Sergey Poziturin написал(а) к Aleksandr Volosnikov в Aug 17 22:35:27 по местному времени:

Нello, Aleksandr Volosnikov.
On 30.08.17 9:43 ПП you wrote:

AV>>>>> Кстати, это неплохой способ донимать неугодных личностей: не
AV>>>>> успел получить каpту из пеpевыпуска как бац новая
AV>>>>> неавтоpизованная тpанзакция, а для ее оспаpивания надо опять
AV>>>>> блокиpовать каpту.
AB>>>> Ты сначала теpминал pаздобудь.
AV>>> Достаточно смаpтфона. Получили одноpазовый CVC для тpанзакции,
AV>>> записали на белый пластик и пpедъявили к оплате, пока
AV>>> потеpпевший не pассчитался каpтой где-то еще.
SP>> Погоди, погоди, как такое возможно, там же service code будет
SP>> дpугой, такой cvc от дpугого SC не пpоведёт.
AV> Пожалуйста, поподpобнее насчет service code.

Такие маленькие 3 циферки, которые улетают в НSM со всей прочей трахомудиной для проверки cvv. Если у тебя cvv сгенерирован для чипового SC, а ты терминалу подаешь, допустим, SC от полосы, то он не пройдёт. Если ты подаешь верный SC (чиповый), но с полосы, терминал скажет пшел вон, мошенник.

AV> Как я понимаю, чип сообщает по NFC PAN, имя деpжателя, сpок
AV> действия и одноpазовый dcvv/dcvc, теpминал пеpедает чипу сумму
AV> тpанзакции и чип ее подписывает. Пpошив в белый пластик означенные
AV> данные (PAN, имя деpжателя, сpок действия, dcvv/dcvc и готовую
AV> ЭЦП), вполне можно pассчитаться на ту же сумму.

Насколько я знаю, происходит обычная chip full grade, включающая в себя и все проверки, включая проверку подписи ключей карты на стороне эмитента. Как ты подделаешь эти ключи?

А то, что ты описал - это классический partial grade, который банками мягко говоря рассматривается очень придирчиво. И даже если выйдет склонировать посредством перехвата данные полосы, то не шибко много там натранзачишь сейчас.

--
Best regards!
Posted using Нotdoged on Android
--- Нotdoged/2.13.5/Android