Ту информацию, которую я буду публиковать - вы не читайте, а то «посодют»

Шучу. На самом деле все, что сейчас будет изложено, можно добыть в интернете в свободном доступе и каким-то открытием для сотрудников банков не является.
Начнем с того, что разъясним понятие «дамп». Дамп – код, записанный на магнитной полосе («говноленте») вашей карты. Сей код имеет три составляющие – три трека, которые называются соответственно: Track1, Track2 и Track3. Именно дампы и снимают с ваших карт скиммером(устанавливается на банкомат) или кардридером (при оплате в магазинах или ресторанах), после чего продают на кардинг форумах или обналичивают сами.
Выглядит дамп следующим образом:
Track1:B4257160000ххххх13^Cardholder/Name 05011010000048087000000
Track2:425716000ххххх13=050110115948087
(Track3 рассматривать не будем, так как он: или совсем неактивен, или отводится под всякие бонусные программы. Треки предоставлены исключительно в образовательных целях.)
Что же несет в себе этот ряд цифр и что из этого можно получить? Давайте разберемся.
Как мы видим, первый трек несет в себе 16 цифр номера карты, имя владельца, информацию о сроке годности карты (exp. date) + слегка перестроенную информацию второго трека - тот же самый pvn.
Давайте чуть внимательнее рассмотрим номер карты. Непосредственно, номер карты это случайная последовательность, сгенерированная определенным образом, соответственно очень легко проверить так называемую чексумму - действительно ли это номер кредитной карты или что-то другое. Кроме того эти 16 цифр несут в себе информацию о типе карты и банке эммитенте. За это отвечают первые 6 цифр.
Первая цифра (слева направо - тип карты, т.е. 4-Visa, 5-MC, 3-Amex и т.д.) - это класс карты. Следующие 4 - это уникальный идентификатор банка-эммитента + идентификатор типа карты (т.е. для виз - классик, голд, платина и т.д.). В общем, первые 6 цифр номера кредитной карты называются BIN. Из вышеприведенного трека можно увидеть, что его банк-эммитент - BMW Bank GMBH (425716), класс карты - виза и тип - корпоративная кредитная карта (бывают еще и дебетовые), карта действительна до 01/05 (цифры после "=" в треке, только наоборот), имя владельца – Name Cardholder (по треку 1).
А теперь самое интересное:
При работе банкоматов, POS терминалов - чаще всего трек1 не используется, так что если имеется только трек2, то ничего страшного не произошло - имя можно вписать любое.
Кроме того, по второму треку можно узнать кое-какую дополнительную незначительную информацию. Например, если не вдаваться в технические подробности - цифры после exp.date блока (101) – говорят о том, что карта имеет те или иные региональные ограничения к использованию и обрабатываться будет только конкретными организациями в конкретных местах. В нашем случае 101 говорит, что карта не требует обязательного ввода пинкода и может использоваться без региональных и другого рода ограничений.
Действия кардера:
Покупает (или добывает) дамп, после чего изготавливает пластиковые карты на «левые» документы (то есть имя владельца карты указывается необходимое кардеру). Одновременно заменяя имя и фамилию в дампе на указанные в «левых доках». После чего идет в магазин и «затаривается» (делает покупки).
Пофигизм банков:
Банки, как всегда, решили сэкономить. А посему в POS терминалах передается лишь трек2. Тем самым давая возможность мошенникам подменять имя и фамилию в треке1, который служит лишь для того, чтобы показывать данные о владельце карты на экране кассы или POS терминала. А ведь стоит, всего лишь, передавать трек1 и 80% кардеров отсеются, не желая тратиться на новые документы(а это не менее 1000$ за экземпляр) для каждой карты.
Пофигизм разработчиков:
А может просто недальновидность. Ибо код треков с момента их создания в середине прошлого века так и не изменился. Если бы разработчики внесли в трек2 информацию идентифицирующую кардхолдера не только по номеру карты, но и связанную с именем, то опять же отсекли бы 80% случаев мошенничества.
Вывод:
Может хватит уже экономить и всерьез задуматься о безопасности клиентов?
Комментарии 34
@.
Кстати, МПС давно говорят эмитентам - переходите на чип..даже ответственность за фродовые транзакции по магнитке переложены целиком на эмитента...
а Вы представьте ситуацию - сами сняли деньги со своей карты, а потом пришли в Банк и говорите:"я тут не причем...". Что Банку делать?
а вообще, мы уже удалились от темы.. если реальная проблема - пишите в личку - чем смогу помогу..
Судя по истории Павла Егорова с Райффом, банк заявит, что у тебя есть самолет и ты сам туда слетал. Ну или сам сделал копии карты и разослал подельникам. Было бы желание не доказывать.
>Что Банку делать?
Уголовное дело возбуждать.
>если реальная проблема - пишите в личку - чем смогу помогу..
Слава богу пока нет.
Также рассматривались лишь карты с магнитной полосой, ибо с чиповыми таких проблем нет и в ближайшее время не предвидится.
Была такая программка Mars Bank Base. Там все bin'ы есть.
Если вы успели заметить, то описывал тему дампов (реал кардинга). Другие тематики (связанные с интернет кардингом) рассмотрим позже.
Алексей, про чипы всё же интересно, ибо чисто чиповых карт до сих пор нет, полоска все равно на карте имеется. Теоретически, если операция прошла без участия чипа, то она оспарима. Может вопрос не по адресу, но в случае с Российскими банками, если был введен пин-код, то никто ничего оспаривать даже не будет, как вообще дела на нашей родине с этими чипами обстоят?
Это теоретически... если терминалы оснащены чип-ридерами, а операция прошла по магнитной полосе - оспорить нельзя...
в инете - если введен cvc - шансов оспорить нет...
по поводу чипов в россии - ряд банков уже сертифицировал свои карточные программы МПС..
Если при этом карта нечиповая - то виновать эмитент (в российской практике - перекладывается на держателя). Если карта чиповая (есть признак чипа на полосе), но почему-то использовалась полоса (кривые настройки терминала) - виноват эквайрер. Если карта выпущена банком, как чиповая, но на той, что предъявлена в ТСП признака чиповости на полосе не было, - и поэтому проведена как полосатая - то очевидный фрод, т.к. карта по нанесённым на неё данным была не та, что официально выдана держателю банком.
Увы, в большинстве случаев позиция отечественных банков в вопросах спорных транзакций максимально недружелюбная. Однако, отчаиваться и срочно закрывать и сдавать все свои карты спешить не надо: есть вполне благоприятная судебная практика по вопросам опротестования по картам.
@.
Карту пользую давненько и часто... Шо-то ни разу пачпорт не затребовали...
Правда, тока в Раше... Совдеп, млин... Как он есть досталь...
Есть письмо-рекомендация от российского представительства Виза, где русским по белому определена величина, до которой ПС рекомендует проводить операции без паспорта, - 1000 рублей. Есть правила ПС (и Визы, и Мастера), в которых проверка ID рассматривается лишь как дополнительная мера и лишь в случае обоснованных сомнений. Но у нас каждый кассир с "комплексом вахтёра" и подозревает всех сразу и по определению. А уж человека с картой - дважды заранее. Ну и потом есть же гениальное изобретение под названием Instan Issue, Prepaid, Unembossed - карты, персонализованные заранее, но не персонифицированные. Вопрос "а что с чем будете по безымянной карте сверять?" ставит большинство кассиров в тупик. Некоторые находчиво сверяют подпись, хотя нигде в правилах не сказано, что подпись в ID должна совпадать с подписью на карте или в чеке. В правилах есть лишь требование, чтобы подпись в чеке и на карте совпали, в России ещё подпись на карте должна совпадать с образцом подписи в карточке банковского счёта. Всё, других совпадений быть не обязано.
По поводу не персонифицированных карт (в основном это Visa Electron) - их использование четко ограничено регионом, если не ошибаюсь. Соответственно вашу карту кардеры не смогут использовать за рубежом.
А так, да - кассиры частенько свою памятку считают ну если не самими правилами ПС, то выдержкой избранных тезисов из них.
Моментальность выдачи и региональные ограничения - это несвязанные вещи. На текущий момент из Мастеркардовских продуктов 1 карта Prepaid (Momentum) - Valid only in Russia, 2 препейки - международного хождения. 5 Visa Electron Instant Issue - международных, по трём из них (они от одного банка) - запрет на конвертацию при снятии в банкомате, запрета на конвертацию при покупках нет. Но зато поскольку их 3 и бесплатных, то базовые валюты карт - рубль, евро и доллар. Visa Classic Unembossed (тоже моментальной выдачи, её я правда уже моментально же и сдал) - тоже не имела ограничений по региону использования.
@.
а откуда такие познания?
http://www.banki.ru/products/remote/rating/2009/experts/ivanovskiy/
@.
Самое забавное в том, что изначально РуБанки использовали чипы, если кто помнит старые карты СберБанка(кстати, именно на картах Сбера я до сих пор наблюдаю чипы, молодцы). Позже американская говнолента вытеснила их благодаря своей низкой стоимости и развитой системе терминалов. Мы как дикари кинулись использовать все, что советовала Америка. А вот Европа к тому времени, наоборот, свои магнитные полосы решила дополнить чипами или вовсе отказаться от говнолент на внутреннем рынке. Опять же, забавная история - чипы, которые используют в Европе разработали русские
По поводу безопасности чипов - она в 100 (а может и в 1000) раз превышает безопасность магнитных лент. Я давно пытаюсь донести до российских держателей карт необходимость перехода на чиповые карты для сбережения своих средств.
P.S. Если бы какой-нибудь банк дал свою чиповую карту и разрешение на ее полное тестирование-разбор-ломание-крамсание, то с удовольствием бы взялся за это.
или же, как вариант - сделайте себе Золотую корону и.. ломайте на здоровье..
Если на полосе есть признак чипа, а карта обслуживается по магнитке - вина на эквайрере, однозначно. В МПС существуют четкие разграничения зон ответственности. Это происходит как правило в устройствах банков, еще не прошедших сертификацию на EMV-эквайринг, либо "отболтить" карту и потерять межбанковские комиссии по операции, либо операция проводится под соусом - "чип не читаем" и авторизуется по полосе. Как правило этим умело пользуются кардеры, которые на белом пластике катают полосы от чиповых карт и идут в АТМ таких банков. Пару лет назад данная проблема широко имела место в банкоматах Юникредита. Штрафы от МПС оплачивались молча и без опротестования, т.к. сами виноваты были.
По поводу "Я давно пытаюсь донести до российских держателей карт необходимость перехода на чиповые карты для сбережения своих средств. " Не взваливайте на себя ношу МПС, это они заняты продвижением своего стандарта EMV в массы. Однако, с EMV в РФ не все так гладко как хотелось бы. В РФ существует ряд объективных обстоятельств, в силу которых EMV тут еще не скоро приживется (слабая инфраструктура приема EMV, относительно высокая стоимость заготовок, отсутствие дополнительных приложений для чипа, огромное количество локальных платежных систем, особенно дальше на восток и т.д.). Пионером EMV строения можно назвать Великобританию, там все понятно: высокий уровень финансовой грамотности населения, огромный уровень проникновения пластика и...колосальные потери от фрода. Пока все эти все факторы не просуммируются и в РФ, EMV тут будет буксовать.
Касательно суммы покупки и поддельных документов. Кассиры ТСП не утруждают себя чтением банковских инструкция по работе с терминалом и приему карт и действуют кто во что горазд, особенно, учитывая текучку этого персонала в ТСП. Обычно банки рекомендуют запрашивать документ при любой покупке на сумму более 10 000 рублей, при меньшей сумме - перестраховка кассиров, а фальшивые доки это как правило водительские удостоверения, а не паспорта.
PS Всегда бесило это ламерское "срок годности карты"...срок годности есть у колбасы, селедки, сала и другой жратвы, а у карты - срок действия.
MasterCard Europe представила дебетовую карту нового поколения с дисплеем, которая должна повысить контроль и безопасность платежей, совершаемых через Интернет. С ее помощью можно осуществлять любые платежные операции, при этом на самой карте установлен небольшой дисплей с функцией «тач-скрин».
На нем владелец карты может просмотреть информацию об остатке на счете, лимите и т. д. Для обеспечения защиты были привлечены специалисты из швейцарской компании NagraID Security.
Кроме того, британская финансовая компания Newcastle Building Society подтвердила намерения запустить пилотный проект по выпуску карт с дисплеем в течение 2010 года.
Ничего профессионально интересного в этой книге нет. Вся история высосона автором из пальца (IMHO), хотя и довольно креативненько. И даже место новомодному “продакт-плейсменту” нашлось. На мой взгляд книжка эта вредная, поскольку читать ее будут в первую очередь молокососы и почерпнут они из нее только призрачную романтику жизни кардера/хакера-патриота, который от безденежья и лени якобы поначитался форумов и быстренько стал зарабатывать кучу денег, вести интереснейшую жизнь на широкую ногу, да еще и выполнять тайные задания Родины. Дурачков в стране хватает и в колонии разного режима отправится молодое пополнение…
Татьяна и ещё вопрос, просветите что это за компания такая MasterCard Europe ??????????