Date: Mon, 20 Mar 2023 15:01:35
From: Dawid Rutkowski
> Okazało się, niejako w temacie, że chyba właśnie trafił mi się
> pierwszy w życiu fraud kartowy - i to podobno jeszcze przez GP.
> Przypadkiem zajrzałem do IKA i widzę w historii transakcję kartą na
> 10,04 EUR (przeliczoną z 10,69 USD, od niejakiego "Kindle Unltd" z
> gwiazdką + literki i cyferki) z soboty, rozliczona w niedzielę.
> Infolinka z aliora (ale ta żywa, a nie bot, który ma chyba na imię
> "Infolina", też pomysł) potwierdziła, że to przez GP poszło.
> Raczej bez szans że to ja.
> Cóż, reklamacja z formularzem poszła, karta zastrzeżona (w sumie i tak
> się chyba kończyła, bo są w historii transakcje z sierpnia 2019 - więc
> raczej nie była na 3 lata, najpewniej na 4 - chyba że na 5, no to
> wtedy odpada podejrzenie, że atak poszedł na karty kończące ważność),
> zobaczymy jak się skończy.

Ciekawe, u mnie też coś podobnego wystąpiło na karcie IKA:
Miejsce transakcji: OMNISCREATIVE
Kwota transakcji: -4,44 PLN
Kwota transakcji w walucie rozliczeniowej: -1,00 USD
Data transakcji: 02-01-2023
Data księgowania: 03-01-2023

Karta z terminem ważności do 2024. Podobnie zastrzegłem i wysłałem
reklamację z formularzem. Zwrócili kilka dni później. Na GPay nic nie
było. Numer karty podawałem w paru zagranicznych sklepach. Ciekawe, skąd
wyciekło.

Pozdrawiam,
Dominik
--
Fedora https://getfedora.org | RPM Fusion http://rpmfusion.org
There should be a science of discontent. People need hard times and
oppression to develop psychic muscles.
-- from "Collected Sayings of Muad'Dib" by the Princess Irulan

do góry

On Thu, 23 Mar 2023 19:02:49 +0100, Krzysztof Halasa wrote:
> Dawid Rutkowski <d...@w...pl> writes:
>> CVC2 wylicza się tajnym algorytmem z daty ważności i numeru karty.
>
> Oczywiście każdy bank może to robić inaczej, ale generalnie CVC2,
> podobnie jak wszelkie inne tego typu kody, powinny być po prostu
> losowane.
> Teoretycznie można np. tajnym kluczem zaszyfrować numer karty i datę
> ważności, i część wyniku potraktować jako CVC2 - nie powinno się tego
> jednak robić, ponieważ istnienie takiego klucza jest bardziej
> niebezpieczne niż wersji z losowanymi kodami:
> - np. pracownik banku z odpowiednimi uprawnieniami może go ukraść (całą
> bazę kart wraz z kodami nieco trudniej jednak ukraść, nie wystarczy do
> tego kartka i długopis)

pendrive mniejszy od kartki i długopisu.
Ale film Firewall pamietasz? Mozna i bez USB :-)

> - po "kompromitacji" klucza musimy unieważnić wszystkie karty, które
> z niego korzystały - oznacza to konieczność częstej zmiany klucza
> (np. codziennej), pamiętania wszystkich kluczy "dziennych", itd.

System był w miare bezpieczny i bez tych kluczy.
Moze wcale nie tak łatwo oszukac ...

> - zaletą takiego klucza mogłaby być możliwość trzymania go w bezpiecznej
> czarnej skrzynce (a la Trusted Platform Module). Aczkolwiek
> szyfrowanie całej bazy danych (wszystkich dostępów) przez taką czarną
> skrzynkę rozwiązuje więcej problemów (jest jednak trudniejsze
> sprzętowo).
>
> Oczywiście "tajny algorytm" w literalnym rozumieniu nie wchodzi
> w rachubę - nie istnieją algorytmy wystarczająco tajne.

No - na początku sa tajne.
A kiedys przestają ... albo i nie ...

Tylko jak ma byc mnogość kluczy - bo okresowo zmieniane, i kazdy bank
ma swoje - to czemu nie zrobic od razu losowych?

P.S. Paszporty z chipem - jest to jakos zabezpieczone?
Odczytac sie daje bez hackerki.
Ale jakąs weryfikację prawdziwości bym dał ... i co - każdy kraj co
roku klucz zmienia i część jawną publikuje?



J.

do góry

W dniu 21.03.2023 o 11:27, Dawid Rutkowski pisze:
> wtorek, 21 marca 2023 o 08:55:29 UTC+1 Michał Jankowski napisał(a):
>> W dniu 20.03.2023 o 11:01, Dawid Rutkowski pisze:
>>> poniedziałek, 20 marca 2023 o 00:31:13 UTC+1 Michał Jankowski napisał(a):
>>>> W dniu 19.03.2023 o 10:21, Dawid Rutkowski pisze:
>>>>> sobota, 18 marca 2023 o 23:10:49 UTC+1 Michał Jankowski napisał(a):
>>>>>> W dniu 18.03.2023 o 21:17, Monika Głowacka pisze:
>>>>>>> Podobno jak się podepnie karte pod Google Pay, to w transakcjach sklep
>>>>>>> otrzymuje informacje, że zapłacono inną kartą niż moja. Dopieo GooglePay
>>>>>>> rozlicza się z moim bankiem i kasa schodzi odemnie.
>>>>>>>
>>>>>>> Na wyciągach jak to jest uwidocznione? Czy będzie mój bank wiedział,
>>>>>>> gdzie zapłaciłam kartą podpiętą do GooglePay?
>>>>>> Na wyciągu z banku jest oczywiście numer karty bankowej, bo bank o
>>>>>> "karcie wirtualnej" (chyba?) nic nie wie.
>>>>>
>>>>> Jak nie wie, skoro ją wydaje?
>>>>> Są takie banki, co podają na wyciągu z podziałem na wirtualne - choć nie bedę
się upierał, że te z google pay też widać, może tylko "własnobankowe" HCE.
>>>> Nie rozumiem. Ten numer karty, którym posługuje się w transakcjach
>>>> google, to kto wydaje? Przecież nie zamawiałem żadnej "karty wirtualnej"
>>>> banku.
>>>
>>> Hmm, to co mam odpowiedzieć, że jednak zamawiałeś, tylko nie zauważyłeś?
>>> Jak masz inną jeszcze niedodaną to sobie dokładnie prześledź proces i to, na co
wyrażasz zgody.
>>> gógiel jest tu tylko pośrednikiem, na pewno to nie gógiel "wydaje ci kartę".
>> Poklikałem na próbę. Napisane jest, że na potrzeby transakcji przez
>> portfel "będzie wygenerowany" specjalny numer "Token". I tyle. Ani słowa
>> o tym, kto ten numer wygeneruje.
>
> Nie ma "warunków banku - wystawcy karty"?

Wystawcy karty, tej karty, którą podłączam - tak. Ale nigdzie nie
napisane, kto jest wystawcą "Tokena", który nie jest nawet nazywany "kartą".

MJ

do góry

On Thu, 23 Mar 2023 19:48:23 +0100, Michał Jankowski wrote:
> W dniu 21.03.2023 o 11:27, Dawid Rutkowski pisze:
>> wtorek, 21 marca 2023 o 08:55:29 UTC+1 Michał Jankowski napisał(a):
>>> W dniu 20.03.2023 o 11:01, Dawid Rutkowski pisze:
>>>> poniedziałek, 20 marca 2023 o 00:31:13 UTC+1 Michał Jankowski napisał(a):
>>>>> W dniu 19.03.2023 o 10:21, Dawid Rutkowski pisze:
>>>>>> sobota, 18 marca 2023 o 23:10:49 UTC+1 Michał Jankowski napisał(a):
>>>>>>> W dniu 18.03.2023 o 21:17, Monika Głowacka pisze:
>>>>>>>> Podobno jak się podepnie karte pod Google Pay, to w transakcjach sklep
>>>>>>>> otrzymuje informacje, że zapłacono inną kartą niż moja. Dopieo GooglePay
>>>>>>>> rozlicza się z moim bankiem i kasa schodzi odemnie.
>>>>>>>>
>>>>>>>> Na wyciągach jak to jest uwidocznione? Czy będzie mój bank wiedział,
>>>>>>>> gdzie zapłaciłam kartą podpiętą do GooglePay?
>>>>>>> Na wyciągu z banku jest oczywiście numer karty bankowej, bo bank o
>>>>>>> "karcie wirtualnej" (chyba?) nic nie wie.
>>>>>>
>>>>>> Jak nie wie, skoro ją wydaje?
>>>>>> Są takie banki, co podają na wyciągu z podziałem na wirtualne - choć nie bedę
się upierał, że te z google pay też widać, może tylko "własnobankowe" HCE.
>>>>> Nie rozumiem. Ten numer karty, którym posługuje się w transakcjach
>>>>> google, to kto wydaje? Przecież nie zamawiałem żadnej "karty wirtualnej"
>>>>> banku.
>>>>
>>>> Hmm, to co mam odpowiedzieć, że jednak zamawiałeś, tylko nie zauważyłeś?
>>>> Jak masz inną jeszcze niedodaną to sobie dokładnie prześledź proces i to, na co
wyrażasz zgody.
>>>> gógiel jest tu tylko pośrednikiem, na pewno to nie gógiel "wydaje ci kartę".
>>> Poklikałem na próbę. Napisane jest, że na potrzeby transakcji przez
>>> portfel "będzie wygenerowany" specjalny numer "Token". I tyle. Ani słowa
>>> o tym, kto ten numer wygeneruje.
>>
>> Nie ma "warunków banku - wystawcy karty"?
>
> Wystawcy karty, tej karty, którą podłączam - tak. Ale nigdzie nie
> napisane, kto jest wystawcą "Tokena", który nie jest nawet nazywany "kartą".

No ale programów i urządzen na calym swiecie google raczej nie
zmieniało, więc ten token wpisuje sie w numer karty ...

Swoją drogą - ze im sie to nie popierdoli?
Za mało mają tych cyferek na caly swiat, musza sie tokeny powtarzac.


J.

do góry

"J.F" <j...@p...onet.pl> writes:

> pendrive mniejszy od kartki i długopisu.
> Ale film Firewall pamietasz? Mozna i bez USB :-)

Nie oglądałem. Można - ale trudniej.

>> - po "kompromitacji" klucza musimy unieważnić wszystkie karty, które
>> z niego korzystały - oznacza to konieczność częstej zmiany klucza
>> (np. codziennej), pamiętania wszystkich kluczy "dziennych", itd.
>
> System był w miare bezpieczny i bez tych kluczy.
> Moze wcale nie tak łatwo oszukac ...

To nie jest kwestia "może" - wiadomo jak jest.

> No - na początku sa tajne.
> A kiedys przestają ... albo i nie ...

Z punktu widzenia ew. oponenta, pewnie tak. Natomiast z punktu widzenia
użytkownika algorytmu, każde inne założenie to myślenie życzeniowe.

> Tylko jak ma byc mnogość kluczy - bo okresowo zmieniane, i kazdy bank
> ma swoje - to czemu nie zrobic od razu losowych?

No właśnie.

> P.S. Paszporty z chipem - jest to jakos zabezpieczone?
> Odczytac sie daje bez hackerki.

Tak ma być. Kartę też można bez problemu odczytać. Inną sprawą jest to,
co dokładnie można odczytać.

> Ale jakąs weryfikację prawdziwości bym dał ... i co - każdy kraj co
> roku klucz zmienia i część jawną publikuje?

Jakoś tak.
--
Krzysztof Hałasa

do góry

On Mon, 27 Mar 2023 12:52:25 +0200, Krzysztof Halasa wrote:
> "J.F" <j...@p...onet.pl> writes:
>> pendrive mniejszy od kartki i długopisu.
>> Ale film Firewall pamietasz? Mozna i bez USB :-)
>
> Nie oglądałem. Można - ale trudniej.

Przerobil fax na skaner tekstu na ekranie monitora :-)

>>> - po "kompromitacji" klucza musimy unieważnić wszystkie karty, które
>>> z niego korzystały - oznacza to konieczność częstej zmiany klucza
>>> (np. codziennej), pamiętania wszystkich kluczy "dziennych", itd.
>>
>> System był w miare bezpieczny i bez tych kluczy.
>> Moze wcale nie tak łatwo oszukac ...
>
> To nie jest kwestia "może" - wiadomo jak jest.

Bylo tak, ze system dzialal na calym swiecie.
Ale tez dorabiali zabezpieczenia ... co ciekawe - w USA jakby nie ...

>> P.S. Paszporty z chipem - jest to jakos zabezpieczone?
>> Odczytac sie daje bez hackerki.
>
> Tak ma być. Kartę też można bez problemu odczytać. Inną sprawą jest to,
> co dokładnie można odczytać.

Jesli mozna tak latwo odczytac, to moze można i łatwo zapisac.
A chyba nie o to chodzi.

>> Ale jakąs weryfikację prawdziwości bym dał ... i co - każdy kraj co
>> roku klucz zmienia i część jawną publikuje?
>
> Jakoś tak.

Krajów mało, a paszporty ważne 10 lat.

Banków więcej ...

J.

do góry

"J.F" <j...@p...onet.pl> writes:

> Jesli mozna tak latwo odczytac, to moze można i łatwo zapisac.

Nie ma takiej implikacji.
Wystarczy podpis - co z tego, że zapiszesz, jak nie możesz podpisać.

> Krajów mało, a paszporty ważne 10 lat.
>
> Banków więcej ...

Podobna liczba. W tej dziedzinie 200 czy 20 tysięcy nie robi aż takiej
różnicy.
--
Krzysztof Hałasa

do góry

Mnie w amazon.com jeb.ęli na ponad trzysta dolców, już sporo lat temu.
W sumie przypadkiem trafiłem na wyciągu (karty, nie konta) rutynowo przelatując
okiem.
Opis transakcji był równie głupi.
Na maila reklamacyjnego amazon opowiedział niespiesznie jakoś po kilku dniach bez
stylu, coś jak "może pomyłka", bez przeprosin czy
wspominki o sprawdzeniu procedur czy bez "zwrócimy".
W tym kilkudniowym międzyczasie zastrzegłem Visę w polskim banku składają reklamację,
która się okazała skuteczna o tyle, że bankowi
kasę odesłali (mogłem być może hardcorowo nie zastrzegać karty i czekać na zwrot od
amazona, tu jest chyba dziura w systemie,
zastrzeżenie powinno dotyczyć obciążeń, a nie uznań), ale straciłem na dwukrotnym
przewalutowaniu (chodziłem w krawacie).
Nie pamiętam, czy karta była dodana do płatności w amazon (to było sporo lat temu
jeszcze przed PayPalem, wydaje mi się, że nie była
na stałe dodana), ale na 200% obciążenie przyszło w nowym okresie gdy fizycznie
miałem już kolejny po wyekspirowanej egzemplarz
karty, czyli jacyś cwaniacy ekstrapolowali termin ważności nowej karty bo stara już
wygasła - niestety ten konkretny bank nie
zmieniał co roku numeru Visy, zmieniał się sam CVV, ale amazon zdaje się i do dziś
olewa CVV.
Pewnie pracownicy tak dorabiają do marnych pensyjek, musi kolorowi lub Polacy ;-))


-----
> Ale ciekawie by się maskowali, bo coś takiego jak "Kindle unlimited" rzeczywiście w
amazonie jest, tyle że

do góry

poniedziałek, 27 marca 2023 o 16:41:12 UTC+2 ąćęłńóśźż napisał(a):

> Nie pamiętam, czy karta była dodana do płatności w amazon (to było sporo lat temu
jeszcze przed PayPalem, wydaje mi się, że nie była
> na stałe dodana), ale na 200% obciążenie przyszło w nowym okresie gdy fizycznie
miałem już kolejny po wyekspirowanej egzemplarz
> karty, czyli jacyś cwaniacy ekstrapolowali termin ważności nowej karty bo stara już
wygasła - niestety ten konkretny bank nie
> zmieniał co roku numeru Visy, zmieniał się sam CVV, ale amazon zdaje się i do dziś
olewa CVV.

A jaki to bank zmienia ci choćby co 3 lata - a co dopiero co rok (choć tak to dawno
temu było,
jak się paski zdzierały) - razem z kartą jej numer?

Ja w sumie znam 2, gdzie można mieć taki ficzer - właśnie IKA, który kart nie
wznawia,
więc dostaniesz z nowym numerem (inna sprawa, że z kolejnym rosnąco - dziś przysłali
SMSa, że się sprawie przyjrzą, karta jeszcze nie doszła), ale musisz samo tym
pamiętać,
bo możesz zostać bez karty akurat na wyjazd.
A w mbąku trzeba się postarać - czyli nie wykonać kartą żadnej operacji - to jej nie
wznowią
(jako że do jednego konta mam 3, to się takie coś zdarza).
Oczywiście nawet się nie zająkną, a karta nadal widnieje w ST jako aktywna...

do góry

IMO citek, przynajmniej niegdyś.


-----
> A jaki to bank zmienia ci choćby co 3 lata - a co dopiero co rok - razem z kartą
jej numer?

do góry