Na het PIN-Pas skimmen topic te lezen leek het me wel leuk om mijn onderzoekje naar informatie op chipkaarten te posten voor mensen die geintereseerd zijn en hieruit een discussie te laten ontstaan.
De volgende informatie kon ik allemaal uit een chipkaart trekken:
In het geheugen van een chipkaart worden de laatste vijf momenten dat de kaart is gebruikt bijgehouden. Dit zijn zowel credits als debits;
Wanneer een transactie plaats vind zijn de volgende gegevens van belang:
De SAM ID is de kaartlezer, dit kan een oplaadpunt zijn of een cola automaat in de Hogeschool. Deze code is altijd uniek en hierdoor is een apparaat definieerbaar.
De SAM STAN is het hexadecimale transactie nummer voor SAM ID. Dit nummer is incrementeel. Uit deze gegevens is af te lezen hoe vaak het apparaat is gebruikt tussen twee tijdsperioden in. De SAM STAN van deze transactie 0 is 0100028F, wanneer dit hexadecimale getal wordt omgezet in integer komt hier transactienummer 16777871 uit. Er zijn met deze SAM ID dus 16777871 transacties gedaan.
De PURSE STAN is het unieke transactienummer van de pas. Dit is wederom een heximaal getal. Bij de voorgaande transactie is de PURSE STAN teruggerekend naar integer 175. Er kan dus worden uitgegaan dat dit de 175ste keer is dat deze pas gebruikt is om een transactie te doen.
Er wordt bijgehouden per pas wat de laatste twee geldopnamen zijn.
Je kan verder nog veel meer gegevens uit de chipkaarten halen. Zo kun je eruit halen hoe vaak een automaat gebruikt is tussen 2 transacties in en wat er ongeveer is uitgekeerd in die tijd. Het is toch bizar hoeveel forensische gegevens een dergelijk pasje eigenlijk meedraagt.
Verder is het vrij makkelijk om doormiddel van een sleeve om je pas heen de transactie code uit te lezen en daarmee te spoofen om vervolgens een belachelijke hoeveelheid krediet op je kaart te zetten. Echter is de sociale controle hierop zo hoog (de bank wordt meteen op de hoogte gebracht omdat het niet klopt) dat dit niet echt loont. Maar opzich zou het met een gejatte pas wel moeten lukken. Waarom wordt er zoveel met pinpassen gespoofd als dit ook lukt?
edit: overigens is het niet strafbaar om je eigen chipkaart uit te lezen. Dit kan heel simpel met een lezer en tulp-2g
De volgende informatie kon ik allemaal uit een chipkaart trekken:
| Chipcard identification number: | 0117B2E03580*** |
| Bank Account: | 00 01 83 xx xx |
| Purse Provider Host Identification | 528001 (interpay) |
| Purse Currency | 0978 (EUR) |
| Purse State | (01) Active, unlocked |
In het geheugen van een chipkaart worden de laatste vijf momenten dat de kaart is gebruikt bijgehouden. Dit zijn zowel credits als debits;
| NR | Type | Err | Balance | Amount | Currency | SAM ID | SAM STAN | PURSE STAN | SAM TOTAL | Date-time |
| 0 | Single | 80 | 21.51 | 0.39 | EUR | 21005006 | 0100028F | 00AF | 80653950 | 06-10 14:03:45 |
| 1 | Credit | 00 | 21.90 | 20.00 | EUR | 01111058 | 00093897 | 00AE | 0 | 06-10 13:07:30 |
| 2 | Single | 80 | 1.90 | 3.30 | EUR | 00693029 | 01006657 | 00AD | 77683547 | 06-10 13:07:30 |
| 4 | Single | 80 | 6.05 | 0.41 | EUR | 21005006 | 01000240 | 00AB | 806560657 | 29-09 12:56:15 |
Wanneer een transactie plaats vind zijn de volgende gegevens van belang:
De SAM ID is de kaartlezer, dit kan een oplaadpunt zijn of een cola automaat in de Hogeschool. Deze code is altijd uniek en hierdoor is een apparaat definieerbaar.
De SAM STAN is het hexadecimale transactie nummer voor SAM ID. Dit nummer is incrementeel. Uit deze gegevens is af te lezen hoe vaak het apparaat is gebruikt tussen twee tijdsperioden in. De SAM STAN van deze transactie 0 is 0100028F, wanneer dit hexadecimale getal wordt omgezet in integer komt hier transactienummer 16777871 uit. Er zijn met deze SAM ID dus 16777871 transacties gedaan.
De PURSE STAN is het unieke transactienummer van de pas. Dit is wederom een heximaal getal. Bij de voorgaande transactie is de PURSE STAN teruggerekend naar integer 175. Er kan dus worden uitgegaan dat dit de 175ste keer is dat deze pas gebruikt is om een transactie te doen.
Er wordt bijgehouden per pas wat de laatste twee geldopnamen zijn.
Je kan verder nog veel meer gegevens uit de chipkaarten halen. Zo kun je eruit halen hoe vaak een automaat gebruikt is tussen 2 transacties in en wat er ongeveer is uitgekeerd in die tijd. Het is toch bizar hoeveel forensische gegevens een dergelijk pasje eigenlijk meedraagt.
Verder is het vrij makkelijk om doormiddel van een sleeve om je pas heen de transactie code uit te lezen en daarmee te spoofen om vervolgens een belachelijke hoeveelheid krediet op je kaart te zetten. Echter is de sociale controle hierop zo hoog (de bank wordt meteen op de hoogte gebracht omdat het niet klopt) dat dit niet echt loont. Maar opzich zou het met een gejatte pas wel moeten lukken. Waarom wordt er zoveel met pinpassen gespoofd als dit ook lukt?
edit: overigens is het niet strafbaar om je eigen chipkaart uit te lezen. Dit kan heel simpel met een lezer en tulp-2g
:strip_icc():strip_exif()/u/2646/shine.jpg?f=community)
:strip_icc():strip_exif()/u/43473/crop5e12eeae6a054_cropped.jpeg?f=community)
/u/35667/SP_Erik.png?f=community)
:strip_icc():strip_exif()/u/53288/icon.jpg?f=community){kind=icon}
). Ik heb er inderdaad nooit over nagedacht of dat niet een beetje veel is. Zou het dan zo zijn dat de apparaten met een bepaalde hoeveelheid beginnen?/u/53007/DustPuppy.png?f=community)
:strip_icc():strip_exif()/u/247341/803235p.jpg?f=community)
:strip_icc():strip_exif()/u/41502/breezah.jpg?f=community)
/u/199665/Naamloos-1.png?f=community)
:strip_icc():strip_exif()/u/141451/Dolphin.jpg?f=community)
. Maar dat zal ook opvallen (er is vermoedelijk een schaduwrekening voor elke chipknip, als daar een negatief saldo verschijnt zullen wel bellen gaan rinkelen. Het chipknipsaldo omlaag manipuleren zal ongetwijfeld minder opvallen.):strip_exif()/u/154623/Avatar.gif?f=community){kind=avatar}
:strip_icc():strip_exif()/u/97521/Avatar.jpg?f=community){kind=avatar}
/u/170550/2cfed33.png?f=community)
:strip_icc():strip_exif()/u/67441/got_icon.jpg?f=community){kind=icon}
