Jak widać czasami możemy być kompletnie bezsilni i nieświadomi tego, że
podajemy na tacy swój PIN.

<http://www.heise-online.pl/newsticker/news/item/Zma
nipulowane-terminale-
w-amerykanskich-filiach-sieci-Aldi-1105623.html>


--
xbartx

do góry

On 13 Paź, 15:14, xbartx <b...@h...net> wrote:
> Jak widać czasami możemy być kompletnie bezsilni i nieświadomi tego, że
> podajemy na tacy swój PIN.
>
> <http://www.heise-online.pl/newsticker/news/item/Zma
nipulowane-terminale-
> w-amerykanskich-filiach-sieci-Aldi-1105623.html>
>

A czy tam jakis bank wdrozyl EMV? ;)

MK

do góry

Dnia Wed, 13 Oct 2010 11:40:41 -0700, MK napisał(a):

> A czy tam jakis bank wdrozyl EMV? ;)

Pewnie nie, ale co z tego. U nas jest EMV, ale jeżeli mamy dostęp do
terminala na etapie produkcji, to można by to rozwiązać np tak. Klient
wkłada kartę do terminala, oczywiście idzie z chipa - terminal uzyskuje
PIN i wrzuca jakiś błąd i prosi o skorzystanie z paska i voila. Mając
dostęp do modyfikacji terminala, można to nawet ustawić losowo, że co
któraś transakcja nie przechodzi z chipa, tak aby nie wzbudzać zbytnio
podejrzeń. No możliwości jest wtedy bez liku i IMO nawet EMV nam wtedy
nie straszne.

--
xbartx

do góry

On 14 Paź, 08:45, xbartx <b...@h...net> wrote:
> Dnia Wed, 13 Oct 2010 11:40:41 -0700, MK napisał(a):
>
> > A czy tam jakis bank wdrozyl EMV? ;)
>
> Pewnie nie, ale co z tego. U nas jest EMV, ale jeżeli mamy dostęp do
> terminala na etapie produkcji, to można by to rozwiązać np tak. Klient
> wkłada kartę do terminala, oczywiście idzie z chipa - terminal uzyskuje
> PIN i wrzuca jakiś błąd i prosi o skorzystanie z paska i voila. Mając
> dostęp do modyfikacji terminala, można to nawet ustawić losowo, że co
> któraś transakcja nie przechodzi z chipa, tak aby nie wzbudzać zbytnio
> podejrzeń. No możliwości jest wtedy bez liku i IMO nawet EMV nam wtedy
> nie straszne.
>
> --
> xbartx

Tak tylko to jest myslenie "fantastyczno-naukowe", a nie praktyczne :)
Orobic sie trzeba - a akcja jednorazowa bo przy wyczyszczeniu X kart
zeskanowanych w takim terminalu wyjdzie, ktory terminal "kradnie"
dane :) Orobic sie trzeba, a skutecznosc i sens taki sam jak
skanowanie przez nakladke w bankomatach :)

do góry

Dnia Thu, 14 Oct 2010 00:12:22 -0700, BK napisał(a):

> Tak tylko to jest myslenie "fantastyczno-naukowe", a nie praktyczne :)
> Orobic sie trzeba - a akcja jednorazowa bo przy wyczyszczeniu X kart
> zeskanowanych w takim terminalu wyjdzie, ktory terminal "kradnie" dane
> :) Orobic sie trzeba, a skutecznosc i sens taki sam jak skanowanie przez
> nakladke w bankomatach :)

No wiadomo, że łatwe, proste i przyjemne to na pewno nie jest, ale skoro
ktoś się w to bawi, to znaczy że musi się opłacać. Fakt, że w USA z racji
braku EMV mamy idealną sytuację, ale nie oznacza to wcale, że i w Europie
nie będą miały miejsca podobne akcje.



--
xbartx

do góry

On Oct 14, 9:46 am, xbartx <b...@h...net> wrote:
> Dnia Thu, 14 Oct 2010 00:12:22 -0700, BK napisał(a):
>
> > Tak tylko to jest myslenie "fantastyczno-naukowe", a nie praktyczne :)
> > Orobic sie trzeba - a akcja jednorazowa bo przy wyczyszczeniu X kart
> > zeskanowanych w takim terminalu wyjdzie, ktory terminal "kradnie" dane
> > :) Orobic sie trzeba, a skutecznosc i sens taki sam jak skanowanie przez
> > nakladke w bankomatach :)
>
> No wiadomo, że łatwe, proste i przyjemne to na pewno nie jest, ale skoro
> ktoś się w to bawi, to znaczy że musi się opłacać. Fakt, że w USA z racji
> braku EMV mamy idealną sytuację, ale nie oznacza to wcale, że i w Europie
> nie będą miały miejsca podobne akcje.
>
> --
> xbartx

Ale wlasnie to specyfika stanow (glownie brak tego EMV) decyduje o
tym, ze ktos sie tam bawi w takie rzeczy, a u nas nie. To jak z
podrabianiem czekow :)

do góry

Dnia Thu, 14 Oct 2010 01:36:18 -0700, BK napisał(a):

> Ale wlasnie to specyfika stanow (glownie brak tego EMV) decyduje o tym,
> ze ktos sie tam bawi w takie rzeczy, a u nas nie. To jak z podrabianiem
> czekow :)

Zaczęli się bawić w stanach, bo jest łatwiej i prościej, jednak nie
gwarantuje nam to zupełnie tego, że u nas *na pewno* się nie będą bawić,
mimo że mamy EMV.



--
xbartx

do góry

On 14 Paź, 12:04, xbartx <b...@h...net> wrote:
> Dnia Thu, 14 Oct 2010 01:36:18 -0700, BK napisał(a):
>
> > Ale wlasnie to specyfika stanow (glownie brak tego EMV) decyduje o tym,
> > ze ktos sie tam bawi w takie rzeczy, a u nas nie. To jak z podrabianiem
> > czekow :)
>
> Zaczęli się bawić w stanach, bo jest łatwiej i prościej, jednak nie
> gwarantuje nam to zupełnie tego, że u nas *na pewno* się nie będą bawić,
> mimo że mamy EMV.
>
> --
> xbartx

Janse, ze nie gwarantuje jednak - paradoksalnie - zlodziejstwo to
chyba jedyna branza gdzie prawdziwy kapitalizm rzadzi niepodzielnie.
Jak ktos kradnie to tylko tak zeby mu sie to maksymalnie oplacalo :)
Poki sa tansze i latwiejsze metody "golenia" nikt nie siega po te
metody, ktore sa drigie, skomplikowane i trudne w realizacji :)

Sa metody/pomysly "golenia" znane od X lat (co jakis czas ktos
odkrywczo oglasza, ze znalazl taka czy inna luke), ale i tak nikt z
nich nie korzysta poki czyszczenie kart nakladkami skanujacymi jest
proste jak budowa cepa. Kiedy przestanie byc proste bo pozbedziemy sie
paskow to poszuka sie innej prostej metody - jednak nie falszywych
terminali skoro pasek zostanie zlikwidowany :)

Analogicznie - tyle jest ciekawych i zaawansowanych technicznie metod
oszukiwania w internecie ale nikt z nich nie korzysta, poki mozna
zarobic setki tysiecy zlotych przez weekend zakladajac fikcyjny sklep
AGD/RTV z promocyjnymi cenami i obowiazkowa przedplata za towar :)

Daleki jestem od bagatelizowania pewnych zagrozen ale jestem twardym
realista w tej dzialce, ktora mam przyjemnosc doglebnie poznawac.
Finezja i intrygujace zaawansowane metody to tylko w filmach z
hollywood - zlodzieje w zyciu stawiaja na prostote i szybkosc.
Praktycznie wszystkie metody sprowadzaja sie do tego, ze sa proste i
szybkie.

Po co bawic sie w przerabianie terminali podczas produkcji, czekanie
az trafia na rynek i do akceptanta etc. etc. skoro banalnymi metodami
mozna zarabiac w tym czasie metody :)

do góry

Użytkownik "xbartx" <b...@h...net> napisał w wiadomości
news:i968tq$71d$1@inews.gazeta.pl...
> Dnia Wed, 13 Oct 2010 11:40:41 -0700, MK napisał(a):
>
>> A czy tam jakis bank wdrozyl EMV? ;)
>
> Pewnie nie, ale co z tego. U nas jest EMV, ale jeżeli mamy dostęp do
> terminala na etapie produkcji, to można by to rozwiązać np tak. Klient
> wkłada kartę do terminala, oczywiście idzie z chipa - terminal uzyskuje
> PIN i wrzuca jakiś błąd i prosi o skorzystanie z paska i voila. Mając
> dostęp do modyfikacji terminala, można to nawet ustawić losowo, że co
> któraś transakcja nie przechodzi z chipa, tak aby nie wzbudzać zbytnio
> podejrzeń. No możliwości jest wtedy bez liku i IMO nawet EMV nam wtedy
> nie straszne.


Z chipa chyba nie da się odczytać PIN, tylko zdajesię wyliczyć na podstawie
zawartych tam danych, czy PIN podano dobry.

do góry

Dnia Thu, 14 Oct 2010 21:39:28 +0200, Robert Tomasik napisał(a):

> Z chipa chyba nie da się odczytać PIN, tylko zdajesię wyliczyć na
> podstawie zawartych tam danych, czy PIN podano dobry.

Ale jak modyfikujesz terminal, to po co w ogóle wnikać w chip i jego PIN.
Przechwytujesz to co wpisuje na pinpadzie właściciel karty. Powiedzmy, że
masz 99% celności, bo jakieś pomyłki zawsze się zdarzyć mogą.



--
xbartx

do góry