dedoc

EMV карты

10 сообщений в этой теме

кто готов обсудить эту тему, кто пробовал считать или сделать дубликат?

может обсудим?

тема EMV карт поднималась на одном закрытом борде еще в 2007 году, у меня есть те обсуждения и я готов поделиться с человеком, который тоже что то знает по этим картам. так же готов говорить через джаббер.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Будь они не ладны. Столкнулся, решил поделиться. Может кто то что то дополнит.

Всем известно, что банки усиленно переходят на чиповые карты, а Кардинг сообщество, как то вяло на это реагирует. Грубо говоря Кардеры дожимают последние соки из того что осталось. И то, то что сейчас ещё актуально, это всего лишь банковские не дороботки ввиду дороговизны нового оборудования и новой технологии в целом. Изначальная идея банковского сообщества, перейти на чиповые карты полностью, да да, без магнитной полосы, полностью на чип. Скимеры скоро будут валяться на помойках.

Ну а что мы о них знаем?! Да самую малость. Сейчас мы имеем комбинированную карту - магнитную полосу и чип. Переходить только на микропроцессор не решаются ввиду отсутствия полноценной инфраструктуры по обслуживанию таких карт. Как правило работа с чипом происходит только после ввода пинкода, я имею ввиду банкомат и постерминал. Так что скоро шопиться перестанем вообще. Да и по баблометам ходить кстати тоже.

Ладно к структуре и физическим свойствам. Чип базируется на кристале. И вот тут начинается полная жопа. Чиповые карты можно разделить на 3 категории: карта счетчик, карты с памятью и микропроцессорная карта.

Счетчик нас не интересует, используется в основном как скидочная либо заправочная карта. Карта с памятью говорит сама за себя, тоесть несет в себе определённую информацию, защищена сервисными кодами, в банковской структуре используется редко (как я понял). А карта с микропроцессором это ,ребята, закат Кардинга для школьников, как и для многих Кардеров. Подделка её кустарными методами практически не возможна. Транза по ней проходит в несколько этапов, об этом подробнее.

Микропроцессорная карта.

обладает:

-тактовой частотой до 5 МГц;

-емкостью ОЗУ (операционное запоминающее устройство) до 256 байт;

-емкостью ПЗУ (постоянное запоминающее устройство) до 10 Кбайт;

-емкостью перезаписываемой энергонезависимой памяти до 8 Кбайт.

И наконец самое дерьмовое

-операционной системой.

Теперь о протекании транзакции.

EMV (Europe, Mastercard, Visa) требует 2-х сторонней передачи данных. Данные хранящиеся на чипе могут быть изменены транзакцией, т.е. подделка карты ислючается, чип ведет историю транзакций. При подделке, история, измененные сервисные коды, просто могут не совпасть с сервером. Это первый минус. Далее пинкод (при написании учитываю что он у вас есть). В это время карта и банк постоянно обмениваются данными, проверяется подлинность карты по сверке ключей, карта проходит авторизацию, то же по сервисным кодам. Все это соотвецтвенно шифруется, перехват конечно возможен а вот подбор алгоритма нет, это надо банкомат дома иметь, чтоб все перепробовать.

Чтобы подделать такую карту мы точно должны знать, что за Микропроцессор в ней стоит, должны иметь полный hex фаил записываемый в чип и обязательно знать пин. Но и этого нам может не хватить, так как инфа на чипе после транзакции может быть изменена.

В общем ситуация на данный момент давольнотаки печальная. Очень надеюсь что я ошибаюсь.

Статью не судите строго, это всего лишь теория, на практике я ни чего не пробовал.

Всех благ в начинаниях.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Короче суть такая,есть у меня парень который работает на какую то фирму,они занимаются разработкой каких то новых карт банковских,он непосредственно один из главных по картам програмист,вернее не разработкой а уже переоснащением банков,они летают в европейские страны и там работают,пока только в европе.Мне кажется это оно и есть.Парень неплохой,знаю его очень мало,пару раз общался на семейных застольях,как только разговор завожу за банки карты и т.д. начинает со скакивать с темы.Если как то войти в доверие то можно выманить информации,если они разрабатывают то должен знать все алгаритмы и т.д.Если интерестно,нужны конкретные вопросы которые я перефразирую в разговоре с ним и попробую узнать,просто сам пока не понимаю что спрашивать и очем речь вести!!!

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
если они разрабатывают то должен знать все алгаритмы и т.д.

одинаковых алгоритмов быть не может, каждый банк мутит свой, я скажу более, внутри одного банка может быть несколько алгоритмов и каждый месяц могут менять

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А вот еще новшества, скоро и карж придавят совсем:

Компания Dynamics утверждает, что нашла решение проблемы кардинга. На выставке CES 2012 она продемонстрировала прототип карточки, которая генерирует одноразовый код при каждом использовании, будь то онлайновые или физические операции. Одна карта способна помнить несколько учётных записей. Секрет кроется в магнитной полосе, которую можно кодировать в режиме реального времени и столь же быстро очищать.

На вид карта ничем не отличается от обычной, её точно так же можно сгибать без ущерба для электронной начинки. Карта имеет такой же размер, как и обычный пластик - 85,6х 53,98х0,76 мм. Разница лишь в том, что вместо номера карточки — пустой экран. Прежде чем сделать покупку, необходимо ввести код активации с помощью пяти встроенных кнопок. Затем на экране появляется уникальный ID кредитной карты, и магнитная полоса на обратной стороне при совершении сделки кодируется именно этим номером. По завершении операции номер с лицевой стороны исчезает, а магнитная полоса деактивируется до следующей транзакции. Карту невозможно активировать, не зная уникального кода разблокировки. Так как номер генерируется всякий раз заново, никакой информации вместе с картой украсть невозможно.

Новинка уже используется Ситибанком в небольшой пилотной программе. Все "электронные" карты поставляются с элементом питания, рассчитанным на 3 года.

на данный момент все неплохо еще) :

Процессинговая компания CyberSource (подразделение Visa) опубликовала отчёт 2012 Online Fraud Report (PDF) со статистикой по фрауд-операциям в интернете. На первый взгляд, кардинг идёт на спад: доля фродовых транзакций в интернете упала с 0,9% в 2010 году до 0,6% в 2011 году, то есть до минимального уровня за последние 13 лет, в течение которых проводились измерения компанией Visa.

Однако, такие транзакции по размеру оказались больше обычных, и поэтому доля кардинга в общем обороте интернет-торговли по сравнению с прошлым годом выросла до 1,0%, хотя в целом она постепенно снижается уже много лет. Потери в абсолютном выражении продолжают расти. Общий объём фродовых транзакций в прошлом году составил $3,4 млрд, что на $700 млн больше, чем годом ранее. Заказы из-за границы в американских магазинах показывают уровень фрода 2,0%, что втрое выше среднего.

Фрауд-транзакции стало сложнее распознавать. Об этомзаявляют все крупные онлайн-магазины. 75% онлайн-шопов прибегают к проведению операций вручную, а не в автоматическом режиме.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

из-за перезаписи данных после каждой транзакции измениться стратегия обналички, но суть не изменит, главное научиться считывать и записывать эти карты. вот об этом и хочется пообщаться.

у нас конечно есть еще не мало времени, пока банки осилят перейти полностью на чипы, но проблему пора изучать и решать ее, что бы быть готовым заранее к полному переходу на EMV.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Немного размышлений на тему:

Исходим из того что вмире много банков, у каждого по несколько типов АТМ.

Из этого вытекает простой и очень обнадеживающий вывод - алгоритм, которым шифруется инфа в чипе должен быть единым. А иначе как второй атм сможет понять то, что записал в чип первый АТМ? А если это так... То как-то глупо получается... Узав один алгоритм - имеем доступ сразу ко всему.

Ну а как иначе? Как атмы будут понимать записанное?

Либо есть 2 раздельные области памяти.

Одна перещаписываемая, в ней история транз, вторая записывается раз и на всегда. В ней что-то типа дампа в привычном всем виде, только шифрованного. И еще... Где-то должен храниться ключ для расшифровки. Видимо все же на сервере банка

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
кто готов обсудить эту тему, кто пробовал считать или сделать дубликат?

может обсудим?

тема EMV карт поднималась на одном закрытом борде еще в 2007 году, у меня есть те обсуждения и я готов поделиться с человеком, который тоже что то знает по этим картам. так же готов говорить через джаббер.

коллега.. постучись ко мне плз)) я тут вчера сидел.. шаманил кое-с чем.. идея пока не паблик)) но кажется нашёл интересное применение криптокалькулятору от банковского счёта..))

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

основная проблема чипа в том, что считывая инфу с чипа вы имеете дело с _результатом_ работы программы чипа.

логика подделки чипа будет простой - эмулятор работы чипа, наебка банкомата на софтверном уровне. на уровне общения банкомата с картой.

но не надо параноить. вся юса на магнитках. азия и арабские страны на магнитках еще долго будут. так что есть еще ягоды в ягодицах.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
основная проблема чипа в том, что считывая инфу с чипа вы имеете дело с _результатом_ работы программы чипа.

логика подделки чипа будет простой - эмулятор работы чипа, наебка банкомата на софтверном уровне. на уровне общения банкомата с картой.

но не надо параноить. вся юса на магнитках. азия и арабские страны на магнитках еще долго будут. так что есть еще ягоды в ягодицах.

и тут ты полностью прав.. уважаемый)) тем более - с освоением чипа и его эмуляции (а уже есть идеи).. подбор пина к картам.. когда его не получилось добыть сразу - намного упрощается.. этак до минут 10.. локальной работы компа.. без лазанья по инет-банкингам и прочим фраудным экстримным развлечениям))

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!


Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.


Войти сейчас