penjenayah telah mendapat cukup mahir untuk menangkap PIN, sama ada melalui serangan pemotongan, melayari bahu atau menunjuk kamera," kata Conroy. Kerana PIN tidak berubah dengan setiap pembelian, Conroy berkata ia "mempunyai hadnya dari segi keupayaannya untuk memerangi penipuan dengan berkesan. Ketika U.K. pergi ke chip-and-PIN, penipuan yang hilang-dan-dicuri turun sebentar tetapi dalam beberapa tahun kembali ke tahap pra-PIN."

Cip EMV juga tidak mempunyai peranan dalam urus niaga dalam talian, jadi kad cip sama seperti rentak di sana sebagai kad magnetik.

Adakah cara yang lebih selamat?

Conroy mengatakan cip-dan-PIN adalah yang terbaik untuk menetapkan jangka pendek."Sebaik-baiknya, saya ingin melihat PIN leapfrog industri dan berpindah ke bentuk pengesahan lain, seperti biometrik, pengesahan mudah alih, dan sebagainya," katanya. "Dalam proses itu, kita juga harus menghapuskan tandatangan - itu mahal untuk pedagang untuk menyimpan dan tidak berguna sebagai kaedah pengesahan pelanggan seperti yang sedang dilaksanakan."

Krebs mencadangkan menggunakan "token" sebagai cara untuk memerangi penipuan. Dengan penandaan, komputer pedagang tidak menyimpan data kad kredit sama sekali. Sebaliknya, mereka menyimpan nombor placeholder, atau token, yang boleh digunakan untuk mengambil data dari penerbit.

"Tokenisasi boleh membantu peniaga-peniaga mengelakkan menyimpan data kad untuk jangka masa yang panjang dan dalam proses mengurangkan kemungkinan cybercrooks akan menargetkan mereka untuk data kad," katanya. Tokenisasi akan mengurangkan ancaman daripada pelanggaran data, yang mana kebanyakan pengguna menjadi mangsa penipuan kad kredit.

Penyelesaian mudah alih mempunyai batasannya sendiri

Pembayaran mudah alih dan dompet digital seperti Apple Pay boleh memberikan alternatif. Tetapi Conroy berkata, "Walaupun beberapa pelaksanaan pelayaran khusus saudagar melihat kejayaan besar - Starbucks, untuk satu - penggunaan pembayaran mudah alih terbuka - Apple Pay, Android Pay - bergerak lebih lambat."

Krebs melihat risiko keselamatan untuk pembayaran mudah alih juga. "Apple Pay menggunakan bentuk tokenisation, tetapi masalah pada masa lalu dengan Apple Pay berasal dari prosedur pendaftaran tidak lekap di bank dan pergantungan pada elemen data statik [seperti nombor Jaminan Sosial atau tarikh lahir] untuk pengesahan apabila elemen data ini secara meluas dikompromi dan dijual di hampir semua orang Amerika."

Satu perkara yang akan kekal mudah alih mungkin akan menjadi kad dalam dompet anda. "Pengguna sangat selesa berurusan dengan kad," kata Conroy, "dan perubahan tingkah laku pengguna adalah sukar, jadi kad akan bersama kami untuk masa yang akan datang."

Ellen Cannon adalah seorang penulis di Investmentmatome, sebuah laman web kewangan peribadi. E-mel: [email protected]. Twitter: @ellencannon.