自动柜员机(ATM)卡号获取方法分析
概述:
由于卡号的获取对于ATM专用监控系统有着不同寻常的意义,同时卡号的安全捕捉又具有相当的技术难度,所以卡号获取问题已经成为ATM监控领域一个相对核心的问题。目前国内ATM市场发展迅速,品牌繁多。有传统的NCR,迪堡,西门子,好利获得等等,也有新加入的东信,御银,广电运通等等。虽然各家标准不一,但基于ATM机的工作原理,不外乎有以下几种卡号获取方法:
1、基于ATM机读卡器磁信号的卡号获取方法
ATM机读卡器上一般有三个磁头,分别读取磁卡磁条的一、二、三磁道,其中一、二磁头为只读,三磁头可读写。根据磁条国际标准(ISO/IBM),二磁道存放有卡号信息,通过二磁道取得磁信号,经过放大、解码取得卡号信息。该方法的优点是安全可靠,缺点是安装要求非常专业,同时对不同的ATM机型需要定制不同的解码模块。
2、基于读卡模块输出信号的卡号捕捉方法
ATM机由许多模块组成,比如读卡模块,显示模块,打印模块,出钞模块等等,其中读卡模块的功能之一就是判断是否有效的银行卡,同时将卡号等信息送入主机(ATMC端),等待下一步处理。由于考虑到模块的通用性和标准性,读卡模块的输出信号采用了通用的485或422或232等串口通讯方式,该方法就是通过读卡模块将卡号送入主机(ATMC端)的同时分出一路信号送入ATM监控主机。由于该方法不涉及与ATM主机(ATMC端)的其他数据交易,从安全的角度考虑是可行的,同时由于采用了通用的通讯方式,可靠性和可操作性也较强。
3、基于打印模块的卡号获取方法
ATM打印机一般分为凭条打印机和流水打印机(记账打印机)两种,由于打印机和主机的通讯使用通用的串口方式(如485、422、232),同时由于流水打印机的信息相对丰富(一般有卡号、金额、交易类型等),所以这也是一种卡号获取的途径。该方法的优点是使用通用的通讯方式,缺点是由于记账打印机的数据非常重要,而卡号获取模块的介入可能改变作为原始凭证的资料,同时由于ATMC端软件一般由ATM机的维护保养厂家自行开发,记账打印机的格式多种多样,安全性和易操作性不太好。
4、ATMC端主动发送方式
由于涉及ATMC端主机主动发送卡号,不管是哪种方式(串口或网络等方式)都需要ATM机的厂商或维护保养厂商修改ATMC端软件,开放相关接口。这在银行严格监管的设备上几乎没有可操作性。
5、网络侦听方式(即通常所讲OTP方式或黑客方式)
目前ATM机正常工作过程几乎都需要ATMC端(通常的ATM机)和ATMP端(银行数据中心)通过网络线进行正常通讯。ATMC端需要将客户的行代码,卡号,用户的密码等信息通常经过加密后通过专用网络送往ATMP端,经过ATMP端认证,用户才能进行正常的查询或取款操作。该方法就是在ATMC端将卡号等信息上传ATMP端时截取卡号。该方法的优点是使用通用的TCP/IP协议,缺点是由于该方法不仅能获取客户的卡号,同时也可以获取用户的密码等信息,对于从业人员的犯罪防范较弱,所以安全性很低。
综上所述,考虑到安全、可靠、易操作的原则,从ATM机上取卡号不外乎上列1、2、3种方法,其中较为通用的是第2种方法,即基于读卡模块输出信号的卡号捕捉方法,使用该方法,不会出现安全隐患问题。
南京远拓科技有限公司