eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankizbliżeniówki PayPass MC i Maestro - obserwacje
Ilość wypowiedzi w tym wątku: 64

  • 61. Data: 2009-06-15 19:48:38
    Temat: Re: zbli?eniówki PayPass MC i Maestro - obserwacje
    Od: Krzysztof Halasa <k...@p...waw.pl>

    Tomek Głowacki <t...@t...pl.zx> writes:

    > Dokładnie. Metoda jest dość prosta. Kto przyjmuje płatności tymi
    > PayPassami? A no czasami za przeproszeniem "stragany" z bigosem. Nie
    > sądzę, aby mając dostęp do terminala swobodny i zdolnego nazwijmy to -
    > "szwagra" odpowiednio tenże terminal przystosować (większa czułość? tak
    > żeby zasuwał dookólnie powiedzmy w promieniu 20-30 metrów,

    To byloby raczej trudne, moze jakies kombinacje z antena kierunkowa, ale
    to nie jest trywialne.
    Realne (wzglednie proste) jest "lapanie" z kilkudziesieciu centymetrow.

    > Oczywiście,
    > jedząc łyżeczką potencjalnie nieuczciwy merchant może swobodnie przez
    > długi czas zagarniać więcej niż powinien, dalej mając w papierach
    > względnie czysto (przecież nie rozliczy ile bigosów czy kiełbas sprzedał
    > co do sztuki, albo wręcz stworzy usługi "płatne" i tak potwierdzi ilość,
    > nie musi mieć tego na magazynie).

    Nieuczciwy sprzedawca to maly problem.
    Problemem sa fraudy z uczciwym sprzedawca i nieuczciwym klientem,
    "uzywajacym" zdalnie czyjejs karty.
    --
    Krzysztof Halasa


  • 62. Data: 2009-06-15 20:08:34
    Temat: Re: zbli?eniówki PayPass MC i Maestro - obserwacje
    Od: Krzysztof Halasa <k...@p...waw.pl>

    "Seba" <b...@W...gazeta.pl> writes:

    > czyli rozumiem, ze wymysliles frauda, gdzie jeden czlowiek stoi przy
    > czytniku kart w sklepie z zakupami, a drugi (ten z autobusu) przytyka po
    > kolei do dupska pasażerom drugi czytnik komunikujący się bezprzewodowo z
    > kartą faceta w sklepie

    Wymyslili i przetestowali inni. Po raz pierwszy juz pare lat temu
    zreszta.

    > w nadziei, ze w ciągu kilku sekund, gdy jego wspolnik
    > dał mu znak ze jest juz przy kasie, znajdzie karte pp. Wszystko pieknie,
    > tylko na całą transakcję offline od inicjacji do jej zamkniecia jest czas do
    > maks sekundy (standardowo zamyka sie w 400 ms), w tym czasie musisz
    > pzrekazac informacje w obie strony (czytnik goscia w autobusie musi miec
    > rowniez mozliwosc transamisji w strone do karty), karta ne moze stracic
    > łączności z czytnikiem w czasie trwania transakcji (np właściciel
    > oryginalnej karty zepnie poślady i wszystko od początku).

    400 ms to jest kilka razy wiecej niz czas potrzeby na wyslanie zapytania
    i odebranie odpowiedzi publicznym Internetem na drugi koniec swiata.

    Ale przyznaje ze jedno z potencjalnych zabezpieczen ma polegac na
    scislym limitowaniu czasu odpowiedzi karty (z tym ze wczesniej beda to
    robic, a moze juz robia, platne TV - bankom sie nie spieszy). Tyle ze to
    wykluczy moze fraudy z 20 tys. km (a przynajmniej jest szansa), ale nie
    takie robione np. para radiotelefonow (zeby bylo latwo i tanio, i zeby
    nie bylo sladow w zadnych bilingach itp).

    Swoja droga, to w pewnym sensie takze dziala na korzysc fraudsterow -
    jakby klient zobaczyl operacje z drugiej polkuli to moglby cos
    podejrzewac, ale jak bedzie tam tylko mial np. swoje miasto, to nawet
    jesli cos zauwazy, to bank mu w to nie uwierzy (i zgadnic co zrobi ze
    statystyka).

    "Byl pan wtedy w Koziej Wolce? No bylem, ale... Dziekujemy".

    >> Podaj zrodlo danych o braku wiekszej ilosci fraudow.
    >
    > organizacje płatnicze ?

    Ale miales podac konkretne zrodlo a nie pytac. Ja tez mam pewne idee na
    rozne tematy ale nie traktuje ich jak "twardych" danych.

    >> Jesli bank nie uznaje transakcji za fraud (a moze nawet wlasciciel jej
    >> nie uznaje za fraud, bo nie pamieta), to jakims cudem chcesz to miec
    >> w statystyce fraudow?
    >
    > to juz problem (i obowiązek) posiadacza karty, zeby wyciąg kontrolowal.
    > jakos ludzie potrafia zglaszac np fraudy internetowe na naprawde niewielkie
    > kwoty, nie widze powodu zeby akurat tego typu transakcje mialy im "umykac"

    Drobne fraudy internetowe tez im "umykaja", ale niewazne. Co napiszesz
    o nieuznawaniu fraudu przez bank?
    --
    Krzysztof Halasa


  • 63. Data: 2009-06-15 20:51:14
    Temat: Re: zbli?eniówki PayPass MC i Maestro - obserwacje
    Od: "Seba" <b...@W...gazeta.pl>

    Krzysztof Halasa <k...@p...waw.pl> napisał(a):

    > "Seba" <b...@W...gazeta.pl> writes:
    >
    > > czyli rozumiem, ze wymysliles frauda, gdzie jeden czlowiek stoi przy
    > > czytniku kart w sklepie z zakupami, a drugi (ten z autobusu) przytyka po
    > > kolei do dupska pasażerom drugi czytnik komunikujący się bezprzewodowo z
    > > kartą faceta w sklepie
    >
    > Wymyslili i przetestowali inni. Po raz pierwszy juz pare lat temu
    > zreszta.

    ale w warunkach "laboratoryjnych", w rzeczywistych - nie wydaje mie sie
    mozliwe dogranie calosci w ten sposob aby doprowadzic do konca transakcje -
    gdy na kasie jest nabita kwota i czytnik czeka na karte musisz miec juz na
    widelcu "ofiare", w odpowiednim momencie odebrac sygnal i nadac odpowiedz (z
    drugiej strony niezly bajer musi byc ta fakeowa karta/nadajnik która
    komunikuje sie z terminalem). Naprawde prosciej ukrasc taka karte i isc na
    zakupy offline.
    Podobnie jest z chipem, niby mozna sklonowac, niby mozna zlamac mocne nawet
    kodowanie ale na to potrzeba czasu, którego przy transakcji nie ma - drobny
    timeout i idzie reversal

    > > w nadziei, ze w ciągu kilku sekund, gdy jego wspolnik
    > > dał mu znak ze jest juz przy kasie, znajdzie karte pp. Wszystko pieknie,
    > > tylko na całą transakcję offline od inicjacji do jej zamkniecia jest
    czas do
    > > maks sekundy (standardowo zamyka sie w 400 ms), w tym czasie musisz
    > > pzrekazac informacje w obie strony (czytnik goscia w autobusie musi miec
    > > rowniez mozliwosc transamisji w strone do karty), karta ne moze stracic
    > > łączności z czytnikiem w czasie trwania transakcji (np właściciel
    > > oryginalnej karty zepnie poślady i wszystko od początku).
    >
    > 400 ms to jest kilka razy wiecej niz czas potrzeby na wyslanie zapytania
    > i odebranie odpowiedzi publicznym Internetem na drugi koniec swiata.
    >
    > Ale przyznaje ze jedno z potencjalnych zabezpieczen ma polegac na
    > scislym limitowaniu czasu odpowiedzi karty (z tym ze wczesniej beda to
    > robic, a moze juz robia, platne TV - bankom sie nie spieszy). Tyle ze to
    > wykluczy moze fraudy z 20 tys. km (a przynajmniej jest szansa), ale nie
    > takie robione np. para radiotelefonow (zeby bylo latwo i tanio, i zeby
    > nie bylo sladow w zadnych bilingach itp).
    >
    > Swoja droga, to w pewnym sensie takze dziala na korzysc fraudsterow -
    > jakby klient zobaczyl operacje z drugiej polkuli to moglby cos
    > podejrzewac, ale jak bedzie tam tylko mial np. swoje miasto, to nawet
    > jesli cos zauwazy, to bank mu w to nie uwierzy (i zgadnic co zrobi ze
    > statystyka).
    >
    > "Byl pan wtedy w Koziej Wolce? No bylem, ale... Dziekujemy".
    >

    słyszałem o bardziej beznadziejnych sprawach z punktu widzenia klientów,
    gdzie mimo wszystko dostawali z powrotem ukradzione pieniądze : "listonosze"
    którzy działali dokładnie w terenie klienta - kupowali nawet w tych samych
    sklepach zeby utwierdzic bank w przekonaniu ze to klient; insider z pewnej
    firmy od bankomatów który teoretycznie nie miał prawa wpaśc a wpadł póltora
    roku temu na koszeniu bankomatów (konkretnie podczas czyszczenia jednego z
    nich z gotówki) itp

    druga sprawa - klient klientem, ale kazdy akłajer prowadzi monitoring
    merchantow, tutaj tez wiele fajnych spraw wychodzi


    > >> Podaj zrodlo danych o braku wiekszej ilosci fraudow.
    > >
    > > organizacje płatnicze ?
    >
    > Ale miales podac konkretne zrodlo a nie pytac. Ja tez mam pewne idee na
    > rozne tematy ale nie traktuje ich jak "twardych" danych.

    to było pytanie retoryczne :)

    >
    > >> Jesli bank nie uznaje transakcji za fraud (a moze nawet wlasciciel jej
    > >> nie uznaje za fraud, bo nie pamieta), to jakims cudem chcesz to miec
    > >> w statystyce fraudow?
    > >
    > > to juz problem (i obowiązek) posiadacza karty, zeby wyciąg kontrolowal.
    > > jakos ludzie potrafia zglaszac np fraudy internetowe na naprawde
    niewielkie
    > > kwoty, nie widze powodu zeby akurat tego typu transakcje mialy
    im "umykac"
    >
    > Drobne fraudy internetowe tez im "umykaja", ale niewazne. Co napiszesz
    > o nieuznawaniu fraudu przez bank?

    są tez ludzie którzy nie wiedzą jak im pieniądze z portfela wychodzą :) ta
    sama zasada, albo się pilnuje swoich interesów (nieważne gotówka czy
    konto/karta) albo się budzi jak jest już pozamiatane. nie wydaje mi sie by w
    interesie banku było nieuznawanie klianta,




    --
    Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/


  • 64. Data: 2009-06-15 22:21:20
    Temat: Re: zbli?eniówki PayPass MC i Maestro - obserwacje
    Od: Krzysztof Halasa <k...@p...waw.pl>

    "Seba" <b...@W...gazeta.pl> writes:

    > ale w warunkach "laboratoryjnych", w rzeczywistych - nie wydaje mie sie
    > mozliwe dogranie calosci w ten sposob aby doprowadzic do konca transakcje -
    > gdy na kasie jest nabita kwota i czytnik czeka na karte musisz miec juz na
    > widelcu "ofiare", w odpowiednim momencie odebrac sygnal i nadac odpowiedz (z
    > drugiej strony niezly bajer musi byc ta fakeowa karta/nadajnik która
    > komunikuje sie z terminalem).

    Tworzysz sztuczne problemy. Co niby jest takie trudne, przejsc sie po
    tramwaju i ustawic sie tam, gdzie w "zasiegu" jest jakas karta?

    > Naprawde prosciej ukrasc taka karte i isc na
    > zakupy offline.

    Powaznie, latwiej ukrasc komus karte niz po prostu podejsc niedaleko
    jego? Watpie.
    Zapominasz tez o tym, ze taka karta zapewne niedlugo zostanie
    zastrzezona (= po chwili transakcja wymagajaca autoryzacji zablokuje
    karte), wiec nalezaloby tych kart krasc nie wiadomo ile. To juz
    zdecydowanie latwiej z kartami magnetycznymi, te przynajmniej nie chca
    PINu (w duzej czesci) przy wiekszych zakupach.

    > Podobnie jest z chipem, niby mozna sklonowac, niby mozna zlamac mocne nawet
    > kodowanie ale na to potrzeba czasu, którego przy transakcji nie ma - drobny
    > timeout i idzie reversal

    Nie. Owszem, mozna chipa sklonowac, ale to wymaga jego zlamania. Nie
    chodzi nawet tylko o czas, tylko o wykorzystanie jakiejs slabosci.
    W tym przypadku prawdopodobienstwo sukcesu jest prawie stuprocentowe,
    a brak sukcesu nie jest przeciez zadnym problemem.

    > słyszałem o bardziej beznadziejnych sprawach z punktu widzenia klientów,
    > gdzie mimo wszystko dostawali z powrotem ukradzione pieniądze

    To nie zmienia faktu, ze taki atak jest prosty i bezpieczny.

    > druga sprawa - klient klientem, ale kazdy akłajer prowadzi monitoring
    > merchantow, tutaj tez wiele fajnych spraw wychodzi

    Niestety tu sprzedawca nie ma z tym zwiazku.

    > są tez ludzie którzy nie wiedzą jak im pieniądze z portfela wychodzą :) ta
    > sama zasada, albo się pilnuje swoich interesów (nieważne gotówka czy
    > konto/karta) albo się budzi jak jest już pozamiatane. nie wydaje mi sie by w
    > interesie banku było nieuznawanie klianta,

    Chyba zartujesz? Jesli bank uznaje taki fraud (tak naprawde bez zadnych
    podstaw oprocz samego oswiadczenia klienta) musi za niego zaplacic.
    Nawet nie tylko w Polsce, ale w ogole nigdzie banki tego nie robia jesli
    nie musza.

    To nie sa transakcje w sieci przy ktorych mozna zrobic chargeback "bo
    tak" i placi sprzedawca. Tu placi bank (a wlasciwie klient), bo
    transakcja zostala przeprowadzona jego oryginalna karta.
    --
    Krzysztof Halasa

strony : 1 ... 6 . [ 7 ]


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1