Банкомат CVV1 + сервисный код, недостаток безопасности POS?

Question

Банкомат CVV1 + сервисный код, недостаток безопасности POS?

Я новичок в этой теме, и мне было очень интересно, как сейчас работает вся платежная система. Честно говоря, похоже, что они делают недостаточно, чтобы остановить мошенничество с кредитными картами.

Насколько я понимаю, каждая карта имеет интеллектуальный чип, который использует зашифрованные данные, чтобы преодолеть открытый текст Magstrip.

Проблема в том, что на каждой карте ВСЕ ЕЩЕ есть магнитная полоска на случай, если EMV не работает (продавец не хочет терять клиентов).

Когда POS не может прочитать чип, он вернется к магнитной полосе. Преступники клонируют дорожку 1//2 на карты Mag с пустым / нечитаемым чипом, это приведет к тому, что POS вернется к транзакции Magstripe... и весь EMV в этом случае не имеет значения.

Я подумал, что это чрезвычайно опасно, и пошел на произвол судьбы, чтобы проверить это на моей собственной карте (201 / Chip and Pin), и вот результат:

Я клонировал свою собственную CC (201 / чип) на пустую карту Magstripe и подошел к банкомату. После ввода ПИН-кода я получил экран вывода средств, нажал наименьшую сумму, после чего банкомат сказал: "Служба недоступна для этой карты".

Затем я провел небольшое исследование и нашел это:https://github.com/samyk/magspoof/pull/3

Я знаю, что при изменении служебного кода изменяется и CVV1(DES шифрование PAN, срок действия и служебный код = CVV1). Но я изменил его, чтобы посмотреть, что будет.

Это так странно, что клонированная карта моего собственного CC работала только на одной модели банкомата. Я даже попытался изменить CVV1 на случайное число, и он все еще работает на этом конкретном банкомате (мой банк даже не проверяет CVV1????)

Кто-нибудь знает, что происходит? Почему при изменении кода услуги он работает на 1 модели банкомата? Почему мой банк не проверяет значение CVV1?

Может кто-нибудь объяснить, почему моя собственная клонированная карта не работает при использовании 201 в качестве служебного кода? POS должен выполнить резервную транзакцию, поскольку он не может прочитать чип.

Это действительно сбивает с толку и в то же время пугает, как этот простой трюк (изменение 201 на 101) заставил POS продолжить транзакцию, а затем банк даже не проверил CVV1(я даже набрал 000, затем случайное число, и все равно он работает).

Должен ли я сообщать об этом в свой банк /POS-компанию?

-1

security credit-card emv credit-card-track-data magstripe-reader

Источник

user13708984 08 июн '20 в 23:21

1 ответ

Другие вопросы по тегам security credit-card emv credit-card-track-data magstripe-reader

user2251990 20 июн '20 в 22:44 2020-06-20 22:44 · Answer 1 · 2020-06-20 22:44

Магнитная полоса все еще находится на карте, поскольку миграция EMV не является 100% и, как ожидается, исчезнет. Однако существует концепция сдвига ответственности - сторона, использующая самые низкие технологии, должна принять на себя удар в случае мошенничества. Если эмитент полностью соответствует требованиям EMV, а эквайер - нет, то в случае возвратного платежа эквайер проигрывает, то же самое в другом случае.

Но случай, когда CVV не проверяется, выглядит немного странно, поскольку каждый банк будет выполнять проверку CVV.POS-компания ничего не может здесь сделать, поскольку у них нет возможности сказать, что CVV верен или нет, без CVK, который только с эмитентом. Вы обязательно можете сообщить об этом в банк.

Но убедитесь, что вы делаете это моделирование в реальных системах с осторожностью, так как вас могут посчитать мошенником из-за того, что вы сняли карту, даже если это ваша карта.