On 11 Cze, 12:24, "Seba" <b...@W...gazeta.pl> wrote:

> sprzedawca musialby byc wyjatkowym idiota, zeby ryzykowac wiezienie, utrate
> licencji itp dla kilku transakcji do 50 pln - takie cos wyjdzie po 3-4
> reklamacjach od klientow dla danego punktu.
chyba, że znajdzie sposób dzięki któremu poczuje się bezpiecznie.
(pomijajac w ogóle fakt, że własciciel sklepu nie musi być sprzedawcą,
nie musi wiedzieć jak bawia sie jego pracownicy albo jak próbują
zwiekszyć obrót aby w ich mniemaniu łatwo - dostać premie za dobre
wyniki itp.)
A idioci sie zdarzają niestety na świecie?


> to wyobraz sobie w takim razie, jakie teraz fraudy pokrywasz w formie oplat,
> jesli to dziala w ten sposob.  
Wyobrażam sobie - każde ryzyko trzeba wliczyć w koszty i banki to
robią. Oczywiście nigdzie nie będzie opłaty "za ryzyko fraudu" - za to
bedzie "za kartę, za nieużywanie karty, za konto" itp. albo opłata
będzie pobierana poprzez oferowanie niższego oprocentowania rachunku
lub w ogóle brak %.
Owszem więcej transakcji = większe zyski więc można liczyć, że to
pokryje koszty ryzyka.

do góry

k...@o...pl writes:

> Pewnym ograniczeniem może być odległość - do czytnika trzeba kartę
> przyłożyć dosyć blisko. Nie sądzę jednak, że jest to problem którego
> nie uda się obejść..

W tloku w autobusie itp? Bez problemu.
Problem z kartami magnetycznymi tez byl znany duzo wczesniej niz zaczal
byc na wieksza skale eksploatowany. Tutaj trzeba troche kombinacji -
trzeba zrobic jakis (bezprzewodowy zapewne) most miedzy "czytnikiem"
w autobusie a "klientem", ktory wlasnie w prawdziwym sklepie placi za
towar.

Natomiast przyznaje ze nie rozumiem dlaczego karta zblizeniowa mialaby
byc lepsza pod jakims wzgledem od karty procesorowej. No nie wiem,
higiena? :-)
--
Krzysztof Halasa

do góry

"Seba" <b...@W...gazeta.pl> writes:

> jesli twoje psikusy polegają na generowaniu dynamicznego cvc3/cvv3 lub
> rozkodowywaniu kryptogramu (mając oczywiscie dostep do kluczy
> organizacji/centrow rozliczeniowych/bankow) to mozesz sie w ten sposob
> bawic.

Bez sensu, wektor ataku na takie karty jest (jak juz napisalem) zupelnie
inny i w praktyce niezbyt trudny do zrealizowania.

Gdyby zamiast 50 zl mozna bylo taka karta wydac np. 5 kzl (bez PINu), to
podejrzewam ze juz bysmy mieli takie ataki. Inna sprawa, biorac pod
uwage liczbe ludzi uzywajacych kart zblizeniowych (niekonieczenie
w Polsce), pewnie takie ataki juz sa dokonywane, tylko skad mielibysmy
sie o nich (konkretnie) dowiedziec.
--
Krzysztof Halasa

do góry

krzysztofsf <k...@w...pl> writes:

> Po czym poznawales, ze transakcja byla online, skoro nie podawales pinu?
> Po czasie transakcji?
> Nie moze byc tak, ze przy ktorejs transakcji online, wszystkie
> poprzednie offline przekazywane razem z nia, sa zakladane z osobnymi
> blokadami, a nie z jedna zbiorcza blokada?

Teoretycznie te karty mialy dzialac tak, zeby do kwoty jakiejstam
(np. 50 zl albo $50) nigdy nie podawac PINu. Natomiast po przekroczeniu
jakiegos tam limitu (niekoniecznie dziennego, raczej takiego
"bezterminowego") mialaby nastepowac autoryzacja (co nie ma jednak
zadnego zwiazku z PINem) i po sukcesie limit bylby przywracany.

W skrocie, pod jedynym tylko warunkiem - ze pojedyncze zakupy beda na
kwote nizsza niz "50 zl" - mozna byloby taka karta wydac dowolna kwote
(majaca pokrycie na koncie) w dowolnym czasie bez pytania o PIN.

Z tym ze kazde pytanie o PIN blokowaloby bezpinowe transakcje do momentu
podania wlasciwego PINu (offline), wiec jedna wpadka (np. terminal
z mniejszym limitem bezpinowym) i karta staje sie dla zlodzieja
bezuzyteczna. Takze - zastrzezenie (blokada) karty i zlodziej traci
karte przy pierwszej online autoryzacji (czyli nie moze nia wydac wiecej
niz XXX od momentu blokady, nawet jesli zna PIN).
--
Krzysztof Halasa

do góry

Krzysiek pisze:
> Od razu? nie trzeba przypadkiem przejść najpierw przez skomplikowany
> system reklamacyjny?

Jaki on tam skomplikowany? Dostajesz kwit, w zależnosci od sytuacji i
podpisujesz. W przypadku kredytówki zawieszona masz spłatę spornej kwoty.

> Tylko co dalej? Dalej sprawdzanie czy była potwierdzana PINem czy
> podpis itd. A przy bezstykowych nie ma zadnego PINu, żadnego podpisu.

Więc to sprzedawca musi udowodnić, że sprzedał ci coś. Jego problem.
Zgłoszenie sprawy na policję przyspiesza nawet sprawę.

--
Raf

do góry

Rafał <a...@m...invalid> writes:

>> Tylko co dalej? Dalej sprawdzanie czy była potwierdzana PINem czy
>> podpis itd. A przy bezstykowych nie ma zadnego PINu, żadnego podpisu.
>
> Więc to sprzedawca musi udowodnić, że sprzedał ci coś. Jego problem.

Akurat w przypadku transakcji kartami procesorowymi sprzedawca "ma"
podpis karty, wiec to w ogole nie jest jego problem.

Chyba ze taki sprzedawca zostanie zlapany na tym, ze zajmuje sie glownie
dokonywaniem fraudow - wtedy moze byc gorzej, ale czy sa mechanizmy zeby
go na tym zlapac (takie jak w przypadku normalnych kart) to nie wiem.
--
Krzysztof Halasa

do góry

On 11 Cze, 14:04, Krzysztof Halasa <k...@p...waw.pl> wrote:

> Natomiast przyznaje ze nie rozumiem dlaczego karta zblizeniowa mialaby
> byc lepsza pod jakims wzgledem od karty procesorowej. No nie wiem,
> higiena? :-)
Styki się nie "powycierają" więc można wydac na dłużej?:)

do góry

Krzysztof Halasa <k...@p...waw.pl> napisał(a):

> Bez sensu, wektor ataku na takie karty jest (jak juz napisalem) zupelnie
> inny i w praktyce niezbyt trudny do zrealizowania.
>
> Gdyby zamiast 50 zl mozna bylo taka karta wydac np. 5 kzl (bez PINu), to
> podejrzewam ze juz bysmy mieli takie ataki. Inna sprawa, biorac pod
> uwage liczbe ludzi uzywajacych kart zblizeniowych (niekonieczenie
> w Polsce), pewnie takie ataki juz sa dokonywane, tylko skad mielibysmy
> sie o nich (konkretnie) dowiedziec.

w stanach karty te uzywane są od 2003 roku i nie wpłynęlo to na statystyki
fraudowe - zlodziejom nie oplaca sie tym zajmowac to raz, dwa ze nie jest to
proste - tak jak pisalem konieczny jest udzial merchanta do dokonania frauda
(pomijając oczywiste przypadki lost/stolen), a jak merchant ma juz jechac z
fraudami to nie idzie w drobnice typu paypass/paywave tylko konkretnie.

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

Krzysztof Halasa <k...@p...waw.pl> napisał(a):

> Akurat w przypadku transakcji kartami procesorowymi sprzedawca "ma"
> podpis karty, wiec to w ogole nie jest jego problem.

TYLKO w przypadku uzycia ORYGINALNEJ karty - nie da sie "zeskimowac" chipa
do paypass - tylko jesli ukradnisz/znajdziesz taką karte mozesz ją
wykorzystac
>
> Chyba ze taki sprzedawca zostanie zlapany na tym, ze zajmuje sie glownie
> dokonywaniem fraudow - wtedy moze byc gorzej, ale czy sa mechanizmy zeby
> go na tym zlapac (takie jak w przypadku normalnych kart) to nie wiem.

oczywiscie ze są - fraudy są rejetsrowane przez banki w organizacjach, po
kilku przypadkach w tym samym punkcie wniosek jest oczywisty


--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

"Seba" <b...@W...gazeta.pl> writes:

> w stanach karty te uzywane są od 2003 roku i nie wpłynęlo to na statystyki
> fraudowe - zlodziejom nie oplaca sie tym zajmowac to raz, dwa ze nie jest to
> proste - tak jak pisalem konieczny jest udzial merchanta do dokonania
> frauda

Falsz, udzial sprzedawcy ani nie jest potrzebny, ani nawet nie jest
przydatny. Zakladasz uzycie blednego wektora ataku, dlatego wszystkie
wnioski sa bledne.

Nie jest trywialnie proste - owszem. Kiedys skopiowanie karty
magnetycznej albo np. postawienie falszywego BTSa itd. GSM tez nie bylo
proste.
--
Krzysztof Halasa

do góry