Структура карточного дампа: разбор полей Track1, Track2, Track3 и их значение для EMV-транзакций

Professor

Professor

Professional
Messages
1,384
Reaction score
1,295
Points
113
Аннотация: Техническое, но доступное объяснение структуры данных на магнитной полосе и в чипе карты. Для чего нужны разные треки, что такое Service Code, PAN, Expiry Date. Акцент на том, почему статичные данные Track 1/2 были уязвимы для скимминга и как EMV-чип (с динамическими данными) решает эту проблему.

Введение: Магнитная летопись вашей карты​

Каждый раз, когда вы проводите банковской картой с магнитной полосой через терминал, происходит тихое чудо передачи данных. На этой бурой полоске скрывается не просто набор цифр, а сложно структурированное цифровое послание, записанное по строгим стандартам. Это послание — «карточный дамп» — долгие годы было основой платежных систем и одновременно их «ахиллесовой пятой».

Понимание его структуры — это ключ к осознанию того, как развивалась безопасность платежей. Мы отправимся в небольшое техническое, но увлекательное путешествие по «дорожкам» (трекам) магнитной полосы, чтобы понять, что именно украдали скиммеры и почему современный чип стал непреодолимой преградой для такой кражи. Это знание — не для повторения, а для глубокого уважения к инженерной мысли, защищающей наши средства.

Глава 1. Физика и логика: как устроена магнитная полоса​

Магнитная полоса на обратной стороне карты — это носитель информации, подобный аудиокассете, но миниатюрный. Она содержит три параллельные «дорожки» (track), на которые записываются данные в виде намагниченных областей. Каждая дорожка имеет свой формат и ёмкость:
  • Track 1 (IATA — International Air Transport Association): Самая «информативная» дорожка. Может содержать до 79 буквенно-цифровых символов. Помимо номера карты, здесь хранится имя держателя.
  • Track 2 (ABA — American Bankers Association): Основная дорожка для финансовых транзакций. Содержит до 40 цифровых символов. Именно её чаще всего считывают банкоматы и платежные терминалы.
  • Track 3 (THRIFT — или «прочие»): Редко используется в современных платежных системах. Изначально предназначалась для хранения данных о лимитах, обновлении PIN и т.д. Имеет ёмкость до 107 цифровых символов.

Важнейший принцип: Данные на магнитной полосе статичны. Они не меняются от транзакции к транзакции. Это и было корнем проблемы.

Глава 2. Детальный разбор: что хранится в каждом треке?​

Давайте «прочтем» типичный дамп, понимая значение каждого поля.

Track 1 (Пример формата):​

%B1234567890123456^DOE/JOHN^2512101000000000000000000000000?
  • %B — Start Sentinel (начальный сторожевой символ). Означает начало данных Track 1.
  • 1234567890123456 — PAN (Primary Account Number). Это и есть номер вашей карты.
  • ^ — Field Separator (разделитель полей).
  • DOE/JOHN — Имя держателя карты (Last Name / First Name).
  • ^ — еще один разделитель.
  • 2512 — Срок действия (Expiry Date) в формате ГГ/ММ (YYMM). Здесь: декабрь 2025 года.
  • 101 — Service Code (сервисный код). Критически важное поле из трёх цифр:
    • Первая цифра: Межотраслевой стандарт (1 – международный, 5 – только для банкоматов/терминалов).
    • Вторая цифра: Допустимые методы авторизации (0 – магнитная полоса, 2 – чип, 6 – чип и полоса).
    • Третья цифра: Требования к PIN и услуги (0 – нет ограничений, 1 – только онлайн-верификация, 2 – контактный чип).
  • 000...000 — Дисперсионные данные (PVV, PIN Verification Value и др.) и End Sentinel (?).

Track 2 (Пример формата):​

;1234567890123456=251210100000000?
  • ; — Start Sentinel для Track 2.
  • 1234567890123456= — PAN и разделитель.
  • 2512 — Expiry Date (YYMM).
  • 101 — Service Code (аналогично Track 1).
  • 000...000? — Дисперсионные данные и End Sentinel.

Главное отличие Track 2 от Track 1 — отсутствие имени держателя и чисто цифровой формат, что делает его более компактным и надежным для считывания.

Track 3:​

Исторически использовалась для хранения баланса, лимита снятия, счетчика транзакций в офлайн-режиме (например, в ранних телефонах-автоматах). В современных картах международных платежных систем (Visa, Mastercard) практически не используется для платежей, так как её поддержка не является обязательной.

Глава 3. Ахиллесова пята: почему статичные данные стали проклятием​

Вот как работала классическая схема скимминга, основанная на понимании этой структуры:
  1. Кража: Злоумышленник устанавливает скиммер на банкомат. Устройство считывает все статичные данные с Track 1 и/или Track 2: PAN, срок действия, имя держателя, Service Code.
  2. Копирование: Эти данные записываются на чистую пластиковую заготовку с магнитной полосой.
  3. Использование: Поддельная карта с идентичными данными предъявляется для оплаты там, где терминал не требует чипа или PIN (например, в некоторых онлайн-транзакциях или на старых терминалах). Так как данные совпадают байт в байт с оригиналом, система не может отличить копию.

Service Code играл здесь злую роль. Если в оригинальной карте был код, разрешающий только чиповые транзакции (2xx), а терминал это игнорировал, мошенник мог использовать копию с магнитной полосы.

Суть проблемы: Магнитная полоса — это паспорт, который нельзя изменить. Украденный паспорт дает все права оригинала.

Глава 4. Эра EMV: как чип переписал правила игры​

Технология EMV (Europay, Mastercard, Visa), или чиповая карта, совершила революцию, сменив парадигму со «статичных данных» на «динамическое криптографическое доказательство».

Что такое EMV-чип?​

Это не память, а микрокомпьютер с защищённой операционной системой и криптографическим сопроцессором. Он не хранит данные для простого копирования, а вычисляет уникальный отклик на каждый вызов.

Ключевые компоненты EMV-транзакции:​

  1. Static Data Authentication (SDA): Устаревший метод. Проверяет, что данные чипа (PAN, срок и т.д.) подписаны банком-эмитентом и не изменены. Уязвим для атаки «рельефного копирования» (копирования неизменных данных).
  2. Dynamic Data Authentication (DDA): Чип содержит приватный ключ, известный только ему и банку. Терминал отправляет ему случайное число (Unpredictable Number — UN). Чип использует свой ключ, чтобы подписать это число и создать уникальную подпись для данной транзакции (Signed Dynamic Application Data — SDAD). Украденные данные бесполезны для следующей операции, так как UN будет другим.
  3. Combined DDA + Application Cryptogram Generation (CDA): Самый безопасный метод. Динамическая аутентификация совмещена с генерацией криптограммы (ARQC — для онлайн-транзакции, TC — для офлайн-подтверждения), которая также уникальна для каждой операции.
  4. PIN-код, верифицируемый чипом (Offline PIN): PIN не отправляется в банк, а проверяется самим чипом, что исключает его перехват в сети.

Почему скимминг EMV-чипа невозможен в классическом виде?​

  • Нет статичных данных для копирования: Ключевые для транзакции данные (криптограмма, подпись) генерируются на лету и никогда не повторяются.
  • Приватный ключ не извлекаем: Он физически защищён внутри чипа и не может быть считан.
  • Даже если скопировать весь дамп памяти чипа (что крайне сложно), это даст лишь статический слепок, бесполезный для следующей оплаты, так как терминал запросит новую, уникальную подпись.

Глава 5. Наследие треков в современном мире​

Магнитная полоса и её структура не исчезли. Они играют важную роль:
  • Резервный канал: Если чип не сработал, терминал может считать магнитную полосу (часто с требованием PIN).
  • Совместимость: Обеспечение работы в регионах с устаревшей инфраструктурой.
  • Данные для чипа: Некоторые статические данные с магнитной полосы (PAN, срок) также хранятся в памяти чипа и используются как часть входных данных для криптографических вычислений.

Однако, решающее значение теперь имеет не сам дамп, а то, что чип может с ним сделать. Терминал, поддерживающий EMV, всегда отдаст предпочтение динамической аутентификации через чип, а не статическим данным с полосы.

Заключение: От уязвимого слепка к защищённому диалогу​

Эволюция от магнитной полосы к EMV-чипу — это история перехода от «кто ты?» (проверка статичного идентификатора) к «докажи, что ты здесь и сейчас — это именно ты» (криптографическое доказательство в реальном времени).

Понимание структуры Track 1, Track 2, Track 3 даёт нам ясную картину:
  1. Была проблема: Статичные данные = вечная ценность для вора.
  2. Появилось решение: Динамическая криптография = ценность, существующая доли секунды и только для одной операции.

Сегодня, вставляя карту с чипом в терминал, вы инициируете сложный защищённый диалог между вашим личным микрокомпьютером и банком. Магнитная полоса остаётся лишь воспоминанием об этой технологии — тихим напоминанием о том, как инженерная мысль превратила уязвимость в силу, защитив наши средства в цифровую эпоху. Знание этого процесса не только интересно, но и даёт уверенность в надёжности технологий, которые мы используем каждый день.
 
You must log in or register to reply here.

Similar threads

S
Как работает технология EMV и почему она не полностью устранила кардинг? (Чиповые карты, их преимущества и недостатки)
Replies
0
Views
446
Student
S
S
Какие данные карты наиболее ценны для кардеров? (Номер карты, CVV, магнитная полоса, чипы EMV)
Replies
0
Views
412
Student
S
Professor
Крестные отцы протоколов: Как атаки кардеров напрямую влияли на изменения в международных платежных стандартах (ISO 8583, EMV)
Replies
0
Views
44
Professor
Professor
Mutt
Можно ли подделать EMV-чипы, и почему это так сложно?
Replies
0
Views
467
Mutt
Mutt
S
Подробное объяснение техники "штрих-кодирования" для передачи данных карт в даркнете
Replies
0
Views
381
Student
S
Back
Top