Як шахраї копіюють банківські картки

Після історії з крадіжкою грошей з моєї карти Ощадбанку шляхом клонування картки, я вирішив уникнути, як це відбувається. І, чесно кажучи, був шокований двома речами: створити копію картки легко може навіть школяр і що США просто райське місце для шахраїв, які клонують банківські картки. Те, що ви прочитаєте в цьому пості, багатьох вас дуже здивує.

Попередження: цей пост написаний ВИКЛЮЧНО в ознайомлювальних цілях та для попередження читацької аудиторії про потенційні небезпеки при користуванні банківськими картками. Копіювання своїх чи чужих банківських карток є порушенням законом України і тягне за собою кримінальну відповідальність. Не намагайтеся використовувати інформацію з цієї посади для здійснення неправомірних дій щодо копіювання та використання банківських карток!

шахраї

Ви знаєте, що банківські картки — це носій малої ємності, що перезаписується (близько 2 кб)? Власне, дискета. А скоріше, аудіокасету! Якщо у вас є старий касетний магнітофон, увімкніть його та проведіть магнітною смугою кредитної картки по головці. Ви почуєте звук: магнітофон вважав номер рахунку, ім'я власника картки та додаткову службову інформацію. Ні, звичайно сучасні банківські картки трохи складніші, ніж звичайна магнітофонна стрічка, проте принцип дії ідентичний. І як це часто буває з багатьма технічними рішеннями, застарілими, але прийнятими та використовуваними повсюдно… кредитні картки фактично не мають серйозного захисту від копіювання! Їх можна просто переписати, як у далекі 80-ті ми переписували Metallica чи Ласкавий Май з касети сусіда по парті. І саме цим займаються безліч шахраїв по всьому світу, зчитуючи інформацію з наших карт скіммерами, записуючи потім карти-клони і продаючи їх нагігантський чорний ринок. Наприклад, у Південній Америці на потік поставлено крадіжку даних з карток (у Бразилії вже навіть не намагаються боротися із встановленням скіммерів на банкомати), а в США — легалізація карт-клонів.

Як влаштовано банківську картку

Залежно від банку та типу картки на ній може бути встановлено 3 елементи: магнітна смуга на зворотній строні картки, EMV-чіп та RFID (чіп та антена для безконтактного зчитування картки, так званий Pay Pass). Найсучасніша карта має всі три елементи. Найнезахищеніша — та, яка має тільки магнітну смугу. А тепер, увага! Магнітна смуга є на ВСІХ картах. Тобто всі карти можна скопіювати. Далі питання у тому, чи можна скопійовану картку використати. З цим складніше, адже чіп підробляти досі так і не навчилися і в будь-якому банку вам скажуть, що ваша картка захищена і скористатися її клоном не зможуть. Це не правда! Мою чіповану карту схилювали і нею скористалися. Як? І тут на арену виходять США! У цій найбагатшій країні у світі досі банки ПРАКТИЧНО не випускають карти з чіпами, користуючись картами зі смугою, і навіть вашу карту в магазині будуть по-старому прокатувати на смугу! При цьому практично всі термінали в точках продажу без проблем можуть працювати з чіпованими картами. Тобто для використання вашої суперзахищеної чіпованої карти в США шахраям навіть не потрібно намагатися копіювати ваш чіп! Вони без проблем зможуть прокатати магнітну смугу карти десь на касі самообслуговування. Саме тому на початку посту я назвав США раєм для шахраїв такого плану. Чому це відбувається? Все просто! Нічого особистого, просто бізнес. Усі картки в США застраховані від крадіжки коштів, за страховку платить клієнт, тож цепросто величезний ринок для страхових компаній. То навіщо банкам напружуватись і витрачати зайві гроші на дорожчі чіповані карти?

Тепер давайте докладніше про елементи захисту картки. 1. Магнітна смуга на звороті карти. насправді магнітні смуги цілих три, так звані Track 1, 2 і 3. Ось як смуга виглядає під мікроскопом.

копіюють

банківські

2. EMV (Europay, MasterCard, Visa Chip) чіп - схожий на сім-карту і має схожі електронні характеристики. Цей чіп відповідає за перевірку транзакції карткою на EMV сумісних банкоматах і створений міжнародним концерном кредитних компаній у відповідь на надмірну легкість у копіюванні кредиток з магнітною стрічкою.

шахраї

Одна з причин того, що чіпи не підробляють це те, що недостатньо просто скопіювати вміст чіпа на іншу карту в першу чергу тому, що ніякої інформації на чіпі часто просто немає (іноді на чіпі зберігається копія Track 2). Перевірка йде на апаратному рівні, в інтернеті зустрічаються згадки, що банкомат генерує якийсь номер, на який чіп має дати правильну відповідь. Однак у багатьох банках перевірка йде просто наявність EMV-чіпа від даного банку. Іншими словами, якщо записати магнітну смужку на картку без EMV-чіпа або картку з EMV-чіпом іншого банку, то банкомат таку карту не прийме, а от якщо закатати доріжку на картку того ж банку, що минув, з правильним EMV-чіпом, то зняти гроші можна. У будь-якому випадку EMV захищає тільки можливість зняти гроші з банкоматів і лише тих, що мають таку функцію. В абсолютній більшості платіжних терміналів та банкоматів по всьому світу, як і раніше, зчитується тільки магнітна карта без участі EMV. Це особливо стосується країн третього світу і, як я вже сказав, США!

Як же копіюють карти з магнітною смужкою?

Існує досить великий асортимент апаратного забезпечення роботи з магнітними картами. Найкращий вибір – це MSR 206 сумісні пристрої: вони найбільш поширені і до них існує найбільше програмного забезпечення. І взагалі вони є в будь-якому готелі, де як ключ використовується магнітна карта. Купуються вони через інтернет магазин типу Ebay. Пристрій працює через інтерфейс послідовного com-порту. Вартість коливається від 100 до 300 $, відрізняються пристрої між собою комплектацією та дизайном, але принципової різниці між ними немає.

банківські

копіюють

А ось так діалогове вікно для безпосередньої роботи з карткою

копіюють

Read - рахувати карту. Індикатор на MSR206 спалахує жовтим кольором, карта зчитується, її вміст з'являється у вікнах ASCII і HEX, а також у полях Track 1, 2, 3. Якщо потрібно зберегти образ отриманої карти, команда "File \ Save as ...". Якщо відразу потрібно зробити дублікат, просто Write. Залишилося провести чистою карткою MSR206 і все, карта скопійована! Erase Track(s) — якщо потрібно використовувати для перезапису картку, на якій вже є якась інформація (наприклад, банківська картка з терміном дії, що минув), то перед повторним використанням картку потрібно очистити. Для цього виділяються всі три треки та натискається кнопка Erase. Залишилося провести карткою з пристрою. Є навіть пакетний режим, Batch mode, якщо потрібно записати відразу безліч магнітних карток.

Як одержують дані для копіювання картки?

Як я вже сказав вище, шахраям достатньо рахувати дані з магнітної смужки, а чіп їх взагалі не цікавить. Як вони це роблять, знають усі. За допомогою скіммерів, які накладають на банкомати.

банківські