Krzysztof Halasa <k...@p...waw.pl> napisał(a):

> krzysztofsf <k...@w...pl> writes:
>
> > Po czym poznawales, ze transakcja byla online, skoro nie podawales pinu?
> > Po czasie transakcji?
> > Nie moze byc tak, ze przy ktorejs transakcji online, wszystkie
> > poprzednie offline przekazywane razem z nia, sa zakladane z osobnymi
> > blokadami, a nie z jedna zbiorcza blokada?
>
> Teoretycznie te karty mialy dzialac tak, zeby do kwoty jakiejstam
> (np. 50 zl albo $50) nigdy nie podawac PINu. Natomiast po przekroczeniu
> jakiegos tam limitu (niekoniecznie dziennego, raczej takiego
> "bezterminowego") mialaby nastepowac autoryzacja (co nie ma jednak
> zadnego zwiazku z PINem) i po sukcesie limit bylby przywracany.
>
> W skrocie, pod jedynym tylko warunkiem - ze pojedyncze zakupy beda na
> kwote nizsza niz "50 zl" - mozna byloby taka karta wydac dowolna kwote
> (majaca pokrycie na koncie) w dowolnym czasie bez pytania o PIN.

mylisz pojecia, to ze transakcja ma byc bez pinu nie oznacza, ze musi byc
offline - moze byc polaczenie (przy przekroczeniu licznika
ilosciowego/kwotowego dl apaypass) wlasnie po to, zeby sprawdzic czy sa
srodki na rachunku i czy karta nie jest zastrzezona


--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

Krzysztof Halasa <k...@p...waw.pl> napisał(a):

> "Seba" <b...@W...gazeta.pl> writes:
>
> > w stanach karty te uzywane są od 2003 roku i nie wpłynęlo to na
statystyki
> > fraudowe - zlodziejom nie oplaca sie tym zajmowac to raz, dwa ze nie
jest to
> > proste - tak jak pisalem konieczny jest udzial merchanta do dokonania
> > frauda
>
> Falsz, udzial sprzedawcy ani nie jest potrzebny, ani nawet nie jest
> przydatny. Zakladasz uzycie blednego wektora ataku, dlatego wszystkie
> wnioski sa bledne.
>
> Nie jest trywialnie proste - owszem. Kiedys skopiowanie karty
> magnetycznej albo np. postawienie falszywego BTSa itd. GSM tez nie bylo
> proste.

napisałem że poza lost/stolen - co wyciąłeś z cytatu - nie ma możliwości
frauda bez udziału merchanta - trzeba miec dostep do kluczy i
certyfikowanego terminala. a sprzedawca jest przydatny zeby wydal ci towar w
sklepie. innej korzysci z tego nie bedziesz miec

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

Seba pisze:
> Krzysztof Halasa <k...@p...waw.pl> napisał(a):
>
>> krzysztofsf <k...@w...pl> writes:
>>
>>> Po czym poznawales, ze transakcja byla online, skoro nie podawales pinu?
>>> Po czasie transakcji?
>>> Nie moze byc tak, ze przy ktorejs transakcji online, wszystkie
>>> poprzednie offline przekazywane razem z nia, sa zakladane z osobnymi
>>> blokadami, a nie z jedna zbiorcza blokada?
>> Teoretycznie te karty mialy dzialac tak, zeby do kwoty jakiejstam
>> (np. 50 zl albo $50) nigdy nie podawac PINu. Natomiast po przekroczeniu
>> jakiegos tam limitu (niekoniecznie dziennego, raczej takiego
>> "bezterminowego") mialaby nastepowac autoryzacja (co nie ma jednak
>> zadnego zwiazku z PINem) i po sukcesie limit bylby przywracany.
>>
>> W skrocie, pod jedynym tylko warunkiem - ze pojedyncze zakupy beda na
>> kwote nizsza niz "50 zl" - mozna byloby taka karta wydac dowolna kwote
>> (majaca pokrycie na koncie) w dowolnym czasie bez pytania o PIN.


Potwierdzasz Krzysztofie moje satrzezenia. Bylem i jestem niechetny
takim kartom, zwlaszcza w opcji polaczenia z karta debetowa czy kredytowa.




> mylisz pojecia, to ze transakcja ma byc bez pinu nie oznacza, ze musi byc
> offline - moze byc polaczenie (przy przekroczeniu licznika
> ilosciowego/kwotowego dl apaypass) wlasnie po to, zeby sprawdzic czy sa
> srodki na rachunku i czy karta nie jest zastrzezona
>
>

A Ty z kolei piszesz o czyms niezwiazanym z pytaniem - pytalem sie, po
czym MK poznal, ze transakcje byly online.

do góry

"Seba" <b...@W...gazeta.pl> writes:

>> Akurat w przypadku transakcji kartami procesorowymi sprzedawca "ma"
>> podpis karty, wiec to w ogole nie jest jego problem.
>
> TYLKO w przypadku uzycia ORYGINALNEJ karty - nie da sie "zeskimowac" chipa
> do paypass - tylko jesli ukradnisz/znajdziesz taką karte mozesz ją
> wykorzystac

Oczywiscie. Wazny jest sposob uzycia oryginalnej karty. Przeciez
napisalem - usenet to nie jest medium write-only.

Przyjmij do wiadomosci ze w przypadku kart zblizeniowych da sie
przeprowadzic transakcje "na odleglosc" (np. w tlumie) placac
w normalnym sklepie, bez wspoludzialu sprzedawcy i bez potrzeby
posiadania terminala w niewielkiej odleglosci od karty.

I jeszcze ze nie wymaga to specjalnie wielkich nakladow ani trudnosci,
a glowne przeszkody to a) jest to jakas nowosc (przestepcy niekoniecznie
sa naukowcami), b) limity sa takie, ze nie da sie kupic za to TV itp,
w kawalkach po 50 zl nie sprzedaja raczej.

> oczywiscie ze są - fraudy są rejetsrowane przez banki w organizacjach, po
> kilku przypadkach w tym samym punkcie wniosek jest oczywisty

Niestety "oczywisty" niekoniecznie oznacza w tym przypadku "prawdziwy".

Jesli transakcja zostaje przeprowadzona przy uzyciu oryginalnej karty,
i jesli ta karta (zblizeniowa) byla caly czas w posiadaniu prawowitego
posiadacza, to najpierw bank musi uznac ja za fraud, by mozna bylo ja
zarejestrowac jako taki.
--
Krzysztof Halasa

do góry

"Seba" <b...@W...gazeta.pl> writes:

> napisałem że poza lost/stolen - co wyciąłeś z cytatu - nie ma możliwości
> frauda bez udziału merchanta - trzeba miec dostep do kluczy i
> certyfikowanego terminala. a sprzedawca jest przydatny zeby wydal ci towar w
> sklepie. innej korzysci z tego nie bedziesz miec

Falsz.
--
Krzysztof Halasa

do góry

"Seba" <b...@W...gazeta.pl> writes:

>> Teoretycznie te karty mialy dzialac tak, zeby do kwoty jakiejstam
>> (np. 50 zl albo $50) nigdy nie podawac PINu. Natomiast po przekroczeniu
>> jakiegos tam limitu (niekoniecznie dziennego, raczej takiego
>> "bezterminowego") mialaby nastepowac autoryzacja (co nie ma jednak
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>> zadnego zwiazku z PINem) i po sukcesie limit bylby przywracany.
^^^^^^^^^^^^^^^^^^^^^^^
> mylisz pojecia,

Falsz.

> to ze transakcja ma byc bez pinu nie oznacza, ze musi byc
> offline

Niczego takiego nie sugerowalem.
Sam zreszta zacytowales fragment, w ktorym napisalem ze autoryzacja
i PIN nie sa ze soba zwiazane.

Propozycja: zamiast tylko pisac, zacznij takze czytac.
--
Krzysztof Halasa

do góry

krzysztofsf <k...@w...pl> writes:

> Potwierdzasz Krzysztofie moje satrzezenia. Bylem i jestem niechetny
> takim kartom, zwlaszcza w opcji polaczenia z karta debetowa czy
> kredytowa.

Tzn. jak rozumiem w odroznieniu od karty "podarunkowej". Cos w tym jest.

Tak w ogole te zalozenia nie roznia sie specjalnie dla normalnych
(stykowych) kart procesorowych - chociaz implementacja moze byc inna.
Oczywiscie karty "stykowe" maja ta przewage, ze nie wystarczy zblizyc
do nich czytnika, trzeba karte w nim umiescic.
--
Krzysztof Halasa

do góry

Krzysztof Halasa pisze:
> krzysztofsf <k...@w...pl> writes:
>
>> Potwierdzasz Krzysztofie moje satrzezenia. Bylem i jestem niechetny
>> takim kartom, zwlaszcza w opcji polaczenia z karta debetowa czy
>> kredytowa.
>
> Tzn. jak rozumiem w odroznieniu od karty "podarunkowej". Cos w tym jest.
>
> Tak w ogole te zalozenia nie roznia sie specjalnie dla normalnych
> (stykowych) kart procesorowych - chociaz implementacja moze byc inna.
> Oczywiscie karty "stykowe" maja ta przewage, ze nie wystarczy zblizyc
> do nich czytnika, trzeba karte w nim umiescic.

Zastanawialem sie kiedys nad ewentualnoscia kart bezstykowych
dzialajacych na zasadzie wirtualnej portmonetki (typu ekarta)
podpinanych do konta czy karty kredytowej i doladowywanych z tych
srodkow poprzez www czy raczej w bankomacie

Ale biorac pod uwage regulamin takiej ekarty przy transakcjach nie
wymagajacych autoryzacji, gdzie mimo braku srodkow na ekarcie transakcja
przechodzi i pozniej pod nia sa pobierane srodki z ekonta, chip musialby
sie odswiezac po naladowaniu (stad bankomat)i dopiero wtedy pozwalac na
transakcje. Pytanie, czy istnieje mozliwosc oklamania chipa i robienia
na to konto zakupow bez pokrycia z rownoczesnym zablokowaniem w nim
odswiezania danych onlie? Taka "wieczna karta" na drobne wydatki, ktorej
wlasciciel kasowlby dane o transakcjach. Pewno cos by wymyslono.
Zreszta taka blokade mozna rowniez zapewne zaprogramowac i w obecnych
kartach, zwlaszcza prepaid. Wieczny klucz z Limes Inferior Zajdla :)

do góry

"krzysztofsf" <k...@w...pl> wrote in message
news:h0qc9s$l6d$2@news.wp.pl...
>
> Sadzisz, ze bank dal mu magiczna karte, ktora mozna wykonywac codziennie
> kilkanascie transakcji bez zdejmowania pieniedzy z konta,byle lacznie nie
> przekroczyly 200 zl?
>

W przypadku kart kredytowych obciazenie jest po transakcji, prawdziwe karty
prepaid cechuja sie tym, ze kasa zanika konta (rachuku bankowego, o ile taki
jest do karty) i zostaje zaladowana na nosnik.

>
> Po czym poznawales, ze transakcja byla online, skoro nie podawales pinu?
> Po czasie transakcji?

Po kodzie autoryzacji i po tym, ze transakcja byla widoczna w zablokowanych
i po tym, ze terminal wyswietlal kominikat laczenie...

> Nie moze byc tak, ze przy ktorejs transakcji online, wszystkie poprzednie
> offline przekazywane razem z nia, sa zakladane z osobnymi blokadami, a nie
> z jedna zbiorcza blokada?
>

W przypadku KK takie zachowani byloby dopuszczalne, w przypadku pieniadza
elektronicznego jest to zbedne, bo 'rozliczenie' odbywa sie na podstawie
danych z teminala.

> Jak dotad nie dales zadnych kontrargumentow z praktyki, ignorujac
> jednoczesnie wypowiedzi osoby, majacej osobiste doswiadczenia z wieloma
> transakcjami nie wymagajacymi pinu.

Przeciez napisalem, ze korzystalem z karty prepaid, nie moge sie wiec
wypowiadac na temat dzialania KK.

> Dalej uwazam, ze 50 zl to za duzo i karta jest zbyt ryzykowna bez
> mozliwosci wlasnego zmniejszania narzuconych limitow,

No, i ok. Nie musisz korzystac z takiej karty.

MK

do góry

Krzysztof Halasa <k...@p...waw.pl> napisał(a):


> Przyjmij do wiadomosci ze w przypadku kart zblizeniowych da sie
> przeprowadzic transakcje "na odleglosc" (np. w tlumie) placac
> w normalnym sklepie, bez wspoludzialu sprzedawcy i bez potrzeby
> posiadania terminala w niewielkiej odleglosci od karty.

na odleglosc 5 cm ; zanim zaczniesz masowo robic takie "fraudy" posadza cie
za naruszenie nietykalnosci cielesnej czy inne molestowanie albo po prostu
dostaniesz od kogos w twarz, bo nie da sie tego zrobic z odleglosci jaka
zachowuja ludzie miedzy soba nawet w tłoku. co do obciazenia karty bez
terminala (czyli kluczy), ktory jest niezbedny do autentykacji transakcji
(tak jak pisalem rozkodowanie kryptogramu bądz cvc/cvv3) nie bede
komentowal, bo to swiadczy ze nie masz pojecia o czym piszesz. na pdobnej
zasadzie mozesz sobie odczytac dane z karty magnetycznej przez jakis czytnik
podpiety do pc i co z tego ? obciążysz kartę ?

> I jeszcze ze nie wymaga to specjalnie wielkich nakladow ani trudnosci,
> a glowne przeszkody to a) jest to jakas nowosc (przestepcy niekoniecznie
> sa naukowcami), b) limity sa takie, ze nie da sie kupic za to TV itp,
> w kawalkach po 50 zl nie sprzedaja raczej.

u nas nowosc, w stanach od 5 lat - i nie ma przez to wiecej fraudow.

> > oczywiscie ze są - fraudy są rejetsrowane przez banki w organizacjach,
po
> > kilku przypadkach w tym samym punkcie wniosek jest oczywisty
>
> Niestety "oczywisty" niekoniecznie oznacza w tym przypadku "prawdziwy".

pisząc po twojemu - fałsz

> Jesli transakcja zostaje przeprowadzona przy uzyciu oryginalnej karty,
> i jesli ta karta (zblizeniowa) byla caly czas w posiadaniu prawowitego
> posiadacza, to najpierw bank musi uznac ja za fraud, by mozna bylo ja
> zarejestrowac jako taki.

no i co z tego ? chyba oczywiste ze za kazdym razem gdy jest robiony
chargeback fraudowy musi byc zarejestrowane naduzycie w MC bo inaczej bank
nie wygra

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry