2011年犯罪分子如何使用被盗的EMV信用卡？

Question

我想回顾一个2011年年法国发生了欺诈事件，其中发布了一个纸 (也是从Ars链接的)。我是在讨论EMV卡的安全性和在美国强制引入EMV卡的安全性之后才谈到这一点的。反正我住在欧洲。

这一问题与具体欺诈直接相关，必须与2011年联系起来，因为这一技术得到了缓解。这意味着这个问题不是真实的。

摘要

通过采用先进的MITM技术，将代理芯片实际植入真正被盗卡的芯片上，罪犯能够通过PIN代码完全禁止用户身份验证，并使用被盗信用卡进行交易。

在对欺诈行为进行发现和密码分析后，POS系统和card协议中部署了大量的防欺诈增强措施，以克服该技术的不足。

这篇文章有趣的引文

我们开始研究的原因是，人们一次又一次地来找我们，声称他们的卡被偷了，并被银行发誓用于商店交易，这证明了他们对PIN的疏忽，而客户则确信他们不可能。“

我的问题

偷来的卡怎么可能能用上几个月？

自从EMV卡的推出(对我们欧洲人来说是很长的时间)，所有银行收到被盗卡的报告，首先将禁用卡本身，并实时。信用卡可能被实际偷去(比如2011年的欺诈)，或者他们的密码被泄露，也就是被胁迫。

在这两种情况下，2011年开始的POS机在接受通过PIN验证的卡时，将得到支付处理器的明确拒绝，因为卡片应该出现在黑名单中，或者不在启用卡列表中。

如何可能接受和处理这些交易？这篇文章清楚地谈到了偷来的卡片，我不认为所有40多张卡都是在持卡人不知道的情况下被偷的。此外，我并不是说在持卡人打电话给银行阻止信用卡之前，一张卡被偷并尽快使用的事情。

从2011年开始，我们所有的银行都提供了一个免费电话号码来报告被盗卡。卡立即被阻塞(自动取款机也可能拒绝将卡退还给推荐人)，银行稍后将发行一张新的EMV卡和一个新的PAN和一个新的PIN。我不得不阻止我偷来的EMV卡一次，所以我对此有直接的经验。它从来没有被谁使用，因为它是PIN保护，但无论如何，我被我的旧卡被电话封锁，几个星期后，一个新的卡与新的号码和代码被发给我。

我阅读了整份我所连结的文件，不明白这个欺诈计划如何有效地对付处理付款的银行。除非当时付款处理器没有检查该卡是否处于活动状态，这取决于其公布的过期日期(存储在芯片中)和PIN认证结果。

这个问题的意义是，从理论上讲，一张EMV卡被泄露的PIN报告被盗，可以(或可能在当时)进一步使用！我知道在我的国家有少量的PIN胁迫案件。

Answer 1

EMV的一个特点是，如果芯片和终端都没有标记它可以联机，则该事务可以由该芯片脱机批准。终端只需存储芯片的响应，并将其发送给处理器，作为日常结算的一部分。有些终端甚至无法在线审批，尽管我不知道这种情况有多常见。

这对商家来说是一个优势，因为他们可以更快地处理事务，并且/或不需要拨入处理器就可以在线批准它。持卡人唯一的优势是速度快。我想开证行有一些优势，但我不知道它是什么。如果你认为EMV卡不能被复制，或者被别人盗用，那就像在线审批一样安全。

这就是说，如果他们用偷来的卡的金额低于终端设定的最低限额，很有可能他们在网上没有被授权，因此当时没有被标记为被盗。直到最后，商人才会发现这是一笔欺诈性交易。

近年来，已经与处理器的连接在欧洲变得越来越好，更多的交易无论如何都是在线处理的。我知道Visa最近规定，签证卡的最低限额应该降低到零，如果可能的话，每笔签证交易都必须在网上进行。