網(wǎng)上有很多關(guān)于pos機芯片無效,MagSpoof——的知識，也有很多人為大家解答關(guān)于pos機芯片無效的問題，今天pos機之家(www.dsth100338.com)為大家整理了關(guān)于這方面的知識，讓我們一起來看下吧!

本文目錄一覽：

1、pos機芯片無效

pos機芯片無效

允許大家將所有信用卡及磁條保存在同一設(shè)備當(dāng)中

以無縫方式作用于傳統(tǒng)磁條讀取裝置（無需配合NFC/RFID）

能夠禁用芯片及密碼（不涉及任何代碼操作）

能夠根據(jù)已有卡號正確預(yù)測美國運能讓信用卡號碼及其到期時間（不涉及任何代碼操作）

支持全部三種磁條軌道，甚至能夠同時支持磁軌1+2

能夠利用Ardino或者其它常規(guī)部件輕松構(gòu)建

MagSpoof

是一款能夠誘騙/仿真任意磁條或者信用卡的設(shè)備。其可通過生成強大的電磁場來模擬傳統(tǒng)磁條卡，從而以“無線”方式運作并與標(biāo)準(zhǔn)磁條/信用卡讀取裝置相對接。

備注:

MagSpoof不允許被用于偽造您未合法持有并使用的信用卡。MagSpoof不提供芯片與密碼以及運通卡信息，用戶只能利用此款設(shè)備對已經(jīng)擁有的磁條進行模擬。單純擁有某張信用卡的編號與過期時間不足以完成正常錫。MagSpoof允許用戶利用其進行各類與磁條、微控制器以及電磁技術(shù)相關(guān)的研究性實驗，亦允許用戶借此了解并創(chuàng)建與三星MST以及Coin等現(xiàn)有商業(yè)技術(shù)相似的自有設(shè)備。

原文請參考：http://www.easyaq.com/technology/997.html

MagSpoof可以被作為傳統(tǒng)信用卡使用，并幫助用戶通過各種創(chuàng)意性載體保存全部個人信用卡信息（而且通過修改能夠在技術(shù)層面擺脫對信用卡芯片的依賴），或者被用于其它要求使用磁條機制的安全研究事務(wù)，例如信用卡、駕駛執(zhí)照、酒店房門鑰匙以及自動停車場票據(jù)等讀取裝置。

磁條的工作原理

磁條在本質(zhì)上屬于磁性材料。對磁條而言，其最酷的特性在于即使本身磁性極弱，在達(dá)到足夠的寬度時仍然能夠吸引微小的鐵金屬顆粒，這就意味著我們完全可以通過裸眼來觀察磁條卡或者信用卡當(dāng)中所存儲的數(shù)據(jù)。

在以上視頻當(dāng)中，小編把自己的信用卡扔進了一包鐵氧化物顆粒當(dāng)中。在磁條本身的磁力吸附到鐵氧化物顆粒之后，我們能夠直接查看到這些小顆粒勾勒出了磁條上的記錄軌跡。每個磁條可以最多容納三條記錄軌道，但是信用卡則只使用兩條磁軌（即軌道1與軌道2）。軌道2每英寸可記錄信息量更低，因此也更易于觀察。下面讓我們通過放大圖一起來看：

后來是卡片正面：

正如大家從圖片中所見，小編將信用卡上的條形排布抄寫下來。其中兩道豎條代表的是1，而一道豎條外加一道空白區(qū)域代表的則是0。首先，讓我們先把卡片翻轉(zhuǎn)180度（也就是上下顛倒），然后讀取其中最為清晰的部分。另外，將開頭部分的那些0忽略掉，直接從第一個1處開始。

軌道2中每個字符占5位，這里是從有效位開始計算的，而第五位則為奇偶校驗位。通過排除第五位并讀取前四位，我們現(xiàn)在可以從中提取信用卡號碼了（當(dāng)然也包括其它數(shù)據(jù)，例如有效日期、額度數(shù)據(jù)以及CVV/CVC/CSC/CAV等卡片類型）。

需要注意的是，CVV與CVV2之間存在著很大差別。CVV被保存在磁條當(dāng)中，而CVV2則被直接打印在卡片上。（CVV是Visa提出的標(biāo)準(zhǔn)，而每家發(fā)卡機構(gòu)都擁有自己的名稱，例如CSC、CVC等等。）

MagSpoof的工作原理

MagSpoof能夠通過快速轉(zhuǎn)換電磁極性的方式創(chuàng)造出一個磁場，該磁場與普通磁條在進行刷動時的性質(zhì)非常相似，這就讓模擬磁條成為了可能。而更令人難以置信的是，磁條讀取裝置不需要任何額外的無線接收器、NFC或者RFID即可產(chǎn)生響應(yīng)——MagSpoof以無線方式運作，甚至可作用于標(biāo)準(zhǔn)磁條讀取裝置。而電磁強度越大，我們能夠利用它實現(xiàn)的操作也就越豐富（在目前這代版本中有效范圍為數(shù)英寸）。

MagSpoof還采用了成本低廉的現(xiàn)成組件（在硬件部分會具體說明），而且其構(gòu)建流程亦非常簡單——一套Arduino、線纜再加上電池即可完成！我使用了一臺電機——而非電池——來實現(xiàn)更為強大的供電能力。

通常來講，電磁效應(yīng)通常依靠鐵芯實現(xiàn)，不過這會讓我們失去體積與移植性優(yōu)勢。另外，雖然鐵芯確實能夠更為高效地生成磁場，但我們同時也需要為其提供更為充沛的電力供應(yīng)。

MagSpoof能夠?qū)oin等新型磁卡加以改進。小編是Coin卡的用戶，雖然我對其配套應(yīng)用以及卡片本身相當(dāng)贊賞，不過這種卡片的實際生效比例其實非常有限。在瀏覽了Coin發(fā)布的FCC說明文件之后，我注意到他們使用了兩組線圈來生成一個規(guī)模極小的電磁場。不過可悲的是，其磁性效應(yīng)極為有限，而且在接近半數(shù)時間并不能正常起效。

我發(fā)現(xiàn)通過MagSpoof進行卡片仿真之后，如果我以單向方式發(fā)送軌道1、而后逆向發(fā)送軌道2，那么全部卡片讀取裝置都會認(rèn)定我正確進行了卡片刷動操作。如此一來，我所建立的強大電磁場就能夠呈現(xiàn)兩條軌道上的數(shù)據(jù)，并保證這些數(shù)據(jù)為刷卡裝置所讀取。經(jīng)過實際檢驗，我發(fā)現(xiàn)使用單一線圈能夠顯著提升識別效率，且保證兩條磁性軌道全部起效?；谕瑯拥脑恚琈agSpoof也能夠?qū)壍?進行模擬。

除此之外，如果大家使用由Coin提供的芯片卡，則在使用MagSpoof的同時仍需要插入自己的實體信用卡。不過由于MagSppof能夠禁用其中的芯片與密碼機制（詳見下文），所以我們并不需要把正確的卡片帶在身上——換言之，隨便找張芯片卡就行。

不過移除了MagSpoof上的芯片與密碼禁用功能。

安全問題

作為主要問題之一，我發(fā)現(xiàn)目前有一部分新型安全機制（至少在美國國內(nèi)算是新型機制）會在磁條當(dāng)中設(shè)置“服務(wù)碼”，而且這種情況多數(shù)發(fā)生在芯片加密碼卡片之上。

這段藏身于信用卡磁條當(dāng)中的服務(wù)碼負(fù)責(zé)定義該卡片的多項屬性，其中包括該卡是否可用于提款、其適用地點（即國內(nèi)卡或者國際卡）以及最令人意外的，該卡是否內(nèi)置IC芯片以及是否包含密碼（芯片加密碼/EMV）。

如果大家的卡片內(nèi)置有芯片并在支持讀取芯片卡的零售店內(nèi)進行消費，那么單純進行磁條刷動是不足以完成交易的——PoS系統(tǒng)會提示我們插入自己的卡/芯片以進行額外的安全性檢驗。

不過用于聲明該卡采用芯片加密碼的碼位可以在磁條當(dāng)中進行屏蔽，這意味著即使大家的卡片通常需要在消費時插入PoS進行芯片驗證，在相關(guān)碼位被屏蔽之后我們?nèi)匀豢梢詥渭兺ㄟ^刷卡操作來完成交易——安全舉措就這樣被輕松繞開了。

美國運通卡卡號預(yù)測

最初促使我萌生對磁條機制一探究竟的是我的運通卡。原先弄丟過一張卡片，運通公司很快給我發(fā)來了新卡，這時我注意到新卡上的很多數(shù)字與原卡非常相似。我此后又陸續(xù)使用并更換過多張運通卡，甚至與他人交換并比對過超過20張卡片，最終從中發(fā)現(xiàn)了一套完整的數(shù)字生成規(guī)律——這讓我得以在了解到完整的現(xiàn)有卡號之后，即使已經(jīng)經(jīng)過報失，能夠準(zhǔn)確預(yù)測出新的美國運通卡號。

這意味著如果我能夠得到他人的運通卡并向運通公司進行報失，那么當(dāng)對方拿到新卡的同時，我就已經(jīng)掌握了這張嶄新信用卡的號碼。

另外，我還能夠根據(jù)新卡的申請日期來判斷其實際有效時間，因為該日期會從申請新片之時起重新計算。通過這種方式，大家也可以對現(xiàn)有卡片上的有效日期進行驗證以判斷新卡是否已經(jīng)申請成功。

打印在卡片上的CID（也就是Visa卡上的CVV2）受到一條3DES密鑰的保護，其負(fù)責(zé)對PAN（即主賬戶號碼，也就是信用卡號）、服務(wù)碼（詳見上文）以及有效日期進行加密。其中服務(wù)碼能夠被輕松識別出來，因為絕大多數(shù)卡片上的服務(wù)碼都是完全一樣的。

我還能夠確定，已經(jīng)丟失的卡片上的CSC（本質(zhì)上等同于磁條上的CID或者CVV2）仍將在新的補發(fā)卡片上繼續(xù)沿用。有鑒于此，攻擊者可能會利用竊取到的卡片CSC來推測用戶實際拿到的卡號與有效日期。

為了能夠堂而皇之地利用偽造卡片進行交易，攻擊者有可能會使用某些磁條寫入裝置（例如大名鼎鼎的MSR605）或者類似于MagSpoof的設(shè)備，從而將新近獲取到的信息“加載”到Coin之類的實體卡片之上。Coin本身并不會對CID（或者CVV2）進行驗證，這就意味著攻擊者能夠肆無忌憚地進行數(shù)據(jù)下載，而后在不知道CID的前提下通過上述漏洞與禁用芯片加密鑰機制的能力利用該偽造Coin卡完成支付。

我已經(jīng)向美國運通公司提交了這一問題，而且我絕對不會公開其卡號的具體算法。

硬件

Atmel ATtiny85 (微控制器)

Atmel ATtiny85是一套微控制器，用于驅(qū)動整體系統(tǒng)。它負(fù)責(zé)存儲全部磁條/信用卡數(shù)據(jù)。為了能夠?qū)⒄w尺寸控制在與信用卡相近的水平，我選擇的是輕薄版本的ATtiny10（厚度僅為0.8毫米?。?/p>

L293D H-Bridge (電機驅(qū)動裝置)

我使用一臺L293D H-bridge來生成電磁場。這款L293D電機由內(nèi)部的電磁鐵與內(nèi)部磁芯負(fù)責(zé)驅(qū)動。任何一款標(biāo)準(zhǔn)電機都能夠?qū)崿F(xiàn)同樣的效果。從技術(shù)層面講，L293D的最低運轉(zhuǎn)功率為3.7伏（相當(dāng)于鋰離子電池的標(biāo)準(zhǔn)電壓），但事實上低壓狀態(tài)下其仍然運轉(zhuǎn)良好。為了能夠符合信用卡的尺寸要求，我建議大家采用TI DRV8835或者TI DRV8833這兩種型號。

24AWG磁感線 (線圈)

我使用的是24AWG（即美國線規(guī)24號線）磁感線纏繞成線圈以生成電磁場。實驗順利成功，其產(chǎn)生的電磁場讓讀卡裝置接收了我所偽造的刷卡操作。通過快速控制該磁場的極性，磁條讀取裝置誤認(rèn)為我是在用實體卡進行刷動。

100毫安3.7伏鋰離子電池(供電)

我的這套裝置由一塊小巧的100毫安3.7伏鋰離子電池負(fù)責(zé)供電。為了保證與信用卡尺寸一致，我使用的由PowerStream出品的一塊電池產(chǎn)品。

100微法電容器

這款電容負(fù)責(zé)保證在我們需要時提供足夠的磁場驅(qū)動電力，否則可能會造成微控制器電流過載或者因電流不足而重啟。之所以選擇這款產(chǎn)品，是因為它能夠切實提供我所需要的全部標(biāo)準(zhǔn)值。

LED

為了在傳送信息時發(fā)出可見信息提示，我使用這款LED套裝，其中包含有多種LED元件。

100歐姆電阻

千萬別燒壞了咱們的LED。

瞬時開關(guān)

用于啟動電磁鐵。

迷你電路板

用于將以上各組件焊接在一起。

固件

MagSpoof

MagSpoof的源代碼以及原理信息可以在GitHub當(dāng)中進行查看: https://github.com/samyk/magspoof

MagSpoof是一款可與Arduino框架相兼容的方案，且能夠運行在傳統(tǒng)Arduinos以及ATtiny芯片之上。

【本文轉(zhuǎn)載自微信公眾號： E安全,轉(zhuǎn)載請注明來自威客安全】

以上就是關(guān)于pos機芯片無效,MagSpoof——的知識，后面我們會繼續(xù)為大家整理關(guān)于pos機芯片無效的知識，希望能夠幫助到大家！