Комментарии 21
Банк просто отклонял ваши транзакции или как-то это аргументировал (неправильный пин или еще что-то)?
Пытался кто-нибудь из банка как-то связаться с владельцем карты по поводу этих операций?
Просто страшновато так взять, да и обнаружить, что с карты ушла куча денег без всякой причины…
Пытался кто-нибудь из банка как-то связаться с владельцем карты по поводу этих операций?
Просто страшновато так взять, да и обнаружить, что с карты ушла куча денег без всякой причины…
Банк присылал СМС, что что-то не так с параметрами платежа. Сколько раз не пытались провести такую транзакцию в разных банках — никто не звонил и не уточнял.
А вообще склонировать чужую карту без ведома владельца довольно проблематично:
habr.com/post/422551
А вообще склонировать чужую карту без ведома владельца довольно проблематично:
habr.com/post/422551
вообще довольно странная атака получается,
вы пытаетесь атаковать через какое-то странное комбо MST и обычной магнитки, при том что MST это токенизированная операция, то есть валидацию проводит платежная система а не эмитент в первую очередь и только потом мпс детокенизирует операцию для отправки эмитенту.
вы пытаетесь атаковать через какое-то странное комбо MST и обычной магнитки, при том что MST это токенизированная операция, то есть валидацию проводит платежная система а не эмитент в первую очередь и только потом мпс детокенизирует операцию для отправки эмитенту.
Здесь речь не о MST, насколько я знаю такая вещь используется в SamsungPay для эмуляции магнитного сигнала. Тут речь об отдельном расширении EMV протокола, здесь не эмулируется магнитный сигнал. Данные о треках на магнитной полосе передаются именно по NFC без использования MST.
Такую транзакцию может валидировать только банк эмитент, поскольку в этой транзакции генерируется CVC3-код, ключ для которого есть только на карте и у банка эмитента. Токенизации тут нет.
Такую транзакцию может валидировать только банк эмитент, поскольку в этой транзакции генерируется CVC3-код, ключ для которого есть только на карте и у банка эмитента. Токенизации тут нет.
НЛО прилетело и опубликовало эту надпись здесь
Для этого есть Android Pay/Samsung Pay.
к примеру не все банки поддерживают бесконтактную оплату через приложение на телефоне
Господин tezcatlipoc как раз не может воспользоваться Android Pay/Samsung Pay потому что его банк не поддерживает такую опцию.
было бы неплохо реализовать такое приложение на коммерческом началена самом деле плохо, потому что не только вы сможете склонировать свою карту, но и мошенники.
Данным способом такое не получится, потому что максимум одна транзакция возможна после клонирования, если она еще успешно завершится. Для этого да, как раз Apple Pay or Android Pay подходят норм.
В списке поддерживаемых методов верификации последние два пункта разве не одинаковые?
НЛО прилетело и опубликовало эту надпись здесь
Динамическая составляющая как раз и есть CVC3-код, который генерирует карта, суть атаки в том, что мы можем получить все возможные CVC3-коды для текущего состояния карты и использовать их в онлайн авторизации, до того как картой снова воспользуются.
Те кто делал изначальное исследование данной атаки получали положительный результат c MasterCard-картами (о чем и речь в статье), их транзакции авторизовывались банком в Австрии (хотя они пишут что проводили исследование в «лабораторных условиях», но с реальным терминалом и банком эмитентом).
ARQC/ARPC в атаке мы никак не рассматриваем, это было рассказано для общего понимания EMV.
За информацию про CVM — спасибо.
Те кто делал изначальное исследование данной атаки получали положительный результат c MasterCard-картами (о чем и речь в статье), их транзакции авторизовывались банком в Австрии (хотя они пишут что проводили исследование в «лабораторных условиях», но с реальным терминалом и банком эмитентом).
ARQC/ARPC в атаке мы никак не рассматриваем, это было рассказано для общего понимания EMV.
За информацию про CVM — спасибо.
Какое счастье, что у Мастеркарда Contactless Magstripe (он же Contactless-Swipe) больше не обязателен к поддержке со стороны терминала и все дружно начали его вырубать даже те, кто поддерживал…
Интересная статья, спасибо =)
НЛО прилетело и опубликовало эту надпись здесь
В статье не говорится, что это атака, которую можно провернуть в реальной жизни, воровать с бесконтактных карт людей деньги приложив телефон к кошельку и разбогатеть в один миг. Конечно, в реальной жизни мы столкнемся с тем, что карту у жертвы просто так не скопируешь без её ведома или супер антенны и для больших сумм PIN требуется.
Ответ на вопрос. Сколько бы мы не делали разрывов в счётчиках транзакций на реальных картах (одной из них я даже пользуюсь до сих пор), банк, выпустивший карту и глазом не моргнул, не говоря уже о разбирательствах, звонках и блокировках.
Если таки открыть документацию, то все таки UN это:
Name: Unpredictable Number
Description: Value to provide variability and uniqueness to the generation of a cryptogram
Source: Terminal
Format: b (These data elements consist of either unsigned binary numbers or bit
combinations that are defined elsewhere in the specification)
Tag: '9F37'
Len: 4
Name: Unpredictable Number
Description: Value to provide variability and uniqueness to the generation of a cryptogram
Source: Terminal
Format: b (These data elements consist of either unsigned binary numbers or bit
combinations that are defined elsewhere in the specification)
Tag: '9F37'
Len: 4
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Клонируем бесконтактную карту с помощью мобильного приложения