¿Qué impide que la "tarjeta de dinero" (sistema de tarjeta inteligente sin conexión) se duplique por fraude de pago?

Navega tus respuestas
3

No sé qué tan conocido es este sistema o tal vez hay sistemas igualmente conocidos internacionalmente. Así que voy a introducir los puntos relacionados con el sistema:

Es un sistema de pagos donde su billetera se guarda en el mismo chip de tarjeta. Los terminales en los que puede pagar con dicha tarjeta no tienen que tener una conexión permanente a Internet.

E incluso si lo tienen, el sistema no está diseñado para la sincronización en tiempo real. Tiene al menos intervalos de varias horas (AFAIK, incluso solo 1 vez por día) donde el cambio de moneda se actualiza.

Entonces, si tales terminales no comparten la información del cambio de dinero en cualquier tipo de red con otras terminales, ¿qué impide a un malvado duplicar el chip y sus datos y pagar con cada chip en un terminal diferente? Como el dinero disponible solo se almacena en el chip, ¿cómo puede saber un terminal que el equilibrio representado no es válido? ¿O incluso el chip que es?

Por supuesto en el proceso de sincronización se notará. Pero hasta que transcurra mucho tiempo

    
pregunta Zaibis 02.12.2014 - 10:44
fuente

2 respuestas

0

Podría descubrir algunas informaciones sobre la tarjeta inteligente. El chip no solo contiene datos binarios a los que todos los terminales pueden acceder. El chip contiene un microcontrolador que puede configurar su propio firmware. Por lo tanto, los terminales no se comunican con los datos almacenados, solo tienen una API para el microcontrolador.

Entonces, si desea copiar los datos, debe solicitar al mc que lea los datos por usted. Lo que por supuesto negará.

Por lo tanto, la otra forma es producir físicamente un chip idéntico que contenga el mismo controlador con el mismo firmware que se ejecuta en ese chip. porque solo ese chip mc es capaz de acceder a sus datos binarios y leerlos correctamente. (Lo que me parece casi imposible. Aunque no lo sea, la cantidad de dinero no será suficiente para el trabajo que esto supondría)

O la otra opción para hacerlo es: separar el controlador de los datos binarios, sin destruirlo. y piratee el cifrado con el que almacenó los datos, para poder escribir datos simples en la memoria de los chips.

Sin hackear el cifrado podríamos intentar cortocircuitar el mc ...

Incluso a corto circuito, el mc no funcionaría, ya que el dinero que usan los terminales usará la API para el controlador y tampoco está accediendo a los datos directamente.

Y apostaría, no puede cortocircuitar el mc, acceder a los datos directamente y luego volver a colocar el microcontrolador sin daños, sin al menos hacerlo inválido por algunas banderas de seguridad o ese tipo de cosas.

También es notable que los terminales en general solo pueden disminuir la cantidad de dinero. Los que son capaces de aumentar el dinero son retenidos por el propio banco y no se entregan. Por lo tanto, es probable que estén en una forma encriptada, que el chip contenga una clave pública que mantenga cierta información sobre cómo se debe encriptar la "reducción de dinero". Lo que podría fallar en caso de un aumento.

Eso fue todo lo que pude descifrar, y supongo que esto es suficiente para ser una respuesta, incluso en los ojos de alguien más.

    
respondido por el Zaibis 03.12.2014 - 12:48
fuente
0

El sistema fuera de línea tiene una ventaja abrumadora de la infraestructura mínima del servidor y el costo de la red, y la transacción es rápida y confiable.

No hay forma de evitar la duplicación incluso con la tecnología de encriptación más avanzada de las tarjetas inteligentes.

Las soluciones preventivas:

  1. establecer un límite superior para reducir el total perdido cada vez.
  2. verifique la transacción de anuncios normales y la identificación de la tarjeta de anuncios normales y enlístelos en una lista negra.
  3. Con el CCTV instalado en muchas tiendas, desalentará a las personas a correr el riesgo.
respondido por el Keith Lau 20.12.2016 - 08:25
fuente

Lea otras preguntas en las etiquetas

Asegurar que una solicitud HTTP venga de mi programa ¿Qué tan difícil es el ataque del firmware USB? [cerrado]