Bankir.Ru
2 декабря, пятница 21:16

Объявление

Свернуть
Пока нет объявлений.

Проверка подлинности карты банкоматом

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Проверка подлинности карты банкоматом

    Такой вот появился вопросик к общественности:
    Какие действия совершает банкомат при проверки подлинности самой карты? Сравниваются ли, например, проэмбоссированный номер карты, именные данные держателя, срок действия, с данными, записанными на магнитной полосе? Или же все действия банкомата сводятся к считыванию данных с магнитной полосы и их последующей передачи в процессинговый центр?


    ------------------
    С уважением Дмитрий Пряников.

  • #2
    Да, сводятся к передаче данных в ПЦ и авторизации по ПИН-у.
    Villi

    Комментарий


    • #3
      Ради справедливости, стоит добавить, что иногда используются дополнительная проверка. Вплоть до спектрального анализа голограммы :-)). Что-то подобное есть у шведов и, насколько помню, у немцев. Однако, все это экзотика - широко не применятся, можно забыть.
      С уважением,
      ==========

      Комментарий


      • #4
        Не знаю про банкомат, но POS-терминал проверяет соответствие между эмбосированными данными и записями на магнитной полосе.
        Nikkiпятись!!!

        Комментарий


        • #5
          Ну рассмешили
          Тогда уж не POS терминал, а кассир с ним работающий
          Verba volant, scripta manent.

          Комментарий


          • #6
            В банкоматах для этого используется устройство
            CIM 86 правда я его никогда живьем не видел
            только в доках читал.

            ------------------
            ATMMASTER
            ATMMASTER

            Комментарий


            • #7
              А по подробнее можно про этот блок и технологию.

              Комментарий


              • #8
                Не понял. Что кроме полосы может считать банкомат? Разве что через внешнюю примочку какие-нибудь антропометрические параметы, да и то для подтверждения ПИНа. Читать эмбоссированную надпись - зачем? Что это даст?
                Добро всегда побеждает зло. Потому что кто победил - тот и добро.

                Комментарий


                • #9
                  Интересный вопросик нам подкинули. Такое ощущение, что кто то желает в АТМ не пластиковую карту сунуть, а календарик и посмотреть что будет? А ничего не будет. Ни календарика (как правило), ни денег (это точно). А вот если, в общих чертах, знать работу АТМ и иметь необходимое обурудование и данные, то у службы безопасности банка эмитента будет очень много работы, если конечно они зарание камеры не поставили - тогда работы будет поменьще.

                  Комментарий


                  • #10
                    CIM 86 это опциональная примочка к BJRу используется
                    в банкоматах BULL/Olivetti теперь эта кампания одна
                    называется Dibold сервисом занимается Интервим
                    дак вот в этих банкоматах ставится эта примочка
                    когда в нее карта попадает она ее всю ощупывает
                    проверяет все кроме магнитной полосы (для этого BJR есть)
                    Вобщем работает как интелектуальный определитель подлинности
                    баксов эта штука запоминает карты и если попадет фальшивая
                    то арестует (имеется в виду например я взял карту при помощи
                    нехитрого устройства сделанного на основе магнитофонной головки
                    и самодельной карты из куска картона наклееной на него магнитофонной
                    пленки сделал копию магн. полосы тогда это устройство CIM 86
                    определит что карта фальшивая )
                    информация получена из руководства по сервису банкоматов
                    BULL/OLIVETTI


                    ------------------
                    ATMMASTER
                    ATMMASTER

                    Комментарий


                    • #11
                      Выдержки из описания модуля MM/CIM 86

                      ====================
                      The MM code (MM = modulated mark) is found on the front side of the EC card. It is invisible, but can be read by the MM sensor. It is used to encode specific data of the magnetic track into a code which is saved in field 20 of magnetic track 3 at production of the card.
                      =====================

                      Но все это, как уже говорил, экзотика. Ни разу не слышал, чтобы это в России использовалось. Или широко в мире.

                      С уважением,
                      =============
                      С уважением,
                      ==========

                      Комментарий


                      • #12
                        Могу добавить, что читал про банкоматы, оснащенные фотокамерой, и, при соответствующем софте, делающие снимок клиента при совершении операции.
                        P.S. Кстани такая-же камера бывает и на POS-терминалах.

                        Комментарий


                        • #13
                          Фоткать клиента во время совершения операции нормальная вещь. Особенно это актуально для уличных банкоматов которые более всего подвержены вандализму. Ставите полупрозрачное стекло над банкоматом и клиент не знает что его снимают.
                          В банкомате стоит спецвидик и покадрово пишет что происходит на улице.
                          Например 1 раз в 15 сек. Правда толку от этого часто бывает немного. Можно конечно получить фотопортрет мошейника... но ... вот давеча в один из таких банкоматов в нашем городе запустили кирпичиком в выходные. СБ видимо все проспала а когда пришла снимать кассету то было позно - затерлось все покругу. Да и качество снимков оствляет желать лучшего. В банкоматы никто не будет ставить цифровые камеры за 30 000 баксов. Все решение ограничивается 400-500 USD.
                          Так что решайте сами думайте сами иметь или не иметь...

                          Комментарий


                          • #14
                            Фоткать нужно по датчику приближения ,а не через 15 сек.
                            Правда и это от кирпича не поможет.

                            ------------------
                            ATMMASTER
                            ATMMASTER

                            Комментарий


                            • #15
                              Коллеги, подскажите новичку.
                              А какие данные и в каком месте записываются на магнитную полосу "типовой" локальной карты.
                              Особенно интересно про вторую - куда там CVC и ему подобные прописываются?

                              Комментарий


                              • #16
                                Maksimov
                                "типовой" локальной карты
                                А что это за зверь, сорри? Звучит-то как "нетипичный типовой случай"
                                А вообще для локалок Вы вправе делать всё, что считаете подходящим. С одним ограничением - для второго трека не более 40 символов, включая LRC плюс Start sentiel(';') плюс End Sentiel('?'), дабы ридер ея понял. И набор символов ограничен - "0123456789:;=>?", если в ASCII перевести. А где номер карты, где срок действия и проч. - решайте на локальном хосте.

                                Комментарий


                                • #17
                                  Sorry, за нечеткую логику, и за вопрос не к хостовику, а в массы - лето, отпуска и юбилеи, в том числе и у консультантов на хосте.
                                  А можно узнать как на Visa и подобных - подстраиваемся под них (посмотрел бы ихний ГОСТ - ISO - но текста, в отличии от названия не нашел)? Интересуют именно CVC, PVV и прочие "малобуквенные". С номером карты и сроком разобрался.

                                  Комментарий


                                  • #18
                                    ''....Могу добавить, что читал про банкоматы, оснащенные фотокамерой, и, при соответствующем софте, делающие снимок клиента при совершении операции.
                                    P.S. Кстани такая-же камера бывает и на POS-терминалах....''


                                    Не раскажет ли кто подробнее о камерах на POS-терминалах. Кто что знает? Где используют? Это очень интересная тема, так как позволяет сминимизировать потери от фродовых транзакций.

                                    С уважением, Марко

                                    Комментарий


                                    • #19
                                      Maksimov
                                      Небольшая ремарка по поводу длины трека, в соответствии с
                                      ИСО 8583 , передаваемая длина не может превышать 37 символов, что касается CVV и PVV.
                                      После даты обычно встречается Сервис Код,
                                      далее CVV и PVKI,PVV, CVV - Card Verification Value, получается в результате замешивания на PAN, Expire Date и SCode, далее шифруется DESом, используется для предварительной проверки правильности полученного трека, CVV2 используется для проверки по голосовой авторизации (печатается на обратной стороне карты), PVV (точно не помню) замешивается на PAN+PVKI+PIN, используется для предварительной проверки ПИНа в сети.

                                      Комментарий


                                      • #20
                                        to Марко

                                        Не раскажет ли кто подробнее о камерах на POS-терминалах. Кто что знает? Где используют? Это очень интересная тема, так как позволяет сминимизировать потери от фродовых транзакций.

                                        А вот вам более простой вариант минимизировать фродовые транзакции. В Великобритании несколько сетевых супермаркетов сразу по всей стране ввели правило брать у клиента отпечаток пальца на чеке специальными чернилами, которые легко потом с пальца стираются. Пресса пишет, что фрод почему-то резко упал. Честные клиенты вовсе не против оставлять отпечатки
                                        Люблю простые решения!

                                        Комментарий


                                        • #21
                                          PaulN
                                          передаваемая длина не может превышать 37 символов
                                          Процитирую себя-же:для второго трека не более 40 символов, включаяLRC плюс Start sentiel(';') плюс End Sentiel('?').
                                          Чистая длина данных на треке - не более 37 символов.


                                          Maksimov
                                          А можно узнать как на Visa и подобных - подстраиваемся под них
                                          С VISA, как впрочем и с другими МПС, Вы поаккуратнее - сделаете карту с номером, приписанным к другому банку - будут карать за подделку карт.

                                          Комментарий


                                          • #22
                                            #paul
                                            Для меня особого значения не имеет 37 или 40(включая разделители), но если
                                            люди почитав данную информацию нарисуют 40 символов, потом какой ни будь софт откинет запрос с RC=неверный трек,
                                            они будут не рады, в соответствии с ИСО 8583
                                            поле - 35 - Track 2 data - z - 37 LLVAR - Information encoded on track 2 of the magstripe card

                                            Комментарий


                                            • #23
                                              2 Марко

                                              Не раскажет ли кто подробнее о камерах на POS-терминалах. Кто что знает? Где используют? Это очень интересная тема, так как позволяет сминимизировать потери от фродовых транзакций.

                                              Ну, например на Ingenico Elite 500 series ставили. Кажется Elite 511 или что-то вроде того. Вроде даже купить можно. Но чтобы кто-то использовал, я не слышал.
                                              <%(

                                              Комментарий


                                              • #24
                                                PaulN какой ни будь софт откинет запрос с RC=неверный трек, они будут не рады

                                                А если эти люди свои карточки в турникеты метро совать будут - то какой бы длины у них, так сказать, трэк ни был... В общем, затопит нашу ветку морем слез...
                                                Yak

                                                Комментарий


                                                • #25
                                                  PaulN
                                                  если люди почитав данную информацию нарисуют 40 символов
                                                  Если "люди", как Вы выразились, сумеют на втором треке стандартными средствами кодирования полосы "нарисовать" более 40 символов - честь им и слава! Но это то же, что и "налить 300 граммов в 250 граммовый стакан". По ISO 7813 на track2 помещается не более 160 бит ( 20 байт ) информации. А, как я писАл, без StartSentinel, EndSentinel и LRC при желании (хотя и непросто) трек можно кодировать, но стандартно настроенный ридер его не прочитает.
                                                  ЗЫ: не люблю, когда цитируют с искажением смысла, посему закончу начатую вами цитату "...encoded on the track, including the filed separator, but excluding the Start Sentinel, End Sentinel and LRC characters". Можно ещё добавить, что стандартные ридеры переводят информацию со второго трека в ASCII вид, а EPSNet ISO 8583 в 35 поле принимает её в смешанном виде - цифры в ASCII, а разделитель (separator) как 'D', хотя ридер его представляет как '='. VISA 35 поле определяет как 4-bit BCD и содержимое поля при этом весьма похоже на реальное содержимое 2 трека.

                                                  Комментарий


                                                  • #26
                                                    Спасибо, PaulN и всем за "малобуквенных" на второй дорожке.
                                                    C ними, разобрались.
                                                    Хотелось бы переброситься парой (сотен :-)) фраз о PACE. С банкомата (прокша 2000) идет пин, шифрованный EDM ключами A и B. PACE передает это все на рядом стоящую (буквально) систему авторизации. И вот этот самый зашифрованный пин как то не так то ли передается, то ли воспринимается. Светит ошибку формата. Хотелось бы начать с PACE - что он делает в части обработки пинблока? А как выглядет зашифрованный банкоматом пин-блок - хочется его во входящей трассе идентифицировать среди прочих?

                                                    Комментарий


                                                    • #27
                                                      Maksimov
                                                      Сразу покаюсь - с Пейсом не работал, так что далее следуют общие умозаключения, на истину отнюдь не претендующие.
                                                      По логике ( отсутствие систем криптографии ) с ПИН-блоком РАСЕ ничего делать не может. Так что то, что посылает АТМ в качестве ПИН-блока и придёт на вход авторизации. Может только слегка поправит - банкомат символы A..F посылает в "графическом" виде ( 'A' = ';' , и т.п. ).
                                                      Формат, в котором банкомат криптует ПИН-блок, задается в FIT-таблице. Есс-но, на хосте должны совпадать как ключи, так и формат ожидаемого ПИН-блока.
                                                      ПИН-блок с банкомата передаётся в субполе 'l' Transaction Request Message, если протокол NDC ( вроде как для Diebold также, но описания под рукой нет). Выглядит он как 16 символов от 0x30 до 0x3F, окруженных двумя сепараторами 0x1C
                                                      ЗЫ: если чего наврал - поправьте.

                                                      Комментарий


                                                      • #28
                                                        #paul Sorry, согласен, посмотрел оригинал- 40.

                                                        Maksimov Действительно, PACE не шифрует ПИН,
                                                        хитрость, может быть в том, что при формировании
                                                        ПИН блока опционально используется контрольная цифра с ПАНа, нужно посмотреть настройки на хосте авторизации,
                                                        и на FITах(хотя не уверен,что это есть в АТМ), и естественно
                                                        карточка должна быть "правильная". И форматы ПИН блока конечно.

                                                        Комментарий

                                                        Пользователи, просматривающие эту тему

                                                        Свернуть

                                                        Присутствует 1. Участников: 0, гостей: 1.

                                                        Обработка...
                                                        X