> Сложно представить, как кто-то допустит, чтобы по его карманам водили сканером.
Этому зам.руководителя стоило бы разок отпустить водителя и проехать на метро, а не в служебном авто. Сегодня даже не в час пик ехал, начало 6-го было, и то толчея, запросто мимо чужого кармана можно незаметно проехать.
особенно в москве с 4 дня и до вечера на пересадочных станциях кольцевой, там жопа полная. как селедки в бочке набиваются и можно сканировать десятки тысяч людей в день.
Интересно как это происходит. Ведь протокол обмена предусматривает аутентификацию карты по уже защищенному шифрованием каналу связи. А ключ шифрования сервер выдает для каждого сеанса связи новый. Это технология с так называемым A-key challenge. И ключ к шифрованному каналу каждый раз уникальный, основанный на A-key и идентификационных данных оборудования карты. И уже поверх этого еще логин с паролем доступа к банковской системе.
Правда после того как нашли дыру в Open SSL я уже ничему не удивлюсь. Вед смартфон может прикуинуться серверов для бесконтактной карты и сам выдать ему A-key последовательность. А по отклику определить идентификационные данные оборудования карты, которые потом могут быть использованы уже для другого сеанса доступа смартфона к настоящему серверу. Вуаля! )
Похоже на проблему "курицы и яйца" в шифровании — для того, чтобы понять с каким процессингом карт должен соединяться терминал — нужно у карты, как минимум, спросить часть номера. При этом первая фаза взаимодействия подразумевает некий мастер алгоритм доступный для всех терминалов (в режиме оффлайн в том числе) и подходящий для всех карт.
То прочитать Track 2 получится, а туда как раз входит полный номер карты и дата expires.
Другой вопрос в том, что ccv3 считается самой картой на основе ATC + идентификатора терминала. Другими словами для другого терминала это будет другое значение. А так как идентификатор терминала привяан к юрлицу, кому выдан — то всегда можно найти с чьим идентификатором терминала ходили хакеры и обналичить эту карту тоже можно только через этот терминал. Да и не факт что всем картам этот идентификатор возвращают один и тот-же.
Кроме того, значение ATC контролирует банк эмитент и он может заметить (после того как вы воткнете карту при следующей попытке оплатить что-либо) что карту уже считывали раз, но факта оплаты почему-то небыло.
Итого — считать номер карты, возможно, получится. Воспользоваться деньгами с нее врядли.
Но сам факт, что можно считать номер — уже не приятен.
Ленивый троль, пожалуйста, почтиайте спецификацию на которую я ссылаюсь. А именно страничку 19 и 20. Да поможет Вам гугл транслейт понять смысл пункта: 3.3.2 Data Elements и оценить смысл картинки со страницы 20.
Я не отрицаю, что написал предыдущий ответ до того как дочитал до страницы, где описывается вычисление UN и дополнительные проверки, связанные с ATC. Но это только подтверждает все ранее предложенные утверждения.
Не сильно понятно удобство бесконтактнобеспиновых платежей, а опасность очевидна.
Если не волнует потеря нескольких тысяч рублей, пока успеете заблокировать карту — пользуйтесь такой картой в свое удовольствие. Потом ещё будет геморрой с разблокировкой карты...
не правда в пятерочке и щас до 1000 без пина карта с чипом (и инет покупки и за границей платил я к тому что карта нормальная не убогий сбер электрон какой нить )
Комментарии
Этому зам.руководителя стоило бы разок отпустить водителя и проехать на метро, а не в служебном авто. Сегодня даже не в час пик ехал, начало 6-го было, и то толчея, запросто мимо чужого кармана можно незаметно проехать.
Через кольцо специально не поехал, что бы в переходах не толкаться.
Правда после того как нашли дыру в Open SSL я уже ничему не удивлюсь. Вед смартфон может прикуинуться серверов для бесконтактной карты и сам выдать ему A-key последовательность. А по отклику определить идентификационные данные оборудования карты, которые потом могут быть использованы уже для другого сеанса доступа смартфона к настоящему серверу. Вуаля! )
Если я правильно понимаю sequence (стр 20):
data.cardzone.cz
То прочитать Track 2 получится, а туда как раз входит полный номер карты и дата expires.
Другой вопрос в том, что ccv3 считается самой картой на основе ATC + идентификатора терминала. Другими словами для другого терминала это будет другое значение. А так как идентификатор терминала привяан к юрлицу, кому выдан — то всегда можно найти с чьим идентификатором терминала ходили хакеры и обналичить эту карту тоже можно только через этот терминал. Да и не факт что всем картам этот идентификатор возвращают один и тот-же.
Кроме того, значение ATC контролирует банк эмитент и он может заметить (после того как вы воткнете карту при следующей попытке оплатить что-либо) что карту уже считывали раз, но факта оплаты почему-то небыло.
Итого — считать номер карты, возможно, получится. Воспользоваться деньгами с нее врядли.
Но сам факт, что можно считать номер — уже не приятен.
Магнитная полоса уже практически полностью ушла в прошлое.
На чипе никаких track2 нет.
Я не отрицаю, что написал предыдущий ответ до того как дочитал до страницы, где описывается вычисление UN и дополнительные проверки, связанные с ATC. Но это только подтверждает все ранее предложенные утверждения.
Впереди планеты усей !
зайди в кассу, получи пару шекелей и чашку супа
" Не прижимай меня к берёзе и не целуй меня в засос,
У меня ведь xiborg и хронический понос!"
и шапочку из фольги, или друшлаг (если вы пастафарианец)
и как её землить?
Если не волнует потеря нескольких тысяч рублей, пока успеете заблокировать карту — пользуйтесь такой картой в свое удовольствие. Потом ещё будет геморрой с разблокировкой карты...
Это актуально как раз для мелких покупок, которые обычно проходят в очереди — фаст-фуд, транспорт и прочее.
я сначала даже и не понял, потом кассиршу порасспросил — это настраивается
в свойствах ПОС-терминала!