क्या आप अपने बटुए से पन्नी के एक चिपके हुए टुकड़े के साथ लोगों से मिले हैं? नहीं? जल्द ही आप उन्हें देश के सभी शहरों में देखेंगे! ये लोग कौन हैं? सबसे आम नागरिक जो अपने वित्त की चिंता करते हैं। उनकी चिंता का कारण PayWave और PayPass संपर्क रहित भुगतान कार्ड हैं।
संपर्क रहित बैंक कार्ड प्लास्टिक के टुकड़े हैं जो पहले से ही हमारे परिचित और परिचित हैं, एकमात्र अंतर यह है कि उनके पास हवा पर जानकारी प्रसारित करने के लिए एक एंटीना है। सबसे आम प्रकार VISA PayWave और MasterCard PayPass हैं। इस तरह के कार्ड को कोने में एक लहर के रूप में संबंधित प्रतीक और भुगतान प्रणाली के लोगो के बगल में संपर्क रहित तकनीक के नाम से पहचाना जा सकता है। एक खरीद के लिए भुगतान करने के लिए, आपको बस ऐसे कार्ड को एक विशेष रेडियो से लैस भुगतान टर्मिनल पर लाना होगा। और वह सब - भुगतान किया गया है। कोई पासवर्ड प्रविष्टि और कोई ऑटोग्राफ नहीं। गति बढ़ जाती है - कतारें कम हो जाती हैं।
लेकिन दोनों सब कुछ सुंदर, और संपर्क रहित भुगतान में विवादित बिंदु हैं। यह देखने के बाद कि इस प्रकार के कार्ड कैसे काम करते हैं, सवाल उठता है: यदि विक्रेता कार्ड से लेनदेन के लिए आवश्यक डेटा प्राप्त कर सकता है, तो हमलावर को कार्ड को स्कैन करने और उससे पैसे निकालने से क्या रोकता है? क्या मेरी जेब में संपर्क रहित क्रेडिट कार्ड रखना सुरक्षित है या नहीं?
थोड़ा इतिहास
पहली बार, बीसवीं शताब्दी के शुरुआती 70 के दशक में बैंक कार्ड सुरक्षा का मुद्दा उठा, जब बैंकों को श्रम की भारी कमी का सामना करना पड़ा। क्लर्कों के पास ऋणों के अनुरोध और उनकी मंजूरी के साथ प्रतिभूतियों के शाफ्ट को संसाधित करने का समय नहीं था।
इस स्थिति ने बैंकों को एटीएम का उपयोग करके ग्राहक सेवा का आयोजन करने के लिए प्रेरित किया। नए उपकरणों में विश्वास सुनिश्चित करने के लिए, इंजीनियरों को एक ऐसा तरीका पेश करना था जिसके द्वारा उपयोगकर्ता आसानी से, जल्दी और सुरक्षित रूप से अपनी पहचान कर सकें। तो एक चुंबकीय पट्टी के साथ कार्ड थे।
हालांकि, ऐसे कार्डों में चुंबकीय मीडिया था और स्किमिंग नामक एक गंभीर समस्या थी। एक स्किमर के माध्यम से "प्लास्टिक" का संचालन करने के मामले में, एक विशेष पाठक जो एटीएम के नियमित तत्वों के रूप में प्रच्छन्न है, हमलावर चुंबकीय पट्टी की एक प्रति बना सकते हैं और फिर प्राप्त जानकारी को एक रिक्त कार्ड में स्थानांतरित कर सकते हैं।
इसके जवाब में, 80 के दशक में स्मार्ट कार्ड दिखाई दिए। उनकी उपस्थिति में, वे अपने पूर्वजों के समान हैं। चुंबकीय पट्टी के साथ, जिसका उपयोग किया जाता है जहां स्मार्ट कार्ड रीडर उपलब्ध नहीं होते हैं, ऐसे कार्ड के मामले में प्लास्टिक में एक माइक्रोप्रोसेसर चिप भी बनाई जाती है - वास्तव में, एक पूर्ण कंप्यूटर। बैंकिंग अनुप्रयोगों के संदर्भ में, इसे अक्सर ईएमवी चिप कहा जाता है।
EMV बैंक भुगतान की सुरक्षा बढ़ाने के लिए Europay, MasterCard और Visa द्वारा संयुक्त रूप से बनाया गया एक मानक है। इसके निर्माण के कुछ समय बाद, यूरोपे और मास्टरकार्ड एक कंपनी में विलय हो गए, लेकिन उन्होंने दस्तावेज़ का नाम नहीं बदला।
तो, सुरक्षा स्तर में वृद्धि के कारण?
सबसे पहले, नकली जटिलता। इंटरनेट पर खोज करने के दो मिनट और आपको चुंबकीय पट्टी के साथ क्लोनिंग कार्ड के लिए सबसे विस्तृत निर्देश दिए जाएंगे, साथ ही इसके लिए आवश्यक उपकरण प्राप्त करने के लिए कई दर्जन विकल्प दिए जाएंगे। एक चिप के साथ कार्ड का जालसाजी करना वर्तमान में असंभव माना जाता है।
दूसरा सुरक्षा कारक गतिशील डेटा का उपयोग है। प्रत्येक बैंक लेनदेन के लिए, EMV चिप एक व्यक्तिगत पुष्टिकरण कोड उत्पन्न करता है। इस संबंध में, भुगतान के दौरान प्रेषित डेटा का अवरोधन अर्थहीन हो जाता है।
तीसरा, धारक के विषय सत्यापन का उद्भव। भुगतान की पुष्टि करने के लिए एक चुंबकीय कार्ड का उपयोग करते समय, आपको अपना हस्ताक्षर करने की आवश्यकता होती है, जो कि ज्यादातर मामलों में कोई भी मूल के साथ तुलना नहीं करता है। और यह इस तथ्य के बारे में बात करने के लायक नहीं है कि इसके धारक के पहचान पत्र के साथ "प्लास्टिक" के मालिक के नाम को सत्यापित करना भी आवश्यक है। चिप कार्ड का उपयोग करते समय, प्रत्येक भुगतान की पुष्टि एक पिन कोड दर्ज करके होती है।
यद्यपि EMV चिप चुंबकीय पट्टी का एक गंभीर विकल्प बन गया है, फिर भी, इसके कई नुकसान हैं। उनमें से सबसे महत्वपूर्ण चुंबकीय पट्टी के विशाल बुनियादी ढांचे के साथ संगतता सुनिश्चित करने की आवश्यकता है। इस समस्या को हल करने के लिए, बैंक हाइब्रिड कार्ड जारी करते हैं जो भुगतान के लिए दोनों विकल्प प्रदान करते हैं। लेकिन जब एक चुंबकीय पट्टी में इस तरह के संयुक्त कार्ड की सर्विसिंग होती है, तो सुरक्षा प्रश्न फिर से उठता है। फिर से स्किमिंग का खतरा है।
यह ध्यान देने योग्य है कि चिप के साथ डेटा की प्रतिलिपि बनाना अभी भी संभव है। 2008 (मास्टरकार्ड) से पहले और 2009 (वीज़ा) तक जारी स्मार्ट कार्ड से, आप संबंधित चुंबकीय पट्टी बनाने के लिए पर्याप्त जानकारी पढ़ सकते हैं, अर्थात्: संख्या, समाप्ति तिथि, सेवा कोड, बैंक के बारे में जानकारी। इन तिथियों की तुलना में बाद में जारी किए गए कार्डों के लिए, यह समस्या अब मौजूद नहीं है।
घोटालेबाज इस तरह की प्रति का उपयोग करने में सफल होगा या नहीं यह एक सवाल है। कार्ड की तरह, विभिन्न प्रकार के टर्मिनल हैं। यदि एक "क्लोन" के साथ एक जालसाज़ केवल एक चुंबकीय पट्टी पाठक से लैस एक टर्मिनल से संपर्क करता है, तो इसका उपयोग करने में कोई समस्या नहीं होगी। कार्ड से प्राप्त कोड को पहचानते समय, हाइब्रिड टर्मिनल चुंबकीय पट्टी के अलावा स्थापित करने में सक्षम होता है, इसमें एक चिप भी होनी चाहिए। इस स्थिति में, लेनदेन पूरा नहीं होगा।
ईएमवी चिप की दूसरी गंभीर समस्या संपर्क इंटरफ़ेस की कम गति है। चिप तक पहुंचने, आवश्यक प्रक्रियाओं को पूरा करने और पूरा करने के लिए आवश्यक समय एक चुंबकीय पट्टी के साथ कार्ड पर लेनदेन के समय की तुलना में काफी लंबा है। कतारबद्ध प्रणालियों के मामले में, यह तथ्य धोखाधड़ी के जोखिमों से कहीं अधिक महत्वपूर्ण हो सकता है।
इस सभी में भुगतान प्रौद्योगिकियों के निर्माण की आवश्यकता थी जो चुंबकीय और चिप कार्ड दोनों के सर्वोत्तम पहलुओं को जोड़ती थी और एक ही समय में कम से कम नुकसान होते थे। एनएफसी कॉन्टैक्टलेस बैंक कार्ड इस भूमिका का दावा करते हैं।
संपर्क रहित तकनीक के बारे में
संपर्क रहित बैंकिंग भुगतान तंत्र के भौतिक आधार के रूप में, एनएफसी प्रौद्योगिकी का उपयोग किया जाता है। एनएफसी (नियर फील्ड कम्युनिकेशन) एक छोटी दूरी की वायरलेस उच्च-आवृत्ति संचार है जो लगभग 10 सेंटीमीटर की दूरी पर स्थित उपकरणों के बीच डेटा के आदान-प्रदान को सक्षम करता है। वास्तव में, यह आरएफआईडी संपर्क रहित कार्ड मानक (आईएसओ 14443) का एक सरल विस्तार है, एक स्मार्ट कार्ड के इंटरफेस और एक रीडर को एक डिवाइस में मिलाता है। बैंकिंग अनुप्रयोगों में एनएफसी प्रौद्योगिकी आपको बैंक कार्ड्स तक सीमित किए बिना अधिक आधुनिक समाधान के साथ एक पुरानी, लेकिन परिचित चुंबकीय पट्टी को बदलने की अनुमति देता है। भुगतान अन्य भुगतान उपकरणों द्वारा किया जा सकता है, चाहे वह सेल फोन हो या आरएफआईडी स्टिकर किसी भी सुविधाजनक वस्तु पर चिपकाया गया हो।
संपर्क रहित कार्ड में, लेनदेन करने के लिए आवश्यक जानकारी कार्ड चिप पर संग्रहीत होती है। ऐसे कार्ड दो प्रकार के होते हैं।
पहला अवतार एक चुंबकीय पट्टी के साथ कार्ड पर स्थित केवल एक संपर्क रहित इंटरफेस की उपस्थिति की विशेषता है। यह प्रकार मुख्य रूप से संयुक्त राज्य अमेरिका के लिए अभिप्रेत है। वास्तव में, संपर्क रहित मॉड्यूल स्थिर है और चुंबकीय पट्टी पर संग्रहीत जानकारी को डुप्लिकेट करता है।
दूसरा विकल्प पहले की तुलना में अधिक सुरक्षित है। ऐसे कार्ड में, यह अनिवार्य है कि चिप के साथ बातचीत करने वाले दो इंटरफेस हों: एक संपर्क (एक सिम कार्ड जैसा दिखने वाला तत्व) और गैर-संपर्क (आरएफआईडी टैग)। इस प्रकार के कार्ड EMV मानक का अनुपालन करते हैं। उन्होंने न केवल अपने "चिप समकक्षों" के फायदों को बरकरार रखा, बल्कि अधिक सुविधाजनक भी बने:
- संपर्क रहित कार्ड हमेशा अपने मालिक के पास रहता है। यह एक पाठक के माध्यम से हस्तांतरण के लिए विक्रेता को सौंपने या टर्मिनल में डालने की आवश्यकता नहीं है। विशेष रूप से अच्छा अभ्यास की समाप्ति है, जिसमें, दोपहर के भोजन के लिए भुगतान करते समय, आपको इस तथ्य के साथ आना चाहिए कि वेटर ने कार्ड लिया और अपने आदेश के लिए भुगतान करने के लिए छोड़ दिया, अन्य आगंतुकों की सेवा करें, चाय पीएं, आदि।
- संपर्क रहित कार्ड पर, सेवा की गति बढ़ाने के लिए, अतिरिक्त प्रमाणीकरण के बिना भुगतान की अनुमति है। रूस के लिए, यह राशि 1,000 रूबल है, यूक्रेन के लिए - 200 hryvnias, और, उदाहरण के लिए, थाईलैंड के लिए - 700 थाई baht। इसका मतलब यह नहीं है कि आप उस खरीद के लिए संपर्क रहित भुगतान नहीं कर सकते हैं जिसका मूल्य इस राशि से अधिक है, बस इस मामले में आपको एक प्रमाणीकरण प्रक्रिया से गुजरना होगा।
प्राधिकरण के बिना छोटी मात्रा में भुगतान करना इस तथ्य के कारण संभव हुआ कि भुगतान की गति में वृद्धि के लिए अंतरराष्ट्रीय भुगतान प्रणाली का नेतृत्व किया गया है। इसलिए वीज़ा ने लेनदेन के लिए अधिकतम स्वीकार्य समय 30 सेकंड निर्धारित किया। इसी उद्देश्य के लिए, वीज़ा ने वीज़ा ईज़ी पेमेंट सर्विस प्रोग्राम लॉन्च किया, जिसके अनुसार 1,000 रूबल से कम की खरीद पर सभी बिंदुओं पर बिक्री के लिए ग्राहकों से पहचान पत्र की आवश्यकता नहीं होनी चाहिए।
नई भुगतान तकनीक मास सर्विस के बिंदुओं पर अपरिहार्य होती जा रही है, जहां गति महत्वपूर्ण है, उदाहरण के लिए, परिवहन में। कॉन्टेक्टलेस कार्ड से सेव किए गए सेकेंड ग्राहक की कतार और प्रतीक्षा समय को काफी कम कर देते हैं।
लेकिन सुरक्षा का क्या?
PayPass और PayWave कार्ड्स 13.56 MHz पर ऑपरेटिंग RFID चिप का उपयोग करते हैं। उसके लिए धन्यवाद, कार्ड और टर्मिनल के बीच डेटा का आदान-प्रदान होता है। हालांकि, एक हमलावर आसानी से वैकल्पिक आरएफआईडी स्कैनर के साथ इस जानकारी को रोक सकता है।
संपर्क रहित कार्ड निर्माता इस तथ्य के समाधान को कहते हैं कि आरएफआईडी टैग की सीमा 3-5 सेमी है। लेकिन यह तर्क बहुत विवादास्पद है, क्योंकि 30 सेमी से अधिक की कार्रवाई की त्रिज्या के साथ लंबी दूरी के पाठक पहले से ही मौजूद हैं। अब तक उनकी रचना में पर्याप्त रूप से बड़े एंटेना हैं, जो उनके अस्तित्व के तथ्य से अलग नहीं होते हैं।
इस प्रकार, RFID स्कैनर होने पर, आप लेन-देन अनुरोध उत्पन्न कर सकते हैं और कार्ड पर हमला कर सकते हैं। बेशक, यह डेटा क्लोन बनाने के लिए पर्याप्त नहीं है, लेकिन कई फ़िशिंग हमले काफी सफल हो सकते हैं।
इस बीच, विधायक और भुगतान प्रणाली दोनों इस मामले में धन धारक का समर्थन करते हैं। कार्डधारक द्वारा विवादित 1,000 रूबल तक के भुगतान की राशि बिना अधिक जांच के और जितनी जल्दी हो सके वापस कर दी जाती है। यह मोटे तौर पर माइक्रोएमेंट्स के विकास में रुचि और नकदी प्रवाह में लगातार वृद्धि के कारण है। यह स्पष्ट रूप से अपनाए गए सबसे चर्चित कानूनों में से एक से संकेत मिलता है - 161-On "नेशनल पेमेंट सिस्टम पर"। यदि पहले, बैंक कार्डों के साथ धोखाधड़ी में, आपको अपनी निर्दोषता को एक समझौता कार्ड के मालिक को साबित करना था, जो कि रूसी अदालतों में अक्सर कुछ भी अच्छा नहीं होता था, तो 1 जनवरी 2014 से। स्थिति मौलिक रूप से बदल रही है। उक्त कानून के अनुच्छेद 9 के अनुसार, धन के अनधिकृत हस्तांतरण की सूचना प्राप्त करने के बाद, बैंक ग्राहक को उसकी सहमति के बिना किए गए लेनदेन की राशि की प्रतिपूर्ति करने के लिए बाध्य है। और उसके बाद ही घटना की जांच आगे बढ़ेगी। हालांकि, आधुनिक धोखाधड़ी निगरानी प्रणाली बैंक ग्राहकों को लेनदेन के लगातार विवाद के अधिकार का दुरुपयोग नहीं करने देगी। जो लोग झूठी कॉल को भुनाना चाहते हैं, उन्हें जल्दी से पहचाना जा सकता है।
तो क्या यह संपर्क रहित बैंक कार्ड का उपयोग करने के लायक है या नहीं? सबसे अधिक संभावना इसके लायक है। यह न केवल सुविधाजनक है, यह लगभग सुरक्षित है। लेकिन अगर रेडियो फ्रीक्वेंसी चैनल पर आपके कार्ड डेटा को प्रसारित करने की सुरक्षा के बारे में अभी भी संदेह है, तो कार्ड को पन्नी के लिफाफे के साथ ढालने से यह समस्या दूर हो जाएगी। और हम तेजी से बटुए से पन्नी के एक चिपके कोने वाले लोगों से मिलेंगे।