-
Fachgebiet der Erfindung
-
Die
Erfindung betrifft allgemein Betrugsdetektionstechniken für Systeme,
die sichere elektronische Transaktionen abwickeln, wie z. B. ein
elektronisches Zahlungssystem. Die Erfindung betrifft insbesondere
Techniken zur Erkennung von Betrug, indem Manipulationen erkannt
werden, die an einem Terminal vorgenommen werden, das in einem solchen
sicheren System verwendet wird, wie ein Kassen- oder Serviceterminal.
-
Hintergrund der Erfindung
-
Kassen-(POS;
point-of-sale)Terminals werden als ein komfortables Mittel zur Verarbeitung
elektronischer Zahlungstransaktionen von Unternehmen aller Art und
Größe, vor
allem von Kaufleuten im Einzelhandel eingesetzt. Zur Ausführung einer
elektronischen Zahlungstransaktion mittels eines POS-Terminals wird üblicherweise
eine Zahlungskarte verwendet. Die Zahlungskarte kann eine Kreditkarte,
eine Debit- bzw. Lastschriftkarte und dgl. sein. Finanzielle und/oder
persönliche
Informationen sind normalerweise auf der Karte in Form eines Magnetstreifens, eines
eingebetteten Chips, einer eingeprägten Ziffernfolge oder einer
Kombination aus den obigen Möglichkeiten
codiert. Die in der Karte eingeprägte Ziffernfolge kann z. B.
die Kontonummer des legalen Karteninhabers angeben; diese Nummer
wird nahezu immer bei Zahlungstransaktionen verwendet.
-
Mit
der Einfachheit und dem Komfort bei der Ausführung von Zahlungen mittels
einer Karte gehen allerdings ernsthafte Bedenken hinsichtlich Kartenbetrugs
einher. Unter Anwendung verschiedener illegaler Mittel versuchen
Betrüger,
die in der Karte codierten oder eingebetteten Informationen und manchmal
sogar die persönliche
Identifizierungsnummer (personal identification number; PIN), die der
Karte zugewiesen ist, zu erlangen. Solche Informationen ermöglichen
es den Betrügern,
eine gefälschte,
kopierte oder manipulierte Karte herzustellen, die exakt die gleichen
finanziellen und/oder persönlichen
Informationen trägt
wie die echte Karte. Die Betrüger
können
dann die gefälschte
Karte für
alle möglichen
betrügerischen
Aktivitäten
wie Einkäufe, elektronische
Geldüberweisung,
Identität
vortäuschen
usw. benutzen. Manchmal können
unglaublich hohe Verluste aufgelaufen sein, bevor der tatsächliche
Karteninhaber den Betrug bemerkt.
-
Eine
Möglichkeit,
wie Betrüger
Informationen von Zahlungskarten erlangen können, hängt mit den POS-Terminals zusammen.
Da täglich
eine große Anzahl
Zahlungskarten an einem POS-Terminal zum Einsatz kommen können, könnten Betrüger Informationen
von den Zahlungskarten stehlen, indem sie bestimmte Hardware und/oder
Software – im
Folgenden als ”Spyware” (spy:
spionieren) bezeichnet – im POS-Terminal installieren.
Diese Spyware kann zahlungsbezogene Informationen auf den Karten
abfangen, wenn sie am POS-Terminal verwendet werden.
-
Um
die Spyware im POS-Terminal zu installieren, müssen die Betrüger natürlich die
physischen Komponenten des Terminals in irgendeiner Weise manipulieren,
z. B. das Gehäuse
des Terminals öffnen,
die Datenschnittstelle trennen usw. Ein typisches Manipulationsszenario
stellt sich wie folgt dar: ein Betrüger bricht nachts, z. B. um
02:30 Uhr, in ein Geschäft
ein, das geschlossen ist. Um 02:35 Uhr trennt er das Terminal vom
Netz und öffnet
das Gehäuse;
um 02:37 Uhr ist das Gehäuse
erfolgreich geöffnet
worden. Der Betrüger
schließt
dann das Terminal wieder an, um zu prüfen, ob es noch normal eingeschaltet
werden kann. Falls ja, trennt er das Terminal erneut vom Netz, etwa
um 02:38 Uhr, und installiert die Spyware im Terminal. Um 02:48
Uhr ist die Installation beendet und der Betrüger schließt das Terminal wieder an.
Danach führt
der Betrüger
um 02:51 Uhr eine Testkarte in die Kartenleseschnittstelle des Terminals
ein, um zu prüfen,
ob die installierte Spyware Informationen von der Testkarte lesen
und aufzeichnen kann. Bevor dieser Kartenlesetest durchgeführt wird,
kann der Betrüger
die Datenschnittstelle des Terminals trennen, so dass keine Zahlungstransaktion über die
Datenschnittstelle an einen Zahlungsdienstanbieter übertragen
werden kann. Wenn der Test abgeschlossen ist, entnimmt der Betrüger die Testkarte,
schließt
die Datenschnittstelle wieder an, schließt das Gehäuse und verlässt das
Geschäft.
Einige Tage später,
nachdem die Spyware genug Daten von einer großen Anzahl Zahlungskarten gesammelt
hat, sucht der Betrüger
das Geschäft
erneut auf und beschafft sich die von der Spyware gesammelten Daten.
Die gesammelten Daten dienen dann zur Herstellung gefälschter
Karten.
-
Selbstverständlich gibt
es Betrugsdetektionstechniken zur Identifizierung von gefälschten
Karten. Ein allgemeines Beispiel sieht die Analyse von Kartentransaktionsaufzeichnungen
auf verdächtige Vorgänge vor.
Bei diesen Techniken handelt es sich jedoch normalerweise um Maßnahmen
nach dem Betrug, die den Betrug erst nach der Herstellung einer
gefälschten
Karte, die bereits in Umlauf ist, erkennen können. Dies bedeutet jedoch,
dass die Daten der echten Karte bereits gestohlen worden sind. Dieser
Datenverlust bedeutet natürlich
für den
legalen Karteninhaber, den Zah lungsdienstanbieter und/oder die die
Karte ausgebende Bank ein erhebliches finanzielles Risiko. Nachdem
festgestellt worden ist, dass eine gefälschte Karte in Umlauf ist, muss
die Kartennummer außerdem
auf eine schwarze Liste gesetzt und die echte Karte ersetzt werden; diese
Maßnahmen
verursachen einen Verwaltungsaufwand für den Ausgeber der Karte sowie
zusätzliche
Unannehmlichkeiten für
den legalen Karteninhaber.
-
Es
ist demzufolge wichtig, neue Techniken bereitzustellen, um Kartenbetrug
in Zusammenhang mit POS-Terminals so früh wie möglich, vorzugsweise vor einem
realen Verlust von Karteninformationen, erkennen zu können.
-
Abriss der Erfindung
-
Die
vorliegende Erfindung stellt Lösungen bereit,
um Kartenbetrug in Zusammenhang mit Kassen- bzw. POS-Terminals im
Frühstadium
erkennen zu können.
Durch die Detektion von Ereignissen oder Vorkommnissen, die an einem
POS-Terminal stattfinden, insbesondere an dessen Gehäuse und
externen Schnittstellen, ist es möglich festzustellen, ob eine potentiell
betrügerische
Manipulation erfolgt ist.
-
Der
Begriff ”Ereignis” ist im
Rahmen dieser Erfindung so zu verstehen, dass er jegliches Vorkommnis,
das an einem Bauteil des Terminals stattfindet, meint. Das Ereignis
kann von physischer oder nicht physischer Art sein, durch eine externe
Kraft oder durch das Terminal selbst verursacht werden, manuell
oder ohne Eingriff durch Menschen stattfinden, durch Hardware oder
Software ausgeführt
werden, durch einen direkten Kontakt oder einen Kontakt von außerhalb
bewirkt werden usw. Beispiele für
Ereignisse sind u. a. Vorkommnisse wie das Entfernen, Anbringen
oder erneute Anbringen, Trennen, Anschließen oder erneute Anschließen, Öffnen oder Schließen usw.
des Gehäuses
oder einer der externen Schnittstellen des Terminals.
-
Der
Begriff ”Karte” oder ”Zahlungskarte” ist im
Rahmen dieser Erfindung als Synonym für jedes maschinenlesbare Teil,
Vorrichtung oder Objekt zu verstehen, das von einem Kartenleseterminal
als Mittel zur Autorisierung des Karteninhabers und zur Verifizierung
seiner Berechtigung, elektronische Zahlungen vorzunehmen, akzeptiert
wird. Die Erfindung kann jedoch auch auf andere sichere Systeme
als elektrische Zahlungssysteme angewendet werden: Geldausgabeautomaten
(Automated Teller Machines; ATMs) sind ein Beispiel, Gebäudesicherheitssysteme
wie Zutritt/Verlassen mittels Türkarten
ein anderes. Kurz gesagt, die Erfindung ist auf jedes Sicherheitssystem
anwendbar, das die Verwendung einer ”Karte” – einem maschinenlesbaren Teil,
einer Vorrichtung oder einem Objekt, das von einer Kartenlesemaschine
akzeptiert wird – als
Mittel zur Autorisierung des Karteninhabers und/oder zur Verifizierung
seiner Berechtigung, bestimmte sicherheitsbezogene Handlungen auszuführen, erfordert.
-
Da
die Bestimmung möglicher
betrügerischer
Manipulationen erfolgen kann, sobald die Ereignisse stattgefunden
haben, d. h. nicht abgewartet zu werden braucht, bis Kartendaten
verloren gegangen und gefälschte
Karten bereits in Umlauf sind, kann die Erfindung eine Frühprävention
von Datenverlust vereinfachen. Wenn z. B. festgestellt wird, dass
die Wahrscheinlichkeit einer Manipulation hoch ist, kann die Funktion
des betreffenden POS-Terminals sofort ausgesetzt werden, so dass
es künftig
keine Zahlungstransaktionen vornimmt. Somit kann ein potentielles
Informationsleck der Karte von diesem POS-Terminal wirksam verhindert
werden.
-
Gemäß einem
ersten Aspekt der Erfindung wird ein Kassenterminal zur Ausführung elektronischer
Zahlungstransaktionen bereitgestellt. Dem Terminal sind eine oder
mehrere Kennungen zugeordnet, die das Terminal eindeutig identifizieren.
Das Terminal weist ein Gehäuse
und mehrere externe Schnittstellen auf. Das Terminal weist ferner
mindestens einen Detektor auf, der ein Ereignis detektieren kann,
das am Terminal stattfindet. Außerdem
weist das Terminal einen Prozessor auf, der als Reaktion auf das
detektierte Ereignis eine Ereignismeldung erzeugen oder generieren
kann, die das stattgefundene Ereignis meldet. Die Ereignismeldung
weist einen dem Ereignis zugeordneten Ereigniscode auf, einen Zeitstempel,
der die Uhrzeit angibt, zu der das Ereignis stattfand, und mindestens
eine Terminalkennung. Nach der Generierung wird die Ereignismeldung über eine
Meldeschnittstelle vom Terminal ausgegeben. Alternativ kann die
Ereignismeldung lokal im Terminal zur späteren Ausgabe über die
Meldeschnittstelle gespeichert werden. Die Meldeschnittstelle ist
eine der externen Schnittstellen des Terminals.
-
Gemäß einem
zweiten Aspekt der Erfindung wird ein Verfahren zur Detektion von
Hardware-Manipulation an einem Kassenterminal bereitgestellt. Dem
Terminal ist mindestens eine Terminalkennung zugeordnet, die das
Terminal eindeutig identifizieren kann. Das Terminal weist ein Gehäuse und
mehrere externe Schnittstellen auf. Das Verfahren besteht aus mindestens
den folgenden Schritten: Detektieren eines Ereignisses, das am Gehäuse oder
mindestens einer externen Schnittstelle des Terminals stattfindet; auf
Basis des detektierten Ereignisses Erzeugen einer Ereignismeldung,
die einen dem Ereignis zugeordneten Ereigniscode aufweist, einen
Zeitstempel, der die Uhrzeit angibt, zu der das Ereignis stattfand, und
mindestens eine Terminalkennung; und Ausgeben der Ereignismeldung über eine
der externen Schnittstellen des Terminals.
-
Gemäß einem
dritten Aspekt der Erfindung kann das obige Verfahren in einer Hardware,
Software oder einer Kombination aus Hardware und Software durchgeführt werden.
Hinsichtlich eines Software-Aspektes wird ein Computerprogrammprodukt
bereitgestellt. Das Computerprogrammprodukt weist Programmcodeteile
zur Ausführung
der Verfahrensschritte auf, wenn das Computerprogrammprodukt auf
einem oder mehreren Rechengeräten,
vorzugsweise auf dem Kassenterminal, abläuft. Das Computerprogrammprodukt
kann auf einem computerlesbaren Aufzeichnungsmedium gespeichert
sein.
-
Gemäß einem
vierten Aspekt der Erfindung wird eine Vorrichtung zur Verarbeitung
von Ereignismeldungen bereitgestellt. Die Ereignismeldung ist eine
Meldung, die einen Ereigniscode aufweist, der einem Ereignis zugeordnet
ist, das am Gehäuse
oder einer externen Schnittstelle eines Kassenterminals stattgefunden
hat, einen Zeitstempel, der die Uhrzeit angibt, zu der das Ereignis
stattfand, im Folgenden als Ereignisauftretenszeit bezeichnet, und
mindestens eine Terminalkennung eines Kassenterminals. Die Vorrichtung
weist eine erste Schnittstelle auf, die für den Empfang einer oder mehrerer
solcher Ereignismeldungen eingerichtet ist. Außerdem weist die Vorrichtung
einen Prozessor auf, der die folgenden Aktivitäten ausführen kann: Wählen eines
Satzes von Ereignismeldungen mit derselben Terminalkennung; Ordnen
der Ereigniscodes in dem Satz von Ereignismeldungen zu einer Folge
nach Maßgabe
der Zeitstempel in den Ereignismeldungen; Lesen eines oder mehrerer
Muster, wobei jedes Muster eine Folge von Ereigniscodes aufweist;
Bestimmen, ob die geordnete Folge der Ereigniscodes mit mindestens
einem der Muster übereinstimmt;
und Erzeugen einer Benachrichtigungsmeldung, wenn eine Übereinstimmung gefunden
wird. Die Vorrichtung weist ferner eine zweite Schnittstelle auf,
die zur Ausgabe der Benachrichtigungsmeldung eingerichtet ist.
-
Gemäß einem
fünften
Aspekt der Erfindung wird ein Verfahren zur Verarbeitung von Ereignismeldungen
bereitgestellt. Eine Ereignismeldung enthält einen Ereigniscode, der
einem an einer externen Schnittstelle oder einem Gehäuse eines
Kassenterminals stattgefundenen Ereignis zugeordnet ist. Die Ereignismeldung
enthält
außerdem
einen Zeitstempel, der die Uhrzeit angibt, zu der das Ereignis stattfand,
und mindestens eine Terminalkennung eines Kassenterminals. Das Verfahren
weist die folgenden Schritte auf: Empfangen einer oder mehrerer
solcher Ereignismeldungen; Wählen
eines Satzes von Ereignismeldungen mit derselben Terminalkennung;
Ord nen der Ereigniscodes in dem Satz von Ereignismeldungen zu einer
Folge nach Maßgabe
der Zeitstempel in den Ereignismeldungen; Lesen mindestens eines
Musters, wobei das Muster eine Folge von Ereigniscodes aufweist;
Bestimmen, ob die geordnete Folge der Ereigniscodes mit dem mindestens
einen Muster übereinstimmt;
und Erzeugen einer Benachrichtigungsmeldung, wenn eine Übereinstimmung gefunden
wird.
-
Gemäß einem
sechsten Aspekt der Erfindung kann das Verfahren nach dem obigen
fünften Aspekt
in Form von Hardware, Software oder einer Kombination aus Hardware
und Software verwirklicht werden. Hinsichtlich eines Software-Aspektes
wird ein Computerprogrammprodukt bereitgestellt. Das Computerprogrammprodukt
weist Programmcodeteile zur Ausführung
der Verfahrensschritte auf, wenn das Computerprogrammprodukt auf
einer oder mehreren Rechenkomponenten, vorzugsweise auf der Vorrichtung,
abläuft.
Das Computerprogrammprodukt kann auf einem computerlesbaren Aufzeichnungsmedium
gespeichert sein.
-
Kurzbeschreibung der Zeichnungen
-
Nachfolgend
wird die Erfindung anhand von Ausführungsbeispielen beschrieben,
die in den Zeichnungen dargestellt sind. Es stellen dar:
-
1 ein
schematisches Blockdiagramm einer Ausführungsform eines Terminals
gemäß der Erfindung;
-
2 ein
Beispiel für
Ereignismeldungen und Beispiele für Ereigniscodefolgen gemäß der Erfindung;
-
3 ein
Flussdiagramm einer Ausführungsform
eines ersten Verfahrens zur Detektion von Hardware-Manipulationen
an einem POS-Terminal gemäß der Erfindung;
-
4 ein
schematisches Blockdiagramm einer Ausführungsform einer Vorrichtung
zur Verarbeitung von Ereignismeldungen gemäß der Erfindung;
-
5 zwei
Muster gemäß der Erfindung; und
-
6 ein
Flussdiagramm einer Ausführungsform
eines zweiten Verfahrens zur Verarbeitung von Ereignismeldungen
gemäß der Erfindung.
-
Detaillierte Beschreibung
der Zeichnungen
-
In
der folgenden Beschreibung sind zum Zwecke der Erläuterung
und nicht der Einschränkung bestimmte
Einzelheiten angegeben, wie spezifische Schrittfolgen, besondere
Schnittstellen und Konfigurationen, um ein gründliches Verständnis der
Erfindung sicherzustellen. Für
den Fachmann ist es offensichtlich, dass die Erfindung mit anderen
Ausführungsformen
verwirklicht werden kann, die von diesen spezifischen Einzelheiten
abweichen. Der Fachmann wird ferner erkennen, dass die Erfindung
zwar hauptsächlich
in Form von Verfahren und Vorrichtungen beschrieben ist, sie jedoch
ebenfalls in Computerprogrammprodukten sowie in Systemen, die einen Computerprozessor
und einen mit dem Prozessor gekoppelten Speicher aufweisen, verwirklicht
werden kann, wobei der Speicher mit einem oder mehreren Programmen
codiert ist, die bei Ausführung
durch den Prozessor die hierin enthaltenen Funktionen ausführen können.
-
1 zeigt
ein POS-Terminal 10 gemäß der Erfindung.
Das POS-Terminal 10 besteht aus mehreren internen Modulen
oder Komponenten: einem Anwendungsprozessor 14, einem Spannungsversorgungsmodul 16,
einem Kommunikationsmodul (Modem) 18, einem Kartenlesemodul 20 und
einem Hardware-Sicherheitsmodul (HSM) 22. Andere Module
oder Komponenten (in 1 nicht dargestellt) wie ein
so genannter PIN-Pad, ein Display und ein Drucker – bei denen
es sich um Eingabe-/Ausgabegeräte zur Erleichterung
der Mensch-/Maschineninteraktion zwischen dem Terminal und dem Benutzer handelt – können ebenfalls
enthalten sein. Zum physischen Schutz sind diese Module in einem
Gehäuse 24 (oder
einer Abdeckung, einem Rahmen, einer Schale etc.) des Terminals
angeordnet. Einige dieser Module sind mit Schnittstellen 26, 28, 30 gekoppelt, die
mit der externen Umgebung in Interaktion stehen. Im Gehäuse sind
normalerweise Löcher
oder Öffnungen
vorgesehen, um diese externen Schnittstellen durchführen zu
können.
So ist beispielsweise das Spannungsversorgungsmodul 16,
das für
die Spannungsversorgung des Terminals sorgt, mit einer Spannungsversorgungsschnittstelle 26 verbunden. Die
Spannungsversorgungsschnittstelle kann ein Draht oder Kabel zu Spannungszufuhr
zum Terminal von einer externen Spannungsquelle (in 1 nicht dargestellt)
sein. Das Kommunikationsmodul 18 ist mit einer Kommunikationsschnittstelle
oder einer Datenschnittstelle 28 gekoppelt, über die
Daten in Zusammenhang mit elektronischer Zahlung zwischen dem Terminal
und dem Zahlungsdienstanbieter übertragen
werden. Bei einer Ausführungsform
kann die Datenschnittstelle ein Datenkabel oder ein Datendraht sein;
eine drahtlose Datenschnittstelle kann ebenfalls verwendet werden.
Das Kartenlesemodul 20 ist mit einer Kartenleseschnittstelle 30 gekoppelt, die
normalerweise die Form einer engen Öffnung wie ein Schlitz hat,
und die mit der Zahlungskarte in Kontakt kommt, wenn eine elektronische
Zahlungstransaktion auszuführen
ist. Der Kontakt kann von physischer, elektrischer, magnetischer
und/oder optischer Art sein. Manche der internen Module des Terminals brauchen
nicht mit externen Schnittstellen gekoppelt zu sein. So sind z.
B. der Anwendungsprozessor 14 und das HSM 22 sicher
vom Gehäuse 24 eingeschlossen
und stehen nicht direkt in Kontakt mit einer externen Schnittstelle.
Das HSM enthält
Hardware- und/oder Software-Komponenten zur Ausführung von Autorisierungs- und
Verschlüsselungsfunktionen.
Der PIN-Pad ist typischerweise integral mit dem HSM ausgeführt. In
manchen Fällen
ist der Anwendungsprozessor im HSM integriert.
-
Eine
Zahlungstransaktion mittels des POS-Terminals beginnt typischerweise
mit der Eingabe des Zahlungsbetrages, die entweder manuell oder
automatisch von der elektronischen Registrierkasse aus erfolgt.
Danach wird eine Zahlungskarte durch die Kartenleseschnittschnelle 30 des
Terminals gezogen oder in diese eingeführt. (In manchen Fällen wird
die Zahlungskarte vor der Eingabe des Zahlungsbetrags durchgezogen).
Das Kartenlesemodul 20 liest dann zahlungsbezogene Informationen
von der Karte oder fragt diese ab. Der PIN-Pad des Terminals gestattet
die Eingabe der persönlichen
Identifizierungsnummer (PIN) auf einer Zifferntastatur oder einem
Tastenblock, falls die erforderlich ist. Auf Basis der zahlungsbezogenen
Daten, die von der Karte ausgelesen werden, der eingegebenen PIN
und vielleicht zusätzlicher
relevanter Transaktionsinformationen verarbeitet das Terminal die
Transaktion auf Online- oder Offline-Weise.
-
Im
Online-Szenario veranlasst das Terminal oder genauer der Anwendungsprozessor 14 die Übertragung
einer elektronischen Zahlungstransaktion an ein Verarbeitungssystem,
das normalerweise der Zahlungsprozessor des Zahlungsdienstanbieters ist.
Die Übertragung
der Zahlungstransaktionsdaten wird vom Kommunikationsmodul 18 und
der Datenschnittstelle 28 ausgeführt. Der Zahlungsprozessor empfängt die
Zahlungstransaktion, verarbeitet sie und sendet schließlich entweder
eine Meldung ”Transaktion
OK” oder ”Transaktion
nicht ausgeführt” an das
Terminal zurück.
-
Im
Offline-Fall kann das Terminal die Transaktion lokal autorisieren
und die Zahlungstransaktionsdaten später, z. B. am Ende des Tages,
an den Zahlungsdienstanbieter übergeben.
Die Übertragung der
Zahlungstransaktionsdaten wird vom Kommunikationsmodul 18 und
der Datenschnittstelle 28 abgewickelt.
-
Zusätzlich zu
den obigen Komponenten und Funktionen ist dem POS-Terminal 10 mindestens eine
Kennung zum Identifizieren des Terminals zugeordnet. Die Kennung
kann von physischer Art sein, d. h. eine für das Terminal eindeutige Kennung
wie eine Seriennummer oder ein laufender Code. Ein anderer Kennungstyp
ist eine logische Kennung, die normalerweise dem Kaufmann zugewiesen
wird, der das Terminal besitzt (oder least) und es verwendet, um mit
seinem Zahlungsdienstanbieter zur Ausführung elektronischer Zahlungstransaktionen
zu kommunizieren. Ein Zahlungsdienstanbieter bedient normalerweise
eine große
Anzahl Kaufleute; um sie voneinander zu unterscheiden, weist der
Zahlungsdienstanbieter im Allgemeinen jedem Kaufmann eine Kennung
zu. Diese Kennung ist die so genannte ”logische Kennung” für POS-Terminals.
Natürlich
ist es möglich,
jeden anderen Typ einer Terminalkennung zu verwenden, mit dem ein
aktives Terminal von einem anderen aktiven Terminal eindeutig unterschieden
werden kann. Außerdem
kann jede beliebige Kombination der obigen Terminalkennungen verwendet
werden.
-
Das
POS-Terminal 10 weist ferner einen Meldungsprozessor 32 auf,
der eine Ereignismeldung auf Basis eines detektierten am POS-Terminal
stattgefundenen Ereignisses erzeugen kann. Einzelheiten der Ereignismeldungen
und der relevanten Funktionsweise des Meldungsprozessors 32 werden nachstehend
beschrieben. Der Meldungsprozessor 32 kann ein Spezialprozessor
oder mit dem Anwendungsprozessor 14 integriert sein.
-
Das
Terminal 10 weist ferner einen oder mehrere Detektoren 36, 38, 40, 42, 44 auf,
die mindestens eine Ereignisart, die am Gehäuse 24 oder an mindestens
einer der externen Schnittstellen 26, 28, 30, 34 des
Terminals stattfindet, erkennen können.
-
Unter
den Detektoren kann ein Spannungsdetektor 36 sein, der Änderungen
der Versorgungsspannung an der Spannungsversorgungsschnittstelle 26 erkennen
kann. Der Detektor 36 kann z. B. erkennen, ob eine kontinuierliche
Versorgungsspannung plötzlich
unterbrochen wird, oder im umgekehrten Fall, ob die Spannungsversorgung
wieder eingesetzt hat. Das heißt,
der Spannungsdetektor kann eine Änderung
der Versorgungsspannung sowohl von ”Ein” auf ”Aus” als auch von ”Aus” auf ”Ein” detektieren.
Ein Beispiel eines Spannungsdetektors kann eine elektronische Schaltung
sein, die auslöst, wenn
die Spannung der Spannungsversorgung unter einen bestimmten Schwellenwert
abfällt.
Andere Mechanismen sind ebenfalls möglich. Der Spannungsdetektor
kann außerdem
so konfiguriert sein, dass er eine Entfernung der Spannungsversorgungsschnittstelle 26 vom
Terminal und/oder ein Anbringen (oder erneutes Anbringen) der Spannungsversorgungsschnittstelle
am Terminal erkennt.
-
So
kann z. B. ein mechanisches Schaltgerät die Entfernung der Spannungsversorgungsschnittstelle
detektieren. Mit dieser Fähigkeit
kann der Spannungsdetektor auf Ereignisse reagieren, wie Trennen
der Spannungsversorgungsschnittstelle von einer externen Spannungsquelle,
Anschließen
der Spannungsversorgungsschnittstelle an eine externe Spannungsquelle,
Durchschneiden z. B. eines Drahtes oder Kabels der Spannungsversorgungsschnittstelle,
erneutes Verbinden der durchgetrennten Spannungsversorgungsschnittstelle,
Abnehmen der Spannungsversorgungsschnittstelle vom Terminal und
Anbringen (oder erneutes Anbringen) der Spannungsversorgungsschnittstelle
am Terminal und dgl. Wenn eine Person, z. B. ein Betrüger, das
POS-Terminal manipuliert,
indem ein unsachgemäßer Eingriff an
der Spannungsversorgungsschnittstelle stattfindet, wird deshalb
ein solcher Eingriff erkannt.
-
Ein
Datenverbindungsdetektor 38 kann zur Detektion von Ereignissen
bereitgestellt sein, die an der Datenschnittstelle 28 stattfinden.
Der Datenverbindungsdetektor 38 kann den Status einer Datenübertragung über die
Datenschnittstelle 28 etwa als folgenden erkennen: Liegt
ein plötzliches
Ende oder eine Unterbrechung einer laufenden Datenübertragung
vor? Liegt ein Start oder ein Neustart einer Datenübertragung
vor? Ist die Datenschnittstelle 28 vom Terminal entfernt
worden? Ist die Datenschnittstelle am Terminal angebracht (oder
erneut angebracht) worden? Die obigen Detektionsfunktionen können durch
Hardware (z. B. eine elektronische Schaltung) und/oder Software
erzielt werden, die im Datenverbindungsdetektor implementiert ist,
um die Unterbrechung eines Datenkommunikationsprotokolls einer unteren
Ebene zu detektieren. Spezielle Techniken könnten die Erfassung von Heartbeat-Signalen, die Kontrolle
von Stromschleifen oder die Detektion einer bestimmten Spannung
beinhalten, die an einem Stift anliegen muss. Außerdem könnte der Datenverbindungsdetektor
auch ein Schaltgerät
des mechanischen Typs aufweisen, das die Entfernung der Datenschnittstelle
vom Terminal erkennen kann. Wenn das Terminal 10 mit einer
derartigen Detektionsfunktionalität ausgerüstet ist, kann es jede Manipulation
des Terminals in Form eines unsachgemäßen Eingriffs an der Datenschnittstelle
detektieren.
-
Ein
anderer Detektor 40, ein Kartenlesedetektor, kann bereitgestellt
werden, um zu detektieren, ob Informationen von einer Zahlungskarte
von der Kartenleseschnittstelle oder dem Kartenlesemodul ausgelesen
oder abgerufen worden sind. Wenn beispielsweise Karten mit Magnetstreifen
zu verarbeiten sind, kann der Lesekopf der Kartenleseschnittstelle auf
einen passiven Modus eingestellt werden, aber eingeschaltet bleiben;
sobald eine Karte durchgezogen wird, liefert der Lesekopf die von
der Karte ausgelesenen Signale. Im Fall von Chip-Karten kann die Kartenleseschnitt stelle
mit einem Mikroschalter versehen sein, der das Einführen einer
Karte detektieren kann. Die von der Karte abgerufenen Informationen, etwa
die Kartennummer, sind normalerweise zahlungsbezogen.
-
Wenn
im normalen Online-Betrieb zahlungsbezogene Daten von der Karte
ausgelesen werden, werden die Daten an den Anwendungsprozessor 14 geschickt,
der veranlasst, dass eine entsprechende Zahlungstransaktion an den
Zahlungsdienstanbieter übertragen
wird. Die Zahlungstransaktionsdaten werden über die Datenschnittstelle 28 ausgegeben. Wenn
jedoch eine Person, z. B. ein Betrüger, Testlesen der Karten auf
dem Terminal, das sich im Online-Modus befindet, vornehmen möchte, ohne
dass eine Übertragung
von Zahlungstransaktionsdaten veranlasst wird, muss er die Datenübertragungsfunktion
der Datenschnittstelle 28 deaktivieren, bevor die Testkarte
durch die Kartenleseschnittstelle gezogen wird. Dadurch kann es
geschehen, dass dem Abrufen von zahlungsbezogenen Daten von einer
Zahlungskarte KEINE Ausgabe von Zahlungstransaktionsdaten von der
Datenschnittstelle 28 folgt. Der Kartenlesedetektor 40 kann
zusammen mit dem Datenverbindungsdetektor 38 solche ”Kartentest”-Ereignisse
detektieren.
-
In
einer anderen Situation, d. h. im Offline-Szenario, in der das Terminal
selbst nach dem Auslesen der Zahlungstransaktionsdaten von der Karte
keine Übertragung
der Zahlungstransaktionsdaten zu veranlassen hat, können solche ”Kartentest”-Ereignisse
dadurch detektiert werden, dass die Kartenleseaktivität und das
Ausbleiben einer anderen der normalen Aktivitäten berücksichtigt werden. Diese normalen
Aktivitäten
können
die Eingabe eines PIN-Codes, die Eingabe eines Zahlungsbetrags, die
Bestätigung
des eingegebenen Zahlungsbetrags durch Drücken der OK-Taste etc. sein.
Bei manchen Terminals können
POS-Transaktionen z. B. nur durch die Eingabe eines Zahlungsbetrags
vor dem Lesen einer Zahlungskarte ausgelöst werden. Wenn also eine ”Kartenlese”-Aktivität durch
den Kartenlesedetektor 40 erkannt wird, aber zuvor kein
Zahlungsbetrag eingegeben wurde, könnte dies als ”Kartentest”-Ereignis
durch einen Betrüger
interpretiert werden.
-
Der
Kartenlesedetektor 40 kann außerdem so konfiguriert werden,
dass er das Entfernen und/oder Anbringen (oder erneutes Anbringen)
der Kartenleseschnittstelle vom bzw. am Terminal detektiert. Zur
Ausführung
einer solchen Detektion kann ein mechanisches Schaltgerät geeignet
sein.
-
Gemäß der Erfindung
weist das POS-Terminal 10 außer der Spannungsversorgungsschnittstelle 26,
der Datenschnittstelle 28 und der Kartenleseschnittstelle 30 noch eine
weitere externe Schnittstelle 34 auf, die als Meldeschnittstelle
bezeichnet wird, um die vom Meldungsprozessor 32 erzeugten
Ereignismeldungen auszugeben. Die Funktionsweise der Meldeschnittstelle 34 ist
in zahlreichen Punkten der der Datenschnittstelle 28 ähnlich.
Obwohl die Meldeschnittstelle 34 eine spezielle Schnittstelle
sein kann, kann sie auch mit der Datenschnittstelle 28 integriert sein.
-
Analog
kann ein Meldungsdetektor 42 bereitgestellt werden, um
Ereignisse zu detektieren, die an der Meldeschnittstelle 34 stattfinden.
Diese Ereignisse sind ähnlich
beschaffen wie die an der Datenschnittstelle 28 stattgefundenen.
-
Das
Terminal 10 kann ferner einen Gehäusedetektor 44 aufweisen,
um jegliche am Gehäuse 24 des
Terminals stattgefundenen Ereignisse zu erkennen. Insbesondere wenn
das Gehäuse
oder ein Teil desselben geöffnet
oder geschlossen wird, oder wenn ein Teil des Gehäuses entfernt
oder angebracht (oder erneut angebracht) wird, kann dies der Gehäusedetektor 44 detektieren.
Auf diese Weise kann jeder unsachgemäße Eingriff am Gehäuse erkannt werden.
Außerdem
kann das Terminal so ausgeführt werden,
dass es die sicheren Informationen z. B. kryptographische Schlüssel, die
im HSM enthalten sind, sofort löscht,
wenn der Detektor 44 einen unsachgemäßen Eingriff am Gehäuse erkennt.
-
Nunmehr
wird der Meldungsprozessor 32 ausführlich anhand von 2 beschrieben,
die eine beispielhafte Ereignismeldung darstellt, die vom Meldungsprozessor 32 erzeugt
werden kann.
-
Nachdem
einer der Detektoren ein bestimmtes Ereignis erkannt hat, reagiert
erfindungsgemäß der Meldungsprozessor 32 auf
diese Detektion, indem er eine entsprechende Ereignismeldung erzeugt,
um das Auftreten dieses Ereignisses zu dokumentieren. Als Beispiele
soll ein Satz Ereignismeldungen 50, 52, 54, 56, 58 mit
gleicher Struktur dienen, die in 2 dargestellt
sind. Die Grundstruktur einer Ereignismeldung weist drei Felder 60, 62 und 64 auf.
Das erste Feld 60 enthält
eine Terminalkennung, z. B. die Seriennummer SN12345678 des Terminals
wie in der Figur dargestellt. Natürlich kann das Feld 60 eine
andere dem Terminal zugeordnete Kennung enthalten, wie die logische
Kennung, eine Kombination aus der Seriennummer und der logischen Kennung
usw. Das zweite Feld 62 der Ereignismeldung enthält einen
Zeitstempel, der die Uhrzeit angibt, zu der das Ereignis stattfand.
Die Erzeugung von Zeitstempeln ist im Stand der Technik eine bekannte
Technologie. Das dritte Feld 64 enthält einen so genannten ”Ereigniscode”. Der Ereigniscode
ist ein dem Ereignis zugeordneter Code und gibt an, um welche Ereignisart
es sich handelt.
-
So
lautet beispielsweise in den Ereignismeldungen 50 und 54 der
Ereigniscode 1601, womit das Ereignis ”Spannung aus” angegeben
werden kann. In den Ereignismeldungen 52 und 56 lautet
der Ereigniscode 1602, was ”Spannung
ein” bedeuten
kann, und in der Ereignismeldung 58 lautet er 2001, was das
Abrufen von Informationen von einer Karte, aber ohne anschließende Ausgabe
von Zahlungstransaktionsdaten über
die Datenschnittstelle eines POS-Terminals angeben kann. Kurz gesagt
ist jede Ereignisart, die vom (von den Detektoren des) Terminal(s)
erkannt werden kann, ein eindeutiger Ereigniscode zugeordnet. Wenn
der Meldungsprozessor eine Ereignismeldung auf Basis eines bestimmten
detektierten Ereignisses erzeugt, ist der zugehörige Ereigniscode in der Meldung
enthalten.
-
Die
Ereignismeldung kann zusätzliche
Felder zur Dokumentation anderer Informationen in Zusammenhang mit
dem erkannten Ereignis und/oder dem Terminal enthalten. Beispielsweise
kann die Leistungsaufnahme des Terminals, die Dauer der spannungslosen
Periode usw. in der Ereignismeldung enthalten sein.
-
Die
Ereignismeldung kann sobald sie erzeugt worden ist ausgegeben oder
in einem Speicher oder Puffer 46 des Terminals für eine vordefinierte Zeitspanne
vor ihrer Ausgabe gespeichert werden. Der Speicher oder Puffer 46 kann
auch eine Mehrzahl Ereignismeldungen speichern, die von der Meldeschnittstelle 34 ausgegeben
werden können.
-
Wie
oben erwähnt,
kann der Meldungsprozessor 32 ein spezifischer Prozessor
oder mit dem Anwendungsprozessor 14 integriert sein. Im
letztgenannten Fall kann der Prozessor 32 außerdem eine elektronische
Zahlungstransaktion auf Basis der von der Zahlungskarte abgerufenen
zahlungsbezogenen Daten veranlassen.
-
Nunmehr
sei auf 3 verwiesen, anhand derer eine
Ausführungsform
eines ersten Verfahrens 70 für ein POS-Terminal erläutert wird.
Zum besseren Verständnis
wird das Verfahren 70 beispielhaft bezogen auf das POS-Terminal 10 von 1 und
die Ereignismeldungen von 2 beschrieben.
Es ist jedoch zu beachten, dass das Verfahren 70 in Kombination
mit einem POS-Terminal mit einer anderen Konfiguration als die von 1 sowie
in Kombination mit Ereignismeldungen mit einer anderen Struktur
als der von 2 verwirklicht werden kann.
-
Das
Verfahren 70 zielt auf die Detektion von Hardware-Manipulationen
am POS-Terminal 10 ab, wobei
dem Terminal mindestens eine Terminalkennung zugeordnet ist und
es ein Gehäuse 24 sowie mehrere
externe Schnittstellen 26, 28, 30 und 34 aufweist.
-
Das
Verfahren 70 beginnt mit Schritt 72, in dem das
POS-Terminal ein am Gehäuse 24 oder
einer der externen Schnittstellen 26, 28, 30 und 34 des Terminals
stattgefundenes Ereignis mittels eines oder mehrerer der Detektoren 36, 38, 40, 42 oder 44 erkennt.
Wie oben beschrieben kann das Ereignis u. a. jedes der folgenden
sein: Entfernung einer der externen Schnittstellen oder eines Teils
des Gehäuses vom
Terminal; Anbringen (oder erneutes Anbringen) einer der externen
Schnittstellen oder eines Teils des Gehäuses am Terminal; Änderung
der Versorgungsspannung über
die Spannungsversorgungsschnittstelle 26 von Ein auf Aus,
d. h. ein Ereignis ”Spannung
aus”; Änderung
der Versorgungsspannung über
die Spannungsversorgungsschnittstelle 26 von Aus auf Ein,
d. h. ein Ereignis ”Spannung
ein”;
Beendigung oder Unterbrechung der Datenübertragung über die Datenschnittstelle 28;
Start (oder Neustart) der Datenübertragung über die
Datenschnittstelle 28; Beendigung oder Unterbrechung der
Meldungsübertragung über die
Meldeschnittstelle 34; Start (oder Neustart) der Meldungsübertragung über die
Meldeschnittstelle 34; Abrufen von zahlungsbezogenen Daten
von einer Zahlungskarte durch die Kartenleseschnittstelle 30 oder
das Kartenlesemodul 20 aber ohne anschließende Ausgabe
der Zahlungstransaktionsdaten über
die Datenschnittstelle 28; Öffnen eines Teils des Gehäuses 24;
Schließen
eines Teils des Gehäuses 24;
Anstieg der Leistungsaufnahme des Terminals um einen ersten vorgegebenen
Betrag (z. B. 500 mW); Abnahme der Leistungsaufnahme des Terminals
um einen zweiten vorgegebenen Betrag (z. B. 300 mW), wobei der erste
und zweite vordefinierte Betrag gleich oder verschieden sein können. Es
ist in diesem Zusammenhang zu betonen, dass Schwankungen der Leistungsaufnahme
des Terminals ein Hinweis darauf sein können, dass auf dem Terminal
zusätzliche
Hardware/Software, z. B. Spyware, läuft.
-
Im
nächsten
Schritt 74 erzeugt das Terminal eine Ereignismeldung 50 entsprechend
dem bzw. auf Basis des detektierten Ereignisses. Die Ereignismeldung 50 enthält einen
Ereigniscode 1601, der dem Ereignis zugeordnet ist, d. h. der Ereigniscode
identifiziert oder bezeichnet Typ, Art oder Beschaffenheit des Ereignisses;
die Ereignismeldung 50 enthält außerdem einen Zeitstempel 02:35,
der die Uhrzeit angibt, zu der das Ereignis stattfand. Ferner weist
die Ereignismeldung 50 mindestens eine Terminalkennung
SN12345678 auf. Mit dem Ereigniscode, dem Zeitstempel und der Terminalkennung
definiert die Ereignismeldung 50 das Ereignis eindeutig.
-
Schließlich wird
in Schritt 76 die erzeugte Ereignismeldung über eine
der externen Schnittstellen des Terminals ausgegeben. Diese Schnittstelle
kann die spezifische Schnittstelle 34 sein, die speziell
zur Übertragung
von Ereignismeldungen dient, aber auch die Datenschnittstelle 28,
die das POS-Terminal zur Ausgabe von Zahlungstransaktionsdaten an
den Zahlungsdienstanbieter verwendet.
-
Obwohl
die Ereignismeldung ausgegeben werden kann, sobald sie erzeugt worden
ist, kann das Verfahren 70 einen Schritt enthalten, in
dem die Ereignismeldung über
eine vorgegebene Zeitspanne gespeichert oder zwischengespeichert
wird, bevor sie vom Terminal ausgegeben wird. Außerdem kann eine Mehrzahl gespeicherter
oder zwischengespeicherter Ereignismeldungen entweder seriell oder gleichzeitig
ausgegeben werden.
-
Das
Verfahren 70 kann in einer Hardware, Software oder einer
Kombination aus Hardware und Software durchgeführt werden. Beim Software-Aspekt
wird ein Computerprogrammprodukt bereitgestellt. Das Computerprogrammprodukt
weist Programmcode-Abschnitte zur Ausführung der Schritte des Verfahrens 70 auf,
wenn das Computerprogrammprodukt auf einem oder mehreren Rechengeräten abläuft. Vorzugsweise
läuft das
Computerprogrammprodukt auf dem Meldungsprozessor 32 des Terminals 10 ab.
Das Computerprogrammprodukt kann von einem fernen Gerät z. B.
von einem Zahlungsverarbeitungs-Server eines Zahlungsdienstanbieters über eine
der externen Schnittstellen des Terminals, z. B. die Datenschnittstelle 28 oder
die Meldeschnittstelle 34, heruntergeladen werden. Vor
allem dann, wenn ein Terminal nicht mit dem Meldungsprozessor 32 ausgerüstet ist,
ist es hilfreich, dass das Computerprogrammprodukt auf den Anwendungsprozessor 14 heruntergeladen
und dort ausgeführt
werden kann. Mit einer derartigen Herunterladefunktion können herkömmliche
Terminals zur Ausführung
des Verfahrens 70 ohne jeglichen Austausch, Aufrüstung oder
Neukonfiguration des Terminals, insbesondere des Prozessors 14,
befähigt
werden.
-
Die
Beschreibung des POS-Terminals 10 und des entsprechenden
Verfahrens 70 zusammenfassend lässt sich der Schluss ziehen,
dass durch die Detektion und Dokumentation der Ereignisse, die am Gehäuse und
den mehreren externen Schnittstellen des Terminals stattfinden,
jede mögliche
Manipulation, die nahezu immer einen unsachgemäßen Eingriff am Gehäuse und/oder
einer der externen Schnittstellen bedeutet, erkannt werden kann.
Das POS-Terminal 10 sowie das Verfahren 70 gemäß der Erfindung können also
eine Früherkennung
einer potentiellen Hardware-Manipulation
des Terminals erleichtern.
-
4 zeigt
eine Ausführungsform
einer Vorrichtung 80 zur Verarbeitung von Ereignismeldungen gemäß der Erfindung.
Eine von der Vorrichtung 80 verarbeitbare Ereignismeldung
enthält
Informationen, die ein Ereignis betreffen, das an einem POS-Terminal insbesondere
an einer der externen Schnittstellen oder dem Gehäuse des
Terminals stattgefunden hat. Die Informationen enthalten mindestens
folgendes: einen zum Ereignis gehörigen Ereigniscode, wobei der
Ereigniscode angibt, von welcher Art, welchem Typ und welcher Beschaffenheit das
Ereignis ist; einen Zeitstempel, der die Uhrzeit angibt, zu der
das Ereignis stattfand, die im Folgenden als Ereignisauftretenszeit
bezeichnet wird; und mindestens eine zum Terminal gehörige Terminalkennung.
Die obigen Informationen identifizieren ein Ereignis eindeutig.
Natürlich
können
weitere Informationen, die das Ereignis und/oder das Terminal, wo das
Ereignis stattfand, betreffen, ebenfalls in der Ereignismeldung
enthalten sein.
-
Die
Vorrichtung 80 weist eine erste Schnittstelle 82 auf,
die zum Empfangen von Ereignismeldungen eingerichtet ist. Die Ereignismeldungen
können
von einem oder mehreren POS-Terminals 84 und 86 bereitgestellt
werden oder aus anderen Quellen für Ereignismeldungen stammen.
Die Vorrichtung weist außerdem
einen Prozessor 88 auf, der zum Verarbeiten der empfangenen
Ereignismeldungen eingerichtet ist. Ferner weist die Vorrichtung
eine zweite Schnittstelle 90 zur Ausgabe einer Benachrichtigungsmeldung
auf, die entsprechend dem Ergebnis der Verarbeitung der Ereignismeldung
erzeugt wird.
-
Bei
einer Ausführungsform
wird die Benachrichtigungsmeldung als hörbarer und/oder visueller Alarm
ausgegeben, um eine Person aufmerksam zu machen. Bei einer anderen
Ausführungsform
kann die Vorrichtung 80 eine Speicheranordnung 92 aufweisen,
welche die von der ersten Schnittstelle 82 empfangenen
Ereignismeldungen speichern kann. Bei einer weiteren Ausführungsform
kann die Vorrichtung ein Rechengerät z. B. ein Computer sein;
bei einer speziellen Ausführungsform
ist die Vorrichtung 80 ein Server.
-
Die
Einzelheiten der vom Prozessor 88 ausgeführten Verarbeitung
werden nunmehr unter Bezugnahme auf 2 beschrieben,
die einen Satz Ereignismeldungen zeigt, und 5, die ein
so genanntes ”Muster” gemäß der Erfindung
zeigt.
-
Der
Prozessor 88 empfängt
Ereignismeldungen, die von einem oder mehreren POS-Terminals erzeugt
wurden. Aus den empfangenen Meldungen wählt der Prozessor 88 einen
Satz Ereignismeldungen 50, 52, 54, 56 und 58 (2),
die alle dieselbe Termi nalkennung SN12345678 haben. Die Anzahl der
zu wählenden
Ereignismeldungen kann vordefiniert werden. Alternativ kann die
Wahl auf einem vordefinierten Zeitrahmen basieren, d. h. nur die
Ereignismeldungen, deren Ereignisauftretenszeit innerhalb des vordefinierten
Zeitrahmens liegt, werden gewählt.
-
Der
Prozessor 88 ordnet dann die im Satz Ereignismeldungen 50, 52, 54, 56 und 58 enthaltenen
Ereigniscodes entsprechend den Zeitstempeln in den Ereignismeldungen
zu einer Folge. Das bedeutet, dass die Ereigniscodes aus den Ereignismeldungen
extrahiert und nach ihrer jeweiligen Ereignisauftretenszeit geordnet
werden. Das Ordnungsergebnis ist eine geordnete Folge 66 wie
in 2 dargestellt; der Pfeil in Richtung von oben
nach unten gibt die Reihenfolge an. Insbesondere ist der Ereigniscode einer
Ereignismeldung mit einer früheren
Ereignisauftretenszeit in der Folge vor dem Ereigniscode einer anderen
Ereignismeldung mit einer späteren
Ereignisauftretenszeit positioniert. In der Folge 66 gehört z. B.
der erste Ereigniscode in der Reihenfolge von oben nach unten zur
Ereignismeldung 50, die einen Zeitstempel mit der Ereignisauftretenszeit
02:35 enthält.
Alle anderen Ereigniscodes entsprechen Ereignismeldungen mit Zeitstempeln,
die Ereignisauftretenszeiten nach 02:35 angeben; somit wird der
Ereigniscode der Ereignismeldung 50 an erster (oberster)
Stelle in der Folge positioniert.
-
Daraus
ist ersichtlich, dass die geordnete Folge der Ereigniscodes die
Ereignisse, die am relevanten POS-Terminal stattfanden, in chronologischer Reihenfolge ”erzählt”. So gibt
beispielsweise die Folge 66 in 2 an, dass
nachstehende Ereignisse am POS-Terminal SN12345678 stattfanden:
ein Ereignis ”Spannung
aus”,
das mit dem Ereigniscode 1601 angegeben wird, gefolgt von einem
Ereignis ”Spannung ein” mit dem
Ereigniscode 1602, gefolgt von einem weiteren Ereignis ”Spannung
aus”,
das mit dem Ereigniscode 1601 angegeben wird, gefolgt von einem weiteren
Ereignis ”Spannung
ein” mit
dem Ereigniscode 1602, dem schließlich ein mit dem Ereigniscode 2001
angegebenes Ereignis folgt, was das Abrufen von Informationen von
einer Karte ohne anschließende
Ausgabe von Zahlungstransaktionsdaten über eine Datenschnittstelle
des POS-Terminals SN12345678 bedeutet.
-
Der
Prozessor 88 der Vorrichtung 80 ist in der Lage,
ein oder mehrere ”Muster” zu lesen.
Der Begriff ”Muster” bedeutet
hier eine vordefinierte Datenstruktur, die eine Folge aus Ereigniscodes
mit eventuell einigen zusätzlichen
Informationen aufweist. Muster können
in der Speicheranordnung 92 der Vorrichtung 80 gespeichert
sein und dem Prozessor 88 bereitgestellt werden. Die Speicheranordnung 92 kann
ein Speicher, eine Datenbank, usw. sein. Muster können dem
Prozessor 88 auch aus anderen Quellen (in 4 nicht
dargestellt) bereitgestellt werden. In 5 sind zwei
beispielhafte Muster 100 und 102 dargestellt.
Das Muster 100 hat die Grundstruktur eines Musters und
weist in der mit dem Pfeil 104 angegebenen Reihenfolge
eine Folge der Ereigniscodes 1601, 1602, 1601, 1602 und 2001 auf.
Das Muster 100 gibt also die nachstehende Ereignisfolge an,
die an einem POS-Terminal stattgefunden haben kann: ein Ereignis
Spannung aus, gefolgt von einem Ereignis Spannung ein, gefolgt von
einem zweiten Ereignis Spannung aus, gefolgt von einem zweiten Ereignis
Spannung ein, dem schließlich
ein Ereignis folgt, bei dem zahlungsbezogene Daten von einer Zahlungskarte
abgerufen werden, aber keine anschließende Übertragung von Zahlungstransaktionsdaten über eine
Datenschnittstelle zur Übertragung von
Zahlungstransaktionsdaten detektiert wird. Das Muster 100 entspricht
also dem typischen Manipulationsszenario, das oben unter ”Hintergrund
der Erfindung” beschrieben
wurde. Es können
verschiedene Muster vordefiniert werden, die verschiedenen Hardware-Manipulationsprozeduren
entsprechen, die auf POS-Terminals abzielen, z. B. ein deutlicher
Anstieg der Leistungsaufnahme des Terminals, mehrere aufeinander
folgende Ereignisse Spannung aus, Verlust der Datenkonnektivität an der
Datenschnittstelle zusammen mit Ereignissen Spannung aus usw.
-
Nach
dem Lesen des Musters 100 (und vielleicht mehrerer Muster)
vergleicht der Prozessor 88 die geordnete Folge 66 der
Ereigniscodes mit dem Muster 100, um zu bestimmen, ob die
beiden übereinstimmen,
d. h. ob die geordnete Folge gleich oder nahezu gleich dem Muster
ist. Wenn eine Übereinstimmung
festgestellt wird, erzeugt der Prozessor 88 eine Benachrichtigungsmeldung,
die das Ergebnis ӆbereinstimmung
festgestellt” angibt,
womit ein menschlicher Administrator informiert wird, um sich näher mit
der Angelegenheit zu befassen. Der Prozessor 88 kann auch
so konfiguriert werden, dass er eine Bewertung (Score) (z. B. 0
bis 100%) erzeugt, die angibt, wie gut oder wie genau die geordnete
Folge dem Muster entspricht. Die Bewertungsalternative trägt dazu
bei, dass die Musterübereinstimmung
gegenüber
kleinen Abweichungen bei der betrügerischen Manipulation tolerant
ist. Da die Benachrichtigungsmeldung innerhalb kurzer Zeit nach
dem Stattfinden einer tatsächlichen
Manipulation erzeugt werden kann, kann der Betrug sofort, also mit
hinreichendem Zeitabstand vor dem Verlust von Karteninformationen,
identifiziert werden. Eine solch rasche Betrugsdetektion kann den
Datenverlust aufgrund von Manipulationen von POS-Terminals wirksam
verhindern.
-
Muster
mit mehr Informationen als sie das Muster 100 enthält, können bereitgestellt
werden. Das Muster 102 in 5 ist ein
Beispiel. Beim Vergleich der Muster 100 und 102 zeigt
sich, dass die beiden Muster zwar dieselbe Folge aus Ereigniscodes
1601- 1602-1601-1602-2001
aufweisen, das Muster 102 aber zusätzlich eine Folge aus so genannten ”Zeitdauercodes” t1, t2,
t3 und t4 aufweist. Wie die Bezeichnung nahe legt, geben die Zeitdauercodes
Zeitperioden an. Im speziellen Beispiel des Musters 102 hat
der Zeitdauercode t1 einen Wert von 2 Minuten, der Zeitdauercode
t2 einen Wert von 1 Minute usw. Jeweils zwei aufeinander folgende
Ereigniscodes im Muster gehören
zu einem Zeitdauercode. Im Beispiel der Figur gehören der
erste Ereigniscode 1601 und der zweite Ereigniscode 1602 zum Zeitdauercode
t1; der zweite Ereigniscode 1602 und der dritte Ereigniscode 1601
gehören
zum Zeitdauercode t2; der dritte Ereigniscode 1601 und der vierte Ereigniscode
1602 gehören
zum Zeitdauercode t3; und der vierte Ereigniscode 1602 sowie der
fünfte
Ereigniscode 2001 gehören
zum Zeitdauercode t4. Die Verfahren und Möglichkeiten, einen Zusammenhang zwischen
zwei aufeinander folgenden Ereigniscodes in einem Muster und einem
Zeitdauercode herzustellen, sind zahlreich und gelten auf dem Gebiet
der Datenverarbeitung als bekannt.
-
An
sich repräsentiert
das Muster 102 oder eines seiner Äquivalente eine Abfolge von
Ereignissen mit definierten Zeitperioden zwischen den Ereignissen.
Speziell gibt das Muster 102 ein Ereignis ”Spannung
aus” an,
dem nach zwei Minuten ein Ereignis ”Spannung ein” folgt;
diesem folgt nach einer Minute ein zweites Ereignis ”Spannung
aus”,
dem nach zehn Minuten ein zweites Ereignis ”Spannung ein” folgt, dem
schließlich
nach drei Minuten ein Abruf von zahlungsbezogenen Daten von einer
Zahlungskarte folgt, aber ohne anschließende Ausgabe der Zahlungstransaktionsdaten über eine
Datenschnittstelle eines POS-Terminals.
-
Während ein
Muster wie 102 eine verfeinerte Angabe von Hardware-Manipulationsprozeduren
angeben kann, kann der Prozessor 88 der Vorrichtung 80 hingegen
ferner dazu eingerichtet sein, Folgen von Ereigniscodes zu erzeugen,
denen noch weitere Informationen beigefügt sind. Dementsprechend kann
der Prozessor 88 beim Ordnen des gewählten Satzes Ereignismeldungen 50, 52, 54, 56 und 58 zu einer
Folge 68 (im unteren Teil von 2 dargestellt) den
geordneten Ereigniscodes so genannte ”Zeitdifferenzcodes” d1, d2,
d3 und d4 zuordnen, die die zeitliche Differenz zwischen den Ereignisauftretenszeiten
der entsprechenden Ereignisse angeben. Es ist unmittelbar zu erkennen,
dass sich die Werte der Zeitdifferenzcodes ohne weiteres aus den
Zeitstempeln in den Ereignismeldungen ergeben.
-
Nach
dem Erzeugen der Folge 68 aus Ereigniscodes mit den zugehörigen Zeitdifferenzcodes
d1 bis d4 bestimmt der Prozessor 88, ob die Folge 68 mit
einer Ereigniscode-Folge eines der bereitgestellten Muster übereinstimmt.
Unter der Annahme, dass eine Obereinstimmung vorliegt, bestimmt
der Prozessor dann, ob die Zeitdifferenzcodes d1 bis d4, die zu
den aufeinander folgenden Ereigniscodes in der Folge 68 gehören, auch
mit den Zeitdauercodes t1 bis t4, die zu den entsprechenden aufeinander
folgenden Ereigniscodes im Muster 102 gehören, übereinstimmen.
Wenn diese Obereinstimmung der zweiten Stufe bestätigt wird,
erzeugt der Prozessor 88 eine zweite Benachrichtigungsmeldung.
-
Die
erfindungsgemäßen Muster
sind vorzugsweise auf vielerlei Weise anpassbar. Für den Prozessor 88 können neue
Muster bereitgestellt und vorhandene Muster können gelöscht oder verändert werden.
Die Änderung
kann auf eine der nachfolgenden Arten erfolgen: Erstens kann die
vordefinierte Folge der Ereigniscodes in einem bestimmten Muster angepasst
werden, d. h. bestehende Ereigniscodes können aus der Folge entfernt
oder durch andere Werte ersetzt werden; neue Ereigniscodes können in die
Folge eingefügt
und die Reihenfolge der Ereigniscodes kann umgestellt werden. Zweitens
können auch
die zusätzlichen
Informationen, die der Folge der Ereigniscode beigefügt sind,
angepasst werden: z. B. können
die Werte der oben beschriebenen Zeitdauercodes veränderlich
sein; ein Zeitdauercode kann einen definierten Wert z. B. 2 Minuten
oder einen ”vagen” oder ”unscharfen” (fuzzy)
Wert annehmen, was einen Bereich der Zeitperioden z. B. 2 bis 5
Minuten angibt, wodurch sich Übereinstimmungen flexibler
bestimmen lassen. Drittens können
den Ereigniscodes im Muster noch weitere zusätzliche Informationen zugeordnet
werden. Es lässt
sich erkennen, dass die Muster auf zahllose Arten angepasst werden
können.
-
Zusätzlich zur
Bestimmung mittels Mustern kann der Prozessor 88 auch auf
andere Informationen zurückgreifen,
bevor die Benachrichtigungsmeldung erzeugt wird. Der Prozessor 88 kann
z. B. außerdem
prüfen,
ob ein Ereignis entweder zu einer bestimmten tatsächlichen
Uhrzeit (vorzugsweise nach dem normalen 24-Stunden-Uhrzeitsystem) oder
zwischen einer ersten tatsächlichen
und einer zweiten tatsächlichen
Uhrzeit stattgefunden hat. In 2 enthält z. B.
die Ereignismeldung 50 den Zeitstempel 02:35 und den Ereigniscode
1601, was besagt, dass ein Ereignis Spannung aus um 02:35 Uhr stattfand. Demzufolge
prüft der
Prozessor 88, ob die Ereignisauftretenszeit, d. h. 02:35,
zwischen 22:00 Uhr, dem typischen Betriebsschluss eines Geschäfts, und 09:00
Uhr, der typischen Öffnungszeit
eines Geschäfts,
liegt. Der Vergleich einer Ereignisauftretenszeit mit einer oder
mehreren tatsächlichen
Uhrzeiten kann die Genauigkeit der Detektion einer Hardware-Manipulation
erhöhen.
So dürfte
ein plötzliches Ereignis
Spannung aus um 17:00 Uhr, also normalerweise während des Hochbetriebs eines
Geschäfts, kaum
auf einen böswilligen
Eingriff an der Spannungsversorgungsschnittstelle durch einen Betrüger hindeuten,
sondern eher auf eine Störung
verursacht durch den Benutzer des POS-Terminals (z. B. versehentliches
Herausziehen des Netzkabels). Im Gegensatz dazu ist ein Ereignis ”Spannung
aus” um 02:35
mit einiger Wahrscheinlichkeit das Ergebnis einer betrügerischen
Manipulation. Kurz gesagt, kann die Bewertung weiterer Informationen
vor dem Erzeugen der Benachrichtigungsmeldung die Genauigkeit der
Betrugsdetektion erhöhen.
-
In
manchen Fällen
können
bei der Kontrolle von Ereignismeldungen bezüglich eines POS-Terminals zur
Bestimmung, ob an diesem bestimmten Terminal möglicherweise eine Hardware-Manipulation vorgenommen
wurde, Informationen von anderen POS-Terminals hilfreich sein. Beispielsweise
könnte ein
während
der Nacht stattfindendes Ereignis ”Spannung aus”, dem unmittelbar
ein Ereignis ”Spannung
ein” folgt,
als Hardware-Manipulation an der Spannungsversorgungsschnittstelle
des fraglichen Terminals interpretiert werden, aber dieses Vorkommnis
könnte
auch das einfache Ergebnis eines allgemeinen Spannungsausfalls in
dem Gebiet, in dem sich das POS-Terminal
befindet, sein. In einem solchen Fall kann eine Gegenkontrolle,
ob bei anderen POS-Terminals im selben Gebiet zur gleichen Zeit
die gleiche Unterbrechung der Spannungsversorgung auftrat, sinnvoll
sein. Wenn alle POS-Terminals in dem Gebiet die gleiche Folge ”Spannung
aus – Spannung
ein” zur
gleichen Zeit melden, kann mit Sicherheit auf einen allgemeinen
Spannungsausfall in diesem Gebiet und nicht auf eine Hardware-Manipulation
an einem bestimmten POS-Terminal geschlossen werden.
-
Um
aus den Informationen von und/oder zu anderen POS-Terminals einen
Nutzen ziehen zu können,
müssen
bestimmte Informationen über
diese anderen POS-Terminals
dem Prozessor 88 zur Verfügung gestellt werden. Wenn
es z. B. notwendig ist, alle Terminals in einem geografischen Gebiet
zu kontrollieren, sollten die Kennungen dieser Terminals und ihre
Standortinformationen dem Prozessor 88 zur Verfügung gestellt
werden. Die Standortinformationen können z. B. die physischen Anschriften und/oder
Postleitzahlen des physischen Standorts der Terminals enthalten.
Benutzerinformationen der Terminals können ebenfalls nützlich sein.
Für jedes Terminal
enthalten die Benutzerinformationen eine Kennung des Benutzers,
eine erste tatsächliche
Uhrzeit wie den üblichen
Betriebsschluss des Geschäfts des
Benutzers und/oder eine zweite tatsächliche Uhrzeit, bei der es
sich im Allgemeinen um die Öffnungszeit
des Geschäfts
handelt.
-
Die
POS-Terminals betreffenden obigen Informationen können dem
Prozessor 88 auf verschiedene Weise bereitgestellt werden.
Die Informationen können
in der Spei cheranordnung 92 der Vorrichtung 80 gespeichert
werden, wobei der Prozessor 88 auf den Inhalt der Speicheranordnung
zugreifen kann; oder die Informationen können an eine externe Quelle 94 geliefert
und dann über
eine dritte Schnittstelle 96 der Vorrichtung 80 an
den Prozessor 88 übergeben
werden. Ein guter Kandidat für
diese externe Quelle 94 ist ein POS-Terminal-Administrationssystem,
das vom Zahlungsdienstanbieter, der eine Mehrzahl POS-Terminals
bedient, verwaltet werden kann.
-
Nunmehr
wird ein spezifisches Beispiel beschrieben, wie Informationen von
einem zweiten POS-Terminal genutzt werden können, während Ereignismeldungen eines
ersten POS-Terminals verarbeitet werden. Nach der Bestimmung einer Übereinstimmung
mit einem bestimmten Muster für
das erste Terminal verarbeitet der Prozessor 88 einen zweiten Satz
Ereignismeldungen, die vom zweiten POS-Terminal erzeugt worden sind,
um zu prüfen,
ob eine Übereinstimmung
mit demselben Muster auch für das
zweite Terminal ermittelt werden kann. Im Einzelnen wählt der
Prozessor 88 einen zweiten Satz Ereignismeldungen mit einer
zweiten Terminalkennung; ordnet die Ereigniscodes im zweiten Satz
Ereignismeldungen entsprechend den Zeitstempeln im zweiten Satz
Ereignismeldungen zu einer zweiten Folge; vergleicht die zweite
Folge Ereigniscodes mit diesem bestimmten Muster, um zu bestimmen,
ob ebenfalls eine Übereinstimmung
vorliegt; wenn bestimmt wird, dass die zweite Folge Ereigniscodes
ebenfalls mit dem Muster übereinstimmt,
wird eine zweite Benachrichtigungsmeldung erzeugt. Natürlich kann
der Prozessor 88 außerdem
dazu eingerichtet sein, Ereignismeldungen von einem dritten, vierten
usw. Terminal zu prüfen.
-
Weiterhin
können
sogar noch zusätzliche Techniken
wie künstliche
Intelligenz, Fuzzy-Algorithmen
und dgl. von der Vorrichtung 80 eingesetzt werden, um die
Genauigkeit der Betrugsdetektion zu erhöhen. Als Beispiel, das oben
erwähnt
wurde, kann der Prozessor zusätzlich
zur einfachen Erzeugung eines Übereinstimmungsergebnisses
des binären Typs,
d. h. entweder die Angabe ”Übereinstimmung gefunden” oder ”keine Übereinstimmung
gefunden”, so
konfiguriert werden, dass er eine Bewertung bzw. einen Score erzeugt
(z. B. 0 bis 100%), die angibt, wie gut oder wie genau die geordnete
Folge dem Muster entspricht. Die Bewertungsalternative trägt dazu
bei, dass die Musterübereinstimmung
gegenüber
kleinen Abweichungen bei der betrügerischen Manipulation tolerant
ist.
-
Nunmehr
wird unter Bezugnahme auf 6 eine Ausführungsform
eines zweiten Verfahrens 110 für eine Vorrichtung zur Verarbeitung
von Ereignismeldungen gemäß der Erfindung
erläutert.
Zum besseren Verständnis
wird das Verfahren 110 beispielhaft bezogen auf die Vorrichtung 80 von 4,
die Ereignismeldungen von 2 und die
Muster von 5 beschrieben. Es ist jedoch
zu beachten, dass das Verfahren 110 auch in Kombination
mit einer Vorrichtung mit einer anderen Konfiguration als der von 4,
mit Ereignismeldungen mit einer anderen Struktur als der von 1 und
mit Mustern mit einer anderen Struktur als der von 5 verwirklicht
werden kann.
-
Das
Verfahren 110 dient zur Verarbeitung von Ereignismeldungen,
von denen eine jede einen Ereigniscode enthält, der zu einem Ereignis gehört, das
am Gehäuse
oder einer externen Schnittstelle eines POS-Terminals stattfand,
einen Zeitstempel, der die Uhrzeit angibt, zu der das Ereignis stattfand,
und mindestens eine Terminalkennung. Das Verfahren 110 beginnt
mit dem Empfang oder der Erfassung einer oder mehrerer solcher Ereignismeldungen
wie in Schritt 112 dargestellt. Dann wird in Schritt 114 aus den
empfangenen Ereignismeldungen ein Satz Ereignismeldungen mit derselben
Terminalkennung gewählt.
Anschließend
werden in Schritt 116 die Ereigniscodes im gewählten Satz
Ereignismeldungen entsprechend den Zeitstempeln im gewählten Satz
Ereignismeldungen zu einer Folge geordnet. Mindestens ein Muster,
das eine Folge Ereigniscodes aufweist, wird bereitgestellt oder
gelesen; dies ist in Schritt 118 dargestellt. Danach wird
in Schritt 120 die geordnete Folge der Ereigniscodes mit
dem mindestens einen Muster verglichen, um zu bestimmen, ob eine Übereinstimmung
gegeben ist. Wenn Übereinstimmung
vorliegt, wird abschließend
eine Benachrichtigungsmeldung erzeugt.
-
Obwohl
Ausführungsformen
der Erfindung in den beiliegenden Zeichnungen dargestellt sind und in
der obigen Beschreibung erläutert
wurden, versteht es sich, dass die Erfindung nicht auf die hierin offenbarten
Ausführungsformen
beschränkt
ist. Insbesondere können
an der Erfindung zahlreiche Umstellungen, Modifikationen und Ersatzmaßnahmen vorgenommen
werden.
-
Zusammenfassung
-
Es
werden Betrugserfassungstechniken zur Anwendung in einem System
offenbart, das sichere elektronische Transaktionen abwickelt. Die
Manipulation eines Terminals des sicheren Systems kann detektiert
werden, indem das Terminal so konfiguriert wird, dass es die Ereignisse,
die am Gehäuse
und den externen Schnittstellen des Terminals stattfinden, erkennt
und dokumentiert. Eine Verarbeitungsvorrichtung analysiert die vom
Terminal dokumentierten Ereignisabfolgen, um zu ermitteln, ob eine
Folge einem bestimmten Muster oder einer bestimmten Vorgehensweise
bei einer Terminalmanipulation entspricht.