حباب بانکی _ پارت ۵

Mestercomuter Mestercomuter Mestercomuter · 29 تیر · خواندن 4 دقیقه

اول سلام!

یک کوچولو مشکل خوردیم و خوب شاید این آخرین مقاله با نام حباب بانکی به معنای نحوه انجامش باشه اگه قرار باشه ادامه بدیم نحوه جلوگیری شو مجبوریم بگیم ، سعی کردم این مقاله به حد کافی جامع و کامل برای همه دوستان باشه . چون تعهد دادیم که این مقاله آخریش باشه حداقل تو این موارد 

خب این قسمت با مجوز هست و می‌خوایم دقیق و راحت بگیم چطوری میشه کارت‌های مخرب ساخت و دستگاه‌های POS رو جوری فریب داد که رسید تأیید چاپ کنه، ولی پولی واقعاً جابه‌جا نشه!

البته قول دادیم یک سری جاهارو سانسور حرفه ای کنیم 🤣 که اگه وقت داشتیم مطلب میزاریم براش اگه هم نه کلمه کلیدی گذاشتیم خودتون سرچ بزنیدتو گوگل مطالعه کنید.

دو تا روش داریم: یکی وقتی دستگاه به بانک وصل هست (آنلاین) و یکی وقتی قطع شده (آفلاین). البته بعضی بخش‌های خیلی حساس رو به دلایل امنیتی سانسور کردم، ولی اونجا بهتون میگم چی سرچ کنید تا خودتون راحت پیدا کنید.

حباب بانکی, جعل رسید کارتخوان, کارت مغناطیسی مخرب, حمله آفلاین POS, تست نفوذ کارتخوان, banking bubble, POS fake receipt, malicious magstripe card, offline POS attack, POS penetration testing

بخش ۱: چی نیاز داریم؟

یه دستگاه POS که هم بتونه آنلاین باشه هم آفلاین

کارت مغناطیسی که بشه روش برنامه‌ریزی کرد (HiCo یا LoCo)

یه دستگاه نویسنده کارت مثل MSR605X

کابل سریال یا TTL (مثلاً PL2303)

نرم‌افزار ویرایش داده‌های کارت (MSR Tools یا یه اسکریپت ساده Python)

دسترسی به خود دستگاه POS برای تست

چه خبر با گرونی ها😂 آقا قیمت نمی‌دم نوسان واقعا شدید از یک جایی تهیه کنید اینارو من از قبل داشتم ولی خوب استفادم نشده و دادم با زبون خوش به یکسری از دوستان قبل اینکه مارو با قپونی یا قاپونی ببرن 🚓

بخش ۲: ساخت کارت مخرب

باید اطلاعات روی کارت (Track1 و Track2) رو طبق استاندارد ISO-7811 بنویسیم

شماره کارت هم باید یه شماره درست و منطقی باشه (طبق الگوریتم لوهان)

یه نمونه ساده:

 

Track 1: %B6219860000000000^TEST/USER^2501010000000000000000000?

Track 2: ;6219860000000000=25010100000000000000?

اگه بخواید تو کارت دستور یا داده خاص بزارید (مثلاً برای حمله به فرم ور دستگاه یا firmware)، عبارت‌های «POS magnetic track command injection» یا «POS firmware command exploitation» رو سرچ کنید.

بخش ۳: روش اول – جعل رسید تو حالت آنلاین

وقتی دستگاه به بانک و شاپرک وصل هست، معمولاً درخواست تراکنش میره سرور و جواب میاد

ما می‌تونیم یه سرور جعلی درست کنیم که به دستگاه پاسخ بده: «تراکنش موفق»

یا اینکه فرم‌ور دستگاه رو دستکاری کنیم که جواب رو خودش بسازه

دستگاه رسید تأیید چاپ می‌کنه، ولی هیچ پولی واقعی جابه‌جا نشده!

بخش کدهای سرور جعلی و دستکاری فرم‌ور رو از امنیتی سانسور کردم

برای یادگیری بیشتر سرچ کنید: «POS fake approval server»، «Shaparak fake response»، «POS firmware hacking»

بخش ۴: روش دوم – جعل رسید تو حالت آفلاین

وقتی دستگاه از شبکه قطع باشه (آفلاین)

بعضی دستگاه‌ها اجازه میدن تراکنش محدود رو آفلاین تأیید کنن

با کارت مخرب و فرم‌ور دستکاری شده، دستگاه رسید تأیید چاپ می‌کنه بدون اینکه پولی بره حساب فروشنده

اینجا معمولاً از پروگرامر EEPROM (مثل CH341A) و کابل سریال استفاده می‌کنیم

برای یادگیری بیشتر سرچ کنید: «POS offline approval exploit»، «POS firmware patching»، «EEPROM programmer POS hack»

بخش ۵: چطوری این تست رو انجام بدیم؟

1. داده کارت رو بنویسید

2. دستگاه رو آنلاین یا آفلاین کنید

3. اگه آنلاین، سرور جعلی یا DNS رو تنظیم کنید

4. اگه آفلاین، اینترنت دستگاه رو قطع کنید

5. کارت رو بکشید و رسید چاپ شده رو ببینید (حتماً روش بنویسید «تست قانونی»)

6. اگه لازم بود با کابل سریال به دستگاه وصل بشید و دستورات رو تزریق کنید

توی این پارت یاد گرفتیم چطوری تو دو حالت آنلاین و آفلاین میشه دستگاه POS رو فریب داد که رسید تأیید چاپ کنه ولی پولی جا‌به‌جا نشه. بخش‌هایی که خیلی حساس بودن رو سانسور کردم و به کلمات کلیدی برای سرچ معرفی کردم واقعا خیلی دوست داشتم مطالب کامل تری بزارم اما برای همین آموزش و ارائه هم متاسفانه خیلی اذیت شدیم و خوب اتفاقات زیادی افتاد و جاهای زیادی رفتیم ولی خوب حداقل تمومش کردیم. 

اگه کسی خواست حمایت کنه یک قهوه مارو مهمون کنه بسه 🙃 

از دوستان و اساتید که تو این مقاله ها همراه ما بدون تشکر ویژه دارم واقعا 

از کسایی که وقت گذاشتن و مطالعه کردن واقعا معذرت میخوام بابت این مدل مقاله معمولاً سعی میکنم کامل باشه می‌دونم واقعا خیلی ها به عنوان منبع آموزشی اینجا میان اما متاسفانه این مقاله رو غیر قانونی تشخیص دادن و بیشتر از این دست ما بسته بود ایشلا تو مقالات بعدی جبران می‌کنیم🌹 و واقعا الان احساسی شدم چون خیلی دوندگی کردیم بتونیم این مقاله رو منتشر کنیم وبلاگ رو برای مدت کوتاهی فیلتر کردن و خیلی ممنون از پشتیبانی و تیم بلاگیس که بدون ریالی هزینه بهمون ایپی‌ جدید  دادن 

خیلی مچکرم از استادان دانشگاه که حمایت های علمی کردن 

 

جعل کارت بانکی, رسید تقلبی POS, نفوذ به دستگاه کارتخوان, کارت مغناطیسی جعلی, حمله آنلاین POS, بررسی امنیت کارتخوان, تست نفوذ سیستم پرداخت, حباب مالی بانکی, تراکنش جعلی کارتخوان, فیشینگ کارت بانکی

خیلی ممنون از حامیان مالی مون آقای mrx اقای o000 و ... که به هر روشی بود یک سری جریمه ها و ... پرداخت کردن یا .... واقعا ممنون مچکر از اون منشی عزیزی که اجازه داد ما بایک فردی خارج نوبت حرف بزنیم که همین یک چسه مقاله رو منتشر کنیم واقعا دمتون گرم . 

مچکرم از اون وکیلی که راهنمایی کرد 

مچکرم از دوستانی که انگیزه دادن 

دمتون گرم واقعا 🌹♥️🙃

مقاله های حباب بانکی: 

پارت 1

پارت 2

پارت 3 

پارت 4

حباب بانکی جعل رسید کارتخوان حباب بانکی چیست کلاهبرداری بانکی