Сегодня говорим о пластиковых картах. Какие существуют, их виды и особенности.
Пластиковые карты сегодня выполняют роль расчетного инструмента совмещая также функции депозитного и кредитного характера. Пластиковые банковские карты существуют для того, чтобы сделать нашу с вами жизнь проще, а именно для проведения безналичных расчетов. Сама по себе карта из себя представляет пластиковую пластину, стандартный размер которой составляет 85,6 мм, 53,9 мм, 0,76 мм. Изготавливается карта по специальной технологии из особенного пластика, устойчивого к механическим повреждениям и излишним температурным колебаниям.
Если сводить все к примитиву, то основная функция карты, это идентификация холдера с его последующей возможностью проведения безналичного расчета (платежа). Подавляющее большинство карт использует 16-и значный стандарт, где первые 6 - это идентификационный номер банка, он же BIN (bank identification number). Последующие 9 цифр это индивидуальный номер карты, ее счет в системе банка эмитента. Последний знак - контрольный.
Платежи картой можно производить в любой торговой точке, оборудованной POS- терминалом, а также онлайн. Сам платеж по пластиковой карте если смотреть УПРОЩЕННО разбивается на следующие стадии: сначала терминал производит аутентификацию карты и проверяет ее подлинность и наличие требуемых средств соединяясь с процессинговым центром. Потом списывают средства со счета карты и формируется чек. В принципе все.
Дальше торговая точка передает все собранные за день чеки в банк-эквайер, который в свою очередь производит расчеты, а также передает информацию в процессинговый центр о транзакциях по картам эмитентом которых он не является.
Процессинговый центр на основании полученной информации совершает все транзакции и снабжает все стороны соответствующей документацией и отчетами. Прежде чем начать квалифицировать пластиковые карты надо понять, что квалифицирующих признаков множество. В этой лекции мы коснемся большинства из них.
С технологической точки зрения карты, выражаясь популярным языком, можно разделить на 2 типа: с магнитной полосой и чипом. Карты просто с чипом практически не используются нигде. Используется комбинированный вариант магнитной полосы и чипа. Карты с чипом еще называют смарт-картами.
Магнитная полоса нужна для записи на нее информацию о карте и ее держателе. Карты с магнитной полосой бывают трех форматов (ID-1, ID-2, ID-3), однако наибольшее распространение получил именно первый формат.
На магнитной полосе имеются три дорожки (трека). Чаще всего используют первые две, куда записывают номер карты, срок ее действия, фамилию держателя карты и иные сопутствующие данные.
Те, кто хочет работать в реале, должны знать, что есть возможность записать ЛЮБУЮ инфу на дамп. Но в первую очередь это касается имени и фамилия холдера: ставим туда любые данные на которые у нас есть айдишка с нашей мордой, остальные данные оставляем настоящего холдера и вперед шопиться)) Но это лирическое отступление.
Карты с чипом (EMV, микропроцессинговые) гораздо более безопасны. На самом чипе записывается массив информации, в том числе и ПИН код. Таким образом например раскрытие пина перед считывающим оборудованием не требуется.
Также микропроцессорный чип самодостаточен в ряде случаев и не требует постоянного соединения с банком. Основной же момент в том, что скопировать (сдампить) чип практически не реально. Точнее это реально в теории, на практике это неосуществимо.
Такие карты помимо продвинутой аутентификации также осуществляют оценку рисков проведения транзакции, а также верификацию холдера. Главным методом подтверждения подлинности транзы в онлайн-транзакциях есть аутентификация. Чтобы это осуществить существует специальный метод генерации криптограммы ARQC самой картой для каждой операции отдельно. Это не совсем актуально для онлайн мошенничества, но это неплохо знать.
Эти карты считаются гораздо безопаснее, чем просто карта с магнитной полосой так как ее гораздо сложнее скомпрометировать и подделать. Все самые распространенные МПС сегодня полностью поддерживают этот тип карт, а он в свою очередь пытается активно распространиться по всему миру.
Стандарт EMV открыт и ознакомиться с ним можно на сайте разработчика. Вряд ли это кому то будет интересно, но вот https://www.emvco.com/
Карты с микрочипами больше всего разошлись по Европе, в ЮСЕ их все еще мало. Причина в самом банковском лобби: закупленное на десятилетия вперед оборудованиепод старый формат и нежелание больших банков переоборудовать технологическую базу под новые требования.
Также существуют смарт карты с магнитной полосой и NFC чипом, позволяющие бесконтактно совершать покупку с POS терминалом или устройством которое может такие операции совершать.Кстати карта с чипом, она же микропроцессинговая, она же EMV карта, появилась не так давно и разработали ее, а точнее первые кто начали совместно разрабатывать технологию были «VISA Inc» и «MasterCard Worldwide». EMV технология не самая простая и описать ее детально во-первых не представляется возможным в рамках этой лекции, а во-вторых это не имеет смысла. Мы коснемся прописных истин и самых важных для нас вещей. В принципе, EMV микропроцессорная карта есть ни что иное как смарт-карта. Она базируется на стандартах ISO/IEC 7816 или ISO/IEC 14443 для бесконтактной версии.
Красота микропроцессорных карт в том, что они прилично изменили и саму обработку платежа банком и иными участниками транзакции. Про разницу аутентификации я говорил в предыдущей лекции. Здесь лишь повторюсь, что аутентификация не есть идентификация и задача этой операции удостовериться в том, что карта является аутентичной. То есть к идентификации холдера эта операция отношения не имеет. Это технический момент, он довольно важен (более детально я его осветил в предыдущей лекции)
Так вот при совершении операции терминал считывает данные карты и отправляет их в платежную систему через банк-эквайер. Естественно мы сейчас говорим о совершении покупки через POS терминал. При совершении онлайн покупок в связи с тем, что аутентификация фактически невозможная (такая транзакция даже имеет особенную классификацию CNP - card not present) этот этап не производится. В случае c онлайн транзой все немного иначе. На страже антифрода из фундаментальных вещей остается только CVV/CVC. Это не считая программных методов и инструментов.
Пытаются активно внедрить динамические CVV коды: так называемые DCV (от слова dynamic). Но естественно нифига не выходит и выходить не будет еще долго. Технологическая база устаревшая, разработка которой стоила миллиарды долларов по всему миру и никто сейчас ничего менять не будет.
Бредятина этой идеи еще в том, что в одном из предлагаемых вариантов карта должна иметь графический дисплей. Что во-первых удорожает ее производство, а во вторых привносит еще одно технологическое звено в процесс совершения операции со всеми вытекающими отсюда последствиями.
Общий консенсус среди эмитентов на протяжении уже многих лет был найден давно: официально менять инфраструктуру не будут. Всех вполне устраивает технология 3- DSecure, которую тоже не очень то любят, откровенно говоря.
Теперь относительно материала из которого изготовлены карты: этот параметр по сути больше не актуален так как в наше время карты изготавливаются только из пластика. Раньше были бумажные (картонные) карты, но теперь это даже не редкость, теперь их просто нет в бумажном варианте.
Следующий признак, который к слову не является взаимоисключающим это назначение карты. Карта может быть выпущена для финансовых операций, идентификационной или информационной.
Например сотрудники большого предприятия могут получить карту, которая будет играть роль пропуска, иметь денежный баланс, который можно потратить в местной столовой. Или другой пример, в спортзале карта является как ключом доступа, так и средством расчета (которое предварительно залинковалось с вашим пэйпасом посредством взаимодействия с фирменным приложением на вашем смартфоне).
Последнее время явно отслеживается тенденция на объединение разных функций в пластиковых картах. Это удобно.
Следующий признак - механизм расчета: он может быть двусторонним или многосторонним.
В первом случае имеет место быть соглашение двух участников расчета / взаиморасчета. Как правило используется в замкнутых сетях (бонусы, мили, поинты) и контролируется эмитентом карты.
Во втором же случае холдер карты может использовать ее во всевозможных пунктах продажи, которые принимают ее как платежное средство (это именно те классические платежные карты которые мы с вами знаем).
Следующий признак это тип проводимых расчетов. Здесь карты делятся на кредитные и дебетовые.
Первые непосредственно связаны с открытием кредитной линии в кредитной организации на имя холдера карты. Это дает возможность холдеру временно и возмездно пользоваться заемными средствами банка в размере определенном условиями контракта.
Холдер получает определенный кредитный лимит, который он вправе исчерпать и который он обязан в установленный контрактом срок погасить. Как правило, чем больше человек тратит по кредитке, тем больший кредитный лимит он будет получать от своего банка. В случае с дебетовыми картами, расходуются лишь те средства, которые есть непосредственно в распоряжении холдера. В большинстве случаев (за небольшими исключениями в виде технического овердрафта например) такие карты не позволяют совершать платежей если средства на счете карты отсутствуют.
Также отдельно хочу выделить предоплаченные карты (prepaid), они же “препы” - это те карты на балансе которых уже есть определенные средства и их можно расходовать как правило после активации карты в эмитенте. О них я скаже еще пару слов позже. Следующий признак: характер использования: карта может быть индивидуальной - выдается конкретному лицу, может быть любого уровня; семейной - выдается членам семьи холдера; корпоративная - карта, выдается юридическому лицу для разных или определенных целей. Так существует карта для закупок, для оплаты канцтоваров и так далее. Также эти карты могут быть именными, выдаваемые на имя директора или главбуха. В таких случаях этим лицам открывается банковский счет, привязанный к основному счету компании. Ответственность по этим картам несут не лица использующие карту, а юрлицо которому кату выпустили.
Следующий признак: сфера использования. Тут все просто - карты могут быть или универсальными, которые допускается использовать для любых оплат в любых точках продажи или индивидуальными, которые можно использовать только для приобретения какого-то определенного продукта / услуги (автозаправки, гостиницы, большие монобрендовые магазины).
Следующий фактор - территориальная принадлежность: карты могут быть международными (действуют в большинстве стран мира, типа VISA или AmEx), национальные (действуют внутри одной страны, типа МИР), локальные (используемые на конкретной территории внутри страны).
Следующий фактор: способ записи информации на карту: выделяют в основном кодирование магнитной полосы, эмбоссирование, чип и их комбинации. Хотя есть еще парочка методов типа нанесения штрих кода или QR кода например. Но они в меньшинстве, а потому не сильно нас волнуют.
И последний и очень интересный фактор - это категории карт. Банки и иные финансовые организации формируют разные финансовые продукты руководствуясь ситуацией на рынке и таргетируя разные слои населения.
Разные сегменты имеют разной категории карты. Категория карты в свою очередь определяет статус холдера.
Как правило, чем выше статус, тем больше ништяков получает холдер и тем круче его карта.
Согласно устоявшейся международной практике существует глобально три категории карт: электронные, классические и премиальные.
Электронные это самые дешманские карты начального уровня. Они могут быть как дебетовые, так и кредитные. По науке это уровень называется например Visa Electron у VISA или Mastercard Electoronic или Maestro у Mastercard соответственно. Отличительные особенности этого уровня: низкая стоимость годового обслуживания, отсутствие специальных программ, невозможен перерасход средств.
Еще одна прикольная особенность этого начального уровня карт (наверняка вы не знали) - они считаются самыми защищенными из-за обязательного требования авторизации в реальном времени. До недавнего времени операции в интернетах по ним была по дефолту запрещена.
Как правило такие карты выдаются в качестве финансового инструмента для зарплатного проекта или например какие то особые программы розничного кредитования или вовсе могут быть выданы бесплатно. Это карты фу-фу-фу и добропорядочному кардеру они как вы понимаете не нужны.
Те немногие электроны, которые встречаются в шопах - скорее всего полная лажа. В эту же категорию попадают и всевозможные карты Instat Issue - это те, которые выдаются клиенту моментально и не являются персонифицированными (то есть на них отсутствует маркировка имени и фамилии холдера). Следующий уровень (который нам уже подходит) это классический уровень: Visa Classic или Mastercard Standard. Так же могут быть как дебетовые, так и кредитные. Основной клиент - люди со стабильным не превышающим средний доход. Такие карты как правило имеют самый сбалансированный пакет услуг и самое здравое соотношение цены обслуживания и сервисов, предоставляемых банком.
Из практики скажу, что на классиках бывают летают суммы поболее чем на премиальных уровнях, но скорее это редкость.
Те, кто собираются вбивать ДО 1к, можно брать и классики в том числе. За суммы меньше 600-500 баксов можно даже не париться - этот уровень подойдет.
На этом уровне карты уже персонифицированные, эмбоссированны: имя холдера, срок действия выдавлены на лицевой стороне карты.
Кстати эмбоссирование это некий рудимент, сейчас по прямому назначению нигде не используемый. Раньше эмбоссирование требовалось для имприна. Сейчас карты уже нигде не катают таким образом.
По этим картам доступны как онлайн так и офлайн операции (в том числе снятие наличных в банкоматах).
Следующая большая категория карт - это премиальные карты. Мои самые любимые! Точно так же могут быть как дебетовыми так и кредитными. К слову кредиты на премиальных картах могут впечатлять: 30-50к уже никого не удивишь.
К числу таких карт относятся Visa Signature и Infinite, а также карты уровня World.
На этих картах всегда присутствует еще ряд других сервисов и дополнительных услуг (типа кешбека, всевозможных скидок, информационных продуктов, страховых и прочего такого).
Золотые карты привилегированны, а платиновые еще более крутые - они получают расширенный пакет обслуживания, но еще на более выгодных и удобных условиях.
В США и Европе премиальный уровень карт доступен лишь тем лицам, кто действительно зарабатывает сильно выше среднего (это у нас можно пойти и спокойно оформить себе платину).
Хотелось бы теперь более детально пройтись по картам непосредственно в США, так как большинство из нас будет работать именно в этой стране.
Как мы знаем, в США существует Федеральная резервная система (https://ru.wikipedia.org/wiki/Федеральная_резервная_система), что-то типа нашего ЦБ, но круче.
Помимо нее, существуют как МПС, так и множество кредитных организаций общенационального и локального масштаба. Многие из них имеют разрешение (лицензию) на выпуск и обслуживание пластиковых карт, осуществлять безналичные платежи и осуществлять клиринговые операции и эквайринг.
Системы эти все разные и между собой различаются многим. Мы в первую очередь будем смотреть на те организации, которые обслуживают карты.
Соответствующие разрешения организациям выдает разрешительный орган в каждом штате отдельно.
Начать конечно стоит с VISA. Как мы знаем, VISA вездесуща и в США она так же разделяет пьедестал наравне с Mastercard.
VISA это международная платежная система, которая обеспечивает безопасное и бесперебойное движение денежных средств посредством одноименных пластиковых карт.
На момент написания этой лекции более 20.000 кредитных организаций по всему миру были подключены к системе. Это типа 20.000 банков так то.
За день обрабатывается более 200 000 000 транзакций, а скорость обработки одного запроса составляет порядка 1,5 сек.
Как уже писал в одной из предыдущих лекций, деятельность и порядок работы МПС регламентирован ее правилами и нормативно правовыми актами.
Ниже быстро рассмотрим самые основные категории карт:
Classic - самая база, стандартные функции (типа снятия наличных, пополнения баланса в банкоматах, совершение покупок онлайн и т.д.)
Gold - первая ступень премиальных карт, имеет определенные требования к потенциальному держателю. В свою очередь дает больше привилегий: повышены лимиты на снятие кеша, всевозможные скидки и программы лояльности в зависимости от специфики конкретного продукта. Platinum - следующая ступень по иерархической лестнице. Имеет все то же самое что и предыдущие две только еще более расширенные возможности. Соответственно требования к холдеру такие же. Да, они возрастают.
Signature - это в общем то апофеоз кайфа. В этом продукте есть все. Он дает максимально возможные лимиты по снятию, а так же все возможные бонусы, куча опций при путешествиях и прочие кайфы. Требование к холдеру (и сумма годового обслуживания) соответствующие.
Infinite - то же, что и сигнатур, только ЕЩЕ более эксклюзивно. Холдеры инфиниток - реально очень обеспеченные люди.
Black - это илита илит. Даже не знаю, существуют и такие карты в реале или нет, но в услугах визы она есть. Это прям эксклюзив эксклюзивов. Выдается по особому случаю. И далеко не каждому. Я бил как то такую. Разницу не заметил. Сигнатурки и просто голд лучше имхо.
Относительно карт для бизнеса (выпущенных визой), там есть несколько продуктов. И препки (prepaid) и кредитные, и сигнатурки и все что угодно:
Выдаются они так же примерно как и физикам - в зависимости от размера организации, ее финансовых показателей и потребностей. Бытует мнение, что бизнес карты заходят лучше всех. Это не так.
Теперь идем дальше к Mastercard. Насколько можете знать, это - конкурирующая фирма. Сложно сказать, кто “больше”. В разных регионах доминируют разные МПС.
На самом деле, они примерно одинаковы по своему распространению. Теперь о картах. Основные карты этой МПС следующие:
Maestro - аналог Electron от VISA. Ужасный ужас и беспонтовое фуфло. Standard - аналог Classic от VISA
Gold - аналог Gold от VISA
Platinum - аналог Platium от VISA
World - премиальный продукт для путешествий (вбивать с нее не желательно)
Elite - аналог Infinite от VISA
Далее идет American Express или AmEx - сама по себе премиальная МПС. Тот, кто имеет карту амекса уже считается успешным белым человеком.
Карты крутые, холдеры еще круче. Яростно советую к работе. Линейка продуктов у амекса скудная:
Стандартная карта Card - ничего примечательного, просто карта и карта (с ништяками амекса типа круглосуточная голосовая поддержка например).
Gold карта - уровень сервиса выше чем у стандартной: наличие бонусных программ, участие в страховых программах, консьерж сервис
Platinum карта - как и голд, только все еще круче в разы. Высота высот короче.
Ну и конечно же не могу не упомянуть Centurion. Это прям космический распездос в квадрате: самая редкая карта в мире. Прикол карты в том, что в конце календарного месяца холдер согласно контракту обязан гасить всю кредитную линию, которая кстати лимита не имеет)) А годовое обслуживание карты стоит около 2к) Чтобы иметь возможность податься на Центурион надо тратить в год по карте не менее 250к. Вот и думайте.
Теперь пару слов об аутентификации.
Аутентификация это сугубо технический процесс, посредством которого подтверждается факт того, что карта выпущена банком, который имеет авторизацию на это действие со стороны соответствующей международной платежной системы (далее МПС) и что она есть оригинальная карта, выпущенная и выданная холдеру, а не ее клон (дамп). Технически это происходит таким образом: данные платежной карты отправляются терминалом в банк эмитент через банк эквайер и платежную систему.
Эмитент получив эти данные или подтверждает транзакцию или не пропускает ее. Магнитные карты аутентифицируются довольно просто (и глупо): используются статистические данные, которые не меняются на протяжении всего срока службы карты. Эти данные передаются в банк эмитент и тот просто сверяя данные подтверждает транзакцию. Таким образом, при полном копировании магнитной полосы можно запросто “скопировать” и саму карту. Чем активно пользуются реальщики.
Делается это кстати элементарно, буквально за секунду, свайпнул и вуаля - дамп, считай, у тебя в руках.
Этот как раз те моменты безопасности, про которые я говорил. Именно это все и заставило разработать и внедрить новый стандарт чиповых карт, которые тупо сдампить нереально.
Риск мошеннической транзакции традиционно высок на магнитных картах и терминал риски де факто их не оценивает.
В то время как, например, в случае с EMV картами, при покупке офлайн терминал скорее всего попросит ввести пин код, тем самым идентифицирует владельца. Основной уязвимостью EMV стандарта как раз таки и является возможность проведения транзакции без задействия непосредственно чипа - тупо скопировать магнитную полосу.
Так вот, если карту сдампили, у банка эмитента нет технологических возможностей установить является ли карта оригиналом или чьим то дампом.
В одной из предыдущих лекций я говорил о том, что одна из основных составляющих в платежных операциях с картами это аутентификация. Ее не стоит путать с идентификацией держателя (холдера).
Вся надежда на POS терминал, который может (и должен!) просить провести транзакцию при помощи чипа. Однако есть (и регламентом предусмотрены!) ситуации, где можно совершать транзакции с EMV карт посредством задействования магнитной полосы (например при повреждении чипа). Но это все регламенты и теория, на практике если вы даете дамп БЕЗ чипа, а POS просит провести транзу по чипу, то как минимум продавец попросит другую карту. Как максимум - мусора и бутилька (зачеркнуто) КПЗ. Относительно же карт с чипом, аутентификация происходит посредством использования цифровой подписи статистических данных карты и данных самой транзакции.
Что это значит на человеческом языке?
Цифровая подпись (она же - секретный ключ чипа) записывается в память этого чипа на этапе изготовления. Эта цифровая подпись уникальна и ее невозможно извлечь, не нарушив целостность чипа. Отличительная черта EMV карт в том, что банк эмитент может “общаться” с картой: инициировать взаимную аутентификацию (выслать свою криптограмму карте) или обновить данные карты (заблокировать или обновить лимит). Кстати, банки-эмитенты при внедрении нового стандарта (а именно с 1 января 2005 года) перенесли ответственность за совершенный фрод и утерянные средства на хозяйствующих субъектов, совершивших продажу либо сам банк если фрод был совершен посредством карт, не поддерживающих EMV стандарт.
Теперь давайте разбираться в тонкостях работы с картами. Соображений много. Попробую все уместить в одной лекции. Пока не потерял мысль, хотел бы рассказать кое что о предоплаченных картах. Есть одна интересная особенность. Помимо тех, которые выдаются финансовой организацией (например банком) и, которую можно в дальнейшем пополнять, в США очень популярны препы (prepaid карты) с фиксированной стоимостью и балансом. Такие препы продаются буквально на каждом шагу и вендоров огромное кол-во. Так, без труда можно купить преп от Amazon, Walmart или Verizon. Популярность таких препов обусловлена несколькими интересными фактами.
Во-первых покупая такую карту и используя ее в интернетах для дальнейших покупок человек не светит свою основную карту, что, согласитесь опасно в наши дни (гыгыгы). К слову, скажу, что параноиков на самом деле много в штатах.
Тех, кто принципиально не покупает ничего онлайн, лишь бы не светить номер своей карты. Вторая причина, это то, что такие препы часто используются как подарок. Дарить кеш не модно (и не всегда уместно), а вот такую карту - самое оно.
Подарил человек такую карту своему 13-и летнему племяшу, а тот взял и подписку на PornHub себе купил и все счастливы: мы у дяди не соснифили номер его карты, племяш сидит наяривает яростно и PornHub с VISой заработали. Просто какое то общемировое счастье и любовь!
Да, буквально пару слов о том, как работают препки с определенным балансом: вы покупаете, вручаете карту (опционально) или оставляете себе, бенефициар активирует карту онлайн и вуаля ее можно юзать. Во многих платежных сервисах такие карты будут заблокированы.
Таким образом воспользоваться ею можно будет только на том сервисе, который ее и выдал. То есть по факту, человек просто кредитнул сервис, который выдал карту.
По факту, если называть вещи своими именами, любая дебетка - это галимая препка. Для нас в иерархии карт, эти занимают самое последнее место ибо по своей природе они архиконченные и холдеры у них или нелегалы, которым не выдали кредитку (я кстати хз каким надо быть конченым распоследним хуйлом, чтоб тебе в штатах не дали самую простую кредитку!) или прыщавым дрочером 15-и лет, который не может по объективным причинам иметь кредитку.
По поводу EMV карт, есть ряд распространенных и важных вопросов. Я решил не делать отдельную лекцию, а включить их в эту, так как тематика все же едина.
Вопрос: можно ли скопировать данные на с одной чиповой карты на другую?
Чисто в теории (технически) это реализуемо. При условии, что у нас есть карта с чистым приложением (не персонализированным). Но есть и другой момент: так как сделать копию ключей карты невозможно, приложение будет все время генерить неправильные подписи транзакции. На этом моменте как раз и происходит палево - любые онлайн транзакции (не путать с покупками онлайн!) буду эмитентом отклоняться. А еще в связи с тем, что отсутствуют ключи, провести CDA / DDA аутентификацию будет также невозможно. Единственное уязвимое место это аутентификация SDA офлайн. Но и тут есть сложности: этот метод как единственный метод аутентификации является неприемлемым ввиду того, что считается устаревшим и подвергающим опасности.
Вопрос: можно ли скопировать данные EMV-приложения на магнитную полосу?
Да, можно. Треки для магнитной полосы легко составляются из данных EMV приложения кроме одного небольшого параметра: Service Code (он же код обслуживания).
В случае с EMV картами, Service Code указывает POS терминалу, что операцию следует провести с использованием чипа. Если взять и скопировать этот код на магнитную дорожку, то терминал будет тщетно пытаться выполнить операцию при помощи чипа (EMV приложения).
Справедливости ради конечно скажу, что есть все таки одна прикольная брешь в этих чудо картах. Я писал ранее, что производители и эмитенты общего консенсуса еще не достигли, а потому существуют стандарты и режимы совместимости для карт комбинированного типа: это те, которые имеют и чип и магнитную полосу (ну то есть ВСЕ)).
Так вот, есть возможность скопировать данные одной магнитной полосы на карту с нерабочим чипом и провести операцию под названием fallback. Вполне официально если нет возможности считать чип, терминал проводит транзу по магнитной полосе. В ряде банков такие оперции будут отклоняться по понятным причинам. Там же, где они будут приниматься, риск по этим операциям будет ложиться на эквайера.
Также есть интересный вопрос по поводу NFC карт и возможности осуществлять платежи без ведома холдера, допустим прохаживаясь между рядами в кинотеатре или общественном транспорте.
Об этом я напишу отдельную лекцию, но в двух словах скажу следующее: можно например организовать онлайн платеж, создав канал между картой (которая находится например в кармане жертвы или в рюкзаке) и мобильным телефоном, который будет эмулировать работу NFC карты (HCE приложение).
Для этого протребуются два самых дешевых мобильника с поддержкой NFC, хост с белым IP чтобы пробросить траф в онлайн между мобильниками и четкая работа внутри команды.
Но тут проблема в лимитах без ввода ПИНа.
То есть один человек стоит возле жертвы считывая ее карту, а второй прокладывает свой телефон на кассе в ZARA хахахаха))
На самом деле в отдельной лекции я детально освещу все возможные варианты работы с NFC. От фантастических, до реальных!
Пластиковые карты сегодня выполняют роль расчетного инструмента совмещая также функции депозитного и кредитного характера. Пластиковые банковские карты существуют для того, чтобы сделать нашу с вами жизнь проще, а именно для проведения безналичных расчетов. Сама по себе карта из себя представляет пластиковую пластину, стандартный размер которой составляет 85,6 мм, 53,9 мм, 0,76 мм. Изготавливается карта по специальной технологии из особенного пластика, устойчивого к механическим повреждениям и излишним температурным колебаниям.
Если сводить все к примитиву, то основная функция карты, это идентификация холдера с его последующей возможностью проведения безналичного расчета (платежа). Подавляющее большинство карт использует 16-и значный стандарт, где первые 6 - это идентификационный номер банка, он же BIN (bank identification number). Последующие 9 цифр это индивидуальный номер карты, ее счет в системе банка эмитента. Последний знак - контрольный.
Платежи картой можно производить в любой торговой точке, оборудованной POS- терминалом, а также онлайн. Сам платеж по пластиковой карте если смотреть УПРОЩЕННО разбивается на следующие стадии: сначала терминал производит аутентификацию карты и проверяет ее подлинность и наличие требуемых средств соединяясь с процессинговым центром. Потом списывают средства со счета карты и формируется чек. В принципе все.
Дальше торговая точка передает все собранные за день чеки в банк-эквайер, который в свою очередь производит расчеты, а также передает информацию в процессинговый центр о транзакциях по картам эмитентом которых он не является.
Процессинговый центр на основании полученной информации совершает все транзакции и снабжает все стороны соответствующей документацией и отчетами. Прежде чем начать квалифицировать пластиковые карты надо понять, что квалифицирующих признаков множество. В этой лекции мы коснемся большинства из них.
С технологической точки зрения карты, выражаясь популярным языком, можно разделить на 2 типа: с магнитной полосой и чипом. Карты просто с чипом практически не используются нигде. Используется комбинированный вариант магнитной полосы и чипа. Карты с чипом еще называют смарт-картами.
Магнитная полоса нужна для записи на нее информацию о карте и ее держателе. Карты с магнитной полосой бывают трех форматов (ID-1, ID-2, ID-3), однако наибольшее распространение получил именно первый формат.
На магнитной полосе имеются три дорожки (трека). Чаще всего используют первые две, куда записывают номер карты, срок ее действия, фамилию держателя карты и иные сопутствующие данные.
Те, кто хочет работать в реале, должны знать, что есть возможность записать ЛЮБУЮ инфу на дамп. Но в первую очередь это касается имени и фамилия холдера: ставим туда любые данные на которые у нас есть айдишка с нашей мордой, остальные данные оставляем настоящего холдера и вперед шопиться)) Но это лирическое отступление.
Карты с чипом (EMV, микропроцессинговые) гораздо более безопасны. На самом чипе записывается массив информации, в том числе и ПИН код. Таким образом например раскрытие пина перед считывающим оборудованием не требуется.
Также микропроцессорный чип самодостаточен в ряде случаев и не требует постоянного соединения с банком. Основной же момент в том, что скопировать (сдампить) чип практически не реально. Точнее это реально в теории, на практике это неосуществимо.
Такие карты помимо продвинутой аутентификации также осуществляют оценку рисков проведения транзакции, а также верификацию холдера. Главным методом подтверждения подлинности транзы в онлайн-транзакциях есть аутентификация. Чтобы это осуществить существует специальный метод генерации криптограммы ARQC самой картой для каждой операции отдельно. Это не совсем актуально для онлайн мошенничества, но это неплохо знать.
Эти карты считаются гораздо безопаснее, чем просто карта с магнитной полосой так как ее гораздо сложнее скомпрометировать и подделать. Все самые распространенные МПС сегодня полностью поддерживают этот тип карт, а он в свою очередь пытается активно распространиться по всему миру.
Стандарт EMV открыт и ознакомиться с ним можно на сайте разработчика. Вряд ли это кому то будет интересно, но вот https://www.emvco.com/
Карты с микрочипами больше всего разошлись по Европе, в ЮСЕ их все еще мало. Причина в самом банковском лобби: закупленное на десятилетия вперед оборудованиепод старый формат и нежелание больших банков переоборудовать технологическую базу под новые требования.
Также существуют смарт карты с магнитной полосой и NFC чипом, позволяющие бесконтактно совершать покупку с POS терминалом или устройством которое может такие операции совершать.Кстати карта с чипом, она же микропроцессинговая, она же EMV карта, появилась не так давно и разработали ее, а точнее первые кто начали совместно разрабатывать технологию были «VISA Inc» и «MasterCard Worldwide». EMV технология не самая простая и описать ее детально во-первых не представляется возможным в рамках этой лекции, а во-вторых это не имеет смысла. Мы коснемся прописных истин и самых важных для нас вещей. В принципе, EMV микропроцессорная карта есть ни что иное как смарт-карта. Она базируется на стандартах ISO/IEC 7816 или ISO/IEC 14443 для бесконтактной версии.
Красота микропроцессорных карт в том, что они прилично изменили и саму обработку платежа банком и иными участниками транзакции. Про разницу аутентификации я говорил в предыдущей лекции. Здесь лишь повторюсь, что аутентификация не есть идентификация и задача этой операции удостовериться в том, что карта является аутентичной. То есть к идентификации холдера эта операция отношения не имеет. Это технический момент, он довольно важен (более детально я его осветил в предыдущей лекции)
Так вот при совершении операции терминал считывает данные карты и отправляет их в платежную систему через банк-эквайер. Естественно мы сейчас говорим о совершении покупки через POS терминал. При совершении онлайн покупок в связи с тем, что аутентификация фактически невозможная (такая транзакция даже имеет особенную классификацию CNP - card not present) этот этап не производится. В случае c онлайн транзой все немного иначе. На страже антифрода из фундаментальных вещей остается только CVV/CVC. Это не считая программных методов и инструментов.
Пытаются активно внедрить динамические CVV коды: так называемые DCV (от слова dynamic). Но естественно нифига не выходит и выходить не будет еще долго. Технологическая база устаревшая, разработка которой стоила миллиарды долларов по всему миру и никто сейчас ничего менять не будет.
Бредятина этой идеи еще в том, что в одном из предлагаемых вариантов карта должна иметь графический дисплей. Что во-первых удорожает ее производство, а во вторых привносит еще одно технологическое звено в процесс совершения операции со всеми вытекающими отсюда последствиями.
Общий консенсус среди эмитентов на протяжении уже многих лет был найден давно: официально менять инфраструктуру не будут. Всех вполне устраивает технология 3- DSecure, которую тоже не очень то любят, откровенно говоря.
Теперь относительно материала из которого изготовлены карты: этот параметр по сути больше не актуален так как в наше время карты изготавливаются только из пластика. Раньше были бумажные (картонные) карты, но теперь это даже не редкость, теперь их просто нет в бумажном варианте.
Следующий признак, который к слову не является взаимоисключающим это назначение карты. Карта может быть выпущена для финансовых операций, идентификационной или информационной.
Например сотрудники большого предприятия могут получить карту, которая будет играть роль пропуска, иметь денежный баланс, который можно потратить в местной столовой. Или другой пример, в спортзале карта является как ключом доступа, так и средством расчета (которое предварительно залинковалось с вашим пэйпасом посредством взаимодействия с фирменным приложением на вашем смартфоне).
Последнее время явно отслеживается тенденция на объединение разных функций в пластиковых картах. Это удобно.
Следующий признак - механизм расчета: он может быть двусторонним или многосторонним.
В первом случае имеет место быть соглашение двух участников расчета / взаиморасчета. Как правило используется в замкнутых сетях (бонусы, мили, поинты) и контролируется эмитентом карты.
Во втором же случае холдер карты может использовать ее во всевозможных пунктах продажи, которые принимают ее как платежное средство (это именно те классические платежные карты которые мы с вами знаем).
Следующий признак это тип проводимых расчетов. Здесь карты делятся на кредитные и дебетовые.
Первые непосредственно связаны с открытием кредитной линии в кредитной организации на имя холдера карты. Это дает возможность холдеру временно и возмездно пользоваться заемными средствами банка в размере определенном условиями контракта.
Холдер получает определенный кредитный лимит, который он вправе исчерпать и который он обязан в установленный контрактом срок погасить. Как правило, чем больше человек тратит по кредитке, тем больший кредитный лимит он будет получать от своего банка. В случае с дебетовыми картами, расходуются лишь те средства, которые есть непосредственно в распоряжении холдера. В большинстве случаев (за небольшими исключениями в виде технического овердрафта например) такие карты не позволяют совершать платежей если средства на счете карты отсутствуют.
Также отдельно хочу выделить предоплаченные карты (prepaid), они же “препы” - это те карты на балансе которых уже есть определенные средства и их можно расходовать как правило после активации карты в эмитенте. О них я скаже еще пару слов позже. Следующий признак: характер использования: карта может быть индивидуальной - выдается конкретному лицу, может быть любого уровня; семейной - выдается членам семьи холдера; корпоративная - карта, выдается юридическому лицу для разных или определенных целей. Так существует карта для закупок, для оплаты канцтоваров и так далее. Также эти карты могут быть именными, выдаваемые на имя директора или главбуха. В таких случаях этим лицам открывается банковский счет, привязанный к основному счету компании. Ответственность по этим картам несут не лица использующие карту, а юрлицо которому кату выпустили.
Следующий признак: сфера использования. Тут все просто - карты могут быть или универсальными, которые допускается использовать для любых оплат в любых точках продажи или индивидуальными, которые можно использовать только для приобретения какого-то определенного продукта / услуги (автозаправки, гостиницы, большие монобрендовые магазины).
Следующий фактор - территориальная принадлежность: карты могут быть международными (действуют в большинстве стран мира, типа VISA или AmEx), национальные (действуют внутри одной страны, типа МИР), локальные (используемые на конкретной территории внутри страны).
Следующий фактор: способ записи информации на карту: выделяют в основном кодирование магнитной полосы, эмбоссирование, чип и их комбинации. Хотя есть еще парочка методов типа нанесения штрих кода или QR кода например. Но они в меньшинстве, а потому не сильно нас волнуют.
И последний и очень интересный фактор - это категории карт. Банки и иные финансовые организации формируют разные финансовые продукты руководствуясь ситуацией на рынке и таргетируя разные слои населения.
Разные сегменты имеют разной категории карты. Категория карты в свою очередь определяет статус холдера.
Как правило, чем выше статус, тем больше ништяков получает холдер и тем круче его карта.
Согласно устоявшейся международной практике существует глобально три категории карт: электронные, классические и премиальные.
Электронные это самые дешманские карты начального уровня. Они могут быть как дебетовые, так и кредитные. По науке это уровень называется например Visa Electron у VISA или Mastercard Electoronic или Maestro у Mastercard соответственно. Отличительные особенности этого уровня: низкая стоимость годового обслуживания, отсутствие специальных программ, невозможен перерасход средств.
Еще одна прикольная особенность этого начального уровня карт (наверняка вы не знали) - они считаются самыми защищенными из-за обязательного требования авторизации в реальном времени. До недавнего времени операции в интернетах по ним была по дефолту запрещена.
Как правило такие карты выдаются в качестве финансового инструмента для зарплатного проекта или например какие то особые программы розничного кредитования или вовсе могут быть выданы бесплатно. Это карты фу-фу-фу и добропорядочному кардеру они как вы понимаете не нужны.
Те немногие электроны, которые встречаются в шопах - скорее всего полная лажа. В эту же категорию попадают и всевозможные карты Instat Issue - это те, которые выдаются клиенту моментально и не являются персонифицированными (то есть на них отсутствует маркировка имени и фамилии холдера). Следующий уровень (который нам уже подходит) это классический уровень: Visa Classic или Mastercard Standard. Так же могут быть как дебетовые, так и кредитные. Основной клиент - люди со стабильным не превышающим средний доход. Такие карты как правило имеют самый сбалансированный пакет услуг и самое здравое соотношение цены обслуживания и сервисов, предоставляемых банком.
Из практики скажу, что на классиках бывают летают суммы поболее чем на премиальных уровнях, но скорее это редкость.
Те, кто собираются вбивать ДО 1к, можно брать и классики в том числе. За суммы меньше 600-500 баксов можно даже не париться - этот уровень подойдет.
На этом уровне карты уже персонифицированные, эмбоссированны: имя холдера, срок действия выдавлены на лицевой стороне карты.
Кстати эмбоссирование это некий рудимент, сейчас по прямому назначению нигде не используемый. Раньше эмбоссирование требовалось для имприна. Сейчас карты уже нигде не катают таким образом.
По этим картам доступны как онлайн так и офлайн операции (в том числе снятие наличных в банкоматах).
Следующая большая категория карт - это премиальные карты. Мои самые любимые! Точно так же могут быть как дебетовыми так и кредитными. К слову кредиты на премиальных картах могут впечатлять: 30-50к уже никого не удивишь.
К числу таких карт относятся Visa Signature и Infinite, а также карты уровня World.
На этих картах всегда присутствует еще ряд других сервисов и дополнительных услуг (типа кешбека, всевозможных скидок, информационных продуктов, страховых и прочего такого).
Золотые карты привилегированны, а платиновые еще более крутые - они получают расширенный пакет обслуживания, но еще на более выгодных и удобных условиях.
В США и Европе премиальный уровень карт доступен лишь тем лицам, кто действительно зарабатывает сильно выше среднего (это у нас можно пойти и спокойно оформить себе платину).
Хотелось бы теперь более детально пройтись по картам непосредственно в США, так как большинство из нас будет работать именно в этой стране.
Как мы знаем, в США существует Федеральная резервная система (https://ru.wikipedia.org/wiki/Федеральная_резервная_система), что-то типа нашего ЦБ, но круче.
Помимо нее, существуют как МПС, так и множество кредитных организаций общенационального и локального масштаба. Многие из них имеют разрешение (лицензию) на выпуск и обслуживание пластиковых карт, осуществлять безналичные платежи и осуществлять клиринговые операции и эквайринг.
Системы эти все разные и между собой различаются многим. Мы в первую очередь будем смотреть на те организации, которые обслуживают карты.
Соответствующие разрешения организациям выдает разрешительный орган в каждом штате отдельно.
Начать конечно стоит с VISA. Как мы знаем, VISA вездесуща и в США она так же разделяет пьедестал наравне с Mastercard.
VISA это международная платежная система, которая обеспечивает безопасное и бесперебойное движение денежных средств посредством одноименных пластиковых карт.
На момент написания этой лекции более 20.000 кредитных организаций по всему миру были подключены к системе. Это типа 20.000 банков так то.
За день обрабатывается более 200 000 000 транзакций, а скорость обработки одного запроса составляет порядка 1,5 сек.
Как уже писал в одной из предыдущих лекций, деятельность и порядок работы МПС регламентирован ее правилами и нормативно правовыми актами.
Ниже быстро рассмотрим самые основные категории карт:
Classic - самая база, стандартные функции (типа снятия наличных, пополнения баланса в банкоматах, совершение покупок онлайн и т.д.)
Gold - первая ступень премиальных карт, имеет определенные требования к потенциальному держателю. В свою очередь дает больше привилегий: повышены лимиты на снятие кеша, всевозможные скидки и программы лояльности в зависимости от специфики конкретного продукта. Platinum - следующая ступень по иерархической лестнице. Имеет все то же самое что и предыдущие две только еще более расширенные возможности. Соответственно требования к холдеру такие же. Да, они возрастают.
Signature - это в общем то апофеоз кайфа. В этом продукте есть все. Он дает максимально возможные лимиты по снятию, а так же все возможные бонусы, куча опций при путешествиях и прочие кайфы. Требование к холдеру (и сумма годового обслуживания) соответствующие.
Infinite - то же, что и сигнатур, только ЕЩЕ более эксклюзивно. Холдеры инфиниток - реально очень обеспеченные люди.
Black - это илита илит. Даже не знаю, существуют и такие карты в реале или нет, но в услугах визы она есть. Это прям эксклюзив эксклюзивов. Выдается по особому случаю. И далеко не каждому. Я бил как то такую. Разницу не заметил. Сигнатурки и просто голд лучше имхо.
Относительно карт для бизнеса (выпущенных визой), там есть несколько продуктов. И препки (prepaid) и кредитные, и сигнатурки и все что угодно:
Выдаются они так же примерно как и физикам - в зависимости от размера организации, ее финансовых показателей и потребностей. Бытует мнение, что бизнес карты заходят лучше всех. Это не так.
Теперь идем дальше к Mastercard. Насколько можете знать, это - конкурирующая фирма. Сложно сказать, кто “больше”. В разных регионах доминируют разные МПС.
На самом деле, они примерно одинаковы по своему распространению. Теперь о картах. Основные карты этой МПС следующие:
Maestro - аналог Electron от VISA. Ужасный ужас и беспонтовое фуфло. Standard - аналог Classic от VISA
Gold - аналог Gold от VISA
Platinum - аналог Platium от VISA
World - премиальный продукт для путешествий (вбивать с нее не желательно)
Elite - аналог Infinite от VISA
Далее идет American Express или AmEx - сама по себе премиальная МПС. Тот, кто имеет карту амекса уже считается успешным белым человеком.
Карты крутые, холдеры еще круче. Яростно советую к работе. Линейка продуктов у амекса скудная:
Стандартная карта Card - ничего примечательного, просто карта и карта (с ништяками амекса типа круглосуточная голосовая поддержка например).
Gold карта - уровень сервиса выше чем у стандартной: наличие бонусных программ, участие в страховых программах, консьерж сервис
Platinum карта - как и голд, только все еще круче в разы. Высота высот короче.
Ну и конечно же не могу не упомянуть Centurion. Это прям космический распездос в квадрате: самая редкая карта в мире. Прикол карты в том, что в конце календарного месяца холдер согласно контракту обязан гасить всю кредитную линию, которая кстати лимита не имеет)) А годовое обслуживание карты стоит около 2к) Чтобы иметь возможность податься на Центурион надо тратить в год по карте не менее 250к. Вот и думайте.
Теперь пару слов об аутентификации.
Аутентификация это сугубо технический процесс, посредством которого подтверждается факт того, что карта выпущена банком, который имеет авторизацию на это действие со стороны соответствующей международной платежной системы (далее МПС) и что она есть оригинальная карта, выпущенная и выданная холдеру, а не ее клон (дамп). Технически это происходит таким образом: данные платежной карты отправляются терминалом в банк эмитент через банк эквайер и платежную систему.
Эмитент получив эти данные или подтверждает транзакцию или не пропускает ее. Магнитные карты аутентифицируются довольно просто (и глупо): используются статистические данные, которые не меняются на протяжении всего срока службы карты. Эти данные передаются в банк эмитент и тот просто сверяя данные подтверждает транзакцию. Таким образом, при полном копировании магнитной полосы можно запросто “скопировать” и саму карту. Чем активно пользуются реальщики.
Делается это кстати элементарно, буквально за секунду, свайпнул и вуаля - дамп, считай, у тебя в руках.
Этот как раз те моменты безопасности, про которые я говорил. Именно это все и заставило разработать и внедрить новый стандарт чиповых карт, которые тупо сдампить нереально.
Риск мошеннической транзакции традиционно высок на магнитных картах и терминал риски де факто их не оценивает.
В то время как, например, в случае с EMV картами, при покупке офлайн терминал скорее всего попросит ввести пин код, тем самым идентифицирует владельца. Основной уязвимостью EMV стандарта как раз таки и является возможность проведения транзакции без задействия непосредственно чипа - тупо скопировать магнитную полосу.
Так вот, если карту сдампили, у банка эмитента нет технологических возможностей установить является ли карта оригиналом или чьим то дампом.
В одной из предыдущих лекций я говорил о том, что одна из основных составляющих в платежных операциях с картами это аутентификация. Ее не стоит путать с идентификацией держателя (холдера).
Вся надежда на POS терминал, который может (и должен!) просить провести транзакцию при помощи чипа. Однако есть (и регламентом предусмотрены!) ситуации, где можно совершать транзакции с EMV карт посредством задействования магнитной полосы (например при повреждении чипа). Но это все регламенты и теория, на практике если вы даете дамп БЕЗ чипа, а POS просит провести транзу по чипу, то как минимум продавец попросит другую карту. Как максимум - мусора и бутилька (зачеркнуто) КПЗ. Относительно же карт с чипом, аутентификация происходит посредством использования цифровой подписи статистических данных карты и данных самой транзакции.
Что это значит на человеческом языке?
Цифровая подпись (она же - секретный ключ чипа) записывается в память этого чипа на этапе изготовления. Эта цифровая подпись уникальна и ее невозможно извлечь, не нарушив целостность чипа. Отличительная черта EMV карт в том, что банк эмитент может “общаться” с картой: инициировать взаимную аутентификацию (выслать свою криптограмму карте) или обновить данные карты (заблокировать или обновить лимит). Кстати, банки-эмитенты при внедрении нового стандарта (а именно с 1 января 2005 года) перенесли ответственность за совершенный фрод и утерянные средства на хозяйствующих субъектов, совершивших продажу либо сам банк если фрод был совершен посредством карт, не поддерживающих EMV стандарт.
Теперь давайте разбираться в тонкостях работы с картами. Соображений много. Попробую все уместить в одной лекции. Пока не потерял мысль, хотел бы рассказать кое что о предоплаченных картах. Есть одна интересная особенность. Помимо тех, которые выдаются финансовой организацией (например банком) и, которую можно в дальнейшем пополнять, в США очень популярны препы (prepaid карты) с фиксированной стоимостью и балансом. Такие препы продаются буквально на каждом шагу и вендоров огромное кол-во. Так, без труда можно купить преп от Amazon, Walmart или Verizon. Популярность таких препов обусловлена несколькими интересными фактами.
Во-первых покупая такую карту и используя ее в интернетах для дальнейших покупок человек не светит свою основную карту, что, согласитесь опасно в наши дни (гыгыгы). К слову, скажу, что параноиков на самом деле много в штатах.
Тех, кто принципиально не покупает ничего онлайн, лишь бы не светить номер своей карты. Вторая причина, это то, что такие препы часто используются как подарок. Дарить кеш не модно (и не всегда уместно), а вот такую карту - самое оно.
Подарил человек такую карту своему 13-и летнему племяшу, а тот взял и подписку на PornHub себе купил и все счастливы: мы у дяди не соснифили номер его карты, племяш сидит наяривает яростно и PornHub с VISой заработали. Просто какое то общемировое счастье и любовь!
Да, буквально пару слов о том, как работают препки с определенным балансом: вы покупаете, вручаете карту (опционально) или оставляете себе, бенефициар активирует карту онлайн и вуаля ее можно юзать. Во многих платежных сервисах такие карты будут заблокированы.
Таким образом воспользоваться ею можно будет только на том сервисе, который ее и выдал. То есть по факту, человек просто кредитнул сервис, который выдал карту.
По факту, если называть вещи своими именами, любая дебетка - это галимая препка. Для нас в иерархии карт, эти занимают самое последнее место ибо по своей природе они архиконченные и холдеры у них или нелегалы, которым не выдали кредитку (я кстати хз каким надо быть конченым распоследним хуйлом, чтоб тебе в штатах не дали самую простую кредитку!) или прыщавым дрочером 15-и лет, который не может по объективным причинам иметь кредитку.
По поводу EMV карт, есть ряд распространенных и важных вопросов. Я решил не делать отдельную лекцию, а включить их в эту, так как тематика все же едина.
Вопрос: можно ли скопировать данные на с одной чиповой карты на другую?
Чисто в теории (технически) это реализуемо. При условии, что у нас есть карта с чистым приложением (не персонализированным). Но есть и другой момент: так как сделать копию ключей карты невозможно, приложение будет все время генерить неправильные подписи транзакции. На этом моменте как раз и происходит палево - любые онлайн транзакции (не путать с покупками онлайн!) буду эмитентом отклоняться. А еще в связи с тем, что отсутствуют ключи, провести CDA / DDA аутентификацию будет также невозможно. Единственное уязвимое место это аутентификация SDA офлайн. Но и тут есть сложности: этот метод как единственный метод аутентификации является неприемлемым ввиду того, что считается устаревшим и подвергающим опасности.
Вопрос: можно ли скопировать данные EMV-приложения на магнитную полосу?
Да, можно. Треки для магнитной полосы легко составляются из данных EMV приложения кроме одного небольшого параметра: Service Code (он же код обслуживания).
В случае с EMV картами, Service Code указывает POS терминалу, что операцию следует провести с использованием чипа. Если взять и скопировать этот код на магнитную дорожку, то терминал будет тщетно пытаться выполнить операцию при помощи чипа (EMV приложения).
Справедливости ради конечно скажу, что есть все таки одна прикольная брешь в этих чудо картах. Я писал ранее, что производители и эмитенты общего консенсуса еще не достигли, а потому существуют стандарты и режимы совместимости для карт комбинированного типа: это те, которые имеют и чип и магнитную полосу (ну то есть ВСЕ)).
Так вот, есть возможность скопировать данные одной магнитной полосы на карту с нерабочим чипом и провести операцию под названием fallback. Вполне официально если нет возможности считать чип, терминал проводит транзу по магнитной полосе. В ряде банков такие оперции будут отклоняться по понятным причинам. Там же, где они будут приниматься, риск по этим операциям будет ложиться на эквайера.
Также есть интересный вопрос по поводу NFC карт и возможности осуществлять платежи без ведома холдера, допустим прохаживаясь между рядами в кинотеатре или общественном транспорте.
Об этом я напишу отдельную лекцию, но в двух словах скажу следующее: можно например организовать онлайн платеж, создав канал между картой (которая находится например в кармане жертвы или в рюкзаке) и мобильным телефоном, который будет эмулировать работу NFC карты (HCE приложение).
Для этого протребуются два самых дешевых мобильника с поддержкой NFC, хост с белым IP чтобы пробросить траф в онлайн между мобильниками и четкая работа внутри команды.
Но тут проблема в лимитах без ввода ПИНа.
То есть один человек стоит возле жертвы считывая ее карту, а второй прокладывает свой телефон на кассе в ZARA хахахаха))
На самом деле в отдельной лекции я детально освещу все возможные варианты работы с NFC. От фантастических, до реальных!
Last edited:
