Авторизация  
BilliMorgan

Механизм работы чипованных карт.Вопросы.

В теме 5 сообщений

Рад приветствовать,уважаемые.

 

Интересуют некоторые вопросы по реалу.Пишу довольно муторно,но старички думаю что-то да поймут.На репу не смотрите,были косяки по своей же глупости,человек я адекватный.Буду ставить свечку за тех,кто даст хоть какую-нибудь инфу.Можно в лс,можно сделать что-то в виде поучающего топика(с инфой,которую не жалко выкинуть в паблик) и писать в комментах.

 

Стал копаться в структуре механизма карт с emv чипом,rfid и т.д. До этого вообще не сталкивался с подобным геммороем,откладывал на потом.В паблике ясен фаллос ничего не нашёл путного,повыдерал информацию из разных источников механизма работы emv+слухи о клоне pin and chip,получилась каша.По братски,помогите разобраться балбесу.

 

Вот список вопросов и мыслей,кому-то,возможно,будут полезны,кто-то сочтёт полным бредом,сильно не пинать.Я и сам не понимаю половины того,что говорю.Достоверной информации нет,а голая теория есть,поэтому пишу как думаю и представляю в своей голове.

 

1)Существует куева туча rfid и emv ридеров,но все они работают не портативно,нужно либо подключение к пк,либо к смартфону.Не смог я найти аналогов minidx* для emv или rfid.Может и не существует таких и при недостатке информации я туплю,так как процесс ридера магнитки и emv,логично,отличается.Остановился на magtek(2 в одном,ридер магнитки и emv) и некоторыми ридерами с alibaba,ebay и amazon(без явных торчащих впаянных проводов,в надежде,что может это именно то и этот кусок китайского помёта имеет встроенную память и сохраняет инфу с emv или rfid в самом устройстве без подтверждения).MagTek,по внешнему виду,старший брат minidx3,только с плюхой в виде emv chip card reader.Но опять же,не один из выбранных девайсов я не юзал и не знаю их работы,выглядит то похоже,но нигде нет пометки встроенной memory.Выступает,как я понял magtek,неким защищенным терминалом для проведения транзакций для компаний,но теоретически,если пошаманить,я думаю можно было сделать под свой лад.Так вот,к чему я.Кто-нибудь встречал портативные ридеры emv или rfid?со встроенной памятью,по типу работы как minidx34 и выше(В нашем случае сунул чипом,либо прислонил карту,он сохранил внутри устройства,позже подключил к пк,экспортнул инфу).Не берём в оборот Contactless Infusion X56(сниффер с rfid антены(15 карт в сек)),так как во-первых,я не встречал инфы от людей,что устройство действительно работает,к тому же,как пояснили разработчики,данный девайс копирует только номер карты и exp date вроде,к другим данным он не пробивается,хотя я так же не уверен,что вообще через любой rfid reader можно считать больше инфы,которая хранится на чипе,так как похоже,что rfid антена даёт доступ только к ограниченной инфе,которая необходима для бесконтактного платежа,а остальную инфу жёстко блокирует.

 

2)Читал,что после каждой новой транзы КХолдером,генерится новая инфа(относится к rfid).Т.е. после новой транзы кхолдером нельзя будет использовать данные для бесконтактного платежа,которые вы "честно"получили с rfid ранее.Правда ли это?Влияет ли это на данные в emv чипе для других операций?Если взять в оборот,что клон чипованной карты не миф и есть возможность перенести данные с чипа на чистую болванку(со встроенным чипом)(на алике их полно,и белых,и цветных),влияет ли новая транза кардхолдером на данные в самом emv чипе,допустим,для обналички в @tm,где @tm использует специальный ридер чипа и сверяет в зашифрованном виде вводимый пин на пинпаде с пином в чипе(опять же,читал об этом)+так же некоторую доп.инфу.Т.е. при новой транзе кх меняются ли данные в чипе,необходимые для снятия кэша через @tm или генерация новой инфы относится только к бесконтактным платежам?

 

3)Стандартный,глупый вопрос.Клон чипованной карты(именно для обнала) миф и я несу чушь или всё же есть надежда услышать от людей,которые делают своё дело в тишине,что это реально?Понимаю,что есть возможность налить чиповки через посы,искать @tm старого образца без чипридеров или дрочить шопы,но не верю,что никто не сообразил как копировать данные,которые необходимы для прохождения верификации у чип ридера в @tm,опять же,если я не несу херни,и данные постоянно не меняются.Так же понимаю,что если даже это реально,никто не выкинет это в паблик,да и не поделится с левым Васей.Поэтому здесь я могу предложить только одно,взаимный обмен плюхами и собственные рабочие и активные руки.По русски говоря,господа,ищу возможность влиться в компанию весёлых и находчивых работяг,которые знают своё дело,взамен готов делиться матом(d+p) с первых рук,возможно,поставить на поток реализацию мата полностью именно с вами и схватывать на лету новую инфу,оборудование есть.Надоело мотаться одному,как фекалий в прорубе.

 

4)Что по поводу readerwriter софта для emv,от частных программистов?Scam или всё же хоть как-то работает,опять же,если брать в оборот что клонирование реально?Находил различный платный софт,но так и не рискнул купить и опробовать.Судя по пунктам заполнения в самих прогах для записи на emv нужно только пол владельца,формат карты(JCOP и т.д.),тип карты(Master,Visa и т.д.),дата выпуска и дата окончания карты,ФИ,пин,track1&track2.Если дампы с пеньками,а другие в принципе не рассматриваются,то формат,тип карты и дату выпуска можно узнать по бину и чутка погуглив(чисто на примере даты выпуска у ру банков,сбер выпускает карты на 3 года,т.е. в дампе видишь exp date,вычитаешь 3 года,получаешь issue date),остальная инфа хранится в самом дампе(track's и т.д.).Следственно,для копирования через данные проги,можно чиповки проводить через тот же minidx,считывать инфу с магнитки,дальше чутка дошаманив и прогуглив получить полную инфу,нужную для софта,х*йнуть через mcr 200 на чистую чипованную болванку(через встроенный в mcr 200 райтерридер чиповок) и вуаля?Так чтоль?Не особо верится в такое чудо.Я как-то представляю инфу после рида emv чипа с карты в виде не*бовых метровых символов и райт такой же.Хотя,возможно,именно при записи через данные проги-это совсем другое и прога сама кодирует читабельные данные(пол владельца,формат карты,тип карты,дата выпуска и дата окончания карты,ФИ,пин,track1&track2) в набор символов и переносит на чип.Т.е. те кто скиммит только данные с emv чипа без магнитки,потом декодят и танцуют с бубном,чтобы получить читабельные данные?I'm right?Получается так,если брать в оборот,что прога работает,то никакие emv ридеры не нужны,а подойдут обычные миники или скиммеры для получения дампов с магнитки,просто потом нужно чуть эти данные доработать для софта?Или всё же история транз кх и прочее,хранящиеся в микропроцессоре чипа карты под видом хэша,играет самую важную роль и никакой бабломёт не пропустит голый чип записанный с помощью такого софта только с данными,которые я писал выше(фи,тип,exp) и нужно записывать именно оригинальным хэшом?

 

5)Вопрос по поводу китайских чипованных болванок,чисто с emv или rfid+emv.Даже два,по разным направлениям.

Если копировать чип анриал,зачем они пускают их в продажу?Очередной вброс для заработка,чтобы народ людской в попытках клона тщетно мог запарывать кучи материала,а они получать кэш?

Если копировать чип риал,для каких стран или тип карт он подходит?Всех?Ведь чип и в африке чип,микропроцессор это понятно,но чисто теоретически,если знать нужную информацию,посчитывать десятки разных типов карт,разных банков и т.д.,понять какую платформу каждый банк использует,какова структура в общем и в каком типе карт какие кишки,то картину в целом разглядеть можно?С другой стороны,если чип каждого банка индивидуален и китайский,универсальный,не подойдёт,возможно ли взять оригинал карту какого-либо банка с истекшим сроком(я знаю,что банк такие сметает в щепки(утилизирует) при замене,но всё же найти их довольно реально),либо взять действующую карту и перенести на неё дамп того же банка только другого кардхолдера,какова вероятность успеха при таком раскладе?

 

На этом думаю закончу,данная тема интересна,но информации по ней очень мало и многих интересуют данные вопросы,так же будет отлично,если ниже вы добавите свои вопросы,а добрые люди,при желании,попытаются ответить на них.

 

Пардон,если поломал вам мозг,надеюсь вы хотя бы посмеялись.

Поделиться сообщением


Ссылка на сообщение

При выполнении бесконтактного платежа по NFC используется токенизация. Если вкратце, то система токенизации заменяет номер кредитной карты на токен - номер похожий на номер карты, с совпадающими последними 4 цифрами. После этого токен посылается через POS в банк, который выдал эту карту для детокенизации. Сам по себе токен не может быть реверсирован без участия доверенного центра банка холдера.

Чем рассказывать - проще дать ссылку на документ со спецификацией. _https://www.emvco.com/emv-technologies/payment-tokenisation/

Клон чипованной карты ты не создашь - данные генерируются непосредственно в secure element карты и даже у HSM банка, выпустившего нет доступа к содержимому чипа. В банке есть грубо говоря публичный ключ, который используется для верификации подписи, поступающей от чипа в банк. По окончанию срока действия карты ключ просто удаляется.

Китайцы продают эти карты потому, что в принципе - это обычные смарт-карты, соответствующие определенным требованиям EMV альянса. В остальном же - это обычные смарткарты, которые используются хотя бы даже в системах контроля доступа, как клубные карты и тд.

Поделиться сообщением


Ссылка на сообщение
Originally Posted by Warszawa
При выполнении бесконтактного платежа по NFC используется токенизация. Если вкратце, то система токенизации заменяет номер кредитной карты на токен - номер похожий на номер карты, с совпадающими последними 4 цифрами. После этого токен посылается через POS в банк, который выдал эту карту для детокенизации. Сам по себе токен не может быть реверсирован без участия доверенного центра банка холдера.
Чем рассказывать - проще дать ссылку на документ со спецификацией. _https://www.emvco.com/emv-technologies/payment-tokenisation/
Клон чипованной карты ты не создашь - данные генерируются непосредственно в secure element карты и даже у HSM банка, выпустившего нет доступа к содержимому чипа. В банке есть грубо говоря публичный ключ, который используется для верификации подписи, поступающей от чипа в банк. По окончанию срока действия карты ключ просто удаляется.
Китайцы продают эти карты потому, что в принципе - это обычные смарт-карты, соответствующие определенным требованиям EMV альянса. В остальном же - это обычные смарткарты, которые используются хотя бы даже в системах контроля доступа, как клубные карты и тд.
Благодарю за новую информацию,положил в копилку.
На стороннем форуме рассказали про статичный хэш emv карты у некоторых эмитетов,который не меняется при новой транзакции.По вашим словам,даже у такого типа карт не имеет смысла пытаться считать данные,так как ридер не пробьёт чип?Если даже у банка нет доступа к данным.

Поделиться сообщением


Ссылка на сообщение

Конечно нет смысла пытаться считывать данные чипа - к данным Secure Element тупо нет доступа.

Поделиться сообщением


Ссылка на сообщение

ну а клубную чипованную или с чипом rfid клонировать можно? если да , то есть софт у кого софт для rfid?

Поделиться сообщением


Ссылка на сообщение

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация