Какая информация содержится в чипе банковской карты

На самом деле чип на карте – это полноценный микрокомпьютер, и порй весьма сложный.

Я как-то уже писал об этом кратенько, когда говорил, что на карте даже установлена своя собственная операционная система. А сегодня поговорим о том, какие устройства и возможности есть на чипе банковской (и не только) карты.

Ну, без центрального процессора никакой компьютер работать не сможет. Поэтому это устройство идет первым пунктом. Кстати, на всякий случай объясню, что эта многоножка делает вообще. Самое сердце микропроцессора – его Арифметико-Логическое Устройство (АЛУ). Точнее, не сердце, а его “думалка”. Другой орган, может и поважнее сердца. Именно этим местом процессор выполняет конкретную операцию над числами (операндами). А какую именно операцию – определяется по текущей команде программы. Процессор этим своим АЛУ умеет выполнять строго ограниченный набор операций. “Строго ограниченный” – не значит “маленький”, а значит “ничего другого сверх того, что есть в этом наборе”. И именно этим разнообразием (в некоторых случаях весьма большим) команд и обеспечивается универсальность микропроцессорного устройства. До изобретения процессора устройства могли выполнять только строго заданную операцию (пусть даже и весьма сложную). А с появлением процессора возникла возможность на одном и том же устройстве выполнять разные операции, да еще и определяемые без изменения структуры устройства, одним написанием программы.

Так, прошу прощения за графоманские спазмы, дальше постараюсь их избегать.

Микрочип пластиковой карты содержит микропроцессор разрядностью 8, 16, или уже даже 32 разряда. Т.е., как мы видим, вполне серьезная такая штука. Обычно это RISC-процессоры, которые зарекомендовали себя как устройства с более прогнозируемым временем выполнения разных команд (тот самый “строго ограниченный набор операций”). Все потому, что каждая команда выполняется за один такт процессора. Противоположный подход, с большим набором команд, выполняющихся за разное количество тактов – в архитекутре CISC.

Частоты, на которых работают микропроцессоры карт, лежат в диапазоне 1-33 МГц, но у рекордсменов показатели достигают 66 МГц при разрядности в 32 бита. А может быть, сейчас уже и выше.

Кстати говоря, чиповые карты называются “микропроцессорными”, хотя термин этот не совсем точен. Дело в том, что на самом деле чип карты представляет собой, скорее, микроконтроллер, или даже более того – SoC (System-On-Chip), целую систему. Тогда как микропроцессор – это просто главный узел микроконтроллера (или системы на чипе). Говорю это потому, что в чипе карты присутствует еще весьма большое количество других устройств. Переходим к ним.

На чипе карты размещена еще память, причем целых три вида. Это ROM (память только для чтения), RAM (оперативная память, на чтение и запись) и EEPROM (электрически перепрограммируемая память, энергнонезависимая; для простоты – что-то вроде флэшки, но не флэш, там немного другая технология).

Прежде, чем рассказать о емкости этой памяти, нужно небольшое отстутпление. Как вы знаете, все элементы микрочипа “наносятся” на поверхность кристалла кремния. При этом они занимают какую-то площадь на нем. Чем сложнее устройство, которое мы формируем на кристалле, тем больше необходимая площадь кристалла (при одной и той же технологии ненасения). Так вот, меньше всего места требует ROM. Связано это с его простым устройством. При записи (“прошивании”) ROM там фактически просто пережигаются “перемычки” с помощью повышенного тока. Назад уже никак, на то оно и read-only. Но и от питания или его отсутствия состояние перемычек уже никак не зависит.

Примерно в 4 раза больше места на чипе занимает 1 бит памяти EEPROM. Дополнительное место уходит на то, чтобы добавить структуры управления ячейкой памяти. Содержимое этой памяти не зависит от наличия питания.

И максимальное место, в 16 раз (!) больше, занимает RAM. Все потому, что реализуется ячейка такой памяти с помощью триггеров, а это такие устройства, для которых надо использовать несколько транзисторов (плюс пассивные элементы), что и требует соответствующего места.

Так вот, размер ROM обычно 16-196 Кб, хотя есть карты с размером ROM более 256 Кб. В эту память прошивается операционная система и системные приложения.

RAM вмещает обычно от 256 байтов до 4 Кб. Для Java-карт размер обычно лежит в пределах от 4 до 8 Кб, хотя на рынке есть предложения до 16Кб. Небольшая, правда? Здесь хранятся переменные программы, буферы и проч. С отключением питания эта память превращается в тыкву.

EEPROM обычно вмещает от 2 до 72 Кб, но известны карты с размером до 1 Мб. Прям почти целая флэшка в бумажнике. Чем хороша эта память – при отключении питания она все сохраняет. Здесь хранятся ключи, журналы, настройки, да и вообще любые файлы.

На чипе может быть криптосопроцессор. Это, с одной стороны, более “тупое” устройство, которое умеет намного меньше, чем центральный процессор. Но зато он умеет это делать намного лучше! Дело в том, что криптографические операции – весьма ресурсоемкая задача. Особенно, если речь идет об асимметричной криптографии. При той же криптостойкости вычисления для асимметричной криптографии занимают на два порядка (в 100 раз!) больше времени. А это уже весьма заметно. Например, шифрование открытым ключом на центральном 8-разрядном процессоре пластиковой карты может занять 10-20 секунд (!), в то время как нормальный криптосопроцессор выполняет эту операцию за пару десятков милисекунд. С учетом того, что полное время обработки транзакции не должно превышать 3 секунды, вариант с центральным процессором отпадает. Поэтому для карт без криптосопроцессора некоторые виды аутентификации просто недоступны. Как итог – транзакция проходит с гораздо меньшим уровнем безопасности (SDA-аутентификация). Вроде бы зачем тогда такие чипы? А дело в том, что криптосопроцессор заметно удорожает чип, а учитывая то, что карточный бизнес для банка в основном убыточен, криптосопроцессоры встречаются уже не в самых дешевых картах, все-таки не Visa Electron, а что-то посерьезнее.

Читайте также:  В каких продуктах содержатся фитонциды

Из более-менее экзотических устройств, пожалуй, упомним еще генератор случайных чисел. Дело в том, что в криптографических вычислениях широко применяются случайгые числа. От генерации ключей до добавления случайного числа в подписываемый запрос. Но тут есть нюанс. В обычных компьютерах специального устройства, которое было бы источником случайных чисел, нет. В них используется генератор псевдослучайных чисел. Для формирования числа используется разнообразная информация, преимущественно – текущие показания (в микро-тиках) часов реального времени. Но числа, которые генерирует этот генератор, не являются абсолютно случайными, и в таких чувствительных вещах, как криптографические вычисления, их использовать недопустимо. Кстати, вспомнил, что одна преступная группировка разработала способ обыгрывать игровые автоматы, потому что в них использовался генератор псевдослучайных чисел. Там какой-то непростой такой алгоритм был… Интересная схема, где игрок через телефон (специально разработанное приложение) фиксировал время реакции программы в какой-то момент времени, это значение сообщники использовали для расчетов ставки… Собственно, главное, что из этого следует – если есть “псевдо” в случайности, то безопасность резко снижается. Поэтому на карте может быть специальное устройство, которое генерирует по-настоящему случайное значение.

Для взаимодействия с внешним миром на чипе есть еще такая штука – UART, асинхронный приемо-передатчик. Именно его лапки выведены на контактные площадки карты. У карты ведь нет ни монитора, ни терминала, а взаимодейтсвовать с внешним миром ей как-то надо. Вот этим и занимается это устройство.

Кроме него на карте может быть еще…. Та-дам!… USB-интерфейс!

Если на карте не шесть площадок, а восемь, то с большой вероятностью нижние две, которые в стандарте обозначены как “зарезервированные для будущего применения”, подразумевают подключение по USB v1.1 (до 12 МБит/с, на всякий случай).

Ну и чтобы все эти устройства на чипе могли между собой взаимодействовать, там есть еще всякие контроллеры типа контроллер доступа к памяти, контроллер магистральной шины, тактовый генератор (до какого-то момента, кстати, тактового генератора на картах не было, использовался сигнал тактирования, подаваемый терминалом) и много других служебных устройств.

Как видите, весьма непростой кусочек кремния лежит в вашем кошельке.

Подписывайтесь на канал “Технологии Денег” в Яндекс.Дзен и Телеграм! У меня много интересного материала!

Источник

Daria Demekhina

29 ноября 2016  · 11,8 K

Вопрос очень емкий.

На современных картах есть два независимых, по сути, носителя информации – магнитная полоса и EMV-чип. Хотя задача и того и того заключается в авторизации платежа, работают они радикально по-разному.

Магнитная полоса представляет собой кусок ленты, покрытой слоем магнитного порошка. Если провести по ней сильным магнитом – порошок намагнитится и будет сохранять магнитное поле довольно долго (годы). Чтобы записать на полосу информацию, по ней проводят записывающей головкой – электромагнитом, умеющим быстро менять мощность и полярность своего магнитного поля. Для чтения используется другая головка, считывающая, которая улавливает магнитное поле и преобразует его в электрические сигналы.

На магнитной полосе банковской карты записан ее номер (тот же, что и выдавлен на ней самой), срок действия, страна выпуска, некоторые сервисные коды. При платеже вы проводите полосой через считыватель, вся эта информация попадает в терминал, он запрашивает у вас PIN-код (или не запрашивает, если авторизация по подписи), шифрует платежные данные с PIN-кодом, и отправляет в процессинговый центр банка-эквайрера, который формирует так называемую авторизацию – собственно, запрос денег у банка-эмитента.

Теперь про EMV-чип. Кстати, то, что вы видите на карте – это не чип. Это контактные площадки чипа. Когда вы вставляете карту в считыватель, к ним прижимаются подпружиненные контакты, подают на чип питание, и передают данные в него и из него.

EMV-чип представляет собой микрокомпьютер, с процессором, оперативной и постоянной память. На нем даже операционная система своя работает, под которой крутятся аплеты (приложения). Пока карта у вас в кармане, чип не работает (обесточен), питание подает ему считыватель.

Читайте также:  Какие витамины могут содержаться в шиповнике

Когда изготавливается банковская карта, производитель чипа на своем оборудовании записывает на него операционную систему, вставляет в пластиковую карту. Такие заготовки попадают в персонализационное бюро, которое наносит на карту пленку с рисунком, выдавливает платежные данные и записывает информацию на магнитную полосу и в EMV-чип.

Оборудование для персонализации подключается к чипу через его контакты, и передает туда все необходимые приложения (платежное, транспортное, идентификационное и т.д.), и персональные данные – номер, дата окончания срока действия, и т.д., все то же, что и на магнитной полосе. Однако все файлы криптографически подписываются так, чтобы человек со стороны не мог в них вмешаться. Если файл изменить, не зная ключа шифрования, и записать на карту, исполняться и считываться он не будет.

Когда действующую карту вставляют в считыватель терминала, терминал обменивается данными с чипом – передает ему информацию о платеже и введенный PIN-код, и получает обратно зашифрованный блок данных для передачи в процессинговый центр. Причем чип умеет сам проверять корректность PIN-кода, поэтому у EMV-карт PIN-кодов фактически два: онлайн (который знает только процессинг банка-эмитента) и оффлайн (который записан в чип). Они почти всегда одинаковые.

А если карта бесконтактная?

Можно ли, зная только номер пластиковой карты Сбербанка, украсть с нее деньги?

Деловые и общественно-политические новости Казани и Татарстана, экспертное мнение…  · tatcenter.ru

Как мошенники крадут деньги с банковских карт: 5 сценариев

В 2020 году аферисты обновили арсенал уловок, жертвам теперь могут звонить «известные банковские аналитики». Они знают ваши персональные данные и предлагают кредиты и «выгодные продукты». Заполучив нужную информацию, они тут же добираются до чужих денег. Ваших денег.

Знают ФИО, остальное жертва расскажет сама

Звонки от мошенников поступают в основном в рабочее время — с понедельника по четверг, с 11:00 до 18:00, делится наблюдениями ведущий эксперт «Лаборатории Касперского» Сергей Голованов. По его словам, в разговоре злоумышленники используют методы социальной инженерии. К примеру, в 42% случаев они полностью называли правильные имя, фамилию и отчество жертвы.

В числе наиболее распространенных легенд — необходимость подтвердить данные (72%), сообщение о блокировке карты (58%) и предложение кредита (57%).

Почти в половине случаев злоумышленники пытались получить код из СМС или данные карты, а в каждом пятом — убеждали перевести деньги якобы на безопасный счет.

«Настоящий сотрудник банка или финансовой организации никогда не будет возражать против завершения разговора в отличие от мошенника, который всеми способами будет пытаться удержать разговор с потенциальной жертвой. Многие люди по-прежнему не умеют распознавать злоумышленников и лишаются денег в результате простейших схем», — констатирует Голованов.

В арсенале мошенников — рассылки, сайты-подделки и звонки

Руководитель группы мониторинга и предотвращения кибератак отдела информационной безопасности Райффайзенбанка Павел Нагин говорит, что сегодня злоумышленники используют пять основных схем для кражи денег. Ключевые приемы — фишинговые рассылки, сайты-подделки и различные виды голосового мошенничества.

Фишинговые рассылки мошенники делают ежедневно. Темы писем — привлекательные для получателя. Это может быть обучение, дополнительные выплаты, сервисы и другая информация, которая может заинтересовать жертву.

«В числе приемов, которые используют мошенники в рассылках, — призыв к срочному действию в экстренной ситуации, сообщение о выигрыше или крупном переводе, эксплуатация актуальной новостной повестки или использование публичной, легкодоступной персональной информации».

Методы вовлечения жертвы, по словам Павла Нагина, строятся на психологических уловках. Цель мошенников — заинтересовать (напугать) жертву и заставить перейти по вредоносной ссылке в письме.

Фишинговые сайты – «онлайн-банк».

Сайты-подделки, точно имитирующие онлайн-банки кредитных организаций, — крайне опасный сценарий. Мошенники регистрируют похожие имена сайтов, делают идентичный дизайн и верстку официальной страницы банка. Задача — привлечь к сайту-подделке как можно больше людей, для этого запускается реклама, в т. ч. в соцсетях.

Для входа в онлайн банк злоумышленники требуют провести дополнительные действия, например, установить специальный плагин, ввести код из СМС, указать номер карты, дату или CVV/CVC и др.

Сайт – «инвестиционный фонд».

Эта схема также строится на привлечении пользователей на сайт-подделку. В соцсетях мошенники запускают таргетированную рекламу на фишинговый ресурс. В числе признаков мошенничества — обещание фантастической доходности, отсутствие контактных данных, фейковые отзывы.

«Смотрите на наименование сайта в адресной строке браузера. Банк никогда не будет использовать незащищенное соединение http для входа в онлайн-банк, проверяйте сертификат https. Если есть сомнения — звоните в банк по номеру, который указан на карте», — призывает Павел Нагин.

Голосовое мошенничество – «звонок из службы безопасности банка».

Читайте также:  Какие ресурсы содержаться в недрах

Приемы голосового мошенничества постоянно меняются. В большинстве случаев, зафиксированных в первом полугодии, злоумышленники просят жертву назвать код из СМС, установить приложение для управления телефоном или сделать перевод через банкомат под руководством «технического специалиста».

При этом злоумышленники звучат убедительно. Они используют сложные фразы, чтобы удержать жертву на трубке, к примеру: «фиксирую ответ», «запомните код протекции», «сегрегировали на временную ячейку» и др.

Финансовые услуги от «аналитиков банка».

Мошенники представляются известными на рынке банковскими аналитиками и звонят клиентам с «выгодным предложением». Используют имена реальных людей, которых часто упоминают в СМИ, предлагают брокерские услуги или помощь на фондовом рынке, заявляют о наличии профессиональной лицензии.

«Настоящие аналитики никогда не инициируют контакт с физлицами, не предлагают инвестиционные идеи, не обсуждают детали их реализации, не запрашивают личную информацию. При любом звонке от такого „аналитика“ рекомендуем класть трубку и перезванивать напрямую в банк по номеру, указанному на обратной стороне карты», — предупреждает Павел Нагин.

Доверчивая жертва — залог успеха мошенников

Эксперты настоятельно рекомендуют быть бдительными и соблюдать базовые правила безопасности, чтобы не потерять деньги.

  • С осторожностью относитесь к любым звонкам от людей, которые представляются сотрудниками банков.

  • Не переходите по сомнительным ссылкам из СМС или сообщений в мессенджерах.

  • Никому и никогда не сообщайте CVV и одноразовые коды из СМС или push-уведомлений.

  • В случае любых подозрений немедленно кладите трубку и перезвоните в банк по номеру, указанному на обратной стороне карты.

  • Установите защитное решение, определяющее мошеннические и спам-номера.

Прочитать ещё 3 ответа

Для чего на банковских картах пишут “Без подписи недействительна”? Действительно ли по карте нельзя совершать операции, пока ты не расписался?

Лучше подпишите карту, а то можно в неприятную историю попасть. 

Я был в ИОНЕ на Алтуфьего и выбрал себе телефон. Затем предложили купить плёнку, все дела… Ну и я ещё согласился на доп. услуги, как-то надо всё-таки давать продавцам-консультантам тоже зарабатывать. 

Затем я достал свою карту, чтобы расплатиться. Рядом были два специалиста: менеджер и старший продавец. Менеджер стал пробивать мою покупку по карте, но старший продавец его окликнул, заметив, что подписи на карте нет. Ну, я думаю, ничего страшного, возьму у них ручку, сейчас распишусь на карте. Но не успел я взять ручку, как почувствовал сильный удар сзади, прямо в темечко. Я совсем не ожидал, отпрянул в сторону прилавка, чтобы посмотреть на того, кто нанёс удар. Это оказался один из кассиров, высокий мужчина. Он затолкал меня в их подсобное помещение, к нему сразу присоединились менеджер и старший продавец. Они закрыли дверь на замок и ударили меня сначала несколькими прицельными ударами в печень, а затем, когда я лёг — стали бить ногами. Каморка сама по себе была очень тесной, все было завалено коробками, мобильниками, аксессуарами, какими-то пакетами. Куча всего оказалась на полу, часть коробок деформировалась, потому что били меня со всех сторон, яростно, игнорируя то, что вокруг нас… Где-то остались отпечатки крови, пакеты были порваны и испачканы. 

Когда они закончили и успокоились, я выполз, и, стараясь не привлекать внимание, побежал домой. Странно, но я чувствовал себя виноватым. Придя домой и умывшись, я подписал карту…

P.S. Недавно я заходил в магазин еще раз, чтобы понять, что это было. Магазин уже называется не ИОН, а НОУ-ХАУ. Будьте осторожней, в любом случае.

Прочитать ещё 4 ответа

Мошенники знают номер банковской карты и телефон, могут ли снять деньги?

Яндекс.Деньги — сервис электронных платежей, который помогает оплачивать товары и услуги…  · money.yandex.ru

Здравствуйте!

Если мошенники знают только номер вашей банковской карты, то снять деньги не получится. Очень важно не сообщать посторонним срок действия карты и особенно CVV-код.

Номер телефона в большинстве случаев используется для подтверждения операции кодом из смс. Если к нему есть доступ только у вас, то переживать не стоит. Никому не сообщайте коды из смс от банка, чтобы избежать списаний.

В некоторых случая операции могут проходить без дополнительного подтверждения, этого зависит от настроек формы оплаты или терминала для приёма платежей.

Почитайте наши рекомендации по безопасности — как защитить свои данные и не попасться на уловки мошенников.

Прочитать ещё 2 ответа

Как называется устройство для считывания кредитных карт?

Я и сам своего рода учёный

В магазинах POS терминал. Злоумышленники используют скиммер (устройство считывающее информацию с магнитной полосы карты), прикрепляется поверх картоприемника) и шиммер (почти тоже самое, что и скиммер, только тонкое как лист бумаги, вставляется непосредственно в картоприемник). Надеюсь ты интересуешься в ознакомительных целях, дабы обезопасить свою карту от злоумышленников))

Прочитать ещё 2 ответа

Источник