Bankinių kortelių lustų technologija

Kaip viskas prasidėjo – nuo magnetinės juostelės prie lustų

Prisimenu, kaip vaikystėje stebėdavausi, kaip tėvai mokėjimo terminale braukdavo kortele per tą siaurą plyšelį. Magnetinė juostelė, kuri buvo standartinis sprendimas nuo 1970-ųjų, atrodė kaip tikra magija. Bet realybė buvo gerokai paprastesnė – ta juoda juostelė kortelės gale saugojo informaciją beveik taip pat, kaip senojo tipo kasetės magnetofonai. Ir čia glūdėjo problema.

Sukčiai greitai išmoko nukopijuoti tą informaciją naudodami specialius skaitytuvus – procesą, kurį pradėjo vadinti „skimming”. Bankai kasmet prarasdavo milijardus, o žmonės netekdavo pinigų dėl kortelių klonų. Reikėjo kažko kardinaliai kitokio.

1990-ųjų pradžioje Europoje pradėjo atsirasti kortelės su mažu auksiniu kvadratėliu – lustų kortele. Pirmąkart tokią technologiją išbandė prancūzai dar 1980-aisiais, bet masinis diegimas užtruko beveik dešimtmetį. Dabar praktiškai kiekviena kortelė pasaulyje turi tą mažą lustą, kuris iš esmės yra miniatiūrinis kompiuteris jūsų piniginėje.

Kas tas lustas iš tikrųjų yra

Pažiūrėkite į savo kortelę – tas aukso spalvos kvadratėlis nėra paprastas metalinis lipdukas. Po juo slypi sudėtinga mikroschema, kuri turi procesorių, atmintį ir net savo operacinę sistemą. Taip, jūsų kortelė turi OS, nors ir labai supaprastintą.

Lustas paprastai turi apie 32-128 kilobaitus atminties. Skamba juokingai mažai, palyginus su šiuolaikiniais išmaniaisiais telefonais, turinčiais gigabaitus, bet kortelės lustui to visiškai pakanka. Jame saugoma jūsų kortelės numeris, galiojimo data, PIN kodas (užšifruotas, žinoma) ir kriptografiniai raktai, kurie naudojami saugiam bendravimui su banko sistemomis.

Pats lustas yra pagamintas iš silicio – tos pačios medžiagos, iš kurios gaminami visi kompiuterių procesoriai. Jis suprojektuotas taip, kad būtų atsparusis mechaniniams pažeidimams, temperatūros svyravimams ir net tam tikram radiacijos lygiui. Bandymai fiziškai išgauti informaciją iš lusto yra itin sudėtingi ir reikalauja specializuotos įrangos bei žinių.

EMV standartas – kodėl viskas veikia vienodai

Galbūt pastebėjote, kad jūsų kortelė veikia ne tik Lietuvoje, bet ir bet kurioje pasaulio šalyje. Tai nėra atsitiktinumas – už tai atsakingas EMV standartas. Pavadinimas kilęs iš trijų kompanijų pavadinimų: Europay, Mastercard ir Visa, kurios 1990-ųjų viduryje susėdo kartu ir nusprendė sukurti vieningą lustų kortelių standartą.

EMV apibrėžia viską – nuo fizinių lusto matmenų iki kriptografinių algoritmų, kurie naudojami duomenų apsaugai. Dėl to jūsų Lietuvos banko kortelė be problemų veiks Japonijoje ar Brazilijoje. Standartas nuolat atnaujinamas, pridedant naujus saugumo mechanizmus ir funkcijas.

Įdomu tai, kad EMV standarte yra numatytos kelios autentifikacijos pakopos. Pirmoji – kortelės autentifikacija (ar kortelė tikra), antroji – kortelės turėtojo autentifikacija (PIN kodas ar parašas), trečioji – transakcijos autorizacija banke. Kiekviename žingsnyje naudojami sudėtingi kriptografiniai algoritmai.

Kaip vyksta mokėjimas – kas nutinka per tas kelias sekundes

Kai įkišate kortelę į terminalą, prasideda fascinuojantis technologinis šokis. Pirmiausia terminalas paduoda elektros srovę į lustą per tuos auksinius kontaktus. Lustas „pabunda” ir pradeda komunikuoti su terminalu.

Pirmas dalykas – terminalas paprašo kortelės identifikuoti save. Lustas atsiunčia savo duomenis: kortelės numerį, galiojimo datą, palaikomus mokėjimo metodus. Tada prasideda sudėtingesnė dalis – kriptografinis autentifikavimas.

Lustas sugeneruoja unikalų kriptogramą – tai tarsi vienkartinis slaptažodis, kuris galioja tik šiai konkrečiai transakcijai. Čia ir yra pagrindinis skirtumas nuo magnetinės juostelės – senasis metodas kiekvieną kartą siųsdavo tuos pačius duomenis, kuriuos buvo lengva nukopijuoti. Lustų technologija kiekvieną kartą sukuria naują, unikalų kodą.

Jei suma viršija tam tikrą limitą (Lietuvoje dažniausiai 50 eurų), terminalas paprašys įvesti PIN kodą. Čia vėl įsijungia lustas – jūsų įvestas PIN niekada neišeina iš lusto. Lustas pats patikrina, ar įvestas kodas teisingas, ir tik tada leidžia tęsti transakciją. Net jei kas nors perėmtų visą komunikaciją tarp kortelės ir terminalo, PIN kodo jie negautų.

Galiausiai visa informacija siunčiama į banką per mokėjimo tinklą. Bankas patikrina, ar turite pakankamai pinigų, ar kortelė neblokuota, ar transakcija neatrodo įtartina. Jei viskas gerai, grįžta patvirtinimas, ir terminalas išspausdina čekį. Visas šis procesas paprastai užtrunka 2-4 sekundes.

Bekontaktis mokėjimas – kai net įkišti nereikia

Pastaruosius kelerius metus vis dažniau tiesiog priglaudžiame kortelę prie terminalo, ir mokėjimas įvyksta. Tai veikia per NFC (Near Field Communication) technologiją – tą pačią, kurią naudoja išmanieji telefonai duomenų perdavimui artimame atstume.

Bekontaktėje kortelėje, be įprasto lusto, yra ir maža antenėlė – plona viela, kuri vingiuoja kortelės viduje. Kai priartinate kortelę prie terminalo, terminalo elektromagnetinis laukas indukuoja elektros srovę toje antenėlėje, ir lustas gauna energiją. Taip, bekontaktis lustas net neturi savo baterijos – jis maitinamas iš terminalo.

Saugumo požiūriu bekontaktis mokėjimas naudoja tuos pačius EMV principus – kiekviena transakcija turi unikalų kriptogramą. Tačiau dėl patogumo mažesnėms sumoms (iki 50 eurų) PIN kodo nereikia. Kai kurie žmonės nerimauja, kad kas nors galėtų nuskaityti jų kortelę pro kišenę, bet praktiškai tai beveik neįmanoma – veikimo atstumas yra vos keli centimetrai, o ir tuomet reikėtų specialios įrangos.

Įdomus faktas: bekontaktės kortelės turi skaitiklį, kuris skaičiuoja, kiek kartų buvo atliktas bekontaktis mokėjimas be PIN įvedimo. Po tam tikro skaičiaus transakcijų (paprastai 5-10) arba sumos (pavyzdžiui, 150 eurų), terminalas vis tiek paprašys įvesti PIN kodą. Tai papildoma apsaugos priemonė.

Saugumo mechanizmai, apie kuriuos nežinojote

Lustų kortelių saugumas yra daug gilesnis, nei atrodo iš pirmo žvilgsnio. Pavyzdžiui, lustas turi įmontuotą skaitiklį, kuris skaičiuoja nesėkmingus PIN įvedimo bandymus. Po trijų klaidingų bandymų kortelė automatiškai užsiblokuoja. Tai apsaugo nuo „brute force” atakų, kai bandoma išbandyti visus įmanomus PIN kodus.

Dar vienas įdomus mechanizmas – vadinamasis CVM (Cardholder Verification Method) sąrašas. Kiekviena kortelė turi prioritetinį sąrašą, kaip turi būti patvirtinta kortelės turėtojo tapatybė. Pavyzdžiui: pirmiausia bandyti bekontaktį mokėjimą be PIN, jei tai neįmanoma – su PIN, jei ir tai neveikia – su parašu. Terminalas ir kortelė „derasi” ir pasirenka geriausią variantą konkrečiai situacijai.

Lustai taip pat turi apsaugą nuo klonuojimo. Kriptografiniai raktai, saugomi luste, yra užprogramuoti gamykloje ir negali būti išskaityti ar nukopijuoti standartinėmis priemonėmis. Net jei kažkas gautų visą komunikaciją tarp kortelės ir terminalo, jie negalėtų sukurti veikiančios kortelės kopijos, nes neturėtų tų slaptų raktų.

Bankai taip pat naudoja sudėtingas sukčiavimo aptikimo sistemas. Jei jūsų kortelė staiga naudojama skirtingose geografinėse vietose per trumpą laiką, arba perkama neįprastų prekių, sistema gali automatiškai blokuoti kortelę ir skambinti jums patvirtinimui.

Ką daryti, kai lustas nebeveikia

Nors lustai yra patvarūs, kartais jie vis dėlto sugenda. Dažniausia priežastis – mechaninis pažeidimas. Jei per daug kartų lenkiate kortelę (taip, žinau, kad kartais piniginė perpildyta), lustas gali atsijungti nuo kontaktų.

Kitas priešas – drėgmė ir purvas. Jei tarp lusto kontaktų ir terminalo kontaktų patenka nešvarumų, ryšys gali būti sutrikdytas. Paprastas sprendimas – švelniai nuvalyti lusto kontaktus sausa šluoste. Nenaudokite šlapių servetėlių ar alkoholio – tai gali pažeisti lusto paviršių.

Jei kortelė vis tiek neveikia, o magnetinė juostelė dar funkcionuoja, galite laikinai naudoti ją. Bet kuo greičiau kreipkitės į banką dėl naujos kortelės – mokėjimai magnetine juostele yra daug mažiau saugūs.

Įdomu tai, kad kai kurie bankai jau išduoda korteles be magnetinės juostelės – tik su lustu ir bekontakčiu mokėjimu. Tai logiškas žingsnis, nes magnetinė juostelė šiandien yra tik saugumo spragų šaltinis.

Virtualioji kortelė ir ateities perspektyvos

Lustų technologija nėra galutinis žodis mokėjimų evoliucijoje. Vis populiaresnės tampa virtualiosios kortelės – kai jūsų išmanusis telefonas tampa kortele. Apple Pay, Google Pay ir panašios sistemos iš esmės emuliuoja lustų kortelės veikimą, tik viskas vyksta telefono saugios zonos mikroschemoje.

Telefonai turi tam tikrus privalumus – jie gali naudoti biometrinę autentifikaciją (pirštų atspaudus ar veidą), o praradus telefoną galite jį nuotoliniu būdu užblokuoti ar ištrinti duomenis. Prarasta fizinė kortelė tokių galimybių neturi.

Kai kurie bankai jau eksperimentuoja su dinaminiais CVV kodais – kai tas trijų skaitmenų kodas kortelės gale keičiasi kas kelias valandas. Tai apsunkintų internetinius sukčiavimus, kai pavogus kortelės duomenis bandoma apsipirkti internetu.

Biometrinės kortelės su pirštų atspaudų skaitytuvais jau egzistuoja, nors dar nėra plačiai paplitusios. Tokia kortelė turi mažytį pirštų atspaudų skaitytuką ir bateriją. Vietoj PIN įvedimo terminalui, patvirtinate transakciją paliesdami kortelę. Tai suderina patogumą su aukštu saugumo lygiu.

Kodėl lustai laimėjo ir kas toliau

Lustų technologija tapo standartu ne todėl, kad būtų tobula, o todėl, kad ji yra pakankamai gera – saugi, patikima ir universali. Per tris dešimtmečius nuo pirmųjų bandymų ji išgyveno daugybę iteracijų ir patobulinimų.

Statistika kalba už save – šalyse, kurios perėjo prie lustų kortelių, sukčiavimas kortelėmis sumažėjo 60-80 procentų. Tai milžiniški skaičiai, kurie išgelbėjo milijardus eurų tiek bankams, tiek paprastiems žmonėms.

Žinoma, sukčiai nepasiduoda. Jie pereina prie sudėtingesnių schemų – phishing atakų, socialinės inžinerijos, kenkėjiškų programų mobiliuose įrenginiuose. Bet lustų technologija bent jau uždarė paprasčiausius sukčiavimo būdus.

Ateityje tikriausiai matysime dar daugiau integracijos su išmaniaisiais įrenginiais, biometrinės autentifikacijos ir dirbtinio intelekto naudojimo sukčiavimui aptikti. Bet tas mažas aukso spalvos kvadratėlis jūsų kortelėje dar ilgai išliks – jis yra patikimas, veikia visur ir nereikalauja išmanaus telefono ar interneto ryšio. Kartais paprasčiausi sprendimai būna geriausi, net jei jų viduje slypi sudėtinga technologija.