26 октября, понедельник 07:16
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Проверка подлинности карты банкоматом

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Pryanik
    Участник создал тему Проверка подлинности карты банкоматом

    Проверка подлинности карты банкоматом

    Такой вот появился вопросик к общественности:
    Какие действия совершает банкомат при проверки подлинности самой карты? Сравниваются ли, например, проэмбоссированный номер карты, именные данные держателя, срок действия, с данными, записанными на магнитной полосе? Или же все действия банкомата сводятся к считыванию данных с магнитной полосы и их последующей передачи в процессинговый центр?


    ------------------
    С уважением Дмитрий Пряников.

  • PaulN
    Участник ответил
    #paul Sorry, согласен, посмотрел оригинал- 40.

    Maksimov Действительно, PACE не шифрует ПИН,
    хитрость, может быть в том, что при формировании
    ПИН блока опционально используется контрольная цифра с ПАНа, нужно посмотреть настройки на хосте авторизации,
    и на FITах(хотя не уверен,что это есть в АТМ), и естественно
    карточка должна быть "правильная". И форматы ПИН блока конечно.

    Прокомментировать:


  • #paul
    Участник ответил
    Maksimov
    Сразу покаюсь - с Пейсом не работал, так что далее следуют общие умозаключения, на истину отнюдь не претендующие.
    По логике ( отсутствие систем криптографии ) с ПИН-блоком РАСЕ ничего делать не может. Так что то, что посылает АТМ в качестве ПИН-блока и придёт на вход авторизации. Может только слегка поправит - банкомат символы A..F посылает в "графическом" виде ( 'A' = ';' , и т.п. ).
    Формат, в котором банкомат криптует ПИН-блок, задается в FIT-таблице. Есс-но, на хосте должны совпадать как ключи, так и формат ожидаемого ПИН-блока.
    ПИН-блок с банкомата передаётся в субполе 'l' Transaction Request Message, если протокол NDC ( вроде как для Diebold также, но описания под рукой нет). Выглядит он как 16 символов от 0x30 до 0x3F, окруженных двумя сепараторами 0x1C
    ЗЫ: если чего наврал - поправьте.

    Прокомментировать:


  • Аватар гостей
    Гость ответил
    Спасибо, PaulN и всем за "малобуквенных" на второй дорожке.
    C ними, разобрались.
    Хотелось бы переброситься парой (сотен :-)) фраз о PACE. С банкомата (прокша 2000) идет пин, шифрованный EDM ключами A и B. PACE передает это все на рядом стоящую (буквально) систему авторизации. И вот этот самый зашифрованный пин как то не так то ли передается, то ли воспринимается. Светит ошибку формата. Хотелось бы начать с PACE - что он делает в части обработки пинблока? А как выглядет зашифрованный банкоматом пин-блок - хочется его во входящей трассе идентифицировать среди прочих?

    Прокомментировать:


  • #paul
    Участник ответил
    PaulN
    если люди почитав данную информацию нарисуют 40 символов
    Если "люди", как Вы выразились, сумеют на втором треке стандартными средствами кодирования полосы "нарисовать" более 40 символов - честь им и слава! Но это то же, что и "налить 300 граммов в 250 граммовый стакан". По ISO 7813 на track2 помещается не более 160 бит ( 20 байт ) информации. А, как я писАл, без StartSentinel, EndSentinel и LRC при желании (хотя и непросто) трек можно кодировать, но стандартно настроенный ридер его не прочитает.
    ЗЫ: не люблю, когда цитируют с искажением смысла, посему закончу начатую вами цитату "...encoded on the track, including the filed separator, but excluding the Start Sentinel, End Sentinel and LRC characters". Можно ещё добавить, что стандартные ридеры переводят информацию со второго трека в ASCII вид, а EPSNet ISO 8583 в 35 поле принимает её в смешанном виде - цифры в ASCII, а разделитель (separator) как 'D', хотя ридер его представляет как '='. VISA 35 поле определяет как 4-bit BCD и содержимое поля при этом весьма похоже на реальное содержимое 2 трека.

    Прокомментировать:


  • yak
    Участник ответил
    PaulN какой ни будь софт откинет запрос с RC=неверный трек, они будут не рады

    А если эти люди свои карточки в турникеты метро совать будут - то какой бы длины у них, так сказать, трэк ни был... В общем, затопит нашу ветку морем слез...

    Прокомментировать:


  • VMS
    Участник ответил
    2 Марко

    Не раскажет ли кто подробнее о камерах на POS-терминалах. Кто что знает? Где используют? Это очень интересная тема, так как позволяет сминимизировать потери от фродовых транзакций.

    Ну, например на Ingenico Elite 500 series ставили. Кажется Elite 511 или что-то вроде того. Вроде даже купить можно. Но чтобы кто-то использовал, я не слышал.

    Прокомментировать:


  • PaulN
    Участник ответил
    #paul
    Для меня особого значения не имеет 37 или 40(включая разделители), но если
    люди почитав данную информацию нарисуют 40 символов, потом какой ни будь софт откинет запрос с RC=неверный трек,
    они будут не рады, в соответствии с ИСО 8583
    поле - 35 - Track 2 data - z - 37 LLVAR - Information encoded on track 2 of the magstripe card

    Прокомментировать:


  • #paul
    Участник ответил
    PaulN
    передаваемая длина не может превышать 37 символов
    Процитирую себя-же:для второго трека не более 40 символов, включаяLRC плюс Start sentiel(';') плюс End Sentiel('?').
    Чистая длина данных на треке - не более 37 символов.


    Maksimov
    А можно узнать как на Visa и подобных - подстраиваемся под них
    С VISA, как впрочем и с другими МПС, Вы поаккуратнее - сделаете карту с номером, приписанным к другому банку - будут карать за подделку карт.

    Прокомментировать:


  • Nerez
    Участник ответил
    to Марко

    Не раскажет ли кто подробнее о камерах на POS-терминалах. Кто что знает? Где используют? Это очень интересная тема, так как позволяет сминимизировать потери от фродовых транзакций.

    А вот вам более простой вариант минимизировать фродовые транзакции. В Великобритании несколько сетевых супермаркетов сразу по всей стране ввели правило брать у клиента отпечаток пальца на чеке специальными чернилами, которые легко потом с пальца стираются. Пресса пишет, что фрод почему-то резко упал. Честные клиенты вовсе не против оставлять отпечатки
    Люблю простые решения!

    Прокомментировать:


  • PaulN
    Участник ответил
    Maksimov
    Небольшая ремарка по поводу длины трека, в соответствии с
    ИСО 8583 , передаваемая длина не может превышать 37 символов, что касается CVV и PVV.
    После даты обычно встречается Сервис Код,
    далее CVV и PVKI,PVV, CVV - Card Verification Value, получается в результате замешивания на PAN, Expire Date и SCode, далее шифруется DESом, используется для предварительной проверки правильности полученного трека, CVV2 используется для проверки по голосовой авторизации (печатается на обратной стороне карты), PVV (точно не помню) замешивается на PAN+PVKI+PIN, используется для предварительной проверки ПИНа в сети.

    Прокомментировать:


  • Марко
    Участник ответил
    ''....Могу добавить, что читал про банкоматы, оснащенные фотокамерой, и, при соответствующем софте, делающие снимок клиента при совершении операции.
    P.S. Кстани такая-же камера бывает и на POS-терминалах....''


    Не раскажет ли кто подробнее о камерах на POS-терминалах. Кто что знает? Где используют? Это очень интересная тема, так как позволяет сминимизировать потери от фродовых транзакций.

    С уважением, Марко

    Прокомментировать:


  • Аватар гостей
    Гость ответил
    Sorry, за нечеткую логику, и за вопрос не к хостовику, а в массы - лето, отпуска и юбилеи, в том числе и у консультантов на хосте.
    А можно узнать как на Visa и подобных - подстраиваемся под них (посмотрел бы ихний ГОСТ - ISO - но текста, в отличии от названия не нашел)? Интересуют именно CVC, PVV и прочие "малобуквенные". С номером карты и сроком разобрался.

    Прокомментировать:


  • #paul
    Участник ответил
    Maksimov
    "типовой" локальной карты
    А что это за зверь, сорри? Звучит-то как "нетипичный типовой случай"
    А вообще для локалок Вы вправе делать всё, что считаете подходящим. С одним ограничением - для второго трека не более 40 символов, включая LRC плюс Start sentiel(';') плюс End Sentiel('?'), дабы ридер ея понял. И набор символов ограничен - "0123456789:;=>?", если в ASCII перевести. А где номер карты, где срок действия и проч. - решайте на локальном хосте.

    Прокомментировать:


  • Аватар гостей
    Гость ответил
    Коллеги, подскажите новичку.
    А какие данные и в каком месте записываются на магнитную полосу "типовой" локальной карты.
    Особенно интересно про вторую - куда там CVC и ему подобные прописываются?

    Прокомментировать:


  • atmmaster
    Участник ответил
    Фоткать нужно по датчику приближения ,а не через 15 сек.
    Правда и это от кирпича не поможет.

    ------------------
    ATMMASTER

    Прокомментировать:


  • Mars
    Участник ответил
    Фоткать клиента во время совершения операции нормальная вещь. Особенно это актуально для уличных банкоматов которые более всего подвержены вандализму. Ставите полупрозрачное стекло над банкоматом и клиент не знает что его снимают.
    В банкомате стоит спецвидик и покадрово пишет что происходит на улице.
    Например 1 раз в 15 сек. Правда толку от этого часто бывает немного. Можно конечно получить фотопортрет мошейника... но ... вот давеча в один из таких банкоматов в нашем городе запустили кирпичиком в выходные. СБ видимо все проспала а когда пришла снимать кассету то было позно - затерлось все покругу. Да и качество снимков оствляет желать лучшего. В банкоматы никто не будет ставить цифровые камеры за 30 000 баксов. Все решение ограничивается 400-500 USD.
    Так что решайте сами думайте сами иметь или не иметь...

    Прокомментировать:


  • matlash
    Участник ответил
    Могу добавить, что читал про банкоматы, оснащенные фотокамерой, и, при соответствующем софте, делающие снимок клиента при совершении операции.
    P.S. Кстани такая-же камера бывает и на POS-терминалах.

    Прокомментировать:


  • EUgeneUS
    Участник ответил
    Выдержки из описания модуля MM/CIM 86

    ====================
    The MM code (MM = modulated mark) is found on the front side of the EC card. It is invisible, but can be read by the MM sensor. It is used to encode specific data of the magnetic track into a code which is saved in field 20 of magnetic track 3 at production of the card.
    =====================

    Но все это, как уже говорил, экзотика. Ни разу не слышал, чтобы это в России использовалось. Или широко в мире.

    С уважением,
    =============

    Прокомментировать:


  • Shooter
    Участник ответил
    Интересный вопросик нам подкинули. Такое ощущение, что кто то желает в АТМ не пластиковую карту сунуть, а календарик и посмотреть что будет? А ничего не будет. Ни календарика (как правило), ни денег (это точно). А вот если, в общих чертах, знать работу АТМ и иметь необходимое обурудование и данные, то у службы безопасности банка эмитента будет очень много работы, если конечно они зарание камеры не поставили - тогда работы будет поменьще.

    Прокомментировать:


  • atmmaster
    Участник ответил
    CIM 86 это опциональная примочка к BJRу используется
    в банкоматах BULL/Olivetti теперь эта кампания одна
    называется Dibold сервисом занимается Интервим
    дак вот в этих банкоматах ставится эта примочка
    когда в нее карта попадает она ее всю ощупывает
    проверяет все кроме магнитной полосы (для этого BJR есть)
    Вобщем работает как интелектуальный определитель подлинности
    баксов эта штука запоминает карты и если попадет фальшивая
    то арестует (имеется в виду например я взял карту при помощи
    нехитрого устройства сделанного на основе магнитофонной головки
    и самодельной карты из куска картона наклееной на него магнитофонной
    пленки сделал копию магн. полосы тогда это устройство CIM 86
    определит что карта фальшивая )
    информация получена из руководства по сервису банкоматов
    BULL/OLIVETTI


    ------------------
    ATMMASTER

    Прокомментировать:


  • Accounter
    Участник ответил
    Не понял. Что кроме полосы может считать банкомат? Разве что через внешнюю примочку какие-нибудь антропометрические параметы, да и то для подтверждения ПИНа. Читать эмбоссированную надпись - зачем? Что это даст?

    Прокомментировать:


  • leha
    Участник ответил
    А по подробнее можно про этот блок и технологию.

    Прокомментировать:


  • atmmaster
    Участник ответил
    В банкоматах для этого используется устройство
    CIM 86 правда я его никогда живьем не видел
    только в доках читал.

    ------------------
    ATMMASTER

    Прокомментировать:


  • Artem K
    Участник ответил
    Ну рассмешили
    Тогда уж не POS терминал, а кассир с ним работающий

    Прокомментировать:


  • Nikki
    Участник ответил
    Не знаю про банкомат, но POS-терминал проверяет соответствие между эмбосированными данными и записями на магнитной полосе.

    Прокомментировать:


  • EUgeneUS
    Участник ответил
    Ради справедливости, стоит добавить, что иногда используются дополнительная проверка. Вплоть до спектрального анализа голограммы :-)). Что-то подобное есть у шведов и, насколько помню, у немцев. Однако, все это экзотика - широко не применятся, можно забыть.

    Прокомментировать:


  • villi
    Участник ответил
    Да, сводятся к передаче данных в ПЦ и авторизации по ПИН-у.

    Прокомментировать:

Обработка...
X