Какая информация содержится на магнитной полосе
Вообще карта с магнитной полосой – динозавр, который должен был умереть уже давным давно. На дворе эпоха криптоактивов уже давно 🙂
Но, спасибо самому отсталому рынку, такие карты все еще существуют. Как вы думаете, кстати, какой рынок самый отсталый в смысле карточных технологий? Не поверите… США! Кроме шуток. А самый развитый?.. Не так сложно догадаться. Азиатский! А российский – где-то ближе все-таки к переднему краю. От азиатского немного отстаем, но в целом – весьма на уровне.
С США все просто. Поскольку родина карт – США, то там и больше всего оборудования по приему. А оно до сих пор работает, чего его просто так менять? К тому же, основные платежные системы – родом оттуда, а потому защищают интересы банков США и не принуждают (хотя подталкивают) к замене оборудования.
В общем, содержимое магнитной полосы представляет, скорее, академический интерес. Его и будем сегодня удовлетворять.
Хотя, кстати, в микропроцессорных картах используется блок информации, который устроен точно так же, как и информация на магнитной полосе. Ну да потом как-нибудь расскажу.
На магнитной полосе находится три дорожки, или три трека. Стандартизированы только первые два. Общих стандартов на третий трек нету (хотя отраслевые или частные стандарты существуют). Первые два трека предназначаются только для чтения (хотя технически переписать их можно). А третий предназначался и для чтения и для записи. Но в народ он не пошел. Как-нибудь расскажу о его нелегкой судьбе 🙂
Когда разрабатывались карты, решались две несвязанные, но похожие задачи. Одна задача – для автоматической регистрации пассажиров в авиакомпаниях, вторая задача – автоматизация оплаты. Поскольку разрабатывал оборудование для обеих задач IBM, то он и решил объединить решения. Треки 1 и 2 различаются плотностью записи (трек 1 вмещает больше). Содержимое у них очень похожее, хотя немного различается.
Служебные символы на самом деле могут быть разными, есть несколько вариантов. После стартовых символов идет номер карты – должен быть точно такой же, как и тот, который написан на самой карте. Номер этот называется PAN – Primary Account Number, номер основного счета. Но на практике он никогда не совпадает с номером счета в банке (в силу законодательных требований к номеру счета, например). Вообще-то он состоит из идентификатора банка (Bank Identification Number), номера счета и контрольного символа.
BIN банк получает у платежной системы, когда входит в нее. За каждой платежной системой закреплены свои начальные цифры, поэтому, глядя на номер карты, можно понять, к какой платежной системе она относится.
После PAN идет имя и фамилия держателя (кстати, именно этих данных нет на втором треке, это основная разница). Затем идет три важных блока данных.
Срок действия карты – четыре цифры. Первые две – год, вторые – месяц.
Дальше – т.н. код обслуживания (Service Code) из трех цифр. Первая цифра значит тип карты. Если это 1 или 5 – то карта с магнитной полосой. Если это 2 или 6 – то карта с чипом. Значения 5 и 6 значат, что карта для операций только внутри страны, а 1 и 2 – что можно пользоваться в других странах тоже.
Вторая цифра говорит о правилах проверки карты. Например, 0 – PIN можно не проверять, 2 – PIN проверяется всегда.
Последняя цифра – о правилах обслуживания карты. Можно, например, запретить снимать наличку (только оплата в терминалах) и т.д.
Следующий важный блок – Discretionary Data. Данные для проверки карты. Вообще здесь нет единого стандарта, каждый издатель карты может на свой лад использовать этот блок. Но типично здесь находятся такие значения, как CVV (Card Verification Value) и PVV (PIN Verification Value) вместе с необходимым для него PVKI.
Глубоко копаться не будем, объясню простыми словами, что это за данные и зачем они.
Нужны они для того, чтобы проверить правильность сообщенных данных. Значения CVV и PVV вычисляются с помощью секретных ключей, которые знает только банк-издатель. И то и другое значение устроено так, что получить из них исходные данные невозможно. Чтобы проверить правильность, банк повторяет те же самые действия над введенными данными и получает рассчетные значения PVV и CVV, и сравнивает их с теми, что хранятся у него в базе данных. Если совпадают – то исходным данным можно верить.
В конце трека находится символ LRC (Longitude Redundancy Check) – специальное значение, которое вычисляется по всем остальным символам трека. Задачу он решает чисто техническую – если трек считался с ошибкой, то LRC не совпадет. LRC – довольно простое значение, никакого шифрования, ничего. Просто контроль целостности. Подобные алгоритмы контроля целостности данных используются почти во всех каналах связи.
Ну и последнее, почему данные на треках различаются.
Если у вас поврежден трек 1, но трек 2 успешно читается – в поддавляющем большинстве случаев вы даже ничего не заметите, потому что для банковских карт второй трек главный. Единственное исключение – если карта кредитная, и вы выполняете операцию кредитования. Тогда без первого трека никуда не уедешь. А связано это с тем, что должен печататься кредитный договор (или специальный чек), в котором обязательно указывается имя и фамилия держателя. А взять их можно только с первого трека.
Подписывайтесь на канал “Технологии Денег” в Яндекс.Дзен и в Telegram! У меня еще много интересного материала!
Источник
Магнитная полоска на карте может быть «записана» или закодирована с информацией, потому что крошечные частицы на основе железа, составляющие полосу, могут быть намагничены в разных направлениях устройством, создающим сильное магнитное поле.
Если вы часто путешествуете, вы, возможно, столкнулись с определенной проблемой с ключевыми карточками для гостиничных номеров: иногда, когда вы проводите карточку, чтобы открыть дверь своей комнаты, она просто не работает. Немного озадаченный, вы пытаетесь пронести его еще несколько раз, но каждый раз, когда свет мигает красным, и вы остаетесь за пределами вашей комнаты.
Ключ доступа к комнате
Затем вы отправляетесь на прием и передаете свои заботы сотрудникам. «Я полностью понимаю, почему ваша карточка не работает» улыбается на их лице, они спрашивают: «Вы положили свой смартфон или камеру рядом с карточкой?» Вы застенчиво киваете, сотрудник берет у вас карту, несколько ключей на компьютере и возвращает его вам. Вы снова используете ту же ключевую карту, и на этот раз она работает!
Итак, что здесь происходит? Почему помещение смартфона или камеры рядом с клавиатурой нарушает его способность открывать дверь?
Прежде чем обсуждать этот ответ, давайте сначала посмотрим, как работает карта с магнитной полосой.
Что такое карта с магнитной полосой?
Типичная карта с магнитной полосой
Карты с магнитной полосой широко используются в карточках ключей отеля для обеспечения доступа к номерам и кредитных / дебетовых карт для обработки покупок. Они также обычно используются в качестве удостоверений личности для входа в корпоративные помещения и кампусы колледжа для самых разных целей.
Как работает карта с магнитной полосой?
Соленоид
Провод намотан вокруг высокопроницаемого металлического сердечника, который создает сильное магнитное поле, когда через него проходит ток. Это устройство кодирует требуемую информацию на полосу, которая затем вставлена на пластиковую карту.
Как работает считыватель магнитных полос?
Устройство считывания карт состоит также из соленоида – того же компонента, который используется для записи информации в магнитной полосе. (Фото: Flickr)
Это напряжение можно усилить и записать в электронном виде, которое, наконец, считывается компьютером (или процессором, установленным внутри считывателя) для аутентификации пользователя (в случае удостоверений личности) или транзакции (в случае кредитных / дебетовых карт),
Размагничивание карты с магнитной полосой: почему карты ключей отеля стираются при размещении рядом с сотовыми телефонами?
Ключами от гостиничных номеров являются карты LiCo.
Как вы можете себе представить, карты LoCo более подходят для краткосрочных приложений, таких как временный доступ к гостиничным номерам. Такие карточки ключей комнаты должны быть закодированы / стерты очень часто; поэтому экономия затрат очень важна для таких предприятий. Карты LoCo просты в изготовлении и требуют только источника с малым напряжением с низким напряжением для кодирования данных на них.
С другой стороны, они легко стираются вещами, которые создают магнитное поле, такое как сотовый телефон, камера или даже кусок магнита.
Банковские кредитные карты, с другой стороны, являются картами HiCo. Вполне предсказуемо, что они дороги для производства, требуют сильного магнитного поля для кодирования данных на них и обладают высокой устойчивостью к большинству магнитов (электронные устройства – это тип магнита), с которыми люди обычно контактируют.
Вот почему вы можете положить свою кредитную карту и смартфон в свой карман, но вы не можете сделать то же самое с карточкой доступа к комнате!
Источник
Все больше людей пользуются пластиковыми банковскими картами. Лишь немногие знают, чем одна карта отличается от другой. (Visa от MasterCard, карта с чипом от обычной карты с магнитной полосой). Многие хранят деньги на пластиковой карте, так как считают, что там они более защищены от воровства. Так до недавнего времени было и со мной. Простой поход по магазинам обошелся в 0 р. на счету и при этом карта ни разу не была использована. Разве такое возможно? Оказывается вполне даже. Этот пост скорее для тех людей, которые еще верят в защищенность кусочка пластика с магнитной полосой и доверяют ему все свои сбережения.
Техническая сторона
На сегодняшний день в обиходе самыми распространенными являются карты с магнитной полосой и карты с чипом. Второй вариант в чистом виде в России почти не используется — в качестве его альтернативы используют гибридный вариант (чип + магнитная полоса).
Карта с магнитной полосой
Для данного типа карты информация заносится на магнитную полосу. Карты с магнитной полосой бывают трёх форматов: ID-1, ID-2, ID-3 (наиболее распространен формат ID-1). Магнитная полоса содержит 3 дорожки (чаще всего используют только 2), на которые в закодированном виде записывают номер карты, срок ее действия, фамилию держателя карты и тому подобные данные. Наиболее полно и точно карты с магнитной полосой описаны в стандартах:
- ISO-7810 «Идентификационные карты — физические характеристики»;
- ISO-7811 «Идентификационные карты — методы записи»;
- ISO-7812 «Идентификационные карты — система нумерации и процедура регистрации идентификаторов эмитентов» (5 частей);
- ISO-7813 «Идентификационные карты — карты для финансовых транзакций»;
- ISO-4909 «Банковские карты — содержание третьей дорожки магнитной полосы»;
- ISO-7816 «Идентификационные карты — карты с микросхемой с контактами» (6 частей)
Большинство видов пластиковых карт имеют размер, определённый стандартом ISO 7810 ID-1. Какие же средства защиты (помимо магнитной полосы, на которую заносится информация о владельце) позволяют отличить данную карту среди многих других? Подобная информация так же заносится в штрих код. Например, у «Связного банка» при переводе денег на счет достаточно знать именно штрих-код. Идентифицировать владельца так же можно при помощи образца его личной подписи на обратной стороне. Так же все карты имеют идентификационный номер, срок действия и специальный код CVV2 или CVC2 на обороте. Этих данных достаточно чтобы совершать платежи через Интернет. Многие банки так же наносят на свои карты голографические знаки.
Гибридная карта с чипом
В отличии от карт с магнитной полосой, при совершении транзакций задействуется именно информация с чипа. Чип обладает большим объемом памяти, и информация на нем подвергается более сложному типу шифрования. При осуществлении транзакции картой с магнитной полосой, она всегда имеет одинаковые идентифицирующие карту данные, которые передаются в банк. Поэтому их можно скопировать и изготовить поддельную карту. Микропроцессорная карта работает иначе: каждая транзакция подтверждается специально сформированным для нее кодом, и для каждой последующей операции требуется новый код, сделать дубликат фактически невозможно. Гибридный вариант прижился ввиду сложного перехода техники принимающей карты на новый тип данных. Сейчас чипы умеют читать практически все устройства принимающие пластиковые карты. Если банкомат провел операцию с использование лишь данных с магнитной полосы, то данную транзакцию можно оспорить и банк (владелец устаревшего банкомата) обязан возместить ущерб причиненный держателю карты.
Суровая реальность
Вернемся к тому, как же так получилось, что с карты (находящейся всегда у владельца при себе) были сняты все накопления. Я могу только догадываться, т.к. все что у меня есть это образование в сфере ИТ и Интернет (который знает все). Злосчастная карта относилась к самому дешевому в обслуживании типу карт. Обычная карта с магнитной полосой (даже не именная). Какие меры защиты присутствовали на карте:
- Магнитная полоса с информацией о владельце
- Подпись на обороте карты
- Голограмма с логотипом банка
- СМС-информирование о транзакциях
- Пин-код
- Штрих-код
Что из этого работает?
Магнитная полоса удачно копируется специальным устройством — скиммером. После чего изготавливается дубликат карты и все что остается это узнать пин-код карты. Для этого обычно в паре со скиммером используется скрытая видеокамера или же если это сам злоумышленник в лице официанта или продавца, то он старается подсмотреть пин-код. Еще более технологичный вариант, когда к устройству ввода подключается считыватель вводимых данных.
Так же для получения данных у владельцев используются фишинговые сайты или рассылки где владельцев карт просят ввести их секретную информацию (номер карты CVV2 или CVC2 и т.п.).
Довольно распространенные случаи, когда злоумышленники портят считыватель карт так чтобы карта там застряла. Если владелец уходит, то появляется злоумышленник и завладевает картой.
Существует разновидность другого метода — кардинга (англ. carding – прочесывание). В этом случае злоумышленник завладевает базой интернет-магазина или какого нибудь онлайн банка и снимает деньги с карт к которым удается получить доступ.
Сейчас набирает обороты более сложный вариант скимминга — шимминг (от англ. тонкая прокладка). Эти устройства в отличие от скиммеров, незаметны: тонкая гибкая плата толщиной около 1 мм вставляется через щель картридера и считывает данные введенных карт, позволяя похитить номер карты и ее пин-код. Эксперты успокаивают, что до России такой вид мошенничества пока не дошел, так как это довольно дорого и трудноосуществимо. (На мой взгляд, мне попался именно этот вариант, так что эксперты могут брать себе на заметку).
Подпись на обратной стороне. Данный тип защиты вообще абсурден, если карта как в моем случае не именная, ибо владельцем может быть любой, кто нанесет подпись. В случае с дубликатом ничего не мешает нанести свою подпись и свои имя, фамилию на изготовленную копию. По своему опыту — проходил пол года с картой где стерлась подпись на обороте и только потом мне указали на это и заставили при них оставить автограф (что еще абсурднее).
Голограмма с логотипом банка. Как способ подтвердить, что у вас не поддельная карта на руках вполне может быть, но не более того.
Штрих-код. Достаточно иметь снимок карты и штрих-код легко дублируется.
Моя любимая часть — СМС-информирование. Очень полезная вещь, вы всегда будете видеть, как утекают ваши деньги. Мои утекли за 2 минуты. На то чтобы дождаться ответа от оператора в банке после череды автоответчиков и переадресаций ушло около 1,5 минут. Надо заметить, что телефон вообще можно оставить дома, или он может разрядиться или не быть доступа в сеть, да и много всего еще. Так что как способ защиты очень сомнителен. Темболее как подсказали пользователи MyHabrahabr и SpiritOfVox есть способ вообще блокировать телефон жертвы на момент «потрошения» её карты.
Итоги
Как бы это не было печально, но законодательной базы регламентирующей ответственность банков при осуществлении мошеннических действий с пластиковыми картами в России пока нет. Все случаи рассматриваются каждым банком в отдельности. Они проводят свое собственное расследование и, как правило, если вы нарушили хоть один пункт договора по использованию пластиковой карты (передали третьим лицам, хранили пин-код в доступном для других месте, сообщали информацию о сроке службы, номере карты или cv1/cv2 коды третьим лицам), то в возврате средств будет отказано. Для того чтобы иметь основания и написать заявление в банк — нужно дождаться подтверждения прохождения транзакции (около 3-х дней). До этого момента деньги еще фактически находятся на вашем счету, и оснований для обжалования транзакции нет.
Если злоумышленнику удастся получить копию вашей карты без чипа и пин-код, то, скорее всего такие операции не отличить от совершенных вами лично и тут тоже напрашивается отказ.
Несколько советов:
1) Если у вас все еще обычная карта с магнитной полосой — поменяйте ее на карту с чипом. ( не настолько она дороже, зато деньги целее будут).
2) Установите лимит на снятие денежных средств в течении суток. При включенном СМС-информировании это позволит с меньшими потерями успеть заблокировать карту.
3) Блокируйте карту сразу как появится подозрительная транзакция, многие банки позволяют производить блокировку/разблокировку карты по телефону.
4) Внимательно смотрите на устройства, в которые вставляете карту и не передавайте ее третьим лицам.
5) Если карта застряла в банкомате — сначала блокируйте ее, потом можно и бросить если нет времени или нет возможности найти лицо уполномоченное извлечь карту из банкомата.
6) Самое главное — оставайтесь людьми, не воруйте чужие деньги. У всех есть мечты, но кто-то ради них работает полжизни, а кто-то всего за 2 минуты лишает стимула продолжать верить в мечту.
Полезные ресурсы
Безопасное применение пластиковых карт
Как еще воруют деньги с пластиковых карт
Подробнее про механизм хранения данных на пластиковой карте
UPD1:
Это разновидность кардинга (онлайн-кардинг). Использование дампов для покупок в физических магазинах и комбинаций дамп + пин для обналичивания в банкоматах — это тоже кардинг.
UPD2:
Законодательная база всетаки есть. Правда практика ее применения всеравно ставится под вопрос. (спасибо scarab
Статья 854. Основания списания денежных средств со счета
1. Списание денежных средств со счета осуществляется банком на основании распоряжения клиента.
2. Без распоряжения клиента списание денежных средств, находящихся на счете, допускается по решению суда, а также в случаях, установленных законом или предусмотренных договором между банком и клиентом.
UPD3:
Связной банк — не подвел. Вчера они закончили свое расследование (оно заняло около 2-х недель) и вернули все деньги. Причем новую карту сделали сразу именную и чипованную. Исправляются, это не может не радовать.
Спасибо MyHabrahabr и SpiritOfVox за конструктивные замечания.
Источник