アルゼンチンで新聞販売店を営む男性が、169件のクレジットカード詐欺をおこなったとして逮捕されたそうだ。発表によると容疑者のFernando Falsettiは、クレジットカード詐欺により日本円で約100万円相当の被害を発生させたという。話題になったのはその詐欺の手法(LA NACION、Infobae、GIGAZINE)。 警察が押収したノートから、同容疑者がクレジットカード番号とセキュリティコードを生成するアルゴリズムを見つけ、それを元に紙とペンで計算して有効なクレジットカード番号を割り出していたことが分かったとのこと。
関連リンク (スコア:2, 参考になる)
番号の生成規則はかなり解明が進んでいる。今回新しいのはセキュリティコードの生成規則が割れているというところ。
セキュリティコードにこれといった決まりはないので、アルゴリズムとも呼べないようなザルな附番規則だったのか、それとも容疑者が天才的なセンスを持っていたのか、気になるところ。
Re: (スコア:0)
サンプルをどうやってどのくらい集めたのかなあ
Re: (スコア:0)
ストーリーに「新聞販売店を営む」とあるので、過去のインプリンタ決済とか一般人より収集し易かったのでしょうね。
Re: (スコア:0)
新聞販売店を営んでいたということだから、購読者から集めたのでは
えぇ… (スコア:1)
>クレジットカード番号とセキュリティコードを生成するアルゴリズム
ランダムじゃないのかよ…。
Re: (スコア:0)
種になるのはカード番号と有効期限ですかね。
全部がそうとは言わないけどクレカってやっぱり雑なシステムなんだなぁ。
Re: (スコア:0)
Re:えぇ… (スコア:2)
¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
Re: (スコア:0)
というより今まで発行しちゃったカードどうすんのよっていう問題があって…
少なくとも番号として有効なカードが現在カード会員に割り当てられた番号かというと微妙ですね。なのでその段階でくじ引き。
Re: (スコア:0)
カード番号を秘密鍵(全カードで共通のただ1つの秘密鍵で良い)で暗号したものの最初の部分、とかにしておけば、
十分ランダムかつ、カード番号とセキュリティコードの組み合わせをいくつ集めても解読されない、みたいな仕組みは全然実現可能なはず。
怠慢という他ない。
Re: (スコア:0)
#4257512 [srad.jp]を見るとそうしてるっぽいんだけど何が怠慢なの?
Re: (スコア:0)
セキュリティコードということはネット取引だろうけど、アルゼンチンはカードの番号さえ合えばいいのか。
昔、ネット通販(日本の)で電話番号入れ間違えたときは決済通らなかったけどなあ。
電話番号見てるなら氏名も見てるだろうし。
Re: (スコア:0)
何を頓珍漢なこと言ってるの???
Re: (スコア:0)
いいから画面上の四角の中でマウスカーソルを動かす仕事に戻るんだ
Re: (スコア:0)
乱数生成のお仕事 [osdn.net]は大変だなぁ。
# 無粋なのでAC
詐欺・・・? (スコア:0)
詐欺なのか?
Re: (スコア:0)
他人の信用情報を不正に利用した、という事なのでしょうかね
キャッシュカードだったら窃盗になるとか?
Re: (スコア:0)
他人の信用情報を不正に使ってるから普通に詐欺だと思うけど違うの?
Re: (スコア:0)
存在しないカードの所有者に対する詐欺ではなく、カード会社か店に対する詐欺なんでしょうね
よろしくお願いしま~す (スコア:0)
数学の才能がある人は紙とペンのほうが効率がいいのかな?
Re:よろしくお願いしま~す (スコア:2)
考える時は紙とペンが効率良いですが計算法が分かってるならプログラムなりExcelなりでやった方が良いですね。
何度も似たような計算したくないし。
Re: (スコア:0)
てっきりEXCELの出番かと思ってた
#最近、紙とペン使わなくなったな(ここ数年シャープペンの芯買ったことない)
Re: (スコア:0)
数学の才能とか関係なしにプログラミングでも設計段階なら紙とペンで事足りるでしょ。
実際は設計書からコード起こせるようにするためにエディタやエクセルで設計書書く訳だけど。
それはさておき今回のように純粋にアルゴリズムを見つけ出すという作業においてコンピュータの出番は無い。
見つけたアルゴリズムから大量に番号を生成する時がようやくコンピュータの出番となる。
Re: (スコア:0)
見つけたアルゴリズムから大量に番号を生成する時がようやくコンピュータの出番となる。
という部分ですが、
アルゴリズムを見つけ、それを元に紙とペンで計算して有効なクレジットカード番号を割り出していた
生成するときも紙とペンなのねって話では?
Re:よろしくお願いしま~す (スコア:2)
大量に生成しないなら紙とペンの方が早いこともありそうですね。
インクリメントのような複雑でないアルゴリズムで、いくつかサンプルを作ってみるとか。
Re: (スコア:0)
数学の才能がある人は紙とペンのほうが効率がいいのかな?
うーん四季をコードと捉えると分かりづらいけど
結局は現実の事象を表すものなので
記載する配置がコード的だと直感的にならないんですよね
これは斜め上に小書き
これはちょっと左下に大きく
とか書き込んでおくことで
全体の意味が視覚的に変わってくるのが手書きの良さというか
別とは四次元的に書ける時空間エディタなんでしょうな
定形書式ありきで思考を閉ざさずに済むってのが利点かと
強いてコードエディタで再現するなら色やフォントを部分的に変えるとかですかね
仕様の確定、未確定
構築の完了、未完了
経験的予測による附則がでしょうな箇所とか
# まぁフローチャートや工程表でやれよな感じのものだけどそこは畑が違うってことでひとつ
Re: (スコア:0)
四季って式のこと?
物凄く考え込んでしまった
Re:よろしくお願いしま~す (スコア:1)
Vivaldiブラウザの暗喩かも
Re: (スコア:0)
> 四次元的に書ける時空間エディタ
春夏秋冬の四次元ごとにエディタがあるとか、結構話が繋がってるのね。
このような高度(高次元?)なTypo技術をスラド編集者諸氏も学んでいただきたい、と。
Re: (スコア:0)
四季は円環する非ユークリッドな一次元でしょ(知らんけど)
Re: (スコア:0)
> 四季って式のこと?
いいえ、「Le quattro stagioni」の事です。
ターラララララーラー
Re: (スコア:0)
すこしは、別とはのことも気にしてあげてください。
ランダム生成だとおもってた (スコア:0)
ランダムで生成→ダメなのをのぞく(同じ文字が連続とか)→それを利用
だといままでずっと思ってた
Re:ランダム生成だとおもってた (スコア:1)
なんで256ビットのCVKキーさえ知ってれば計算できることはカード会社としては既知のリスクだったのかも。
まあ漏れるわけないだろと思ってたんだろうけど。
Re: (スコア:0)
何のためかというと電子決済で不正利用が爆増したからその対策として導入されたものであって、
その目的を果たすためにはデータベースに「電子決済の時だけ参照されるランダムな3桁の数字」の列を追加するのが現実的で妥当だと思ってた
Re: (スコア:0)
何のためのセキュリティコードで、何が非現実的なのか、説明オナシャス大先生!
セキュリティコードではなくてチェックデジットでは? (スコア:0)
元記事の絵を見ると、最後の桁のチェックデジットを「発見」したように見える。
クレカのカード会社の番号部分、契約者、カード発行連番、チェックデジットという
一般に知られたカード番号の構造を経験から「再発見」したということだと思った。
スペイン語読める人、確認してくれませんか?
Re: (スコア:0)
機械翻訳によるとセキュリティコードも生成してることになってるけど、記者がチェックデジットとセキュリティコードをごっちゃにしてる可能性もあるから分からないね。
Re: (スコア:0)
別々のメディア(LA NACIONとInfobae)が揃ってチェックデジットとセキュリティコードをごっちゃにしてる可能性は低いと思うんだよね
写真のモザイクの掛け方がそれぞれで違うから、互いに独立してソースから情報を得て書いているはず
ソース(警察?)がチェックデジットとセキュリティコードをごっちゃにしてる可能性もなくはないけど……そこ疑ったらキリがないからね
Re: (スコア:0)
>写真のモザイクの掛け方がそれぞれで違うから
La Nationの方が1部モザイクかけてるのを、より広範囲でかけてるのがInfobaeってだけなのでは
Re: (スコア:0)
GoogleレンズでGoogle翻訳に掛けてみると良いかと。走り書きも結構読めますよ。
元記事の絵はカード番号の構造やチェックデジットについてのメモのようですね。
ただし記事にはセキュリティコードと書いてあるので、どちらを信じるか……。
セキュリティコードの生成アルゴリズムを解いたというのが本当だったとして
それを記したページを警察がメディアに公開するわけないでしょうから。
Re: (スコア:0)
自分もこっちだと思った
クレジット番号が不正かどうかその場で簡単にチェックする仕組みとして便利だろうし
もちろんそのチェック通ったからって全て使えるとは限らないけど
単純な入力ミスを弾くシステム作る時に便利
そのチェックを通過したものだけをDBアクセスして確認する仕組みならDBの負荷も下がるからね
でもセキュリティコードまでするって手を抜き過ぎな気もするけどw
アングラでは (スコア:0)
番号生成するツールありましたね
昔はガチャンコで転写してたときは使えてたらしい
無記名かーどが通販で売られててパンチャーでカード番号など打ててましたしね
流石に現代では通信で何重にも即座にチェックされますので簡単ではないようです
アルゼンチンでは未だに郵便でカード会社とやり取りしてるんですかねぇ?
Re:アングラでは (スコア:2)
これで、ランダムに番号を入れてOKが出たものを使えば良かったのかも。
¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
Re: (スコア:0)
チェックサムは今でもあるよね。完全ランダムでは無い。
長い文字列だから入力ミスは頻発するし、そういうのはDB参照無しに即判断して「インシデント」としてカウントしない。
チェックサム通ってDB参照した上で何かの不整合でエラー、それが連続した場合は単なる入力ミスでは無いので、インシデントとして対応すれば良い。
Re: (スコア:0)
クレカのチェックなんて今もあってないようなものだよ。
3Dセキュア導入されてるとか、セキュリティコード入力必須だとそこでフィルタされるだけで、そこ通ったら(そこ導入してないとこ使ったら)あとは利用歴を使ったAIチェック程度しかない。
カード番号の規則性はありまあす (スコア:0)
多分ぐぐるとでてくる。カードの有効判定はそこでしてる。
セキュリティコードは知らぬがあるんだろうなという予想はなんとなくしてたが簡単に分かるのは初耳。
Re:カード番号の規則性はありまあす (スコア:3, 参考になる)
クレジットカード番号の最後の一桁はチェックディジットで、その計算方法も各社共通で公開されている情報なんですよ。
何十年も前から書き間違いなどをオフラインで簡易チェックするためにそうなってる。
クレジットマスター (スコア:0)
規則性は分かっても使われてる番号かどうか、有効期限が分からないと使えないが
https://edelwein.co.jp/1079 [edelwein.co.jp]
こういうサイトで有効性確認すればもうやりたい放題よ
リバースブルートフォースアタック (スコア:0)
https://twitter.com/julianor/status/1527999419119026177 [twitter.com]
カード番号からセキュリティコードを割り出すより
セキュリティコードからカード番号を割り出す方がバレにくい