MagSpoof es un dispositivo que puede falsificar o emular cualquier banda magnética o tarjeta de crédito y puede funcionar de manera inalámbrica incluso en lectores de tarjetas de crédito de banda magnética estándar al generar un campo electromagnético fuerte que emula una tarjeta de banda magnética tradicional.
MagSpoof, el falsificador de tarjetas de crédito y bandas magnéticas.
Tenga en cuenta que MagSpoof no le permite usar tarjetas de crédito para las que no está legalmente autorizado. La idea detrás de un dispositivo como este es demostrar que cualquier sistema puede tener fallas o tener un escenario de uso diferente. Gran parte de la tecnología utilizada en nuestros productos principales, en su conjunto, cuando se trata de ello, puede ser emulada por casi cualquier persona con suficiente tiempo, recursos y conocimiento.
Como tal, el desarrollo de esta herramienta es una prueba de concepto de que lo que hacen las grandes corporaciones, las personas individuales pueden lograr resultados similares y extender su usabilidad.
La información de chip-and-pin y Amex no está implementada, y usar MagSpoof requiere que tengas y poseas las bandas magnéticas que deseas emular.
Tener un número de tarjeta de crédito y fecha de vencimiento no es suficiente para realizar transacciones.
MagSpoof te permite realizar investigaciones en otras áreas del campo, como microcontroladores y electromagnetismo.
Puedes almacenar todas tus tarjetas de crédito y bandas magnéticas en un solo dispositivo e incluso funciona en lectores de bandas magnéticas tradicionales de forma inalámbrica sin necesidad de NFC y RFID.
Puedes desactivar chip-and-pin e incluso puede predecir correctamente los números de tarjetas de crédito Amex y las fechas de vencimiento a partir de números de tarjetas anteriores.
Admite las tres pistas de banda magnética e incluso admite las pistas 1+2 simultáneamente.
Se puede construir fácilmente usando Arduino u otras partes comunes.
Caso de Uso
MagSpoof se puede usar como una tarjeta de crédito tradicional y almacenar todas tus tarjetas de crédito en varios formatos.
También se puede utilizar para realizar investigaciones de seguridad en cualquier área que requiera una banda magnética, como lectores de tarjetas de crédito, licencias de conducir, llaves de habitaciones de hotel y boletos de estacionamiento automatizados.
Cómo Funcionan: Bandas Magnéticas
Las bandas magnéticas, también conocidas como bandas magnéticas, son magnéticas.
Aunque las bandas magnéticas internas son débiles, todavía son lo suficientemente fuertes como para atraer pequeñas partículas ferrosas y son lo suficientemente anchas como para extraer completamente todos los datos de una banda magnética o tarjeta de crédito.
MegaSpoof emula una banda magnética cambiando rápidamente la polarización de un electroimán, produciendo un campo magnético similar al de una banda magnética normal, emulándolo como si se estuviera deslizando.
El lector de banda magnética no requiere ningún tipo de receptor inalámbrico, NFC o RFID, y como tal, MagSpoof puede funcionar de manera inalámbrica, incluso con lectores de banda magnética estándar. La distancia a la que se puede utilizar depende de la fuerza del electroimán. MagSpoof también puede utilizar piezas económicas y disponibles en el mercado y se puede construir con un Arduino, un cable y una batería.
Los electroimanes suelen tener un núcleo de hierro; sin embargo, en este caso se prescinde del núcleo para proporcionar más espacio y portabilidad. El núcleo de hierro hace que un electroimán sea más eficiente, sin embargo, sin él, aún podemos obtener un nivel de potencia suficiente para que todo funcione.
Al emular una tarjeta con MagSpoof, si envías la pista 1 en un sentido y la pista 2 en sentido inverso, cada lector de tarjetas asumirá que pasaste una tarjeta de ida y vuelta, y los datos de ambas pistas pueden ser utilizados y leídos correctamente.
Debido a esto, es un proceso extremadamente eficiente que requiere solo una bobina y funciona para ambas pistas simultáneamente. MagSpoof también puede funcionar en la pista 3 debido a esto.
Nivel de Seguridad
Un problema principal de las nuevas formas de seguridad es el hecho de que están establecidas en la parte del “Código de servicio” de la banda magnética, la parte de Chip y PIN.
El código de servicio en la banda magnética de una tarjeta de crédito define ciertos atributos de una tarjeta, como si la tarjeta puede dispensar efectivo, dónde puede funcionar, nacional o internacionalmente, y si la tarjeta tiene un chip IC incorporado y si tiene un PIN.
Si una tarjeta tiene un chip dentro y vas a cualquier minorista que soporte chip pero solo pasas la banda magnética, el sistema de punto de venta te pedirá que insertes tu tarjeta para mayor seguridad.
Los bits que indican que la tarjeta tiene Chip-and-Pin pueden desactivarse desde la banda magnética. Si tomas una tarjeta que normalmente te pediría insertarla, puedes evitar insertar el chip por completo y realizar una transacción exitosa, lo que evade la medida de seguridad.
Predicción del Número de Tarjeta
El CID o CVV2 en Visa, impreso en una tarjeta, está protegido por una clave secreta 3DES. Esta clave encripta el Número de Cuenta Principal, el código de servicio y la fecha de expiración. El código de servicio puede determinarse ya que la mayoría de las tarjetas contendrán un código de servicio similar. CSC se comporta como un CID o CVV2 en una banda magnética y continúa funcionando para una tarjeta nueva predicha.
Un atacante puede usar el CSC de una tarjeta robada con el número de tarjeta predicho y la fecha de expiración para realizar compras. Para realizar la transacción sin levantar sospechas, el atacante puede usar un escritor de banda magnética o un dispositivo como MagSpoof para cargar la información de una tarjeta recién diseñada en una tarjeta.
El Hardware
Este hardware fue utilizado para los experimentos, sin embargo, eres libre de probar y usar hardware similar.
- El microcontrolador es un Atmel ATtiny85 que impulsa todo el sistema almacenando todos los datos de la banda magnética y de la tarjeta de crédito.
- El controlador de motor es un puente H L293D que impulsa el electroimán. La mayoría de los controladores de motor son impulsados por los electroimanes y los imanes dentro de ellos, y cualquier controlador estándar debería poder realizar el trabajo.
- En cuanto a la bobina, necesitas un cable magnético de aproximadamente 24AWG para actuar como la bobina y producir el campo electromagnético. Este trozo de cable produce un campo electromagnético que hace que el lector de tarjetas crea que se está deslizando una tarjeta.
- Una pequeña batería de 100mAh 3.7v lip para alimentar todo.
- Un condensador de 100 µF para mantener suficiente energía y proporcionar al campo electromagnético energía cuando lo necesite.
- Un LED para señalar cuando se transmite la información.
- Una resistencia de 100Ω para no quemar el LED y un interruptor momentáneo para indicar el electroimán.
- Finalmente, para soldar todo junto, usa una mini-protoboard.
El Firmware
El código fuente de MegSpoof se puede encontrar aquí:
Es compatible con el marco de trabajo de Arduino y puede funcionar tanto en Arduinos como en chips ATtiny.
Al utilizar el código fuente, aseguras la máxima eficiencia del dispositivo en su conjunto y puedes esperar resultados similares a los mostrados durante la redacción de este texto. Si modificas el código de alguna manera, forma o manera, tus resultados obviamente pueden ser diferentes dependiendo exactamente de lo que decidas modificar.
Recuerda mantenerte seguro y ser responsable con lo que termines haciendo a través de esta tecnología, ya que lo último que deseas es meterte en problemas. Así que sé consciente de tu entorno y sé responsable con cualquier cosa que termines haciendo en el mundo del ciberespacio, así como en el mundo físico en el que vives en tu vida diaria.
A medida que pasan los días, mejoraremos esta tecnología y muchas más como ella, por lo que nunca hay un punto máximo en la eficiencia de ningún producto.