krzysztofsf <k...@w...pl> writes:

> Ale biorac pod uwage regulamin takiej ekarty przy transakcjach nie
> wymagajacych autoryzacji, gdzie mimo braku srodkow na ekarcie
> transakcja przechodzi i pozniej pod nia sa pobierane srodki z ekonta,
> chip musialby sie odswiezac po naladowaniu (stad bankomat)i dopiero
> wtedy pozwalac na transakcje.

Ale to sie ma przeciez nijak do samego chipa, mozna karte obciazyc po
prostu znajac jej numer (a w kazdym razie bank moze na to pozwalac
i np. w przypadku mBankowej ekarty pozwala).

> Pytanie, czy istnieje mozliwosc
> oklamania chipa i robienia na to konto zakupow bez pokrycia z
> rownoczesnym zablokowaniem w nim odswiezania danych onlie?

Jasne. Tyle ze bank sie zorientuje i zastrzeze karte, a dodatkowo pewnie
bedzie kombinowal jak by tu znalezc sprawce. Za mala stawka zeby to
w praktyce mialo sens.

> Taka
> "wieczna karta" na drobne wydatki, ktorej wlasciciel kasowlby dane o
> transakcjach. Pewno cos by wymyslono.
> Zreszta taka blokade mozna rowniez zapewne zaprogramowac i w obecnych
> kartach, zwlaszcza prepaid. Wieczny klucz z Limes Inferior Zajdla :)

Przyznaje ze czytalem te ksiazke ze 20 lat temu, wiec niekoniecznie
pamietam szczegoly, ale gdyby pieniadze znajdowaly sie na karcie, nie na
koncie w banku, to pewnie takie ataki mialyby sens. Alternatywnie gdyby
udalo sie zlamac np. uzywany algorytm hashujacy, wtedy moznaby miec
takich kart dowolna ilosc, i zastrzeganie ich po kolei przez bank nie
byloby takim problemem dla zlodzieja (czy jak go nazwac).
--
Krzysztof Halasa

do góry

"Seba" <b...@W...gazeta.pl> writes:

> Krzysztof Halasa <k...@p...waw.pl> napisał(a):
>
>
>> Przyjmij do wiadomosci ze w przypadku kart zblizeniowych da sie
>> przeprowadzic transakcje "na odleglosc" (np. w tlumie) placac
>> w normalnym sklepie, bez wspoludzialu sprzedawcy i bez potrzeby
>> posiadania terminala w niewielkiej odleglosci od karty.
>
> na odleglosc 5 cm ; zanim zaczniesz masowo robic takie "fraudy" posadza cie
> za naruszenie nietykalnosci cielesnej czy inne molestowanie albo po prostu
> dostaniesz od kogos w twarz, bo nie da sie tego zrobic z odleglosci jaka
> zachowuja ludzie miedzy soba nawet w tłoku. co do obciazenia karty bez

Taaak, a np. przypadkowo aktywowane karty miejskie w Wawie to się
przyśniły :)

Technicznie podejście w byle zatłoczonym autobusie na tyle blisko, żeby
się dało "odczytać" kartę jest IMO możliwe. Kwestia opłacalności.

KJ


--
Spokojnie... To tylko prowokacja.

do góry

"Seba" <b...@W...gazeta.pl> writes:

> na odleglosc 5 cm ; zanim zaczniesz masowo robic takie "fraudy" posadza cie
> za naruszenie nietykalnosci cielesnej czy inne molestowanie albo po prostu
> dostaniesz od kogos w twarz, bo nie da sie tego zrobic z odleglosci jaka
> zachowuja ludzie miedzy soba nawet w tłoku.

Tylko tak myslisz. Zeby udowodnic ze czegos sie nie da zrobic, trzeba
sie naprawde nameczyc, a i tak dowod moze okazac sie w przyszlosci
wadliwy. Zeby jednak udowodnic, ze cos sie da zrobic, wystarczy tylko to
zrobic. Tak wlasnie bylo takze z karta bezstykowa - wymaga to tylko
nieco zmodyfikowanego czytnika i zasieg zwieksza sie przynajmniej 10-krotnie.

Ale nawet zakladajac te 5 cm (co jest bajka dla grzecznych dzieci
wylacznie) - ludzie czesto trzymaja karty w portfelu w kieszeni np.
w spodniach, nie widze najmniejszego problemu w tloku.

> co do obciazenia karty bez
> terminala (czyli kluczy), ktory jest niezbedny do autentykacji transakcji
> (tak jak pisalem rozkodowanie kryptogramu bądz cvc/cvv3) nie bede
> komentowal, bo to swiadczy ze nie masz pojecia o czym piszesz.

:-)

To teraz wyobraz sobie ze ten terminal znajduje sie w sklepie, w ktorym
wspolnik faceta z autobusu wlasnie placi. Dotarlo w koncu?

> na pdobnej
> zasadzie mozesz sobie odczytac dane z karty magnetycznej przez jakis czytnik
> podpiety do pc i co z tego ? obciążysz kartę ?

Nie ma tu zadnej podobnej zasady, a jesli nie wierzysz we fraudy
kopiowanymi kartami magnetycznymi to ja nic na to nie poradze.

> u nas nowosc, w stanach od 5 lat - i nie ma przez to wiecej fraudow.

5 lat to jest wlasnie "jakas nowosc".
Podaj zrodlo danych o braku wiekszej ilosci fraudow.

> pisząc po twojemu - fałsz

Wlasnie.

> no i co z tego ? chyba oczywiste ze za kazdym razem gdy jest robiony
> chargeback fraudowy musi byc zarejestrowane naduzycie w MC bo inaczej bank
> nie wygra

Jesli bank nie uznaje transakcji za fraud (a moze nawet wlasciciel jej
nie uznaje za fraud, bo nie pamieta), to jakims cudem chcesz to miec
w statystyce fraudow?

No nie wiem, ja naprawde tak enigmatycznie pisze? Staram sie tak jak
"dla opornych" i wciaz nic.
--
Krzysztof Halasa

do góry

A jak to jest od strony sprzedawcy z prowizjami ?

Byłem w Żabce, miałem rachunek do zapłacenia 5,10 zł kartka: "płatności
kartą powyżej 10zł" więc wyjąłem gotówkę 20zł, sprzedawca nie miał reszty
wydać gotówką to powiedziałem, że może jednak kartą, jak zobaczył Paypass
powiedział, że OK, przy Paypassach szefowa mówiła mu, że nie ma limitu
kwoty...

--
Zalaczam pozdrowienia i zyczenia powodzenia
Krzysztof 'kw1618' Warszawa - Ursynow
grupy.3mam.net 'Kontakt' dla e-poczty
Cmentarz Komunalny Południowy Antoninów
http://foto.3mam.net/album2/Cmentarz-Poludniowy/inde
x3.php

do góry

Krzysztof 'kw1618' z Warszawy pisze:
> A jak to jest od strony sprzedawcy z prowizjami ?
>
> Byłem w Żabce, miałem rachunek do zapłacenia 5,10 zł kartka: "płatności
> kartą powyżej 10zł" więc wyjąłem gotówkę 20zł, sprzedawca nie miał reszty
> wydać gotówką to powiedziałem, że może jednak kartą, jak zobaczył Paypass
> powiedział, że OK, przy Paypassach szefowa mówiła mu, że nie ma limitu
> kwoty...
>

Na "prowincji" gdzi emieszkam, jak sie pytalem w zabce, to poinformowano
mnie, ze limit 20 zl na wszelkie formy, bez wzgedu na to, co sobie pisze
prasa (bo pisala, ze na bezstykowe zabka zniosla dolne limity).

do góry

"krzysztofsf" news:h113l6$i2g$6@news.wp.pl

> Na "prowincji" gdzi emieszkam, jak sie pytalem w zabce, to poinformowano
> mnie, ze limit 20 zl na wszelkie formy, bez wzgedu na to, co sobie pisze
> prasa (bo pisala, ze na bezstykowe zabka zniosla dolne limity).

Prasa swoje, życie swoje... ehh jakie to przykre.

PS.
Próbowałeś jakoś dyskutować ze sprzedawcą?

do góry

On 13 Cze, 22:50, Krzysztof 'kw1618' z Warszawy
<a...@m...www.pl> wrote:
> Byłem w Żabce, miałem rachunek do zapłacenia 5,10 zł kartka: "płatności
> kartą powyżej 10zł" więc wyjąłem gotówkę 20zł, sprzedawca nie miał reszty
> wydać gotówką to powiedziałem, że może jednak kartą, jak zobaczył Paypass
> powiedział, że OK, przy Paypassach szefowa mówiła mu, że nie ma limitu
> kwoty...

Oczywiście ten brak limitu wynika z polityki organizacji płatniczych,
uzasadnienia nie ma żeby przy stykowych-chipowych przy autoryzacji off-
line, nawet mimo kilku sekund więcej na podanie PINu (choc i z tego
mozna zrezygnować) opłaty za transakcję były takie same. Ot. sztuczne
wspomaganie nowej.

do góry

Valdi.Pavlack pisze:
> "krzysztofsf" news:h113l6$i2g$6@news.wp.pl
>
>> Na "prowincji" gdzi emieszkam, jak sie pytalem w zabce, to poinformowano
>> mnie, ze limit 20 zl na wszelkie formy, bez wzgedu na to, co sobie pisze
>> prasa (bo pisala, ze na bezstykowe zabka zniosla dolne limity).
>
> Prasa swoje, życie swoje... ehh jakie to przykre.
>
> PS.
> Próbowałeś jakoś dyskutować ze sprzedawcą?
>

Nie mam zblizeniowki, tyle, ze sie zainteresowalem i zapytalem widzac
terminal.

do góry

Krzysztof Halasa pisze:
> "Seba" <b...@W...gazeta.pl> writes:
>
>> napisałem że poza lost/stolen - co wyciąłeś z cytatu - nie ma możliwości
>> frauda bez udziału merchanta - trzeba miec dostep do kluczy i
>> certyfikowanego terminala. a sprzedawca jest przydatny zeby wydal ci towar w
>> sklepie. innej korzysci z tego nie bedziesz miec
>
> Falsz.

Dokładnie. Metoda jest dość prosta. Kto przyjmuje płatności tymi
PayPassami? A no czasami za przeproszeniem "stragany" z bigosem. Nie
sądzę, aby mając dostęp do terminala swobodny i zdolnego nazwijmy to -
"szwagra" odpowiednio tenże terminal przystosować (większa czułość? tak
żeby zasuwał dookólnie powiedzmy w promieniu 20-30 metrów, zmiany w
sofcie na poziomie firmware poprawiające "szybkość" łapania transakcji).

Chodzi o to, że terminale aktualnie są potencjalnym narzędziem do fraudu
- znacznie łatwiejszym do wykonania (na pierwszy rzut oka!) niż karty
które są w użyciu. Przy kwotach rzędu np. 10 zł x setki osób
przechodzących obok przerobionego terminalu już są znaczne. Oczywiście,
jedząc łyżeczką potencjalnie nieuczciwy merchant może swobodnie przez
długi czas zagarniać więcej niż powinien, dalej mając w papierach
względnie czysto (przecież nie rozliczy ile bigosów czy kiełbas sprzedał
co do sztuki, albo wręcz stworzy usługi "płatne" i tak potwierdzi ilość,
nie musi mieć tego na magazynie).

Mówimy o potencjalnej możliwości. Równie dobrze, system może być
skonstruowany od strony prawnej/technicznej tak, że nie jest to możliwe
albo obarczone zbyt dużym ryzykiem (np. jakieś przedziały czasowe,
ilościowe na sprzedaż, potem pewna forma raportowania użycia terminala,
prowizje od pewnego progu itp. itd.... tak teoretyzuję).

Choć z drugiej strony, dowolność cen na wcześniej wspomniancyh
festivalach to pewna forma zupełnie zalegalizowanego fraudu (7 zł za
0.4l piwa, i to jeszcze lanego w 0.5l kubek - na moje pytanie, dlaczego
akurat wg. nalewającego 0.4 kończy się w tym miejscu a nie przy samym
dnie dla odmiany zapadła konsternacja... ale to NTG ;) przedziałki 0.4
na kubku oczywiście niet ).

Więc - ja byłbym na razie z tymi, szczególnie MC zbliżeniowymi ostrożny.

Pozdr,
Tomek

do góry

Krzysztof Halasa <k...@p...waw.pl> napisał(a):

> "Seba" <b...@W...gazeta.pl> writes:
>
> > na odleglosc 5 cm ; zanim zaczniesz masowo robic takie "fraudy" posadza
cie
> > za naruszenie nietykalnosci cielesnej czy inne molestowanie albo po
prostu
> > dostaniesz od kogos w twarz, bo nie da sie tego zrobic z odleglosci jaka
> > zachowuja ludzie miedzy soba nawet w tłoku.
>
> Tylko tak myslisz. Zeby udowodnic ze czegos sie nie da zrobic, trzeba
> sie naprawde nameczyc, a i tak dowod moze okazac sie w przyszlosci
> wadliwy. Zeby jednak udowodnic, ze cos sie da zrobic, wystarczy tylko to
> zrobic. Tak wlasnie bylo takze z karta bezstykowa - wymaga to tylko
> nieco zmodyfikowanego czytnika i zasieg zwieksza sie przynajmniej 10-
>krotnie.


czyli modyfikacja czytnika czyli ingerencja w dostarczony przez MC sprzet
czyli konieczny współudział sprzedawcy, o czym pisałem (ingerencja w
terminal też jest oczywiscie do wykrycia, również zdalnie)


> Ale nawet zakladajac te 5 cm (co jest bajka dla grzecznych dzieci
> wylacznie) - ludzie czesto trzymaja karty w portfelu w kieszeni np.
> w spodniach, nie widze najmniejszego problemu w tloku.
>
> > co do obciazenia karty bez
> > terminala (czyli kluczy), ktory jest niezbedny do autentykacji
transakcji
> > (tak jak pisalem rozkodowanie kryptogramu bądz cvc/cvv3) nie bede
> > komentowal, bo to swiadczy ze nie masz pojecia o czym piszesz.
>
> :-)

wesoło jest, więc odrzucamy podstawiony (bo nie bedzie kluczy)/zmanipulowany
terminal (bo sprzedawca jest uczciwy i nie jest idiotą) i skupiamy się na
Twoim przypadku.

przesledz moze jeszcze przebieg transakcji pp, dla ulatwienia moze opisze
początek :

1. dane z karty przesylane do czytnika - inicjaca transakcji
2. z czytnika idzie do karty tzw UN (unpredictable number) a jesli karta emv
to rowniez kwota itp. UN jest oczywiscie wartoscią losową generowana przez
terminal
3. na podstawie UN generowany jest cvc3 lub tc/arqc (w zaleznosci od typu
karty (mag/emv) i tego czy transakcja jest off/online

dalszy ciąg juz nie dotyczy opisanego przez Ciebie "frauda na odleglosc"
wiec sobie deruje

>
> To teraz wyobraz sobie ze ten terminal znajduje sie w sklepie, w ktorym
> wspolnik faceta z autobusu wlasnie placi. Dotarlo w koncu?
>

czyli rozumiem, ze wymysliles frauda, gdzie jeden czlowiek stoi przy
czytniku kart w sklepie z zakupami, a drugi (ten z autobusu) przytyka po
kolei do dupska pasażerom drugi czytnik komunikujący się bezprzewodowo z
kartą faceta w sklepie w nadziei, ze w ciągu kilku sekund, gdy jego wspolnik
dał mu znak ze jest juz przy kasie, znajdzie karte pp. Wszystko pieknie,
tylko na całą transakcję offline od inicjacji do jej zamkniecia jest czas do
maks sekundy (standardowo zamyka sie w 400 ms), w tym czasie musisz
pzrekazac informacje w obie strony (czytnik goscia w autobusie musi miec
rowniez mozliwosc transamisji w strone do karty), karta ne moze stracic
łączności z czytnikiem w czasie trwania transakcji (np właściciel
oryginalnej karty zepnie poślady i wszystko od początku).

sorry, ale dla mnie na tą chwilę to totalna fikcja


> > na pdobnej
> > zasadzie mozesz sobie odczytac dane z karty magnetycznej przez jakis
czytnik
> > podpiety do pc i co z tego ? obciążysz kartę ?
>
> Nie ma tu zadnej podobnej zasady, a jesli nie wierzysz we fraudy
> kopiowanymi kartami magnetycznymi to ja nic na to nie poradze.

przyklad podalem beznadziejny to fakt; paski kopiują wszyscy i wszędzie - w
tym nieszczęśliwym przykładzie chodzilo mi o to, ze samo odczytanie danych
nic nie da (mając dane z paska w pliku bez ich nosnika nie dokonasz
transakcji, tak samo jak odczytanie karty paypass nie pozwoli ci obciążyc
konta)


> > u nas nowosc, w stanach od 5 lat - i nie ma przez to wiecej fraudow.
>
> 5 lat to jest wlasnie "jakas nowosc".
> Podaj zrodlo danych o braku wiekszej ilosci fraudow.

organizacje płatnicze ?

>
> > no i co z tego ? chyba oczywiste ze za kazdym razem gdy jest robiony
> > chargeback fraudowy musi byc zarejestrowane naduzycie w MC bo inaczej
bank
> > nie wygra
>
> Jesli bank nie uznaje transakcji za fraud (a moze nawet wlasciciel jej
> nie uznaje za fraud, bo nie pamieta), to jakims cudem chcesz to miec
> w statystyce fraudow?

to juz problem (i obowiązek) posiadacza karty, zeby wyciąg kontrolowal.
jakos ludzie potrafia zglaszac np fraudy internetowe na naprawde niewielkie
kwoty, nie widze powodu zeby akurat tego typu transakcje mialy im "umykac"


--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry