Как кредитные карты используют контрольную сумму

Обновлено: 28.04.2024

Здоровеньки булым, гарнiй
хлопец. Если ты часто себя спрашиваешь :" Ну че
за хрень, да где же эти кардеры берут номера
кредиток. %=( Значит, эта статья для тебя!

/orders
/Order
/Orders
/order
/config
/Admin_files
/mall_log_files
/PDG_Cart
PDG_Cart/order.log
PDG_Cart/shopper.conf
/pw
/store/customers
/store/temp_customers
/WebShop
/webshop
/WebShop/templates
/WebShop/logs

В директориях подобного рода содержатся файлы
типа:

orders.txt
order.txt
import.txt
checks.txt
order_log
order.log
orders.log
orders_log
log_order
log_orders
temp_order
temp_orders
order_temp
orders_temp
quikstore.cfg
quikstore.cgi
order_log_v12.dat
also order_log.dat
web_store.cgi
storemgr.pw
admin.pw
cc.txt
ck.log
shopper.conf
Так же нужно смотреть *.cfg, *.pw и *.olf файлы

Хех. вроде бы и всё, что нужно знать =). Ложишь
пальцы на клаву и нервно стучишь в поисковую
строку нечто на подобие "Index of /orders.log" и жмёшь
ENTER. Что дальше?! А дальше вам стоит просто
терпение и перебор нужных ссылок. а потом
проверка полученых кредиток =). Вот так вот плохие
люди (ака редиски =) имеют ваши креды.

Способ 3. С помощью 2
способа ты получишь минимум кред. Порносайт плох
тем, что вряд ли вам удастся создать что-то такое,
на что народ бы валом попёр, т.к. то, что можно было
придумать новаторское в этой области, давно
придумано, да и народу, который на порносайты за
деньги валит, сравнительно немного. и ламерков
(юзеров, программеров, хакеров, системных
администраторов - подчеркнуть нужное), которые
пытаются денег нагрести, полно, а после
публикации в "Хакере" количество оных, я
думаю, увеличится ещё раз в 5-10 раз =)))).
Чтобы выделиться на общем фоне, надо прибегать
к-чёрт-знает-каким-напрягам, да и вообще подумай:
надо ли тебе это.

Есть идея получше: открыть свой
е-магазин =))))))))), без всяких шуток!=).
Итак, фишка заключается в том, что можно
предложить народу любые продукты (только не
варенье и не тампаксы =)))), по ценам ниже рыночных
=). Как это сделать? Да очень просто: мы только
предлагаем, но ничего не продаём. Чувствую, что
окончательно тебя запутал =). Давайте приведу
пример: создаём сайт по продаже
супер-пупер-мега-дрюпер-компов по цене в 400
вечнозеленых =)(ну, ест-но, покупка по кредам, и
тэдэ, и тэпэ), после некой рекламы про
супер-низкие цены к нам приходит человек, и, видя
данную картину, естественно желает прикупить
парочку данных компов. Далее, он покупает их по
креде, которая и приходит к нам на е-маил, а через
дня два ему посылается письмецо с содержанием:
Компания супермега компы Inc. крупно извиняется,
но не может выполнить данную услугу в данный
момент, или что-то в этом духе. И вот у вас креда в
руках, творите что хотите, но особенно не
зарывайтесь=).
Так же можно продавать буржуям продукты питания,
так как там, где солнце светит наглой мордой,
покупки через интернет делают в основном
домохозяйки.

Способ 5. В больших супермаркетах
принимают к оплате кредитные карты. После того,
как покупатель прошел через кассу у него на руках
остается чек и "Слип". Так вот многие люди
просто выкидывают его в урну. Стоит поошиваться
около мусорки и у тебя на руках остается почти
настоящая кредитка. Кстати подходят только
карточки Visa, MasterCard и AmericanExpress(aka Amex). (это обычно
пишется на слипе.)

Способ 6. Попросить у друга-официанта
незаметно переписать номер кредитки и
дать/продать тебе.

Способ 7. Взломать какой-нибудь web-shop и
скоприовать файл или лог с кредиками. Способ
имеет большой недостаток. Необходимо быть крутым
хакером, а этим наделены немногие.

Способ 8. Купить кредитку в банке (как
сам понимаешь, отпадает в связи с тематикой
данной статьи 🙁 )

Ну все, если ты знаешь еще какие-нибудь способы,
пиши мне на мэйлбокс.

Примечание: только не надо меня бомбить письмами
с просьбой дать реальных номеров кредитных карт,
все равно не дам, да и не знаю я что такое кредитки
и вообще я боюсь компьютеров:))

Банковские карты — популярный продукт у любого банка. Они имеют широкий функционал: на них можно хранить и переводить денежные средства, совершать различные платежи в магазинах и на интернет-сайтах. Поэтому интерес мошенников зачастую направлен именно на этот банковский продукт.

Банки постоянно разрабатывают и совершенствуют способы защиты средств на счетах. К ним относится и установление контрольной суммы.

Что такое контрольная сумма банковской карты

В настоящее время каждый банк серьезно работает над вопросами безопасности и защиты информации о своих клиентах в целях противодействия мошенничеству. К способам защиты денежных средств относят пин-код, код безопасности и подтверждение операций посредством одноразового СМС-кода.

Контрольная сумма — это дополнительный способ защиты. Она представляет собой определенный резерв денежных средств, которые размещаются на счете клиента во время регистрации карты в банке. Как правило, это 1-10 рублей. Если пользователь не пройдет процесс верификации, то деньги сгорят.

Предназначение данной меры состоит в том, чтобы пользователь прошел авторизацию. С ее помощью банк понимает, что именно держатель карточки пытается получить доступ к средствам.

Благодаря авторизации снижается риск мошенничества и гарантируется защита денежных средств. Владелец не сможет воспользоваться деньгами, пока не авторизуется, а мошенники тем более не смогут этого сделать.

При осуществлении авторизации клиент подтверждает свою личность, что именно он является владельцем карты, а также подтверждаются данные, которые указывались при подаче заявки в банк, например, номер телефона.

Внимание! Сведения о зарезервированных средствах являются конфиденциальными, передача информации о них третьим лицам запрещена.

Способы получения информации

Как узнать контрольную сумму банковской карты?

Вот несколько способов, которыми может воспользоваться клиент:

• через банкомат. В большинстве банкоматов есть необходимая функция. При ее выборе печатается чек, где указана нужная информация;
• звонок в контактный центр банка. Нужно позвонить на горячую линию банка (обязательно с телефона, указанного в анкете при оформлении карты) и ответить оператору на несколько вопросов. В ответ будет предоставлена запрашиваемая информация;
• посредством СМС. Это безопасный и быстрый способ. Главное, чтобы у клиента была подключена услуга СМС-оповещений;
• онлайн-банкинг. Если у клиента имеется доступ в интернет-банк, то там можно посмотреть всю информацию о платежах и контрольной сумме;
• обратиться в офис банка. Для получения информации о платежах потребуется предоставить операционисту свой паспорт и в некоторых случаях номер карточки.

Способов для получения информации много — собственник карты может выбрать любой удобный для него вариант.

Где применяется

Когда клиент осуществляет оплату через интернет или совершает другие операции, то требуется вводить номер карты, дату окончания срока ее действия и код CVV. Контрольная же сумма проверяется банком, чтобы убедиться, что разные операции совершаются истинным владельцем карты.

Неверная контрольная сумма карты — что это

Причин может быть несколько:

Если пользователь запрашивал информацию в офисе банка или на горячей линии, то, возможно, ошибку допустил специалист банка.

Периодически клиенты “Сбербанка” сталкиваются с аналогичной проблемой в интернет-банке. Что означает неверная контрольная сумма номера карты в “Сбербанк Онлайн”? В этом случае причины аналогичны описанным ранее.

Так как основная задача данной меры безопасности — убедиться, что денежными средствами пытается воспользоваться именно владелец “пластика”, то при возникновении ошибки система примет это за мошенничество. После этого картой будет невозможно воспользоваться. Поэтому при вводе контрольной суммы будьте внимательны и четко следуйте инструкции конкретного банка.

Заключение

Информация о контрольной сумме имеется у каждой банковской карты. Этот показатель — одна из многочисленных мер безопасности и гарант того, что денежными средствами не воспользуются мошенники. Поэтому так важно знать контрольную сумму своей карты и никому ее не сообщать.

Первая цифра номера — идентификатор платежной системы. Например, MasterCard обозначается цифрой 5, Visa — 4, Maestro — 3, 5, 6, American Express — 3, МИР — 2, а China Union Pay — 6.

По следующим 5 цифрам вы можете узнать, что это за карта и откуда она: в них зашифрованы название банка, страна, тип карты (кредитная, дебетовая, предоплаченная) и её категория (Maestro, Classic, Gold, Platinum, World).

Все вместе первые 6 цифр — это БИН, или банковский идентификационный номер. У одного эмитента — один и тот же БИН для всех карт одного типа и категории.

Например, у кредитных Mastercard Standard Сбербанка БИН 546901. У пластиковых карт Яндекс.Денег — 510621, у виртуальных — 559900.

Следующие за БИНом цифры, кроме самой последней — это идентификатор карты. В нём банк кодирует условия обслуживания карты, номер клиента и какие-то специфические детали (например, номер телефона у МТС Банка, или филиал выдачи). Этот номер уникален, поэтому часть его цифр всегда закрывают звёздочками. Длина номера карты может различаться (обычно от 13 до 19 цифр) в зависимости от того, сколько информации в него зашито. На Я.Карде, как и на большинстве банковских карт, 16 цифр.

Последняя цифра номера карты называется контрольной. Она высчитывается из предыдущих цифр по алгоритму Луна (по имени его изобретателя, Ганса Луна). В сервисах, использующих номер карты, контрольная цифра позволяет убедиться, что номер введён верно — и такая карта существует. Если вы ошиблись в паре цифр, деньги не уйдут в никуда. Кроме банковских карт, алгоритм Луна используют в кодах социального страхования, серийных номерах SIM-карт, некоторых дисконтных картах и даже специальных номерах железнодорожных вагонов РЖД.

Схема, по которой формируется номер карты, одинакова для всех платёжных систем. Двух карт с одинаковыми номерами не существует. Когда карта Яндекс.Денег заканчивается, вы получаете новую с новым уникальным номером. Старый номер отправляется на заслуженный отдых и больше не используется для выпуска новых карт.

Банковские платежные карты самый востребованный продукт среди клиентов. Те, кто в последнее время оформлял данный продукт, наверняка, обратили внимание, что банк, с целью повышения уровня безопасности, выдает неактивную карточку, активировать которую должен сам пользователь, при этом одним из требований является привязка пластика номеру телефона владельца. Но на этапе авторизации он может столкнуться с такой проблемой, как неверная контрольная сумма карты, рассмотрим, что это такое и как в данной ситуации действовать.

Что такое контрольная сумма

Несмотря на то что карта – это довольно надежный способ хранения личных и заемных средств, обязательно найдутся злоумышленники, которые разработают схему завладения чужими деньгами, по крайней мере, было так еще с момента появления первых денежных знаков. Кредитно-финансовые организации применяют всевозможные инструменты для повышения уровня безопасности банковских карт, к которым относится ПИН-код, код безопасности, подтверждение транзакций одноразовым паролем из СМС, и другие. При этом термин «контрольная сумма» знаком не всем пользователям.

Что такое контрольная сумма банковской карты? Это сумм средств, которая резервируется на счете при регистрации пластика в системе банка, и произвольно сгорает, в случае если пользователь не прошел процедуру авторизации. Значение контрольной суммы колеблется от 1.00 до 10.00 рублей.

Несколько слов о том, заем нужна данная мера. Сама процедура авторизации необходима банку, чтобы убедиться, что пользователем пластика является именно клиент, который ее оформлял, а также что он указал правильный номер мобильного телефона. Это действительно сокращает риск мошенничества. А сам пользователь не может совершать какие-либо платежные операции до того момента пока не авторизуется.

Как узнать контрольную сумму

У каждого потенциального владельца наверняка в первую очередь заинтересует вопрос, как узнать контрольную сумму банковской карты. На самом деле данный процесс довольно простой, и пользователь сам имеет право обозначить данную сумму. Кстати, стоит отметить, что эта сумма резервируется из фонда банковской организации и возвращается обратно после авторизации.

Как узнать контрольную сумму:

• воспользоваться устройством самообслуживания, каждый банкомат должен иметь такую функцию;
  по номеру горячей линии, вам достаточно назвать оператору свои сведения и реквизиты счета, также могут потребоваться паспортные данные или, например, дату выдачи карты;
• через дистанционную систему СМС-обслуживания, вам достаточно запросить мини-отчет о последних операциях;
• через дистанционный интернет-сервис, если вы пользуетесь интернет-банкингом, то достаточно
• зайти в свой профиль и посмотреть историю последних операций;
• в офисе банка с паспортом и картой.

Неверная контрольная сумма

Каждый пользователь может столкнуться с такой проблемой, как неверная контрольная сумма номера карты. Что это значит? Есть несколько причин:

• ее вам неправильно озвучил оператор call-центра или сотрудник банка;
• отправляя СМС, вы ввели лишние символы, поэтому система не приняла ее;
• вы допустили ошибку самостоятельно.

Итак, основная цель данной меры безопасности – убедиться, что воспользоваться пластиком является именно его владелец, а если он ввел значение неправильно, значит, система сочтет тот факт, что это мошенническое действие. Соответственно, пользователь не может воспользоваться данной картой.

Таким образом, пользователю нужно со всей серьезностью отнестись к вводу конфиденциальной информации, в противном случае его счет не будет обслуживаться вовсе. Но от ошибок никто не застрахован, поэтому если неприятность все же случилась, то обязательно лично обратитесь в отделение банка с паспортом.

В тво­ем кошель­ке навер­няка есть нес­коль­ко карт меж­дународ­ных пла­теж­ных сис­тем, таких как Visa или MasterCard. Задумы­вал­ся ли ты, какие алго­рит­мы исполь­зуют­ся в этих кар­тах? Нас­коль­ко пла­тежи безопас­ны? Мы рас­пла­чива­емся кар­тами каж­дый день, но дос­товер­но зна­ем о них край­не мало. Еще боль­ше мифов соп­ровож­дает кар­точные пла­тежи. Что­бы понять, какие есть спо­собы похитить день­ги с кар­ты, нуж­но сна­чала уяс­нить, как про­исхо­дит опла­та. Давай раз­бирать­ся вмес­те.

Номер карты

Оп­лата по номеру кар­ты исто­ричес­ки — самая стар­шая. Рань­ше на кар­тах не было ничего, кро­ме это­го номера. Номер был «эмбосси­рован» — выдав­лен на кар­те. При опла­те кар­та «про­каты­валась» на спе­циаль­ном устрой­стве, что поз­воляло про­дав­цу быс­тро внес­ти номер в древ­нюю замену базы дан­ных, то есть отпе­чатать на лис­те бумаги.

В кон­це рабоче­го дня или недели эти дан­ные собира­лись и переда­вались в банк‑эквай­ер. Далее банк отправ­лял зап­росы на спи­сание этих денег у вла­дель­цев карт через бан­ки‑эми­тен­ты. Это было так дав­но, что нем­ного людей зна­ют, отку­да появил­ся трех­знач­ный код верифи­кации пла­тежей, записан­ный на обратной сто­роне кар­ты, так называ­емый CVV2/CVC2. До нас дош­ла информа­ция, что этот код исполь­зовал­ся ско­рее как кон­троль­ная сум­ма, нуж­ная, что­бы вла­делец кар­ты не ошиб­ся и кор­рек­тно ввел всю информа­цию при опла­те. Похоже на прав­ду, если учесть, нас­коль­ко корот­кий этот код.

Сей­час физичес­кая кар­та может и вов­се не учас­тво­вать в опла­те. Это называ­ется card not present и чаще все­го исполь­зует­ся при опла­те в интерне­те. Если номер кар­ты вво­дит­ся при опла­те в пла­теж­ном тер­минале, а это харак­терно для оте­лей, биз­несов, ведущих дела по телефо­ну, а так­же для боль­шинс­тва тер­миналов в США, такой под­тип пла­тежей называ­ется PAN Key Entry.

Мно­гие до сих пор счи­тают, что поле Cardholder name с лицевой сто­роны кар­ты нуж­но вво­дить кор­рек­тно и что оно про­веря­ется. Это не так — ни один банк не про­веря­ет это поле.

Магнитная полоса

Опе­рации с маг­нитной полосой — один из самых прос­тых методов. Он ассо­циирует­ся у людей с опре­делен­ными типами мошен­ничес­тва. Ским­минг в бан­коматах, двой­ные сня­тия в рес­торанах — все это воз­можно бла­года­ря недос­таткам маг­нитной полосы. Маг­нитную полосу лег­ко ско­пиро­вать — для это­го необ­ходим толь­ко спе­циаль­ный ридер/энко­дер маг­нитной полосы. Даль­ше кло­ниро­ван­ной маг­нитной полосы дос­таточ­но для того, что­бы рас­пла­чивать­ся в боль­шинс­тве супер­марке­тов мира. Для верифи­кации вла­дель­ца кар­ты пред­полага­лось исполь­зовать под­пись на чеке, которую кас­сир дол­жен све­рить с под­писью на обратной сто­роне кар­ты.

На кар­тинке выше ты видишь при­мер записан­ной на кар­ту информа­ции. Чер­ные полос­ки — это еди­ницы, белые — нули. Сущес­тву­ют open source решения для декоди­рова­ния этих дан­ных — к при­меру, magstripe.

На самом деле по изоб­ражению вид­но, что на кар­те не одна, а целых две маг­нитные полосы раз­ной плот­ности (Track1 и Track2). Какие дан­ные содер­жатся на маг­нитной полосе?

Чип/EMV

На сме­ну маг­нитной полосе в девянос­тых приш­ли смарт‑кар­ты, для популя­риза­ции которых соз­дали кон­сорци­ум EMV (Europay, MasterCard, Visa). Прод­вига­емая кон­сорци­умом идея была прос­та: исполь­зуя осо­бен­ности смарт‑карт, сим­метрич­ную крип­тогра­фию и крип­тогра­фию с откры­тым клю­чом, решить все проб­лемы, свя­зан­ные с маг­нитной полосой. Опе­рации со смарт‑кар­той обес­печива­ют три сте­пени защиты:

1. Аутен­тифика­ция кар­ты. Про­вер­ка пла­теж­ным тер­миналом того, что кар­та под­линная и дей­стви­тель­но была выпуще­на бан­ком N, а не была соз­дана зло­умыш­ленни­ками в домаш­них усло­виях.
2. Ве­рифи­кация пла­тель­щика. Про­вер­ка того, что эта кар­та при­над­лежит покупа­телю, сто­яще­му перед пла­теж­ным тер­миналом.
3. Ав­ториза­ция тран­закции. От кар­ты до бан­ка‑эми­тен­та путь дол­гий. Банк дол­жен убе­дить­ся, что дан­ные опе­рации ниг­де не были иска­жены зло­умыш­ленни­ками. Что сум­ма оста­лась неиз­менной, что дата опе­рации кор­рек­тная, что эта опе­рация уни­каль­на, а не была уже про­веде­на в прош­лом месяце.

Да­вай прой­дем­ся по исполь­зуемым методам.

Аутентификация карты

Для аутен­тифика­ции кар­ты исполь­зует­ся крип­тогра­фия с откры­тым клю­чом по про­токо­лу RSA. Текущие минималь­ные тре­бова­ния по дли­не клю­ча — 1024 бита. Огра­ничен­ное чис­ло цен­тров сер­тифика­ции выпус­кают клю­чи для бан­ков, а бан­ки их уже при­вязы­вают к самим кар­там. При­ват­ный ключ хра­нит­ся на самой смарт‑кар­те в области, недос­тупной для чте­ния. Кор­невые сер­тифика­ты уста­нав­лива­ются на тер­минал при его нас­трой­ке. Во вре­мя тран­закции кар­та пре­дос­тавля­ет пуб­личные клю­чи пла­теж­ному тер­миналу вмес­те с информа­цией, зашиф­рован­ной при­ват­ным клю­чом в режиме циф­ровой под­писи. Если пуб­личный ключ доверен­ный и информа­ция, передан­ная кар­той, успешно рас­шифро­выва­ется этим клю­чом, то тер­минал счи­тает кар­ту аутен­тичной, выпущен­ной имен­но тем бан­ком, который под­писал при­ват­ный ключ, выдан­ный цен­тром сер­тифика­ции.

Все­го сущес­тву­ет три режима аутен­тифика­ции кар­ты:

• SDA — static data authentication;
• DDA — dynamic data authentication;
• CDA — combined dynamic data authentication.

В пер­вом методе исполь­зовалось толь­ко одно ста­тичес­кое поле, хра­няще­еся на кар­те. Оно под­писыва­лось при­ват­ным клю­чом и про­веря­лось тер­миналом. Это было EMV-поле AIP (application interchange profile). Но кон­сорци­ум EMV быс­тро понял, что для популяр­ных в то вре­мя офлай­новых тер­миналов (они не выходи­ли в онлайн для свер­ки крип­тограм­мы) это­го было явно недос­таточ­но — любой мог кло­ниро­вать пуб­личный ключ и под­писан­ную ста­тичес­кую стро­ку, что­бы соз­дать под­делку.

Сле­дующий метод полагал­ся на динами­чес­кие дан­ные, при­ходя­щие от тер­минала. Тер­минал генери­рует поле UN — Unique Number, которое под­писыва­ется при­ват­ным клю­чом кар­ты. Энтро­пия это­го поля — 2 32 , чего дос­таточ­но для защиты от пер­вой ата­ки.

Од­нако в 2009 году иссле­дова­тели из Кем­бридж­ско­го уни­вер­ситета пред­ста­вили работу, опи­сыва­ющую так называ­емую ата­ку PIN OK (PDF). Спе­циаль­ное устрой­ство, рас­полага­ющееся меж­ду кар­той и тер­миналом, совер­шало ата­ку «человек посере­дине» и под­меняло одно из полей, которые отправ­ляла кар­та. Эту под­мену нель­зя было обна­ружить на тер­минале с помощью опи­сан­ных выше методов. Для защиты от таких атак кон­сорци­ум EMV еще до наход­ки иссле­дова­телей пре­дус­мотрел новый механизм защиты — схе­му CDA. Во вре­мя нее тер­минал может про­верить целос­тность боль­шинс­тва полей, которые переда­ет кар­та и которые учас­тву­ют в фазе под наз­вани­ем «риск‑менед­жмент».

Оф­лай­новая аутен­тифика­ция соз­давалась в пер­вую оче­редь для защиты офлай­новых пла­тежей, ког­да тер­минал не под­клю­чен к интерне­ту пос­тоян­но. Имен­но поэто­му, если резуль­тат работы режимов DDA или CDA не закан­чива­ется успе­хом, в сов­ремен­ных тер­миналах, под­клю­чен­ных к интерне­ту, это не при­ведет к отка­зу тран­закции в 99% слу­чаев, так как банк‑эми­тент авто­ризу­ет ее с помощью крип­тограм­мы, как опи­сано ниже. Одна­ко некото­рые пла­теж­ные сис­темы рекомен­дуют обра­щать вни­мание на пос­тоян­ные неус­пешные аутен­тифика­ции, осо­бен­но если они про­исхо­дят в раз­ных тер­миналах.

Верификация плательщика

Есть два основных спо­соба верифи­кация пла­тель­щика: ПИН‑код и под­пись. На самом деле их нем­ного боль­ше — ПИН‑код может про­верять­ся в офлай­не (на самой кар­те) и онлайн. Он может быть зашиф­рован (с помощью сим­метрич­ного клю­ча 3DES) или переда­вать­ся в откры­том виде.

Еще воз­можен спо­соб верифи­кации NoCVM — то есть отсутс­твие верифи­кации. Хороший при­мер таких опе­раций — те, которые не пре­выша­ют лимиты 3000 руб­лей и не тре­буют вво­да ПИН‑кода. Их иног­да называ­ют Tap & Go.

Дру­гой спо­соб, который в зависи­мос­ти от пла­теж­ной сис­темы называ­ется CDCVM или On-Device CVM, дела­ет воз­можной верифи­кацию на мобиль­ном телефо­не вла­дель­ца кар­ты. Как ты уже догадал­ся, он исполь­зует­ся в Google Pay и Apple Pay.

Авторизация транзакции

Для авто­риза­ции тран­закции смарт‑кар­ты соз­дают пла­теж­ную крип­тограм­му. Кар­та отправ­ляет тер­миналу спи­сок полей — их набор зависит от вер­сии крип­тограм­мы и нас­тро­ек кар­ты. Как пра­вило, это сум­ма опе­рации, валюта, дата и дру­гие важ­ные для эта­па риск‑менед­жмен­та нас­трой­ки тер­минала. Далее кар­та допол­няет эти поля сво­ими внут­ренни­ми полями: счет­чик опе­раций, вер­сия крип­тограм­мы.

По­лучен­ная стро­ка шиф­рует­ся с помощью записан­ного на кар­те сек­ретно­го клю­ча 3DES в режиме циф­ровой под­писи и переда­ется бан­ку вмес­те со всей под­писан­ной информа­цией. Банк‑эми­тент исполь­зует аппа­рат­ный модуль безопас­ности (hardware security module, HSM), на котором в защищен­ной от чте­ния области памяти содер­жится копия сим­метрич­ного клю­ча кар­ты.

HSM так­же соз­дает циф­ровую под­пись по дан­ным от пла­теж­ного тер­минала. Если он получит такую же крип­тограм­му, то тран­закция будет счи­тать­ся авто­ризо­ван­ной. Это зна­чит, что ник­то не под­менил дан­ные опе­рации во вре­мя их переда­чи от кар­ты до бан­ка эми­тен­та. На этом же эта­пе рас­шифро­выва­ется и све­ряет­ся ПИН‑код кар­ты, в слу­чае если исполь­зует­ся онлайн‑свер­ка ПИН.

Об­рати вни­мание, что все эти три фун­кции работа­ют хорошо толь­ко вмес­те. Что­бы кор­рек­тно работа­ла верифи­кация, она дол­жна кон­тро­лиро­вать­ся с помощью аутен­тифика­ции. Если нет авто­риза­ции — вся тран­закция ста­новит­ся высоко­рис­ковой, и так далее.

Бесконтактные платежи

Бес­контак­тные пла­тежи ста­ли набирать популяр­ность с середи­ны 2010-х годов. Бан­ки и пла­теж­ные сис­темы прод­вига­ют их как быс­трый и удоб­ный спо­соб опла­ты. Оно и понят­но — чем боль­ше народ пла­тит кар­тами, тем боль­ше мож­но зарабо­тать на комис­сиях! С раз­вити­ем тех­нологий нуж­но раз­вивать и безопас­ность, но это далеко не всег­да так. И бес­контак­тные пла­тежи как раз при­мер из неудач­ных.

Ког­да соз­давались бес­контак­тные пла­тежи, кар­ты с чипом в США еще не были осо­бен­но рас­простра­нены, поэто­му Visa и MasterCard пре­дус­мотре­ли про­межу­точ­ный шаг, ког­да новыми бес­контак­тны­ми кар­тами мож­но пла­тить на ста­рых несов­ремен­ных пла­теж­ных тер­миналах, которые не под­держи­вают сов­ремен­ную крип­тогра­фию. Этот шаг называ­ется Legacy modes — режимы, сте­пень безопас­ности которых зна­читель­но ниже, чем у пла­тежей EMV и сов­ремен­ных форм бес­контак­тных пла­тежей.

Legacy modes по сте­пени защиты боль­ше напоми­нают опе­рации с маг­нитной полосой, толь­ко про­водят­ся через NFC. Нес­мотря на то что эти режимы пред­полага­лось исполь­зовать лишь в нес­коль­ких стра­нах, а через какое‑то вре­мя и вов­се отме­нить, мы в 2020 году встре­чаем их пов­семес­тно — в том чис­ле в Рос­сии, где даже маг­нитная полоса зап­рещена.

От­дель­ная проб­лема — это то, как пла­теж­ные сис­темы подош­ли к реали­зации бес­контак­тных пла­тежей. Вмес­то того что­бы при­думать что‑то новое, в ком­пани­ях Visa и MasterCard решили и здесь исполь­зовать EMV, но каж­дая сде­лала это по‑сво­ему, так что де‑юре они перес­тали быть частью стан­дарта EMV.

Что из это­го сле­дует:

• Во‑пер­вых, механиз­мы защиты и их проб­лемы, опи­сан­ные в начале 2000-х годов, сох­ранились. В боль­шинс­тве карт даже крип­тогра­фичес­кие клю­чи, исполь­зуемые для крип­тограмм EMV и NFC, одни и те же.
• Во‑вто­рых, ассо­циация EMV не мог­ла боль­ше вли­ять на то, как будет пос­тро­ен пла­теж­ный про­цесс.

В ком­пании Visa были недоволь­ны слиш­ком дол­гим вре­менем про­веде­ния пла­тежа. Ког­да для это­го исполь­зовал­ся чип, проб­лем не было — кар­та встав­лялась в тер­минал. Одна­ко в Visa пос­читали, что дер­жать кар­ту у тер­минала, ожи­дая, пока прой­дут все шаги EMV, — это не очень‑то удоб­но. Этап, который вызывал основную задер­жку, — это офлай­новая аутен­тифика­ция кар­ты.

Од­новре­мен­но с этим в MasterCard при­няли диамет­раль­но про­тиво­полож­ное решение — приз­нали, что офлай­новая аутен­тифика­ция важ­на и для тех карт, которые под­держи­вают наибо­лее безопас­ную схе­му аутен­тифика­ции CDA, и сде­лали ее обя­затель­ной. В спе­цифи­кации EMV, если вза­имо­дей­ствие по схе­ме CDA не закан­чива­ется успешно, тер­минал все еще может отпра­вить крип­тограм­му для онлай­новой авто­риза­ции. Тог­да как для бес­контак­тных пла­тежей MasterCard неудач­ная аутен­тифика­ция CDA всег­да ведет к отме­не пла­тежа. Раз­ница во вре­мени опе­раций нез­начитель­ная, одна­ко это оста­ется реша­ющим фак­тором для Visa.

Выводы

Те­перь, ког­да ты зна­ешь, как работа­ют элек­трон­ные и в том чис­ле бес­контак­тные пла­тежи, ты готов к раз­говору об уяз­вимос­тях в этих схе­мах. Это мы обсу­дим в сле­дующих стать­ях, а заод­но раз­берем самые гром­кие кей­сы мошен­ничес­тва.

Читайте также:

  
• Как рассчитать аннуитетный платеж по кредиту в excel
  
• При уплате ссудного процента по окончании кредитной сделки заемщик передает кредитору
  
• Как взять семейную ипотеку на строительство дома
  
• Документы необходимые для получения кредита юридическим лицом
  
• Можно ли поставить машину на учет если она в залоге у банка под кредит