к сожалению эмуляция pos терминала на ПК, оставляет мельчайшие шансы на хоть какое то полезное использование этого способа, за исключением обучения.
успешное осуществление транзакции , всегда предваряет совместная работа терминала и карты по выбору осуществления операции.
на карте эмитентом, и на терминале эквайером, всегда указываются настройки по предпочтительному проведению операции при различных входных данных.
другими словами решения терминала зависят от употребляемой при транзакции карты.
и карта , предпочитает , различные варианты выполнения транзакции, при разных терминалах.
банками изначально просчитываются все варианты употребления карты.
и при определенных условиях, которые становятся известны только когда терминал передаёт эти условия карте-
карта выбирает заранее заготовленный профиль для выполнения операции
на терминале же , всегда присутствуют свои варианты, предлагаемые карте , исходя из переданных от карты данных.
допустим: терминал предлагает карте провести операцию через оффлайн авторизацию, но карта решает исходя из своих настроек- либо стандартных ,
неизменяемых и не зависящих от терминала, либо выбранных на основе полученных от терминала данных
(не понравился ей терминал, и у неё есть на такой случай решение, для тех кто не нравится однотипное либо чуть отличающееся.
и эти решения заложены на этапе персонализации, в самом банке)
- что нужно проводить авторизацию онлайн и обращаться к эмитенту за подверждением. терминал будет вынужден принять этот выбор карты.
в другой раз, терминал сам, может предложить , проводить авторизацию онлайн, проанализировав, все характеристики операции.
и его выбор может быть различен от карты к карте или зависеть от случайности,
(для профилактики фрода устновленной случайности проведения любой операции в онлайн, просто так, в виде исключения)
карта знает исходя из первоначального обмена данными с терминалом - поддерживает ли он онлайн или способен работать только в оффлайн режиме.
(также , есть на нём клавиатура для ввода пин кода или нет, банкомат это, в отделении банка он стоит или без представителя,
выданный клиенту на торговой точке и т.д. карте это всё известно, из данных которые она запрашивает при проведении транзакции,
и самое главное, для транзакции(её выбора проведения) )
на случай всех возможных вариантов - на карте уже есть заготовленные сценарии поведения. она лишь выбирает их после получения информации от терминала.
терминал первым предлагает вариант осуществления операции,
который карта может отклонить либо повысить приоритет.
но она не может на предложение терминала -проводить авторизацию эмитента- ответить тем, что сойдет и оффлайн аутентификация, без онлайн авторизации.
при обмене данными , между терминалом и картой, им , обоим, передаётся дюжина уникальных характеристик, которые будут отличаться от любой другой транзакции.
хоть многие и не существенны для выполнения фрода,
при правильной персонализации карты- все эти данные передаются эмитенту
в запросе на авторизацию.
также, в случае аутентификации DDA, на карте сначала происходит эта самая аутентификация,
а уже только потом терминал предлагает карте вычислить ARQC, которую будет передавать эмитенту.
и аутентификация DDA подразумевает , что карта подписывает своим приватным ключём, занесённым на неё изначально эмитентом,
набор данных, переданных от терминала, в котором присутствует случайное число.
сгенерированное терминалом и переданное на карту прямо перед предложением весь этот набор данных карте подписать.
для развития этой идеи более подходит активный сниффинг и подмена, мысли о котором озвучены здесь:
https://www.blackhat.com/docs/us-16/...To-Cashout.pdf
05-19-2025, 09:10 AM
Linear Mode
