问芯片和引脚装置内的闪光器

EN

从常规意义上说，“浏览”芯片n‘sent卡是不可能的，因为该卡确实有一个加密密钥(EMV)，用于计算来自终端发送的挑战的响应，而终端将由银行进行验证。钥匙只有银行和信用卡才能知道。

"shimmers“这个名字来源于" shim”和"skimmers“两个词的portmanteu，shim指的是一些薄的东西，比如用来打开弹簧锁的挂锁shims。“掠过卡”是如此之薄，所以它们适合实际支付卡和读者之间。这种“智能卡”警棍也被用来非法篡改运营商锁定的手机，以便与任何运营商一起使用。(基本上，SIM将驻留在操作员SIM和电话之间，并“躺在”电话中，即插入正确操作员的SIM)

然而，有两种情况下，芯片卡可能被滥用，尽管有安全特点：

1:可以浏览卡片的详细信息，但CVV除外，因为这些信息是以明文形式存储在卡片上的(主要要求是以明文存储这些详细信息，因为银行必须知道使用哪个加密密钥来验证交易结果)。此卡号和有效期可在任何不需要CVV的网上商店使用。

但是，这样的事务很容易引起争议，按照标准，初始事务必须有CVV，除非它是反复出现的事务(CVV不能存储在任何地方)。银行可以很容易地验证您是否与该商人进行了任何初始的启用CVV的交易。(即使最初的授权交易后来被取消，因为商家现在不想收费，它仍然可以算作初始交易)

另外，如果不使用VbV/3Ds，商家也经常受到打击。

2:如果商家没有有效的在线连接，则无法使用芯片的超高安全性。相反，将使用“脱机事务”，读卡器断言它已对智能卡正确地验证了PIN (或执行签名事务)，并向银行提供静态签名/授权代码。由于读卡器无法核实是否使用了真正的卡，所以它要么拒绝所有的卡(因此没有任何物品给有假卡的人)，要么银行必须接受所有的卡片，包括伪造的卡(这样，真正的持卡人就不能用自己的卡的假副本来获取货物，然后声称他什么都不知道)。

这意味着，它可以克隆一个芯片卡，并使用它在离线终端，连同正确的PIN，或通过签名。

对此的主要防御措施是要求对卡片进行在线验证。通常，终端只允许一定数量的脱机事务，然后才能强制进入联机模式(例如，拒绝处理脱机事务)。这个数字然后由买方设定，取决于与商人的协议。在某些情况下，终端可以请求电话授权，其中该卡将通过商家的电话“在线”验证。发行人还可以通过在卡的静态数据部分设置某些标志和位来要求在线验证，然后缺少连接的终端将拒绝处理事务。(这可以根据交易金额设置，如果使用PIN、签名或不使用持卡人验证，则不同)

请注意，如果终端设置不正确(如不遵循EMV标准)，“仅在线”卡仍可用于脱机处理。符合EMV标准的银行应拒绝处理这类交易，因为在处理时，商人被告知银行将不接受离线交易。

被链接的文章，指的是第二种方法。在“不验证动态CVV值”的情况下，它基本上意味着银行允许脱机处理事务，或者允许基于标志的脱机事务，或者处理脱机事务，即使是严格的卡片标志也表明它只能在线使用。

请注意，对于脱机事务，CVV从未被验证过，甚至对于mag事务也不验证。原因与我上文所述的原因相同-如果持卡人修改卡上的CVV值或出示其卡的伪造副本，持卡人就可以购买货物，然后声称交易是用假证进行的，然后不必支付货款。

这就是为什么如果卡的标志指示允许脱机事务，则具有无效CVV或密码响应的事务(即脱机处理)必须失败，而不管响应的有效性如何。(但是，无效的CVV或密码响应可以用于自动阻止*用于未来交易的卡)

*这里也是如此:银行必须在离线许可卡上处理一笔离线交易，即使卡被禁止(例如，你打电话到银行热线，告诉他们你丢了你的卡)，直到某一特定的时间过去。在卡被明确禁止之前，必须经过一定的时间限制，这一次是商家更新黑名单的间隔。这就是为什么交易可能会出现在你的帐户上，尽管你已经打电话告诉他们你丢失了信用卡。丢失卡的列表必须分发给每个脱机终端，而这些卡可能只需要每6/12/24小时为其丢失的卡列表充电。