求科普：如何盗刷银行卡？

求科普：如何盗刷银行卡？

鬼五 (万般努力，只为心中那个梦) | 2015-01-20 19:08

http://zone.wooyun.org/content/18156，看到了这篇帖子，感觉也是挺震惊的。

个人对信用卡，银行卡，套现，之类的东西以及业务流程都不是很了解，在印象中银行包括银行的业务流程都是很严密的，记得之前银行卡要换绑定手机号，就算别人带着银行卡绑定的身份证去都不让换绑定手机号，必须本人带着银行卡绑定的本人身份证才可以改绑手机号。

还有就是关于取钱了：登陆网上银行的话就算有银行卡号和密码也是登陆不上去的，必须有一个东西（额我也不知道那叫啥玩意，反正办卡的时候发的那个）才可以，就算得到了银行卡号和密码又怎么盗刷呢？

再有就是刚才网上查了一些资料：取得银行卡的信息和密码后，就用电脑和写卡器及一张空白的磁条卡，只需简单的操作就能制作出一张跟客户的银行卡一模一样的“双胞胎银行卡”。有了银行卡后就要不断的用ATM机查询卡里的金额，一旦查到有大量的金额，就去一些专门提供套现服务的不法商贩那里，将“双胞胎银行卡”盗刷套现（不懂套现啥意思，对理财方面一窍不通= =）。

整个过程很简单，并且“复制器”操作起来也不复杂，甚至卖家还推出了“盗刷套餐”，套餐里包括：读写卡器、电源、教学光盘、电源线、测试卡、清洁卡，只需1100元整个套餐就可买下。并且随机附送的光盘里会把如何进行盗刷详细的教学给购买者

采集器套插卡口偷卡号，安装微型摄像机偷密码：

盗刷过程：

1　安装设备

将采集器装在ATM机的插卡口处，同时在取款机附近安装一个微型摄像机。

2　接收信息

如有人用银行卡在取款机上交易，采集器会记录信息并传到电脑。

3　解码信息

将接收到的银行卡信息通过特殊软件解读出来。

4　复制新卡

将原银行卡的信息通过银行卡复制器“写”入空白卡，制造出一张全新的银行卡。

5　提取现金

在储户再次使用银行卡之前，尽快用复制卡在ATM机上提取现金。

综合以上信息真的只需要银行卡号和密码就可以在短短几分钟之类制造出一张和原卡一模一样的“双胞胎银行卡”吗？感觉还是不太现实（毕竟对硬件方面的东西了解还是很少的），所以还请wooyun的各位牛牛科普一下

[原文地址]

各种吐槽：

1#

蜉蝣 (你手里攥着千头万绪，攥着一千个线头，但是一个针眼一) | 2015-01-20 19:14

双胞胎卡也是要克隆出来的，银行卡又不是食堂饭卡，想怎么写入就怎么写入

2#

小奥 (http://oscarzhoud.com) | 2015-01-20 19:15

用银行卡号码就能复制到磁条上吧，银行卡的磁条很容易写的，内容就是银行卡号。你做出来了之后去任何有银联的网点都可以取现的。技术上应该真的不难

3#

momo | 2015-01-20 19:17

呵呵

4#

从容 (有生之年报答帮过我的人，并有能力去帮助需要帮助的人) | 2015-01-20 19:31

上小学的时候看过一个新闻，非法者半夜将采集器安装在ATM机外面的门上，只有刷卡了才可以进去....

5#

鬼五 (万般努力，只为心中那个梦) | 2015-01-20 19:40

@momo 呵呵呵呵

6#

大白菜 (YY ID 71686265) | 2015-01-20 20:16

@蜉蝣 这就是轨道料，一个设备很便宜.弄完克隆就行

7#

泳少 (此号被射！by U神) | 2015-01-20 20:58

@从容 你小学…………

8#

无敌L.t.H (‮……肉肉、狗疯、ressx点请战挑桶冰) | 2015-01-20 21:50

内部有人的话根本不用卡，光通过〇联无卡支付和超级网银就能干了……

9#

Arthur | 2015-01-21 05:28

可不可以这么理解？新闻中出现POS机器13台，银行帐号，个人信息等。我分析，这些人不只是获得了银行卡帐号那么简单，肯定连磁条信息都获得了。那么就可以大量伪造银行卡。至于个人信息，那么可以通过社工的方法来猜密码。大部分的银行卡密码都是生日组成的。这样他们的成功率就大大增加。每天拿着POS机猜密码，再怎么样都能猜到的吧。

计算一下，有13台POS机器，把卡插上去要2秒左右，输入密码3秒，等待验证一般是6秒左右，查看结果1秒，再加上特殊情况的时间5秒。那么就是17秒。我算少点，一个人平均每天检查6小时，那么每个人每天大概可以查到1271张银行卡。有13台POS机器，那么每天可以检查16518银行卡。160万张银行卡96天左右全部查完。这个还只是输入第一次密码的检查。每张银行卡可以试3次密码，那么还剩两次。我第二次的检查算多点为86天，第三次的检查为76天。所有银行卡全部检查完为258天。因为涉案金额达到14.98亿，银行卡信息为160万条，每张银行卡平均存有936元。我算低点，假设总共他们的成功率为2%，那么就是破解了32000张银行卡，得到了29952000元。一年不到就赚取了将近3千万！值了！

问一下，写卡器哪里有卖？有急事！

10#

孤零落叶寒 (我会打酱油) | 2015-01-21 08:21

广东08年左右时候就在自动取款机门口的刷卡进入安装了自己的读卡器采集信息，复制卡，有的是自动取款机上面安装的mp4录像，有的是在自动取款机键盘上面再覆盖一层键盘，大小跟下面的对应，敲击上面键盘，下面键盘也会响应，上面的只是手机密码信息用的。然后就可以用复制的卡提款了

11#

小表哥 | 2015-01-21 09:12

只需要银行卡账号 密码就可以复制一张卡拿去刷。只需要身份账号+姓名+银行卡号就能花卡里的钱。

12#

Terry | 2015-01-21 09:21

磁条卡复制只要磁道信息就可以了，升级芯片卡就没这么多事了

13#

YangCL | 2015-01-21 09:42

需要4大件 手机号码 行用卡号码 身份证号码 登录密码 如购买手机充值卡 QB 什么的不需要支付密码验证， 所以大量的购买此类商品，然后变现

14#

Vern | 2015-01-21 10:14

@YangCL 没手机验证码不可能

15#

YangCL | 2015-01-21 10:24

@Vern 开发手机木马， 拦截短信。

16#

Arthur | 2015-01-21 10:59

@Vern 没手机号码和身份证号码应该可行的，因为第二磁道只是记录卡号和其它附加信息。只要有银行卡的正面照就有几率被盗刷。

17#

咚咚呛 (邪恶的瞅瞅！！) | 2015-01-21 11:37

改POS机，提取一轨二轨三轨密码，制作磁条白卡，请致电XXX。一个磁条读写器搞完收工。

18#

hacker@sina.cn (谁他妈手贱改我签名) | 2015-01-22 02:23

谁能给我讲讲现在 芯片卡带磁条的，这个磁条现在用来干嘛了？还安全不？

19#

Arthur | 2015-01-22 18:44

@hacker@sina.cn 我也在想，如果这个磁条还包含着和之前银行卡一模一样的信息，那么不是直接没有用了吗。

20#

超级大菜鸟 | 2015-01-23 02:06

我想问问大家，你们平常穿内裤是怎么放jj的，是朝上摆？还是朝下摆？还是像我一样在腰上盘着

21#

核攻击 (统治全球，奴役全人类！毁灭任何胆敢阻拦的有机生物！) | 2015-01-27 13:42

ATM Skimmers - ATM Hacker - 自动提款机黑客：https://lcx.cc/post/2075/

银行卡使用的磁条储存信息，容量很小，所以可以储存的信息非常有限，只有账号和密码，使用一个读写卡器就可以完成复制，淘宝有卖。

另外，说到POS机，有很多无良商贩，非法记录用户银行卡账号密码，然后非法贩卖这些信息，和ATM黑客手法是完全一样的，这个也非常流行，所以奉劝大家不要去不是非常正规的POS机刷卡，不然，那天你的钱就被洗干净了。

相关内容：

Hack无线门铃 - 简单分析和重放攻击，信号重放，无线物理硬件黑客

快捷支付和某些信用卡功能是否存在缺陷？知道银行卡号和有效期就能消费！

走进科学：银行ATM机真的安全吗？

警察说：电话诈骗中，骗子存在哪些漏洞

渗透道哥的黑板报里那个骗子网站，入侵电话诈骗的骗子网站

同事亲历的一次电话诈骗

【警惕】一个神秘电话，工商银行卡内余额不翼而飞！网银诈骗！

论黑产黑阔如何安全地转移赃款/洗钱？

论匿名转帐和转移资产的可能，如何：网络匿迹、匿名洗钱、转移资产系统

跨行、跨省银行卡间转账不用手续费？利用支付宝为什么不收手续费？

大家有见过这种远程盗取银行帐号密码的情况么？

如果躲开支付宝风险监控，何才能做到不违反支付宝风控条件呢？

网络匿迹、逆向追踪：关于那些做H站的人，是怎么落网的？

基于行为特征识别的网络诈骗嫌疑人追踪系统

Root后绕过支付宝、QQ密码，这种手机APP访问密码的绕过问题，说明设计很low？

逆向追踪，反向爆菊：在服务器上发现了挖矿程序，求爆菊姿势

科普：网上流畅一个种说法，只要有身份证就能办信用卡？套取用户信息？

基于Wordpress Pingback的反追踪思路？木马远控通过“代理”上线？

美国破获跨国黑客犯罪集团，10个小时内从ATM自动取款机上取走4500万美元

揭露一个飞机退改签的诈骗：借口机票退改签要退款，索要银行卡号，套取个人信息

支付宝存漏洞 嫌犯伪造执照盗刷网店20余万

DedeCMS 注入漏洞批量入侵爆菊 Exp

一起网络诈骗案的风险揭示，套取用户信息、信用卡、支付宝、快捷支付洗钱

江西男子克隆国外银行卡刷513万 给两任女友395万 跨境盗刷信用卡

支付宝/淘宝帐号无需密码登录任意帐号，随意查看用户资料/交易记录/转账洗钱

个人认为微信支付存在的安全问题，同一银行卡多重绑定，恶意盗刷

保护水表：关于tor和mac地址的疑问，各位进来讨论一下，反追踪/匿迹

探秘时刻：多重身份的逃犯，不翼而飞的七百万，几百买身份证一票弄了700万

信用卡被盗刷，求科普～以及黑产阔自重！

Skimmer中的巨无霸：ATM整机伪造

SD卡被黑客攻破了，黑客团队Andrew "bunnie" Huang等宣布已经攻克SD卡

再论黑卡，黑吃黑，银行黑卡，超级网银签约直接转账

ATM 机里装着什么？ATM 机的结构是什么？ATM 的构造原理？

我是这么设计高性能海量数(ku)据(zi)查询系统的（一）

看到有同学在问支付宝快捷支付漏洞--转一篇科普文章

好心人捡万元留"缺位"号码 猜86个电话找到拾主

探秘短信马产业链-从逆向到爆菊

您的工商银行电子密码器将于次日失效？伪基站垃圾短信，网银钓鱼诈骗！

【巨狗血！】奇葩的比特币钓鱼案例！！！！！！

偷取一个人的钱包，还能让他告诉我信用卡的提款密码 ?

技术讨论：关于盗取支付宝讨论

【防骗】又见网银诈骗，骗子冒充朋友，借口卡丢了先借你卡转账用用，揭秘！

京东 淘宝 天猫订单信息泄露诈骗, 接到“京东”的客服电话之后遭遇团伙诈骗

金融改革记录片(97% Owned)－97%被私人银行占据的无中生有债务货币

金钱就是债务，Money As Debt，钱的本质和制造方法

动画科普：银行与货币系统真相，动画揭露货币系统真相

如何发现系统中的异常，交易系统异常行为监控机制讨论

了解你的对手：追踪快速响应的APT攻击

【讨论】今天偶遇淘宝另类“骗钱”技巧

淘宝一星期【骗】20万的可行性过程分析

服务器流量异常追踪--抵抗AWVS扫描

【略狗血】一种结合本地程序的更加猥琐的钓鱼方式（中招率+100%）

逆向追踪之：通过QQ群里的图片逆向入侵，拿了几个phpddos的脚本

一个反制钓鱼邮件的思路

讨论下快捷支付存在的风险

娱乐贴：打击网络诈骗 - 骗子骗钱反被骗 - 发个骗子的手法，其实还是时时彩

俺在国外当会棍 -- 开锁篇，旺财看“黑客锁匠大会”

逆向追踪：查找360wifi（知道ssid）的使用者

QQ鱼饵病毒：巧妙突破QQ客户端对钓鱼网站拦截

求黑产大牛目测，一位妹纸的亲身经历，身份证号+手机号洗你银行卡

银行卡里钱莫名其妙被转走了，有身份证号码、姓名、银行卡号就能提款？

电影/电视剧/纪实片 信用卡信息泄漏猜想

现在傻逼太多，骗人太好骗，淘宝搜剑灵激活码，好多10几块钱的骗子

如何看两个ip是不是在一个机房，路由追踪

逆向追踪之：网站被挂淘客跳转以后发生的事情

【逆向爆菊】某DDOS事件逆向追踪。。。有人深挖过吗？

别对我撒谎

让支付简单一点

如何保护自己之防非IP方式追查，黑钱提线，赃物收货。。。。

逆向爆菊、反向追踪之：追查史上最奇葩的“挂马”黑客！

物理设备安全大牛 Barnaby Jack 挂了...

发两个qq钓鱼站点 求测试 - 乌云白帽子 XSS 实例

刚刚看到个鱼站，然后就被轮流爆菊了……

针对莱特币的新木马被发现

价值50000美元的银行恶意软件源码 – Carberp

使用电视棒接收飞机信号 简单的实现方法

rtl-sdr,RTL2832电视棒跟踪飞机轨迹教程(ADS-B), SDR GPS 飞机追踪

雇黑客攻陷招生网站改成绩 3骗子做发财梦进看守所

淘宝钓鱼诈骗，如今淘宝各个分支产业对网民不利的分支缺陷

公布一个非常高端的淘宝店铺骗局方法

美8名犯罪分子在3个月内从ATM取款机盗取4500万美元现金

上来吐个槽，再次侦破一宗牵扯到全国多个大型医疗集团的恶性案件！

再次遭遇 GoTop 挂机刷钱“病毒”，逆向爆菊，追踪背后“牧马人”

【传奇】看职业骗子如何揭发谷歌广告服务的不法活动，谷歌5亿美元和解费

钓鱼之XSIO漏洞，一个非常猥琐的“漏洞”

黑客离我们有多近？解密中国黑客产业：自己手里有枪比穿防弹衣更安全

百度搜索页面劫持脚本，百度搜索来路页面跳转劫持，骗点击

上海伊莱美医院被黑、黑帽SEO做淘宝客，核总深入追查，揪出内鬼！

支付宝木马爆菊过程总结帖【附源码】

接上一章节,支付宝木马,后续情节【2】

接上一章节,支付宝木马,后续情节

360对你真的起作用了吗？bypass....分析支付宝网银木马，反爆菊花

视频: ATM 的那点事! ATM 漏洞, Hack for fun! 利用磁卡导致ATM关机

嘿嘿，发现个ATM 漏洞, 利用磁卡导致ATM关机

揭秘诈骗千万人民币的团伙及具体位置分析

淘宝又见好东西，低价格钓鱼几个倒霉蛋骗到手大额的款项，跑路、关店

核总霸气分析“天津丽人女子医院”主站被黑、挂淘宝客、黑帽SEO全过程！

最彪悍的“黑客”攻破千家银行从未失手

接着核总的《打击钓鱼，人人有责》之后的故事...

打击钓鱼，人人有责……

Godaddy域名注册、续费找不到、没有支付宝，无法使用支付宝付款

【跟风贴】XSS挖出一个黑产团体

XSS挖出一个黑产团体

追查黑客姓名,邮箱,支付宝信息，惊现大规模僵尸网络，要求警方介入处理！

服务器被入侵之后，反爆1433抓鸡黑客菊花，并公布大量黑阔账号密码

耍了一个发给我网购木马的骗子~~

关于X卧底的通话监听、短信记录、定位追踪等侵犯隐私的行为讨论

支付宝的设计问题

401钓鱼新玩法，反向401钓鱼

骗子卖家利用淘宝交易漏洞骗流量

追踪PlugX Rat作者，人肉定向攻击远控PlugX开发者

电话诈骗手段升级 听按键音破译银行密码

星际政治揭秘工程——自由能源的承诺，颠覆你的世界观！

银行等保之网银体验机安全测试

网上做兼职赚点零花钱 五千多元瞬间被吸光

微博“兼职”被骗3000 上网“报警”又被骗1300

东京大学加密招生海报解密过程（内含妹子）

“钓鱼”网站横行：运营商与搜索引擎成帮凶

银行短信服务竟让骗子钻空

单反刷成安卓/ios,手机 psp kindle,连文曲星 计算器 空调遥控器也不放过

全国最大网银盗窃案告破：近百人两个月被盗千万

网曝银行卡密码“漏洞”

浦发ATM机两地曝系统故障 用户调侃自助盗号机

法国失业男子入侵法国银行

视频:神奇的读心大师 网上有你的整个人生 利用社工+人肉来做神棍……

语音命令崩溃银行电话线

简单分析一个通过 js 劫持进行黑帽 SEO 做淘宝客的案例

男子淘宝购物10秒后接“卖家”电话 被骗7000元

找出 GFW 在 Internet 的位置、追踪 GFW 在互联网中的位置

中东惊现新型网络间谍病毒 能监视银行金交易

非法获取百度推广账号 实施网络诈骗 篡改百度推广 市民被骗财

支付宝错发中奖短信 送236台iPad2

【需翻墙】网监如何爆菊？网警是如何通过层层VPN加密代理找到你的！

银行卡被高价收购背后：网店刷信用成用途之一

6000万网民一年被骗300多亿元

黑客6人组有人分析有人谈判 监控ATM机视频锁定嫌疑人

全球60家银行接连遭遇网络攻击 专挑巨额账户下手 至少损失8000万美元

拉斯维加斯国际黑客大会(DefCon 2012黑客会议)本周开战

著名编剧宁财神被遭遇钓鱼淘宝 被骗近万元

虚假客服电话充斥互联网行骗 专家：竞价排名是祸首

黑客终极之作，79家银行信息网上裸奔

网购158元的货物之后被网站“钓”走2万

视频:1秒钟可复制银行卡？这不是骗局[财经夜行线]

Msnshell的那个有问题的官方下载链接追踪

刷下“拉卡拉”卡里2万多块钱丢了，复制银行卡，POS机、刷卡黑客

病毒集团盯上网络购物 在淘宝上被诈骗5.46万元

浙江绍兴一犯罪团伙用网银漏洞诈骗三百余万获刑

中国16岁黑客狂窃日本6千余张信用卡信息获刑

碰到一个冒充QQ好友进行诈骗的骗子……

QQ邮箱漏洞被骗子利用 小企鹅一闪1000块被骗走

电信诈骗，电话营销，一响挂电话，推销平安、人寿保险，冒充朋友

小米官网“闹鬼” 消费者买手机三千元被骗

黑客攻击漏洞 让 ATM 机自动吐钱

瑞星：ATM出现漏洞 银行：哪有这回事？

瑞星提醒：农行、建行ATM出现漏洞 可被黑客利用攻击内网

Google Wallet 存在安全漏洞 支付帐号易被盗用

黑客入侵南非银行系统 盗走670万美金 黑客入侵、盗取

ATM Skimmers - ATM Hacker - 自动提款机黑客

支付宝金账户免费领取包邮的10条毛巾 - 亲测成功

工程师网盗支付宝11万 开设79个账户转移盗款

【分析】腾讯独立域名QQ空间被钓鱼，腾讯官网被黑，被植入钓鱼页面！

男子信用卡绑定电话遭修改被盗刷7万元

黑客的新目标:泄密其他黑客资料

花旗承认5月遭黑客袭击 致使3400客户信息被窃

台两15岁少年开淫窟 骗12名少女为“爱”卖身 月进300万元

【公告】警惕名为:Nuclear'Atk. QQ:424244818 冒充本人的骗子黑客

索尼承认1000万信用卡资料遭盗窃 索尼PSN数据被黑激怒全球客户

【视频】宝坻 - 历史上最胆大的银行劫匪

某人肉搜索的典型案例分析 一群推理神牛

无银行卡,密码10万元1分钟转走,超级黑客?

【文章】6.4 数字现金 - 匿名信用卡 双重花费

【公告】公布一个特大诈骗案件的网络“黑客”

深入剖析黑客窃取网上银行的基本方法

留言评论（旧系统）：