DE112008000022T5 - Betrugsdetektionssystem für Kassenterminals - Google Patents

Betrugsdetektionssystem für Kassenterminals Download PDF

Info

Publication number
DE112008000022T5
DE112008000022T5 DE112008000022T DE112008000022T DE112008000022T5 DE 112008000022 T5 DE112008000022 T5 DE 112008000022T5 DE 112008000022 T DE112008000022 T DE 112008000022T DE 112008000022 T DE112008000022 T DE 112008000022T DE 112008000022 T5 DE112008000022 T5 DE 112008000022T5
Authority
DE
Germany
Prior art keywords
event
terminal
interface
message
codes
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE112008000022T
Other languages
English (en)
Inventor
Gerald Haider
Wolfgang Krebs-Florian
Heinrich Nirschl
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
First Data Corp
Original Assignee
First Data Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by First Data Corp filed Critical First Data Corp
Publication of DE112008000022T5 publication Critical patent/DE112008000022T5/de
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4016Transaction verification involving fraud or risk level assessment in transaction processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/20Point-of-sale [POS] network systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/403Solvency checks

Landscapes

  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Cash Registers Or Receiving Machines (AREA)
  • Burglar Alarm Systems (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

Kassenterminal zur Durchführung elektronischer Zahlungstransaktionen, wobei dem Terminal mindestens eine Terminalkennung zugeordnet ist und das Terminal ein Gehäuse und mehrere externe Schnittstellen aufweist, wobei das Terminal ferner umfasst:
– mindestens einen Detektor, der dazu eingerichtet ist, ein am Gehäuse oder mindestens einer externen Schnittstelle des Terminals stattfindendes Ereignis zu detektieren,
– einen Prozessor, der dazu eingerichtet ist, auf Basis des detektierten Ereignisses eine Ereignismeldung mit einem dem Ereignis zugeordneten Ereigniscode, einem Zeitstempel, der die Uhrzeit angibt, zu der das Ereignis stattfand, und mindestens einer Terminalkennung des Terminals zu erzeugen, und
– eine Meldeschnittstelle, die zur Ausgabe der Ereignismeldung eingerichtet ist, wobei die Meldeschnittstelle eine der externen Schnittstellen ist.

Description

  • Fachgebiet der Erfindung
  • Die Erfindung betrifft allgemein Betrugsdetektionstechniken für Systeme, die sichere elektronische Transaktionen abwickeln, wie z. B. ein elektronisches Zahlungssystem. Die Erfindung betrifft insbesondere Techniken zur Erkennung von Betrug, indem Manipulationen erkannt werden, die an einem Terminal vorgenommen werden, das in einem solchen sicheren System verwendet wird, wie ein Kassen- oder Serviceterminal.
  • Hintergrund der Erfindung
  • Kassen-(POS; point-of-sale)Terminals werden als ein komfortables Mittel zur Verarbeitung elektronischer Zahlungstransaktionen von Unternehmen aller Art und Größe, vor allem von Kaufleuten im Einzelhandel eingesetzt. Zur Ausführung einer elektronischen Zahlungstransaktion mittels eines POS-Terminals wird üblicherweise eine Zahlungskarte verwendet. Die Zahlungskarte kann eine Kreditkarte, eine Debit- bzw. Lastschriftkarte und dgl. sein. Finanzielle und/oder persönliche Informationen sind normalerweise auf der Karte in Form eines Magnetstreifens, eines eingebetteten Chips, einer eingeprägten Ziffernfolge oder einer Kombination aus den obigen Möglichkeiten codiert. Die in der Karte eingeprägte Ziffernfolge kann z. B. die Kontonummer des legalen Karteninhabers angeben; diese Nummer wird nahezu immer bei Zahlungstransaktionen verwendet.
  • Mit der Einfachheit und dem Komfort bei der Ausführung von Zahlungen mittels einer Karte gehen allerdings ernsthafte Bedenken hinsichtlich Kartenbetrugs einher. Unter Anwendung verschiedener illegaler Mittel versuchen Betrüger, die in der Karte codierten oder eingebetteten Informationen und manchmal sogar die persönliche Identifizierungsnummer (personal identification number; PIN), die der Karte zugewiesen ist, zu erlangen. Solche Informationen ermöglichen es den Betrügern, eine gefälschte, kopierte oder manipulierte Karte herzustellen, die exakt die gleichen finanziellen und/oder persönlichen Informationen trägt wie die echte Karte. Die Betrüger können dann die gefälschte Karte für alle möglichen betrügerischen Aktivitäten wie Einkäufe, elektronische Geldüberweisung, Identität vortäuschen usw. benutzen. Manchmal können unglaublich hohe Verluste aufgelaufen sein, bevor der tatsächliche Karteninhaber den Betrug bemerkt.
  • Eine Möglichkeit, wie Betrüger Informationen von Zahlungskarten erlangen können, hängt mit den POS-Terminals zusammen. Da täglich eine große Anzahl Zahlungskarten an einem POS-Terminal zum Einsatz kommen können, könnten Betrüger Informationen von den Zahlungskarten stehlen, indem sie bestimmte Hardware und/oder Software – im Folgenden als ”Spyware” (spy: spionieren) bezeichnet – im POS-Terminal installieren. Diese Spyware kann zahlungsbezogene Informationen auf den Karten abfangen, wenn sie am POS-Terminal verwendet werden.
  • Um die Spyware im POS-Terminal zu installieren, müssen die Betrüger natürlich die physischen Komponenten des Terminals in irgendeiner Weise manipulieren, z. B. das Gehäuse des Terminals öffnen, die Datenschnittstelle trennen usw. Ein typisches Manipulationsszenario stellt sich wie folgt dar: ein Betrüger bricht nachts, z. B. um 02:30 Uhr, in ein Geschäft ein, das geschlossen ist. Um 02:35 Uhr trennt er das Terminal vom Netz und öffnet das Gehäuse; um 02:37 Uhr ist das Gehäuse erfolgreich geöffnet worden. Der Betrüger schließt dann das Terminal wieder an, um zu prüfen, ob es noch normal eingeschaltet werden kann. Falls ja, trennt er das Terminal erneut vom Netz, etwa um 02:38 Uhr, und installiert die Spyware im Terminal. Um 02:48 Uhr ist die Installation beendet und der Betrüger schließt das Terminal wieder an. Danach führt der Betrüger um 02:51 Uhr eine Testkarte in die Kartenleseschnittstelle des Terminals ein, um zu prüfen, ob die installierte Spyware Informationen von der Testkarte lesen und aufzeichnen kann. Bevor dieser Kartenlesetest durchgeführt wird, kann der Betrüger die Datenschnittstelle des Terminals trennen, so dass keine Zahlungstransaktion über die Datenschnittstelle an einen Zahlungsdienstanbieter übertragen werden kann. Wenn der Test abgeschlossen ist, entnimmt der Betrüger die Testkarte, schließt die Datenschnittstelle wieder an, schließt das Gehäuse und verlässt das Geschäft. Einige Tage später, nachdem die Spyware genug Daten von einer großen Anzahl Zahlungskarten gesammelt hat, sucht der Betrüger das Geschäft erneut auf und beschafft sich die von der Spyware gesammelten Daten. Die gesammelten Daten dienen dann zur Herstellung gefälschter Karten.
  • Selbstverständlich gibt es Betrugsdetektionstechniken zur Identifizierung von gefälschten Karten. Ein allgemeines Beispiel sieht die Analyse von Kartentransaktionsaufzeichnungen auf verdächtige Vorgänge vor. Bei diesen Techniken handelt es sich jedoch normalerweise um Maßnahmen nach dem Betrug, die den Betrug erst nach der Herstellung einer gefälschten Karte, die bereits in Umlauf ist, erkennen können. Dies bedeutet jedoch, dass die Daten der echten Karte bereits gestohlen worden sind. Dieser Datenverlust bedeutet natürlich für den legalen Karteninhaber, den Zah lungsdienstanbieter und/oder die die Karte ausgebende Bank ein erhebliches finanzielles Risiko. Nachdem festgestellt worden ist, dass eine gefälschte Karte in Umlauf ist, muss die Kartennummer außerdem auf eine schwarze Liste gesetzt und die echte Karte ersetzt werden; diese Maßnahmen verursachen einen Verwaltungsaufwand für den Ausgeber der Karte sowie zusätzliche Unannehmlichkeiten für den legalen Karteninhaber.
  • Es ist demzufolge wichtig, neue Techniken bereitzustellen, um Kartenbetrug in Zusammenhang mit POS-Terminals so früh wie möglich, vorzugsweise vor einem realen Verlust von Karteninformationen, erkennen zu können.
  • Abriss der Erfindung
  • Die vorliegende Erfindung stellt Lösungen bereit, um Kartenbetrug in Zusammenhang mit Kassen- bzw. POS-Terminals im Frühstadium erkennen zu können. Durch die Detektion von Ereignissen oder Vorkommnissen, die an einem POS-Terminal stattfinden, insbesondere an dessen Gehäuse und externen Schnittstellen, ist es möglich festzustellen, ob eine potentiell betrügerische Manipulation erfolgt ist.
  • Der Begriff ”Ereignis” ist im Rahmen dieser Erfindung so zu verstehen, dass er jegliches Vorkommnis, das an einem Bauteil des Terminals stattfindet, meint. Das Ereignis kann von physischer oder nicht physischer Art sein, durch eine externe Kraft oder durch das Terminal selbst verursacht werden, manuell oder ohne Eingriff durch Menschen stattfinden, durch Hardware oder Software ausgeführt werden, durch einen direkten Kontakt oder einen Kontakt von außerhalb bewirkt werden usw. Beispiele für Ereignisse sind u. a. Vorkommnisse wie das Entfernen, Anbringen oder erneute Anbringen, Trennen, Anschließen oder erneute Anschließen, Öffnen oder Schließen usw. des Gehäuses oder einer der externen Schnittstellen des Terminals.
  • Der Begriff ”Karte” oder ”Zahlungskarte” ist im Rahmen dieser Erfindung als Synonym für jedes maschinenlesbare Teil, Vorrichtung oder Objekt zu verstehen, das von einem Kartenleseterminal als Mittel zur Autorisierung des Karteninhabers und zur Verifizierung seiner Berechtigung, elektronische Zahlungen vorzunehmen, akzeptiert wird. Die Erfindung kann jedoch auch auf andere sichere Systeme als elektrische Zahlungssysteme angewendet werden: Geldausgabeautomaten (Automated Teller Machines; ATMs) sind ein Beispiel, Gebäudesicherheitssysteme wie Zutritt/Verlassen mittels Türkarten ein anderes. Kurz gesagt, die Erfindung ist auf jedes Sicherheitssystem anwendbar, das die Verwendung einer ”Karte” – einem maschinenlesbaren Teil, einer Vorrichtung oder einem Objekt, das von einer Kartenlesemaschine akzeptiert wird – als Mittel zur Autorisierung des Karteninhabers und/oder zur Verifizierung seiner Berechtigung, bestimmte sicherheitsbezogene Handlungen auszuführen, erfordert.
  • Da die Bestimmung möglicher betrügerischer Manipulationen erfolgen kann, sobald die Ereignisse stattgefunden haben, d. h. nicht abgewartet zu werden braucht, bis Kartendaten verloren gegangen und gefälschte Karten bereits in Umlauf sind, kann die Erfindung eine Frühprävention von Datenverlust vereinfachen. Wenn z. B. festgestellt wird, dass die Wahrscheinlichkeit einer Manipulation hoch ist, kann die Funktion des betreffenden POS-Terminals sofort ausgesetzt werden, so dass es künftig keine Zahlungstransaktionen vornimmt. Somit kann ein potentielles Informationsleck der Karte von diesem POS-Terminal wirksam verhindert werden.
  • Gemäß einem ersten Aspekt der Erfindung wird ein Kassenterminal zur Ausführung elektronischer Zahlungstransaktionen bereitgestellt. Dem Terminal sind eine oder mehrere Kennungen zugeordnet, die das Terminal eindeutig identifizieren. Das Terminal weist ein Gehäuse und mehrere externe Schnittstellen auf. Das Terminal weist ferner mindestens einen Detektor auf, der ein Ereignis detektieren kann, das am Terminal stattfindet. Außerdem weist das Terminal einen Prozessor auf, der als Reaktion auf das detektierte Ereignis eine Ereignismeldung erzeugen oder generieren kann, die das stattgefundene Ereignis meldet. Die Ereignismeldung weist einen dem Ereignis zugeordneten Ereigniscode auf, einen Zeitstempel, der die Uhrzeit angibt, zu der das Ereignis stattfand, und mindestens eine Terminalkennung. Nach der Generierung wird die Ereignismeldung über eine Meldeschnittstelle vom Terminal ausgegeben. Alternativ kann die Ereignismeldung lokal im Terminal zur späteren Ausgabe über die Meldeschnittstelle gespeichert werden. Die Meldeschnittstelle ist eine der externen Schnittstellen des Terminals.
  • Gemäß einem zweiten Aspekt der Erfindung wird ein Verfahren zur Detektion von Hardware-Manipulation an einem Kassenterminal bereitgestellt. Dem Terminal ist mindestens eine Terminalkennung zugeordnet, die das Terminal eindeutig identifizieren kann. Das Terminal weist ein Gehäuse und mehrere externe Schnittstellen auf. Das Verfahren besteht aus mindestens den folgenden Schritten: Detektieren eines Ereignisses, das am Gehäuse oder mindestens einer externen Schnittstelle des Terminals stattfindet; auf Basis des detektierten Ereignisses Erzeugen einer Ereignismeldung, die einen dem Ereignis zugeordneten Ereigniscode aufweist, einen Zeitstempel, der die Uhrzeit angibt, zu der das Ereignis stattfand, und mindestens eine Terminalkennung; und Ausgeben der Ereignismeldung über eine der externen Schnittstellen des Terminals.
  • Gemäß einem dritten Aspekt der Erfindung kann das obige Verfahren in einer Hardware, Software oder einer Kombination aus Hardware und Software durchgeführt werden. Hinsichtlich eines Software-Aspektes wird ein Computerprogrammprodukt bereitgestellt. Das Computerprogrammprodukt weist Programmcodeteile zur Ausführung der Verfahrensschritte auf, wenn das Computerprogrammprodukt auf einem oder mehreren Rechengeräten, vorzugsweise auf dem Kassenterminal, abläuft. Das Computerprogrammprodukt kann auf einem computerlesbaren Aufzeichnungsmedium gespeichert sein.
  • Gemäß einem vierten Aspekt der Erfindung wird eine Vorrichtung zur Verarbeitung von Ereignismeldungen bereitgestellt. Die Ereignismeldung ist eine Meldung, die einen Ereigniscode aufweist, der einem Ereignis zugeordnet ist, das am Gehäuse oder einer externen Schnittstelle eines Kassenterminals stattgefunden hat, einen Zeitstempel, der die Uhrzeit angibt, zu der das Ereignis stattfand, im Folgenden als Ereignisauftretenszeit bezeichnet, und mindestens eine Terminalkennung eines Kassenterminals. Die Vorrichtung weist eine erste Schnittstelle auf, die für den Empfang einer oder mehrerer solcher Ereignismeldungen eingerichtet ist. Außerdem weist die Vorrichtung einen Prozessor auf, der die folgenden Aktivitäten ausführen kann: Wählen eines Satzes von Ereignismeldungen mit derselben Terminalkennung; Ordnen der Ereigniscodes in dem Satz von Ereignismeldungen zu einer Folge nach Maßgabe der Zeitstempel in den Ereignismeldungen; Lesen eines oder mehrerer Muster, wobei jedes Muster eine Folge von Ereigniscodes aufweist; Bestimmen, ob die geordnete Folge der Ereigniscodes mit mindestens einem der Muster übereinstimmt; und Erzeugen einer Benachrichtigungsmeldung, wenn eine Übereinstimmung gefunden wird. Die Vorrichtung weist ferner eine zweite Schnittstelle auf, die zur Ausgabe der Benachrichtigungsmeldung eingerichtet ist.
  • Gemäß einem fünften Aspekt der Erfindung wird ein Verfahren zur Verarbeitung von Ereignismeldungen bereitgestellt. Eine Ereignismeldung enthält einen Ereigniscode, der einem an einer externen Schnittstelle oder einem Gehäuse eines Kassenterminals stattgefundenen Ereignis zugeordnet ist. Die Ereignismeldung enthält außerdem einen Zeitstempel, der die Uhrzeit angibt, zu der das Ereignis stattfand, und mindestens eine Terminalkennung eines Kassenterminals. Das Verfahren weist die folgenden Schritte auf: Empfangen einer oder mehrerer solcher Ereignismeldungen; Wählen eines Satzes von Ereignismeldungen mit derselben Terminalkennung; Ord nen der Ereigniscodes in dem Satz von Ereignismeldungen zu einer Folge nach Maßgabe der Zeitstempel in den Ereignismeldungen; Lesen mindestens eines Musters, wobei das Muster eine Folge von Ereigniscodes aufweist; Bestimmen, ob die geordnete Folge der Ereigniscodes mit dem mindestens einen Muster übereinstimmt; und Erzeugen einer Benachrichtigungsmeldung, wenn eine Übereinstimmung gefunden wird.
  • Gemäß einem sechsten Aspekt der Erfindung kann das Verfahren nach dem obigen fünften Aspekt in Form von Hardware, Software oder einer Kombination aus Hardware und Software verwirklicht werden. Hinsichtlich eines Software-Aspektes wird ein Computerprogrammprodukt bereitgestellt. Das Computerprogrammprodukt weist Programmcodeteile zur Ausführung der Verfahrensschritte auf, wenn das Computerprogrammprodukt auf einer oder mehreren Rechenkomponenten, vorzugsweise auf der Vorrichtung, abläuft. Das Computerprogrammprodukt kann auf einem computerlesbaren Aufzeichnungsmedium gespeichert sein.
  • Kurzbeschreibung der Zeichnungen
  • Nachfolgend wird die Erfindung anhand von Ausführungsbeispielen beschrieben, die in den Zeichnungen dargestellt sind. Es stellen dar:
  • 1 ein schematisches Blockdiagramm einer Ausführungsform eines Terminals gemäß der Erfindung;
  • 2 ein Beispiel für Ereignismeldungen und Beispiele für Ereigniscodefolgen gemäß der Erfindung;
  • 3 ein Flussdiagramm einer Ausführungsform eines ersten Verfahrens zur Detektion von Hardware-Manipulationen an einem POS-Terminal gemäß der Erfindung;
  • 4 ein schematisches Blockdiagramm einer Ausführungsform einer Vorrichtung zur Verarbeitung von Ereignismeldungen gemäß der Erfindung;
  • 5 zwei Muster gemäß der Erfindung; und
  • 6 ein Flussdiagramm einer Ausführungsform eines zweiten Verfahrens zur Verarbeitung von Ereignismeldungen gemäß der Erfindung.
  • Detaillierte Beschreibung der Zeichnungen
  • In der folgenden Beschreibung sind zum Zwecke der Erläuterung und nicht der Einschränkung bestimmte Einzelheiten angegeben, wie spezifische Schrittfolgen, besondere Schnittstellen und Konfigurationen, um ein gründliches Verständnis der Erfindung sicherzustellen. Für den Fachmann ist es offensichtlich, dass die Erfindung mit anderen Ausführungsformen verwirklicht werden kann, die von diesen spezifischen Einzelheiten abweichen. Der Fachmann wird ferner erkennen, dass die Erfindung zwar hauptsächlich in Form von Verfahren und Vorrichtungen beschrieben ist, sie jedoch ebenfalls in Computerprogrammprodukten sowie in Systemen, die einen Computerprozessor und einen mit dem Prozessor gekoppelten Speicher aufweisen, verwirklicht werden kann, wobei der Speicher mit einem oder mehreren Programmen codiert ist, die bei Ausführung durch den Prozessor die hierin enthaltenen Funktionen ausführen können.
  • 1 zeigt ein POS-Terminal 10 gemäß der Erfindung. Das POS-Terminal 10 besteht aus mehreren internen Modulen oder Komponenten: einem Anwendungsprozessor 14, einem Spannungsversorgungsmodul 16, einem Kommunikationsmodul (Modem) 18, einem Kartenlesemodul 20 und einem Hardware-Sicherheitsmodul (HSM) 22. Andere Module oder Komponenten (in 1 nicht dargestellt) wie ein so genannter PIN-Pad, ein Display und ein Drucker – bei denen es sich um Eingabe-/Ausgabegeräte zur Erleichterung der Mensch-/Maschineninteraktion zwischen dem Terminal und dem Benutzer handelt – können ebenfalls enthalten sein. Zum physischen Schutz sind diese Module in einem Gehäuse 24 (oder einer Abdeckung, einem Rahmen, einer Schale etc.) des Terminals angeordnet. Einige dieser Module sind mit Schnittstellen 26, 28, 30 gekoppelt, die mit der externen Umgebung in Interaktion stehen. Im Gehäuse sind normalerweise Löcher oder Öffnungen vorgesehen, um diese externen Schnittstellen durchführen zu können. So ist beispielsweise das Spannungsversorgungsmodul 16, das für die Spannungsversorgung des Terminals sorgt, mit einer Spannungsversorgungsschnittstelle 26 verbunden. Die Spannungsversorgungsschnittstelle kann ein Draht oder Kabel zu Spannungszufuhr zum Terminal von einer externen Spannungsquelle (in 1 nicht dargestellt) sein. Das Kommunikationsmodul 18 ist mit einer Kommunikationsschnittstelle oder einer Datenschnittstelle 28 gekoppelt, über die Daten in Zusammenhang mit elektronischer Zahlung zwischen dem Terminal und dem Zahlungsdienstanbieter übertragen werden. Bei einer Ausführungsform kann die Datenschnittstelle ein Datenkabel oder ein Datendraht sein; eine drahtlose Datenschnittstelle kann ebenfalls verwendet werden. Das Kartenlesemodul 20 ist mit einer Kartenleseschnittstelle 30 gekoppelt, die normalerweise die Form einer engen Öffnung wie ein Schlitz hat, und die mit der Zahlungskarte in Kontakt kommt, wenn eine elektronische Zahlungstransaktion auszuführen ist. Der Kontakt kann von physischer, elektrischer, magnetischer und/oder optischer Art sein. Manche der internen Module des Terminals brauchen nicht mit externen Schnittstellen gekoppelt zu sein. So sind z. B. der Anwendungsprozessor 14 und das HSM 22 sicher vom Gehäuse 24 eingeschlossen und stehen nicht direkt in Kontakt mit einer externen Schnittstelle. Das HSM enthält Hardware- und/oder Software-Komponenten zur Ausführung von Autorisierungs- und Verschlüsselungsfunktionen. Der PIN-Pad ist typischerweise integral mit dem HSM ausgeführt. In manchen Fällen ist der Anwendungsprozessor im HSM integriert.
  • Eine Zahlungstransaktion mittels des POS-Terminals beginnt typischerweise mit der Eingabe des Zahlungsbetrages, die entweder manuell oder automatisch von der elektronischen Registrierkasse aus erfolgt. Danach wird eine Zahlungskarte durch die Kartenleseschnittschnelle 30 des Terminals gezogen oder in diese eingeführt. (In manchen Fällen wird die Zahlungskarte vor der Eingabe des Zahlungsbetrags durchgezogen). Das Kartenlesemodul 20 liest dann zahlungsbezogene Informationen von der Karte oder fragt diese ab. Der PIN-Pad des Terminals gestattet die Eingabe der persönlichen Identifizierungsnummer (PIN) auf einer Zifferntastatur oder einem Tastenblock, falls die erforderlich ist. Auf Basis der zahlungsbezogenen Daten, die von der Karte ausgelesen werden, der eingegebenen PIN und vielleicht zusätzlicher relevanter Transaktionsinformationen verarbeitet das Terminal die Transaktion auf Online- oder Offline-Weise.
  • Im Online-Szenario veranlasst das Terminal oder genauer der Anwendungsprozessor 14 die Übertragung einer elektronischen Zahlungstransaktion an ein Verarbeitungssystem, das normalerweise der Zahlungsprozessor des Zahlungsdienstanbieters ist. Die Übertragung der Zahlungstransaktionsdaten wird vom Kommunikationsmodul 18 und der Datenschnittstelle 28 ausgeführt. Der Zahlungsprozessor empfängt die Zahlungstransaktion, verarbeitet sie und sendet schließlich entweder eine Meldung ”Transaktion OK” oder ”Transaktion nicht ausgeführt” an das Terminal zurück.
  • Im Offline-Fall kann das Terminal die Transaktion lokal autorisieren und die Zahlungstransaktionsdaten später, z. B. am Ende des Tages, an den Zahlungsdienstanbieter übergeben. Die Übertragung der Zahlungstransaktionsdaten wird vom Kommunikationsmodul 18 und der Datenschnittstelle 28 abgewickelt.
  • Zusätzlich zu den obigen Komponenten und Funktionen ist dem POS-Terminal 10 mindestens eine Kennung zum Identifizieren des Terminals zugeordnet. Die Kennung kann von physischer Art sein, d. h. eine für das Terminal eindeutige Kennung wie eine Seriennummer oder ein laufender Code. Ein anderer Kennungstyp ist eine logische Kennung, die normalerweise dem Kaufmann zugewiesen wird, der das Terminal besitzt (oder least) und es verwendet, um mit seinem Zahlungsdienstanbieter zur Ausführung elektronischer Zahlungstransaktionen zu kommunizieren. Ein Zahlungsdienstanbieter bedient normalerweise eine große Anzahl Kaufleute; um sie voneinander zu unterscheiden, weist der Zahlungsdienstanbieter im Allgemeinen jedem Kaufmann eine Kennung zu. Diese Kennung ist die so genannte ”logische Kennung” für POS-Terminals. Natürlich ist es möglich, jeden anderen Typ einer Terminalkennung zu verwenden, mit dem ein aktives Terminal von einem anderen aktiven Terminal eindeutig unterschieden werden kann. Außerdem kann jede beliebige Kombination der obigen Terminalkennungen verwendet werden.
  • Das POS-Terminal 10 weist ferner einen Meldungsprozessor 32 auf, der eine Ereignismeldung auf Basis eines detektierten am POS-Terminal stattgefundenen Ereignisses erzeugen kann. Einzelheiten der Ereignismeldungen und der relevanten Funktionsweise des Meldungsprozessors 32 werden nachstehend beschrieben. Der Meldungsprozessor 32 kann ein Spezialprozessor oder mit dem Anwendungsprozessor 14 integriert sein.
  • Das Terminal 10 weist ferner einen oder mehrere Detektoren 36, 38, 40, 42, 44 auf, die mindestens eine Ereignisart, die am Gehäuse 24 oder an mindestens einer der externen Schnittstellen 26, 28, 30, 34 des Terminals stattfindet, erkennen können.
  • Unter den Detektoren kann ein Spannungsdetektor 36 sein, der Änderungen der Versorgungsspannung an der Spannungsversorgungsschnittstelle 26 erkennen kann. Der Detektor 36 kann z. B. erkennen, ob eine kontinuierliche Versorgungsspannung plötzlich unterbrochen wird, oder im umgekehrten Fall, ob die Spannungsversorgung wieder eingesetzt hat. Das heißt, der Spannungsdetektor kann eine Änderung der Versorgungsspannung sowohl von ”Ein” auf ”Aus” als auch von ”Aus” auf ”Ein” detektieren. Ein Beispiel eines Spannungsdetektors kann eine elektronische Schaltung sein, die auslöst, wenn die Spannung der Spannungsversorgung unter einen bestimmten Schwellenwert abfällt. Andere Mechanismen sind ebenfalls möglich. Der Spannungsdetektor kann außerdem so konfiguriert sein, dass er eine Entfernung der Spannungsversorgungsschnittstelle 26 vom Terminal und/oder ein Anbringen (oder erneutes Anbringen) der Spannungsversorgungsschnittstelle am Terminal erkennt.
  • So kann z. B. ein mechanisches Schaltgerät die Entfernung der Spannungsversorgungsschnittstelle detektieren. Mit dieser Fähigkeit kann der Spannungsdetektor auf Ereignisse reagieren, wie Trennen der Spannungsversorgungsschnittstelle von einer externen Spannungsquelle, Anschließen der Spannungsversorgungsschnittstelle an eine externe Spannungsquelle, Durchschneiden z. B. eines Drahtes oder Kabels der Spannungsversorgungsschnittstelle, erneutes Verbinden der durchgetrennten Spannungsversorgungsschnittstelle, Abnehmen der Spannungsversorgungsschnittstelle vom Terminal und Anbringen (oder erneutes Anbringen) der Spannungsversorgungsschnittstelle am Terminal und dgl. Wenn eine Person, z. B. ein Betrüger, das POS-Terminal manipuliert, indem ein unsachgemäßer Eingriff an der Spannungsversorgungsschnittstelle stattfindet, wird deshalb ein solcher Eingriff erkannt.
  • Ein Datenverbindungsdetektor 38 kann zur Detektion von Ereignissen bereitgestellt sein, die an der Datenschnittstelle 28 stattfinden. Der Datenverbindungsdetektor 38 kann den Status einer Datenübertragung über die Datenschnittstelle 28 etwa als folgenden erkennen: Liegt ein plötzliches Ende oder eine Unterbrechung einer laufenden Datenübertragung vor? Liegt ein Start oder ein Neustart einer Datenübertragung vor? Ist die Datenschnittstelle 28 vom Terminal entfernt worden? Ist die Datenschnittstelle am Terminal angebracht (oder erneut angebracht) worden? Die obigen Detektionsfunktionen können durch Hardware (z. B. eine elektronische Schaltung) und/oder Software erzielt werden, die im Datenverbindungsdetektor implementiert ist, um die Unterbrechung eines Datenkommunikationsprotokolls einer unteren Ebene zu detektieren. Spezielle Techniken könnten die Erfassung von Heartbeat-Signalen, die Kontrolle von Stromschleifen oder die Detektion einer bestimmten Spannung beinhalten, die an einem Stift anliegen muss. Außerdem könnte der Datenverbindungsdetektor auch ein Schaltgerät des mechanischen Typs aufweisen, das die Entfernung der Datenschnittstelle vom Terminal erkennen kann. Wenn das Terminal 10 mit einer derartigen Detektionsfunktionalität ausgerüstet ist, kann es jede Manipulation des Terminals in Form eines unsachgemäßen Eingriffs an der Datenschnittstelle detektieren.
  • Ein anderer Detektor 40, ein Kartenlesedetektor, kann bereitgestellt werden, um zu detektieren, ob Informationen von einer Zahlungskarte von der Kartenleseschnittstelle oder dem Kartenlesemodul ausgelesen oder abgerufen worden sind. Wenn beispielsweise Karten mit Magnetstreifen zu verarbeiten sind, kann der Lesekopf der Kartenleseschnittstelle auf einen passiven Modus eingestellt werden, aber eingeschaltet bleiben; sobald eine Karte durchgezogen wird, liefert der Lesekopf die von der Karte ausgelesenen Signale. Im Fall von Chip-Karten kann die Kartenleseschnitt stelle mit einem Mikroschalter versehen sein, der das Einführen einer Karte detektieren kann. Die von der Karte abgerufenen Informationen, etwa die Kartennummer, sind normalerweise zahlungsbezogen.
  • Wenn im normalen Online-Betrieb zahlungsbezogene Daten von der Karte ausgelesen werden, werden die Daten an den Anwendungsprozessor 14 geschickt, der veranlasst, dass eine entsprechende Zahlungstransaktion an den Zahlungsdienstanbieter übertragen wird. Die Zahlungstransaktionsdaten werden über die Datenschnittstelle 28 ausgegeben. Wenn jedoch eine Person, z. B. ein Betrüger, Testlesen der Karten auf dem Terminal, das sich im Online-Modus befindet, vornehmen möchte, ohne dass eine Übertragung von Zahlungstransaktionsdaten veranlasst wird, muss er die Datenübertragungsfunktion der Datenschnittstelle 28 deaktivieren, bevor die Testkarte durch die Kartenleseschnittstelle gezogen wird. Dadurch kann es geschehen, dass dem Abrufen von zahlungsbezogenen Daten von einer Zahlungskarte KEINE Ausgabe von Zahlungstransaktionsdaten von der Datenschnittstelle 28 folgt. Der Kartenlesedetektor 40 kann zusammen mit dem Datenverbindungsdetektor 38 solche ”Kartentest”-Ereignisse detektieren.
  • In einer anderen Situation, d. h. im Offline-Szenario, in der das Terminal selbst nach dem Auslesen der Zahlungstransaktionsdaten von der Karte keine Übertragung der Zahlungstransaktionsdaten zu veranlassen hat, können solche ”Kartentest”-Ereignisse dadurch detektiert werden, dass die Kartenleseaktivität und das Ausbleiben einer anderen der normalen Aktivitäten berücksichtigt werden. Diese normalen Aktivitäten können die Eingabe eines PIN-Codes, die Eingabe eines Zahlungsbetrags, die Bestätigung des eingegebenen Zahlungsbetrags durch Drücken der OK-Taste etc. sein. Bei manchen Terminals können POS-Transaktionen z. B. nur durch die Eingabe eines Zahlungsbetrags vor dem Lesen einer Zahlungskarte ausgelöst werden. Wenn also eine ”Kartenlese”-Aktivität durch den Kartenlesedetektor 40 erkannt wird, aber zuvor kein Zahlungsbetrag eingegeben wurde, könnte dies als ”Kartentest”-Ereignis durch einen Betrüger interpretiert werden.
  • Der Kartenlesedetektor 40 kann außerdem so konfiguriert werden, dass er das Entfernen und/oder Anbringen (oder erneutes Anbringen) der Kartenleseschnittstelle vom bzw. am Terminal detektiert. Zur Ausführung einer solchen Detektion kann ein mechanisches Schaltgerät geeignet sein.
  • Gemäß der Erfindung weist das POS-Terminal 10 außer der Spannungsversorgungsschnittstelle 26, der Datenschnittstelle 28 und der Kartenleseschnittstelle 30 noch eine weitere externe Schnittstelle 34 auf, die als Meldeschnittstelle bezeichnet wird, um die vom Meldungsprozessor 32 erzeugten Ereignismeldungen auszugeben. Die Funktionsweise der Meldeschnittstelle 34 ist in zahlreichen Punkten der der Datenschnittstelle 28 ähnlich. Obwohl die Meldeschnittstelle 34 eine spezielle Schnittstelle sein kann, kann sie auch mit der Datenschnittstelle 28 integriert sein.
  • Analog kann ein Meldungsdetektor 42 bereitgestellt werden, um Ereignisse zu detektieren, die an der Meldeschnittstelle 34 stattfinden. Diese Ereignisse sind ähnlich beschaffen wie die an der Datenschnittstelle 28 stattgefundenen.
  • Das Terminal 10 kann ferner einen Gehäusedetektor 44 aufweisen, um jegliche am Gehäuse 24 des Terminals stattgefundenen Ereignisse zu erkennen. Insbesondere wenn das Gehäuse oder ein Teil desselben geöffnet oder geschlossen wird, oder wenn ein Teil des Gehäuses entfernt oder angebracht (oder erneut angebracht) wird, kann dies der Gehäusedetektor 44 detektieren. Auf diese Weise kann jeder unsachgemäße Eingriff am Gehäuse erkannt werden. Außerdem kann das Terminal so ausgeführt werden, dass es die sicheren Informationen z. B. kryptographische Schlüssel, die im HSM enthalten sind, sofort löscht, wenn der Detektor 44 einen unsachgemäßen Eingriff am Gehäuse erkennt.
  • Nunmehr wird der Meldungsprozessor 32 ausführlich anhand von 2 beschrieben, die eine beispielhafte Ereignismeldung darstellt, die vom Meldungsprozessor 32 erzeugt werden kann.
  • Nachdem einer der Detektoren ein bestimmtes Ereignis erkannt hat, reagiert erfindungsgemäß der Meldungsprozessor 32 auf diese Detektion, indem er eine entsprechende Ereignismeldung erzeugt, um das Auftreten dieses Ereignisses zu dokumentieren. Als Beispiele soll ein Satz Ereignismeldungen 50, 52, 54, 56, 58 mit gleicher Struktur dienen, die in 2 dargestellt sind. Die Grundstruktur einer Ereignismeldung weist drei Felder 60, 62 und 64 auf. Das erste Feld 60 enthält eine Terminalkennung, z. B. die Seriennummer SN12345678 des Terminals wie in der Figur dargestellt. Natürlich kann das Feld 60 eine andere dem Terminal zugeordnete Kennung enthalten, wie die logische Kennung, eine Kombination aus der Seriennummer und der logischen Kennung usw. Das zweite Feld 62 der Ereignismeldung enthält einen Zeitstempel, der die Uhrzeit angibt, zu der das Ereignis stattfand. Die Erzeugung von Zeitstempeln ist im Stand der Technik eine bekannte Technologie. Das dritte Feld 64 enthält einen so genannten ”Ereigniscode”. Der Ereigniscode ist ein dem Ereignis zugeordneter Code und gibt an, um welche Ereignisart es sich handelt.
  • So lautet beispielsweise in den Ereignismeldungen 50 und 54 der Ereigniscode 1601, womit das Ereignis ”Spannung aus” angegeben werden kann. In den Ereignismeldungen 52 und 56 lautet der Ereigniscode 1602, was ”Spannung ein” bedeuten kann, und in der Ereignismeldung 58 lautet er 2001, was das Abrufen von Informationen von einer Karte, aber ohne anschließende Ausgabe von Zahlungstransaktionsdaten über die Datenschnittstelle eines POS-Terminals angeben kann. Kurz gesagt ist jede Ereignisart, die vom (von den Detektoren des) Terminal(s) erkannt werden kann, ein eindeutiger Ereigniscode zugeordnet. Wenn der Meldungsprozessor eine Ereignismeldung auf Basis eines bestimmten detektierten Ereignisses erzeugt, ist der zugehörige Ereigniscode in der Meldung enthalten.
  • Die Ereignismeldung kann zusätzliche Felder zur Dokumentation anderer Informationen in Zusammenhang mit dem erkannten Ereignis und/oder dem Terminal enthalten. Beispielsweise kann die Leistungsaufnahme des Terminals, die Dauer der spannungslosen Periode usw. in der Ereignismeldung enthalten sein.
  • Die Ereignismeldung kann sobald sie erzeugt worden ist ausgegeben oder in einem Speicher oder Puffer 46 des Terminals für eine vordefinierte Zeitspanne vor ihrer Ausgabe gespeichert werden. Der Speicher oder Puffer 46 kann auch eine Mehrzahl Ereignismeldungen speichern, die von der Meldeschnittstelle 34 ausgegeben werden können.
  • Wie oben erwähnt, kann der Meldungsprozessor 32 ein spezifischer Prozessor oder mit dem Anwendungsprozessor 14 integriert sein. Im letztgenannten Fall kann der Prozessor 32 außerdem eine elektronische Zahlungstransaktion auf Basis der von der Zahlungskarte abgerufenen zahlungsbezogenen Daten veranlassen.
  • Nunmehr sei auf 3 verwiesen, anhand derer eine Ausführungsform eines ersten Verfahrens 70 für ein POS-Terminal erläutert wird. Zum besseren Verständnis wird das Verfahren 70 beispielhaft bezogen auf das POS-Terminal 10 von 1 und die Ereignismeldungen von 2 beschrieben. Es ist jedoch zu beachten, dass das Verfahren 70 in Kombination mit einem POS-Terminal mit einer anderen Konfiguration als die von 1 sowie in Kombination mit Ereignismeldungen mit einer anderen Struktur als der von 2 verwirklicht werden kann.
  • Das Verfahren 70 zielt auf die Detektion von Hardware-Manipulationen am POS-Terminal 10 ab, wobei dem Terminal mindestens eine Terminalkennung zugeordnet ist und es ein Gehäuse 24 sowie mehrere externe Schnittstellen 26, 28, 30 und 34 aufweist.
  • Das Verfahren 70 beginnt mit Schritt 72, in dem das POS-Terminal ein am Gehäuse 24 oder einer der externen Schnittstellen 26, 28, 30 und 34 des Terminals stattgefundenes Ereignis mittels eines oder mehrerer der Detektoren 36, 38, 40, 42 oder 44 erkennt. Wie oben beschrieben kann das Ereignis u. a. jedes der folgenden sein: Entfernung einer der externen Schnittstellen oder eines Teils des Gehäuses vom Terminal; Anbringen (oder erneutes Anbringen) einer der externen Schnittstellen oder eines Teils des Gehäuses am Terminal; Änderung der Versorgungsspannung über die Spannungsversorgungsschnittstelle 26 von Ein auf Aus, d. h. ein Ereignis ”Spannung aus”; Änderung der Versorgungsspannung über die Spannungsversorgungsschnittstelle 26 von Aus auf Ein, d. h. ein Ereignis ”Spannung ein”; Beendigung oder Unterbrechung der Datenübertragung über die Datenschnittstelle 28; Start (oder Neustart) der Datenübertragung über die Datenschnittstelle 28; Beendigung oder Unterbrechung der Meldungsübertragung über die Meldeschnittstelle 34; Start (oder Neustart) der Meldungsübertragung über die Meldeschnittstelle 34; Abrufen von zahlungsbezogenen Daten von einer Zahlungskarte durch die Kartenleseschnittstelle 30 oder das Kartenlesemodul 20 aber ohne anschließende Ausgabe der Zahlungstransaktionsdaten über die Datenschnittstelle 28; Öffnen eines Teils des Gehäuses 24; Schließen eines Teils des Gehäuses 24; Anstieg der Leistungsaufnahme des Terminals um einen ersten vorgegebenen Betrag (z. B. 500 mW); Abnahme der Leistungsaufnahme des Terminals um einen zweiten vorgegebenen Betrag (z. B. 300 mW), wobei der erste und zweite vordefinierte Betrag gleich oder verschieden sein können. Es ist in diesem Zusammenhang zu betonen, dass Schwankungen der Leistungsaufnahme des Terminals ein Hinweis darauf sein können, dass auf dem Terminal zusätzliche Hardware/Software, z. B. Spyware, läuft.
  • Im nächsten Schritt 74 erzeugt das Terminal eine Ereignismeldung 50 entsprechend dem bzw. auf Basis des detektierten Ereignisses. Die Ereignismeldung 50 enthält einen Ereigniscode 1601, der dem Ereignis zugeordnet ist, d. h. der Ereigniscode identifiziert oder bezeichnet Typ, Art oder Beschaffenheit des Ereignisses; die Ereignismeldung 50 enthält außerdem einen Zeitstempel 02:35, der die Uhrzeit angibt, zu der das Ereignis stattfand. Ferner weist die Ereignismeldung 50 mindestens eine Terminalkennung SN12345678 auf. Mit dem Ereigniscode, dem Zeitstempel und der Terminalkennung definiert die Ereignismeldung 50 das Ereignis eindeutig.
  • Schließlich wird in Schritt 76 die erzeugte Ereignismeldung über eine der externen Schnittstellen des Terminals ausgegeben. Diese Schnittstelle kann die spezifische Schnittstelle 34 sein, die speziell zur Übertragung von Ereignismeldungen dient, aber auch die Datenschnittstelle 28, die das POS-Terminal zur Ausgabe von Zahlungstransaktionsdaten an den Zahlungsdienstanbieter verwendet.
  • Obwohl die Ereignismeldung ausgegeben werden kann, sobald sie erzeugt worden ist, kann das Verfahren 70 einen Schritt enthalten, in dem die Ereignismeldung über eine vorgegebene Zeitspanne gespeichert oder zwischengespeichert wird, bevor sie vom Terminal ausgegeben wird. Außerdem kann eine Mehrzahl gespeicherter oder zwischengespeicherter Ereignismeldungen entweder seriell oder gleichzeitig ausgegeben werden.
  • Das Verfahren 70 kann in einer Hardware, Software oder einer Kombination aus Hardware und Software durchgeführt werden. Beim Software-Aspekt wird ein Computerprogrammprodukt bereitgestellt. Das Computerprogrammprodukt weist Programmcode-Abschnitte zur Ausführung der Schritte des Verfahrens 70 auf, wenn das Computerprogrammprodukt auf einem oder mehreren Rechengeräten abläuft. Vorzugsweise läuft das Computerprogrammprodukt auf dem Meldungsprozessor 32 des Terminals 10 ab. Das Computerprogrammprodukt kann von einem fernen Gerät z. B. von einem Zahlungsverarbeitungs-Server eines Zahlungsdienstanbieters über eine der externen Schnittstellen des Terminals, z. B. die Datenschnittstelle 28 oder die Meldeschnittstelle 34, heruntergeladen werden. Vor allem dann, wenn ein Terminal nicht mit dem Meldungsprozessor 32 ausgerüstet ist, ist es hilfreich, dass das Computerprogrammprodukt auf den Anwendungsprozessor 14 heruntergeladen und dort ausgeführt werden kann. Mit einer derartigen Herunterladefunktion können herkömmliche Terminals zur Ausführung des Verfahrens 70 ohne jeglichen Austausch, Aufrüstung oder Neukonfiguration des Terminals, insbesondere des Prozessors 14, befähigt werden.
  • Die Beschreibung des POS-Terminals 10 und des entsprechenden Verfahrens 70 zusammenfassend lässt sich der Schluss ziehen, dass durch die Detektion und Dokumentation der Ereignisse, die am Gehäuse und den mehreren externen Schnittstellen des Terminals stattfinden, jede mögliche Manipulation, die nahezu immer einen unsachgemäßen Eingriff am Gehäuse und/oder einer der externen Schnittstellen bedeutet, erkannt werden kann. Das POS-Terminal 10 sowie das Verfahren 70 gemäß der Erfindung können also eine Früherkennung einer potentiellen Hardware-Manipulation des Terminals erleichtern.
  • 4 zeigt eine Ausführungsform einer Vorrichtung 80 zur Verarbeitung von Ereignismeldungen gemäß der Erfindung. Eine von der Vorrichtung 80 verarbeitbare Ereignismeldung enthält Informationen, die ein Ereignis betreffen, das an einem POS-Terminal insbesondere an einer der externen Schnittstellen oder dem Gehäuse des Terminals stattgefunden hat. Die Informationen enthalten mindestens folgendes: einen zum Ereignis gehörigen Ereigniscode, wobei der Ereigniscode angibt, von welcher Art, welchem Typ und welcher Beschaffenheit das Ereignis ist; einen Zeitstempel, der die Uhrzeit angibt, zu der das Ereignis stattfand, die im Folgenden als Ereignisauftretenszeit bezeichnet wird; und mindestens eine zum Terminal gehörige Terminalkennung. Die obigen Informationen identifizieren ein Ereignis eindeutig. Natürlich können weitere Informationen, die das Ereignis und/oder das Terminal, wo das Ereignis stattfand, betreffen, ebenfalls in der Ereignismeldung enthalten sein.
  • Die Vorrichtung 80 weist eine erste Schnittstelle 82 auf, die zum Empfangen von Ereignismeldungen eingerichtet ist. Die Ereignismeldungen können von einem oder mehreren POS-Terminals 84 und 86 bereitgestellt werden oder aus anderen Quellen für Ereignismeldungen stammen. Die Vorrichtung weist außerdem einen Prozessor 88 auf, der zum Verarbeiten der empfangenen Ereignismeldungen eingerichtet ist. Ferner weist die Vorrichtung eine zweite Schnittstelle 90 zur Ausgabe einer Benachrichtigungsmeldung auf, die entsprechend dem Ergebnis der Verarbeitung der Ereignismeldung erzeugt wird.
  • Bei einer Ausführungsform wird die Benachrichtigungsmeldung als hörbarer und/oder visueller Alarm ausgegeben, um eine Person aufmerksam zu machen. Bei einer anderen Ausführungsform kann die Vorrichtung 80 eine Speicheranordnung 92 aufweisen, welche die von der ersten Schnittstelle 82 empfangenen Ereignismeldungen speichern kann. Bei einer weiteren Ausführungsform kann die Vorrichtung ein Rechengerät z. B. ein Computer sein; bei einer speziellen Ausführungsform ist die Vorrichtung 80 ein Server.
  • Die Einzelheiten der vom Prozessor 88 ausgeführten Verarbeitung werden nunmehr unter Bezugnahme auf 2 beschrieben, die einen Satz Ereignismeldungen zeigt, und 5, die ein so genanntes ”Muster” gemäß der Erfindung zeigt.
  • Der Prozessor 88 empfängt Ereignismeldungen, die von einem oder mehreren POS-Terminals erzeugt wurden. Aus den empfangenen Meldungen wählt der Prozessor 88 einen Satz Ereignismeldungen 50, 52, 54, 56 und 58 (2), die alle dieselbe Termi nalkennung SN12345678 haben. Die Anzahl der zu wählenden Ereignismeldungen kann vordefiniert werden. Alternativ kann die Wahl auf einem vordefinierten Zeitrahmen basieren, d. h. nur die Ereignismeldungen, deren Ereignisauftretenszeit innerhalb des vordefinierten Zeitrahmens liegt, werden gewählt.
  • Der Prozessor 88 ordnet dann die im Satz Ereignismeldungen 50, 52, 54, 56 und 58 enthaltenen Ereigniscodes entsprechend den Zeitstempeln in den Ereignismeldungen zu einer Folge. Das bedeutet, dass die Ereigniscodes aus den Ereignismeldungen extrahiert und nach ihrer jeweiligen Ereignisauftretenszeit geordnet werden. Das Ordnungsergebnis ist eine geordnete Folge 66 wie in 2 dargestellt; der Pfeil in Richtung von oben nach unten gibt die Reihenfolge an. Insbesondere ist der Ereigniscode einer Ereignismeldung mit einer früheren Ereignisauftretenszeit in der Folge vor dem Ereigniscode einer anderen Ereignismeldung mit einer späteren Ereignisauftretenszeit positioniert. In der Folge 66 gehört z. B. der erste Ereigniscode in der Reihenfolge von oben nach unten zur Ereignismeldung 50, die einen Zeitstempel mit der Ereignisauftretenszeit 02:35 enthält. Alle anderen Ereigniscodes entsprechen Ereignismeldungen mit Zeitstempeln, die Ereignisauftretenszeiten nach 02:35 angeben; somit wird der Ereigniscode der Ereignismeldung 50 an erster (oberster) Stelle in der Folge positioniert.
  • Daraus ist ersichtlich, dass die geordnete Folge der Ereigniscodes die Ereignisse, die am relevanten POS-Terminal stattfanden, in chronologischer Reihenfolge ”erzählt”. So gibt beispielsweise die Folge 66 in 2 an, dass nachstehende Ereignisse am POS-Terminal SN12345678 stattfanden: ein Ereignis ”Spannung aus”, das mit dem Ereigniscode 1601 angegeben wird, gefolgt von einem Ereignis ”Spannung ein” mit dem Ereigniscode 1602, gefolgt von einem weiteren Ereignis ”Spannung aus”, das mit dem Ereigniscode 1601 angegeben wird, gefolgt von einem weiteren Ereignis ”Spannung ein” mit dem Ereigniscode 1602, dem schließlich ein mit dem Ereigniscode 2001 angegebenes Ereignis folgt, was das Abrufen von Informationen von einer Karte ohne anschließende Ausgabe von Zahlungstransaktionsdaten über eine Datenschnittstelle des POS-Terminals SN12345678 bedeutet.
  • Der Prozessor 88 der Vorrichtung 80 ist in der Lage, ein oder mehrere ”Muster” zu lesen. Der Begriff ”Muster” bedeutet hier eine vordefinierte Datenstruktur, die eine Folge aus Ereigniscodes mit eventuell einigen zusätzlichen Informationen aufweist. Muster können in der Speicheranordnung 92 der Vorrichtung 80 gespeichert sein und dem Prozessor 88 bereitgestellt werden. Die Speicheranordnung 92 kann ein Speicher, eine Datenbank, usw. sein. Muster können dem Prozessor 88 auch aus anderen Quellen (in 4 nicht dargestellt) bereitgestellt werden. In 5 sind zwei beispielhafte Muster 100 und 102 dargestellt. Das Muster 100 hat die Grundstruktur eines Musters und weist in der mit dem Pfeil 104 angegebenen Reihenfolge eine Folge der Ereigniscodes 1601, 1602, 1601, 1602 und 2001 auf. Das Muster 100 gibt also die nachstehende Ereignisfolge an, die an einem POS-Terminal stattgefunden haben kann: ein Ereignis Spannung aus, gefolgt von einem Ereignis Spannung ein, gefolgt von einem zweiten Ereignis Spannung aus, gefolgt von einem zweiten Ereignis Spannung ein, dem schließlich ein Ereignis folgt, bei dem zahlungsbezogene Daten von einer Zahlungskarte abgerufen werden, aber keine anschließende Übertragung von Zahlungstransaktionsdaten über eine Datenschnittstelle zur Übertragung von Zahlungstransaktionsdaten detektiert wird. Das Muster 100 entspricht also dem typischen Manipulationsszenario, das oben unter ”Hintergrund der Erfindung” beschrieben wurde. Es können verschiedene Muster vordefiniert werden, die verschiedenen Hardware-Manipulationsprozeduren entsprechen, die auf POS-Terminals abzielen, z. B. ein deutlicher Anstieg der Leistungsaufnahme des Terminals, mehrere aufeinander folgende Ereignisse Spannung aus, Verlust der Datenkonnektivität an der Datenschnittstelle zusammen mit Ereignissen Spannung aus usw.
  • Nach dem Lesen des Musters 100 (und vielleicht mehrerer Muster) vergleicht der Prozessor 88 die geordnete Folge 66 der Ereigniscodes mit dem Muster 100, um zu bestimmen, ob die beiden übereinstimmen, d. h. ob die geordnete Folge gleich oder nahezu gleich dem Muster ist. Wenn eine Übereinstimmung festgestellt wird, erzeugt der Prozessor 88 eine Benachrichtigungsmeldung, die das Ergebnis ”Übereinstimmung festgestellt” angibt, womit ein menschlicher Administrator informiert wird, um sich näher mit der Angelegenheit zu befassen. Der Prozessor 88 kann auch so konfiguriert werden, dass er eine Bewertung (Score) (z. B. 0 bis 100%) erzeugt, die angibt, wie gut oder wie genau die geordnete Folge dem Muster entspricht. Die Bewertungsalternative trägt dazu bei, dass die Musterübereinstimmung gegenüber kleinen Abweichungen bei der betrügerischen Manipulation tolerant ist. Da die Benachrichtigungsmeldung innerhalb kurzer Zeit nach dem Stattfinden einer tatsächlichen Manipulation erzeugt werden kann, kann der Betrug sofort, also mit hinreichendem Zeitabstand vor dem Verlust von Karteninformationen, identifiziert werden. Eine solch rasche Betrugsdetektion kann den Datenverlust aufgrund von Manipulationen von POS-Terminals wirksam verhindern.
  • Muster mit mehr Informationen als sie das Muster 100 enthält, können bereitgestellt werden. Das Muster 102 in 5 ist ein Beispiel. Beim Vergleich der Muster 100 und 102 zeigt sich, dass die beiden Muster zwar dieselbe Folge aus Ereigniscodes 1601- 1602-1601-1602-2001 aufweisen, das Muster 102 aber zusätzlich eine Folge aus so genannten ”Zeitdauercodes” t1, t2, t3 und t4 aufweist. Wie die Bezeichnung nahe legt, geben die Zeitdauercodes Zeitperioden an. Im speziellen Beispiel des Musters 102 hat der Zeitdauercode t1 einen Wert von 2 Minuten, der Zeitdauercode t2 einen Wert von 1 Minute usw. Jeweils zwei aufeinander folgende Ereigniscodes im Muster gehören zu einem Zeitdauercode. Im Beispiel der Figur gehören der erste Ereigniscode 1601 und der zweite Ereigniscode 1602 zum Zeitdauercode t1; der zweite Ereigniscode 1602 und der dritte Ereigniscode 1601 gehören zum Zeitdauercode t2; der dritte Ereigniscode 1601 und der vierte Ereigniscode 1602 gehören zum Zeitdauercode t3; und der vierte Ereigniscode 1602 sowie der fünfte Ereigniscode 2001 gehören zum Zeitdauercode t4. Die Verfahren und Möglichkeiten, einen Zusammenhang zwischen zwei aufeinander folgenden Ereigniscodes in einem Muster und einem Zeitdauercode herzustellen, sind zahlreich und gelten auf dem Gebiet der Datenverarbeitung als bekannt.
  • An sich repräsentiert das Muster 102 oder eines seiner Äquivalente eine Abfolge von Ereignissen mit definierten Zeitperioden zwischen den Ereignissen. Speziell gibt das Muster 102 ein Ereignis ”Spannung aus” an, dem nach zwei Minuten ein Ereignis ”Spannung ein” folgt; diesem folgt nach einer Minute ein zweites Ereignis ”Spannung aus”, dem nach zehn Minuten ein zweites Ereignis ”Spannung ein” folgt, dem schließlich nach drei Minuten ein Abruf von zahlungsbezogenen Daten von einer Zahlungskarte folgt, aber ohne anschließende Ausgabe der Zahlungstransaktionsdaten über eine Datenschnittstelle eines POS-Terminals.
  • Während ein Muster wie 102 eine verfeinerte Angabe von Hardware-Manipulationsprozeduren angeben kann, kann der Prozessor 88 der Vorrichtung 80 hingegen ferner dazu eingerichtet sein, Folgen von Ereigniscodes zu erzeugen, denen noch weitere Informationen beigefügt sind. Dementsprechend kann der Prozessor 88 beim Ordnen des gewählten Satzes Ereignismeldungen 50, 52, 54, 56 und 58 zu einer Folge 68 (im unteren Teil von 2 dargestellt) den geordneten Ereigniscodes so genannte ”Zeitdifferenzcodes” d1, d2, d3 und d4 zuordnen, die die zeitliche Differenz zwischen den Ereignisauftretenszeiten der entsprechenden Ereignisse angeben. Es ist unmittelbar zu erkennen, dass sich die Werte der Zeitdifferenzcodes ohne weiteres aus den Zeitstempeln in den Ereignismeldungen ergeben.
  • Nach dem Erzeugen der Folge 68 aus Ereigniscodes mit den zugehörigen Zeitdifferenzcodes d1 bis d4 bestimmt der Prozessor 88, ob die Folge 68 mit einer Ereigniscode-Folge eines der bereitgestellten Muster übereinstimmt. Unter der Annahme, dass eine Obereinstimmung vorliegt, bestimmt der Prozessor dann, ob die Zeitdifferenzcodes d1 bis d4, die zu den aufeinander folgenden Ereigniscodes in der Folge 68 gehören, auch mit den Zeitdauercodes t1 bis t4, die zu den entsprechenden aufeinander folgenden Ereigniscodes im Muster 102 gehören, übereinstimmen. Wenn diese Obereinstimmung der zweiten Stufe bestätigt wird, erzeugt der Prozessor 88 eine zweite Benachrichtigungsmeldung.
  • Die erfindungsgemäßen Muster sind vorzugsweise auf vielerlei Weise anpassbar. Für den Prozessor 88 können neue Muster bereitgestellt und vorhandene Muster können gelöscht oder verändert werden. Die Änderung kann auf eine der nachfolgenden Arten erfolgen: Erstens kann die vordefinierte Folge der Ereigniscodes in einem bestimmten Muster angepasst werden, d. h. bestehende Ereigniscodes können aus der Folge entfernt oder durch andere Werte ersetzt werden; neue Ereigniscodes können in die Folge eingefügt und die Reihenfolge der Ereigniscodes kann umgestellt werden. Zweitens können auch die zusätzlichen Informationen, die der Folge der Ereigniscode beigefügt sind, angepasst werden: z. B. können die Werte der oben beschriebenen Zeitdauercodes veränderlich sein; ein Zeitdauercode kann einen definierten Wert z. B. 2 Minuten oder einen ”vagen” oder ”unscharfen” (fuzzy) Wert annehmen, was einen Bereich der Zeitperioden z. B. 2 bis 5 Minuten angibt, wodurch sich Übereinstimmungen flexibler bestimmen lassen. Drittens können den Ereigniscodes im Muster noch weitere zusätzliche Informationen zugeordnet werden. Es lässt sich erkennen, dass die Muster auf zahllose Arten angepasst werden können.
  • Zusätzlich zur Bestimmung mittels Mustern kann der Prozessor 88 auch auf andere Informationen zurückgreifen, bevor die Benachrichtigungsmeldung erzeugt wird. Der Prozessor 88 kann z. B. außerdem prüfen, ob ein Ereignis entweder zu einer bestimmten tatsächlichen Uhrzeit (vorzugsweise nach dem normalen 24-Stunden-Uhrzeitsystem) oder zwischen einer ersten tatsächlichen und einer zweiten tatsächlichen Uhrzeit stattgefunden hat. In 2 enthält z. B. die Ereignismeldung 50 den Zeitstempel 02:35 und den Ereigniscode 1601, was besagt, dass ein Ereignis Spannung aus um 02:35 Uhr stattfand. Demzufolge prüft der Prozessor 88, ob die Ereignisauftretenszeit, d. h. 02:35, zwischen 22:00 Uhr, dem typischen Betriebsschluss eines Geschäfts, und 09:00 Uhr, der typischen Öffnungszeit eines Geschäfts, liegt. Der Vergleich einer Ereignisauftretenszeit mit einer oder mehreren tatsächlichen Uhrzeiten kann die Genauigkeit der Detektion einer Hardware-Manipulation erhöhen. So dürfte ein plötzliches Ereignis Spannung aus um 17:00 Uhr, also normalerweise während des Hochbetriebs eines Geschäfts, kaum auf einen böswilligen Eingriff an der Spannungsversorgungsschnittstelle durch einen Betrüger hindeuten, sondern eher auf eine Störung verursacht durch den Benutzer des POS-Terminals (z. B. versehentliches Herausziehen des Netzkabels). Im Gegensatz dazu ist ein Ereignis ”Spannung aus” um 02:35 mit einiger Wahrscheinlichkeit das Ergebnis einer betrügerischen Manipulation. Kurz gesagt, kann die Bewertung weiterer Informationen vor dem Erzeugen der Benachrichtigungsmeldung die Genauigkeit der Betrugsdetektion erhöhen.
  • In manchen Fällen können bei der Kontrolle von Ereignismeldungen bezüglich eines POS-Terminals zur Bestimmung, ob an diesem bestimmten Terminal möglicherweise eine Hardware-Manipulation vorgenommen wurde, Informationen von anderen POS-Terminals hilfreich sein. Beispielsweise könnte ein während der Nacht stattfindendes Ereignis ”Spannung aus”, dem unmittelbar ein Ereignis ”Spannung ein” folgt, als Hardware-Manipulation an der Spannungsversorgungsschnittstelle des fraglichen Terminals interpretiert werden, aber dieses Vorkommnis könnte auch das einfache Ergebnis eines allgemeinen Spannungsausfalls in dem Gebiet, in dem sich das POS-Terminal befindet, sein. In einem solchen Fall kann eine Gegenkontrolle, ob bei anderen POS-Terminals im selben Gebiet zur gleichen Zeit die gleiche Unterbrechung der Spannungsversorgung auftrat, sinnvoll sein. Wenn alle POS-Terminals in dem Gebiet die gleiche Folge ”Spannung aus – Spannung ein” zur gleichen Zeit melden, kann mit Sicherheit auf einen allgemeinen Spannungsausfall in diesem Gebiet und nicht auf eine Hardware-Manipulation an einem bestimmten POS-Terminal geschlossen werden.
  • Um aus den Informationen von und/oder zu anderen POS-Terminals einen Nutzen ziehen zu können, müssen bestimmte Informationen über diese anderen POS-Terminals dem Prozessor 88 zur Verfügung gestellt werden. Wenn es z. B. notwendig ist, alle Terminals in einem geografischen Gebiet zu kontrollieren, sollten die Kennungen dieser Terminals und ihre Standortinformationen dem Prozessor 88 zur Verfügung gestellt werden. Die Standortinformationen können z. B. die physischen Anschriften und/oder Postleitzahlen des physischen Standorts der Terminals enthalten. Benutzerinformationen der Terminals können ebenfalls nützlich sein. Für jedes Terminal enthalten die Benutzerinformationen eine Kennung des Benutzers, eine erste tatsächliche Uhrzeit wie den üblichen Betriebsschluss des Geschäfts des Benutzers und/oder eine zweite tatsächliche Uhrzeit, bei der es sich im Allgemeinen um die Öffnungszeit des Geschäfts handelt.
  • Die POS-Terminals betreffenden obigen Informationen können dem Prozessor 88 auf verschiedene Weise bereitgestellt werden. Die Informationen können in der Spei cheranordnung 92 der Vorrichtung 80 gespeichert werden, wobei der Prozessor 88 auf den Inhalt der Speicheranordnung zugreifen kann; oder die Informationen können an eine externe Quelle 94 geliefert und dann über eine dritte Schnittstelle 96 der Vorrichtung 80 an den Prozessor 88 übergeben werden. Ein guter Kandidat für diese externe Quelle 94 ist ein POS-Terminal-Administrationssystem, das vom Zahlungsdienstanbieter, der eine Mehrzahl POS-Terminals bedient, verwaltet werden kann.
  • Nunmehr wird ein spezifisches Beispiel beschrieben, wie Informationen von einem zweiten POS-Terminal genutzt werden können, während Ereignismeldungen eines ersten POS-Terminals verarbeitet werden. Nach der Bestimmung einer Übereinstimmung mit einem bestimmten Muster für das erste Terminal verarbeitet der Prozessor 88 einen zweiten Satz Ereignismeldungen, die vom zweiten POS-Terminal erzeugt worden sind, um zu prüfen, ob eine Übereinstimmung mit demselben Muster auch für das zweite Terminal ermittelt werden kann. Im Einzelnen wählt der Prozessor 88 einen zweiten Satz Ereignismeldungen mit einer zweiten Terminalkennung; ordnet die Ereigniscodes im zweiten Satz Ereignismeldungen entsprechend den Zeitstempeln im zweiten Satz Ereignismeldungen zu einer zweiten Folge; vergleicht die zweite Folge Ereigniscodes mit diesem bestimmten Muster, um zu bestimmen, ob ebenfalls eine Übereinstimmung vorliegt; wenn bestimmt wird, dass die zweite Folge Ereigniscodes ebenfalls mit dem Muster übereinstimmt, wird eine zweite Benachrichtigungsmeldung erzeugt. Natürlich kann der Prozessor 88 außerdem dazu eingerichtet sein, Ereignismeldungen von einem dritten, vierten usw. Terminal zu prüfen.
  • Weiterhin können sogar noch zusätzliche Techniken wie künstliche Intelligenz, Fuzzy-Algorithmen und dgl. von der Vorrichtung 80 eingesetzt werden, um die Genauigkeit der Betrugsdetektion zu erhöhen. Als Beispiel, das oben erwähnt wurde, kann der Prozessor zusätzlich zur einfachen Erzeugung eines Übereinstimmungsergebnisses des binären Typs, d. h. entweder die Angabe ”Übereinstimmung gefunden” oder ”keine Übereinstimmung gefunden”, so konfiguriert werden, dass er eine Bewertung bzw. einen Score erzeugt (z. B. 0 bis 100%), die angibt, wie gut oder wie genau die geordnete Folge dem Muster entspricht. Die Bewertungsalternative trägt dazu bei, dass die Musterübereinstimmung gegenüber kleinen Abweichungen bei der betrügerischen Manipulation tolerant ist.
  • Nunmehr wird unter Bezugnahme auf 6 eine Ausführungsform eines zweiten Verfahrens 110 für eine Vorrichtung zur Verarbeitung von Ereignismeldungen gemäß der Erfindung erläutert. Zum besseren Verständnis wird das Verfahren 110 beispielhaft bezogen auf die Vorrichtung 80 von 4, die Ereignismeldungen von 2 und die Muster von 5 beschrieben. Es ist jedoch zu beachten, dass das Verfahren 110 auch in Kombination mit einer Vorrichtung mit einer anderen Konfiguration als der von 4, mit Ereignismeldungen mit einer anderen Struktur als der von 1 und mit Mustern mit einer anderen Struktur als der von 5 verwirklicht werden kann.
  • Das Verfahren 110 dient zur Verarbeitung von Ereignismeldungen, von denen eine jede einen Ereigniscode enthält, der zu einem Ereignis gehört, das am Gehäuse oder einer externen Schnittstelle eines POS-Terminals stattfand, einen Zeitstempel, der die Uhrzeit angibt, zu der das Ereignis stattfand, und mindestens eine Terminalkennung. Das Verfahren 110 beginnt mit dem Empfang oder der Erfassung einer oder mehrerer solcher Ereignismeldungen wie in Schritt 112 dargestellt. Dann wird in Schritt 114 aus den empfangenen Ereignismeldungen ein Satz Ereignismeldungen mit derselben Terminalkennung gewählt. Anschließend werden in Schritt 116 die Ereigniscodes im gewählten Satz Ereignismeldungen entsprechend den Zeitstempeln im gewählten Satz Ereignismeldungen zu einer Folge geordnet. Mindestens ein Muster, das eine Folge Ereigniscodes aufweist, wird bereitgestellt oder gelesen; dies ist in Schritt 118 dargestellt. Danach wird in Schritt 120 die geordnete Folge der Ereigniscodes mit dem mindestens einen Muster verglichen, um zu bestimmen, ob eine Übereinstimmung gegeben ist. Wenn Übereinstimmung vorliegt, wird abschließend eine Benachrichtigungsmeldung erzeugt.
  • Obwohl Ausführungsformen der Erfindung in den beiliegenden Zeichnungen dargestellt sind und in der obigen Beschreibung erläutert wurden, versteht es sich, dass die Erfindung nicht auf die hierin offenbarten Ausführungsformen beschränkt ist. Insbesondere können an der Erfindung zahlreiche Umstellungen, Modifikationen und Ersatzmaßnahmen vorgenommen werden.
  • Zusammenfassung
  • Es werden Betrugserfassungstechniken zur Anwendung in einem System offenbart, das sichere elektronische Transaktionen abwickelt. Die Manipulation eines Terminals des sicheren Systems kann detektiert werden, indem das Terminal so konfiguriert wird, dass es die Ereignisse, die am Gehäuse und den externen Schnittstellen des Terminals stattfinden, erkennt und dokumentiert. Eine Verarbeitungsvorrichtung analysiert die vom Terminal dokumentierten Ereignisabfolgen, um zu ermitteln, ob eine Folge einem bestimmten Muster oder einer bestimmten Vorgehensweise bei einer Terminalmanipulation entspricht.

Claims (25)

  1. Kassenterminal zur Durchführung elektronischer Zahlungstransaktionen, wobei dem Terminal mindestens eine Terminalkennung zugeordnet ist und das Terminal ein Gehäuse und mehrere externe Schnittstellen aufweist, wobei das Terminal ferner umfasst: – mindestens einen Detektor, der dazu eingerichtet ist, ein am Gehäuse oder mindestens einer externen Schnittstelle des Terminals stattfindendes Ereignis zu detektieren, – einen Prozessor, der dazu eingerichtet ist, auf Basis des detektierten Ereignisses eine Ereignismeldung mit einem dem Ereignis zugeordneten Ereigniscode, einem Zeitstempel, der die Uhrzeit angibt, zu der das Ereignis stattfand, und mindestens einer Terminalkennung des Terminals zu erzeugen, und – eine Meldeschnittstelle, die zur Ausgabe der Ereignismeldung eingerichtet ist, wobei die Meldeschnittstelle eine der externen Schnittstellen ist.
  2. Terminal nach Anspruch 1, wobei das Ereignis eines der folgenden ist: – ein Entfernen einer der externen Schnittstellen oder eines Teils des Gehäuses vom Terminal und – das Anbringen oder erneute Anbringen einer der externen Schnittstellen oder eines Teils des Gehäuses am Terminal.
  3. Terminal nach einem der vorigen Ansprüche, wobei die externen Schnittstellen eine Energieversorgungsschnittstelle umfassen, über die das Terminal mit elektrischer Energie versorgt wird, und wobei das Ereignis eines der nachstehenden weiteren Ereignisse ist: – ein Wechsel der Energieversorgung von eingeschaltet auf ausgeschaltet, – ein Wechsel der Energieversorgung von ausgeschaltet auf eingeschaltet.
  4. Terminal nach einem der vorigen Ansprüche, wobei die externen Schnittstellen ferner eine Datenschnittstelle umfassen, über die das Terminal Zahlungstransaktionsdaten ausgibt, und wobei das Ereignis eines der nachstehenden weiteren Ereignisse ist: – eine Beendigung einer Datenübertragung über die Datenschnittstelle, – ein Start oder Neustart einer Datenübertragung über die Datenschnittstelle.
  5. Terminal nach einem der vorigen Ansprüche, wobei das Terminal ferner eine Kartenleseschnittstelle umfasst, die dazu eingerichtet ist, zahlungsbezogene Daten von einer Zahlungskarte zu lesen, und wobei das Ereignis eines der nachstehenden weiteren Ereignisse ist: – ein Lesen zahlungsbezogener Daten von der Karte ohne eine anschließende Ausgabe von Zahlungstransaktionsdaten über eine Datenschnittstelle, über die das Terminal Zahlungstransaktionsdaten ausgibt.
  6. Terminal nach einem der vorigen Ansprüche, wobei das Ereignis eines der nachstehenden weiteren Ereignisse ist: – ein Öffnen eines Teils des Gehäuses des Terminals, – ein Schließen eines Teils des Gehäuses des Terminals, – ein Anstieg des Energieverbrauchs des Terminals um einen ersten vordefinierten Betrag und – eine Abnahme des Energieverbrauchs des Terminals um einen zweiten vordefinierten Betrag.
  7. Terminal nach einem der vorigen Ansprüche, wobei das Terminal ferner einen Speicher zum Speichern einer Mehrzahl Ereignismeldungen aufweist und wobei die Meldeschnittstelle ferner dazu eingerichtet ist, eine Mehrzahl Ereignismeldungen auszugeben.
  8. Terminal nach einem der vorigen Ansprüche, wobei die Terminalkennung eine der nachstehenden Kennungen oder eine Kombination derselben ist: – eine Kennung, die dem Benutzer des Terminals zugeordnet ist, – ein physische Kennung des Terminals.
  9. Terminal nach einem der vorigen Ansprüche, wobei die physische Kennung eine Seriennummer oder ein Seriencode ist.
  10. Terminal nach einem der vorigen Ansprüche, wobei das Terminal ferner eine Kartenleseschnittstelle aufweist, die dazu eingerichtet ist, zahlungsbezogene Daten von einer Zahlungskarte zu lesen, und wobei der Prozessor ferner dazu eingerichtet ist, eine elektronische Zahlungstransaktion auf Basis der von der Karte gelesenen zahlungsbezogenen Daten zu veranlassen.
  11. Verfahren zur Detektion von Hardware-Manipulationen an einem Kassenterminal, wobei das Terminal ein Gehäuse und mehrere externe Schnittstellen aufweist und dem Terminal mindestens eine Terminalkennung zugeordnet ist, wobei das Verfahren die Schritte umfasst: – Detektieren eines am Gehäuse oder an mindestens einer der externen Schnittstellen des Terminals stattfindenden Ereignisses, – Erzeugen einer Ereignismeldung auf Basis des detektierten Ereignisses, wobei eine Ereignismeldung einen dem Ereignis zugeordneten Ereigniscode, einen Zeitstempel, der die Uhrzeit angibt, zu der das Ereignis stattfand, und mindestens eine Terminalkennung enthält, und – Ausgeben der Ereignismeldung über eine der externen Schnittstellen des Terminals.
  12. Verfahren nach Anspruch 11, wobei das Verfahren ferner den Schritt umfasst: – Speichern der Ereignismeldung vor ihrer Ausgabe.
  13. Verfahren nach Anspruch 12, wobei der Verfahrensschritt des Ausgebens ein Ausgeben einer Mehrzahl gespeicherter Ereignismeldungen ist.
  14. Computerprogrammprodukt mit Programmcodeteilen zur Ausführung der Schritte des Verfahrens nach einem der Ansprüche 11 bis 13, wenn das Computerprogrammprodukt auf einem oder mehreren Rechengeräten ausgeführt wird.
  15. Vorrichtung zur Verarbeitung von Ereignismeldungen, wobei die Ereignismeldung einen Ereigniscode, der einem an einer externen Schnittstelle oder einem Gehäuse eines Kassenterminals stattgefundenen Ereignis zugeordnet ist, einen Zeitstempel, der die Uhrzeit angibt, zu der das Ereignis stattfand, nachfolgend als Ereignisauftretenszeit bezeichnet, und mindestens eine Terminalkennung enthält, wobei die Vorrichtung umfasst: – eine erste Schnittstelle, die zum Empfang einer oder mehrerer dieser Ereignismeldungen eingerichtet ist, – einen Prozessor, der dazu eingerichtet ist: – einen ersten Satz Ereignismeldungen mit einer ersten Terminalkennung auszuwählen, – die Ereigniscodes des ersten Satzes Ereignismeldungen nach Maßgabe der Zeitstempel in dem ersten Satz Ereignismeldungen zu einer ersten Folge zu ordnen, – mindestens ein Muster zu lesen, wobei das Muster eine Folge von Ereigniscodes aufweist, – zu ermitteln, ob die erste Folge von Ereigniscodes mit dem mindestens einen Muster übereinstimmt, und – eine Benachrichtigungsmeldung zu erzeugen, wenn eine Übereinstimmung gefunden wird, und – eine zweite Schnittstelle, die zum Ausgeben der Benachrichtigungsmeldung eingerichtet ist.
  16. Vorrichtung nach Anspruch 15, wobei das Muster ferner eine Mehrzahl Zeitdauercodes enthält, die Zeitdauern angeben, wobei jeweils zwei aufeinanderfolgende Ereigniscodes in dem Muster einem der Zeitdauercodes zugeordnet sind.
  17. Vorrichtung nach Anspruch 16, wobei der Prozessor ferner dazu eingerichtet ist, jeweils zwei aufeinanderfolgenden Ereigniscodes in der ersten Folge einen Zeitdifferenzcode zuzuordnen, wobei der Zeitdifferenzcode die Zeitdifferenz zwischen den Ereignisauftretenszeiten der jeweiligen beiden Ereignisse angibt.
  18. Vorrichtung nach Anspruch 17, wobei der Prozessor ferner dazu eingerichtet ist, bei Feststellung einer Übereinstimmung der ersten Folge von Ereigniscodes mit mindestens einem der Muster zu ermitteln, ob der jeweils zwei aufeinanderfolgenden Ereigniscodes entsprechende Zeitdifferenzcode in der ersten Folge mit dem Zeitdauercode übereinstimmt, der den entsprechenden zwei aufeinanderfolgenden Ereigniscodes in dem mindestens einen Muster zugeordnet ist.
  19. Vorrichtung nach einem der Ansprüche 15 bis 18, bei dem der Prozessor ferner dazu eingerichtet ist, zu ermitteln, ob mindestens einer der Zeitstempel in dem gewählten Satz von Ereignismeldungen eine Ereignisauftretenszeit zwischen einer ersten Ist-Uhrzeit und einer zweiten Ist-Uhrzeit angibt.
  20. Vorrichtung nach einem der Ansprüche 15 bis 19, ferner umfassend eine dritte Schnittsstelle, um zusätzliche Informationen betreffend eine Mehrzahl Kassenterminals zu empfangen, wobei die zusätzlichen Informationen mindestens eine der folgenden Informationen enthalten: – Standortinformationen mindestens eines der Mehrzahl Terminals, wobei die Standortinformationen eine physische Adresse und/oder eine Postleitzahl des Terminals enthalten, – eine Seriennummer oder einen Seriencode des Terminals, – eine einem Benutzer des Terminals zugeordnete Terminalkennung und – Benutzerinformationen des Terminals, wobei die Benutzerinformationen eine Kennung eines Benutzers des Terminals, eine erste Ist-Uhrzeit und/oder eine zweite Ist-Uhrzeit, die dem Benutzer zugeordnet sind, enthalten.
  21. Vorrichtung nach einem der Ansprüche 15 bis 20, wobei der Prozessor ferner dazu eingerichtet ist, – einen zweiten Satz von Ereignismeldungen mit einer zweiten Terminalkennung auszuwählen, – die Ereigniscodes im zweiten Satz von Ereignismeldungen nach Maßgabe der Zeitstempel in dem zweiten Satz von Ereignismeldungen zu einer zweiten Folge zu ordnen, – im Fall der Feststellung einer Übereinstimmung der ersten Folge von Ereigniscodes mit dem Muster zu ermitteln, ob die zweite Folge von Ereigniscodes ebenfalls mit dem Muster übereinstimmt, und – eine zweite Benachrichtigungsmeldung zu erzeugen, wenn festgestellt wird, dass die zweite Folge von Ereigniscodes ebenfalls mit dem Muster übereinstimmt.
  22. Vorrichtung nach einem der Ansprüche 15 bis 21, ferner umfassend ein Speichermittel zum Speichern der einen oder mehreren Ereignismeldungen, die von der ersten Schnittstelle empfangen werden, oder/und des einen oder der mehreren Muster.
  23. Vorrichtung nach einem der Ansprüche 20 bis 22, ferner umfassend ein Speichermittel zum Speichern zumindest der zusätzlichen von der dritten Schnittstelle empfangenen Informationen.
  24. Verfahren zur Verarbeitung von Ereignismeldungen, wobei die Ereignismeldung einen Ereigniscode, der einem an einer externen Schnittstelle oder einem Gehäuse eines Kassenterminals stattgefundenen Ereignis zugeordnet ist, einen Zeitstempel, der die Uhrzeit angibt, zu der das Ereignis stattfand, und mindestens eine Terminalkennung enthält, wobei das Verfahren die Schritte umfasst: – Empfangen einer oder mehrerer Ereignismeldungen, – Wählen eines Satzes von Ereignismeldungen mit derselben Terminalkennung, – Ordnen der Ereigniscodes in dem gewählten Satz von Ereignismeldungen zu einer Folge nach Maßgabe der Zeitstempel in dem gewählten Satz von Ereignismeldungen, – Lesen mindestens eines Musters, wobei das Muster eine Folge von Ereigniscodes aufweist, – Ermitteln, ob die geordnete Folge der Ereigniscodes mit dem mindestens einen Muster übereinstimmt, und – Erzeugen einer Benachrichtigungsmeldung, falls eine Übereinstimmung gefunden wird.
  25. Computerprogrammprodukt mit Programmcodeteilen zur Ausführung der Schritte des Verfahrens nach Anspruch 24, wenn das Computerprogrammprodukt auf einem oder mehreren Rechengeräten ausgeführt wird.
DE112008000022T 2007-02-23 2008-02-22 Betrugsdetektionssystem für Kassenterminals Ceased DE112008000022T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP07003780A EP1808830B1 (de) 2007-02-23 2007-02-23 Betrugserkennungssystem für Kassenterminals
EP07003780.9 2007-02-23
PCT/US2008/054751 WO2008103921A1 (en) 2007-02-23 2008-02-22 Fraud detection system for point-of-sale terminals

Publications (1)

Publication Number Publication Date
DE112008000022T5 true DE112008000022T5 (de) 2009-10-08

Family

ID=38055145

Family Applications (2)

Application Number Title Priority Date Filing Date
DE602007013632T Active DE602007013632D1 (de) 2007-02-23 2007-02-23 Betrugserkennungssystem für Kassenterminals
DE112008000022T Ceased DE112008000022T5 (de) 2007-02-23 2008-02-22 Betrugsdetektionssystem für Kassenterminals

Family Applications Before (1)

Application Number Title Priority Date Filing Date
DE602007013632T Active DE602007013632D1 (de) 2007-02-23 2007-02-23 Betrugserkennungssystem für Kassenterminals

Country Status (4)

Country Link
EP (1) EP1808830B1 (de)
AT (1) ATE504899T1 (de)
DE (2) DE602007013632D1 (de)
WO (1) WO2008103921A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE112015001416B4 (de) 2014-03-25 2023-05-04 Symbol Technologies, Llc Erkennung einer unberechtigten drahtlosen Kommunikationsvorrichtung

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2031552A1 (de) * 2007-09-03 2009-03-04 PayLife Bank GmbH Zahlungstransaktionsterminal und Zahlungstransaktionssystem
JP2011118583A (ja) * 2009-12-02 2011-06-16 Seiko Epson Corp 不正度算出装置、不正度算出装置の制御方法およびプログラム
DE102011002706B4 (de) 2011-01-14 2013-12-19 Siemens Aktiengesellschaft Vorrichtung und Verfahren zum Schutz eines Sicherheitsmoduls gegen Manipulationsversuche in einem Feldgerät
CN105023151A (zh) * 2015-07-22 2015-11-04 天地融科技股份有限公司 刷卡交易数据的处理方法与装置

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2188180A (en) * 1986-03-21 1987-09-23 Eft Pos Uk Limited EFT-POS terminal apparatus
JP3083187B2 (ja) * 1991-09-30 2000-09-04 富士通株式会社 電子財布システムの鍵管理方式
US6234389B1 (en) * 1998-04-29 2001-05-22 @Pos.Com, Inc. PCMCIA-based point of sale transaction system
US6827260B2 (en) * 1999-08-09 2004-12-07 First Data Corporation Systems and methods for utilizing a point-of-sale system
AU7621300A (en) * 1999-09-28 2001-04-30 Chameleon Network Inc. Portable electronic authorization system and associated method
US6715078B1 (en) * 2000-03-28 2004-03-30 Ncr Corporation Methods and apparatus for secure personal identification number and data encryption
WO2003060832A2 (en) * 2002-01-11 2003-07-24 Hand Held Products, Inc. Transaction terminal
US7748620B2 (en) * 2002-01-11 2010-07-06 Hand Held Products, Inc. Transaction terminal including imaging module

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE112015001416B4 (de) 2014-03-25 2023-05-04 Symbol Technologies, Llc Erkennung einer unberechtigten drahtlosen Kommunikationsvorrichtung

Also Published As

Publication number Publication date
DE602007013632D1 (de) 2011-05-19
WO2008103921A1 (en) 2008-08-28
EP1808830B1 (de) 2011-04-06
EP1808830A1 (de) 2007-07-18
ATE504899T1 (de) 2011-04-15

Similar Documents

Publication Publication Date Title
DE2760485C2 (de)
DE19539801C2 (de) Überwachung von Transaktionen mit Chipkarten
DE69738266T2 (de) Verfahren und Mittel zum Begrenzen des Missbrauches von gefälschten Kreditkarten, Zugangskarten, elektronischen Konten oder dergleichen
DE69913365T2 (de) Überprüfbares elektronishes logbuch für ein verkaufsstellenendgerät und verfahren zu dessen verwendung
EP1700277B1 (de) System aus banknotenbearbeitungsmaschinen banknotenbearbeitungsmaschine und verfahren für deren betrieb
DE602004003478T2 (de) Virtuelle tastatur
DE102005050395A1 (de) Identifikationskarte mit Biosensor und Benutzerauthentifizierungsverfahren
DE60133542T2 (de) Authentifizierungsverfahren
DE2738113A1 (de) Vorrichtung zur durchfuehrung von bearbeitungsvorgaengen mit einem in eine aufnahmeeinrichtung der vorrichtung eingebbaren identifikanden
DE112008000022T5 (de) Betrugsdetektionssystem für Kassenterminals
DE102018100628A1 (de) Neuartiger Verkaufsautomat
DE69631868T2 (de) Vorrichtung zum Bereithalten von elektronischem Geld
WO2010037610A1 (de) Verfahren und vorrichtung zur erkennung von angriffen auf einen selbstbedienungsautomat
DE202023102181U1 (de) Blockchain-basiertes System zur Fälschungssicherheit und Rückverfolgbarkeit
WO2006015573A1 (de) Datenträger zur kontaktlosen übertragung von verschlüsselten datensignalen
AT401205B (de) System zur identifizierung eines kartenbenutzers
DE102011010737A1 (de) Verfahren zur Verbesserung des Manipulationsschutzes von Geldautomaten, sowie Geldautomat zur Durchführung des Verfahrens
DE202007018769U1 (de) Betrugsdetektionssystem für Kassenterminals
DE202022107234U1 (de) System zur Erkennung von Betrug bei Online-Bankgeschäften mittels Blockchain und künstlicher Intelligenz durch Backlogging
EP1669956A1 (de) Geldautomat und Geldautomatensteuerung
EP1222563A2 (de) System zur ausführung einer transaktion
EP1066607A1 (de) Gerät und verfahren zur gesicherten ausgabe von wertscheinen
WO2006103058A1 (de) Lesegerät mit integrierter kryptographieeinheit
EP1081665B1 (de) Expertensystem
EP1780684A1 (de) System und Verfahren zum Auszahlen von Bargeld

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8125 Change of the main classification

Ipc: G07G 1/12 AFI20080222BHDE

R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final