Android считыватель банковских карт

Как считать данные вашей карты любым смартфоном

Мы привыкли использовать телефон с NFC как банковскую карту. А можно ли используя эту технологию прочитать данные физической карточки? Оказывается, можно. И вот вам бесплатное приложение для Андроид, которое поможет вам это сделать.

Что может приложение

Приложение «Считыватель банковских карт» можно скачать по этой ссылке из официального магазина Google Play. Работать программа будет только на телефонах с NFC.

Чтобы прочитать данные своей карты, просто поднесите ее к смартфону. Приложение должно находиться в режиме ожидания.

Отобразится базовая информация о карточке следующего вида.

Чтобы увидеть номер целиком, нажмите на изображение карты на экране и введите 4 последовательные цифры из номера. Например, четыре последних.

Теперь карточка показывается целиком.

Я замазал цифры, но они отображаются корректно — проверено. Ниже виден срок действия, тоже правильно.

Также вы можете посмотреть последние транзакции, которые были проведены с авторизацией этой картой.

Резонный вопрос: а не сольет ли эта программа ваш номер карты в сеть? У приложения нет доступа в интернет, так как отсутствует соответствующее разрешение. Потому ничего и никуда отправить оно не способно.

В чем практический смысл такой программы? Вы и сами способны прочитать номер карточки. Разве что в вашем распоряжении оказалась половинка карты с чипом.

Вероятно, цель разработчиков — продемонстрировать пользователям, что мошенники могут написать аналогичный инструмент и пользоваться им в местах скопления людей. Например, в торговых центрах, общественном транспорте, в кафе и магазинах. Поэтому старайтесь держать свои банковские карты подальше от чужих телефонов, располагая их как можно глубже в сумке или нагрудном кармане куртки! Так вы защитите себя и свои данные от мошенников.

Еще один отличный способ защитить карты — использовать специальный кошелек или чехол с сеткой Фарадея внутри. Данная сетка блокирует все сигналы, включая NFC/RFID, Wi-Fi, сотовые и радио. Так что злоумышленники могут бесконечно долго и безуспешно пытаться считать данных ваших карт. Стоят такие чехлы не сильно дорого, а польза будет внушительной, если вы часто бываете в людных местах.

Источник

Считыватель банковских карт

вкл. 14 Сентябрь 2017 . Опубликовано в Финансы

Считыватель банковских карт — приложение для считывания данных с бесконтактных NFC EMV банковских карт. Это приложение — аналитический инструмент для считывания данных с бесконтактных NFC EMV банковских карт. В некоторых новых EMV картах имя владельца и история транзакций скрыты эмитентом для обеспечения конфиденциальности. Удостоверьтесь, что ваша карта совместима с NFC (на неё нанесён логотип NFC). Это приложение не предназначено для платежей и не содержит рекламы.

Безопасность:

• Это приложение не имеет доступа в Интернет (отсутствует соответствующее разрешение).

Совместимые EMV карты:

• Visa
• American Express
• MasterCard
• LINK (Великобритания) сеть банкоматов
• CB (Франция)
• JCB
• Dankort (Дания)
• CoGeBan (Италия)
• Banrisul (Бразилия)
• Saudi Payments Network (Саудовская Аравия)
• Interac (Канада)
• Discover Card
• UnionPay
• Zentraler Kreditausschuss (Германия)
• Euro Alliance of Payment Schemes (Италия)
• Verve (Нигерия)
• The Exchange Network ATM Network
• RuPay (Индия)
• ПРО100 (Россия)

Скачать приложение Считыватель банковских карт на Андроид бесплатно вы можете по ссылке ниже.

Разработчик: Julien MILLAU
Платформа: Android 4.0.3 и выше
Язык интерфейса: Русский (RUS)
Состояние: Free (Бесплатно)
Root: Не Нужен

Источник

Какое приложение скачать, чтобы расплачиваться картой через телефон с NFC?

Бесконтактная оплата с помощью смартфона, оснащенного функцией NFC, с каждым годом приобретает все большую популярность. В данной статье мы попытаемся разобраться, какое приложение стоит скачать, чтобы расплачиваться за покупки телефоном.

Лучшие приложения для бесконтактной оплаты покупок картой с помощью смартфона

Бесконтактная оплата телефоном через терминал возможна для всех моделей смартфонов, оснащенных технологией NFC. Это удобный и практичный способ совершать покупки в магазинах без необходимости иметь при себе банковскую карту. Рассмотрим подробнее, какое приложение стоит скачать на смартфон, чтобы расплачиваться картой.

Как работает система бесконтактной оплаты?

Оплата смартфоном допустима только при наличии чипа Near-Field Communication (NFC). Он позволяет терминалу и мобильному устройству идентифицировать друг друга и передавать данные без доступа к Интернету.

Для осуществления платежей необходимо установить приложение для бесконтактной оплаты, добавить в него номер банковской карты, а также убедиться, что система NFC включена в настройках телефона. Затем вам потребуется только поднести телефон к терминалу на расстояние до десяти см, чтобы модуль сработал.

Современные модели смартфонов с системой Android выше 4 или IOS от 8 версии оснащены функцией NFC.

Основные преимущества метода бесконтактных платежей телефоном

• Безопасность. Все мобильные платежи, осуществляемые с помощью протокола NFC, динамически шифруются. Также на самом смартфоне можно настроить идентификацию пользователя с помощью отпечатков пальцев, Face ID и т.п. Это позволяет защитить устройство от несанкционированного доступа и запретить платежи.
• Удобство. Вам не нужно носить с собой пластиковую карту.
• Простота применения. Нужно просто поднести телефон к устройству для платежей, оплата осуществляется без задержек и комиссий.

Основной недостаток – не все платежные терминалы оснащены чипом, поддерживающим NFC. Для работы системы требуется установка специальных программ, которые могут не поддерживаться заграничными терминалами.

Программы бесконтактной оплаты через телефон

Существует много платежных сервисов для оплаты товаров и услуг телефоном, разработанных для систем IOS и Андроид. Некоторые из них возможно устанавливать на обе ОС.

Название приложения	Версия системы для установки (минимальная)	Магазин
Google Pay	Андроид 4.4	Google Play
Samsung Pay	Андроид 4.4	Google Play
Apple Pay	IOS 8	Программа Wallet уже установлена
Mir Pay	Андроид 6	Google Play
Кошелек Pay	Андроид 4.4	App Gallery

Как производить оплату с помощью Apple Pay?

Эта система поддерживается айфонами версии 6 и выше. Владельцу телефона с IOS достаточно скачать из магазина программу Wallet (обычно, она уже предустановлена на iPhone). Добавляется карточка банка вручную или сканом камеры.

Если вы – владелец карты Сбербанка, то существует другой вариант внесения банковского продукта в платежную систему Айфона. Нужно войти в Сбербанк.онлайн, выбрать нужную карту и нажать «Подключить Apple Pay».

Средства списываются только после подтверждения отпечатка пальца в Touch ID. На последних версиях IPhone возможно выполнять платежи без подтверждения, только разблокировав устройство.

Оплата при помощи Samsung Pay

Это современный платежный сервис, разработанный для смартфонов торговой марки Samsung. Ее уникальность в том, что она позволяет платить в любых терминалах – как бесконтактных, так и с магнитной полоской. Дело в том, что при работе Samsung Pay использует комбинацию протоколов NFC и MST (специальный модуль, реагирующий на изменение магнитных полей).

Условия использования приложения Samsung Pay:

• Смартфон Samsung, оснащенный чипом Near-Field Communication;
• Андроид версии 4.4 и выше;
• Регистрация на официальном сайте Samsung.

Данный сервис отличается высокой безопасностью платежей, благодаря встроенной в телефоны Самсунг системы KNOX, предназначенную для двухфакторной авторизации при защите данных. Приложение требует ввести пароль при оплате смартфоном, либо проверить отпечаток пальца.

Оплата телефонами с системой Андроид

Платежной системой смартфонов на ОС Android является Google Pay. Это одно из наиболее распространенных приложений для бесконтактной оплаты.

Условия использования Google Pay:

• Смартфоны на базе Андроид 4.4 и выше, оснащенные функцией бесконтактной оплаты;
• На телефоне не должно быть root-доступов, программы Samsung MyKnox. В противном случае ничего работать не будет.
• Регистрация в Google;
• Загрузчик Андроид не должен быть заблокирован;
• Если сумма покупки превышает тысячу рублей, то система в обязательном порядке потребует введения пин-кода или подтверждение операции отпечатком пальца.

Эта платежная система позволяет оплачивать покупки через специальный терминал, оснащенный чипом, а также в приложениях из магазина Google Play. Как правило, данный сервис уже предустановлен на устройствах с Андроид. Исключение – китайские смартфоны Huawei, попавшие под санкции и лишившиеся возможности использовать Гугл Плей.

Список карт, поддерживаемых приложением Google. Также на самом смартфоне с поддержкой Гугл Пэй есть специальный значок.

Как оплачивать покупки телефоном с поддержкой кошелька Pay

Корейская компания Huawei попала в опалу и была заблокирована в Google. Из-за этого было разработано приложение, аналогичное Google Pay для Android. Программа «Кошелек Pay» ранее применялась для хранения скидочных карт различных магазинов. Но ее функционал был доработан, и теперь она позволяет расплачиваться смартфоном.

Принцип работы и добавления банковской карточки аналогичен другим приложениям. Но «Кошелек Pay» пока что не так популярен, как остальные, и имеет ограниченное количество платежных систем. Например, она не принимает карты Сбербанка. Плюс программы – раздел клубные карты, куда вы можете загрузить номера скидочных карточек магазинов.

Программа Mir Pay для оплачивания покупок картой Мир

Мир Pay – новая программа, разработанная в РФ для оплаты покупок с помощью карточек «Мир». Оно доступно на смартфонах с системой Андроид 6 версии и выше, оснащенных чипом NFC.

Все платежные операции защищены с помощью специального шифрования данных. Реквизиты карточек посмотреть в телефоне нельзя, т.к. вместо реального номера карты Мир в программе высвечивается токен.

Ее основной недостаток заключается в том, что она срабатывает только на терминалах, принимающих карты «Мир».

Другие приложения, позволяющие проводить оплату картой

Первые 5 программ, о которых рассказывалось выше, чаще всего используются для проведения бесконтактной оплаты через телефон. Но существуют и другие приложения, например:

• «Квадратный кошелек». Этот сервис поддерживается устройствами с IOS и Android. Имеет функции идентификации местоположения транзакции и бесплатной проверки платежей. Связано с учетной записью Square.

Если ваш телефон поддерживает функцию NFC, вы сможете совершать покупки в магазинах без необходимости вытаскивания банковской карточки из кошелька. Какую именно программу устанавливать – решать Вам. Все описанные приложения отличаются высокой безопасностью сделок, проводимых бесконтактным способом. Они имеют свои особенности, недостатки и ограничения, ознакомиться с которыми можно на официальных сайтах программ.

Источник

Клонируем бесконтактную карту с помощью мобильного приложения

Всегда было интересно посмотреть, что происходит у банковской карточки под «капотом». Как реализуется протокол общения банковской карточки и POS-терминала, как это работает и насколько это безопасно. Такая возможность предстала передо мной, когда я проходил стажировку в компании Digital Security. В результате при разборе одной известной уязвимости EMV карт в MagStripe-режиме, было решено реализовать мобильное приложение, которые способно общаться с терминалом по бесконтактному интерфейсу, с использованием своих команд и подробным разбором запросов и ответов. А также попробовать реализовать способ клонирования карт MasterCard в режиме MagStripe.

В этой статье я постараюсь описать, что такое EMV-карта, как она работает и как используя Android можно попытаться клонировать вашу MasterCard карту.

«There are some things money can’t buy. For everything else, there’s MasterCard»

Что такое EMV карта?

EMV — это международный стандарт для банковских карт с чипом. В разработке этого стандарта принимали участия Europay + MasterCard + VISA, отсюда и название. Попробуем разобраться, как же все таки карта общается с POS-терминалом по бесконтактному интерфейсу.

Начнем с самых основ.

Бесконтактная EMV карта на физическом уровне работает почти так же, как и RFID метка. Если базисно то, чип попадает в электромагнитное поле, а в замкнутом проводящем контуре (в нашем случае это будет антенна, расположенная по периметру), помещенном в переменное магнитное поле, образуется переменный электрический ток. Этот ток заряжает специальный конденсатор, подключенный параллельно к резонансному контуру карты. Энергия, запасенная в конденсаторе, используется для выполнения микросхемой карты различных операций. Когда ридер изменяет электромагнитное поле, изменения сразу будут заметны на чипе. Используя модуляцию сигнала, мы можем передавать информацию в бинарном виде. Если на карте подключить нагрузочное сопротивление и или изменить емкость конденсатора, то можно изменить силу тока в контуре карты, что приведет к изменению создаваемого им электромагнитного поля в области контура ридера, таким образом карточка передает данные. Ридеру останется детектировать эти изменения. Подобное физическое взаимодействие регламентируется стандартом ISO/IEC 14443 “Identification Cards — Contactless integrated circuit(s) cards — Proximity cards”.

Сам чип карты представляет собой смарт карту, на которой работает JavaCard, отдельная версия Java для платформ с малыми вычислительными ресурсами и поддержкой криптографических алгоритмов. На JavaCard загружаются апплеты, которые, и являются приложениями. Также существует GlobalPlatform это некий стандарт для JavaCard, который предоставляет возможность безопасного управления данными на карте и позволяет загружать, изменять и удалять приложения на карте. В этой статье механизмы безопасности самой смарт карты мы рассматривать не будем. Достаточно знать, что защищенные данные, например приватный ключ и секретный мастер ключ карты лежат в защищенном месте и вытащить их стандартными средствами невозможно.

Также еще напомню немного терминологии, для тех, кто не знаком.

POS-терминал (Point of Sale) — устройство продавца, которое считывает карту и инициирует платеж. Далее будем называть это устройство просто терминалом.
Банк эмитент — это банк, который выпустил вашу карту.
Банк эквайер — банк, который выдает продавцам POS-терминалы и обрабатывает платежи с них.
Платежная система — центральное звено между банком эквайером и банком эмитентом, через нее проходят абсолютно все платежи, и она знает какой банк какому сколько должен перевести денег. Платежных систем в мире не мало, кроме всем известных Visa и MasterCard есть ещё и American Express, China UnionPay и российская платежная система МИР.

Хорошо, карта и ридер могут общаться. Они посылают друг другу APDU-команды в виде Tag-Length-Value т.е. передается название тэга в шестнадцатеричном виде, его длина и само значение. Все команды описаны конечно же в документации и выглядят примерно так:

Стандартная EMV транзакция проходит в несколько этапов, я опишу полный алгоритм взаимодействия в случае контактного интерфейса, для бесконтактного интерфейса алгоритм несколько укорочен:

• Выбор приложения;
• Инициализация обработки приложения;
• Считывание данных приложения;
• Офлайн аутентификация;
• Обработка ограничений;
• Проверка держателя карты;
• Риск-менеджмент на стороне терминала;
• Анализ действий терминала;
• Риск-менеджмент на стороне карты;
• Анализ действий карты;
• Процессинг в режиме on-line;
• Завершение операции.

Коротко рассмотрим каждую операцию.

Выбор приложения. Часто бывает, что на одной карте может быть несколько приложений. Например, банковская карта и проездной билет. И терминалу как-то необходимо разобраться, где и какой алгоритм ему использовать. Для выбора приложения используются так называемые Идентификационные Коды приложения (Application Identifier – AID). Что бы в этом разобраться терминал посылает команду SELECT. Например, AID карты Visa Classic будет выглядеть следующим образом: A0000000031010. Если в ответ придет несколько таких кодов и терминал умеет работать с несколькими приложениями, то терминал выведет на экран список и предложит выбрать нужное нам приложение. Если терминал не поддерживает ни один из кодов приложений, то операция будет отклонена терминалом.

Инициализация обработки приложения. Здесь сначала проверяется географическое место пребывания. Например, карты Maestro Momentum могут работать для оплаты только в России. Этот этап сделан для того, чтобы предоставить эмитентам возможность применять существующие онлайн методы риск-менеджмента при проведении офлайн операций. На этом этапе EMV-транзакция может быть отменена по инициативе самой карты, если данный тип операции запрещен в данной стране мира эмитентом. Далее карта передает терминалу набор специально структурированной информации, содержащей описание функциональности карты и приложения.

Считывание данных приложения. Терминалу передаются различные данные карты необходимые для транзакции, например номер карты, expiration date, счетчик транзакций и много других данных. О некоторых из них будет сказано далее.

Также передается сертификат публичного ключа банка эмитента и самой карты. Для того чтобы терминал был способен проверить цифровую подпись некоторых данных карты используется PKI-инфраструктура (Public Key Infrastructure). Вкратце, у платежной системы есть пара ключей — публичный и приватный и платежная система является для всех участников CA (Center Authority). По сути платежная система для каждого банка эмитента выпускает новую пару ключей, и при этом формирует сертификат публичного ключа банка эмитента, подписывая его приватным ключом CA. Далее, когда банк выпускает новую карту, он соответственно генерирует для карточки пару ключей, и также формирует сертификат публичного ключа карты, подписывая его с помощью приватного ключа банка. В терминалах обычно зашит сертификат публичного ключа для различных платежных систем. Таким образом, когда карточка передает сертификат публичного ключа банка эмитента и сертификат самой карты, терминал может с легкостью проверить всю цепочку, используя публичный ключ платежной системы. Терминал с помощью публичного ключа платежной системы сначала проверяет подлинность сертификата банка эмитента, если он подлинный, то значит ему можно доверять и теперь с помощью сертификата банка эмитента можно проверить сертификат самой карты. Более подробней в статье про безопасность EMV .

Офлайн аутентификация. Терминал определяет тип поддерживаемого метода оффлайн аутентификации. Существует статичная (Static Data Authentication – SDA), динамическая (Dynamic Data Authentication – DDA) и комбинированная (Combined Data Authentication – CDA). Эти методы также построены на основе PKI. SDA это просто подписанные данные на приватном ключе банка эмитента, DDA — терминал посылает какое-то случайное число и карточка должна подписать его, используя свой приватный ключ, а терминал проверит эту подпись используя полученный ранее сертификат карты, таким образом терминал удостовериться в том, что карточка и правда обладает приватным ключом — следовательно является подлинной. CDA это просто комбинация обоих способов.

Обработка ограничений. Здесь терминал проверяет полученные ранее данные с карты на условие пригодности для данной операции. Например, проверяет срок начала/окончания действия приложения Application Expiration Date (Tag ‘5F24’) и Application Effective Date (Tag ‘5F25’). Также производится проверка версии приложения. Результаты операций, проводимых на данном этапе, также записываются в отчет TVR (Terminal verification results). По результатам этого этапа транзакция не может быть отменена, даже в случае, если, например, срок действия приложения истек.

Проверка держателя карты. Верификация держателя карты производится для того, чтобы аутентифицировать человека, предоставившего карту и проверить, является ли он подлинным владельцем карты. Стандарт EMV предоставляет различные методы верификации держателя карты (Cardholder Verification Method). Методы верификации определены как на терминале, так и на карте. Они содержатся в так называемых CVM-листах. В процессе выполнения, терминал и карточка сравнивают полученные CVM-листы и выбирают общий метод верификации.

Список поддерживаемых методов верификации:

• No CVM required (‘011111’b);
• Fail CVM processing (‘000000’b);
• Signature (‘011110’b);
• Enciphered PIN verified online (‘000010’b);
• Plaintext PIN verification performed by ICC (‘000001’b);
• Plaintext PIN verification performed by ICC and signature (‘000011’b);
• Enciphered PIN verification performed by ICC (‘000100’b);
• Enciphered PIN verifi cation performed by ICC and signature (‘000101’b).

Вот здесь также есть интересная информация на эту тему.

Риск-менеджмент на стороне терминала. На этом этапе терминал проводит внутреннюю проверку параметров транзакции, исходя из установок риск-менеджмента банка-эквайера. Процедуры риск-менеджмента могут быть выполнены терминалом в любое время между моментами завершения процесса чтения данных карты и формирования терминалом первой команды GENERATE AC. Риск-менеджмент на стороне терминала включает в себя три механизма:

• контроль размера операций, выполненных по карте (Floor Limit Checking);
• случайный выбор транзакции для онлайн авторизации этой транзакции эмитентом (Random Transaction Selection);
• проверка офлайн активности использования карты (Velocity Checking).

Анализ действий терминала. На этом этапе терминал анализирует результаты предыдущих шагов транзакции. По результатам анализа терминал принимает решение о том, следует ли провести операцию в online-режиме, разрешить ее проведение в офлайн режиме или отклонить операцию.

Риск-менеджмент на стороне карты. Карта, получив из команды GENERATE AC данные, касающиеся транзакции, терминала и результатов проверок терминала, в свою очередь выполняет собственные процедуры управления рисками и выносит собственное решение о способе завершения операции.

Анализ действий карты. На этом этапе карта завершает проведение процедур риск-менеджмента и формирует ответную криптограмму терминалу. Если карта решает одобрить транзакцию, то формируется Transaction Certificate. Если карта принимает решение о выполнение операции в режиме реального времени, то она формирует ARQC (Authorization Request Cryptogram). Если карта использует альтернативные методы авторизации, тогда используется Application Authorization Referral. В случае, если карта отклоняет транзакцию, то Application Authentication Cryptogram.

Еще одна криптограмма ARPC (Authorization Response Cryptogram) нужна для аутентификации эмитента. Эмитент формирует криптограмму ARPC и отсылает криптограмму карте, если карта подтвердит пришедшую криптограмму, то следовательно, эмитент аутентифицирован картой.

Немного о безопасности ключей и взаимной аутентификации карты и эмитента из книги И. М. Голдовского:

Смысл взаимной аутентификации заключается в том, что карта и терминал аутентифицируют друг друга с помощью проверки подлинности криптограмм ARQC и ARPC. Криптограммы представляют собой данные, формируемые с использованием секретного ключа (который известен карте и банку эмитенту), номера транзакции, случайного числа, сгенерированного терминалом, а также некоторых реквизитов транзакции, терминала и карты. В случае ARPC к перечисленным данным еще добавляется авторизационный код ответа эмитента. Без знания секретного ключа карты для генерации криптограммы вычислить значения ARQC/ARPC невозможно за обозримое время с текущим уровнем технологий, и потому факт их успешной верификации указывает на подлинность карты и эмитента. Онлайн аутентификация является наиболее надежным способом аутентификации карты. Это связано с тем, что она выполняется непосредственно эмитентом, без посредника в виде терминала. Кроме того, для онлайновой аутентификации используется алгоритм 3DES с временным ключом размером 112 битов, криптостойкость которого соответствует криптостойкости алгоритма RSA с длиной модуля асимметричного ключа, используемого для офлайн аутентификации приложения карты, более 1700 бит. Использование на карте асимметричных ключей такой длины все еще достаточная редкость. Обычно используются ключи с модулем длиной 1024, 1152 или 1408 бит.

В конечном итоге онлайн транзакция проходит по цепочке:
Карта POS-Терминал Банк Эквайер Платежная Система Банк Эмитент.

Клонируем карту MasterCard в режиме MagStripe

Перейдем непосредственно к принципу клонирования. Данный метод атаки на бесконтактные карты был опубликован двумя исследователями Michael Roland, Josef Langer из Австрийского университета. В его основе лежит общий принцип, который называется Skimming. Это такой сценарий, при котором злоумышленник крадет деньги с банковской карточки путем считывания (копирования) информации с этой карты. В общем случае здесь важно сохранять PIN-код в тайне и не допускать его утечки. Но в методе австрийских ребят это нам знать не нужно. Клонирование платежной карты выполняется успешно для версии ядра приложения EMV Contactless Kernel 2. Версия этого протокола поддерживает два режима работы для бесконтактных карт: EMV протокол (MasterCard PayPass M/Chip) и MagStripe (MasterCard PayPass MagStripe) режим.

MagStripe — это режим поддержки карт с магнитной полосой. Этот режим реализуется на картах MasterCard с бесконтактным интерфейсом. Режим MagStripe скорее нужен для банков которым сложно переводить всю инфраструктуру для поддержки чиповых бесконтактных EMV транзакций. Кстати, у карт Visa также есть аналогичный режим работы — PayWave MSD (Magnetic Stripe Data).

Процесс обработки транзакции для бесконтактных карт урезан в сравнении с чиповыми и обычно работает в следующем режиме:

1. Терминал отправляет команду SELECT PPSE (Proximity Payment System Environment). Карта шлет список поддерживаемых приложений.
2. Терминал отправляет команду SELECT. В ответ получает необходимые детали приложения.
3. Терминал отправляет команду GET_PROCESSING_OPTIONS. Карта отвечает какой тип аутентификации она поддерживает и существует ли там верификация держателя карты.
4. Терминал отправляет команду READ_RECORDS. Карта в ответе посылает Track1 и Track2 практически аналогичный тому, что записан на магнитной полосе карты.
5. Терминал отправляет команду COMPUTE_CRYPTOGRAPHIC_CHECKSUM. Которая означает, что карта должна на основе переданного Unpredictable Number сгенерировать значение CVC3.

Это выглядит как APDU команды. Список всех тэгов.

APDU — Application Protocol Data Unit — это условное обозначение кадра с командой карте или ответом карты.

На хабре есть пара статей на эту тему тут и тут.

Карта поддерживает специальную команду COMPUTE CRYPTOGRAPHIC CHECKSUM, аргументом которой являются данные, определенные в объекте Unpredictable Number Data Object (UDOL). В результате карта с помощью алгоритма 3DES и секретного ключа вычисляет динамическую величину CVC3 (Card Verification Code). В качестве аргумента функции 3DES используется конкатенация данных UDOL и счетчика транзакции (Application Transaction Counter,ATC). Таким образом, значение величины CVC3 всегда зависит от объектов UN и ATC.

Другими словами, эта команда нужна, чтобы карта сгенерировала некую “подпись” для того, чтобы эмитент мог верифицировать карту. Однако, в этой подписи отсутствует подпись самой транзакции. В подписи содержатся значения ATC — 2 байта, CVC3 (Track1) — 2 байта, CVC3 (Track2) — 2 байта, которые генерируются картой на основе секретного ключа, который также знает банк-эмитент и счетчика транзакций (ATC). При этом также для генерации подписи POS-терминал сообщает карте UN (Unpredictable Number) — 4 байта, который также используется в генерации подписи. Unpredictable Number препятствует формированию кодов аутентификации на реальной карте для последующего использования в мошеннических транзакциях. Для атаки нам сильно мешает UN, поскольку 4 байта не представляется возможным перебрать, не выйдя за пределы счетчика транзакций. Однако, в спецификации этого есть некоторые слабости.

Во-первых, спецификация ограничивает UN кодировкой чисел, а именно Двоично-Десятичным Кодом (BCD), что по сути означает что, если мы посмотрим на такое закодированное число в HEX, то мы увидим только цифры от 0 до 9, все остальные значения считаются как бы запрещенными. Таким образом, количество UN уменьшается с 4,294,967,295 до 99,999,999.

Во-вторых, количество значащих цифр UN определяется картой. Таким образом в зависимости от специальных параметров в треках количество цифр в UN может быть от 10 до 10000 в зависимости от типа карты, на практике чаще всего встречается 1000 значений.

Таким образом план атаки выглядит следующий:

1. Считываем карту и узнаем количество значащих цифр у UN, которое будет предоставлять терминал
2. Перебираем все UN, получаем все возможные значения функции COMPUTE_CRYPTOGRAHIC_CHECKSUM, сохраняем их в соответствующей таблице с мапингом UN -> Result
3. Подносим к POS-терминалу, узнаем число, которое просит POS-терминал.
4. Выбираем из таблицы нужный результат и подставляем его в ответ терминалу.
5. Транзакция уходит.
6. PROFIT. Но успех одобрения транзакции не гарантирован, поскольку банк эмитент может отклонить такую транзакцию.

Стоит отметить также, что счетчик транзакций (ATC) препятствует повторному использованию ранее использованных кодов аутентификации, а значит что если мы использовали такую атаку, то необходимо копировать карту заново, поскольку счетчик транзакции уже использовался для получения информации и был использован в подписи, что значит, что если мы имели счетчик транзакций 1000, а после отправили транзакцию в банк, то банк уже не примет транзакции со счетчиком ниже

Источник