Tomek <t...@g...com> writes:

> "Jeśli zbliżam kartę bezstykową do czytnika zainstalowanego w sklepie,
> to terminal podpięty do czytnika automatycznie generuje, a czytnik
> wysyła do karty, pewien numeryczny kod. Czip na karcie przyjmuje kod i
> na podstawie zdefiniowanego wcześniej algorytmu wykonuje kilka
> obliczeń (wykorzystuje do nich kod przesłany z czytnika, numer karty i
> licznik transakcji). Trzy ostatnie cyfry otrzymanej liczby czip karty
> odsyła do czytnika sklepowego. Jeśli wszystko się zgadza, transakcja
> jest zatwierdzana"

> Ewidentnie widać tutaj zastosowanie modelu challenge-response, nic
> natomiast nie jest wspomniane o przesyłaniu numeru karty.

Tzn. wierzysz że można obciążyć kartę nie znając jej numeru? 3 cyfry
(jakie by nie były) mają wystarczyć?

No nie wiem :-)

Chyba że miałbyś tych kart nie więcej niż 1000, to wtedy teoretycznie...
--
Krzysztof Halasa

do góry

Krzysztof Halasa napisał(a) :
> Tomek <t...@g...com> writes:
>
>> "Jeśli zbliżam kartę bezstykową do czytnika zainstalowanego w sklepie,
>> to terminal podpięty do czytnika automatycznie generuje, a czytnik
>> wysyła do karty, pewien numeryczny kod. Czip na karcie przyjmuje kod i
>> na podstawie zdefiniowanego wcześniej algorytmu wykonuje kilka
>> obliczeń (wykorzystuje do nich kod przesłany z czytnika, numer karty i
>> licznik transakcji). Trzy ostatnie cyfry otrzymanej liczby czip karty
>> odsyła do czytnika sklepowego. Jeśli wszystko się zgadza, transakcja
>> jest zatwierdzana"
>
>> Ewidentnie widać tutaj zastosowanie modelu challenge-response, nic
>> natomiast nie jest wspomniane o przesyłaniu numeru karty.
>
> Tzn. wierzysz że można obciążyć kartę nie znając jej numeru? 3 cyfry
> (jakie by nie były) mają wystarczyć?

wot tiechnika ;-)

--
Pozdrawiam
Zbyszek
PGP key: 0x5351FDE3

[Człowiek zaczyna używać dopiero wtedy rozumu, gdy kończą mu się
wszystkie możliwości.]

do góry

Tomek <t...@g...com> writes:

> 1. Gdzie można zapłacić przez telefon?

W wielu miejscach, np. często tam, gdzie można zapłacić w Internecie
(ale np. ktoś woli zamówić coś telefonicznie).

> 2. Z amazonem to nieprawna - oni nie wymagają CVC2, ale płatność i tak
> nie przejdzie JEŻELI BANK TO SPRAWDZA.

Jeśli bank zobaczy wadliwy CVC2, to rzeczywiście może odrzucić taką
autoryzację. Ale jeśli w ogóle nie będzie CVC2? Który bank to odrzuci?

> Kupowałem kiedyś coś i tam nie
> ma miejsca na wpisanie CVC2, nie mogłem zapłacić żadną z posiadanych
> kart. Kupił mi dopiero kumpel który miał "kartę wirtualną"

Pewnie terminal udawał zwykłą transakcje z obecnością karty, a karty
były płaskie i nie lubiły "card present keyed-in".

> Druga sprawa to okazuje się, że sprzedawcy mają na paragonach pełne
> numery kart, daty ważności itp. Skoro tak, to bardziej prawdopodobne
> jest, że taki przestępca po prostu kupi sobie kopie tych paragonów,
> niż będzie chodził po mieście i macał ludzi czytnikiem.

Dużo bardziej ryzykowne, poza tym jest też bardzo duże ryzyko dla
takiego "sprzedawcy paragonów" - wszystkie ślady będą prowadzić do
niego. Bez sensu.

Natomiast taki bezprzewodowy odczyt praktycznie nie niesie ze sobą
żadnego ryzyka.
--
Krzysztof Halasa

do góry

Kris <k...@g...com> writes:

> Moge podać pełny nr jednej z moich kart- MC debit- chce ktoś?
> Co z nim zrobi?
> Nic

Np. podeśle bankowi link do postu z numerem, będzie jak znalazł
w czasie reklamacji.
--
Krzysztof Halasa

do góry

Krzysiek <k...@o...pl> writes:

> co z przypadkiem gdy ktos zbuduje 'most posredniczacy' pomiedzy
> wlascicielem karty platniczej a urzadzeniem w rekach zlodzieja ktory
> przeprowadza transakcje w niczego nieswiadomym sklepie? Trudne do
> wykonania ale nie niemozliwe?

A co w tym trudnego?
Trochę ryzykowne.
--
Krzysztof Halasa

do góry

MarcinF <m...@i...pl> wrote on 2012-06-24_19:37
> W dniu 2012-06-24 11:39, Krzysiek pisze:
>
>> co z przypadkiem gdy ktos zbuduje 'most posredniczacy' pomiedzy
>> wlascicielem karty platniczej a urzadzeniem w rekach zlodzieja
>> ktory przeprowadza transakcje w niczego nieswiadomym sklepie?
>> Trudne do wykonania ale nie niemozliwe?
>
> Wydaje mi się że trudno to zastosować na masową skalę, metoda wymaga
> odczytania karty w tym samym czasie co transakcja, a większość miejsc
> gdzie można odczytać kartę w każdej chwili (markety, dworce, itp)
> jest monitorowana.
>

A policja ochoczo zajmie się przeglądaniem rejestratów z kilku
dni, aby znaleźć powtarzające się gęby podejrzane o kradzież 50
zł? :-))))

witrak()

do góry

W dniu środa, 27 czerwca 2012 23:03:52 UTC+2 użytkownik Krzysztof Halasa napisał:
> Kris <k...@g...com> writes:
>
> > Moge podać pełny nr jednej z moich kart- MC debit- chce ktoś?
> > Co z nim zrobi?
> > Nic
>
> Np. podeśle bankowi link do postu z numerem, będzie jak znalazł
> w czasie reklamacji.
Jakiej reklamacji?
Żeby była reklamacja musi być najpierw np jakaś płatność którą bym reklamował.
Do czego przydadzą sie komukolwiek takie np cyfry:
5234 9876 3456 0034?

do góry