Старые добрые пластиковые карты

Андрей Межутков

Спецвыпуск: Хакер, номер #061, стр. 061-036-2

Начнем с банковских карт с магнитной полосой. Во-первых, они на сегодня составляют подавляющее большинство в общей массе эмиссии, а во-вторых, они гораздо более беззащитны перед атаками.

Противодействие мошенничеству в МПС носит комплексный характер, так как прежде всего сама платежная система имеет довольно сложную географическую и техническую топологию и практически невозможно иметь единый центр по управлению ей. В некотором смысле архитектура МПС напоминает архитектуру интернета: есть домены, роль которых выполняют точки обслуживания (point of sale – точка оплаты или point of service - точка обслуживания) банков-эквайреров. Как некий аналог DNS (Domen Name Server) или маршрутизатора можно рассматривать процессинговый центр, который ориентируется на номер карты (чем не IP-адрес?) и посылает запрос в соответствующий ПЦ данной МПС. При этом, в случае если ПЦ не знает, куда посылать такой запрос, он отправляет его более старшему по иерархии ПЦ – полное соответствие логике маршрутизации в интернете.

Основной способ мошенничества с картами также аналогичесн мошенничеству в Сети – использование чужих идентификационных данными. Правда, если в Сети все действия происходят в виртуальном пространстве, то с картами ситуация сложнее и иногда кардерам приходится встречаться с обслуживающим персоналом POS "живьем". Следовательно, добавляется еще один способ кардерства – подделка карты.

Противодействие подделке физического носителя пластиковых карт можно довольно близко к защите дензнаков. Микропечать, довольно сложная голограмма, специальный шрифт (обрати внимание на надпись "VISA", особенно на первую букву), полоса для подписи владельца (подпись должна быть одинаковой с подписью в удостоверении личности). Кроме того, в зависимости от типа карты (универсальная или только для электронных расчетов), на ней может быть выдавлена (эмбоссирована) идентифицирующая информация: номер карты, имя владельца, срок действия. Фактически это повторяет информацию, хранящуюся на магнитном слое карты. И хотя каждый банк, эмитирующий карты (выпускающий их в оборот и держащий соответствующие карточные счета), обычно печатает карты с собственным дизайном, перечисленные методы защиты от подделки обязательны на банковских картах по требованиям международных (VISA, EuroPay, MasterCard, American Express, JBL) и российских национальных платежных систем (UnionCard, "Сберкарт", "Золотая Корона"). Эти требования несколько отличаются в различных платежных системах, но в целом соответствуют списку.

Полный перечень методов защиты известен в каждом банке-эмитенте. Часть параметров, которые можно контролировать без применения специальных технических средств, обязательно сообщаются в точки обслуживания. Большинство атак на платежную систему засекают именно продавцы в точках обслуживания, так как они знают признаки подделки карт так же, как и симптомы фальшивых купюр.