EMV Cloning: ইএমভি চিপযুক্ত ক্রেডিট কার্ড ক্লোন করার সাইবার প্রযুক্তিগত ঝুঁকি!

EMV একটি international standard যা 1994 সালে Europay, Mastercard এবং Visa এর যৌথ প্রচেষ্টায় বিকশিত হয়। এটি ইউরোপ, এশিয়া এবং বিশ্বের অন্যান্য অঞ্চলে দ্রুত গৃহীত হলেও যুক্তরাষ্ট্রে full adoption হয়েছিল 2015 সালের EMV liability shift এর পর। আজকাল প্রায় সমস্ত বড় পেমেন্ট কার্ড EMV chip সমর্থন করে।

EMV chip আসলে একটি miniature computer যা ISO/IEC 7816 standard অনুসরণ করে। চিপের ভেতরে একটি ROM, RAM, EEPROM এবং একটি microprocessor রয়েছে। কার্ড টার্মিনালের সাথে যোগাযোগ করে ISO 7816 এর APDU বা Application Protocol Data Unit এর মাধ্যমে। যখন কোনো transaction শুরু হয়, টার্মিনাল এবং কার্ড একে অপরের সাথে একাধিক command এবং response exchange করে।

EMV transaction এর মূল নিরাপত্তা element হলো cryptogram - একটি একবার ব্যবহারযোগ্য কোড যা প্রতিটি transaction এর জন্য uniquely generate হয়। কার্ড একটি secret key এবং transaction data ব্যবহার করে Application Cryptogram বা ARQC (Authorization Request Cryptogram) তৈরি করে। এই cryptogram issuing bank verify করে এবং transaction approve করে। ক্লাসিক magnetic stripe এর tracker data পুনরায় ব্যবহার করা যেত, কিন্তু EMV এর cryptogram প্রতিটি transaction এর জন্য আলাদা।

EMV এর তিনটি প্রধান authentication method রয়েছে। Static Data Authentication বা SDA সবচেয়ে সরল, যেখানে কার্ডের একটি digital signature টার্মিনাল verify করে। Dynamic Data Authentication বা DDA এ কার্ড dynamic data sign করে যা replay protection প্রদান করে। Combined DDA/AC বা CDA সবচেয়ে শক্তিশালী, যা সম্পূর্ণ transaction cryptogram এর mathematical proof প্রদান করে।

Pure EMV chip cloning - অর্থাৎ একটি EMV chip এর সম্পূর্ণ functional copy তৈরি করা - বাস্তবিকভাবে প্রায় অসম্ভব। এর কারণ হলো chip এর secret key (Issuer Master Key থেকে derived) কখনও chip থেকে বের হয় না। এই key চিপের secure element এর ভিতরে stored থাকে যা physical tampering protection সহ ডিজাইন করা হয়েছে।

Side-channel attack যেমন power analysis এবং electromagnetic emission analysis তাত্ত্বিকভাবে EMV chip এর key extract করতে পারে। Differential Power Analysis (DPA), Simple Power Analysis (SPA), এবং Correlation Power Analysis (CPA) এর মতো technique laboratory environment এ কাজ করতে দেখা গেছে। তবে আধুনিক EMV chip এই attack এর বিরুদ্ধে countermeasure অন্তর্ভুক্ত করে যেমন random delay, noise injection, এবং masking।

Physical chip extraction অত্যন্ত advanced technique যেখানে chip কে decapsulate করে scanning electron microscope এবং focused ion beam ব্যবহার করে চিপের internal structure বিশ্লেষণ করা হয়। এই ধরনের attack এর জন্য মিলিয়ন ডলারের equipment এবং বিশেষজ্ঞ knowledge প্রয়োজন। শুধুমাত্র state-level actor এবং কিছু specialized criminal organization এই capability রাখে।

Fault injection attack যেমন voltage glitching, clock glitching, এবং laser fault injection chip এর internal computation এ ত্রুটি ঘটানোর চেষ্টা করে। সফল হলে এটি key extraction সম্ভব করতে পারে। আধুনিক EMV chip এই attack এর বিরুদ্ধে detection circuit এবং error response include করে।

বাস্তব জগতে fraud সাধারণত pure cloning এর পরিবর্তে অন্য কৌশল ব্যবহার করে। Skimming এখনও একটি জনপ্রিয় কৌশল কিন্তু এটি ATM এবং POS terminal কে modify করার উপর focus করে। আধুনিক skimmer EMV chip data এবং PIN দুটোই capture করে। 3D-printed overlay, internal modification, এবং Bluetooth-enabled skimmer এই category তে পড়ে।

Magnetic Stripe Fallback একটি গুরুত্বপূর্ণ attack vector ছিল। যখন EMV chip কাজ না করে (claimed), অনেক টার্মিনাল magnetic stripe এ fall back করত। আক্রমণকারীরা purposely chip damage করে স্কিমড magstripe data ব্যবহার করতে পারত। 2015-2018 এর মধ্যে এটি common ছিল, কিন্তু আধুনিক চিপ এবং terminal এই vulnerability অনেকটাই বন্ধ করেছে।

EMV Bypass Cloning বা "shimmer attack" 2018-2019 সালে আবিষ্কৃত হয়েছিল। আক্রমণকারীরা একটি অত্যন্ত পাতলা device (shimmer) ATM এর card reader slot এ install করত যা EMV chip এর কিছু data capture করত। যদিও full cryptographic key চুরি করা যেত না, কিছু static data সংগ্রহ করে একটি modified magnetic stripe card তৈরি করা যেত যা কিছু সিস্টেমে কাজ করত।

Card-Not-Present (CNP) fraud EMV এর কারণে massive growth দেখেছে। যেহেতু physical card cloning কঠিন হয়েছে, fraudster দের অনলাইন এবং phone-based transaction এ focus shift করতে হয়েছে। 2015 EMV liability shift এর পর US এ CNP fraud 100% এরও বেশি বেড়েছে। স্টোলেন কার্ড number, expiration date, এবং CVV ব্যবহার করে online purchase করা যায়।

NFC বা contactless payment এর প্রসার নতুন attack vector এনেছে। যদিও contactless EMV transaction একই cryptographic protection ব্যবহার করে, ব্যবহারের পরিবেশ আলাদা challenges সৃষ্টি করে। Relay attack বিশেষভাবে concerning - একজন আক্রমণকারী victim এর কার্ডের কাছাকাছি একটি device রাখে যা NFC signal একটি দূরবর্তী accomplice এর device এ relay করে যা একটি actual terminal এ ব্যবহার করা হয়।

PIN bypass attack 2020 সালে ETH Zurich এর গবেষকদের দ্বারা প্রদর্শিত হয়েছিল। Visa এর contactless implementation এ একটি বিশেষ flaw ছিল যেখানে আক্রমণকারীরা PIN ছাড়াই বড় অংকের payment করতে পারত। একটি Android phone একটি proxy হিসেবে কাজ করত - victim's card থেকে data রিড করে এবং terminal এ PIN verification bypass করার জন্য modified data পাঠাত।

Pre-play attack তাত্ত্বিক attack যেখানে আক্রমণকারী একটি কার্ড থেকে multiple cryptogram pre-generate করতে পারে। যদি কার্ডের random number generator predictable হয়, এই attack সম্ভব। বাস্তব implementation এ এটি rare কিন্তু কিছু পুরাতন EMV implementation এ vulnerability ছিল।

Tap-and-Run attack যেখানে আক্রমণকারীরা একটি লুকানো contactless reader ব্যবহার করে public transport বা crowded place এ victim এর pocket থেকে payment trigger করার চেষ্টা করে। Most card এর contactless limit থাকার কারণে এটি high-value crime এর জন্য practical নয়, কিন্তু $50 এর নিচে multiple transaction স্বয়ংক্রিয় করা যায়।

Payment industry এই হুমকির বিরুদ্ধে multiple defense স্তর স্থাপন করেছে। 3-D Secure 2.0 (3DS2) CNP fraud প্রতিরোধে একটি গুরুত্বপূর্ণ প্রযুক্তি। এটি risk-based authentication ব্যবহার করে এবং device fingerprinting, behavioral analytics, এবং transaction context analyze করে। SCA বা Strong Customer Authentication EU এর PSD2 regulation এর অধীনে বাধ্যতামূলক, যা প্রায় সব transaction এ MFA প্রয়োজন।

Tokenization আধুনিক payment security এর একটি cornerstone। Apple Pay, Google Pay, Samsung Pay এবং merchant tokenization service কার্ডের actual number এর পরিবর্তে একটি token ব্যবহার করে। যদিও token compromise হয়, এটি কেবল নির্দিষ্ট merchant বা device এ ব্যবহারযোগ্য। PCI DSS Token Service Provider standard এই ইকোসিস্টেম রক্ষা করে।

EMV 3-D Secure এবং Click to Pay এর মতো initiative checkout experience উন্নত করার সাথে security বৃদ্ধি করছে। FIDO2 এবং WebAuthn এর integration password-based authentication প্রতিস্থাপন করছে। Biometric authentication especially মোবাইল payment এ widespread হচ্ছে।

Machine learning-based fraud detection প্রায় সব major issuer এবং network ব্যবহার করছে। প্রতিটি transaction শত শত data point বিবেচনা করে real-time scoring পায়। Unusual location, time, merchant category, amount, এবং velocity এর সমন্বয় suspicious transaction চিহ্নিত করে। False positive কমাতে adaptive machine learning model ব্যবহার করা হয়।

আধুনিক payment fraud ক্রমশ digital এবং sophisticated হচ্ছে। Account takeover এবং synthetic identity fraud বিশেষ উদ্বেগের বিষয়। আক্রমণকারীরা data breach থেকে প্রাপ্ত personal information ব্যবহার করে fake identity তৈরি করেন এবং legitimate পেমেন্ট account খোলেন।

JsSniffer বা web skimmer e-commerce site কে target করে। 2018 সালের British Airways এবং Ticketmaster breach এই category তে পড়ে। Magecart নামক একটি loose collective এই type এর attack এর জন্য responsible এবং বিভিন্ন আক্রমণে কোটি কোটি card stolen হয়েছে।

Mobile malware especially Android-based ব্যাংকিং Trojan যেমন Cerberus, Anubis, এবং BRATA পেমেন্ট app এর credential চুরি এবং transaction manipulation করে। SIM swapping attack এর মাধ্যমে OTP এবং SMS-based authentication bypass করা যায়।

Card testing attack ক্রমবর্ধমান concern - fraudster অসংখ্য ছোট transaction চেষ্টা করে কোন card number বৈধ তা যাচাই করতে। এই বৈধ card পরে high-value fraud এ ব্যবহার করা হয়। অনেক merchant এই attack এর শিকার হয় এবং processing fee এর কারণে আর্থিক ক্ষতি ভোগ করে।

ভোক্তাদের জন্য কয়েকটি basic অনুশীলন গুরুত্বপূর্ণ। নিয়মিত transaction monitor করুন - বেশিরভাগ bank মোবাইল app বা SMS alert এর মাধ্যমে instant notification প্রদান করে। Suspicious activity তাৎক্ষণিকভাবে রিপোর্ট করুন। Strong, unique password ব্যবহার করুন banking এবং shopping site এর জন্য, এবং সব জায়গায় MFA সক্ষম করুন।

Card কে physically protect করুন। ATM ব্যবহার করার সময় skimming overlay এর জন্য check করুন - কার্ড reader আলগা মনে হলে use করবেন না। PIN entry এর সময় keypad cover করুন। Public Wi-Fi তে financial transaction এড়িয়ে চলুন বা VPN ব্যবহার করুন। Mobile wallet (Apple Pay, Google Pay) physical card এর চেয়ে নিরাপদ কারণ এগুলো tokenization ব্যবহার করে।

Merchant এবং business এর জন্য PCI DSS compliance বাধ্যতামূলক এবং essential। বর্তমান version PCI DSS 4.0 আরো কঠোর প্রয়োজনীয়তা প্রবর্তন করেছে। Point-to-Point Encryption (P2PE) বাস্তবায়ন cardholder data exposure কমায়। Modern POS terminal যা EMV এবং contactless সমর্থন করে অপরিহার্য।

Online merchant দের জন্য fraud detection service যেমন Stripe Radar, Forter, Riskified, এবং Sift transaction-level fraud prevention প্রদান করে। 3-D Secure বাস্তবায়ন liability shift প্রদান করে। Address Verification Service (AVS), Card Verification Value (CVV) validation, এবং velocity check basic কিন্তু গুরুত্বপূর্ণ control।

আর্থিক প্রতিষ্ঠানের জন্য continuous monitoring এবং threat intelligence integration crucial। Dark web monitoring stolen card data এর জন্য, real-time fraud scoring, এবং rapid response capability essential। Customer education program ব্যবহারকারীদের সচেতন রাখে।