百万二手机泛滥成灾,支付安全恐成大患

时间:2018-09-04 09:39 浏览次数:

一:携机入网成祸根,支付公司与厂商是源头!
众所周知,一款商户能够正常使用的pos机,一般是由银行卡收单方提供,收单方主要有:银行或第三方支付公司,商户与收单方签订特约商户协议,用其提供的pos机受理消费者银行卡的收单业务。而收单方pos机的来源由pos机生产厂家提供,生产厂家的安全标准一般要符合银联认证标准才能上市销售,再由厂家根据收单方的报文格式,通讯方式,加密方式等定制开发出终端程序并被授权安装到pos机最终被商户使用。
二手pos机
自2012年以来,随着国家级的金卡工程的基础建设工作的完成,信用卡普及率节节攀高,国家经济发展加速,让中国pos机市场也迅猛发展起来,同时第三方支付公司的收单业务更是日新月异,2014年因为预授权事件,主流的8家支付公司被停止全国范围的收单业务,让大量的pos机被封机停止使用,pos机生产厂家滞销,同时其他支付公司抓住机会,与厂家达成一致,支付公司开始大规模允许携机入网,不论新机旧机,还是正在使用的机器,只要是该终端厂家与支付公司平台对接过,有程序均可使用。根据央行颁布的《银行卡收单业务外包管理办法》规定:各银行卡收单机构应严格落实银行卡收单业务外包有关规定,不得将客户资质审核、密钥管理、资金结算等核心业务违规外包。
二:pos机切机成潮流,到底谁是受害者!
一开始所属支付公司的pos机主密钥由厂家灌装,后来一些代理商通过厂家提供的母pos,通过数据线连接的方式下发密钥,发展到现在,厂家提供了专门的灌装程序,该程序可以清洗掉原pos机的程序,安装新平台的程序以方便再次利用,最后联机下载工作密钥,即可完成从一个平台切到另外一个平台而不换pos机的服务,当然也有部分pos机为支付公司的定制机型,其主密钥被烧制成硬件芯片加装在pos机内,也就是俗称的“底层密钥”。
由此,市场上大规模的切机行为变得泛滥成灾,有的因为机器被封不能使用,切到新的平台,有的因为分润太低,有的因为上级克扣分润,有的纯粹是为了恶性竞争,专门到市场上欺骗商家升级更低费率,把原来属于其他平台的机器切到自己平台上以谋取暴利,因为厂家提供了灌装程序,为切机提供了方便,只要机器不是第三方支付公司的定制机型,没有底层秘钥,均可所以切换平台。
发展到现在,很多没有底层秘钥的pos机拥有TMS远程更新下载程序的功能,若想要切机,无需返回代理商或厂家,只需要提供SN号,然后由隐秘渠道报到厂家,厂家利用TMS远程更新下载功能即可清除pos的原来程序,更新成需要的支付公司平台或二清公司平台的程序,在神不知鬼不觉之间完成切机。
此种行为与盗窃何异?也有很多不知情的代理商辛苦发展了很久的商户量,但在不知不觉间自己的交易量越来越低,却不知幕后隐藏着一只黑手!根据最新的消息,手机刷卡器的三大主流厂商:新大陆、艾创、BBpos的手刷,在市场上已经开始有人公开收购二手手刷,并号称可以远程切机,原理是许多的二清机构采购了没有底层秘钥的手刷,当然也有说内外勾结,搞到了部分的底层密钥,据pos圈估计,手刷切机已经现实,市场的节操已经被践踏成渣,可谓是:防火、防盗、防切机!
三:pos机洗机解密成产业,持卡人信息被侧录!
随之市场违规情况加剧严重,监管方不断的清场,二清机构的兴起,市场上有相当一部分支付公司平台定制的机型,拥有底层秘钥的机型有着被切机的需求,由于厂家的终端销售逐渐被代理渠道掌握和二清公司需求的利益所打动,很多厂家放出了底层秘钥,导致定制机的底层秘钥被破解,说是破解其实与厂家勾结,完成利益置换,到近年随着切机需求的规模化,很多民间高手已经可以通过更换芯片来完成硬破解,号称无机不破,原本厂家宣传悬赏求破解证明自己产品安全的广告再也没有了,只有从事洗机解密的民间高手悬赏没有他破不了的机的广告,长此以往,这算是不是厂商自己搬石头砸自己的脚?
另外得益于厂家的帮助,只要有程序,高于10岁懂电脑的小朋友都能够完成洗机切机的操作,这么大的漏洞犯罪份子又岂会错失良机,打着维修pos机,洗机解密的把戏或购买二手机等方法,进行拆机在主板上加装银行卡侧录器,然后再找个平台进行代理,再给商户免费装机等形式安装pos机,或网上销售裸机等形式,让使用该pos机的持卡人的银行卡信息、密码信息被实时侧录,最后完成复制卡进行盗刷,此种犯罪在全国范围内已经屡见不鲜,并且越来越疯狂,甚至不乏部分公司的员工为求捷径利用职务之便走上了犯罪的不归之路。让很多持卡人和商户损失重大。刷卡安全已经成为社会性问题。
四:二手pos机买卖火爆,制造造假谋暴利!
很多代理商,由于越来越恶劣的市场竞争,开始寻找降低成本的方法,于是pos机的二手机买卖诞生了,没有买卖就没有杀害,没有万能的金钱,就没有万恶之源,二手的pos机可谓安全度极低,没有底层秘钥,随意灌装任何程序,随意加载任何程序,哪怕是想在里面留个后门程序,在有心人的手里都不成问题。
大部分小代理更无法分辨有没有被安装侧录器,贪图便宜的后果是害人害己,更有部分经营裸机的渠道商,通过回收主流裸机的二手机,回来翻新处理,参杂在新机器中买卖,所以你会发现市场上的裸机价格是如此的多变,没有最低,只有更低。更有支付公司为了应对市场竞争,以非常低廉接近成本甚至低于成本的价格出售给代理商定制机,但被代理商转手破解后,重当新机以低于市场价的价格贩卖到市场上。混乱的市场让浑水摸鱼之辈如鱼得水。让无数台没有安全保障的pos机布满全国,而这一切,大家心有灵犀,默契十足,无人肯说。
五:一机多商户成卖点,各方违规恶性竞争!
在银行对信用卡使用越来越严格的情况下,对于那些把信用卡当做低息融资渠道的持卡人刚性需求的情况下,养卡成为了一项专业的有偿服务业务,多行业多频率消费是保持信用卡信誉的重要标准,但一张信用卡不能在同一台pos机同一个商户重复消费,以免被发卡行认为有TX嫌疑影响信用卡的额度以及信用额度提升。
但多台pos机意味着更高的成本,为了满足这一需求,一机多商户和一机多程序应运而生,pos终端通常在符合银联认证标准的情况下,一台终端只能有一个SN号,一个SN号绑定一个商户,以达到风控管理,数据保密的要求。然而有终端厂家如实达的WP70一台终端配备了10个虚拟SN号,还有如新国都、鑫诺、华智融、新大陆等等其他品牌pos终端可以随意生成SN号的软件被叫卖并被市场流传使用。
大家都知道,因为支付公司的平台允许携机入网,只要代理商向其系统报备SN号,再进行商户报单,pos终端安装好其平台的程序,最后绑定好商户号、终端号即可正常使用,同时部分支付公司允许一证下机,或非法人下机,或者对审核商户的真实性资料故意放松审核,任由代理商提交PS套用的证件资料,让一个人套用多个虚假商户,使用了多个不同行业的MCC码以完成所谓的一机多商户,让使用者更换使用不同商户达到养卡的目的,这就是所谓的一机多商户。
当然在目前严厉的监管下,各家在明面上已经开始杜绝一机多商户的行为了,但总有号称国企的现代X控公司公然支持一机多商户进件并成为其卖点,也有其他二流的支付公司为了商户量半公开支持多商户这种做法,这里不再点名指出。而如实达公司这种以一机10个SN号作为产品卖点的行为,可以确认是违规的,对于部分品牌终端SN号随意生产并买卖,起码证明要么存在技术漏洞要么就是存在内部人员受到利益驱使和外部人员勾结,这些行为都是一种严重的扰乱市场秩序,视安全为无物的恶意竞争行为。
而一机多程序更简单,pos机终端本来就可以视为一台智能终端,可以安装多个被授权的程序,就像手机里的诸多APP应用,在大部分支付平台不允许一人申请多个商户费率的情况下,在那些拥有多个支付平台程序的代理商手上,将多个平台的程序安装到没有底层秘钥的1台pos终端内,再用同一个人的身份向多家支付平台申请不同的商户,使用时只要切换程序,即可实现一机多程序,一机10商户,甚至是100商户!
这样能满足了养卡一族的需求,又能高价卖出赚取利润。按照银联一机一码的规定和业内常识,收单平台对于对私结算的商户基本风控要求是,一个对私结算账户用一张营业执照申请一个商户号是正常的,而一个对私结算账户可以拥有多个营业执照申请多个商户号明显是虚假商户,1台机器能有100商户这种奇葩的现象来自于相关的收单机构的睁一眼闭一只眼的打擦边球行为,而不管是传统pos的一机多商户还是手刷的一机多费率都是很明显的违规行为!
诸多的违规行为,诸多的违规方,面对整个产业链的灰色现象,面对全国接近百万台没有安全性可言的pos机,诸多采用明文传输数据信息的二清机等等诸多技术细节在这里不再一一阐述,有时间另写一文,告诉大家如何在没有底层密钥的pos机留后门,咳,开玩笑的别当真!大概原理说一下:
KEK:
KEK密钥的用途:KEK实际上是一个密钥,用于加解密主密钥。导进去的主密钥是经过KEK加密后的密文,厂商在SDK再用kek解密主密钥密文。
KEK用3DES算法加密主密钥
KEK, 主密钥,工作密钥
一般做法是,收单平台提供主密钥密文及KEK给厂商,终端出厂烧好;商家在终端绑定时,下载工作密钥。所以密钥机制要规划好,看这个KEK和主密钥,是不是出厂机器就烧好。一般大多数APK端,是提供这种主密钥文件给厂商,一个SN号对应一个主密钥,出厂对应烧好。(二手终端底层秘钥被破解,一机多商户等就不是)
主密钥:用于解密签到获取的工作密钥密文。
工作密钥:包括PinKey(用于密码加密)和MacKey(用于报文加密)
签到:获取pinkey、mackey、批次号
签退:先批结算,然后签退,否则批次号不会更新。
批结算:上送本地pos终端交易流水给服务端,若通过校验则可以进行签退,否则需要批上送交易明细
批上送:批结算校验失败,上送本地交易明细到服务端进行比对。
密码加密原理:使用终端主密钥解密签到得到的pinKey,得到pinKey密码明文,然后用密码明文参与PIN Block加密
计算MAC报文也同理
PIN:个人标识码,Personal Identification Number, 也就是密码。
PAN:个人主账号
PIN BLOCK 格式等于 PIN 按位异或PAN:
18位银行卡号密码加密示例
例如: 明文PIN为: 123456,
假设: 磁卡上的PAN:1234 5678 9012 3456 78
截取下的PAN:6789 0123 4567
用于PIN加密的PAN为:0x00 0x00 0x67 0x89 0x01 0x23 0x45 0x67
PIN BLOCK为: 0x06 0x12 0x34 0x56 0xFF 0xFF 0xFF 0xFF
异或: 0x00 0x00 0x67 0x89 0x01 0x23 0x45 0x67
结果为: 0x06 0x12 0x53 0xDF 0xFE 0xDC 0xBA 0x98
16位银行卡号密码加密示例
假设: 磁卡上PAN:1234 5678 9012 3456
截取下的PAN:45678901 2345
则用于PIN加密的主账号为: 0x00 0x00 0x45 0x67 0x89 0x01 0x23 0x45
PIN BLOCK为: 0x06 0x12 0x34 0x56 0xFF 0xFF 0xFF 0xFF
异或: 0x00 0x00 0x45 0x67 0x89 0x01 0x23 0x45
结果为:0x06 0x12 0x71 0x31 0x76 0xFE 0xDC 0xBA
另外还有几点需要说明:
1:目前市场上流通的大部分流量卡给pos机用是不规范的,通讯流量卡有太多种,是否应该规定特定的pos用卡?pos机报备哪里就是哪里,不能移机使用,其通讯卡应为当地的,而不是全国通用的,这个是收单方的放任,管理失职!
2:对pos机的洗机解密是违法的,厂家有责任和权利告其侵犯知识产权,危害安全等罪!
3:pos机厂家的很多机型没有防拆机功能或不达标准,这是违规的,按照银联安全认证的标准,这是不能被通过的,但现实是想怎么拆就这么拆,厂家应承担责任!
4:部分监管机构严重失职,老机型清理淘汰慢,新机型的技术标准落后,市场监管熟视无睹,未认证pos终端遍地都是,认证过的到了生产环境掺水严重,放任安全存在重大缺陷的二手机横行市场,监管严重不作为,我要报告习大大。
本篇文章的目的是向社会反映问题,作为整个银行卡收单产业链重要的一环中的pos终端厂商,作为市场大战的军火商,谁来监管他们?pos小编已经敲下来了这么多字,不凡再多敲几个字:
部分pos机厂家们,你们在干什么?
硬件的监管单位们,你们在干什么?
违规的支付公司们,你们在干什么?
小编写下这份行业白皮书,可以说得罪了绝大部分从业者,但我们了见证了历史,历史需要被记录,恶性的商业竞争给市场带来的将是毁灭性打击,留下的只能是一片疮痍,行业需要健康发展,竞争需要良性主导,持卡人是无辜的,商户是无辜的,创业者投资者是无辜的,虚假就是虚假,圈钱就是圈钱,不耻就是不耻,哪怕乌云遮天,而天待到晴时,终究是蓝的!而我们已经做好准备,与世界为敌,等待天晴!
  • 填写信息即可领取POS机
  • 提交后客服会通过活动电话与您核实信息保持电话畅通,注意接听活动来电。
  • 已有
  • 2
  • 2
  • 3
  • 4
  • 2
  • 人成功领取
一清品牌POS机,资金银联直接结算,免营业执照审核。不跳公益的智能定位POS机,每笔交易都有积分,白金客服一对一专属售后服务。

立即免费领取 已有21968人成功领取


联系我们 Contact Us

pos机哪里办理全国统一业务咨询电话:180-2766-3037 点刷pos机怎么样业务咨询:180-2766-3037
pos机安全吗邮编:518000pos机在哪办理邮箱:1014501865@qq.com
pos机费率多少

关于我们About Us

网站首页 资讯百科问答商机内幕知识头条
免费领取POS机二维码

客户经理微信二维码

POS机办理二维码

微信公众号

友情链接 支付之窗 手机POS机 友链申请站长QQ:160691918

Copyright 2018-2021 Weetop all rights reserved    站点地图  百度地图

为广大用户提供与拉卡拉、乐刷、开店宝、付临门、瑞银信、随行付、银联商务、立刷等一清POS机十大排名内的刷卡机的申请办理服务,各类与手机POS机,mpos,大POS相关的价格,品牌,刷卡费率, 代理政策等相关资讯。提供配套的融资现金解决方案、收单方案,如果你不知道各类移动POS机怎么使用办理,可来电。

招商代理点刷POS机

粤ICP备15017544号