web-dev-qa-db-ja.com

ATMピンがEMVカードに関連付けられている場合、ATMピンを他の場所で再利用するリスクは何ですか?

次のシナリオのリスクは何ですか?

  1. 銀行は、顧客がオンライン/モバイルバンキングプラットフォームにログインした後、追加の認証形式としてATMピン(デビットカードやクレジットカード)を使用したいと考えています。
  2. 銀行はカードを所有しているため、ATMピンを任意の方法で使用することを選択できるため、コンプライアンス要件に違反しません。
  3. また、すべてのカードがEMV、つまりチップとピンを使用すると仮定します。

犯罪者がすべてのATMピンを盗んだ場合、それを使って何ができるでしょうか?このシナリオでの銀行のリスクはどの程度ですか?

threat-modelingriskatm
3
RavingCheetah

インターネット上のピンを傍受し、それがカードと同じであることを知っているPINは、カードの調達を目的とした標的型攻撃の影響を受けやすくなります。

PINが傍受される可能性がある場合、他の資格情報も同様である可能性が高く、攻撃者が銀行サイトを攻撃する可能性があります。

結論として、ユーザーを物理的なリスクにさらさないでください。

1
M'vy