Dnia Fri, 29 Mar 2019 08:50:20 +0100, Piotr W. napisał(a):
> To pewnie si輺mienia w zwi±zku z modernizacj± bankomat򵮯programowania etc.
> Ja te¿ zrobi³em pr򣨮 Uszkodzi³ mi si輰asek magnetyczny i ¿aden bankomat
> nie przyjmowaÂł karty. Zakupy w hiper za pomocÂą tej karty dokonywaÂłem bez
problemu
> bo terminal korzysta w takim przypadku z chipa. Pod³o¿y³em inn¹ kart蟥 w
momencie
> kiedy bankomat usi³owa³ wci¹gn¹䟍art蟰od³o¿y³em t¹ z uszkodzonym paskiem
a sprawnym chipem.
> Bankomat wci¹gn¹³ kart蟥le odda³ z komunikatem b³¹d odczytu .... tzn. nie
skorzystaÂł z chipa.

Ale czy aby na pewno ci sie to udalo ?
bankomat czyta pasek w czasie wciagania, zmienic wciagnieta karte
raczej trudno.

Musialbys albo zapisac pasek na nowo, albo skleic karte z dwoch, aby
wyjasnic ...

> Po pewnym czasie celowo skasowaÂłem magnesem pasek w innej karcie i te same
rezultaty w kilku bankomatach
> a zakupy w hiper etc. bez kÂłopotu.
> I tym samym nie spotkaÂłem bankomatu korzystajÂącego tylko z chipa.

Byc moze, choc cos jaskolki cwierkaja, ze jak bankomat sie dowie, ze
karta ma chip, to bedzie chcial z chipa skorzystac ... ale jak sie ma
dowiedziec - z paska czy z serwera ?

Ja tylko czasem widuje na stacjach, ze chip cos nie przechodzi, i
wtedy obsluga czyta pasek. Ale w przypadku Inteligo, to chce podpisu.

J.

do góry

W dniu piątek, 29 marca 2019 09:15:40 UTC+1 użytkownik J.F. napisał:

> Byc moze, choc cos jaskolki cwierkaja, ze jak bankomat sie dowie, ze
> karta ma chip, to bedzie chcial z chipa skorzystac ... ale jak sie ma
> dowiedziec - z paska czy z serwera ?
>
> Ja tylko czasem widuje na stacjach, ze chip cos nie przechodzi, i
> wtedy obsluga czyta pasek. Ale w przypadku Inteligo, to chce podpisu.

Może jest tak że jak bankomat nie znajdzie paska na karcie(bo go tam nie ma) to
korzysta z czipa
A jak znajdzie uszkodzony pasek to wywala karte nie korzystając z chipa

do góry

W dniu piątek, 29 marca 2019 09:45:26 UTC+1 użytkownik Kris napisał:
> W dniu piątek, 29 marca 2019 09:15:40 UTC+1 użytkownik J.F. napisał:
>
> > Byc moze, choc cos jaskolki cwierkaja, ze jak bankomat sie dowie, ze
> > karta ma chip, to bedzie chcial z chipa skorzystac ... ale jak sie ma
> > dowiedziec - z paska czy z serwera ?
> >
> > Ja tylko czasem widuje na stacjach, ze chip cos nie przechodzi, i
> > wtedy obsluga czyta pasek. Ale w przypadku Inteligo, to chce podpisu.
>
> Może jest tak że jak bankomat nie znajdzie paska na karcie(bo go tam nie ma) to
korzysta z czipa
> A jak znajdzie uszkodzony pasek to wywala karte nie korzystając z chipa

Hmm, ale jak ma odróżnić sytuację braku paska od paska z błędnym zapisem?
ZTCP to pasek ma jakieś zabezpieczenie kontrolne, choć oczywiście żadnego szyfrowania
- i można sobie np. zgrać dane karty z chipem, zmienić numerek oznaczający kartę
chipową na taki z karty tylko paskowej, wyliczyć zabezpieczenie i nagrać na inną
kartę - i jak bankomat działa na pasek (np. w Boliwii ;) to da się wypłacić.

Bo przecież i tu odczyta błędne dane i tu odczyta błędne dane.
Wykrywa obecność materiału ferromagnetycznego?
To w takim razie trzeba spróbować pasek zdrapać.

Oraz jeszcze zrobić eksperyment z taką uszkodzoną czy rozmagnesowaną kartą w
bankomacie, na którym jest logo V-Pay - te karty paska nie mają z definicji, więc
bankomat musi próbować do chipa zaglądać.

do góry

"J.F." <j...@p...onet.pl> writes:

> Byc moze, choc cos jaskolki cwierkaja, ze jak bankomat sie dowie, ze
> karta ma chip, to bedzie chcial z chipa skorzystac ... ale jak sie ma
> dowiedziec - z paska czy z serwera ?

Obojętnie.
Bankomaty powinny mieć czytniki elektroniczne (chipowe). Jeśli ich nie
mają, i korzystają tylko z paska magnetycznego, ich właściciele narażają
się na koszty fraudów dokonanych kartami ze skopiowanymi paskami. Jak to
może wyglądać wydawcy kart oraz inni właściciele bankomatów i terminali
doskonale wiedzą (przerobili to z 10 lat temu w podobnych
okolicznościach).

Zakładamy więc, że bankomat potrafi gadać z kartą procesorową. W takim
przypadku rozsądne jest, by najpierw próbował to robić, a dopiero jeśli
to się nie uda, by próbował kombinować z paskiem (w przeciwnym przypadku
karta bez paska nie zostanie obsłużona). Z punktu widzenia
bezpieczeństwa nie jest jednak istotne skąd bankomat dowie się, że karta
jest chipowa - czy ze swojej bazy BINów (dany BIN może być ustawiony
jako tylko chipowy lub nie), czy z paska magnetycznego, czy też (jeśli
np. informacja na pasku była "błędna") z odmowy autoryzacji (odmowa
fallbacku).

Ważne jest, by banki nie dawały autoryzacji w takich przypadkach (jasne
jest, że gdyby to robiły, koszty fraudów próbowałyby przerzucić na
klientów, niezależnie od tego, czy jest to legalne czy nie w danym
np. kraju). Czy tak samo powinno być z normalnymi sprzedawcami, być może
tak.
--
Krzysztof Hałasa

do góry

Dawid Rutkowski <d...@w...pl> writes:

> Hmm, ale jak ma odróżnić sytuację braku paska od paska z błędnym zapisem?
> ZTCP to pasek ma jakieś zabezpieczenie kontrolne, choć oczywiście
> żadnego szyfrowania - i można sobie np. zgrać dane karty z chipem,
> zmienić numerek oznaczający kartę chipową na taki z karty tylko
> paskowej, wyliczyć zabezpieczenie i nagrać na inną kartę - i jak
> bankomat działa na pasek (np. w Boliwii ;) to da się wypłacić.

Tylko na pasek, domyślam się. Jasne, ryzyko właściciela bankomatu
(teoretycznie przynajmniej).
Właściwie to nie trzeba nawet niczego zmieniać - co z tego, że nie ma
procesora (albo jest "niewłaściwy"), jeśli i tak bankomat go nie używa.

> Bo przecież i tu odczyta błędne dane i tu odczyta błędne dane.
> Wykrywa obecność materiału ferromagnetycznego?

Bez przesady, skasowany pasek = brak paska.
--
Krzysztof Hałasa

do góry

W dniu piątek, 29 marca 2019 14:29:53 UTC+1 użytkownik Krzysztof Halasa napisał:
> Dawid Rutkowski writes:
>
> > Hmm, ale jak ma odróżnić sytuację braku paska od paska z błędnym zapisem?
> > ZTCP to pasek ma jakieś zabezpieczenie kontrolne, choć oczywiście
> > żadnego szyfrowania - i można sobie np. zgrać dane karty z chipem,
> > zmienić numerek oznaczający kartę chipową na taki z karty tylko
> > paskowej, wyliczyć zabezpieczenie i nagrać na inną kartę - i jak
> > bankomat działa na pasek (np. w Boliwii ;) to da się wypłacić.
>
> Tylko na pasek, domyślam się. Jasne, ryzyko właściciela bankomatu
> (teoretycznie przynajmniej).
> Właściwie to nie trzeba nawet niczego zmieniać - co z tego, że nie ma
> procesora (albo jest "niewłaściwy"), jeśli i tak bankomat go nie używa.

Nie, nie tylko na pasek, też na chip - ale z możliwością fallbacku do paska dla kart,
które nie mają chipu - bo np. dużo turystów USA-ńskich przyjeżdża i nieobsługiwanie
ich byłoby stratą.
Więc trzeba podmienić typ karty na pasku i już się bankomat może nabrać, jeśli ktoś
nie wpadł na pomysł, że może by tak chip na wszelki wypadek jednak spróbować
odczytać.
Tyle że to i tak nic nie pomoże, bo jak sobie próbowałem przypomnieć mechanizm tego
scenariusza fraudu, to przypomniało mi się, że oczywiście trzeba oprócz skopiowania
paska podpatrzeć PIN (komplet oczywiście z popularnych nakładek na szczeliny
bankomatów + kamerka), dane przesyła się za ocean i nagrywa (po zmodyfikowaniu) na
kartę, która chipa i tak nie ma.

Np. santander ma możliwość włączenia sobie fallback do paska na określony czas - to
oczywiście dla starożytnych inkaskich czy azteckich bankomatów bez czytników czip ;>

> > Bo przecież i tu odczyta błędne dane i tu odczyta błędne dane.
> > Wykrywa obecność materiału ferromagnetycznego?
>
> Bez przesady, skasowany pasek = brak paska.

Też żeś się czepił logiki dwuwartościowej, świat jest bardziej skomplikowany, dobra
jest czterowartościowa (tak, nie, nie wiadomo, nie da się określić).
I akurat sytuacje brak paska oraz pasek ze skaszanionym zapisem są bez większego
problemu do rozróżnienia.

Stąd propozycja zdrapania paska - bo jednak karty V-Pay bez paska istnieją i są
obsługiwane.
Jak ktoś chce, to może sobie za darmo w nest zamówić do testów.

do góry

Dawid Rutkowski <d...@w...pl> writes:

> Nie, nie tylko na pasek, też na chip - ale z możliwością fallbacku do
> paska dla kart, które nie mają chipu - bo np. dużo turystów USA-ńskich
> przyjeżdża i nieobsługiwanie ich byłoby stratą.

Karty z USA też mają scalaki od pewnego czasu.

> Więc trzeba podmienić typ karty na pasku i już się bankomat może
> nabrać, jeśli ktoś nie wpadł na pomysł, że może by tak chip na wszelki
> wypadek jednak spróbować odczytać.

Chip jest praktycznie zawsze. Realnym problemem może być brak wsparcia
EMV w samym bankomacie.

> Np. santander ma możliwość włączenia sobie fallback do paska na
> określony czas - to oczywiście dla starożytnych inkaskich czy
> azteckich bankomatów bez czytników czip ;>

Domyślnie normalne karty mają włączone autoryzacje "z paska"
w urządzeniach bez EMV. Fallback jest raczej wtedy, gdy terminal z EMV
nie potrafi porozumieć się z kartą z EMV, i to może (powinno?) być
wyłączone, bo za takie fraudy normalnie płaci wydawca karty (czytaj:
klient).

> I akurat sytuacje brak paska oraz pasek ze skaszanionym zapisem są bez
> większego problemu do rozróżnienia.

Ale dokładnie nikt tych sytuacji nie rozróżnia. Swoją drogą, nie wiem po
co miałby to robić? Żeby fraudsterzy musieli usuwać pasek zamiast go
tylko skasować? Bez sensu kompletnie.
--
Krzysztof Hałasa

do góry

> Ale czy aby na pewno ci sie to udalo ?
> bankomat czyta pasek w czasie wciagania, zmienic wciagnieta karte
> raczej trudno.

Udało się. Napisze chronologicznie jak działałem w/w sprawie:

Przypadkowo nadepnąłem upuszczoną KD i przesunąłem po płytach chodnikowych.

Zarysowałem tym samym głęboko pasek magnetyczny KD (piasek, kamyszki) w okolicach

środka paska magnetycznego karty.

Było to przy zbliżaniu się do bankomatu i nieostrożnym wyjmowaniu karty KD z
kieszeni.

Jednakże bankomat przyjął kartę ale zaraz wypluł z komunikatem błąd odczytu.

Czyli nie skorzystał z chipa.

Zaraz po tym dokonałem zakupu w sklepie bez przeszkód. Terminal czytał chip i OK.

Ponieważ było to pod koniec ważności karty nie uruchamiałem procedury wymiany karty

tylko poczekałem na nową dostarczoną pocztą i OK.

Gotówkę w tym czasie podejmowałem z bankomatu korzystając z karty żony,

której data ważności też upływała niebawem.

Po otrzymaniu wznowionych w/w kart KD wpadłem na pomysł aby zrobić ze starymi

ale jeszcze ważnymi kartami eksperyment. Pasek magnetyczny karty żony wykasowałem
magnesem.

I wtedy okazało się, że bankomat nie otwiera szczeliny wpuszczającej karty w momencie
kiedy

używałem kartę z wykasowanym paskiem magnetycznym a otwiera szczelinę dla kary z
uszkodzonym

w środkowej części paskiem. Czyli czyta coś na początku paska i otwiera szczelinę
umożliwiając

włożenie karty, która dalej jest wciągana przez bankomat.

Wtedy złożyłem dwie karty razem (na dole karta z częściowo czytelnym paskiem a na
górze

z całkowicie skasowanym paskiem.

Bankomat otworzył szczelinę a ja wtedy wsunąłem tą kartę z góry ze skasowanym
paskiem.

W obydwu przypadkach błąd odczytu i zwrot kart.

Wypróbowałem to w dwóch różnych bankomatach (różnej produkcji i o różnym wygładzie).

Było to dość dawno 3,5 roku temu.

Teraz zbliża się następna wymiana kart i mogę powtórzyć w/w test bo te dwa bankomaty

w mojej okolicy zostały wymienione na nowsze modele, które mogą inaczej działać i
traktować karty z uszkodzonym/skasowanym magnesem
paskiem magnetycznym.

Ale żeby się nie odciąć od możliwości pobierania gotówki (w wyniku w/w uszkodzenia
pasków magnetycznych)

musze poczekać do momentu dostarczenia pocztą wznowionych kart. A to dopiero nastąpi
09.2019 r.

Wyniki testu opublikuje na grupie.



Pozdrowienia Piotr W.

do góry

Użytkownik "Piotr W." napisał w wiadomości grup
dyskusyjnych:5c9ea1ca$0$485$6...@n...neostrada.
pl...
>> Ale czy aby na pewno ci sie to udalo ?
>> bankomat czyta pasek w czasie wciagania, zmienic wciagnieta karte
>> raczej trudno.

>Udało się. Napisze chronologicznie jak działałem w/w sprawie:
>Przypadkowo nadepnąłem upuszczoną KD i przesunąłem po płytach
>chodnikowych.
>Zarysowałem tym samym głęboko pasek magnetyczny KD (piasek, kamyszki)
>w okolicach
>środka paska magnetycznego karty.

>Jednakże bankomat przyjął kartę ale zaraz wypluł z komunikatem błąd
>odczytu.
>Czyli nie skorzystał z chipa.

>Zaraz po tym dokonałem zakupu w sklepie bez przeszkód. Terminal
>czytał chip i OK.

W sklepie raczej paska nie uzywasz - od razu do gniazda z chipem, albo
w ogole bezdotykowo.

>Po otrzymaniu wznowionych w/w kart KD wpadłem na pomysł aby zrobić ze
>starymi
>ale jeszcze ważnymi kartami eksperyment. Pasek magnetyczny karty żony
>wykasowałem magnesem.

>I wtedy okazało się, że bankomat nie otwiera szczeliny wpuszczającej
>karty w momencie kiedy
>używałem kartę z wykasowanym paskiem magnetycznym a otwiera szczelinę
>dla kary z uszkodzonym
>w środkowej części paskiem. Czyli czyta coś na początku paska i
>otwiera szczelinę umożliwiając
>włożenie karty, która dalej jest wciągana przez bankomat.

Hm, to jest ciekawe. Jesli czytaja, to raczej glowicą z cewkami,
ktora wymaga przesuwania.

Mieliby jakis czytnik wstepny i docelowy ?
Czy raczej zabezpieczenie w programie - jesli glowica nie zacznie
czytac wkrotce po rozpoczeciu wsuwania, to wypluj ...

A moze to zabezpieczenie bankomatu, zeby mu byle czego nie wsadzac ?

>Wtedy złożyłem dwie karty razem (na dole karta z częściowo czytelnym
>paskiem a na górze
>z całkowicie skasowanym paskiem.
>Bankomat otworzył szczelinę a ja wtedy wsunąłem tą kartę z góry ze
>skasowanym paskiem.
>W obydwu przypadkach błąd odczytu i zwrot kart.

>Wypróbowałem to w dwóch różnych bankomatach (różnej produkcji i o
>różnym wygładzie).
>Było to dość dawno 3,5 roku temu.

Wsadzilem teraz do BZ karte calkiem inna - bez paska, bez czipa.
Wsunal cala, wyplul, przeprosil ze tej karty nie obsluguje.
Mogl sie dogadac radiowo ..

J.

do góry

> Wsadzilem teraz do BZ karte calkiem inna - bez paska, bez czipa.
> Wsunal cala, wyplul, przeprosil ze tej karty nie obsluguje.
> Mogl sie dogadac radiowo ..

Ciąg dalszy moich doświadczeń:

Córka ostatnio brała gotówkę w zupełnie innym bankomacie niż zazwyczaj.
Bankomat ostrzegł o awarii drukarki (brak papieru?), potem było info na
ekranie o sprawdzaniu zapisów w chip'ie wraz wyświetleniem na ekranie widoku
chipa, potem wypłata gotówki + pytanie o wydruk i zakończenie operacji.
Czy rzeczywiście korzystał bankomat z chipa to niewiadomo ale po co pytał
czy wydrukować potwierdzenia kiedy drukarka nieczynna...?
Po prostu wszystko zależy od typu bankomatu i jego oprogramowania.
Bankomat gdzie ja zawsze podejmuję gotówkę w takim przypadku nie
pyta o wydrukowanie potwierdzenia a nawet zmienia skład menu, nie wyświetlając
np: możliwości doładowania telefonu (brak możliwości wydruku 16 cyfrowego kodu
doładowania) mimo, że niektóre doładowania idą on-line bez wydruku kodu.

Ja dziś w bankomacie, który ostatnio był wymieniony na nowszy typ, pobierałem gotówkę
i przy okazji spróbowałem włożyć kartę bez paska i chipu. Nadal było to niemożliwe.
Włożyłem kartę z paskiem wdaną przez Payback używaną przy zbieraniu punktów podczas
zakupów i ją bankomat wciągnął.
Czyli nie będą działały karty ze skasowanym osobiście paskiem magnetycznym a
posiadającym
sprawnego chipa..
Zobaczę czy da się wypłacić gotówkę legalną kartą z częściowo uszkodzonym paskiem tak
aby bankomat przyjął kartę i czytał z chipa.
Bo jak będzie po staremu tak jak pisałem w poprzednich postach, to skimming nadal
będzie
możliwy w bankomatach mimo posiadania na karcie chipa.
Można co prawda oblecieć inne bankomaty i wypróbować czy taka karta gdzieś zadziała.
Ale w innym bankomacie możliwa jest prowizja, zatrzymanie karty albo zatrzymanie
obywatela próbującego w wielu bankomatach czy karta zadziała....:)
(A skimmingowcy nadal instalują urządzenia i rzadko kiedy wpadają....:)

Pozdrowienia Piotr W.

do góry