Che cosa impedisce che la "money card" (sistema di smart card offline) venga duplicata per frode di pagamento?

Naviga le tue risposte
3

Non so quanto sia ben noto questo sistema o forse ci sono sistemi uguali più conosciuti a livello internazionale. Quindi introdurrò i punti correlati del sistema:

Si tratta di un sistema di pagamento in cui il tuo portafoglio è salvato sul cardchip stesso. I terminali che sei in grado di pagare con una carta di questo tipo non devono avere una connessione Internet permanente.

E anche se lo hanno, il sistema non è progettato per la sincronizzazione in tempo reale. Ha almeno intervalli di più ore (AFAIK anche solo 1 volta al giorno) in cui il moneychange viene aggiornato.

Quindi, se tali terminali non condividono informazioni di scambio di denaro in qualsiasi tipo di rete verso altri terminali, cosa impedisce a un tizio cattivo di duplicare il chip e i suoi dati e di pagare con ogni chip su un terminale diverso? Dato che il denaro disponibile è appena memorizzato sul chip, come potrebbe un terminale sapere che il ballance rappresentato non è valido? O anche il chip stesso è?

Ovviamente nel processo di sincronizzazione verrà notato. Ma fino a molto tempo può trascorrere

    
posta Zaibis 02.12.2014 - 10:44
fonte

2 risposte

0

Potrei capire alcune informazioni sulla smart card in sé. Il chip non tiene solo i dati binari a cui ogni terminale è in grado di accedere. Il chip contiene un microcontroller che può avere il proprio set-up del firmware. Quindi i terminali non comunicano con i dati memorizzati, hanno solo un'API per il microcontrollore.

Quindi, se vuoi copiare i dati, devi richiedere a mc di leggere i dati per te. Ciò che egli naturalmente negherà.

Quindi l'altro modo è di produrre fisicamente un chip identico contenente lo stesso controller con lo stesso firmware in esecuzione, realizzato per quel chip. perché solo i chip possiedono mc è in grado di accedere ai suoi dati binari e leggerli correttamente. (Ciò che sembra quasi impossibile per me. Anche se non lo fosse, la quantità di denaro non sarà sufficiente per il lavoro che questo sforzo potrebbe richiedere)

O l'altra opzione per farlo è: ottenere il controller separato dai dati binari, senza distruggerlo. e hackerare la crittografia con cui ha archiviato i dati, per poter scrivere semplici dati nella memoria dei chip.

Senza l'hacking della crittografia potremmo provare a cortocircuitare il mc ...

Anche in caso di cortocircuito il mc non funzionerebbe, dato che i soldi che usano i terminali useranno l'API per il controller e non accedono direttamente ai dati.

E scommetterei, non è possibile mettere in corto circuito il mc, accedere direttamente ai dati e quindi ripristinare il microcontroller integro, senza renderlo almeno invalido da alcuni flag di sicurezza o cose del genere.

Notevole anche il fatto che i terminali di Generell sono in grado di ridurre l'importo del denaro. Tali che sono in grado di aumentare il denaro sono detenuti dalla banca stessa e non distribuiti. Quindi sono probabilmente crittografati in modo che il chip contenga una chiave pubblica che mantiene alcune informazioni su come i "soldi decriti" devono essere crittografati. Che cosa sarebbe missmatch in caso di un aumento.

Questo è tutto ciò che ho immaginato e suppongo che questo sia sufficiente per essere una risposta anche in altri occhi.

    
risposta data 03.12.2014 - 12:48
fonte
0

Il sistema offline ha un enorme vantaggio del server dell'infrastruttura e dei costi di rete minimi e la transazione è veloce e affidabile.

Non è possibile evitare la duplicazione anche con la più avanzata tecnologia di crittografia delle smart card.

Le soluzioni preventive:

  1. impostazione di un limite superiore per ridurre il totale perso ogni volta.
  2. verifica la transazione normale dell'annuncio e l'ID della tessera normale e inseriscili in nero.
  3. Con la CCTV installata in molti negozi, scoraggerà le persone a correre il rischio.
risposta data 20.12.2016 - 08:25
fonte

Leggi altre domande sui tag

Un potenziale attacco di phishing CAPTCHA contro reCAPTCHA? Linux Repo Security