Cloned Boy
Carder
ВВЕДЕНИЕ
(вся информация, представленная здесь, предназначена исключительно для образовательных целей, не имеет никакой связи с реальными банками, реальными номерами карт и реальными треками кредитных карт, неправомерное использование данной информации ведет к нарушению законодательства многих стран. Мы не преследуем цели написать полное руководство по борьбе с мошенничеством здесь, а просто хочу показать некоторым банкам и платежным сетям, насколько они уязвимы)
Данная статья не претендует на полное руководство по этому вопросу, однако вы можете найти здесь самые важные вещи, которые очевидно показывают, как технология работает. Хочу сообщить вам, что исследования в этом вопросе были начаты 4 года назад и на данный момент банки не так уж и уязвимы, но все же некоторые из них есть. Эта статья посвящается новичкам и тем тупицам, которые все 4 года угрожали мне сообщениями "привет, нужен ПИН".
Для тех, кто любит не разглашать информацию: на данный момент я считаю, что тема достаточно устарела, чтобы представить ее массам.
Вопрос: Сейчас много разговоров о возможности генерации track2. Насколько это реально?
Ответ: Процесс генерации дебетовых (и некоторых кредитных) дампов из номера кредитной карты, срока действия и cvv2-кода становится возможным из-за их слабой, «ненасыщенной» структуры. Давайте посмотрим несколько примеров для начала.
Вот дамп кредита Флита2:
4305500092327108=040110110000426
видим номер карты, срок действия, 1011 - сервисный код, 0000 - место для пвн (но его нет!), и минимум 426 - это cvv (не путайте с cvv2)
Теперь давайте посмотрим на дамп track2 MBMA:
4264294318344118=04021010000044500000
здесь мы видим то же самое - никаких pvn и другой проверочной информации - только cvv.
Не хочу сказать, что отсутствие pvn и прочей проверочной информации значительно облегчает процесс генерации, но... все, что нам нужно получить, это заветный cvv-код ;-)
Однако давайте рассмотрим частный случай, когда генерация основана на слабых проверка банками контрольных значений в треках 2 своих дебетовых карт, например структура дампов может быть полностью "насыщена", но, СЮРПРИЗ, банк проверяет ТОЛЬКО номер карты и срок действия, таким образом проверяя только соблюдение структуры второго трека для карты этого мусорного ведра (и, опять же, СЮРПРИЗ - иногда даже этого не выполняют!). Эта уязвимость ДОЛЖНА была иметь место не только для мелких банков. Крупные компании, такие как BOFA и CHASE, также оказались уязвимы. На данный момент эта уязвимость исправлена для всех крупных банков. Но все же иногда идиотизм и небрежность, проявленные сотрудниками многих американских (и не только) банков, нередко продолжает нас удивлять: около 10% выпущенных карт все еще уязвимы, даже на данный момент.
Давайте рассмотрим дамп track2 филиала Banking and Trust Company:
4661880015236844=05051010113701056
трек полностью насыщен различными проверочными значениями, 3701 похоже на pvn, а 056 похоже на cvv,
но, OOOPS, на самом деле банк НЕ ПРОВЕРЯЕТ ни одно из значений на своем track2 и, хм, 4661880015236844=05051010100000000 будет работать так же хорошо, как и приведенный выше "насыщенный". Можно рассмотреть еще много примеров, но дальнейшее изучение материала я оставляю за вами.
Как выяснилось, причиной такой халатности является неграмотная (или не полная) настройка программного обеспечения и нежелание многих банков тратить деньги на криптопроцессоры и прочее дорогостоящее оборудование. Многие банки, как только загрузка процессорных компьютеров достигала пикового значения, вместо того, чтобы улучшить имеющееся и закупить новое оборудование, просто отключали многие алгоритмы защиты, тем самым снижая загрузку системы. Есть много причин, рассмотрение которых не является целью статьи.
Вопрос: Остаются ли банки, которые проводят все проверки track2, по-прежнему уязвимыми? Есть ли другие возможности восстановить track2?
Ответ: Я не стану вникать в тонкости DES, 3DES и других криптографических алгоритмов - просто разберусь с концепцией здесь.
(В основном, все функционирует по старому доброму принципу закрытого и открытого ключей. Закрытый ключ хранится в криптографическом процессоре банка (IBM 4758 или аналогичном). Значения Shorlty, cvv, pvv и другие в любом случае являются производными от ключей, хранящихся в банке. Для таких случаев доступна возможность подбора пароля.
Но даже если банк соответствует всем требованиям ISO и соблюдает все меры безопасности, все равно остается много уязвимостей...
Вот пример:
Израиль, середина 2002 года... Прямо на улицах расположено множество терминалов (не банкоматов), позволяющих получить доступ к своему счету или произвести манипуляции со счетом. Каким-то образом было обнаружено, что в израильских банкоматах есть некая ценность, позволяющая проверить пин-код без авторизации банка. Это было исследовано в ходе длительного процесса экспериментов. Когда наконец такая ценность оказалась в руках заинтересованной группы людей, она превратилась в множество пин-кодов ;-) Немного поясню: каждый описанный выше терминал был оснащен криптокартой, которая при инициации сеанса получала некоторую ценность от банк, который позволял проверять ПИН-код без запроса в банк. Стало возможным формирование запроса определенного типа на криптокарту, установленную в терминале. В результате мы смогли получить логическое значение, указывающее, правильный или нет вывод. Процедура добычи была длительной, но народы, работавшие над этим, в конце концов добились успеха. В результате за полгода успешной работы этих людей были перевыпущены 2/3 карт Israel Discount Bank. В разных странах гораздо больше банков, которые уязвимы... Подумайте...
Используя современные технологии, можно создавать крупные ботнеты, которые позволяют перебирать ключи за часы или даже за минуты. Доступно множество программного обеспечения и технологий.
РЕЗЮМЕ: Практически все банки уязвимы, кто-то больше, кто-то меньше. Способов сделать много - надо только хорошо подумать ;-))
Удачи.
С наилучшими пожеланиями и уважением, искренне Ваш, (c) BadB
(вся информация, представленная здесь, предназначена исключительно для образовательных целей, не имеет никакой связи с реальными банками, реальными номерами карт и реальными треками кредитных карт, неправомерное использование данной информации ведет к нарушению законодательства многих стран. Мы не преследуем цели написать полное руководство по борьбе с мошенничеством здесь, а просто хочу показать некоторым банкам и платежным сетям, насколько они уязвимы)
Данная статья не претендует на полное руководство по этому вопросу, однако вы можете найти здесь самые важные вещи, которые очевидно показывают, как технология работает. Хочу сообщить вам, что исследования в этом вопросе были начаты 4 года назад и на данный момент банки не так уж и уязвимы, но все же некоторые из них есть. Эта статья посвящается новичкам и тем тупицам, которые все 4 года угрожали мне сообщениями "привет, нужен ПИН".
Для тех, кто любит не разглашать информацию: на данный момент я считаю, что тема достаточно устарела, чтобы представить ее массам.
Вопрос: Сейчас много разговоров о возможности генерации track2. Насколько это реально?
Ответ: Процесс генерации дебетовых (и некоторых кредитных) дампов из номера кредитной карты, срока действия и cvv2-кода становится возможным из-за их слабой, «ненасыщенной» структуры. Давайте посмотрим несколько примеров для начала.
Вот дамп кредита Флита2:
4305500092327108=040110110000426
видим номер карты, срок действия, 1011 - сервисный код, 0000 - место для пвн (но его нет!), и минимум 426 - это cvv (не путайте с cvv2)
Теперь давайте посмотрим на дамп track2 MBMA:
4264294318344118=04021010000044500000
здесь мы видим то же самое - никаких pvn и другой проверочной информации - только cvv.
Не хочу сказать, что отсутствие pvn и прочей проверочной информации значительно облегчает процесс генерации, но... все, что нам нужно получить, это заветный cvv-код ;-)
Однако давайте рассмотрим частный случай, когда генерация основана на слабых проверка банками контрольных значений в треках 2 своих дебетовых карт, например структура дампов может быть полностью "насыщена", но, СЮРПРИЗ, банк проверяет ТОЛЬКО номер карты и срок действия, таким образом проверяя только соблюдение структуры второго трека для карты этого мусорного ведра (и, опять же, СЮРПРИЗ - иногда даже этого не выполняют!). Эта уязвимость ДОЛЖНА была иметь место не только для мелких банков. Крупные компании, такие как BOFA и CHASE, также оказались уязвимы. На данный момент эта уязвимость исправлена для всех крупных банков. Но все же иногда идиотизм и небрежность, проявленные сотрудниками многих американских (и не только) банков, нередко продолжает нас удивлять: около 10% выпущенных карт все еще уязвимы, даже на данный момент.
Давайте рассмотрим дамп track2 филиала Banking and Trust Company:
4661880015236844=05051010113701056
трек полностью насыщен различными проверочными значениями, 3701 похоже на pvn, а 056 похоже на cvv,
но, OOOPS, на самом деле банк НЕ ПРОВЕРЯЕТ ни одно из значений на своем track2 и, хм, 4661880015236844=05051010100000000 будет работать так же хорошо, как и приведенный выше "насыщенный". Можно рассмотреть еще много примеров, но дальнейшее изучение материала я оставляю за вами.
Как выяснилось, причиной такой халатности является неграмотная (или не полная) настройка программного обеспечения и нежелание многих банков тратить деньги на криптопроцессоры и прочее дорогостоящее оборудование. Многие банки, как только загрузка процессорных компьютеров достигала пикового значения, вместо того, чтобы улучшить имеющееся и закупить новое оборудование, просто отключали многие алгоритмы защиты, тем самым снижая загрузку системы. Есть много причин, рассмотрение которых не является целью статьи.
Вопрос: Остаются ли банки, которые проводят все проверки track2, по-прежнему уязвимыми? Есть ли другие возможности восстановить track2?
Ответ: Я не стану вникать в тонкости DES, 3DES и других криптографических алгоритмов - просто разберусь с концепцией здесь.
(В основном, все функционирует по старому доброму принципу закрытого и открытого ключей. Закрытый ключ хранится в криптографическом процессоре банка (IBM 4758 или аналогичном). Значения Shorlty, cvv, pvv и другие в любом случае являются производными от ключей, хранящихся в банке. Для таких случаев доступна возможность подбора пароля.
Но даже если банк соответствует всем требованиям ISO и соблюдает все меры безопасности, все равно остается много уязвимостей...
Вот пример:
Израиль, середина 2002 года... Прямо на улицах расположено множество терминалов (не банкоматов), позволяющих получить доступ к своему счету или произвести манипуляции со счетом. Каким-то образом было обнаружено, что в израильских банкоматах есть некая ценность, позволяющая проверить пин-код без авторизации банка. Это было исследовано в ходе длительного процесса экспериментов. Когда наконец такая ценность оказалась в руках заинтересованной группы людей, она превратилась в множество пин-кодов ;-) Немного поясню: каждый описанный выше терминал был оснащен криптокартой, которая при инициации сеанса получала некоторую ценность от банк, который позволял проверять ПИН-код без запроса в банк. Стало возможным формирование запроса определенного типа на криптокарту, установленную в терминале. В результате мы смогли получить логическое значение, указывающее, правильный или нет вывод. Процедура добычи была длительной, но народы, работавшие над этим, в конце концов добились успеха. В результате за полгода успешной работы этих людей были перевыпущены 2/3 карт Israel Discount Bank. В разных странах гораздо больше банков, которые уязвимы... Подумайте...
Используя современные технологии, можно создавать крупные ботнеты, которые позволяют перебирать ключи за часы или даже за минуты. Доступно множество программного обеспечения и технологий.
РЕЗЮМЕ: Практически все банки уязвимы, кто-то больше, кто-то меньше. Способов сделать много - надо только хорошо подумать ;-))
Удачи.
С наилучшими пожеланиями и уважением, искренне Ваш, (c) BadB
