kashmiri pisze:
>
>
> Użytkownik "Krzysztof Halasa" <k...@p...waw.pl> napisał w wiadomości
> news:m3fxuq8fp9.fsf@maximus.localdomain...
>> "kashmiri" <k...@i...pl> writes:
>>
>>> Dalej uważam jednak, że fałszywy czytnik *musi* działać i autoryzować
>>> karty - podstawianie atrapy urządzenia byłoby zbyt ryzykowne.
>>
>> Raczej zupelnie niepraktyczne.
>>
>> Jak by to mialo wygladac? Wszyscy po kolei mieliby wadliwe karty,
>> ktore magicznie zaczynalyby dzialac w drugim czytniku? I tak
>> codziennie, tydzien w tydzien i rok w rok? :-)
>
> Dlatego pomysł Eneuela z atrapą jest do bani.
> I dlatego musi to być autentyczny czytnik, z którego "podbiera się" dane
> autoryzacyjne karty.

Pomysl z atrapa jest swietny a przniesienie PINU z podstawionego na
prawdziwy wymaga JEDNEJ reki kasjera sprzedawcy,



--
Portal edukacyjny - http://madre.inwestowanie.org.pl/

do góry

kashmiri pisze:

> Nie wyobrażam sobie takiego ryzykanta sprzedawcy, już pisałem
> wielokrotnie. Jako sprzedawca nigdy nie wiesz, kim jest klient przed
> tobą i czy wylądujesz w pudle.

Zartujesz prawda ? Ludzie napadaja na banki dla mniejszej kasy a jakie
ryzyko. Wyrywaja torebki a tez nei wiedza czy to nie mistrzyni judo.

Jakbys na kasie pracowal za 1000zl i dostal propozycje 10-50tys
za dzien strachu byc inaczej gadal. Niemozliwe ?

> Cały czas próbujesz pokazać, jak sprytnie możesz podkraść PIN. Nie
> zauważasz, że znajomość samego PINu nie wystarcza? Żeby stworzyć
> działający duplikat karty, musisz mieć wszystkie dane - nazwisko, kod
> CVV2 i wszystko to co karta zawiera na pasku. Tego nie ma na paragonie.

Wyposazasz kasjera/sprzedawce w czytnik paska i lewy pinpad banal


--
Portal edukacyjny - http://madre.inwestowanie.org.pl/

do góry

> Pod warunkiem, że bank sobie nie zapisał że reklamacji po odejściu od
> kasy (czyli z pinem) nie uwzglednia się.
> Jeśli tak to wolę bez pinu.
ja takich zapisów nie widziałem.

do góry

> a mi się parę razy zdarzyły, że jednak musiałem podpisać. Szczególnie w
> knajpach gdzie muszę dopisać napiwek.
> Generalnie w ogóle nie podpisuję. Przeciągam kartę i wychodzę.

Ostatnio całkiem często płącąc kartą z chipem(ale autoryzacja z paska)
nie wpisuję PIN tylko podpis, częściej niz kilka lat temu , może
przypadek.

do góry

Jan Strybyszewski <g...@...pl> writes:

>>> Poprosze o punkt w odpowiednim regulaminie jakoby sprzedawca/bank
>>> ponosil CALKOWITA odpowiedzialnosc za transakcje karta chipowa z
>>> paskiem magnetycznym w tym te z PINem o ile uzyty zostal pasek a nie
>>> chip.
>> W jakim regulaminie???
>
> Napisales, przy transakcji karta chipowa z uzyciem paska magentycznego
> i PIN klient nie ponosi konsekwencji. Wiec poprosze dowody na te
> smiala teze

Na razie to ja tylko przypomne, ze prasa opisywala przypadki
nieuznawania reklamacji transakcji "telephone order", bez pinu, bez
podpisu i w ogole bez niczego.

Do tego arbiter wzial strone banku.

Nie wiem, czy doszlo do procesu w jakiejkolwiek takiej sprawie.

MJ

do góry

Użytkownik "Seba" <b...@g...pl> napisał w wiadomości
news:frmk3i$e2m$1@inews.gazeta.pl...
> kashmiri <k...@i...pl> napisał(a):
>
>> Pisza tam nie tylko o wadach czytnikow, ale też o zabezpieczeniach
> używanych
>> obecnie - zarowno w urzadzeniach, jak i na poziomie komunikacji miedzy
> karta
>> a czytnikiem. Np (na co nie wpadles) komunikacja miedzy karta a
>> czytnikiem
>> moze byc szyfrowana (troche tak jak SSL w przegladarce), jezeli karta
>> obsluguje DDA (Dynamic Data Authentication).
>>
>> Pozdr.
>> k
>
> no właśnie, fajnie ze wspomniales o DNA - bo większość wydawanych kart
> chipowym oparta jest na statycznej autentykacji, a to juz (od niedawna)
> nie
> zabezpiecza przed podrobieniem chipa....

Tak, to jest jakiś krok naprzód.
Tylko podobno żądanie szyfrowania komunikacji jest wysyłane zwykłym
(nieszyfrowanym) tekstem, który różni się tylko JEDNYM BITEM od podobnego
żądania komunikacji nieszyfrowanej. Jeżeli ten bit usunąć/nadpisać,
szyfrowanie zostanie wyłączone bez informowania użytkownika ani systemu
bankowego.

do góry

Użytkownik "Krzysztof Halasa" <k...@p...waw.pl> napisał w wiadomości
news:m3od9dv42v.fsf@maximus.localdomain...
> "kashmiri" <k...@i...pl> writes:
>
>> Punkt 3 jak dla mnie niemożliwy. Chip => PIN.
>
> Nope, sa karty chipowe bez PINu. W UK takze. Tyle ze lepiej miec
> jednak taka z PINem.

Nie spotkałem, nie słyszałem. Jaki bank/wydawca?

Wikipedia (http://en.wikipedia.org/wiki/Chip_and_PIN) podaje, że od
14.02.2006, jeżeli klient nie pamięta PINu, sprzedawca może uruchomić
procedurę "PIN bypass" - autoryzację podpisem; jednak banki patrzą na to
bardzo niechętnie, zastrzegając prawo odmowy uznania takich transakcji.

Również, w razie fraudu za pomocą paska w kartach wyposażonych w chip, od
01.01.2005 odpowiedzialność ponosi sprzedawca. (Tłumaczyłoby to, dlaczego
skimmowane karty są wywożone do innych krajów - Włoch, Polski itd - celem
wybrania pieniążków).

Do czytających nieuważnie: powyższe dotyczy UK!
k.

do góry

Użytkownik <f...@s...poczta.onet.pl> napisał w wiadomości
news:1205789232.978589@host.unknown...
> kashmiri <k...@i...pl> wrote:
>
>> > 3. Terminal jest ze stykami, wiec wkladaja karte w slot, a potem tez
>> > autoryzuja podpisem.
>
>> Punkt 3 jak dla mnie niemożliwy. Chip => PIN.
>> Za to zdarzyło mi się: karta w slot + autoryzacja niewymagana (zakup na
>> małą
>> kwotę).
>
> A dla mnie mozliwy, a nawet bardzo czesty. Zawsze jak na POSie wybieram
> "credit",
> to domaga sie podpisu. Nie ma znaczenia slot czy pasek. Nie zdazylo mi sie
> zeby
> chcialo PIN. Natomiast jak wybiore inne konta, to wtedy zawsze PIN. Takze
> z
> paskiem.
>
> A swoja droga to ciekawe dlaczego w Europie nikt nie obsluguje wiecej niz
> jednego
> rachunku do karty. Jak sie czyta w instrukcji, ze "gdybym jechal do
> Europy, to
> musze isc do banku, pobrac jedna karte do kazdego rachunku i wszystkie
> zabrac",
> to sie ta Europa zasciankowa robi!
>
> Wlasnie - wie ktos DLACZEGO?!


Nie wiem jak u Ciebie, ale karty Citibank można było podpiąć do rachunku
walutowego i wtedy, jeśli w bankomacie miałeś wybór: Checking lub Savings,
wybranie Checking pobierało kasę z rachunku w PLN, a Savings z walutowego.
Na pewno było tak parę lat temu (2002-04), bankomaty w Indiach, Pakistanie,
Sri Lance i Azji Płd.-Wsch. Nie wiem, jak mają teraz. I tylko bankomaty -
nie POS-y.

k.

do góry

Użytkownik "witek" <w...@g...pl.invalid> napisał w wiadomości
news:frner3$5uu$2@inews.gazeta.pl...

[ciach]

> CVV2 nie jest potrzebne do wykonania transakcji MO/TO/IO.

Zależy od kraju. W EU coraz powszechniej tak.

Ale popełniłem błąd, na co zwrócili uwagę koledzy: pasek nie zawiera CVV2
tylko CVV.

do góry

Użytkownik "Jarek Andrzejewski" <p...@g...com> napisał w
wiadomości
news:d58b4a41-86cb-492f-a1cf-b97c0ba88be1@s8g2000prg
.googlegroups.com...
> On Mar 17, 4:26 pm, "kashmiri" <k...@i...pl>
> wrote:
>
>> Liczba złączy jest taka sama (sześć), usytuowanie na karcie takie samo,
>> zasilanie takie samo (3.3V), bo i standard ten sam (ISO/IEC 7810). Czy ja
>> mam inne oczy?
>
> Dla ścisłości: 7810 określa rozmiary plastiku. Od chipów jest 7816.
> A zasilanie to i 5V może być czasem :-)

Dzięki :)
Pozdr.
k.

do góry