EMV作为认证技术而不是数据安全技术

Question

我想把我的头放在我认为EMV芯片卡的安全漏洞上。

这是我被告知的EMV。如果交易被第三方恶意记录，他们将获得您的帐号，但是：

1. 他们将错过制作磁条卡所需的信息。
2. 他们不会获得在线购买所需的CVV 或者用iCVV代替CVV。

我的问题是: 1.如何漏掉任何信息？是什么阻止了mag条纹卡的创建？& 2.如果是这样的话，为什么不通过保护/保留CVV来防止卡上不存在的欺诈呢？为什么这些关于网络频道将如何看到欺诈上升的讨论呢？

谢谢!

问题来源：http://nicolas.riousset.com/how-does-emv-encrypt-contactless-transactions/ & http://www.firstdata.com/downloads/thought-leadership/EMV-Encrypt-Tokenization-WP.PDF

Answer 1

1:由于EMV使用动态CVV，记录的事务的CVV是无用的，因为它已经用完了。因此，他们缺乏完整的信息来创建一个(功能)磁条卡。然而，做一个假交易可能会给一个工作的磁条卡。但是这张磁条卡只能工作一次，而在持卡人进行任何合法交易之后就不能工作了，然后银行就会立即检测出坏掉的iCVV，从而阻止这张卡。

此外，欺诈者需要能够预测某些随机数，这在某些情况下可能是可预测的，因为终端缺乏良好的RNG。

2:不同的CVV用于不同的目的，例如一种CVV用于CNP事务，一种用于磁条交易，一种使用动态CVV用于接触芯片事务，另一种使用动态CVV用于射频识别事务。这使得银行可以根据不同的交易类型进行区分。

然而，所有POS交易的记录都不同于所有在线交易:一些网站将其交易处理为POS事务。这会导致系统无论如何都接受事务。

有些零售商也不要求CVV，有时这是零售商在第一次设立储存卡时不对帐户进行授权的零售商，而且由于它禁止以任何方式存储CVV，所以他们不要求它，因为他们没有办法在不收费的情况下对它进行验证。他们允许你设置储值卡。大多数信誉良好的公司在存储卡时都会要求CVV，然后向卡收取1美元的费用，以检查卡是否确实有效，然后将此金额添加到您的网站帐户中。然而，这确实让一些客户望而却步。

Answer 2

为什么记录的EMV交易不足以创建卡片的磁条副本？

由终端读取并发送到其处理器的EMV静态卡数据，除其他外，包含一个称为Track 2等效数据的字段。理论上这可以写在磁条上。

然而，发行人可以自由使用使用不同值获取磁条和芯片上的等效数据:例如，它们可以改变发行人的自由裁量数据，其中包括CVV/CVC。

由于发行者还知道EMV或磁条终端是否创建了授权请求，因此，如果芯片CVV出现在磁条事务上，那么它们就可以拒绝该事务。

此外，如果卡是在EMV能力的终端上使用，发行人也可以拒绝交易，因为终端本来就不应该使用磁条。

为什么CNP欺诈应该因为EMV而减少？

你猜对了，EMV转换对于EMV欺诈并没有真正的改变:卡背面的CVV2 2/CVC2既没有包含在磁条数据中，也没有存储在芯片上。

然而，人们的预期似乎是，一旦EMV被广泛使用，信用卡欺诈将从实体店的个人欺诈(使用浏览的信用卡数据)转移到在线商家。