Скимминг гибридной карты

[Phantom]

Не для кого не секрет что скиммеры считывают магнитку карты,но не чип. У нас карты эмитируются с чипом и магниткой, но операции всегда проходят по чипу. При попытке провести по магнитке посылает на чип. Так вот вопрос: если такая карта будет "не дай бог" соскиммена, то сможет ли злоумышленник считав трэки с магнитки, закатать их на белый пластик и сналить потом или купить что-нить?есть ли вообше на таких картах на магнитке эти трэки или все храниться в чипе?кто в теме просвятите.

[KDM]

Может, если найдёт пос-терминал или банкомат какого-нибудь банка, которые работают ещё по магнитке.
Данных на магнитке хватит, чтобы провести полноценную операцию в соответствующем устройстве.

[igorpooh]

Вот ответ человека, который достаточно подробно описал подобную ситуацию
http://blog.chirkov.net/2011/06/20/skimming/
Кратко - если будут разборки, а они будут - ПСки будут наезжать на тот банк, который не имеет EMV

[Phantom]

так наши же терминалы понимают как-то если магниткой чиповой карты пробовать провести операцию, то просят вставить чип!значит в магнитке что-то зашито чтобы катать по чипу...или я че-то не догоняю

[igorpooh]

Просто некоторые нерадивые сотрудники банков при настройке конфигурации для POS-терминалов это пропускают и не делают как надо. На самом деле, если банк не прошёл EMV, то он не (вот тут поправьте меня) может принимать чиповые карты по магниту (fallback-операции, за которые банк по голове никто не погладит).
В магнитке зашит некий бит (это грубо), который идентифицирует карты магнит или чип почитайте про track2
условно:
1234567890123456=091211100001111;
перед = - это номер карты
после = первые 4е цифры - срок действия карты
одна из остальных за знаком равно
Вот почитайте
http://en.wikipedia.org/wiki/Magnetic_stripe_card

Service code values common in financial cards:
First digit
1: International interchange OK
2: International interchange, use IC (chip) where feasible
5: National interchange only except under bilateral agreement
6: National interchange only except under bilateral agreement, use IC (chip) where feasible
7: No interchange except under bilateral agreement (closed loop)
9: Test

[Lucky]

Track1/2 содержит, в том числе, информацию о наличии чипа, а также некоторые ограничения при использовании карты.
И если POS не поддерживает чтение чипа, то карта может быть обслужена по магнитной полосе.

[igorpooh]

Только track2,
track1 - только PAN
track3 - можно использовать для записи всяких лоялити, но это было похерено ещё не начавшись. Пришли чипы

А вот может или не может использовать по магниту - это уже терминальные риски, на которые банки идут с большой неохотой - добавлю правда западные, наши как всегда отличаются - русской удалью и бесшабашностью в этом вопросе.

[Lucky]

track1 - только PAN

У ISO/IEC 7813 7.1.2 Track 1 structure на этот счет другое мнение.

[lantor]

Ладно, раз уж начали говорить на такие сакраментальные темы, то хочется задать вопросы
1) Каким образом вообще скиммеры существуют?
Это же надо сделать устройство. Ну не от кардридера же будут брать головку магнитную, тем более, что она вообще на плату идёт, а ПО низкого уровня писать сложная задача.
2) Каким боком они синхронизируют пины с картами? По времени создания файла?
3) Как потом закатывают с носителя на карту дамп?

[igorpooh]

Хм. Буду знать спс.

Добавлено спустя 1 минуту 46 секунд:

Ладно, раз уж начали говорить на такие сакраментальные темы, то хочется задать вопросы

Вы будете удивлены, но там всё просто до безобразия. По-гуглите....

[lantor]

igorpooh да не настолько интересно, чтобы гуглить, спасибо

[Phantom]

т.е. другими словами зная трэк 2 и руководствуясь вышеуказанной документацией чисто теоретически мошейник может поменять там нужную цифру чтоб потом прокатывать карту без чипа. или нельзя так поменять?

[Lucky]

Нельзя. Карта перестанет быть валидной, т.к. в процессинге эмитента другие данные, контрольные суммы не совпадут.

[nadman]

Ладно, раз уж начали говорить на такие сакраментальные темы, то хочется задать вопросы
1) Каким образом вообще скиммеры существуют?
Это же надо сделать устройство. Ну не от кардридера же будут брать головку магнитную, тем более, что она вообще на плату идёт, а ПО низкого уровня писать сложная задача.
2) Каким боком они синхронизируют пины с картами? По времени создания файла?
3) Как потом закатывают с носителя на карту дамп?

Забавным образом они существуют, видел вживую, удивился безграмотности держателей карты, готовых пихать свои деньги во всевозможные черные дыры И видеокамерамы тоже видел. А вот как закатывают - это уже к тем, кто имеет примитивнейшее оборудование невысокой стоимости. Гуглить действительно не имеет смысла, т.к. информацию по "производству" никто выкладывать не будет по понятным в укрф причинам...