アカウント名:
パスワード:
銀行に防犯カメラが山とあるのは知ってると思うんだけどなぁ。
ICチップの変造までやっているとは思えないので、磁気キャッシュカード+暗証番号で暗証番号はATM内にあったのではないかと妄想。
いまのキャッシュカードには暗証番号含まれていないはず。あと、浜銀のカードはICではなかった。少なくとも手元にあるカードは磁気ストライプのみ。
磁気カードの仕様は銀行共通だろうから、dumpした中身からカードを偽造したのかな?暗証番号も同じくdumpした中身や伝送路のキャプチャデータから解析した?暗号化ないのかは気になるけど。ATMや銀行システムを作っている側からのアタックなんて防ぎきれないよ
ええ、カード内に暗証番号入ってないのは知ってます(入っていたのは昭和の時代)。
キャッシュカードデータをATMから得ているという報道なので、もしかしたらATM内に暗証番号を溜めていた可能性があると思ってます。(偽造枚数が少ないのもハマ銀ATMから得た他行データかつ、ICチップ非対応だけ選ったのではないかとおもってますけど)
通信ログあたりからカードデータを再現したんじゃないかと思うのですが、どうでしょう?
トラブルに備えてATM側で全通信データをログに残しておく、というのは基本でしょうし。そこで、「暗証番号部だけ伏せる」なんて細かい処理はしてないってこともありえるかな、と。
#あるいは、暗証番号部は伏せていても、チェックサムがログにあったら、そこから再現できたりして。#ブルートフォースで誕生日とかのそれっぽい数字でチェックサムが一致したら、それで一回試してみる。失敗したらその口座は破棄、とか。
通信トラブル対応のためならペイロードをログしておく必要は無いし、それ以外のトラブルであればすべてサーバー側を基準に対応するしかないよ。だいたいATMなんて重機を使って物理的に強奪されることもあるのに暗証番号はおろか口座番号だって記録に残しておけるわけないでしょ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
バレないと思ったのかしらん? (スコア:0)
銀行に防犯カメラが山とあるのは知ってると思うんだけどなぁ。
ICチップの変造までやっているとは思えないので、磁気キャッシュカード+暗証番号で暗証番号はATM内にあったのではないかと妄想。
Re: (スコア:0)
いまのキャッシュカードには暗証番号含まれていないはず。
あと、浜銀のカードはICではなかった。少なくとも手元にあるカードは磁気ストライプのみ。
磁気カードの仕様は銀行共通だろうから、dumpした中身からカードを偽造したのかな?
暗証番号も同じくdumpした中身や伝送路のキャプチャデータから解析した?暗号化ないのかは気になるけど。
ATMや銀行システムを作っている側からのアタックなんて防ぎきれないよ
Re: (スコア:0)
ええ、カード内に暗証番号入ってないのは知ってます(入っていたのは昭和の時代)。
キャッシュカードデータをATMから得ているという報道なので、もしかしたらATM内に暗証番号を溜めていた可能性があると思ってます。
(偽造枚数が少ないのもハマ銀ATMから得た他行データかつ、ICチップ非対応だけ選ったのではないかとおもってますけど)
Re:バレないと思ったのかしらん? (スコア:2)
通信ログあたりからカードデータを再現したんじゃないかと思うのですが、どうでしょう?
トラブルに備えてATM側で全通信データをログに残しておく、というのは基本でしょうし。そこで、「暗証番号部だけ伏せる」なんて細かい処理はしてないってこともありえるかな、と。
#あるいは、暗証番号部は伏せていても、チェックサムがログにあったら、そこから再現できたりして。
#ブルートフォースで誕生日とかのそれっぽい数字でチェックサムが一致したら、それで一回試してみる。失敗したらその口座は破棄、とか。
Re: (スコア:0)
通信トラブル対応のためならペイロードをログしておく必要は無いし、それ以外のトラブルであればすべてサーバー側を基準に対応するしかないよ。
だいたいATMなんて重機を使って物理的に強奪されることもあるのに暗証番号はおろか口座番号だって記録に残しておけるわけないでしょ。