金融反欺詐-交易基礎介紹

時間 2019-12-08

標籤金融欺詐交易基礎介紹简体版

原文原文鏈接

阿里巴巴雲譽 · 2016/02/19 18:09html

0x00 前言

1、簡介

現在，互聯網金融比較火熱，金融欺詐也變得很是廣泛，金融反欺詐也應運而生。本文將主要介紹下金融交易中的一些基本內容，並簡單介紹下歷史悠久的而且還未淘汰的磁條卡的風險，這些也是瞭解金融欺詐須要的基本知識。對於具體的黑色產業鏈、信用卡套現、芯片卡的攻擊、金融反欺詐風險防控等本文先不涉及。算法

2、背景

咱們先來看幾則最近國內銀行卡盜刷的新聞報道數組

男子ATM取完錢後被盜刷近17萬安全
「黃先生髮現，本身卡里近17萬元的存款，被分14次刷走，僅剩下幾千元，整個過程只有2分鐘左右。黃先生趕忙報警。」網絡
「經警方初步覈查，事發前一天晚上，黃先生曾在雲霄縣江濱路一銀行ATM取過款，這部取款機被人安裝相似刷卡器的裝置」機器學習
男子假身份應聘服務員複製50多張顧客銀行卡工具
「經審訊，嚴某對其攜帶並利用測錄設備複製他人信用卡信息的犯罪行爲供認不諱。據交代，嚴某爲牟取不法錢財，租住快捷酒店做爲實施犯罪的落腳點，爲掩人耳目，冒用「雷某某」這一「假身份」，經過網上查找門檻較低、管理鬆散的高檔餐飲企業的招聘信息，應聘並獲取服務員崗位後，在顧客結帳時，趁其不備，利用提早購買的磁條卡測錄讀寫器複製客戶銀行卡信息，並偷窺和記錄刷卡密碼。」學習
七浦路市場十餘店主銀行卡遭盜刷測試
「爲了可以找到被盜刷的緣由，店主們將消費明細打印出來發現，他們均曾在去年9月份參加過哈根達斯1元換購的活動(僞造的活動)，當時是用移動POS機進行的消費。」
「瑩瑩向記者出示了2015年9月19日哈根達斯一元換購冰淇淋的促銷海報，海報生上稱：「爲回饋新老客戶，哈根達斯特推出1元購活動……」海報上還明確註明：「優惠僅限儲蓄卡刷卡消費，不接受信用卡及現金。」

上述三個最近的新聞中都是用戶在看似正常的消費或取款後，但本身的卡卻被盜刷了，在國內這種現象很常見。而在銀行卡欺詐中，國外的已經造成了比較成熟的黑色產業鏈，藉助匿名網絡、暗網、比特幣等變得愈發猖獗。以下是國外的一個銀行卡信息交易網站，用戶可根據卡的類型等選擇購買，購買後再經過線下制卡或線上使用等各類渠道去套現。

0x01 交易基礎信息

交易分爲線上的交易與線下的交易。線下交易(swiped transaction/card present)，簡單點講就是必需要物理刷卡來消費。線上交易(card not present transaction-CNP)，簡單點講就是不須要線下刷卡，但須要提供帳號、密碼、手機驗證等信息，好比信用卡支付，填寫卡號、過時時間、CVV2便可完成支付。

目前銀行卡類的欺詐中，線下的主要就是複製卡，線上的主要是盜取你的線上支付的憑證，好比過時時間、CVV2等信息。

1、交易角色

在一次消費行爲中，主要涉及到五個角色，分別爲持卡人、商戶、收單行、髮卡行、卡組織。其中每一個角色對應的描述以下：

持卡人(cardholder)
銀行卡的合法持有人,即與卡對應的銀行帳戶相聯繫的客戶。
髮卡銀行(issuing bank/card issuer)
發行銀行卡的銀行，即開戶行。好比中國銀行、中國招商銀行、中國建設銀行等各大銀行。
商家、特約商戶(merchant)
與收單機構簽有商戶協議，受理(可以使用)銀行卡的零售商、我的、公司或組織。
收單行(Acquirer Bank)
負責商戶與買家之間的資金結算。收單行須要向卡組織申請，在中國則是向中國銀聯提交申請。中國通常各大銀行都是中國銀聯的機構成員，也開展收單業務，同時中國銀聯卡組織也有本身的專業收單公司爲銀聯商務；同時中國銀聯還會受權其餘第三方公司爲收單機構，好比一些第三方支付公司等。
卡組織(Card brand)
卡組織負責建設和運營全球或區域統一的支付卡信息交換網絡，負責支付卡交易的信息轉換和資金清算，制定並推行支付卡跨行交易業務規範和技術標準。
國際上的卡組織，主要有威士國際組織（VISA International）、萬事達卡國際組織（MasterCard International）、美國運通國際股份有限公司（America Express）、發現卡(Discover)、大萊信用卡有限公司（Diners Club）、JCB日本國際信用卡公司（JCB)等，中國的則爲中國銀聯(China Unionpay)

中國銀聯：簡單來說，中國銀聯經過制定一些標準與規範，構建一個完整支付網絡，使得你能跨地區跨行使用銀行卡。

2、交易流程

在一次消費過程當中，各個角色的關係圖大體以下

（一）線下刷卡

好比有以下的消費場景：本人在西餐店刷卡消費150，其資金是如何流向的呢？

商家
首先商家須要刷卡工具，即常見的pos機，其須要向收單機構申請pos機。收單機構主要有中國銀聯的成員機構各大銀行、中國銀聯本身的收單公司銀聯商務、以及第三方支付平臺收單機構，好比拉卡拉等。
商家能夠根據收單機構的手續費(商家須要給收單行手續費的)、服務費等選擇使用哪一個收單機構。準備一個對公的帳號(用來收錢)以及營業執照等信息向收單機構申請，簽署相關協議。收單機構審覈經過後會發放pos機等(像拉卡拉這種可能會發放本身的刷卡器)，並負責安裝調通，接入銀聯網絡。至此商家便可以用pos機進行收款了。
客戶刷卡消費後，須要在籤購單上簽字，查看本次消費的籤購單以下圖
其中主要信息以下：
- 商戶編號：用於標識商戶
- 操做員：01，pos機默認有管理員、操做員等角色
- 終端編號：終端編號爲pos機的編號
- 髮卡行：招商銀行，個人銀行卡爲招商銀行的，於是髮卡行爲招商銀行
- 卡號：銀行卡號
- 卡組織：CUP，即中國銀聯，個人招商銀行卡爲銀聯卡，於是卡組織是中國銀聯
- 收單行：建設銀行，即該pos機是建設銀行的，其做爲收單機構。負責將買家卡的錢轉到商家的對公帳號裏。
交易說明：
商戶在向這裏是向建設銀行，提交pos機申請。申請成功後建設銀行負責安裝pos機並調通。
刷卡結算時候，首先操做員在pos機設置消費金額，而後在pos機刷卡，並輸入pin密碼，pos機將卡號、金額、pin密文等經過加密方式發送到收單機構(建設銀行)，
收單機構將信息經過卡組織的銀聯網絡將信息轉發到髮卡行(招商銀行)，招商銀行校驗卡類型以及金額、pin等信息，確認無誤將校驗結果經過銀聯網絡發送給商家，支付成功。
支付成功後此時髮卡行會把用戶的卡金額凍結，等待卡組織進行資金清算。而此時買家的錢還未打到商家的帳號，收單機構會與商戶簽定結算週期，好比T+1(次日錢到帳)、T+0(當天到帳)的方式，收單機構經過彙總商戶的收單信息經過銀聯網絡發送給不一樣的髮卡行請求扣款，各發卡行確認無誤後將錢經過銀聯網絡轉到商戶的對公帳號裏。至此交易完成。
手續費
此次交易的手續費，若商家與收單結構簽定的協議中規定手續費爲2%，假設髮卡行、收單行、卡組織按7:2:1的比例扣費，那麼商家繳納的手續費爲150*2%=3元,那髮卡行(招商銀行)的收益爲3*0.7=2.1元、收單機構收益3*0.2=0.6元、卡組織中國銀聯收益3*0.1=0.3元。而商家最終收到的錢爲150-150*2%=147元

（二）線上支付

線上支付與線下支付相似。商戶在須要接入在線支付的功能時，須要向銀聯或相應的收單機構申請，收單機構審覈後會提供相關的支付接口。好比其會提供開發包供商戶進行調試(注意，用戶的敏感信息(卡號、過時時間、cvv2等)是不容許存儲的，開發測試時候爲方便調試，可能會將敏感信息打到log文件裏，從而可產生安全問題)，聯調無誤了便可線上使用了。

商戶接入銀聯的在線支付網關，分兩種狀況：

商戶直聯接入：是指商戶開發系統直聯接入「銀聯在線支付」網關，「銀聯在線支付」網關引導持卡人完成支付的形式。這種狀況下，交易不通過收單機構的收單平臺。
商戶間聯接入（收單機構直聯接入）：是指商戶系統先接入收單機構系統，由收單機構系統接入「銀聯在線支付」網關，「銀聯在線支付」網關引導持卡人完成支付的形式。這種狀況下，交易通過收單機構的收單平臺，支付過程當中是否出現收單機構頁面由收單機構選擇。

因此一般在線上購物會出現以下的支付頁面。

中國銀聯支付平臺提供各大銀行的綜合在線支付收單系統、同時各大銀行也會提供本身的收單接口。

線上交易的資金流向以及結算與線下交易的描述相似。

3、銀行卡信息

（一）銀行卡分類

銀行卡可按卡組織進行分類，好比帶有中國銀聯標誌的銀行卡稱爲銀聯卡，帶有Visa標誌的爲Visa卡。
銀行卡按使用方式又能夠分爲借記卡和信用卡：
- 借記卡:簡單來說是必須有存款才能消費，不能預支
- 信用卡:是能夠提早預支資金，但須要按時還款
銀行卡按信息存儲方式又可分爲磁條卡與芯片卡。
- 磁條卡(magnetic stripe card)是指經過磁條記錄了銀行卡信息的卡片。
- 芯片卡(IC-integrated circuit card)是指帶有IC芯片的，內部封裝一個或多個集成電路用於執行處理和存儲功能的卡片。

（二）銀行卡的制卡標準

金融類的卡片遵循ISO/IEC 7813標準，不一樣的卡組織可能稍微有差別。

中國銀聯卡組織，根據ISO相關的標準以及國標的相關標準制定了銀行卡卡片規範(Q/CUP 005-2014),該規範了屬於中國銀聯成員機構製做銀行卡的標準，制定了銀聯卡的外形、卡片要素、標識、全息防僞標誌、簽名條、磁條、芯片、安全要素等。銀聯的相關標準能夠參考其官方技術資料

（三）銀行卡的信息

查看一張信用卡的正面信息，如圖

卡正面主要有髮卡行、卡組織、卡號、持卡人姓名、卡過時時間等信息。

查看信用卡的背面信息，如圖

卡背面主要有簽名條、磁條，卡後四位、CVV2安全碼等信息，卡背後信息主要用於線上交易，好比卡後四位、CVV2。

因此銀行卡有關的信息主要有以下內容：

卡號(Primary Account No)
銀行卡號(13-19位的數字)，卡號並非隨意生成的，在中國，中國銀聯制定了銀聯卡髮卡行標識代碼及卡號標準（QCUP 002-2006）。其中卡號的前6位爲中國銀聯指定(如果國際卡，則銀聯向ISO申請)，以後的(6-12爲髮卡行自定義)，最後一位爲校驗位。
BIN(Bank Identification Number)
髮卡行識別碼，用來驗證髮卡銀行的，通常是銀行卡號的前6位。
過時時間(Expiration date)
卡過時時間，格式爲YYMM
姓名
爲字符形式，中文的則爲拼音，姓名主要應用在信用卡上。
安全碼(Security Code)
安全碼是用來校驗銀行卡的合法性的，平時所說的CVV(主要是針對信用卡的)，其實有兩種：
第一種叫CVV(Card Verification Value->Visa),不一樣的卡組織命名不一樣，visa卡組織叫CVV，MasterCard卡組織叫 CVC1(Card Validation Code->MasterCard),而在國內，中國銀聯稱之爲CVN ，其存儲在銀行卡的磁條裏，主要用於線下刷卡消費中卡的合法性校驗。
第二種即平時所說的信用卡的CVV，其真實是叫法爲CVV2(Card Verification Value 2->Visa)，也是visa卡組織叫CVV2，MasterCard卡組織叫CVC2(Card Validation Code->MasterCard),在國內，中國銀聯稱之爲CVN2。 CVV2的設計是主要用於線上的交易卡的合法性校驗，通常是3-4位數字，打印在銀行卡的背面。
PIN(Personal Identification Number)
即平時在ATM機取款所使用的6位數字密碼，注意在計算機和網絡系統中任何環節都不容許PIN以明文的方式出現。
磁條(Magnetic Strip)：
銀行卡後的磁條，其包含了3個磁道(Tracks)，每一個磁道存儲了不一樣的信息。
IC芯片
內部封裝一個或多個集成電路用於執行處理和存儲功能的卡片。
QuickPass
銀聯卡帶有該標誌的表示該卡支持NFC 功能，便可以經過NFC設備讀取卡內存儲的信息。一般咱們使用支持NFC功能的手機或設備去讀取帶NFC功能的銀行卡信息時，會讀到銀行卡的卡號、最近消費的10筆記錄、有時銀行卡設計不當還會讀取到身份證等信息。

4、卡受理終端設備信息

（一）銀行卡受理終端是指能夠處理銀行卡的設備終端，主要有以下分類

POS機(Point of Sale)
可以接受銀行卡信息,具備通信功能,並接受指令完成金融交易信息和有關信息交換的設備。(有經過電話網絡接入、有經過安裝SIM卡撥入CDMA網絡、有經過以太網接入的)
ATM機(Automatic Teller Machine)
自動取款機，接入卡組織網絡，實時通訊的設備。國內的不少是Windows XP的主機
mPOS
mPOS爲總體概念,包括終端設備和相關應用。具體指,經過移動通信設備(所搭載的支付應用軟件)進行商戶收銀操做,由外接專用受理終端完成銀聯卡相關信息的採集和加密,經過移動通信設備與後臺處理系統交互完成交易。平常看到的一些我的刷卡器，好比拉卡拉的mini手機刷卡器，其經過NFC等功能讀取卡信息，而後經過音頻接口發送到手機應用再執行相應的處理。

（二）卡受理終端設備的系統結構圖

能夠看到，支付設備能夠經過PSTN網絡、GPRS/CDMA網絡、以太網進行通訊，全部的通訊數據最終流向了POS前置，POS前置部署在內網，用於對全部的收單行發送的支付訂單信息進行處理。

0x02 磁條卡風險

1、磁條卡背景

磁條利用磁性載體記錄字符與數字信息。其主要有兩種高矯頑磁性(high-coercivity ->HiCo)和低矯頑磁性(low-coercivity ->LoCo)。其中高矯頑磁性的磁條須要更高的磁場能量去編碼，於是也較難擦除。高矯頑磁性的卡主要應用在頻繁使用的場景，好比銀行卡、會員卡等。一般銀行卡背後右上角處寫有HiCo字母表明的就是高矯頑磁性的卡。低矯頑磁性的磁條易於擦除，使用壽命較短。

2、磁條卡標準

ISO/IEC 7813規定了金融交易卡的標準，包括物理特徵以及磁條的存儲信息結構。中國基於ISO標準制定的金融類卡的標準爲GB/T 17552—2008,不一樣的髮卡組織也會基於ISO、國標等指定本身的相關標準，因此有的卡存儲數據可能會稍有差別。

銀行卡的磁條包括三個磁道(Track)信息，以下

其中磁道1是用7個比特位來表示一個字符或數字；磁道2和磁道3採用5個比特位來表示一個數字字符。

磁道1最長能夠包含79個字母字符或者數字字符；磁道2最長能夠包含40個數字字符；磁道3最長能夠包含107個數字字符。

磁道1的存儲結構以下
說明：
- SS(開始標記)：爲%
- FC(編碼格式的編號)：格式代碼，通常爲B
- FS(分隔符)：爲^
- PAN(卡號)：最長爲19位數字
- NAME(姓名)：最長26個字母
- ADDITIONAL DATA：該字段裏沒有字符，爲4位卡過時時間(格式爲YYMM)，以及3位的服務代碼(代碼含義參照)
- DISCRETIONARY DATA(自定義數據)：自定義數據裏主要有以下內容，
- PVKI(PIN認證的密鑰索引)：PVKI是用於PIN密碼校驗的，其爲一個索引，髮卡行維護1-16個加密密鑰，此索引用於獲取密鑰。
- PVV(PIN認證值,中國銀聯的叫PVN)：PVV認證值是用於校驗的，即根據PVKI獲取的密鑰、用戶輸入的pin密碼，按照PIN加密算法(參照下面的銀行卡加密算法)算出的值跟該值進行比較，從而肯定PIN是否合法。
- CVV(卡安全碼,中國銀聯叫CVN):CVV安全碼是用於校驗卡的合法性，即該磁道各個信息若是被篡改，經過校驗該值便可發現異常。
- ES(結束標記):爲?
- LRC(縱向冗餘校驗):用於數據錯誤校驗
磁道2的存儲結構以下
說明：
磁道2的信息與磁道1的信息不少都一致，不過磁道2信息都爲數字，其中與磁道1不一樣的信息有以下內容：
- SS(開始標記)：爲;
- FS(分隔符)：爲=
磁道3的存儲結構以下
說明：磁道3也是隻能有數字字符，裏面記錄了過時時間、國家代碼等數據，如今使用的還較少。

3、銀行卡(磁條)的複製

1.讀寫卡設備

如上述描述，磁條的信息存儲都是明文存儲的，於是須要能夠讀取的設備便可。

在eBay或Amazon上搜索MSR等關鍵字能夠搜索到不少這種讀卡設備，如圖

其具體技術參數以下

該設備支持HiCo 和LoCo的磁卡(300 oe -4200 oe)，同時支持讀取三個磁道的信息，而且有讀、寫、擦除磁條的功能。

2.實際測試

咱們使用以下的MSR 605設備來讀取卡數據，其中白色的卡爲空白卡，支持屢次擦寫數據。

讀取一張普通的借記卡(磁條)，查看磁條信息以下

該普通磁條卡只在磁道2存儲了卡數據，存儲了卡號、CVV、過時時間等值。

對於純磁條卡，咱們將讀到的數據所有寫到一張空白的卡里，即複製出與原卡如出一轍的卡，且可在ATM機、POS機等處正常使用。

固然，如今的不少芯片卡也都帶有磁條，咱們讀取一直信用卡(芯片卡)的磁條信息，查看具體的磁條信息以下。

字段說明：

磁道1 的數據

存儲了卡號
姓名拼音、2008爲信用卡過時時間，即20年08月
服務代碼：爲201，每一位表明的值不一樣，2表示是技術上是IC卡，0表示受權處理正常，1表示使用服務無限制，具體參考GB/T 17552
密鑰索引：爲1
pin校驗碼：爲3128
cvv碼爲：749
其餘信息：爲銀行自定義的其餘數據

磁道2 的數據均可由磁道1的數據推出。

注意，芯片卡的磁條裏存儲了卡信息，其芯片裏也存儲着用於交易的磁道信息。若讀取芯片卡上磁條的數據，而後將數據寫入一張空白的卡里，去取款機裏使用，會提示使用芯片功能，如圖。

如今的POS機、ATM機在發現卡是芯片卡的時候交易都會使用芯片，而不會去使用磁條，當拿着芯片卡，在POS機刷磁條結帳時會提示請優先使用芯片。

如上面的芯片卡的service code爲201，第一位2就表示了是芯片卡。若是咱們修改service code爲101，即普通磁條卡的，刷卡會提示卡不合法。由於CVV校驗出錯，即這不是一張合法的卡，若要能修改數據必須知道銀行的密鑰才能夠。

4、銀行卡的加密算法

簡單介紹下三個主要的加密算法，具體能夠參考中國銀聯的相關標準。

1.銀行卡的CVN校驗算法(參考中國銀聯的CVN加密算法)

算法描述：該算法主要用於校驗卡信息的合法性的。在如上覆制卡的過程當中咱們修改service code從新寫卡後，會被識別爲非法卡，即經過該算法進行校驗。因爲密鑰並不是咱們可控，於是不能隨意篡改數據。該算法經過卡號、卡失效期、服務代碼計算出一個CVN(銀聯叫CVN，Visa叫CVV)值，與卡里的CVN值進行比較判斷卡合法性。

具體算法：

計算數據源：主帳號（PAN）、卡失效期和服務代碼，從左至右順序編排。
CVN算法：計算CVN時使用二個64位的驗證密鑰,KeyA和KeyB。

計算步驟以下:

將數據源擴展成128位二進制數據（不足128位右補二進制0);
將128位二進制數據分紅兩個64位的數據塊。最左邊的64位爲Block1，最右邊的64位爲Block2;
使用KeyA對Block1進行加密;
將Block1的加密結果與Block2進行異或。使用KeyA對異或結果進行加密;
使用KeyB對加密結果進行解密;
使用KeyA對解密結果進行加密;
從左至右將加密結果中的數字（0－9）抽出，組成一組數字;
從左至右將加密結果中的字符（A－F）抽出，減10後將餘數組成一組數字，排列在步驟(7)的數字以後;
步驟(8)的左邊第一組三位數即爲CVN值。

2.CVN2加密算法(參考銀聯標準QCUP 015-2005)

算法描述：CVN2(銀聯叫CVN2，Visa叫CVV2)的設計就是用於線上交易的，因此咱們平時在一些購物網站輸入銀行卡號、姓名、卡過時時間，CVN2碼便可購物，那該算法則經過用戶提交的卡號、過時時間、銀行的加密密鑰計算出CVN2的值與用戶提交的值進行對比，從而校驗卡是否合法。

計算數據源
計算CVN2的數據源包括:
- 主帳號(PAN)
- 卡失效期(格式爲 YYMM,無卡失效期的借記卡可採用 0000)
- 常數 000(等同於計算 CVN 時的數據元素-服務代碼)
示例 : 19 位 PAN、4 位卡失效期和 3 位長常數「000」組成 26 個字符 CVN2 數據源。
CVN2 算法：計算CVN2時使用二個64位的驗證密鑰,KeyA和KeyB。

計算步驟以下:

將數據源擴展成128位二進制數據(不足128位右補二進制0);
將128位二進制數據分紅兩個64位的數據塊。最左邊的64位爲Block1,最右邊的64位爲Block2;
使用KeyA對Block1進行加密;
將Block1的加密結果與Block2進行異或。使用KeyA對異或結果進行加密;
使用KeyB對加密結果進行解密;
使用KeyA對解密結果進行加密;
從左至右將加密結果中的數字(0-9)抽出,組成一組數字;
從左至右將加密結果中的字符(A-F)抽出,減10後將餘數組成一組數字,排列在步驟(7)的數字以後;
步驟(8)的左邊第一組三位數即爲CVN2值。

3.PIN校驗碼算法(參考銀聯標準QCUP 032-2008)

算法描述：該算法主要是校驗用戶輸入的密碼是否正確。該算法經過PVK(經過PVKI密鑰索引定位到銀行的密鑰)、用戶卡號、用戶PIN進行計算，將計算的值與卡里PVN(即PIN校驗碼，銀聯的叫PVN，Visa的叫PVV)進行比較，從而校驗PIN的正確性。

具體算法：

計算數據源
計算PVN的數據源包括:
- 主帳號(PAN)右端除校驗位之外的11位數字
- KeyA,PVK的左側64位
- KeyB,PVK的右側64位
- PVK索引號,取值爲1-F(0爲保留)
- 持卡人PIN最左的4位數字 KeyA和KeyB組成了PVK,PVK是一組銀聯與代受權機構之間約定的128位的密鑰,最多可15個,該組密鑰專爲代受權交易計算和驗證PVN使用,該組密鑰的索引號爲1-F(0爲保留),可分別用不一樣的密鑰對不一樣的卡號或卡號段進行PVN計算。在機構向銀聯提交/導入代受權信息文件時,應包含索引信息,以便銀聯用PVK索引號指定的128位長的密鑰進行PVN驗證。
PVN算法：計算PVN時使用KeyA和KeyB。

計算步驟以下:

取PVK索引號約定的某個128位長的密鑰PVK,PVK的左側64位爲KeyA,右側64位爲KeyB。
取主帳號右端除校驗位之外的11位數字、密鑰PVK的索引號、PIN明文左端4位數字,依次構成一個16位數字串,每位數字用壓縮BCD碼錶示,造成1個64位長的二進制計算塊Block。
用KeyA對Block作DES加密運算,獲得結果Block1。
用KeyB對Block1作DES解密運算,獲得結果Block2。
用KeyA對Block2作DES加密運算,獲得結果Block3。
對Block3從左到右抽取出全部的數字(0~9)。
對Block3從左到右抽取出全部的十六進制字符(A~F),並對每個十六進制字符減十進制10,使之變爲數字。
將步驟6和7得出的數字依次從左至右排列,步驟7得出的數字放在步驟6得出的數字以後。
取步驟8結果的前4位數字,即爲PVN值。

5、磁條卡的攻擊場景

（一）盜取卡磁條信息

盜取卡磁條信息，這種主要是線下的風險。

在ATM機安裝記錄儀一般是在ATM機器上安裝卡槽，同時在ATM機上安裝針孔攝像頭，在插卡過程當中記錄磁條信息，同時針孔攝像頭拍攝用戶輸入的PIN密碼。這種案例仍是比較多的，好比新聞1裏介紹的。其中磁卡記錄器能夠作的很小且帶電源、無線藍牙模塊，帶電源的針孔攝像頭也很常見。以下圖
改裝POS機
好比在新聞2中出現的改造的POS機(在POS增長本身的記錄儀)、或在持卡人不注意時候用設備記錄儀盜取。新聞3中利用用戶貪圖小便宜的心理，用本身的設備記錄儀來盜取用戶的磁條信息。
磁條卡的信息都是明文存儲，於是被複制的風險也一直有，於是出現了芯片卡，但芯片卡也不是徹底安全的，其也可能面臨一些卡複製、中繼攻擊、降級攻擊等安全問題。

（二）盜取線上交易憑證

盜取線上交易憑證一般涉及到信用卡的CVV2碼、網銀登錄密碼、支付密碼等。固然盜取這些線上的交易憑證在線下也能夠盜取，好比刷信用卡時候看到了你的CVV2，並記錄了你的磁條信息(如前面對於芯片卡磁條的分析，磁條是記錄了卡號、姓名和過時時間的)，其實有些在線網站可能不會去校驗CVV2，使用磁條裏的信息足以用於支付。

再者主要是經過釣魚郵件、僞基站發送短信、僞造網銀登錄的界面記錄你的信息。固然其餘的像利用漏洞攻擊我的電腦、攻擊商戶、銀行機構的案例也是有的。

而對於咱們普通用戶而言，如何保護本身。即不貪小便宜，去消費刷卡時儘可能保證卡在視線內，取款時仔細查看ATM機，儘可能使用芯片卡，信用卡背面信息遮擋等。