"J.F." <j...@p...onet.pl> writes:

> A nie wiedza ? Moze jest roznica miedzy "karta zastrzezona" a "dane
> sie nie zgadzaja".

Ale raczej nie dla klienta sklepu. Chyba że policja podjeżdża pod dom,
to może tak :-)

> Ewentualnie po 10 probach dostal SMS "wykrylismy probe kradziezy i
> zablokowalismy dostep" ...

No ale musiałby "testować" własną kartę, więc nie byłoby mowy
o sprawdzaniu numerów.

> Tylko, ze tu metoda ma byc taka, ze korzysta sie z innych sklepow.

Ale wtedy można sprawdzić tylko wszystko razem.

> A tu metoda rzekomo polega na skorzystaniu z ogolnie dostepnych stron
> sklepow, i kazdy moze sobie sprawdzic rozne mumery.

Jasne, to się nie zmieniło od dawna (modulo np. 3ds albo inne
jednorazowe numery kart).
To jest mniej-więcej tak, jakby można sobie było sprawdzić różne numery
kont bankowych. Zbyt wiele z tego nie wynika.

> Wszystko drozsze trzeba by traktowac specjalnie, a przeciez tych
> sklepow przybywa, nic w tym dziwnego, ze ktos sobie prezenty zamowil i
> karta zaplacil :-)

Faktem jest jednak że jakoś się nie słyszy o masowych fraudach tego typu
- sprzedawcy jakoś potrafią zapanować nad sytuacją. Są pewne modele
sprzedaży o (znacznie) większym ryzyku (np. drobne płatności za towar
"wirtualny") - jest to wliczone w cenę.
--
Krzysztof Hałasa

do góry

Użytkownik "Krzysztof Halasa" napisał w wiadomości grup
dyskusyjnych:m...@p...waw.pl...
"J.F." <j...@p...onet.pl> writes:
>> A nie wiedza ? Moze jest roznica miedzy "karta zastrzezona" a "dane
>> sie nie zgadzaja".
>Ale raczej nie dla klienta sklepu. Chyba że policja podjeżdża pod
>dom,
>to może tak :-)

Tak mi sie przypomnialo - w zwyklym sklepie i terminalu - zly pin
skutkuje "brak akceptacji".
Zastrzezona karta - "zatrzymac karte".

>> Ewentualnie po 10 probach dostal SMS "wykrylismy probe kradziezy i
>> zablokowalismy dostep" ...
>No ale musiałby "testować" własną kartę, więc nie byłoby mowy
>o sprawdzaniu numerów.

Numery to osobny temat.

>> Tylko, ze tu metoda ma byc taka, ze korzysta sie z innych sklepow.
>Ale wtedy można sprawdzić tylko wszystko razem.

Ale brak wykrycia sprawdzania roznych numerow.

>> A tu metoda rzekomo polega na skorzystaniu z ogolnie dostepnych
>> stron
>> sklepow, i kazdy moze sobie sprawdzic rozne mumery.

>Jasne, to się nie zmieniło od dawna (modulo np. 3ds albo inne
>jednorazowe numery kart).
>To jest mniej-więcej tak, jakby można sobie było sprawdzić różne
>numery
>kont bankowych. Zbyt wiele z tego nie wynika.

troche wynika - chyba moge zgadnac kilkadziesiat czy kilkaset
prawdopodobnych numerow, potem razy 60 - i jesli wystarczy gdzies nr i
data waznosci to zweryfikowac te dwie dane latwo.

Tak swoja droga - karty z 3D secure ... jak zmysle numer i date
waznosci, to bank nie odrzuci szybko platnosci ?
No tak, ale co z tego, ze czasem zweryfikuje numery, skoro jeszcze SMS
trzeba :-)

>> Wszystko drozsze trzeba by traktowac specjalnie, a przeciez tych
>> sklepow przybywa, nic w tym dziwnego, ze ktos sobie prezenty
>> zamowil i
>> karta zaplacil :-)

>Faktem jest jednak że jakoś się nie słyszy o masowych fraudach tego
>typu
>- sprzedawcy jakoś potrafią zapanować nad sytuacją.

Adres dostawy chyba duzo daje - szybko ich wylapuja.

A czy nie slychac ... u nas nie slychac, Visa sie chwalila
miliardowymi stratami na fraudach, to jakis tam znikomy procent - ale
z jednej strony widac, ze opracowuja nowe zabezpieczenia, z drugiej -
w USA ich nie wprowadzaja :-)

J.

do góry

"J.F." <j...@p...onet.pl> writes:

> Tak mi sie przypomnialo - w zwyklym sklepie i terminalu - zly pin
> skutkuje "brak akceptacji".
> Zastrzezona karta - "zatrzymac karte".

Owszem, ale klient tego nie widzi - widzi sprzedawca.
W sklepie internetowym dokładnie tak samo (pomijając to, że klient nie
może zerknąć sprzedawcy "przez ramię").

> troche wynika - chyba moge zgadnac kilkadziesiat czy kilkaset
> prawdopodobnych numerow, potem razy 60 - i jesli wystarczy gdzies nr i
> data waznosci to zweryfikowac te dwie dane latwo.

Owszem, ale to wiadomo od dawna i sprzedawcy się przed tym bronią dość
skutecznie.

> Adres dostawy chyba duzo daje - szybko ich wylapuja.

Tak wygląda.

> A czy nie slychac ... u nas nie slychac, Visa sie chwalila
> miliardowymi stratami na fraudach, to jakis tam znikomy procent - ale
> z jednej strony widac, ze opracowuja nowe zabezpieczenia, z drugiej -
> w USA ich nie wprowadzaja :-)

Tam mają nieco inny układ - weryfikują adresy (AVS), nie dostarczają
tam, gdzie nie trzeba, za fraudy idzie się siedzieć.
--
Krzysztof Hałasa

do góry

Krzysztof Halasa wrote:

> "J.F." <j...@p...onet.pl> writes:
>
>> A nie wiedza ? Moze jest roznica miedzy "karta zastrzezona" a "dane
>> sie nie zgadzaja".
>
> Ale raczej nie dla klienta sklepu. Chyba że policja podjeżdża pod dom,
> to może tak :-)

Aha - a to, że klient otrzymuje (nawet w Polsce) z części terminali wprost
kod odpowiedzi z banku (tak, to jest ta wartość którą bank ma w swojej bazie
danych w kolumnie "kod odpowiedzi" wydrukowana na slipie z terminala, który
trzyma w ręku klient), to Twoim zdaniem wyklucza że po tym kodzie odpowiedzi
można rozpoznać jakie intencje ma bank odrzucając zapytanie o dostępne
środki?

>
>> Ewentualnie po 10 probach dostal SMS "wykrylismy probe kradziezy i
>> zablokowalismy dostep" ...
>
> No ale musiałby "testować" własną kartę, więc nie byłoby mowy
> o sprawdzaniu numerów.

Albo własne 10 albo własne 100 albo własny 1000 kart przedpłaconych.

>
>> Tylko, ze tu metoda ma byc taka, ze korzysta sie z innych sklepow.
>
> Ale wtedy można sprawdzić tylko wszystko razem.
>
>> A tu metoda rzekomo polega na skorzystaniu z ogolnie dostepnych stron
>> sklepow, i kazdy moze sobie sprawdzic rozne mumery.
>
> Jasne, to się nie zmieniło od dawna (modulo np. 3ds albo inne
> jednorazowe numery kart).
> To jest mniej-więcej tak, jakby można sobie było sprawdzić różne numery
> kont bankowych. Zbyt wiele z tego nie wynika.

Możesz wrócić do mojej pierwszej odpowiedzi w tym wątku, na którą zresztą
odpowiedziałeś - tam już raz wyjaśniałem dlaczego jednak coś z tego wynika.

>
>> Wszystko drozsze trzeba by traktowac specjalnie, a przeciez tych
>> sklepow przybywa, nic w tym dziwnego, ze ktos sobie prezenty zamowil i
>> karta zaplacil :-)
>
> Faktem jest jednak że jakoś się nie słyszy o masowych fraudach tego typu
> - sprzedawcy jakoś potrafią zapanować nad sytuacją. Są pewne modele
> sprzedaży o (znacznie) większym ryzyku (np. drobne płatności za towar
> "wirtualny") - jest to wliczone w cenę.

A kto nie słyszy? Media mainstremowe typu TVN?

--
Wysłane z pola.

do góry

Krzysztof Halasa wrote:

> janek z pola <a...@e...pl> writes:
>
>> Pewnie że jest problem - jeżeli od danego merchanta lecą masowo requesty
>> na nieistniejące numery kart, to jest to atak polegający na zgadywaniu
>> właściwego numeru. To powinno zablokować takiego merchanta po pewnej
>> rozsądnej liczbie takich prób. W zacytowanym tekście jest napisane, że
>> MasterCard jest przed tym zabezpieczony. I to jest prawidłowe
>> działanie.
>
> I napisałeś to tylko na podstawie tego artykułu, bez żadnej dodatkowej
> wiedzy?

Opisałem mechanizm tego, co kolega wcześniej opisał na podstawie lektury
artykułu prasowego, który powstał na podstawie pracy naukowej wykonanej w
uczelni w UK.

>
> Ja po prostu zajmuję się różnymi rzeczami, w tym bezpieczeństwem
> systemów informatycznych, od pewnego czasu, i to powoduje, że rzeczy
> normalnie oczywiste nie są już dla mnie takie oczywiste.

Życzę Ci, żebyś się w tym swoim zajmowaniu od pewnego czasu nie zafiksował
na pewnych schematach, bo zdaje się że właśnie padłeś ofiarą tego.

>
> W szczególności, dopuszczam istnienie tzw. "szarych list" (sprzedawca na
> takiej liście może być poddany obserwacji, ale to nie oznacza, że się go
> całkiem blokuje, bo to m.in. nie pozwala zbierać dowodów). Rozumiem, że
> nawet jeśli sprzedawca w taki sposób wygenerowałby nie wiem ile numerów
> kart (itd), i następnie zostałyby one użyte we fraudach, to organizacja
> karciana bez większego problemu skojarzy owe fakty (skoro potrafi
> namierzyć sprzedawcę, przez którego ręce przeszło wiele kart użytych
> później we fraudach, ale bez żadnych nietypowych sytuacji u tego
> sprzedawcy).

No i co z tego, że skojarzy? Towar został wydany - organizacja płatnicza
będzie musiała się wytłumaczyć przed posiadaczem konkretnej karty skąd był
fraud. Przecież to będzie numer karty jakiegoś randomowego Kowalskiego.

>
> Autor pisze, że "Scentralizowany system MasterCard wykrył taki atak po
> mniej niż 10 próbach odgadnięcia danych" - ciekawe skąd autor o tym
> wiedział, i skąd wiedział, że akurat VISA tego nie wykryła? Sklepy
> chwalą się takimi informacjami?

Wiedział stąd, że mu się chciało ruszyć 4 litery i zrobić na to odpowiednie
badania. Prawdopodobnie schemat badań jest opisany w jego pracy naukowej.

Dodam, że jakbym ja był związany z bezpieczeństwem IT i by do mnie przyszedł
jakiś kolo i powiedział, że powszechnie używany system płatności ma jakieś
luki, to zamiast się z niego śmiać i deprecjonować użyte przez niego metody,
bym to najzwyczajniej w świecie sprawdził i zbadał. No ale widać, że jak się
ma tak dużo doświadczenia jak Ty, to już się niczego nie sprawdza, bo się
wie wszystko najlepiej.

>
> A może autor próbował w taki sposób odgadnąć numer posiadanej przez
> siebie karty (legalnej), i sprawdzał jej "status" w bankomacie? :-)
>
> "Atak ułatwia fakt, że różne witryny proszą o różne kombinacje danych.
> Absolutne minimum to numer karty i data jej wygaśnięcia. Niektóre
> witryny żądają też podania kodu CVV. Nieograniczona możliwość zgadywanie
> daje szerokie pole do popisu. Po odgadnięciu numeru karty trzeba jeszcze
> zdobyć datę jej wygaśnięcia."
>
> Tyle że niestety doktorant Ali nie dowiedział się, że w celu uzyskania
> autoryzacji (co oznacza "dobrą" kartę) trzeba te dane podać
> jednocześnie. To nie jest tak, że podamy dobry numer i złą datę, i bank
> (sklep) nam powie "numer ok, data nie".
>
> "Eksperci uważają, że w opisany powyżej sposób działali przestępcy,
> którzy niedawno zaatakowali sieć Tesco i ukradli swoim ofiarom 2,5
> miliona funtów"
>
> Taaak, jasne - generowali numery kart, daty ważności oraz kody CVV2,
> i używali ich do kradzieży pieniędzy z kont bankowych. "Zwykłe"
> uzyskanie tych danych, np. przez kasjerkę w supermarkecie, byłoby zbyt
> proste. BTW gdzie się wpisuje ten kod przy kradzieży pieniędzy z konta?

O czym my w ogóle dyskutujemy? Pieniądze z konta kradnie się tak, że konto
jest obciążane kartą debetową, do której się kradnie 3 dane: numer, datę
ważności i kod zabezpieczający. Jeżeli tego nie ogarniasz, to nie dziwię
się, że cały temat wydaje się Tobie podejrzany i niewarty uwagi.

--
Wysłane z pola.

do góry

Michał Jankowski wrote:

> W dniu 12.12.2016 12:13, J.F. pisze:
>
>>
>> Ale nawet bez konta mozna chyba zamowic w Tesco telewizor z dostawa do
>> domu.
>
> Zawsze było tak, że można było zamawiać coś z wysyłką pocztą... Oraz, że
> transakcje bez fizycznego użycia karty były na ryzyko sprzedawcy. Trudno
> było numer karty traktować jako coś 'tajnego' skoro znał go każdy kelner.
>
> Teraz są te różne 3d-secure, smsy itd. - trzeba oprócz numeru karty
> przejąć aparat telefoniczny ofiary(*). No, chyba, że jakiś operator
> telefonii się wygłupi i da dostęp do treści smsów przez internet...

Technologia istnieje. Nie da się zaprzeczyć. W zasadzie to nie technologia
tylko to standard komunikacji z systemami VISA czy MC który zakłada 3D-S.

Tylko co z tego, że protokół dopuszcza aktywację 3D-S. Diabeł tkwi w
szczegółach. Polecam poszukać sobie w necie jakie ramki wymienia centrum
autoryzacyjne operatora kart z bankiem wydawcą karty. Jakie są warunki na
obsługę poszczególnych ficzerów, jakie są timeouty, etc. To nie jest takie
różowe jakby się wydawało na pierwszy rzut oka.

--
Wysłane z pola.

do góry

Krzysztof Halasa wrote:

> "J.F." <j...@p...onet.pl> writes:
>
>> Tak mi sie przypomnialo - w zwyklym sklepie i terminalu - zly pin
>> skutkuje "brak akceptacji".
>> Zastrzezona karta - "zatrzymac karte".
>
> Owszem, ale klient tego nie widzi - widzi sprzedawca.
> W sklepie internetowym dokładnie tak samo (pomijając to, że klient nie
> może zerknąć sprzedawcy "przez ramię").
>

Kody odmowy znajdują się na wydrukach z terminali. Nie wszystkie banki
przekazują szczegółową informację, ale z pewnością są banki, którym się kody
odmowy przekazywane do VISA (i potem dalej do terminala POS i na wydruk) w
100% zgadzają z odpowiadającym temu polem w bankowej bazie danych.

Przykładowe listy kodów odpowiedzi z innych krajów:

http://www.paychoice.com.au/docs/api/credit-card-err
or-codes/

https://www.totalmerchantconcepts.com/educational-re
sources/card-issuer-
response-codes

--
Wysłane z pola.

do góry

janek z pola <a...@e...pl> writes:

> Aha - a to, że klient otrzymuje (nawet w Polsce) z części terminali wprost
> kod odpowiedzi z banku (tak, to jest ta wartość którą bank ma w swojej bazie
> danych w kolumnie "kod odpowiedzi" wydrukowana na slipie z terminala, który
> trzyma w ręku klient), to Twoim zdaniem wyklucza że po tym kodzie odpowiedzi
> można rozpoznać jakie intencje ma bank odrzucając zapytanie o dostępne
> środki?

Kod odpowiedzi z banku zależy od banku, różne banki różnie reagują na
zdarzenia związane z kartami (np. niektóre blokują karty po nietypowych
transakcjach, a inne nie, albo mają inne kryteria "nietypowości").
Niektóre sytuacje (w szczególności zastrzeżenie karty) da się w taki
sposób rozpoznać, aczkolwiek nie jestem pewien czy da się tak zrobić
w sklepie internetowym. Ale może gdzieś się da. Tak czy owak, wyciąganie
z tego wniosków dot. organizacji karcianych nie ma sensu.
BTW nie ma to też związku z zapytaniem o dostępne środki.

>> No ale musiałby "testować" własną kartę, więc nie byłoby mowy
>> o sprawdzaniu numerów.
>
> Albo własne 10 albo własne 100 albo własny 1000 kart przedpłaconych.

Ale w dalszym ciągu te numery nie są wtedy wygenerowane. Tak w ogóle, ta
kwestia nie ma sensu. Bezpieczeństwo kart nie opiera się na tajności
numerów (ani dat ważności) - przecież te dane widzi każdy kasjer!

>> Faktem jest jednak że jakoś się nie słyszy o masowych fraudach tego typu
>> - sprzedawcy jakoś potrafią zapanować nad sytuacją. Są pewne modele
>> sprzedaży o (znacznie) większym ryzyku (np. drobne płatności za towar
>> "wirtualny") - jest to wliczone w cenę.
>
> A kto nie słyszy? Media mainstremowe typu TVN?

Słyszałeś o masowych fraudach tego typu?
--
Krzysztof Hałasa

do góry

janek z pola <a...@e...pl> writes:

> No i co z tego, że skojarzy? Towar został wydany - organizacja płatnicza
> będzie musiała się wytłumaczyć przed posiadaczem konkretnej karty skąd był
> fraud. Przecież to będzie numer karty jakiegoś randomowego
> Kowalskiego.

Nic takiego nie będzie miało miejsca, organizacje nie tłumaczą się przed
posiadaczami kart. To sprawa sklepów.

> Dodam, że jakbym ja był związany z bezpieczeństwem IT i by do mnie przyszedł
> jakiś kolo i powiedział, że powszechnie używany system płatności ma jakieś
> luki, to zamiast się z niego śmiać i deprecjonować użyte przez niego metody,
> bym to najzwyczajniej w świecie sprawdził i zbadał. No ale widać, że jak się
> ma tak dużo doświadczenia jak Ty, to już się niczego nie sprawdza, bo się
> wie wszystko najlepiej.

Jasne jest, że systemy m.in. płatności mają luki, które są zresztą
eliminowane (odejście od imprinterów, ścieżek magnetycznych itd).
Tyle tylko, że to nie są akurat te luki, co w tym artykule.

>> Taaak, jasne - generowali numery kart, daty ważności oraz kody CVV2,
>> i używali ich do kradzieży pieniędzy z kont bankowych. "Zwykłe"
>> uzyskanie tych danych, np. przez kasjerkę w supermarkecie, byłoby zbyt
>> proste. BTW gdzie się wpisuje ten kod przy kradzieży pieniędzy z konta?
>
> O czym my w ogóle dyskutujemy? Pieniądze z konta kradnie się tak, że konto
> jest obciążane kartą debetową, do której się kradnie 3 dane: numer, datę
> ważności i kod zabezpieczający.

I co dalej dzieje się z tymi pieniędzmi, Einsteinie?
--
Krzysztof Hałasa

do góry