حباب بانکی _پارت 4

Mestercomuter Mestercomuter Mestercomuter · 1404/3/12 04:05 · خواندن 5 دقیقه

تا اینجا فهمیدیم چطوری با سخت‌افزار به کارت‌خوان وصل بشیم، حافظه بخونیم و دیتای واقعی بکشیم بیرون. ولی حالا می‌ریم یه لول بالاتر:

وقتی کارت جعلی یا دستکاری‌شده دستمونه، چه اطلاعاتی می‌تونیم باهاش منتقل کنیم؟ می‌شه رسید فیک زد؟ تراکنش موفق قلابی ساخت؟

#خرابی_کارتخوان #مشکل_پرداخت_بانکی #رسید_جعلی #خطای_دستگاه_کارت #واریز_انجام_نشده #دستگاه_مشکوک #مشکل_تراکنش #کارت_سوخته

کارت بانکی جعلی یعنی چی دقیقاً؟

کارت بانکی جعلی توی این مقاله یعنی یه کارت با ظاهر یا ساختار معمولی ولی اطلاعات داخلش دست‌کاری شده یا عمداً یه payload خاص داخلش جاساز شده.

چه چیزایی می‌تونه توش باشه:

شماره کارت جعلی با الگوریتم درست Luhn

Track 1 / Track 2 تغییر داده‌شده (مخصوص نوار مغناطیسی)

UID مخصوص کارت‌های NFC که جعل شده

کدهایی که به پایانه دستور می‌دن چاپ رسید بزنه بدون تراکنش واقعی

چی لازم داریم؟

اول از همه یه کارت‌خوان می‌خوایم. مدل قدیمی باشه بهتره. مثلاً S910، Vx520، PAX S80 یا چیزی شبیه اینا.

اینا معمولاً یا سریال دارن یا USB یا حتی TTL.

اگه دستگاه لاک نشده باشه، می‌تونی با کابل سریال وصل شی بهش و دستورات رو مستقیم بفرستی یا حتی حافظه داخلیشو بخونی.

حالا کارت چطور؟ کارت بانکی واقعی نیاز نیست. یه کارت خام مغناطیسی ساده کافیه. دونه‌ای ۱۰ تا ۲۰ تومن. یه دستگاه MSR605X هم بخوای روش بنویسی. قیمتش حدود ۲ میلیون.

نصبش رو ویندوز راحته، ولی با Wine رو لینوکس هم بالا میاد.

 

 

بیا ادامه مطلب پسر. قرار بترکونم 

مرحله ۱ – اتصال به کارت‌خوان

اگه دستگاهت پورت TTL یا سریال داره، با کابل USB به TTL (مثل PL2303 یا CP2102) وصلش کن به سیستم. بعد تو لینوکس با این دستور سشن باز کن:

screen /dev/ttyUSB0 115200

اگه شانست بزنه، یه کنسول بالا میاد که توش می‌تونی لاگ‌ها یا حتی دستورات رو ببینی.

تو بعضی مدل‌ها مثل SP630 می‌تونی با دستور ساده، رسید چاپ کنی:

echo "RECEIPT PRINT TEST SUCCESS" > /dev/ttyUSB0

یعنی فقط با یه دستور متنی می‌تونی فریبش بدی رسید بزنه.

مرحله ۲ – ساخت کارت جعلی مغناطیسی

با نرم‌افزار MSR Tools تو ویندوز، یا هر ابزار مشابه، کارت خامتو به کامپیوتر وصل کن. حالا این داده رو بنویس روش:

%6219860000000000^FAKE NAME/TEST^2501010000000000000000000?

;6219860000000000=25010100000000000000?

اینا داده‌های مسیر ۱ و ۲ کارت هستن. دستگاه وقتی کارت کشیده می‌شه، فقط این دیتا رو می‌خونه. حتی اگه اتصال به بانک قطع باشه، باز این اطلاعاتو پردازش می‌کنه و ممکنه رسید چاپ کنه.

مرحله ۳ – تغییر حافظه کارت‌خوان برای رسید جعلی

اگه بخوای دقیق‌تر و حرفه‌ای‌تر کار کنی، باید حافظه داخلی دستگاهو بخونی. برای این کار یه پروگرامر CH341A بخر. به EEPROM دستگاه وصلش کن، بعد با flashrom ازش dump بگیر:

sudo flashrom -p ch341a_spi -r dump.bin

بعدش فایل dump.bin رو با hex editor مثل bless یا HxD باز کن. برو دنبال متن‌هایی مثل:

پرداخت موفق

کد پیگیری

بانک سامان

اینا رو تغییر بده به هرچی خواستی. مثلاً "تراکنش موفق انجام شد توسط TEST BANK". بعد فایلو ذخیره کن و برش گردون تو EEPROM:

sudo flashrom -p ch341a_spi -w dump_modified.bin

وقتی دستگاه روشن شه، می‌ره از همین حافظه بخونه. حالا کارتتو بکش، دیدی چی شد؟ تراکنش جعلی → رسید واقعی → فریب کامل

مرحله ۴ – قطع ارتباط واقعی با سرور

برای اینکه دستگاه نتونه با سرور شاپرک یا بانک تماس بگیره، یا باید سیم شبکه‌شو بکنی، یا سیم‌کارت رو دربیاری، یا فایروال محلی بزنی که تمام اتصالات رو قطع کنه. اینجوری تو حالت offline می‌مونه و فقط به داده کارت نگاه می‌کنه.

بعضی دستگاها تو این حالت، همون لحظه خطا می‌دن، ولی خیلی‌ها به‌جای خطا رسید "ناموفق" چاپ می‌کنن یا اصلاً واکنشی نمی‌دن. اگه حافظه‌شو دستکاری کرده باشی، خودت تعیین می‌کنی چی چاپ کنه.

هکر ها اینجا خلاقیت میزنن اینه خلاقیت: 

می‌تونی یه اسکریپت بنویسی که خودش با سریال به دستگاه وصل شه، یه سری پیام فیک بفرسته و نتیجه‌گیری خودکار انجام بده.

حتی می‌تونی یه سرور لوکال با پایتون راه بندازی که وانمود کنه شاپرکه، اگه کارت‌خوانو فریب بدی که فکر کنه با سرور در ارتباطه...

مرحله ۵ – تست و سناریوی کامل

حالا کل پروسه رو اینجوری پیاده کن:

۱. کارت خام رو با داده ساختگی بنویس

۲. حافظه کارت‌خوان رو طوری تنظیم کن که هر تراکنشی رو موفق نشون بده

۳. کارت‌خوانو از اینترنت یا سرور قطع کن

۴. کارت رو بکش

۵. رسید تراکنش جعلی چاپ می‌شه با مبلغ و اطلاعات فیک

ابزارای نرم‌افزاری مورد نیاز روی لینوکس

نصب screen:

sudo apt install screen

نصب flashrom:

sudo apt install flashrom

نصب hex editor:

sudo apt install bless

یک هشدار بدم دوستان این مطالب حباب بانکی و ... جرمه انتشارش 

یا آموزشش بنابراین مقداری سانسور شده همینجا هم تاحدی با نحوه ساختش آشنا شدید ، دیگه بیشتر از این نمیشه ادامه داد . 

تو مقاله بعدی همین حباب بانکی میریم جلوی اینارو ببینیم اصلا میشه گرفت 

( پاسخ بله هست باید یک چیزایی تو دستگاه پز عوض بشه ، ولی متاسفانه دوستان بانکی گفتن صرفه اقتصادی نداره )

 بما ربطی نداره هرکس دوست داشت می‌تونه بره بانک بگه شکر خوردین 

که صرفه اقتصادی ندارد .

این مقاله برای آزمایش و شناخت سطح امنیتی دستگاه‌ها نوشته شده.

اگه کسی این اطلاعاتو تو محیط واقعی استفاده کنه، نه فقط از نظر قانونی، بلکه از نظر اخلاقی هم فاجعه‌ست.

ما اینجا داریم دیوارو نشون می‌دیم، نه اینکه بگیم ازش رد شو.

اگه کسی بخواد سو استفاده کنه، مسئولیت ۱۰۰٪ با خودشه.

بریم یک دونه شاپرک جعلی با پایتون کد تستی شو بدم بار هیجانی بیاد بالا 

تو پارت ۵ دیگه از ۶ یا ۷ میریم بگیم چجوری جلوی این روش کلاهبرداری نوین ایستاد . 

 

#شبیه‌سازی_تراکنش_جعلی #نفوذ_در_پروتکل_POS #تزریق_داده_کارت #شبیه‌سازی_ترمینال_جعلی #تایید_صفر_ارزش #تزریق_APDU_سفارشی #جعلی_سازی_مگ‌استریپ #دورزدن_EMV #تزریق_رسید_جعلی #آزمایشگاه_نفوذ_بانکی

حباب بانکی #شبیه‌سازی_تراکنش_بانکی #هک_تراکنش_بانکی #فریب_دستگاه_پرداخت #تراکنش_جعلی