Старые добрые пластиковые карты

Андрей Межутков

Спецвыпуск: Хакер, номер #061, стр. 061-036-1

Чем пользуются мошенники

Средства и методы защиты пластиковых карт очень разнообразны, им посвящено множество публикаций, но мы остановимся только на технической стороне вопроса.

Классификация карт

По виду носителя (собственно карты):

- Со штрих-кодом (в том числе карты предоплаты, на них ключ для пополнения счета скрыт специальным стирающимся защитным слоем).

- С магнитной полосой (высококоэцертивной или низкокоэцертивной, с записью на любую из трех дорожек).

- Чип-карты (карты с ППЗУ; как правило, это предоплаченные телефонные карты без возможности пополнять их).

- Cмарт-карты (карты и брелоки с микропроцессором и защищенной памятью, к ним относятся распространенные сейчас flash-карты, SIM-карты, многочисленные вариации на тему touch-memory или iButton).

- Бесконтактные карты (в том числе разные брелоки proximity cards, работающие в наведенном электромагнитном поле).

Пластиковые карты можно классифицировать и по уровню реакции карты или по степени "умности". Тогда мы получаем идентификационные карты, с которых определенным методом (магнитной головкой, в электромагнитном поле, оптическим штрих-кодовым считывателем) считывается идентификатор, привязанный к сервису для владельца этой карты. Например, с помощью такой карты ее пользователь получает разрешение войти в помещение или списать сумму за проезд в общественном транспорте или по платной дороге. Действие данного вида карт распространяется и на "электронные кошельки", при их использовании вся информация об услуге, к примеру о доступной для пользователя сумме, находится прямо на карте. Непосредственно на идентификационных картах находится и соответствующе программное обеспечение, значит, карточку можно "нагрузить" дополнительными защитными функциями, что, как правило, не ухудшает потребительские свойство карты, но в то же время сильно усложняет жизнь атакующему. Кроме того, такое техническое решение удешевляет инфраструктуру по обслуживанию карт: не требуются постоянные выделенные каналы от точки обслуживания (банкоматы, магазины, рестораны и т.п.) к процессинговому центру или, в более общем случае, к банку-эмитенту (который выпустил карту в оборот) и банку-эквайреру (который ответствен за точку обслуживания).

Можно классифицировать карты и по области их применения:

- Карты доступа (для учета рабочего времени сотрудника или для получения доступа к гостиничному номеру гостем).

- Банковские карты (в зависимости от вида счета они могут быть кредитными и депозитными).

- Дисконтные карты.

- Клубные карты.

- Предоплаченные телефонные карты.

- Карты для проезда на метро или ином транспорте.

- Карты для оплаты услуг провайдеров мобильной связи и интернета.

- Карты дешифраторы сигналов платного телевидения.

- Идентификационные карты лицензированного программного обеспечения.

Каждый описанный класс можно детализировать, придумать еще несколько видов классификации, но мы пойдем дальше.

Мы уже договорились о том, что статья посвящена технической стороне работы пластиковых карт, поэтому ее предметом станут карты, которые можно считать самыми опасными в плане последствий их использования. Конечно, в первую очередь к таким относятся банковские и SIM-карты, то есть те, которые выше я классифицировал как "смарт" (англ. smart – "умный").