
Sọc từ, EMV hay AI hành vi – khi nói đến vấn đề trộm thẻ, liệu các ngân hàng có đang nhầm cây không? Khi nào chúng ta sẽ nhìn xuống một số sàn ướt thực sự? Tập trung, KYC và quyền riêng tư. Ở một số loại kẹp giày mới? Chuỗi khối
Một ngân hàng nổi tiếng của Nga - gần đây đã phải mở to mắt trước một vụ vi phạm dữ liệu lớn của khách hàng nhờ vào một số thẻ tín dụng dễ bị tấn công.
Điều này nghe có vẻ quen thuộc với kịch bản vài năm trước khi các vụ trộm lớn xảy ra tại các điểm bán lẻ POS (Điểm bán hàng) ở Hoa Kỳ. EMV (Europay, Mastercard, Visa) được cho là giải pháp khắc phục. Nhưng bọn tội phạm cũng đã đánh lừa được hàng rào đó. Họ bắt đầu lắp ráp các chip thẻ thông minh đã được cắt bớt với các bộ vi xử lý thu nhỏ và nhanh chóng tạo ra các thẻ thanh toán giả để quẹt thẻ POS. Chỉ cần nhìn vào những gì báo cáo của Gemini Advisory đã làm sáng tỏ - 93% số thẻ bị đánh cắp có công nghệ chip mới.
Tất nhiên, hy vọng dành cho EMV vẫn tiếp tục khi chúng ta nghe dữ liệu từ Visa (tháng 2019 năm 3.7) cho biết – hơn 87 triệu địa điểm bán hàng đã chấp nhận thẻ EMV và việc chuyển sang EMV này đã cho phép (những địa điểm được thực hiện nâng cấp chip) niềm vui với tỷ lệ 2015 mỗi điểm. tỷ lệ tổn thất đô la do gian lận liên quan đến thẻ giả giảm (từ tháng 2019 năm XNUMX đến tháng XNUMX năm XNUMX).
Nhưng còn những tên tội phạm dễ dàng đăng ký và (Phew!) nhận được thẻ tín dụng McCoy thật, hợp pháp, gần như thật với chip EMV đang hoạt động từ ngân hàng thì sao? Tất cả những gì họ cần là danh tính tổng hợp (đưa số an sinh xã hội thực với tuổi và địa chỉ giả).
McAfee ước tính rằng tội phạm mạng đang gây thiệt hại cho nền kinh tế toàn cầu khoảng 600 tỷ USD, tương đương 0.8% tổng sản phẩm quốc nội toàn cầu.
Sameer Patil, Thành viên, Chương trình Nghiên cứu An ninh Quốc tế và Sagnik Chakraborty, Nhà nghiên cứu, Chương trình Nghiên cứu An ninh mạng, Gateway House, gần đây đã chỉ ra nền kinh tế Ấn Độ đã chuyển từ nền kinh tế chủ yếu dựa vào tiền mặt sang nền kinh tế thường xuyên phụ thuộc hơn vào các hệ thống thanh toán kỹ thuật số như thế nào. Và sự thay đổi này đã mang lại sự hòa nhập tài chính và giảm tham nhũng như thế nào, nhưng cũng đã mở rộng phạm vi tấn công mạng vào cơ sở hạ tầng thanh toán của các tập đoàn tội phạm và tin tặc có tổ chức, các chính phủ nước ngoài và những người được họ ủy quyền.
Thật vậy, chi phí của mỗi đô la thua lỗ do gian lận bán lẻ đã tăng từ 2.94 đô la lên 3.13 đô la trong khoảng thời gian từ năm 2018 đến năm 2019 (một báo cáo khác – LexisNexis Risk Solutions cho biết nghiên cứu). Có tới 86% tổn thất do gian lận xảy ra với các nhà bán lẻ thương mại điện tử từ vừa đến lớn với hàng hóa kỹ thuật số xảy ra do tài khoản ID tổng hợp và thân thiện (bên thứ nhất).
Mất dữ liệu và giả mạo của con người – không quá khó để kết nối. Đối với phân khúc thẻ tín dụng – việc mất dữ liệu có thể xảy ra theo nhiều cách. Bạn có thể thấy một số ngân hàng tìm nguồn cung ứng thẻ tín dụng Kinh doanh thông qua lực lượng lao động theo hợp đồng DSA (Đại lý bán hàng trực tiếp) hoặc FoS (Feet on Street) của họ tại các địa điểm chung - chẳng hạn như trung tâm mua sắm, cửa hàng bán lẻ hoặc tại bất kỳ khuôn viên văn phòng nào, v.v., do đó, điều này khá phổ biến. dễ bị mất dữ liệu, vì PII (Thông tin nhận dạng cá nhân) và đôi khi chi tiết Thẻ tín dụng hiện tại (của các ngân hàng khác) được chia sẻ với các đại lý hoặc đại diện bán thẻ tín dụng của ngân hàng để nhận tín dụng mới từ ngân hàng mới này, Dharmaraj Ramakrishnan giải thích, Giám đốc cấp cao- Ngân hàng & Thanh toán, FIS.
Hóa ra thủ phạm trong vụ lừa đảo ngân hàng Nga gần đây đã có quyền truy cập vào cơ sở dữ liệu như một phần công việc của mình.
Tất cả các phím trên một fob, quanh một ngón tay
Cơ quan An ninh của Sberbank đã kết thúc cuộc điều tra nội bộ và Herman Gref, Giám đốc điều hành, Chủ tịch Ban điều hành của Sberbank đã xin lỗi trong một tuyên bố có nội dung - “Chúng tôi đã học được rất nhiều điều từ những gì đã xảy ra và chúng tôi đã suy nghĩ lại hệ thống của mình để giảm thiểu tác động của con người.” độ tin cậy. Tôi muốn cảm ơn tất cả khách hàng vì sự tin tưởng tuyệt vời mà họ dành cho chúng tôi.”
Có, khách hàng đặt niềm tin rất lớn vào các tổ chức và công nghệ này. Câu hỏi đặt ra là – cuối cùng chúng không thể xuyên thủng được đến mức nào? Điều gì sẽ xảy ra nếu chính ý tưởng về lòng tin và dữ liệu có thể thay đổi và làm thay đổi cách chúng ta nhìn nhận các vi phạm dữ liệu?
Hãy bắt đầu với việc vệ sinh KYC (hoặc Biết khách hàng của bạn) - đó cũng là một phần quan trọng tạo nên niềm tin từ phía ngân hàng. Bằng cách nào đó, bản chất tập trung của dữ liệu KYC này có phải là một điểm dễ bị tổn thương lớn không?
Bất kỳ kho lưu trữ dữ liệu tập trung nào cũng dễ bị tổn thương vì nó cung cấp một điểm mục tiêu duy nhất cho các tác nhân độc hại, theo các chuyên gia trung bình từ Gateway House.
Altaf Halde, Giám đốc Kinh doanh Toàn cầu, PurpleTeam cũng đồng ý. “Đúng, tại thời điểm này, tất cả chúng ta đều đang ở trong tình huống buộc phải sao chép các quy trình chính và lưu trữ tài liệu cá nhân/danh tính kỹ thuật số của mình trên nhiều dịch vụ và trên nhiều dịch vụ. Điều này dẫn đến trải nghiệm khách hàng rất kém. Nhưng quan trọng hơn, nó làm tăng nguy cơ bị tấn công và vi phạm dữ liệu lên rất nhiều.”
Nhưng Ramakrishnan từ FIS lại thích sự khác biệt hơn. “Khuôn khổ kinh doanh được tích hợp với khung bảo vệ dữ liệu rất quan trọng để bảo vệ hệ thống. Theo quan điểm của tôi, việc xác minh dữ liệu tập trung là hướng đi đúng đắn vì đây là nguồn sự thật duy nhất, miễn là cơ sở dữ liệu tập trung được cập nhật. Khi chúng ta tiến bộ về công nghệ, chúng ta nên sử dụng công nghệ phù hợp cho trường hợp sử dụng phù hợp với kiến trúc phù hợp để tìm nạp và xác thực các điểm dữ liệu.”
Tuy nhiên, ông phản đối việc sử dụng các phương pháp tiếp cận mới cho KYC. “Cơ quan quản lý có thể yêu cầu ngân hàng không thu thập PII hoặc chi tiết thẻ tín dụng từ khách hàng tiềm năng, thay vào đó, thu thập công nghệ sử dụng để xác thực các điểm dữ liệu trong thời gian thực bằng cách tích hợp với các tùy chọn khác.”
Thủ đoạn giết người bằng ghim đệm
Đối với các ngân hàng, tổ chức tài chính hoặc các công ty trong ngành thanh toán, sẽ có nhiều thiệt hại hơn là về mặt tài chính xảy ra mỗi khi thẻ bị vi phạm. Có hiện tượng mất dữ liệu và xâm phạm quyền riêng tư - có lý do khiến thị trường dữ liệu nhận dạng chợ đen lại bị ảnh hưởng như vậy.
“Vi phạm dữ liệu có thể liên quan đến PII, bí mật kinh doanh, thông tin tài chính hoặc thậm chí là sở hữu trí tuệ. Trong phân khúc tài chính, các tiết lộ vi phạm dữ liệu phổ biến bao gồm thông tin cá nhân của khách hàng cũng như thông tin nhân khẩu học của họ. Những loại vi phạm này có thể dẫn đến gian lận tài chính, thua lỗ trong kinh doanh hoặc thậm chí mất khách hàng.” Ramakrishnan đánh vần nó ra.
Vậy nếu không phải EMV thì tiếp theo là gì? Có tin tức cho biết Visa đang nghiên cứu một nền tảng giúp các kỹ sư của mình tăng tốc độ thử nghiệm các thuật toán Trí tuệ nhân tạo (AI) tiên tiến có thể phát hiện và ngăn chặn gian lận thẻ tín dụng.
Các ngân hàng có thể chi tới 12.4 tỷ USD vào năm 2023 cho AI – cho các sáng kiến như phân tích gian lận – theo ước tính của IDC
Nhưng điều gì sẽ xảy ra nếu dữ liệu mà thuật toán AI xử lý vẫn nằm trên máy chủ hoặc cơ sở hạ tầng của người chơi tài chính? Một lần nữa, một chuyện một đòn dành cho ai muốn trộm nó. Chúng ta cũng đừng mù quáng trước sự trỗi dậy nhanh chóng của AI đối nghịch. Những kẻ tấn công ngày càng tinh vi hơn trong việc lừa đảo các hệ thống deep learning khi thời gian trôi qua.
Halde nhắc nhở rằng tất cả chúng ta đều chứng kiến một thực tế rằng trong thời gian gần đây, những rủi ro này đang gia tăng theo từng giây. Nếu vi phạm xảy ra, toàn bộ dữ liệu hoặc một phần dữ liệu trong kho lưu trữ trung tâm sẽ bị xâm phạm. Do đó, chúng tôi luôn khuyên bạn nên tận dụng các công nghệ sắp tới bao gồm cả blockchain để đối mặt với những mối đe dọa công nghệ sắp tới này. Các chuyên gia của Gateway House cũng đề xuất tương tự rằng chuỗi khối có thể được giới thiệu theo từng giai đoạn để phân cấp quy trình KYC.
Ramakrishnan cũng đề xuất một quy trình dựa trên công nghệ có thể tránh việc thu thập dữ liệu thủ công và bảo vệ các điểm dữ liệu bằng cách sử dụng mã hóa dữ liệu ở cấp cơ sở dữ liệu.
Như báo cáo của McAfee đã nhấn mạnh, thế giới tài chính cần chuyển sang kiến trúc dữ liệu mở, tiêu chuẩn hóa dữ liệu về mối đe dọa, phương tiện cộng tác nhanh hơn và sâu hơn giữa các cơ quan an ninh và người chơi trên toàn cầu. Phương tiện cho rất nhiều giải pháp này – thật thú vị, ngay cả việc báo cáo cũng có thể nằm ở một nơi – blockchain.
Điều quan trọng là phải hiểu rằng ngành thanh toán không muốn dữ liệu bị đánh cắp, do đó, trong hầu hết các trường hợp tấn công mạng, các ngân hàng và nhà cung cấp giải pháp thanh toán đều minh bạch, như các chuyên gia của Gateway House lập luận. “Tuy nhiên, điều cần thiết là các vi phạm dữ liệu và sự cố an ninh mạng phải được báo cáo ngay lập tức.”
một chính sách bài nghiên cứu của Gateway House phối hợp với Swift Institute cũng đưa ra một khuyến nghị thú vị theo hướng tương tự: Bộ xử lý thanh toán phải cho phép người tiêu dùng kiểm soát dữ liệu thông qua bảng điều khiển chấp thuận, nhờ đó họ có thể xem xét, sửa đổi hoặc xóa dữ liệu cá nhân và thanh toán của họ trên các trang web, chẳng hạn như e -các trang web thương mại.
Ngoài ra, họ lưu ý rằng ngành thanh toán phải tạo ra một nền tảng toàn ngành để chia sẻ thông tin được phân loại, chưa được phân loại và nguồn mở về các cuộc tấn công mạng và các vectơ đe dọa.
Giống như một sát thủ thông minh giết nhiều mục tiêu trong cùng một địa điểm để khó truy ra ai đã giết ai đó và tại sao – một chiến lược bảo mật thông minh cũng có thể sử dụng hiệu ứng phi tập trung này để làm lợi thế cho mình. Trải rộng mục tiêu và làm suy yếu lực lượng. Làm cho hệ thống ít tin cậy hơn và tạo ra niềm tin thực sự. Trao lại quyền kiểm soát cho những người phải chịu thiệt hại nặng nề nhất khi xảy ra các vụ trộm vé lớn.
Sự xuất hiện của blockchain khiến tất cả những điều này không chỉ hợp lý mà còn trở nên dễ dàng thực tế. Đây không phải là câu trả lời duy nhất, nhưng nó có thể là một câu trả lời hay để bắt đầu.
Điều duy nhất khiến việc này trở nên khó khăn là ý chí từ bỏ quyền kiểm soát dữ liệu. Nó không phải là một cuộc đại tu công nghệ mà là một tư duy cố thủ.
Không dễ dàng để vuốt đi. Rốt cuộc thì nó không phải là thẻ tín dụng.