詐欺的なクレジットカード現金引き出しの技術的実現
インドで無許可の誰かが私のクレジットカードアカウントから現金を引き出しました。私が使用する(そして使用したと主張している)カードは、Postbankが発行したドイツのVisaプリペイドカードです。チップとマグネットストリップが付いています。
私はPIN検証の技術面に興味があります。IIUC泥棒は物理的なカードとPIN現金の引き出しには(非-PINなしで実行できる購入などの現金取引)。
私が話をした銀行の担当者は、カードを読んだ人なら誰でも複製を作成することが可能であると主張しました。 マグネットストリップとチップの両方に当てはまりますか?チップは偽造防止のために導入されたものだといつも思っていました。
担当者はまた、一致するPINはカードデータから計算できるであると主張しましたが、詳細についてはよくわかりませんでした。本当?昔はオンラインではなかったATMを使用して偽造でお金を引き出すことができたことを覚えていますPINこれはローカルのカードデータに対して真実であるとテストされましたが銀行による検証に合格しなかったでしょう。それはここで何が起こったのですか、例えばオンラインではないATMがまだありますか?
あなたは泥棒が引き出しを行うために物理的なカードとピンを必要とすることは正しいです。チップを完全に複製することはできませんが(変更される可能性があります)、傍受されたチップデータから磁気ストリップを複製または作成できます。 ブラジルのハッカー は、ピンを許可し、カードデータ認証をバイパスする有効なカードを作成する方法を考え出しました。
カードクローナーは、Javaアプリケーションを作成しました。このアプリケーションには2つの機能があります。最初に、データ認証を実行する必要がないことをPOS端末に通知します。つまり、暗号化操作はありません。カードの秘密暗号化キーを取得するというほぼ不可能なタスクを回避します。
しかし、それでもPIN認証が残ります。ただし、EMV標準には、PINが正しいかどうかを確認するエンティティとして選択するオプションがあります...カード。より正確には、カードで実行されるアプリ。
その権利をお読みください:サイバー犯罪者のアプリは、PINは有効です。PINが入力された場合でも有効です。つまり、カードを使用している詐欺師は4つのランダムな数字を入力するだけで、常に受け入れられます。
ただし、カードが不正使用された可能性は低いです。クレジットカードチップに対する攻撃があり、暗号化を解除してPINおよびその他のデータを取得する可能性がありますが、それらは実際には使用されていないため、代表者が使用していました。あなたに起こったのは、主流のクレジットカード攻撃の1つに見舞われました。
- スキミング:別のデバイスが指をビデオに映したりキー入力を読み取ったりしてピンを取得する間、デバイスはカードがマシンに挿入されるときにカードの磁気ストリップを読み取ります
- 侵害されたATM:ハッキングされたATMはストリップとピンのデータを攻撃者に提供します
- シミング:デバイスはカードのチップとカードリーダーの間に置かれ、デバイスとカード間の通信を遮断して、磁気ストリップを再作成します。ピンは、スキミングと同じ方法を使用して個別に取得する必要があります
- 侵害されたPOSシステム:一部の主要小売業者のPOS端末が過去にハッキングされており、ハンドヘルドクレジットカードリーダーも同様にハッキングされており、カードデータとPINが悪意のある第三者に送信されます