Как сделать дубликат карты
Перейти к содержимому

Как сделать дубликат карты

  • автор:

Как копируют банковские карты

Сергей Анашкевич

После вчерашней истории с кражей денег с моей карты Сбербанка путем клонирования карты, я решил вникнуть, как же это происходит.
И, честно говоря, был шокирован двумя вещами: что создать копию карты легко может даже школьник и что США просто райское место для мошенников, клонирующих банковские карты.
То, что вы прочтете в этом посте, многих их вас очень удивит.

Предупреждение: данный пост написан ИСКЛЮЧИТЕЛЬНО в ознакомительных целях и для предупреждения читательской аудитории о потенциальных опасностях при пользовании банковскими картами.
Копирования своих или чужих банковских карт является нарушением законом РФ и влечет за собой уголовную ответственность.
Не пытайтесь использовать информацию из этого поста для осуществления неправомерных действий по копированию и использованию банковских карт!

Вы знаете, что банковские карты — это перезаписываемый носитель малой ёмкости (около 2 кб)? Фактически, дискета. А скорее, аудиокассета! Если у вас есть старый кассетный магнитофон, включите его и проведите магнитной полосой кредитной карты по головке. Вы услышите звук: магнитофон считал номер счёта, имя владельца карты и дополнительную служебную информацию. Нет, конечно современные банковские карты немного сложнее, чем обычная магнитофонная лента, однако принцип действия идентичен. И как это часто бывает со многими техническими решениями, устаревшими, но принятыми и используемыми повсеместно … кредитные карты фактически не имеют какой-либо серьёзной защиты от копирования!
Их можно просто переписать, как в далекие 80-е мы переписывали Metallica или Ласковый Май с кассеты соседа по парте.
И именно этим занимаются множество мошенников по всему миру, считывая информацию с наших карт скиммерами, записывая затем карты-клоны и продавая их на гигантском черном рынке. К примеру, в Южной Америке на поток поставлено воровство данных с карт (в Бразилии уже даже не пытаются бороться с установкой скиммеров на банкоматы), а в США — легализация карт-клонов.
Что, как и почему, читайте под катом.

Как устроена банковская карта

В зависимости от банка и типа карты на ней может быть установлено 3 элемента: магнитная полоса на обратной строне карты, EMV-чип и RFID (чип и антенна для бесконтактного считывания карты, так называемый Pay Pass). Самая современная карта имеет все три элемента. Самая незащищенная — та, у которой есть только магнитная полоса. А теперь, внимание! Магнитная полоса есть на ВСЕХ картах. То есть все карты можно скопировать. Дальше вопрос в том, можно ли скопированную карту использовать. С этим сложнее, ведь чип подделывать до сих пор так и не научились и в любом банке вам скажут, что ваша чипованная карта защищена и воспользоваться ее клоном не смогут. Это НЕПРАВДА! Мою чипованную карту склонировали и ею воспользовались. Как?
И в этом месте на арену выходят США! В этой самой богатой стране в мире до сих пор банки ПРАКТИЧЕСКИ не выпускают карты с чипами, пользуясь картами с полосой, и даже вашу чипованную карту в магазине будут по-старинке прокатывать на полосу! При том, что практически все терминалы в точках продажи без проблем могут работать с чипованными картами.
То есть, для использования вашей суперзащищенной чипованной карты в США мошенникам даже не нужно пытаться копировать ваш чип! Они без проблем смогут прокатать магнитную полосу карты где-нибудь на кассе самообслуживания. Именно поэтому в начале поста я назвал США раем для мошенников подобного плана.
Почему это происходит? Все просто! Ничего личного, просто бизнес. Все карты в США застрахованы от кражи средств, за страховку платит клиент, так что это просто гигантский рынок для страховых компаний. Так зачем банкам напрягаться и тратить лишние деньги на более дорогие чипованные карты?

Теперь давайте подробнее об элементах защиты карты.
1. Магнитная полоса на обратной стороне карты. на самом деле магнитных полосы целых три, так называемые Track 1, 2 и 3.
Вот как полоса выглядит под микроскопом.

Теоретически, вооружившись ножницами, скотчем, картоном и куском магнитофонной плёнки, можно сделать собственную магнитную карту! Хотя проще найти уже готовую, чистую или пустить в дело старую кредитку с истёкшим сроком действия. Мошенники для массовой записи клонов используют даже различные подарочные карточки VISA и, так называемый “белый пластик” без каких либо принтов. Главное — пригодный для записи магнитный слой.
В банковских картах, как правило, используется Track 1 и 2. В прошлом на треке номер 3 хранился в зашифрованном виде пин-код — для возможности работы с банкоматами в офлайн-режиме. Но с развитием систем коммуникаций и откровенной уязвимости такого подхода последние банкоматы, которые работали с офлайн-пином на Track 3, ушли в небытие в середине 90-х. В настоящее время Track 3 в кредитных картах не используется. Поэтому пин-код мошенникам нужно добыть иным способом и для этого они в паре со скиммером используют либо накладку на клавиатуру банкомата, либо вешают маленькую видеокамеру над банкоматом. Если пин-код украсть не удастся, стоимость склонированного пластика будет невысокой, т.к. им можно воспользоваться только для покупки товаров, а это очень высокий риск. А вот если удалось и считать данные карты, и пин-код, стоимость такой карты возрастает в разы, ведь с нее можно снять наличные в любом банкомате. И, кстати, деньги по такой мошеннической операции (если был введен пин-код) банк вам не вернет по правилам VISA.
Вот как выглядит считывающая головка платежного терминала. На фото хорошо видны три элемента для считывания треков.

2. EMV (Europay, MasterCard, Visa Chip) чип — похожий на сим-карту и имеющий схожие электронные характеристики. Данный чип отвечает за проверку транзакции по карте на EMV совместимых банкоматах и создан международным концерном кредитных компаний в ответ на излишнюю лёгкость в копировании кредиток с магнитной лентой.

Одна из причин того, что чипы не подделывают это то, что недостаточно просто скопировать содержимое чипа на другую карту в первую очередь потому, что никакой информации на чипе зачастую просто нет (иногда на чипе храниться копия Track 2). Проверка идёт на аппаратном уровне, в интернете встречаются упоминания, что банкомат генерирует некий номер, на который чип должен дать верный ответ. Однако во многих банках проверка идёт просто на наличие EMV-чипа от данного банка.
Другими словами, если записать магнитную полоску на карту без EMV-чипа или карту с EMV-чипом другого банка, то банкомат такую карту не примет, а вот если закатать дорожку на истёкшую карту того же банка с правильным EMV-чипом, то снять деньги можно.
В любом случае EMV защищает только возможность снять деньги с банкоматов причём только тех, что имеют такую функцию. В абсолютном большинстве платёжных терминалов и банкоматов по всему миру по-прежнему считывается только магнитная карта без участия EMV. Это особенно касается стран третьего мира и, как я уже сказал выше, США!

Как же копируют карты с магнитной полоской?

Существует достаточно большой ассортимент аппаратного обеспечения для работы с магнитными картами. Лучший выбор — это MSR 206 совместимые устройства: они наиболее распространены и к ним существует больше всего программного обеспечения. И вообще они есть в любом отеле, где в качестве ключа используется магнитная карта. Покупаются они через интернет-магазин типа Ebay.
Устройство работает через интерфейс последовательного com-порта. Стоимость колеблется от 100 до 300$, отличаются устройства между собой комплектацией и дизайном, но принципиальной разницы между ними нет.

Через TOR можно найти немало утилит, с помощью которых происходит считывание и копирование данных с магнитных полос.
Вот так выглядит интерфейс одной из них, Jerm

А вот так диалоговое окно для непосредственной работы с картой

Read — считать карту. Индикатор на MSR206 загорается жёлтым цветом, карта считывается, ее содержимое появляется в окнах ASCII и HEX, а также в полях Track 1, 2, 3. Если нужно сохранить образ полученной карты, команда “File\Save as…”. Если же сразу нужно сделать дубликат, просто Write. Осталось провести чистой картой по MSR206 и все, карта скопирована!
Erase Track(s) — если нужно использовать для перезаписи карту, на которой уже есть какая-то информация (например, банковская карта с истёкшим сроком действия), то перед повторным использованием карту нужно очистить. Для этого выделяются все три трека и нажимается кнопка Erase. Осталось провести картой по устройству.
Есть даже пакетный режим, Batch mode , если нужно записать сразу множество магнитных карт.

Как получают данные для копирования карты?

Как я уже сказал выше, мошенникам достаточно считать данные с магнитной полоски, а чип их вообще не интересует.
Как они это делают, знают все. С помощью скиммеров, которые накладывают на банкоматы.

Скиммером может быть пластиковая накладка, прикрепляемая к кардридеру, миниатюрная видеокамера в держателе для брошюр рядом с банкоматом. Также распространены специальные накладки на клавиатуру, считывающие порядок набора ПИН-кода. К банкоматам скиммеры крепятся с помощью обычного двустороннего скотча или застежки-«липучки». Например, если клавиатура была вогнутой, то специальная накладка сделает панель более плоской. Также скимминговое устройство может изменить сами клавиши: они будут либо утоплены в панель клавиатуры, либо, наоборот, слишком сильно выпирать. Производители банкоматов в последние годы стали устанавливать на банкоматы специальные устройства, позволяющие распознавать скиммеры.
Обнаружить невооруженным глазом скиммер на банкомате довольно сложно, поэтому рекомендуется пользоваться только теми банкоматами, которые расположены в отделениях банков, крупных торговых центрах, на охраняемой территории.
Да, скиммер способен украсть информацию только с магнитной полосы, а не с чипа. Но мошенникам, которые затем легализуют карты в США, этого достаточно.
Существуют также портативные скиммеры, позволяющие делать копию карты, когда она оказалась в руках злоумышленника (например, если он по совместительству ещё и официант в ресторане, где клиенты часто расплачиваются пластиковыми картами).

Из беседы с человеком, глубоко изучавшим эту тему, я узнал, что большинство данных карт в наше время “воруют” в Южной Америке. Если в России и других странах службы безопасности банков постоянно борятся со скиммерами, то в Бразилии и Колумбии этого просто не делается, что дает мошенникам широкие возможности.
Далее мошенники записывают полученные данные на, так называемый, белый пластик и оптом продают карты дельцам. Карты переправляются в США и с них либо снимают деньги, если удалось снять пин-код, либо по дешевке продают на черном рынке.
Ну а там уже кто в интернете что-то пытается купить, кто в супермаркете, как случилось с моей картой…

Клонируем бесконтактную карту с помощью мобильного приложения

Всегда было интересно посмотреть, что происходит у банковской карточки под «капотом». Как реализуется протокол общения банковской карточки и POS-терминала, как это работает и насколько это безопасно. Такая возможность предстала передо мной, когда я проходил стажировку в компании Digital Security. В результате при разборе одной известной уязвимости EMV карт в MagStripe-режиме, было решено реализовать мобильное приложение, которые способно общаться с терминалом по бесконтактному интерфейсу, с использованием своих команд и подробным разбором запросов и ответов. А также попробовать реализовать способ клонирования карт MasterCard в режиме MagStripe.

В этой статье я постараюсь описать, что такое EMV-карта, как она работает и как используя Android можно попытаться клонировать вашу MasterCard карту.

«There are some things money can’t buy. For everything else, there’s MasterCard»

Что такое EMV карта?

EMV — это международный стандарт для банковских карт с чипом. В разработке этого стандарта принимали участия Europay + MasterCard + VISA, отсюда и название. Попробуем разобраться, как же все таки карта общается с POS-терминалом по бесконтактному интерфейсу.

Начнем с самых основ.

Бесконтактная EMV карта на физическом уровне работает почти так же, как и RFID метка. Если базисно то, чип попадает в электромагнитное поле, а в замкнутом проводящем контуре (в нашем случае это будет антенна, расположенная по периметру), помещенном в переменное магнитное поле, образуется переменный электрический ток. Этот ток заряжает специальный конденсатор, подключенный параллельно к резонансному контуру карты. Энергия, запасенная в конденсаторе, используется для выполнения микросхемой карты различных операций. Когда ридер изменяет электромагнитное поле, изменения сразу будут заметны на чипе. Используя модуляцию сигнала, мы можем передавать информацию в бинарном виде. Если на карте подключить нагрузочное сопротивление и или изменить емкость конденсатора, то можно изменить силу тока в контуре карты, что приведет к изменению создаваемого им электромагнитного поля в области контура ридера, таким образом карточка передает данные. Ридеру останется детектировать эти изменения. Подобное физическое взаимодействие регламентируется стандартом ISO/IEC 14443 “Identification Cards — Contactless integrated circuit(s) cards — Proximity cards”.

Сам чип карты представляет собой смарт карту, на которой работает JavaCard, отдельная версия Java для платформ с малыми вычислительными ресурсами и поддержкой криптографических алгоритмов. На JavaCard загружаются апплеты, которые, и являются приложениями. Также существует GlobalPlatform это некий стандарт для JavaCard, который предоставляет возможность безопасного управления данными на карте и позволяет загружать, изменять и удалять приложения на карте. В этой статье механизмы безопасности самой смарт карты мы рассматривать не будем. Достаточно знать, что защищенные данные, например приватный ключ и секретный мастер ключ карты лежат в защищенном месте и вытащить их стандартными средствами невозможно.

Также еще напомню немного терминологии, для тех, кто не знаком.

POS-терминал (Point of Sale) — устройство продавца, которое считывает карту и инициирует платеж. Далее будем называть это устройство просто терминалом.
Банк эмитент — это банк, который выпустил вашу карту.
Банк эквайер — банк, который выдает продавцам POS-терминалы и обрабатывает платежи с них.
Платежная система — центральное звено между банком эквайером и банком эмитентом, через нее проходят абсолютно все платежи, и она знает какой банк какому сколько должен перевести денег. Платежных систем в мире не мало, кроме всем известных Visa и MasterCard есть ещё и American Express, China UnionPay и российская платежная система МИР.

Хорошо, карта и ридер могут общаться. Они посылают друг другу APDU-команды в виде Tag-Length-Value т.е. передается название тэга в шестнадцатеричном виде, его длина и само значение. Все команды описаны конечно же в документации и выглядят примерно так:

image

Стандартная EMV транзакция проходит в несколько этапов, я опишу полный алгоритм взаимодействия в случае контактного интерфейса, для бесконтактного интерфейса алгоритм несколько укорочен:

  • Выбор приложения;
  • Инициализация обработки приложения;
  • Считывание данных приложения;
  • Офлайн аутентификация;
  • Обработка ограничений;
  • Проверка держателя карты;
  • Риск-менеджмент на стороне терминала;
  • Анализ действий терминала;
  • Риск-менеджмент на стороне карты;
  • Анализ действий карты;
  • Процессинг в режиме on-line;
  • Завершение операции.

Коротко рассмотрим каждую операцию.

Выбор приложения. Часто бывает, что на одной карте может быть несколько приложений. Например, банковская карта и проездной билет. И терминалу как-то необходимо разобраться, где и какой алгоритм ему использовать. Для выбора приложения используются так называемые Идентификационные Коды приложения (Application Identifier – AID). Что бы в этом разобраться терминал посылает команду SELECT. Например, AID карты Visa Classic будет выглядеть следующим образом: A0000000031010. Если в ответ придет несколько таких кодов и терминал умеет работать с несколькими приложениями, то терминал выведет на экран список и предложит выбрать нужное нам приложение. Если терминал не поддерживает ни один из кодов приложений, то операция будет отклонена терминалом.

Инициализация обработки приложения. Здесь сначала проверяется географическое место пребывания. Например, карты Maestro Momentum могут работать для оплаты только в России. Этот этап сделан для того, чтобы предоставить эмитентам возможность применять существующие онлайн методы риск-менеджмента при проведении офлайн операций. На этом этапе EMV-транзакция может быть отменена по инициативе самой карты, если данный тип операции запрещен в данной стране мира эмитентом. Далее карта передает терминалу набор специально структурированной информации, содержащей описание функциональности карты и приложения.

Считывание данных приложения. Терминалу передаются различные данные карты необходимые для транзакции, например номер карты, expiration date, счетчик транзакций и много других данных. О некоторых из них будет сказано далее.

image

Также передается сертификат публичного ключа банка эмитента и самой карты. Для того чтобы терминал был способен проверить цифровую подпись некоторых данных карты используется PKI-инфраструктура (Public Key Infrastructure). Вкратце, у платежной системы есть пара ключей — публичный и приватный и платежная система является для всех участников CA (Center Authority). По сути платежная система для каждого банка эмитента выпускает новую пару ключей, и при этом формирует сертификат публичного ключа банка эмитента, подписывая его приватным ключом CA. Далее, когда банк выпускает новую карту, он соответственно генерирует для карточки пару ключей, и также формирует сертификат публичного ключа карты, подписывая его с помощью приватного ключа банка. В терминалах обычно зашит сертификат публичного ключа для различных платежных систем. Таким образом, когда карточка передает сертификат публичного ключа банка эмитента и сертификат самой карты, терминал может с легкостью проверить всю цепочку, используя публичный ключ платежной системы. Терминал с помощью публичного ключа платежной системы сначала проверяет подлинность сертификата банка эмитента, если он подлинный, то значит ему можно доверять и теперь с помощью сертификата банка эмитента можно проверить сертификат самой карты. Более подробней в статье про безопасность EMV .

Офлайн аутентификация. Терминал определяет тип поддерживаемого метода оффлайн аутентификации. Существует статичная (Static Data Authentication – SDA), динамическая (Dynamic Data Authentication – DDA) и комбинированная (Combined Data Authentication – CDA). Эти методы также построены на основе PKI. SDA это просто подписанные данные на приватном ключе банка эмитента, DDA — терминал посылает какое-то случайное число и карточка должна подписать его, используя свой приватный ключ, а терминал проверит эту подпись используя полученный ранее сертификат карты, таким образом терминал удостовериться в том, что карточка и правда обладает приватным ключом — следовательно является подлинной. CDA это просто комбинация обоих способов.

Обработка ограничений. Здесь терминал проверяет полученные ранее данные с карты на условие пригодности для данной операции. Например, проверяет срок начала/окончания действия приложения Application Expiration Date (Tag ‘5F24’) и Application Effective Date (Tag ‘5F25’). Также производится проверка версии приложения. Результаты операций, проводимых на данном этапе, также записываются в отчет TVR (Terminal verification results). По результатам этого этапа транзакция не может быть отменена, даже в случае, если, например, срок действия приложения истек.

Проверка держателя карты. Верификация держателя карты производится для того, чтобы аутентифицировать человека, предоставившего карту и проверить, является ли он подлинным владельцем карты. Стандарт EMV предоставляет различные методы верификации держателя карты (Cardholder Verification Method). Методы верификации определены как на терминале, так и на карте. Они содержатся в так называемых CVM-листах. В процессе выполнения, терминал и карточка сравнивают полученные CVM-листы и выбирают общий метод верификации.

Список поддерживаемых методов верификации:

  • No CVM required (‘011111’b);
  • Fail CVM processing (‘000000’b);
  • Signature (‘011110’b);
  • Enciphered PIN verified online (‘000010’b);
  • Plaintext PIN verification performed by ICC (‘000001’b);
  • Plaintext PIN verification performed by ICC and signature (‘000011’b);
  • Enciphered PIN verification performed by ICC (‘000100’b);
  • Enciphered PIN verifi cation performed by ICC and signature (‘000101’b).

Риск-менеджмент на стороне терминала. На этом этапе терминал проводит внутреннюю проверку параметров транзакции, исходя из установок риск-менеджмента банка-эквайера. Процедуры риск-менеджмента могут быть выполнены терминалом в любое время между моментами завершения процесса чтения данных карты и формирования терминалом первой команды GENERATE AC. Риск-менеджмент на стороне терминала включает в себя три механизма:

  • контроль размера операций, выполненных по карте (Floor Limit Checking);
  • случайный выбор транзакции для онлайн авторизации этой транзакции эмитентом (Random Transaction Selection);
  • проверка офлайн активности использования карты (Velocity Checking).

Риск-менеджмент на стороне карты. Карта, получив из команды GENERATE AC данные, касающиеся транзакции, терминала и результатов проверок терминала, в свою очередь выполняет собственные процедуры управления рисками и выносит собственное решение о способе завершения операции.

Анализ действий карты. На этом этапе карта завершает проведение процедур риск-менеджмента и формирует ответную криптограмму терминалу. Если карта решает одобрить транзакцию, то формируется Transaction Certificate. Если карта принимает решение о выполнение операции в режиме реального времени, то она формирует ARQC (Authorization Request Cryptogram). Если карта использует альтернативные методы авторизации, тогда используется Application Authorization Referral. В случае, если карта отклоняет транзакцию, то Application Authentication Cryptogram.

Еще одна криптограмма ARPC (Authorization Response Cryptogram) нужна для аутентификации эмитента. Эмитент формирует криптограмму ARPC и отсылает криптограмму карте, если карта подтвердит пришедшую криптограмму, то следовательно, эмитент аутентифицирован картой.

Немного о безопасности ключей и взаимной аутентификации карты и эмитента из книги И. М. Голдовского:

В конечном итоге онлайн транзакция проходит по цепочке:
Карта <—> POS-Терминал <—> Банк Эквайер <—> Платежная Система <—> Банк Эмитент.

image

Клонируем карту MasterCard в режиме MagStripe

Перейдем непосредственно к принципу клонирования. Данный метод атаки на бесконтактные карты был опубликован двумя исследователями Michael Roland, Josef Langer из Австрийского университета. В его основе лежит общий принцип, который называется Skimming. Это такой сценарий, при котором злоумышленник крадет деньги с банковской карточки путем считывания (копирования) информации с этой карты. В общем случае здесь важно сохранять PIN-код в тайне и не допускать его утечки. Но в методе австрийских ребят это нам знать не нужно. Клонирование платежной карты выполняется успешно для версии ядра приложения EMV Contactless Kernel 2. Версия этого протокола поддерживает два режима работы для бесконтактных карт: EMV протокол (MasterCard PayPass M/Chip) и MagStripe (MasterCard PayPass MagStripe) режим.

MagStripe — это режим поддержки карт с магнитной полосой. Этот режим реализуется на картах MasterCard с бесконтактным интерфейсом. Режим MagStripe скорее нужен для банков которым сложно переводить всю инфраструктуру для поддержки чиповых бесконтактных EMV транзакций. Кстати, у карт Visa также есть аналогичный режим работы — PayWave MSD (Magnetic Stripe Data).

Процесс обработки транзакции для бесконтактных карт урезан в сравнении с чиповыми и обычно работает в следующем режиме:

  1. Терминал отправляет команду SELECT PPSE (Proximity Payment System Environment). Карта шлет список поддерживаемых приложений.
  2. Терминал отправляет команду SELECT. В ответ получает необходимые детали приложения.
  3. Терминал отправляет команду GET_PROCESSING_OPTIONS. Карта отвечает какой тип аутентификации она поддерживает и существует ли там верификация держателя карты.
  4. Терминал отправляет команду READ_RECORDS. Карта в ответе посылает Track1 и Track2 практически аналогичный тому, что записан на магнитной полосе карты.
  5. Терминал отправляет команду COMPUTE_CRYPTOGRAPHIC_CHECKSUM. Которая означает, что карта должна на основе переданного Unpredictable Number сгенерировать значение CVC3.

Это выглядит как APDU команды. Список всех тэгов.

APDU — Application Protocol Data Unit — это условное обозначение кадра с командой карте или ответом карты.

На хабре есть пара статей на эту тему тут и тут.

Карта поддерживает специальную команду COMPUTE CRYPTOGRAPHIC CHECKSUM, аргументом которой являются данные, определенные в объекте Unpredictable Number Data Object (UDOL). В результате карта с помощью алгоритма 3DES и секретного ключа вычисляет динамическую величину CVC3 (Card Verification Code). В качестве аргумента функции 3DES используется конкатенация данных UDOL и счетчика транзакции (Application Transaction Counter,ATC). Таким образом, значение величины CVC3 всегда зависит от объектов UN и ATC.

Другими словами, эта команда нужна, чтобы карта сгенерировала некую “подпись” для того, чтобы эмитент мог верифицировать карту. Однако, в этой подписи отсутствует подпись самой транзакции. В подписи содержатся значения ATC — 2 байта, CVC3 (Track1) — 2 байта, CVC3 (Track2) — 2 байта, которые генерируются картой на основе секретного ключа, который также знает банк-эмитент и счетчика транзакций (ATC). При этом также для генерации подписи POS-терминал сообщает карте UN (Unpredictable Number) — 4 байта, который также используется в генерации подписи. Unpredictable Number препятствует формированию кодов аутентификации на реальной карте для последующего использования в мошеннических транзакциях. Для атаки нам сильно мешает UN, поскольку 4 байта не представляется возможным перебрать, не выйдя за пределы счетчика транзакций. Однако, в спецификации этого есть некоторые слабости.

Во-первых, спецификация ограничивает UN кодировкой чисел, а именно Двоично-Десятичным Кодом (BCD), что по сути означает что, если мы посмотрим на такое закодированное число в HEX, то мы увидим только цифры от 0 до 9, все остальные значения считаются как бы запрещенными. Таким образом, количество UN уменьшается с 4,294,967,295 до 99,999,999.

Во-вторых, количество значащих цифр UN определяется картой. Таким образом в зависимости от специальных параметров в треках количество цифр в UN может быть от 10 до 10000 в зависимости от типа карты, на практике чаще всего встречается 1000 значений.

Таким образом план атаки выглядит следующий:

  1. Считываем карту и узнаем количество значащих цифр у UN, которое будет предоставлять терминал
  2. Перебираем все UN, получаем все возможные значения функции COMPUTE_CRYPTOGRAHIC_CHECKSUM, сохраняем их в соответствующей таблице с мапингом UN -> Result
  3. Подносим к POS-терминалу, узнаем число, которое просит POS-терминал.
  4. Выбираем из таблицы нужный результат и подставляем его в ответ терминалу.
  5. Транзакция уходит.
  6. PROFIT. Но успех одобрения транзакции не гарантирован, поскольку банк эмитент может отклонить такую транзакцию.

Стоит отметить также, что счетчик транзакций (ATC) препятствует повторному использованию ранее использованных кодов аутентификации, а значит что если мы использовали такую атаку, то необходимо копировать карту заново, поскольку счетчик транзакции уже использовался для получения информации и был использован в подписи, что значит, что если мы имели счетчик транзакций 1000, а после отправили транзакцию в банк, то банк уже не примет транзакции со счетчиком ниже <1001. Кроме того, счетчик транзакций ограничен 2 байтам, что означает, что мы можем выполнить не более 65 циклов клонирования карты, после этого карта скорее всего перестанет работать.

В большинстве случаев передаваемые данные с карты статические для всех транзакций. Конечно, кроме COMPUTE_CRYPTOGRAPHIC_CHECKSUM. Для генерации динамического CVC3 кода, приложение карты должно быть прочитано командой SELECT, затем GET_PROCESSING_OPTIONS, а только потом COMPUTE_CRYPTOGRACHIC_CHECKSUM и это довольно важный момент. Эти три команды обязательны для генерации CVC3. По данным эксперимента используя всего лишь эти три команды, перебор 1000 значений на Google Galaxy Nexus S занял всего одну минуту.

Для работы с терминалом и картой использовалась программа Terminal Simulator от MasterCard. Он прекрасно работает с различными NFC-считывателями и считывателями смарт карт. К тому же он абсолютно бесплатен. Он позволяет тестировать карты при различных настройках POS-терминала и ведет подробный лог всех запросов от терминала и ответов карты. Также его можно использовать для тестирования приложения на телефоне, работающего в режиме карты.

image

Для чтения карты использовался NFC считыватель ACR122.

image

Теперь давайте попробуем все это преобразовать в код. Приложение будем писать на языке Kotlin под Android. Сначала попытаемся описать общую структуру команды.

Для начала нам нужно настроить работу с NFC. На телефоне мы можем работать в двух режимах. В режиме карты, это когда мы отвечаем на команды от терминала, и в режиме терминала когда отсылаем команды и производим считывание, например карты. Т.е. сначала мы можем клонировать карту, а потом сделать так чтобы на запросы от терминала мы отвечали уже заготовленными командами.

Далее упрощенная реализация взаимодействия с NFC:

Здесь описывается последовательность команд и перебор значений Unpredictable Number в цикле от 0 до 999, в нужную нам команду изменяем Nc на «00000$«.replace(«..(?!$)».toRegex(), «$0 «). И не забываем выполнять GET_PROCESSING_OPTIONS каждый раз перед COMPUTE_CRYPTOGRAPHIC_CHECKSUM иначе чек сумма подсчитываться не будет.

В результате это все можно записать в файл и использовать уже при работе с настоящим терминалом. Здесь же мы получаем Имя и Номер карточки, можем отобразить это на экране.

Набор команд, которые нам необходимы.

Чтобы реализовать прослушку команд от терминала, надо запустить свой сервис и объявить его в манифесте. В этом сервисе в processCommandApdu приходит команда от терминала, мы сопоставляем ее с той, что у нас хранится в файле, и отдаем ответ, который записан следующей строкой.

Пара скриншотов из приложения. Считываем карту и парсим лог:

Таким образом можно смоделировать работу бесконтактной EMV карты на телефоне с данными карты. Но к счастью или к сожалению для кого-то, это атака не работает в России. По нашим экспериментам транзакция все время доходила до банка эмитента и отклонялась самим банком. Кроме того, у нас не получилось провести офлайн транзакцию с использованием MagStripe. Однако, подобная атака вполне может быть реализована в других странах, где использование MagStripe режима вполне обычное дело и алгоритм риск менеджмента немного другой, например в США.

Дополнительная карта Сбербанка

При открытии дебетовой карты Сбербанк предлагает выпустить дополнительную карту, стоимость обслуживания которой, значительно меньше. Она привязывается к основному счету, а действия держателя дополнительной карты полностью контролируются владельцем дебетовки. Как это работает и зачем нужна дополнительная карта Сбербанка – подскажет Brobank.

Никитин Евгений Николаевич

Основные характеристики дополнительной карты Сбербанка

В Сбере допкарта открывается только к дебетовым картам. Они выпускаются как на имя владельца, так и на третьих лиц. Чаще всего это родственники клиента.

  1. Основные характеристики дополнительной карты Сбербанка
  2. Как создать карту Сбербанка для ребенка
  3. Сколько стоит в Сбербанке дополнительная карта
  4. Как сделать дубликат пластиковой карты
  5. Лимиты и ограничения по допкартам Сбербанка

Дополнительную карту Сбербанк открывает с такими параметрами:

  1. В той же валюте, что и основной счет.
  2. Все карты выпускаются одной платежной системы и аналогичные по классу.
  3. Баланс дополнительных и основных карт одинаковый.
  4. Владелец может устанавливать персональные лимиты по выпущенным дебетовкам.
  5. Дополнительная карта является своего рода дубликатом пластиковой карты. При утере основной, клиент может дальше пользоваться дополнительной.
  6. Если владелец закрывает счет, все выпущенные карты автоматически аннулируются. Согласие других пользователей не требуется.

При закрытии счета, все дополнительные карты Сбербанка становятся недействительными

При выпуске дополнительных карт всем членам семьи очень удобно контролировать расходы и экономить семейный бюджет. Стоимость пакетного обслуживания в несколько раз меньше, чем выпуск основных карт на всех.

Как создать карту Сбербанка для ребенка

Детей с раннего возраста нужно приучать самостоятельно пользоваться деньгами и планировать свои затраты. Но родители должны постоянно контролировать этот процесс. В Сбербанке можно сделать дубликат карты на имя ребенка. Это удобная и безопасная альтернатива наличным.

Родители самостоятельно устанавливают лимит по детской карте и полностью контролируют совершаемые операции. О всех транзакциях владелец получает смс-сообщения. Чтобы открыть дубликат банковской карты, одному из родителей нужно посетить отделение Сбербанка. Из документов потребуется гражданский паспорт и свидетельство о рождении ребенка. Через 5-7 дней карта будет готова. Ее выдают владельцу основного счета.

Нужно ли давать карманные деньги детям, можно узнать в одной из наших статей.

Сколько стоит в Сбербанке дополнительная карта

Стоимость допкарты зависит от пакета, в котором выпускается основная дебетовка. Две карты на один счет можно открыть по следующей цене:

  1. Карты Visa и Mastercard с большими бонусами (кэшбэк до 30%) – стоимость годового обслуживания составляет 2 500 рублей, а основной – 4 900 рублей. – 2 500 рублей в год, основная – 3 000 рублей.
  2. Классическая (возможен индивидуальный дизайн) – в первый год обслуживания – 450 рублей допкарта и 750 основная, со второго года 300 и 450 рублей соответственно.
  3. Классическая карта «Аэрофлот» в первый год – 600 рублей, а со второго – 450 рублей. Основная карта дороже – 900 рублей, а со второго года — 600 рублей. – 3 000 рублей в год, а основная – 3 500 в год.

Дебетовая карта Молодёжная СберКарта

Стоимость от 0 ₽
Кэшбек До 5%
% на остаток Нет
Снятие без % 500 000 р./мес.
Овердрафт Нет
Доставка В отделение

По молодежным и социальным картам выпуск дополнительных карт не предусмотрен. Особенно выгоден в Сбербанке выпуск дополнительной карты по партнерским программам. Например, совместно с Аэрофлотом. Совершая повседневные покупки, семья накапливает максимальное количество бонусов, которые затем можно использовать для оплаты билетов.

Как сделать дубликат пластиковой карты

Дополнительная карта на имя родственника открывается по достижению им 14 лет. Если держателем дополнительной карты выступает доверенное лицо, то его возраст должен быть от 18 лет.

Дополнительные карты Сбербанка выдаются гражданам РФ с 14 лет

  1. Владельцу счета лично посетить отделение Сбербанка, в котором был заключен договор на обслуживание.
  2. Составить заявление и указать персональные данные родственников или доверенного лица.
  3. Через 5-7 дней получить карту. Ее может забрать или владелец счета, или держатель допкарты.

Выпуск дебетовки осуществляется на основании гражданского паспорта или свидетельства о рождении. Владелец счета также предоставляет свои документы для идентификации сотрудником банка. Комиссия за обслуживание эмитированной карты списывается с основного счета.

Лимиты и ограничения по допкартам Сбербанка

  1. Сумма снятия наличных в банкомате на один месяц.
  2. Лимит на безналичные расчеты в торговой сети.
  3. Общий лимит на все операции по счету.

Изменить лимит по допкарте можно один раз в месяц

Все ограничения по карте устанавливает сотрудник банка согласно письменному заявлению клиента. Изменять лимиты можно один раз в месяц. При необходимости владелец счета в любой момент может закрыть или заблокировать дополнительную карту.

Если вы не хотите переплачивать на банковских продуктах и контролировать семейный бюджет, откройте всем родственникам дополнительные карты. Вместе зарабатывайте бонусы и получайте приятные сюрпризы.

Как сделать дополнительную карту Сбербанка – сколько дубликатов можно оформить на 1 счёт?

Пластиковая карта представляет собой многофункциональный платежный инструмент, который упрощает жизнь человека. Сегодня она имеется практически у каждого.

Крупные банки, при открытии дебетовых носителей предлагают дополнительно оформить пластиковый на более низких и выгодных условиях обслуживания. Дополнительная карта Сбербанка к основной, как правило, привязывается к лицевому счету владельца, позволяет проводить операции с имеющимися на ней деньги.

В чем же заключается смысл оформления дубликата? Зачем он может потребоваться, если привязывается к основному счету? Подробно разберемся в этих вопросах.

Особенности дополнительных карт

Под дополнительной карточкой понимается такой пластиковый носитель, который выпускает банковская организация в привязке к основному клиентскому счету.

Основное требование по его выпуску заключается в том, что лицо обязано иметь предварительно оформленную в Сбербанке основную карту.

Характерные черты таких носителей:

  1. Копия основной карточки может оформляться не только на имя держателя счета, но и на других физических лиц, например, близких родственников.
  2. Лица, получившие еще одну именную карту, распоряжаются деньгами в соответствии с указаниями держателя счета. Например, он может как предоставить полную материальную свободу, так и установить определенные лимиты и ограничения.
  3. Ограничения на дубликат вправе устанавливать только владелец основного счета.

Большинство клиентов организации интересует, сколько карт Сбербанка можно оформить на одно лицо. Сегодня, количество дополнительных пластиковых носителей не ограничивается выпускающей стороной. Клиент самостоятельно решает, сколько копий платежного инструмента ему потребуется. Однако в редких случаях число карточек может быть ограничено пакетом услуг, в рамках которого был выпущен основной пластик.

Принцип работы

Как работает дополнительная карта Сбербанка? Ранее отмечалось, что открывать ее можно на имя третьего лица, не являющегося держателем основного счета. При этом важно упомянуть, что владелец дубликата не получает доступа к основному пластику, и не может распоряжаться хранящимися на нем средствами.

В права доверенного лица входит лишь возможность распоряжаться теми финансами, которые имеются на закрепленном расчетном счете, причем соблюдая установленные лимиты.

Пример: владелец основной карточки выпускает её дубликат для своей супруги, устанавливая ежемесячное ограничение в 40 тысяч рублей. Следовательно, совершая покупки, жена не сможет потратить свыше указанного лимита.

Юридически вторая карточка числится за доверенным лицом, поскольку на её лицевой стороне указаны его инициалы. Однако фактически копия закреплена за держателем счета, поскольку все совершаемые денежные операции проходят с привязкой к его карте.

В связи с этим ответственность перед Сбербанком за эксплуатацию обеих карт возлагается именно на владельца основной.

Правила выпуска

Привязывать второй пластиковый носитель можно к определенным категориям карт. К настоящему моменту Сбербанк выпускается дубликаты:

  • моментальных платёжных систем – Visa Electron и Maestro;
  • пенсионных;
  • зарплатных;
  • молодежных MasterCard, Maestro и т.д.;
  • студенческих карточек Maestro.

Примечательно, заказывать дополнительные носители можно только в рамках МПС – Визы и МастерКард. Открыть дубликат пластиковой МИР – не представляется возможным на данный момент. Завести копию кредитки также нельзя.

Пошаговая инструкция, как заказать копию пластикового носителя:

  1. Обратитесь в сбербанковское отделение. При себе необходимо иметь документ, подтверждающий вашу личность, а также паспорт человека, на имя которого вы собираетесь открывать её.
  2. Объясните сотруднику свою проблему, оформите стандартное заявление.
  3. Дождитесь, пока ваша заявка будет обработана. Как только пластик будет готов, с вами свяжется сотрудник организации.
  4. Заберите карту в выбранном отделении.

Срок изготовления платежного инструмента составляет от 3 рабочих дней до 2 недель.

Оформить вторую или третью карточку можно только в банковском отделении, подача заявления онлайн через личный кабинет невозможна. При этом необходимо понимать, что она не является точной копией основного платежного инструмента.

Ключевые отличия дубликатов:

  • номер;
  • секретный пин-код.

В остальном дополнительной карточке свойственны те же характеристики, что и основной. Они имеют одинаковые валюты и сроки действия, одновременно выходят из эксплуатации; принадлежат одним платежным системам.

Особенности выпуска

Как уже отмечалось выше, организация вправе выпускать две (или более) карты на один счет в Сбербанке. Потенциальный владелец повторной карточки должен достичь 14 лет, когда на руках у него уже есть паспорт гражданина РФ. Родители, которые хотят предоставить своему малолетнему ребенку право распоряжаться деньгами, также могут объединить карты Сбербанка. В этом случае минимальный возраст – 10 лет.

При подаче заявления на выдачу дубликата они обязаны предоставить детское свидетельство о рождении.

Преимущества дубликатов

Выпуск дополнительных карточек имеет свои достоинства.

Например, дубликат основной карты можно заказать для ребенка, что даст ему возможность самостоятельно производить безналичную оплату покупок.

  1. Родитель вправе регулировать доступ ребенка к деньгам, устанавливая определенные ограничения. Сделать это можно в отделении Сбербанка.
  2. С помощью дополнительных копий можно делать безопасные покупки через интернет. Платежный инструмент имеет определенные лимиты, поэтому злоумышленники не смогут получить доступ ко всем вашим средствам.
  3. Владелец основной карты может отслеживать активность дополнительной, бесплатно проверять ее баланс посредством мобильного банка. Услуга также подключается в сбербанковском отделении.
  4. Снижается стоимость годового обслуживания.

Стоит добавить, что лимиты обновляются ежемесячно, свободно регулируются владельцем основной карты.

Недостатки

Вторая карточка не является самостоятельным платежным средством, имеет ряд ограничений и недостатков, которые представлены ниже.

  1. Дубликат не имеет собственного счета, она закрепляется за лицевым счетом основного инструмента безналичной оплаты.
  2. Подключение любых услуг и опций к нему проходит исключительно в банковских отделениях.
  3. Держатель дубликата не сможет пользоваться сервисом «Сбербанк-онлайн».
  4. Дубликат не предполагает возможность безналичных переводов. С её помощью можно только оплачивать покупки и снимать наличные средства в банкомате.
  5. На неё так же нельзя перевести деньги со сторонних источников.

Таким образом, дополнительные карточки имеют ряд существенных недостатков. Поэтому решившись объединять пластиковые носители, взвесьте все «за» и «против». Возможно, имеет смысл выпустить еще одно основное платежное средство.

Часто задаваемые вопросы

Можно ли сделать дополнительную карту на другое лицо?

Да, можно. Чтобы завести еще карту-дубликат, нужно обратиться в банковское отделение, оформив соответствующее заявление. В этом случае пластик привязывается к основному счету держателя.

Можно ли иметь две карты Сбербанка с разными счетами?

Да, можно. Клиент вправе открыть в Сбербанке несколько счетов (не только лицевых, но и ссудных), привязав к ним разные карты.

Заключение

В заключение хотелось бы отметить, что дополнительная карта является довольно удобным платежным средством, которое не предполагает дорогого годового обслуживания.

В то же время они имеют множество ограничений, поэтому перед оформлением рекомендуется определить, в каких целях вы планируете использовать пластиковую карту и удастся их реализовать посредством дополнительной.

Похожие публикации:
  1. Dsn center отзывы что за магазин
  2. Как подписать протокол если не согласен
  3. Как списать дебиторскую задолженность если нет первичных документов
  4. Что такое дроп в ставках

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *