Вообще говоря, чип-карта защищена очень хорошо. Если использовать максимальную защиту - взламывать ее будет просто нерентабельно. Но есть лазейки... Точнее, не лазейки, а особые режимы работы...
Говорим "чиповая карта", подразумеваем "гибридная карта". Т.е. большинство современных чиповых карт имеет в дополнение еще и магнитную полосу. В принципе, чисто чиповые карты встречаются, но не слишком часто. У меня в тумбочке валяется карта одного небольшого уральского банка... Заводил для того, чтобы отловить ошибку в интернет-банкинге, который я тогда разрабатывал. Ошибка проявлялась только на продакшн-сервере, на тестовом не воспроизводилась... Так вот, эта карта - чисто чиповая, и никакой магнитной полосы у нее нет, а на этом месте просто полоса другого цвета (синего). С этой картой тот режим, о котором я хочу рассказать, не прокатит. "Лазейка" работает только для гибридных карт, у которых есть и чип, и магнитная полоса.
Дело вот в чем. Раз карта гибридная - то она может обслуживаться и по магнитной полосе, и по чипу. Нужно это для совместимости, ведь кое-где иногда встречаются и терминалы только со считывателем магнитной полосы, без чип-ридера.
Проверить транзакцию по карте с магнитной полосой намного сложнее, ни тебе электронной подписи, ни оценки рисков картой... Просто кусок магнитной пленки со статической информацией на ней. Поэтому большинство мошеничеств с применением пластиковых карт происходит либо по магнитной полосе, либо с помощью социальной инженерии, сама EMV-технология (технология чип-карт) весьма надежна. Есть еще мошеничества без присутствия самой карты, CNP, Card Not Present, но для этого будут отдельные посты. Сейчас мы только про карту, которая присутствует.
Однако POS-терминал без чип-ридера найти довольно трудно. Поэтому...
Чипы в картах, на самом деле, штука весьма надежная. Случаи, когда они ломаются, очень редки. Но теоретически возможны. Поэтому платежные системы предусматривают некий запасной вариант.
Когда вы подходите с гибридной картой к терминалу оплаты (POS-терминал, Point Of Sale), а в нем и чип-ридер, и ридер магнитной полосы. Если кассир сначала проведет картой по магнитному ридеру, то терминал увидет одно важное значение. Сервис-код, начинающийся с двойки или шестерки. Сервис-код, напомню, состоит из трех цифр, и первая показывает способ обработки карты. Если там 1 или 5 - то карта чисто магнитная. 1 - расплатиться можно по всему миру, 5 - только внутри страны. Аналогично, если первая цифра 2 или 6 - то карта чиповая (2 - по миру, 6 - по стране). В нашем случае терминал потребует вставить карту в чип-ридер и дальше попытается провести операцию с чипом.
И тут настает время для обещанной лазейки. Если операция по чипу невозможна, терминал (если разрешено) может согласиться провести операцию по магнитной полосе. Это - т.н. режим Fallback.
В каких случаях это возможно?
1. Чип не читается (поврежден)
2. На чипе нет приложений, с которыми умеет работать терминал
3. На чипе есть нужное приложение, но терминал не поддерживает эту версию приложения
Кардеры используют первый случай. Делают невозможным чтение чипа (уж простите, даже намекать не буду, как). Потому что для остальных случаев надо иметь секретный ключ банка-издателя.
Ну а дальше - операция с магнитной полосой... И не обязательно магнитная полоса оригинальная... Простите, тут без подробностей.
Надо сказать, что две крупные платежные сети - Visa и MasterCard, по моей информации, исповедуют немного отличающиеся подходы. Visa склонна давать больше возможностей расплатиться, MasterCard - больше радеет за безопасность. Вообще обе сети влияют экономически на то, чтобы банки реже соглашались на Fallback. Риски велики. И в случае претензий банк, принявший карту по Fallback, заведомо проиграл. Но режим этот не убирают. Кто знает, вдруг вы окажетесь без наличных посреди чужого города с картой, в которой повредился чип...
Подписывайтесь на канал в Яндекс.Дзен и Телеграм! У меня еще много интересного материала!