Kartu bank chip dirancang sedemikian rupa sehingga tidak ada gunanya mengkloningnya dengan skimmer atau malware saat Anda membayar menggunakan kartu chip daripada dengan strip magnetik. Namun, beberapa serangan baru-baru ini di toko-toko Amerika menunjukkan bahwa pencuri mengeksploitasi kelemahan dalam penerapan teknologi ini oleh beberapa lembaga keuangan. Ini memungkinkan mereka untuk melewati kartu chip dan, pada kenyataannya, membuat barang palsu yang dapat digunakan.
Secara tradisional, kartu plastik menyandikan data akun pemilik dalam teks biasa pada strip magnetik. Skimmer atau malware yang tersembunyi di terminal pembayaran dapat membaca data darinya dan menuliskannya. Data ini kemudian dapat dikodekan ke kartu strip magnetik lainnya dan digunakan untuk transaksi keuangan yang curang.
Kartu yang lebih modern menggunakan teknologi EMV (Europay + MasterCard + Visa), yang mengenkripsi data akun yang disimpan di chip. Berkat teknologi ini, setiap kali kartu berinteraksi dengan terminal yang mendukung chip, kunci unik satu kali dibuat, yang disebut token atau kriptogram.
Hampir semua kartu chip menyimpan data yang sama yang dikodekan pada strip magnetik kartu. Ini untuk kompatibilitas mundur, karena banyak vendor AS belum beralih ke terminal yang mendukung chip. Fungsi ganda ini juga memungkinkan pemegang kartu untuk menggunakan strip magnetik jika chip kartu atau terminal merchant tidak berfungsi dengan benar.
Namun, ada beberapa perbedaan antara data yang disimpan pada chip EMV dan data pada strip magnetik. Salah satunya adalah komponen chip yang disebut Kode Verifikasi Kartu Sirkuit Terpadu, atau iCVV, yang terkadang juga disebut sebagai "CVV dinamis".
iCVV berbeda dari kode konfirmasi kartu CVV yang disimpan pada pita magnetik dan melindungi dari penyalinan data dari chip dan menggunakannya untuk membuat kartu strip magnetik palsu. Baik iCVV maupun CVV tidak terkait dengan kode numerik tiga digit yang tercetak di bagian belakang kartu, yang biasanya digunakan untuk membayar di toko online atau mengonfirmasi kartu melalui telepon.
Keuntungan dari pendekatan EMV adalah bahwa meskipun skimmer atau virus menyadap informasi tentang transaksi kartu, data ini hanya akan valid untuk transaksi tersebut, dan seharusnya tidak lagi mengizinkan pencuri untuk melakukan pembayaran curang di masa mendatang.
Namun, agar seluruh sistem keamanan ini berfungsi, sistem backend yang digunakan oleh organisasi keuangan yang mengeluarkan kartu harus memverifikasi bahwa ketika kartu dimasukkan ke terminal, hanya iCVV yang dikeluarkan bersama dengan datanya, dan sebaliknya, bahwa ketika membayar dengan strip magnet, hanya CVV. Jika informasi ini tidak cocok dengan jenis transaksi yang dipilih, lembaga keuangan harus menolak transaksi tersebut.
Masalahnya adalah tidak semua organisasi telah mengkonfigurasi sistem mereka dengan benar. Tidak mengherankan jika pencuri mengetahui titik lemah ini selama bertahun-tahun. Pada 2017, saya menulis tentang peningkatan persentase penggunaan " shimmer " - skimmer berteknologi tinggi yang mencegat data dari transaksi yang dibuat menggunakan chip.
Shimmer ditemukan di ATM Kanada
Para peneliti dari Cyber R&D Labs baru-baru ini menerbitkan hasil studi di mana mereka menguji 11 jenis implementasi chip pada kartu dari 10 bank berbeda di Eropa dan Amerika Serikat. Mereka menemukan bahwa mereka dapat mengambil data dari empat di antaranya, kemudian membuat kartu strip magnetik kloning dan menggunakannya dengan sukses untuk pembayaran.
Ada banyak alasan untuk percaya bahwa metode yang dijelaskan secara rinci oleh Cyber R&D Labs digunakan oleh program jahat yang dipasang di terminal toko. Program mencegat data transaksi dari EMV, yang kemudian dapat dijual kembali dan digunakan untuk membuat salinan kartu chip, tetapi menggunakan strip magnetik.
Pada Juli 2020, jaringan pembayaran terbesar di dunia Visa mengeluarkan peringatantentang ancaman keamanan terkait terminal penjual yang baru saja disusupi. Di terminal mereka, malware telah ditambal untuk bekerja dengan kartu chip.
“Penerapan teknologi pembayaran yang aman seperti EMV Chip telah secara signifikan mengurangi manfaat data pembayaran akun untuk pihak ketiga, karena data ini hanya mencakup nomor akun PAN pribadi, kode verifikasi kartu iCVV dan tanggal kedaluwarsa data,” tulis Visa. “Oleh karena itu, dengan konfirmasi iCVV yang benar, risiko pemalsuan menjadi minimal. Selain itu, banyak pedagang telah menggunakan terminal terenkripsi P2PE yang mengenkripsi PAN, semakin mengurangi risiko melakukan pembayaran. ”
Nama penjualnya tidak disebutkan, tetapi hal serupa tampaknya terjadi di Key Food Stores Co-Operative Inc., jaringan supermarket di timur laut Amerika Serikat. Key Food awalnya mengungkapkan rincian peretasan kartu pada Maret 2020, tetapi memperbarui pernyataan pada Juli 2020 untuk mengklarifikasi bahwa data transaksi EMV juga telah dicegat.
“Terminal di toko mendukung EMV,” Key Food menjelaskan. "Menurut pendapat kami, selama transaksi pada titik-titik ini, malware hanya dapat mencegat nomor kartu dan tanggal kedaluwarsa (bukan nama pemilik dan bukan kode konfirmasi internal)."
Meskipun klaim Key Food secara teknis benar, klaim tersebut menutupi kenyataan - data EMV curian masih dapat digunakan untuk membuat varian kartu strip magnetik yang kemudian dapat digunakan saat melakukan pembayaran dengan terminal perangkat lunak perusak yang dipasang ketika bank penerbit tidak menjual. Perlindungan EMV benar.
Pada bulan Juli, perusahaan anti-penipuan Gemini Advisory menerbitkan entri blog yang merinci peretasan baru-baru ini di pedagang - termasuk Key Food - yang telah mencuri data transaksi EMV, yang kemudian dijual secara ilegal. toko untuk carder.
"Kartu pembayaran yang dicuri selama insiden ini ditawarkan untuk dijual di web gelap," Gemini menjelaskan. "Tak lama setelah insiden itu ditemukan, beberapa lembaga keuangan mengonfirmasi bahwa semua kartu yang berpartisipasi diproses melalui EMV, tanpa mengandalkan strip magnetik sebagai metode fallback."
Gemini mengatakan telah mengonfirmasi bahwa insiden keamanan lain di sebuah toko minuman keras Georgia juga membahayakan data transaksi EMV, sehingga kemudian muncul di web gelap situs yang menjual kartu curian. Sebagaimana dicatat oleh Gemini dan Visa, dalam kedua kasus tersebut, konfirmasi yang benar atas data iCVV dari bank seharusnya membuat data tersebut tidak berguna bagi penipu.
Gemini menentukan bahwa banyaknya toko yang terpengaruh menunjukkan bahwa sangat tidak mungkin pencuri akan mencegat data EMV menggunakan shimmer EMV yang dipasang secara manual.
“Mengingat ketidakpraktisan taktik ini, kami dapat menyimpulkan bahwa mereka menggunakan teknik yang berbeda untuk masuk ke terminal pembayaran dan mengumpulkan cukup data EMV untuk melakukan Kloning Bypass EMV,” tulis perusahaan tersebut.
Stas Alferov, direktur penelitian dan pengembangan Gemini, mengatakan bahwa lembaga keuangan yang tidak melakukan pemeriksaan tersebut kehilangan kemampuan untuk melacak kasus penyalahgunaan kartu tersebut.
Faktanya adalah banyak bank yang telah menerbitkan kartu chip percaya bahwa selama mereka digunakan untuk transaksi menggunakan chip, praktis tidak ada risiko kloning dan menjualnya di pasar bawah tanah. Jadi, ketika organisasi ini mencari pola dalam transaksi penipuan untuk menentukan peralatan vendor mana yang telah disusupi oleh malware, mereka mungkin sepenuhnya mengabaikan pembayaran berbasis chip dan hanya fokus pada konter pembayaran tempat pelanggan menggesek kartu mereka dalam garis-garis.
“Jaringan kartu mulai menyadari bahwa ada lebih banyak lagi transaksi EMV yang diretas sekarang,” kata Alferov. “Penerbit kartu yang lebih besar seperti Chase atau Bank of America sudah memeriksa ketidakkonsistenan iCVV dan CVV dan menolak transaksi yang mencurigakan. Namun, organisasi yang lebih kecil jelas tidak. "
Baik atau buruk, kami tidak tahu lembaga keuangan mana yang salah menerapkan standar EMV. Oleh karena itu, Anda harus selalu memantau pengeluaran kartu Anda dengan cermat dan segera melaporkan setiap transaksi yang tidak sah. Jika bank Anda mengizinkan Anda untuk menerima pesan teks tentang transaksi, ini akan membantu Anda melacak aktivitas tersebut hampir secara real time.