eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankikarty indukcyjne
Ilość wypowiedzi w tym wątku: 152

  • 81. Data: 2013-07-12 11:01:11
    Temat: Re: karty indukcyjne
    Od: Piotrek <p...@p...na.berdyczow.info>

    On 2013-07-12 10:28, Wojciech Bancer wrote:
    > Niezłe SF. Uśmiałem się. Autor ma wyobraźnię. :)
    > A coś z realnego świata?

    Czego konkretnie nie zrozumiałeś?

    Piotrek


  • 82. Data: 2013-07-12 11:11:55
    Temat: Re: karty indukcyjne
    Od: Piotrek <p...@p...na.berdyczow.info>

    On 2013-07-12 10:28, Wojciech Bancer wrote:
    > Niezłe SF. Uśmiałem się. Autor ma wyobraźnię. :)
    > A coś z realnego świata?

    Tu masz pierwszą lepszą wizualizację do tego SF:
    Click -> <http://www.youtube.com/watch?v=w_vYuLyfw3E>

    Software leży tu:
    Click -> <http://sourceforge.net/projects/nfcproxy/>

    Jedyny "problem" polega na zbudowaniu sprzętu posiadającego nieco lepszą
    czułość niż to co standardowo jest w telefonie.

    Ale ponieważ protokół (NFC) nie ma wbudowanych zabezpieczeń przed
    maksymalną odległością z jakiej można się komunikować z urządzeniem to
    jest to "problem" a nie problem.

    Piotrek


  • 83. Data: 2013-07-12 11:21:27
    Temat: Re: karty indukcyjne
    Od: Wojciech Bancer <p...@p...pl>

    On 2013-07-12, Piotrek <p...@p...na.berdyczow.info> wrote:
    > On 2013-07-12 10:28, Wojciech Bancer wrote:
    >> Niezłe SF. Uśmiałem się. Autor ma wyobraźnię. :)
    >> A coś z realnego świata?
    >
    > Czego konkretnie nie zrozumiałeś?

    Takiego drobiazgu jak synchronizacja i radzenie sobie z opóźnieniami
    transmisji na odległość vs wymaganiami co do transmisji jakie mają
    terminale.

    Zabawnie byłoby oglądać "nie wzbudzającą podejrzeń" parkę, w której
    jeden się lepi do ludzi "w autobusie", a drugi idealnie wymierza moment
    na piknięcie w kasie.

    Normalnie jak film szpiegowski klasy B. :)

    --
    Wojciech Bańcer
    p...@p...pl


  • 84. Data: 2013-07-12 11:28:07
    Temat: Re: karty indukcyjne
    Od: Piotrek <p...@p...na.berdyczow.info>

    On 2013-07-12 11:21, Wojciech Bancer wrote:
    > Takiego drobiazgu jak synchronizacja i radzenie sobie z opóźnieniami
    > transmisji na odległość vs wymaganiami co do transmisji jakie mają
    > terminale.

    Odpowiedź masz w filmie z mojego poprzedniego postu.

    Przy dobrze zaplanowanym ataku prawdopodobieństwo, że od zeskanowania
    karty do fraudowej transakcji ofiara zrobi transakcję kartą jest
    praktycznie zerowe.

    Piotrek


  • 85. Data: 2013-07-12 11:29:03
    Temat: Re: karty indukcyjne
    Od: Wojciech Bancer <p...@p...pl>

    On 2013-07-12, Piotrek <p...@p...na.berdyczow.info> wrote:

    >> Niezłe SF. Uśmiałem się. Autor ma wyobraźnię. :)
    >> A coś z realnego świata?
    >
    > Tu masz pierwszą lepszą wizualizację do tego SF:
    > Click -> <http://www.youtube.com/watch?v=w_vYuLyfw3E>

    Absolutnie nie. I nawet ładnie w komentarzu naposali, że na nie US
    kartach raczej nie zadziała. A jednak wszystkie obecne informacje
    jakie się w sieci znajdują na temat "ściągnęli mi kasę z konta"
    dotyczą skradzionych kart.

    --
    Wojciech Bańcer
    p...@p...pl


  • 86. Data: 2013-07-12 11:29:48
    Temat: Re: karty indukcyjne
    Od: Wojciech Bancer <p...@p...pl>

    On 2013-07-12, Piotrek <p...@p...na.berdyczow.info> wrote:
    > On 2013-07-12 11:21, Wojciech Bancer wrote:
    >> Takiego drobiazgu jak synchronizacja i radzenie sobie z opóźnieniami
    >> transmisji na odległość vs wymaganiami co do transmisji jakie mają
    >> terminale.
    >
    > Odpowiedź masz w filmie z mojego poprzedniego postu.
    >
    > Przy dobrze zaplanowanym ataku prawdopodobieństwo, że od zeskanowania
    > karty do fraudowej transakcji ofiara zrobi transakcję kartą jest
    > praktycznie zerowe.

    W Polsce masz challenge-response tokeny, więc takie zapisane transakcje
    nie wystarczą.

    --
    Wojciech Bańcer
    p...@p...pl


  • 87. Data: 2013-07-12 11:39:33
    Temat: Re: karty indukcyjne
    Od: Piotrek <p...@p...na.berdyczow.info>

    On 2013-07-12 11:29, Wojciech Bancer wrote:
    > [...] na nie US kartach raczej nie zadziała [...]

    Być może. Chociaż nie widać powodu dla którego miałby nie zadziałać atak
    z wykorzystaniem trybu proxy.

    Ale nie na tym polega zasadniczy problem. Zasadniczy problem polega na
    tym, że w większości banku funkcjonalności nie można wyłączyć na żądanie.

    I tu (choć nie jesteśmy na pręgierzu) wazelina dla np. Citi gdzie
    dzwonisz na party-line, mówisz że sobie nie życzysz mieć płatności
    zbliżeniowych i Ci je po prostu wyłączają.

    Proste? Proste!

    Piotrek


  • 88. Data: 2013-07-12 11:49:30
    Temat: Re: karty indukcyjne
    Od: Wojciech Bancer <p...@p...pl>

    On 2013-07-12, Piotrek <p...@p...na.berdyczow.info> wrote:

    [...]

    > Być może. Chociaż nie widać powodu dla którego miałby nie zadziałać atak
    > z wykorzystaniem trybu proxy.

    No ale tutaj mamy do czynienia wtedy z gościem który sobie łazi po ludziach
    i wygląda co najmniej dziwnie. Pamiętaj o koniecznej synchronizacji.
    Realny świat to nie warunki laboratoryjne i *trochę* zabezpieczeń,
    opóźnień i innych trudnych do przewidzenia rzeczy tam jest.

    A wpaść niezwykle łatwo, bo musisz to robić f2f. I to za co?
    Kwoty w sklepach to raptem 50 zł jednorazowo, bo inaczej karta poprosi
    o pin. A przy ponownym użyciu trzeba mieć ponownie zbliżoną, bo inny
    będzie CR. Pomyśl przez chwilę jakie to jest ryzykowne w realnym życiu,
    a nie w warunkach laboratoryjnych.

    > I tu (choć nie jesteśmy na pręgierzu) wazelina dla np. Citi gdzie
    > dzwonisz na party-line, mówisz że sobie nie życzysz mieć płatności
    > zbliżeniowych i Ci je po prostu wyłączają.
    >
    > Proste? Proste!

    I karta o tym nie wie do momentu aż nie zostanie odpowiednio poinstruowana
    w czasie transakcji online. A i tak istotniejsze jest:
    - wyłączenie transakcji internetowych
    - wyłączenie transakcji offline
    co powoduje że karta staje się mało wygodna i mało użyteczna.
    Zbliżeniówka to przy powyższym pikuś nie warty szerszej wzmianki.

    --
    Wojciech Bańcer
    p...@p...pl


  • 89. Data: 2013-07-12 12:12:31
    Temat: Re: karty indukcyjne
    Od: Piotrek <p...@p...na.berdyczow.info>

    On 2013-07-12 11:49, Wojciech Bancer wrote:
    > No ale tutaj mamy do czynienia wtedy z gościem który sobie łazi po ludziach
    > i wygląda co najmniej dziwnie. Pamiętaj o koniecznej synchronizacji.
    > Realny świat to nie warunki laboratoryjne i *trochę* zabezpieczeń,
    > opóźnień i innych trudnych do przewidzenia rzeczy tam jest.
    >
    > A wpaść niezwykle łatwo, bo musisz to robić f2f. I to za co?
    > Kwoty w sklepach to raptem 50 zł jednorazowo, bo inaczej karta poprosi
    > o pin. A przy ponownym użyciu trzeba mieć ponownie zbliżoną, bo inny
    > będzie CR. Pomyśl przez chwilę jakie to jest ryzykowne w realnym życiu,
    > a nie w warunkach laboratoryjnych.

    Ale zgaduję, że w realnym życiu nie używa się do fraudów urządzeń
    ogólnodostępnych tylko profesjonalnych (które potrafią się komunikować
    na odległości nieco większe niż te 10-15 cm). A samą fraudową płatność
    robisz jak wiesz, że masz w zasięgu kartę, która odpowie.

    Tak więc ryzyko niewielkie, natomiast zyski to tylko kwestia skali i
    umiejętności dystrybucji pozyskanych w wyniku fraudu towarów.

    > I karta o tym nie wie do momentu aż nie zostanie odpowiednio poinstruowana

    Oczywiście.

    > w czasie transakcji online. A i tak istotniejsze jest:
    > - wyłączenie transakcji internetowych

    Czy odpowiadasz za fraudy przy transakcjach MOTO/internetowych?

    > - wyłączenie transakcji offline
    > co powoduje że karta staje się mało wygodna i mało użyteczna.

    Ale dla kogo? Dla użytkownika? A jaki to problem *dla użytkownika*
    poczekać x sekund na autoryzację on-line?

    Oczywiście problem jest dla akceptanta/banku. Ponieważ wymaga
    zaangażowania konkretnych zasobów *w chwili* dokonywania transakcji.

    No ale przecież to "nie mój cyrk, nie moje małpy".

    Piotrek


  • 90. Data: 2013-07-12 12:30:49
    Temat: Re: karty indukcyjne
    Od: Wojciech Bancer <p...@p...pl>

    On 2013-07-12, Piotrek <p...@p...na.berdyczow.info> wrote:

    [...]

    >> A wpaść niezwykle łatwo, bo musisz to robić f2f. I to za co?
    >> Kwoty w sklepach to raptem 50 zł jednorazowo, bo inaczej karta poprosi
    >> o pin. A przy ponownym użyciu trzeba mieć ponownie zbliżoną, bo inny
    >> będzie CR. Pomyśl przez chwilę jakie to jest ryzykowne w realnym życiu,
    >> a nie w warunkach laboratoryjnych.
    >
    > Ale zgaduję, że w realnym życiu nie używa się do fraudów urządzeń
    > ogólnodostępnych tylko profesjonalnych (które potrafią się komunikować
    > na odległości nieco większe niż te 10-15 cm). A samą fraudową płatność
    > robisz jak wiesz, że masz w zasięgu kartę, która odpowie.

    Ale co to znaczy "masz w zasięgu"? Musisz przez dobrą chwilę popindalać za kimś.
    Nawet jak zasię jest większy niż 20 cm, to *i tak* ludzie się ruszają, obracają
    rozmawiają, poruszają. A profesjonaliści się za drobnymi nie uganiają, właśnie
    o to chodzi w całej idei. Za duże ryzyko do potencjalnego potencjalnego zysku
    IMHO.

    > Tak więc ryzyko niewielkie, natomiast zyski to tylko kwestia skali i
    > umiejętności dystrybucji pozyskanych w wyniku fraudu towarów.

    Kwestia oceny. Jak dla mnie jest bardzo duże. I właśnie o to chodzi.

    >> w czasie transakcji online. A i tak istotniejsze jest:
    >> - wyłączenie transakcji internetowych
    >
    > Czy odpowiadasz za fraudy przy transakcjach MOTO/internetowych?

    Zależy od banku. Podpadasz pod dokładnie ten sam przepis co transakcje
    offline/zbliżeniowe. W jednym banku uznają reklamację, w innym nie.

    >> - wyłączenie transakcji offline
    >> co powoduje że karta staje się mało wygodna i mało użyteczna.
    >
    > Ale dla kogo? Dla użytkownika? A jaki to problem *dla użytkownika*
    > poczekać x sekund na autoryzację on-line?

    Gdzie x jest w okolicach 30, zamiast w okolicach 4.
    To nie jest problem. To jest po prostu mniej wygodne.
    Ja jak mam do wyboru: karta online, karta offline, gotówka,
    to zawsze wolę offline.

    --
    Wojciech Bańcer
    p...@p...pl

strony : 1 ... 8 . [ 9 ] . 10 ... 16


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1