¿Cómo puede un cliente autenticar el dispositivo EPOS y asegurarse de que no sea falso?

Navega tus respuestas
0

En el caso de que los clientes utilicen tarjetas de pago con banda magnética y paguen a través de EPOS, un comerciante puede colocar un EPOS falso en la mesa que parece idéntico a los reales, el cliente usa su tarjeta en este dispositivo y ingresa su pin.

Este dispositivo registra la información de la tarjeta y el pin introducido y dice que no se pudo conectar con el banco o la pasarela de pago.

Luego, el comerciante le dice al cliente que use otro EPOS que sea genuino y el pago se realice correctamente. Es como el phishing pero en el mundo real con dispositivos físicos.

En este escenario, el cliente no tiene forma de autenticar este dispositivo EPOS y asegurarse de que sea el dispositivo real y esté conectado a la red bancaria.

¿Hay algún método actualmente en uso para mitigar este riesgo? ¿Cuáles son algunas medidas para poner en práctica, para no caer en este ataque?

(recordatorio) estos dispositivos son resistentes a la manipulación, lo que significa que no puede abrirlos y manipular los circuitos, pero el escenario anterior utiliza un dispositivo totalmente falso que se parece a los dispositivos EPOS reales.

    
pregunta Silverfox 25.10.2015 - 12:28
fuente

1 respuesta

1

Cambiar de banda magnética a tarjetas chip

La única forma de evitar que un comerciante o POS fraudulento se haga pasar por un cliente / tarjeta es asegurarse de que el comerciante no pueda copiar y clonar los datos de la tarjeta simplemente teniendo la tarjeta disponible durante un proceso de pago normal. El cambio a las tarjetas con chip EMV fue pensado como una solución para este y otros problemas.

El escenario que usted describe es muy similar a otros ataques populares, como un tercero que conecta un dispositivo de skimming (por ejemplo, en cajeros automáticos) o un camarero deshonesto que pasa una tarjeta en un terminal real y también en otro lector de tarjetas. El cliente puede detectar dichos riesgos en algunos casos, pero en general no puede eliminar los riesgos, no puede hacer una validación completa y tendrá que confiar en el comerciante y aceptar algún riesgo o no usar tarjetas de pago magstripe.

La principal forma práctica de combatir este tipo de fraude es identificando el punto de compra común después de que haya ocurrido el fraude y verificando las identidades de los posibles comerciantes, de modo que no sea práctico hacerlo porque es muy probable que lo descubran pronto. y no es tan fácil para estos delincuentes recrear nuevas conexiones comerciales legítimas muchas veces.

    
respondido por el Peteris 25.10.2015 - 12:53
fuente

Lea otras preguntas en las etiquetas

¿Cómo detectar la suplantación de arp usando iptable? [cerrado] ¿Dónde se usan los certificados para demostrar la identidad y por qué DNS no es responsable del trabajo?