Użytkownik pedro napisał:

> Ale co najwazniejsze z tej historii: ustaliłem, że za 400 zł na rynku można
> kupić skaner, którym bez problemu można PIN wydobyć z karty...

Kto Ci takich bajek naopowiadal? Kiedys tak bylo, jak byly offlajnowe
bankomaty. Ale to bylo dawno i nieprawda. PIN w zakodowanej postaci jest
trzymany na serwerze autoryzacyjnym (zwal jak zwal, ale mniej wiecej o
to chodzi), a na karcie sa tylko i wylacznie dane identyfikacyjne. Co
wiecej podane jawnie, wiec mozna je zczytac czymkolwiek, co potrafi
przeczytac pasek magnetyczny. Zadnej filozofii tu nie ma.

Bankomat czyta dane z karty, bierze zakodowany (przez koder wbudowany w
klawiature) PIN wprowadzony przez uzytkownika oraz dane dotyczace
transakcji i wysyla to wszystko do serwera. Serwer sprawdza, czy karta
jest wazna, czy PIN pasuje do wzorca w bazie i czy transakcja moze byc
wykonana, po czym wysyla stosowna informacje do bankomatu. I tyle.

Byc moze zlodziej mial dzikiego fuksa i trafil PINkod?

Bartol

do góry

Użytkownik Wojciech Nawara napisał:
>
>>Chyba rozmawiales z jakims pracownikiem Citka - mnie tez ostatnio o tym
>>starali sie przekonac ze PIN jest na karcie. Nastepnego dnia telefonicznie
>>przyznal sie pracownik ze jednak PINu nie ma na karcie :)
>>Ale chyba 50% (nie)dysponentow jest pewnych ze PIN jest zapisany na
> pasku.
>
> Wystarczy pokazanie prostego doświadczenia z VE inteligo i telefonem.
> Ostatnio popdobno karty Multi też mają taką możliwość.

Masz na mysli zmiane PINu przez telefon? Majac karte kodow w Inteligo,
to moze by sie dalo, ale trzeba znac jeszcze nr klienta (ja go pamietam,
ale moze wiele osob nosi go w portfelu razem z karta kodow).

Ale jak to sobie wyobrazasz w Citi? Nie wiem, czy mozna tam zmienic PIN
przez telefon, a nawet jesli tak, to trzeba sie wspowiadac
niedysponentowi z historii zycia swego i rodziny, wiec nie jest to takie
proste. I numer klienta/konta tez trzeba znac, by sie wstepnie
zidnetyfikowac (ale to moze byc maly problem, o czy juz wyzej napisalem).

Bartol

do góry

Użytkownik "Bartol Partol" <b...@p...c> napisał w wiadomości
news:bdrghh$hor$1@atlantis.news.tpi.pl...

> proste. I numer klienta/konta tez trzeba znac, by sie wstepnie
> zidnetyfikowac (ale to moze byc maly problem, o czy juz wyzej napisalem).
>
Do wstepnej identyfikacji potrzebna jest karta i CitiPhone PIN

--
JaKi



--
Serwis Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

bdrghh$hor$...@a...news.tpi.pl,
Bartol Partol <b...@p...c>:
> Użytkownik Wojciech Nawara napisał:

>> Wystarczy pokazanie prostego doświadczenia z VE inteligo i telefonem.
>> Ostatnio popdobno karty Multi też mają taką możliwość.
>
> Masz na mysli zmiane PINu przez telefon? Majac karte kodow w Inteligo,
> to moze by sie dalo, ale trzeba znac jeszcze nr klienta (ja go
> pamietam, ale moze wiele osob nosi go w portfelu razem z karta kodow).

Ale Wojtkowi nie chodzilo o wskazanie mozliwej drogi tego oszustwa, tylko
podawal argument, ze PIN nie jest na karcie.

--
Robert
To reply by email, use ->mkarta<- in place of ->spamtrap<-
Emaile adresuj do ->mkarta<- zamiast do ->spamtrap<-

do góry

Użytkownik Robert napisał:
>
>>>Wystarczy pokazanie prostego doświadczenia z VE inteligo i telefonem.
>>>Ostatnio popdobno karty Multi też mają taką możliwość.
>>
>>Masz na mysli zmiane PINu przez telefon? Majac karte kodow w Inteligo,
>>to moze by sie dalo, ale trzeba znac jeszcze nr klienta (ja go
>>pamietam, ale moze wiele osob nosi go w portfelu razem z karta kodow).
>
> Ale Wojtkowi nie chodzilo o wskazanie mozliwej drogi tego oszustwa, tylko
> podawal argument, ze PIN nie jest na karcie.

O kurka, masz racje. ;-) Ale napisal to tak, ze pomyslalem o tym, o czym
pomyslalem.

Bartol

do góry

Użytkownik "Bartol Partol" <b...@p...c> napisał w wiadomości
news:bdrghh$hor$1@atlantis.news.tpi.pl...

> Masz na mysli zmiane PINu przez telefon? Majac karte kodow w Inteligo,
> to moze by sie dalo, ale trzeba znac jeszcze nr klienta (ja go pamietam,
> ale moze wiele osob nosi go w portfelu razem z karta kodow).

Tak, mam na myśli zmianę PINu przez telefon.

> Ale jak to sobie wyobrazasz w Citi? Nie wiem, czy mozna tam zmienic PIN
> przez telefon, a nawet jesli tak, to trzeba sie wspowiadac
> niedysponentowi z historii zycia swego i rodziny, wiec nie jest to takie
> proste. I numer klienta/konta tez trzeba znac, by sie wstepnie
> zidnetyfikowac (ale to moze byc maly problem, o czy juz wyzej napisalem).

Ale ja nie o tym! :-)

Po prostu chciałem pokazać najprostsze metody, jak udowodnić, że PIN nie
siedzi na pasku. :-) I tylko tyle. :-)

--
Pozdrawiam,

Wojciech Nawara
w...@p...onet.pl; 0501950782

do góry

Użytkownik "Robert" <s...@o...pl> napisał w wiadomości
news:bdrh1p$kqc$1@topaz.icpnet.pl...

> Ale Wojtkowi nie chodzilo o wskazanie mozliwej drogi tego oszustwa, tylko
> podawal argument, ze PIN nie jest na karcie.

O właśnie. :-)

--
Pozdrawiam,

Wojciech Nawara
w...@p...onet.pl; 0501950782

do góry

Bartol Partol <b...@p...c> napisał(a):

> Bankomat czyta dane z karty, bierze zakodowany (przez koder wbudowany w
> klawiature) PIN wprowadzony przez uzytkownika oraz dane dotyczace
> transakcji i wysyla to wszystko do serwera. Serwer sprawdza, czy karta
> jest wazna, czy PIN pasuje do wzorca w bazie i czy transakcja moze byc
> wykonana, po czym wysyla stosowna informacje do bankomatu. I tyle.

Dokladnie tak to wyglada.
Pamietacie ta afere bankowa jak przestepcy "udoskonalili" bankomat
PKO BP instalujac w nim skaner i kamere? To jeszcze raz dowodzi,
ze PINu nie ma na karcie. Gdyby byl - po co by im byla potrzebna kamera?

Pozdrawiam!
Prof_Ex

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

Użytkownik Bartol Partol <b...@p...c> w wiadomości do grup dyskusyjnych
napisał:bdrfm4$aqq$...@a...news.tpi.pl...
> Użytkownik pedro napisał:
>
> > Ale co najwazniejsze z tej historii: ustaliłem, że za 400 zł na rynku
można
> > kupić skaner, którym bez problemu można PIN wydobyć z karty...
>
> Kto Ci takich bajek naopowiadal? Kiedys tak bylo, jak byly offlajnowe
> bankomaty. Ale to bylo dawno i nieprawda. PIN w zakodowanej postaci jest
> trzymany na serwerze autoryzacyjnym (zwal jak zwal, ale mniej wiecej o
> to chodzi), a na karcie sa tylko i wylacznie dane identyfikacyjne. Co
> wiecej podane jawnie, wiec mozna je zczytac czymkolwiek, co potrafi
> przeczytac pasek magnetyczny. Zadnej filozofii tu nie ma.
>
> Bankomat czyta dane z karty, bierze zakodowany (przez koder wbudowany w
> klawiature) PIN wprowadzony przez uzytkownika oraz dane dotyczace
> transakcji i wysyla to wszystko do serwera. Serwer sprawdza, czy karta
> jest wazna, czy PIN pasuje do wzorca w bazie i czy transakcja moze byc
> wykonana, po czym wysyla stosowna informacje do bankomatu. I tyle.
> Bartol
>

OK, a czy teraz może być w użyciu taki offlajnowy bnkomat? Jak będzie
uwieżytelniał PIN jak jest offlajn?
Kolesie jechali specjalnie 10 km do 1 bankomatu mimo że w okolicy 1 km mieli
10 innych. Obsługa bankomatu (PKO) powiedziała, że to taki stary model przy
sklepie co nawet kamery nie ma. Swoją drogą powiedzieli też, że ostatnio
zdarzały się przypadki sczytania PINu ale to z kart innych banków...

>
> Byc moze zlodziej mial dzikiego fuksa i trafil PINkod?
>

Jego fuks proporcjonalny do mojego niefuksa... :-\ ... tylko bank jest
zawsze do przodu

pozdr
pedro

do góry

"pedro" <s...@i...pl> writes:

> Jego fuks proporcjonalny do mojego niefuksa... :-\ ... tylko bank jest
> zawsze do przodu

Zaraz. Jezeli transakcja byla PO zastrzezeniu karty, to bank jest do
tylu, a nie ty.

MJ

do góry