ATM skimming (ăn cắp thông tin tài khoản của giao dịch qua thẻ tại máy ATM) vẫn là một ngành kinh doanh lớn cho bọn tội phạm có tổ chức. Theo như một bài báo gần đây trên ATM Market place, giá trị của các giao dịch bằng các thông tin thẻ bị đánh cắp chiếm hơn 2 tỷ đô la Mỹ trong tổng số tiền thất thoát của các ngân hàng.
Một cách tiếp cân mới mà hiện nay các ngân hàng đang khai thác để giảm thiểu các vật trung gian trong việc gian lận là sử dụng điện thoại thông minh như là yếu tố xác thực thứ hai kể từ khi hầu hết mọi người đều mang điện thoại bên mình.
Nhưng câu hỏi vẫn tồn tại là: Liệu điện thoại thông minh có thể giải quyết vấn đề ngày càng tăng của việc đánh cắp dữ liệu (skimming) hoặc các ngân hàng có lỗ hổng riêng biệt được thể hiện dưới một con đường mới cho tin tặc?
Có lẽ vấn đề lớn nhất là nhận thức. Người tiêu dùng phần lớn không nhận thức được vấn đề thông tin thẻ bị đánh cắp (card skimming) và thậm chí những người quan tâm đến sự rủi ro không tin rằng họ phải chịu trách nhiệm cho các tổn thất tiềm tàng.
Vì vậy, nếu các ngân hàng thực sự quan tâm đến việc sử dụng điện thoại như một hình thức xác thực cho các máy ATM, họ sẽ cần phải bán cho khách hàng một trải nghiệm tốt hơn và an toàn hơn. Khó mà tưởng tượng một chiếc điện thoại di động được yêu cầu xác thực 2 nhân tố hoặc quét một mã QR sẽ nhanh và dễ dàng hơn trong việc rút tiền so với việc nhập một mã PIN có bốn chữ số. Sẽ khó có thể bán trải nghiệm mới này cho khách hàng vì giao dịch rút tiền thông thường hiện nay phải mất từ 15-20 giây.
An ninh và giảm nhẹ thiệt hại từ việc đánh cắp thông tin bằng cách skimming chắc chắn là điều mà các ngân hàng quan tâm nhất. Và chúng tôi cho rằng các rủi ro giữa hai phương thức không hoàn toàn khác nhau. Bởi vì các thiết bị di động dễ bị mất và đánh cắp hơn, một điện thoại liên kết với một tài khoản ngân hàng có thể được sử dụng như một cửa ngõ để tiếp cận tiền mặt từ máy ATM một cách có tiềm năng.
Các ngân hàng đang quan tâm đến việc thực hiện một giải pháp ATM không tiền mặt sẽ cần phải tăng cường hoặc xem xét lại quá trình đăng ký bởi vì tội phạm có thể đăng ký gian lận cho các ngân hàng di động như những người sử dụng khác nhau đưa đến những khả năng để đánh cắp tiền.
Ngay cả với biện pháp sinh trắc học như Apple’s Touch ID với việc xác thực vân tay, một kẻ tấn công có thể đăng ký điện thoại của anh ta một các đơn giản với các thông tin người dùng khác nhau khi Touch ID chỉ phục vụ như một xác thực tại chỗ với một vân tay đã đăng ký (máy ATM hoặc ngân hàng không xác nhận dấu vân tay, chỉ xác nhận chiếc điện thoại).
Một bất lợi khác của việc sử dụng điện thoại di động thay thế cho chiếc thẻ là việc sử dụng mã QR, thay vì các tiêu chuẩn NFC, HCE hoặc Bluethooth linh hoạt hơn.
Khi các giải pháp ATM di động được thiết kế ban đầu bởi các nhà cung cấp 3 năm trước đây, NFC chưa được hỗ trợ bởi Apple. Do đó các nhà cung cấp quyết định không đầu tư cho NFC mà cho mã QR, dẫn đến hàng loạt các phiến toái cho người sử dụng.
Không còn nghi ngờ gì nữa, nếu các nhà cung cấp phải đưa ra quyết định về công nghệ sử dụng ngày hôm nay, họ sẽ không bao giờ sử dụng mã QR. Vì vây, chúng tôi bị buộc phải sử dụng mã QR thay vì mang đến trải nghiệm tốt hơn cho người dùng bởi NFC hoặc Bluetooth để thiết lập một kết nối giữa điện thoại và một máy ATM.
Nhưng đó mới chỉ là vấn đề với mã QR. Việc xác thực qua một mã QR duy nhất (mà thông qua đó gửi tín hiệu cho máy ATM trả tiền) được tiến hành thông qua một mã kết nối được mã hóa tới các đám mây. Nếu đám mây bị tổn hại thì một tên trộm có khả băng rút tiền mặt từ các máy ATM hỗ trợ giải pháp di dộng. Chiếc điện thoại vị tổn hại bây giờ sẽ phục vụ như một cánh cửa mở toang dẫn tới toàn bộ mạng lưới ATM – lỗ hổng lớn này sẽ không tồn tại với các máy ATM sử dụng thẻ vật lý.
Tất nhiên, không có giải pháp an toàn toàn diện, đó là lý do tại sao Easy Sollutions vận động thực hiện cách tiếp cận an ninh lớp – là cách thực sự để giảm thiểu nguy cơ gian lận.
Nếu cuối cùng điện thoại di động trở thành đại diện cho việc rút tiền mặt, các ngân hàng sẽ cần phải thận trọng hơn trong việc giám sát hành vi điện thoại của khách hàng.
Bắt đầu với việc mã hóa và các khóa duy nhất cho mỗi một ứng dụng điện thoại sẽ làm cho việc đánh cắp trở nên khó khăn hơn, từ khi điện thoại kết nối với các máy ATM có cùng một khóa giống như ứng dụng có khóa trên điện thoại. Điều này sẽ gây khó khăn lớn để đánh cắp thông tin thông qua mã độc.
Tất nhiên các máy ATM đang hoạt động không phải là cong cụ giảm chi phí, nhưng là những trung tâm lợi nhuận cho các ngân hàng và những chủ sở hữu độc lập. Trong bối cảnh này, các công nghệ mới ít có khả năng được giới thiệu cho đến khi các công nghệ cũ đã hết khấu hao.
Với công nghệ EMV được nâng cấp để hoàn thiện trước khi thay đổi trách nhiệm được ban hàn từ MasterCard và Visa, sẽ mất một khoảng thời gian trước khi các máy ATM hiện tại được thay thế hoàn toàn bởi các máy ATM không dùng thẻ vật lý.
