信用卡提款欺诈的技术实现

Question

有人在印度未经授权从我的信用卡账户里提取了现金。我使用的卡(他们声称使用过)是一张由邮政银行发行的德国签证预付卡。它有一个芯片和一个磁条。

我对PIN验证的技术方面很感兴趣。盗贼必须有一张实物卡和一张提款密码(而非现金交易，比如无需密码就能完成的购买)。

我采访过的银行代表声称，任何读过这张卡片的人都有可能创建一个副本。磁条和晶片都是这样吗？我一直认为芯片的引入是为了防止锻造。

这位代表还声称，可以从卡数据中计算出匹配的密码，但我认为他对细节不太确定。这是真的吗？我记得很久以前，我们可以使用一个不在网上的自动取款机，用伪造的密码取钱，用当地的信用卡数据来检验，但银行不会通过验证。这就是这里发生的事情吗?例如，是否仍有未上网的自动取款机？

Answer 1

你说得对，小偷需要一张实物卡和一根别针才能提款。芯片还不能完全克隆(但这可能会改变)，但是磁条可以被克隆或从被截获的芯片数据中创建。巴西黑客已经提出了一种创建工作卡的方法，该方法允许任何插卡和旁路卡数据身份验证：

卡片克隆人创建了一个Java应用程序来运行卡片。应用程序有两个功能:第一，它告诉POS终端不需要执行数据身份验证。这意味着不需要密码操作，让他们保留几乎不可能完成的任务，即获取卡的私密密钥。但这仍然是PIN认证的问题。但是，EMV标准中有一个选项可以选择作为实体，检查…是否正确你的名片。或者，更准确地说，在你的卡上运行一个应用程序。你读对了:网络罪犯的应用程序可以说PIN是有效的，不管输入了什么PIN。这意味着，使用卡片的骗子只需输入四个随机数字--它们将永远被接受。

但是，这不太可能是你的卡被泄露的原因。虽然对信用卡芯片的攻击可以破解密码并检索PIN和其他数据，但它们并不是在野外使用的，因此该代表是。发生在你身上的可能是你受到了一次主流信用卡攻击：

• 撇除:当卡放入机器时，设备读取卡上的磁条，而另一种设备则通过视频化手指或读取输入键来获取你的引脚
• 受损的自动取款机:被黑客入侵的自动取款机将条形和引脚数据提供给攻击者。
• Shimming:在您的卡芯片和读卡器之间放置一个设备，它拦截设备与您的卡之间的通信，允许重新创建磁条。您的引脚需要使用与撇除相同的方法分别获得。
• 折扣销售点系统:过去，一些主要零售商的销售点终端遭到黑客攻击，手持信用卡读取器也被黑客入侵，您的信用卡数据和密码被发送给恶意第三方。