W dniu sobota, 23 czerwca 2012 13:32:52 UTC+2 użytkownik Marcin Mokrzycki napisał:
> On Sat, 23 Jun 2012 04:20:28 -0700 (PDT), Tomek wrote:
>
> > Screen z aplikacji nie potwierdza kompletnie treści artykułu (poza
> > datami ważności).
>
> Wydaje mi się, że pole Kartennr. powinno zawierać numer karty. Zwłaszcza,
> że dla MasterCarda wartość pola zaczyna się od 5.
>
> > Jeżeli takie dane są w ogóle przesyłane, to na pewno nie w postaci
> > jawnej.
>
> Opierasz to na czymś więcej niż tylko wierze?
>
> --
> Marcin Mokrzycki
> gg:659336 o2:mmokrzycki

Interesowałem się tym dosyć dawno więc teraz nie przytoczę. Ale wystarczy popatrzeć
na użyte standardy zabezpieczeń wymienione m.in. tutaj:

http://en.wikipedia.org/wiki/Near_field_communicatio
n

lub pokazane na slajdach (tutaj jest dla wersji 1, z tego co opisuje wiki jest już
wersja 2)

http://docbox.etsi.org/workshop/2009/200901_SECURITY
WORKSHOP/NXP_MEINDL_NFCIP1SecurityStandardProtectsNe
arFieldCommunication.pdf

PS Pole o którym mówisz jest na pewno za krótkie żeby to był numer karty.

PS2 Także na prawdę nie widze powodu do traktowania kart z paypassem jako prób
wyłudzeń. Z resztą czy komukolwiek opłaca się kraść po 50zł na transakcji? Za pomocą
paypassa można co najwyżej kupić dobra, pieniędzy nie zobaczymy.

Lepiej na aukcji wystawić telefon za 2000zł i go nie wysłać (lewe konto, dane).
Oszczędzamy sobie pokazywania siebie w sklepie 40 razy przy zakupach po 50zł...

do góry

W dniu sobota, 23 czerwca 2012 13:32:52 UTC+2 użytkownik Marcin Mokrzycki napisał:
> On Sat, 23 Jun 2012 04:20:28 -0700 (PDT), Tomek wrote:
>
> > Screen z aplikacji nie potwierdza kompletnie treści artykułu (poza
> > datami ważności).
>
> Wydaje mi się, że pole Kartennr. powinno zawierać numer karty. Zwłaszcza,
> że dla MasterCarda wartość pola zaczyna się od 5.
>
> > Jeżeli takie dane są w ogóle przesyłane, to na pewno nie w postaci
> > jawnej.
>
> Opierasz to na czymś więcej niż tylko wierze?
>
> --
> Marcin Mokrzycki
> gg:659336 o2:mmokrzycki

A jeżeli interesują cię dokładniejsze dane to odsyłam:

http://www.nfc-forum.org/specs/spec_license

Data Exchange Format Technical Specification
NFC Data Exchange Format (NDEF) Technical Specification
NFC Simple NDEF Exchange Protocol Specification

Te rzeczy są opracowywane przez lata, wdrażane są najlepsze zabezpieczenia i na pewno
skan telefonem nie daje nam możliwości fraudu.

Co do Google Wallet to powiązany jest on niejako z citibankiem z tego co pamiętam,
więc też tak zeskanowaną zwykłą paypassówka nie będzie dało się zapłacić.

do góry

On 23 Cze, 11:49, Tomek <t...@g...com> wrote:

> Przez NFC nie jest udostępniany przede wszystkim CVC. Numeru karty też nie widzę na
tych screenach. Jedynie NFC ID jest i data ważności - do niczego nie przydatne.
Cyt. "Aplikacja sczytuje numery kart kredytowych, daty ważności
łącznie z identyfikatorami merchanga i transakcji". Nawet MC swego
czasu przyznał, że nr karty w zbliżeniówkach przechwycić można.

> Siejecie panikę tylko.
Wybacz, ale sobie doczytaj na niebezpieczniku dodatkowe artykuły,
które pokazują skuteczny sposób fraudu kart zbliżeniowych.
Opowieści o najlepszych zabezpieczenia tworzonych przez lata to można
sobie w ramach rozrywki opowiadać. Cytujesz marketolenie MC czy Visty
biorąc je za pewnik. Trochę dystansu.

> Poza tym za każdą transakcję przeprowadzoną z pomocą technologii zbliżeniowej, a
więc bez użycia PIN-u odpowiedzialność ponosi bank.
Jest to nieprawda. Do momentu zastrzeżenia karty ponosisz
odpowiedzialność do kwoty 150 euro (czyli na zasadach ogólnych
dotyczących kart).

do góry

Zbynek Ltd. <s...@p...onet.pl> napisał(a):

> b...@g...pl napisał(a) :
> > mam w portfelu przekładki z folii aluminiowej więc żadne psuedo wynalazki są
> > mi obce.
>
> Zacytuję siebie z 24 stycznia:
>
> Oj, żebyś się zając nie zdziwił.
> Wkleiłem w obie okładki portfela folię aluminiową. W środku karta
> z RFID. I zdziwko mnie dopadło, jak czytnik zaskoczył. Z bliska,
> ale zaskoczył. Trzeba by mieć osłonę bezpośrednio na samą kartę.
> Okładki nic nie dają.
>


Portfel ma wszyte w zewnętrzne powłoki folię aluminiową, a dodatkowo kieszonki
na karty mają wszyte ekranowanie. Nie da rady zapłacić kartą zbliżeniowo.

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

W dniu 2012-06-22 23:57, Clegan pisze:
> http://niebezpiecznik.pl/post/aplikacja-na-telefon-d
o-wykradania-danych-ze-zblizeniowych-kart-kredytowyc
h

Kolejne "hackerskie" narzędzie odczytujące "tajne" informacje
wydrukowane na awersie karty. Prościej zrobić zdjęcie karty,
nie trzeba mieć nfc w telefonie i nie trzeba go przykładać tak blisko karty.

do góry

W dniu sobota, 23 czerwca 2012 21:49:57 UTC+2 użytkownik Clegan napisał:
> On 23 Cze, 11:49, Tomek <t...@g...com> wrote:
>
> > Przez NFC nie jest udostępniany przede wszystkim CVC. Numeru karty też nie widzę
na tych screenach. Jedynie NFC ID jest i data ważności - do niczego nie przydatne.
> Cyt. "Aplikacja sczytuje numery kart kredytowych, daty ważności
> łącznie z identyfikatorami merchanga i transakcji". Nawet MC swego
> czasu przyznał, że nr karty w zbliżeniówkach przechwycić można.
>
> > Siejecie panikę tylko.
> Wybacz, ale sobie doczytaj na niebezpieczniku dodatkowe artykuły,
> które pokazują skuteczny sposób fraudu kart zbliżeniowych.
> Opowieści o najlepszych zabezpieczenia tworzonych przez lata to można
> sobie w ramach rozrywki opowiadać. Cytujesz marketolenie MC czy Visty
> biorąc je za pewnik. Trochę dystansu.
>
> > Poza tym za każdą transakcję przeprowadzoną z pomocą technologii zbliżeniowej, a
więc bez użycia PIN-u odpowiedzialność ponosi bank.
> Jest to nieprawda. Do momentu zastrzeżenia karty ponosisz
> odpowiedzialność do kwoty 150 euro (czyli na zasadach ogólnych
> dotyczących kart).

Chętnie poczytam gdzie MC przyznał, że podczas transmisji numer karty jest przesyłany
JAWNIE. Co najwyżej przesyłanych jest kilka dat i numerków pozwalających
zidentyfikować kartę, lub numer zaszyfrowany.

Polecam przeczytać i obejrzeć:
http://www.dailyfinance.com/2011/02/08/rfid-skimmer-
could-steal-your-credit-card-number-while-its-stil/

W tytule wielkimi "STEAL YOUR CREDIT CARD NUMBER". W artykule nigdzie nie jest
napisane nawet, że można ukraść cały numer karty. Wspomiane jest tylko o datach
ważności, i mniej istotnych danych. Na filmiku nawet nie pokazane w real-time czy te
numery są zeskanowane czy koleś zrobił to w paincie. Na ulicy też mówi im bank i datę
ważności. Druga sprawa można podstawić za $ takich ludzi. Tak na prawdę cały artykuł
to tylko REKLAMA PORTFELA...

Na prawdę uważasz, że zeskanowanie paypassa to gratka dla poważnych "graczy"?? Czy
ktokolwiek o zdrowych zmysłach będzie bawił się w zakupy po 50zł i zostanie wielkim
skimmerem milionerem?

Coraz bardziej widzę, że dla niektórych grupowiczów idealna karta to:
1. potraktowana magnesem żeby zabić pasek
2. dziurkacz dla zabicia bezstykowości
3. papier ścierny do zatarcia numerów (numery wkuwamy na pamięć)
4. zamknięcie na kłódkę kodową w miejscu po dziurkaczu
6. kod kłódki zmieniamy po każdej transakcji (tak samo jak PIN)
7. karta kodów do kłódki (oczywiście zaszyfrowana)
8. ołowiany portfel

Dodatkowo pieniądze przelewane na rachunek karty dopiero przed samymi zakupami.

Współczuję trochę ciągłego życia w strachu przed zeskanowaniem karty, kiedy tak jak
wspomniał MarcinF wszystko jest na karcie. Rozumiem, że kart płatniczych używacie tak
aby nikt nigdy nie zauważy ich numerów. Z tymi danymi można robić transakcje na duże
pieniądze, a nie w spożywczaku po 50zł.

do góry

W dniu 23.06.2012 o 21:49 Clegan <c...@g...com> pisze:

> Jest to nieprawda. Do momentu zastrzeżenia karty ponosisz
> odpowiedzialność do kwoty 150 euro (czyli na zasadach ogólnych
> dotyczących kart).

Ja mi sie wydaje, ze UEIP nie wien nawet co to platnosc zblizeniowa,
moglbys zacytowac jakie warunki musza byc spelnione aby obciazyc klienta?

MK

do góry

przecież tu nie chodzi o 50zł, jak ktoś przejdzie po autobusie to bedzie mial
kilkanascie numerow kart, a sam numer karty juz wystarczy by zrobic zakupy w
internecie rowniez na wyzsze kwoty niz 50zl

pytanie czy mozna ten nr odczytac czy nie

do góry

W dniu sobota, 23 czerwca 2012 11:49:42 UTC+2 użytkownik Tomek napisał:

> Polecam przecztać:
> Każdy terminal i czytnik kart zbliżeniowych musi posiadać autoryzację, nie ma więc
możliwości podpięcia się do transakcji w sposób nielegalny za pomocą pirackiego
urządzenia. Pomiędzy chipem, a czytnikiem nie są przesyłane dane dotyczące
posiadacza, PIN karty, czy szczegóły dotyczące transakcji, a jedynie ciągi
zaszyfrowanych cyfr. Poza tym za każdą transakcję przeprowadzoną z pomocą technologii
zbliżeniowej, a więc bez użycia PIN-u odpowiedzialność ponosi bank. Wynika to z
przepisów polskiego prawa i jest bardzo korzystne z punktu widzenia klienta.
Bezpieczeństwo transakcji bezstykowych jest więc niejako zagwarantowane przez bank
wydający kartę

Jednak regulaminy wielu bankow mowia inaczej. Mamy limity typu 100zl np. w Citi.

co z przypadkiem gdy ktos zbuduje 'most posredniczacy' pomiedzy wlascicielem karty
platniczej a urzadzeniem w rekach zlodzieja ktory przeprowadza transakcje w niczego
nieswiadomym sklepie? Trudne do wykonania ale nie niemozliwe?

do góry

W dniu niedziela, 24 czerwca 2012 10:58:26 UTC+2 użytkownik disnej napisał:
> przecież tu nie chodzi o 50zł, jak ktoś przejdzie po autobusie to bedzie mial
kilkanascie numerow kart, a sam numer karty juz wystarczy by zrobic zakupy w
internecie rowniez na wyzsze kwoty niz 50zl
>
> pytanie czy mozna ten nr odczytac czy nie

Proszę o linki gdzie zrobię zakupy z samym numerem karty - pytam z ciekawości bo się
nie spotkałem

do góry