Информация на магнитной полосе

Интерес к проблеме навеян фактом кражи денег с карточного счета путем снятия через банкоматы. Карта при том была все время у хозяина и никому не передавалась.
В подобных случаях говорят о классическом скимминге, когда злоумышленник ставит на банкомат свой считыватель магнитной полосы и пин-кода. После накопления некоторого количества данных по ним изготовляются дубликаты карт и вперед!
Возник вопрос: по-другому, без считывания никак не сделать дубль? Информация на полосу заносится на заводе-изготовителе или карты оттуда приходят чистые и банк сам записывает коды на полосы? Если второе, то существует возможность сделать дубль-карту.
Второй вопрос: считанная банкоматом с полосы информация передается на обработку в неизменном виде и поиск в базе идет по "полному коду" или передается только хэш и поиск идет уже по нему? Другими словами - имея доступ к базе карт, можно ли создать дубль?
К чему это я? Про скимминг говорят часто, а самих считывателей что-то не предъявляют. Может они и не используются уже давно, а карты клонируют, просто имея доступ к соответствующим базам?

Не пройти ли Вам в автоклуб, с такими-то вопросами

Банк сам. Вы удивитесь, но операционист ваще все ваши явки-пароли видит и может накопировать что угодно, если рассуждать в том же ключе

А вы спрашивали?
Банку не нужно заниматься скиммингом чтобы обуть клиента, он итак ему кредиток парочку подсунет :super:

В банках люди работают...

и пароли в открытом виде? вы уверены?

Явки-пароли это образно
Паспортные данные, данные карт (номера, имя фамилия на карте, срок действия), образец подписи, контрольные слова и т.д.

> по-другому, без считывания никак не сделать дубль?

на полосе помимо номера карты есть еще дополнительная инфа. НО даже сделав дубль с карточки надо еще знать PIN, иначе в бабкомате денег не снять. поэтому или скиммер или серьезный слив с банка.

Как понимающий, отвечу на любые вопросы по теме.

Есть несколько видов кардинга, то что вы упомянули, называется реал кардингом, когда дамп считывается с магнитки.

Способы мошенников:

Установка скиммеров на различные картоприемники банкоматов
Установка скиммеров на двери при входе в отделения банков (отсутствует пин)
Перепрошивка пос терминалов в торговых точках (когда прокатывается полоса и вы вводите пин)
Соц инженерия, откатка дампов напрямую сотрудниками банков, на стойках выдачи карт и т.д. (Крайне редко)
Врезка к сети , ведущей к пос терминалу
Установка вирусного по на компьютер, подключенный к пос терминалу
Установка скиммеров на заправках, в терминалах ржд, терминалах оплаты билетов

Сейчас по моим данным во всю занимаются пробивом пэйпаса, есть наработки, это оказалось проще копирования чипа. К слову говоря, чип так же удалось склонировать, хоть и не в полной функиональности. Призываю всех быть крайне осторожными с оплатой в терминалах, они сейчас наиболее уязвимы.

По доступам к базам данных в банке - маловероятно, это слишком тяжело сделать. При эллектронном кардинге чтобы узнать реквизиты карты взламывают магазины или с вирусов тащат карточки, здесь ситуация иная.

[Сообщение изменено пользователем 20.04.2014 15:07]

:lol: :lol: :lol: :lol: :lol:

Клоун

Ок!
То есть, в базе банка хранится сам код с полосы, а не хэш?

Да вообще
При транзакции магнитной полосой код всегда один и тот же. Вот поэтому и используются скиммеры. Достаточно один раз считать код чтоб потом его использовать. У чипа же совсем другой принцип - каждая транзакция подтверждается специально сформированным для нее кодом, так что для каждой новой операции берется новый код. Вот поэтому сделать дубликат чипованной карты фактически невозможно - нужно сделать копию микропроцессора чипа.

> в базе банка хранится сам код с полосы

на полосе храниться номер карты, дата выдачи и контрольная сумма, которая вычисляется по определенному алгоритму. то есть те данные которые есть на самой карте в открытом виде. тоже самое ты вводишь вручную, когда покупаешь что то через и-нет.

[Сообщение изменено пользователем 21.04.2014 10:02]

При формировании транзы идет запрос к чипу, фактически терминал производит его опрос, проверяя на подлинность и в дальнейшем подавая запросы. Чип тяжело склонировать полностью из за сложности архитектуры, устройства слишком громоздкие, несмотря на кажущуюся простоту чип является микрокомпьютером. Если вы не видели копию чипа или не знаете мат часть, это не значит что подделать чип невозможно, этим занимаются с момента создания и люди, кто заработал на клонировании карт фантастические суммы.

На полосе хранится номер карты, фамилия+имя, срок действия
Через интернет иной алгоритм, далеко не все мерчанты читаю фамилию и имя, поэтому и стали существовать виртуальные карты. Там проверяется фамилия и имя, срок действия, номер карты и подобие пина - cvv, cvc код, трехзначный или четырехзначный.

есть еще технология 3D-secure, новинка :-)

[Сообщение изменено пользователем 21.04.2014 23:19]

:popcorn:

от чего он считается, от даты, времени, ПОС точки ? или от погоды на марсе? есть же офф-лайновые операции, эмитент не может в это время кинуть запрос.

Технология 3D Secure - это современный и удобный сервис, который позволяет осуществлять дополнительную аутентификацию клиента при проведении им платежей с использованием банковских карт в сети Интернет на сайтах, поддерживающих данную технологию, и существенно повышает защиту от несанкционированных операций. Подтверждение каждого онлайн платежа происходит с помощью одноразового пароля, который высылается на мобильный телефон клиента, а весь процесс проверки операции занимает не более минуты.

товарищи студенты и интересующиеся, которых тянет в кардеры! Сколько веревочке не виться, а совьется она в петельку :-)



надо ещё добавить - в ОВ кабель. Так лучше всего :-)

Само по себе стремление разобраться в технологии приведёт к двум путям:
1. человек начнет всё глубже и глубже разбираться в технологии далее:
1.1.а прекратит копаться в специфических процессах, т.к. это потребует дополнительного специализированного образования (прежде всего математического, IT, криптографии и т.д.)
1.1.б путь познания приведет его к работе в данной отрасли
либо
1.2.а прекратит копаться в специфических процессах, т.к. сделает правильный вывод - халявы не будет
1.2.б путь познания приведет его к вынужденному изучению соответствующих статей УК РФ (впрочем, некоторым удаётся придти к успеху и ознакомиться с зарубежными исправительными учреждениями)

В первую очередь, 3-D Secure - это ответственность банка за легитимность операции, при которой банк не в праве требовать деньги обратно у продавца. В рамках этой проверки осуществляется онлайн проверка подлинности 3-х доменов: эквайера, эмитента, МПС. При транзакции осуществляется двухфакторная аутентификация пользователя.

100 лет в обед вашей новинке 3d secure, до сих пор она успешно обходится и по этому поводу огромное количество споров, я не считаю ее безопасной, до тех пор, пока симкарту можно восстановить по поддельным документам в салоне связи и пройти повторную идентификацию по телефону, начав заново получать смс от банка.

3d secure в простом понимании аналог вашей подписи на бумаге, росписи вами на чеке в магазине, то есть цифровая подпись, она подтверждает ваше согласие на проведение транзакции. Однако это исключает случаи, когда не вы совершали транзакцию, либо мошенники получили доступ к телефону / скопировали сим карту.

Аква ты не прав, транзу по 3 d secure возможно оспорить, так как тот же многоразовый код 3d secure, выдающийся в банке, мог быть украден вирусом. Иногда банк замораживает транзакцию по оплате в пользу магазина, чтоб тот предъявил доказательства продажи, либо показал слипы с подписями хозяев карты, если есть подозрения в том, что хозяин фейкового магазина специально забивает чужие карты к себе.

Если ваш банк поддерживает технологию 3d secure, а мерчант (магазин) этот код не запрашивает, то покупка пройдет без ввода 3d, а значит наличие 3d в вашем банке вас особо ни от чего не спасет. Плюсом то, что такую покупку легко оспорить.


Ладно, раз так много минусов, комментариев дальше не будет. Вы, я вижу, свято верите в безопасность карт. Бог вам в помощь и будьте внимательны, кроме внимательности и осторожности никто не поможет защитить вам ваши деньги.

Я говорю, клоун :lol: :lol: :lol: :lol:

давай комментируй еще, если в курсе темы.

к сожалению в отличие от западных банков, которые поголовно страхуются от всего и вся. и в случае чего без вопросов все компенсируют клиенту, так как все покроет страховая. + ставят всяческие дополнительные защиты типа невозможность провести подряд две транзакции с одного терминала или невозможность снять в одном бабкомате деньги более чем два раза подряд, а в случае чего просто блокируют карту до выяснения, наши ничего не возмещают и дают делать все что угодно. что и приводит к таким досадным приколам как вытрясание кредитки под 0, пока ты спишь.

если в курсе тонкостей процесса лучше расскажи более подробно правила как не налететь на "срезание карты". типа банкоматами лучше пользоваться только в отделениях банка. если в пос терминале зачем то просят ввести пин, то лучше от такой покупки отказаться. и т.д.

;-) :-D :popcorn:
весна однако

все настройки наверняка имеются уже в "самом захудалом" процессинге лет 10 назад, с вопросом об использовании функционала это к бизнесу, какой бизнес - такой и функционал такое и отношение к клиенту. Поразила новость о том что в Белорусии рабочий 9-ть! месяцев снимал в банкомате $ 170 000 и никто не замечал. Допустим в 2 недели поверю с трудом, но ДЕВЯТЬ месяцев... Это же в процессе вычисляется за пару часов.

Для вас будет новостью, но имя держателя не проверяется.