pos機芯片無效,MagSpoof——

網上有很多關于pos機芯片無效,MagSpoof——的知識，也有很多人為大家解答關于pos機芯片無效的問題，今天pos機之家(www.tonybus.com)為大家整理了關于這方面的知識，讓我們一起來看下吧!

本文目錄一覽：

1、pos機芯片無效

pos機芯片無效

允許大家將所有信用卡及磁條保存在同一設備當中

以無縫方式作用于傳統磁條讀取裝置（無需配合NFC/RFID）

能夠禁用芯片及密碼（不涉及任何代碼操作）

能夠根據已有卡號正確預測美國運能讓信用卡號碼及其到期時間（不涉及任何代碼操作）

支持全部三種磁條軌道，甚至能夠同時支持磁軌1+2

能夠利用Ardino或者其它常規部件輕松構建

MagSpoof

是一款能夠誘騙/仿真任意磁條或者信用卡的設備。其可通過生成強大的電磁場來模擬傳統磁條卡，從而以“無線”方式運作并與標準磁條/信用卡讀取裝置相對接。

備注:

MagSpoof不允許被用于偽造您未合法持有并使用的信用卡。MagSpoof不提供芯片與密碼以及運通卡信息，用戶只能利用此款設備對已經擁有的磁條進行模擬。單純擁有某張信用卡的編號與過期時間不足以完成正常錫。MagSpoof允許用戶利用其進行各類與磁條、微控制器以及電磁技術相關的研究性實驗，亦允許用戶借此了解并創建與三星MST以及Coin等現有商業技術相似的自有設備。

原文請參考：http://www.easyaq.com/technology/997.html

MagSpoof可以被作為傳統信用卡使用，并幫助用戶通過各種創意性載體保存全部個人信用卡信息（而且通過修改能夠在技術層面擺脫對信用卡芯片的依賴），或者被用于其它要求使用磁條機制的安全研究事務，例如信用卡、駕駛執照、酒店房門鑰匙以及自動停車場票據等讀取裝置。

磁條的工作原理

磁條在本質上屬于磁性材料。對磁條而言，其最酷的特性在于即使本身磁性極弱，在達到足夠的寬度時仍然能夠吸引微小的鐵金屬顆粒，這就意味著我們完全可以通過裸眼來觀察磁條卡或者信用卡當中所存儲的數據。

在以上視頻當中，小編把自己的信用卡扔進了一包鐵氧化物顆粒當中。在磁條本身的磁力吸附到鐵氧化物顆粒之后，我們能夠直接查看到這些小顆粒勾勒出了磁條上的記錄軌跡。每個磁條可以最多容納三條記錄軌道，但是信用卡則只使用兩條磁軌（即軌道1與軌道2）。軌道2每英寸可記錄信息量更低，因此也更易于觀察。下面讓我們通過放大圖一起來看：

后來是卡片正面：

正如大家從圖片中所見，小編將信用卡上的條形排布抄寫下來。其中兩道豎條代表的是1，而一道豎條外加一道空白區域代表的則是0。首先，讓我們先把卡片翻轉180度（也就是上下顛倒），然后讀取其中最為清晰的部分。另外，將開頭部分的那些0忽略掉，直接從第一個1處開始。

軌道2中每個字符占5位，這里是從有效位開始計算的，而第五位則為奇偶校驗位。通過排除第五位并讀取前四位，我們現在可以從中提取信用卡號碼了（當然也包括其它數據，例如有效日期、額度數據以及CVV/CVC/CSC/CAV等卡片類型）。

需要注意的是，CVV與CVV2之間存在著很大差別。CVV被保存在磁條當中，而CVV2則被直接打印在卡片上。（CVV是Visa提出的標準，而每家發卡機構都擁有自己的名稱，例如CSC、CVC等等。）

MagSpoof的工作原理

MagSpoof能夠通過快速轉換電磁極性的方式創造出一個磁場，該磁場與普通磁條在進行刷動時的性質非常相似，這就讓模擬磁條成為了可能。而更令人難以置信的是，磁條讀取裝置不需要任何額外的無線接收器、NFC或者RFID即可產生響應——MagSpoof以無線方式運作，甚至可作用于標準磁條讀取裝置。而電磁強度越大，我們能夠利用它實現的操作也就越豐富（在目前這代版本中有效范圍為數英寸）。

MagSpoof還采用了成本低廉的現成組件（在硬件部分會具體說明），而且其構建流程亦非常簡單——一套Arduino、線纜再加上電池即可完成！我使用了一臺電機——而非電池——來實現更為強大的供電能力。

通常來講，電磁效應通常依靠鐵芯實現，不過這會讓我們失去體積與移植性優勢。另外，雖然鐵芯確實能夠更為高效地生成磁場，但我們同時也需要為其提供更為充沛的電力供應。

MagSpoof能夠對Coin等新型磁卡加以改進。小編是Coin卡的用戶，雖然我對其配套應用以及卡片本身相當贊賞，不過這種卡片的實際生效比例其實非常有限。在瀏覽了Coin發布的FCC說明文件之后，我注意到他們使用了兩組線圈來生成一個規模極小的電磁場。不過可悲的是，其磁性效應極為有限，而且在接近半數時間并不能正常起效。

我發現通過MagSpoof進行卡片仿真之后，如果我以單向方式發送軌道1、而后逆向發送軌道2，那么全部卡片讀取裝置都會認定我正確進行了卡片刷動操作。如此一來，我所建立的強大電磁場就能夠呈現兩條軌道上的數據，并保證這些數據為刷卡裝置所讀取。經過實際檢驗，我發現使用單一線圈能夠顯著提升識別效率，且保證兩條磁性軌道全部起效?；谕瑯拥脑?，MagSpoof也能夠對軌道3進行模擬。

除此之外，如果大家使用由Coin提供的芯片卡，則在使用MagSpoof的同時仍需要插入自己的實體信用卡。不過由于MagSppof能夠禁用其中的芯片與密碼機制（詳見下文），所以我們并不需要把正確的卡片帶在身上——換言之，隨便找張芯片卡就行。

不過移除了MagSpoof上的芯片與密碼禁用功能。

安全問題

作為主要問題之一，我發現目前有一部分新型安全機制（至少在美國國內算是新型機制）會在磁條當中設置“服務碼”，而且這種情況多數發生在芯片加密碼卡片之上。

這段藏身于信用卡磁條當中的服務碼負責定義該卡片的多項屬性，其中包括該卡是否可用于提款、其適用地點（即國內卡或者國際卡）以及最令人意外的，該卡是否內置IC芯片以及是否包含密碼（芯片加密碼/EMV）。

如果大家的卡片內置有芯片并在支持讀取芯片卡的零售店內進行消費，那么單純進行磁條刷動是不足以完成交易的——PoS系統會提示我們插入自己的卡/芯片以進行額外的安全性檢驗。

不過用于聲明該卡采用芯片加密碼的碼位可以在磁條當中進行屏蔽，這意味著即使大家的卡片通常需要在消費時插入PoS進行芯片驗證，在相關碼位被屏蔽之后我們仍然可以單純通過刷卡操作來完成交易——安全舉措就這樣被輕松繞開了。

美國運通卡卡號預測

最初促使我萌生對磁條機制一探究竟的是我的運通卡。原先弄丟過一張卡片，運通公司很快給我發來了新卡，這時我注意到新卡上的很多數字與原卡非常相似。我此后又陸續使用并更換過多張運通卡，甚至與他人交換并比對過超過20張卡片，最終從中發現了一套完整的數字生成規律——這讓我得以在了解到完整的現有卡號之后，即使已經經過報失，能夠準確預測出新的美國運通卡號。

這意味著如果我能夠得到他人的運通卡并向運通公司進行報失，那么當對方拿到新卡的同時，我就已經掌握了這張嶄新信用卡的號碼。

另外，我還能夠根據新卡的申請日期來判斷其實際有效時間，因為該日期會從申請新片之時起重新計算。通過這種方式，大家也可以對現有卡片上的有效日期進行驗證以判斷新卡是否已經申請成功。

打印在卡片上的CID（也就是Visa卡上的CVV2）受到一條3DES密鑰的保護，其負責對PAN（即主賬戶號碼，也就是信用卡號）、服務碼（詳見上文）以及有效日期進行加密。其中服務碼能夠被輕松識別出來，因為絕大多數卡片上的服務碼都是完全一樣的。

我還能夠確定，已經丟失的卡片上的CSC（本質上等同于磁條上的CID或者CVV2）仍將在新的補發卡片上繼續沿用。有鑒于此，攻擊者可能會利用竊取到的卡片CSC來推測用戶實際拿到的卡號與有效日期。

為了能夠堂而皇之地利用偽造卡片進行交易，攻擊者有可能會使用某些磁條寫入裝置（例如大名鼎鼎的MSR605）或者類似于MagSpoof的設備，從而將新近獲取到的信息“加載”到Coin之類的實體卡片之上。Coin本身并不會對CID（或者CVV2）進行驗證，這就意味著攻擊者能夠肆無忌憚地進行數據下載，而后在不知道CID的前提下通過上述漏洞與禁用芯片加密鑰機制的能力利用該偽造Coin卡完成支付。

我已經向美國運通公司提交了這一問題，而且我絕對不會公開其卡號的具體算法。

硬件

Atmel ATtiny85 (微控制器)

Atmel ATtiny85是一套微控制器，用于驅動整體系統。它負責存儲全部磁條/信用卡數據。為了能夠將整體尺寸控制在與信用卡相近的水平，我選擇的是輕薄版本的ATtiny10（厚度僅為0.8毫米?。?。

L293D H-Bridge (電機驅動裝置)

我使用一臺L293D H-bridge來生成電磁場。這款L293D電機由內部的電磁鐵與內部磁芯負責驅動。任何一款標準電機都能夠實現同樣的效果。從技術層面講，L293D的最低運轉功率為3.7伏（相當于鋰離子電池的標準電壓），但事實上低壓狀態下其仍然運轉良好。為了能夠符合信用卡的尺寸要求，我建議大家采用TI DRV8835或者TI DRV8833這兩種型號。

24AWG磁感線 (線圈)

我使用的是24AWG（即美國線規24號線）磁感線纏繞成線圈以生成電磁場。實驗順利成功，其產生的電磁場讓讀卡裝置接收了我所偽造的刷卡操作。通過快速控制該磁場的極性，磁條讀取裝置誤認為我是在用實體卡進行刷動。

100毫安3.7伏鋰離子電池(供電)

我的這套裝置由一塊小巧的100毫安3.7伏鋰離子電池負責供電。為了保證與信用卡尺寸一致，我使用的由PowerStream出品的一塊電池產品。

100微法電容器

這款電容負責保證在我們需要時提供足夠的磁場驅動電力，否則可能會造成微控制器電流過載或者因電流不足而重啟。之所以選擇這款產品，是因為它能夠切實提供我所需要的全部標準值。

LED

為了在傳送信息時發出可見信息提示，我使用這款LED套裝，其中包含有多種LED元件。

100歐姆電阻

千萬別燒壞了咱們的LED。

瞬時開關

用于啟動電磁鐵。

迷你電路板

用于將以上各組件焊接在一起。

固件

MagSpoof

MagSpoof的源代碼以及原理信息可以在GitHub當中進行查看: https://github.com/samyk/magspoof

MagSpoof是一款可與Arduino框架相兼容的方案，且能夠運行在傳統Arduinos以及ATtiny芯片之上。

【本文轉載自微信公眾號： E安全,轉載請注明來自威客安全】

以上就是關于pos機芯片無效,MagSpoof——的知識，后面我們會繼續為大家整理關于pos機芯片無效的知識，希望能夠幫助到大家！