Użytkownik "swen" <n...@n...com> napisał w wiadomości
news:sn9Dj.11372$%N1.2190@newsfe3-gui.ntli.net...
>
>> Sprzedawca przeprasza Cię za niesprawność czytnika (lub nawet oburza
>> się -- jak można niesprawną kartą próbować płacenia?! co za swołocz
>> przychodzi teraz do mojego sklepu?!??!) i prosi o gotówkę czy inną
>
> Jeszcze nigdy nie zdarzylo mi sie, by sprzedawca/kasier gdziekolwiek nawet
> nie zrobil niecikawej miny jak odmowilo mi wspolpracy z karta:))
> oczywiscie mam na mysli UK.
[ciach]
> Nikt mnie nie nazwla naciagaczem, oszustem, zlodziejem na stacji. Po 4
> krotnym sprawdzeniu karta odmawiala, wiec sprzedawca zaproponowal spisanie
> protokolu:)
[ciach]

Kolega Eneuel pisał chyba o fikcyjnym sklepie, bo nie wydaje mi się, żeby
gdziekolwiek w PL jeszcze tak traktowali klienta. No chyba że za mało Polski
widziałem...
Do tego kolega Eneuel chyba nie zauważył, że chodzi o wkładanie do czytnika
kart z chipem.

do góry

f...@s...poczta.onet.pl napisał(a):
> Karta ma pasek, jak kazda "zwykla" karta. Pasek ten mozna tak
> samo skopiowac, tak samo mozna zlapac PIN - i wtedy co?

Karta autoryzowana PINem jest znacznie mniej bezpieczniejsza dla
uzytkownika niz karta autoryzowana podpisem. A kombo pasek + chip
jeszcze tylko zwieksza to niebezpieczenstwo.

Tym niemniej, pomijajac dyskusje podpis vs PIN (chip vs pasek) warto
przypomniec, ze wiekszosc terminali drukuje dla sprzedawcy potwierdzenie
na ktorym jest nie tylko PELNY numer karty ale takze data waznosci. Imie
i nazwisko ma tutaj znacznie mniejsze znaczenie, bo przy zakupach MO/TO
nie jest to sprawdzane. Poza tym nie raz widzialem, ze terminal
wyswietlil moje imie i nazwisko. Tak wiec sa to dane banalne do
zapamietania, a reszte sprzedawca ma na tacy. Przy nieuczciwym
sprzedawcy nieszczescie gotowe.

Wobec powyzszego, praktycznie kazdy sprzedawca moze nam zrobic "fraud"
obojetnie czy mamy pasek, chip, autoryzacja podpisem czy pinem.

I ja bym sie obawial raczej tego :)


--
Mithos

do góry

In article <frj66m$erf$2@flis.man.torun.pl>,
p...@c...fontem.lucida.console says...
>
> "MarcinF" frj5gi$bli$...@a...news.neostrada.pl
>
> > gdybys poza angielskim rozumial jeszcze podstawy fizyki to moze
> > udaloby Ci troche mniej osmieszac, fakt wystepowania 2 standardow
> > o roznej odpornosci na przypadkowe uszkodzenie zapisu nie ma nic
> > do rzeczy jesli mowimy o swiadomym celowym niszczeniu
>
> Wystarczy odciąć ten pasek lub zeskrobać. :)
> Oczywiście odciąć nie na całej długości, tak
> ażeby nie mieć problemów z trafianiem styków
> chipowych na nóżki w czytniku -- na przykład
> można zostawić koniuszek paska lub powycinać
> w pasku ząbki szerokie na centymetr lub dwa. :)


Papier scierny

do góry

"kashmiri" <k...@i...pl> writes:

> Nie. W UK sprzedawca nie bierze karty do ręki, a czytniki są tak
> ustawione, żeby klient mógł sam obsłużyć kartę. UK ma 60 milionów
> mieszkańców, kilkadziesiąt milionów kart w obiegu i wszystkie karty
> wydawane obecnie są chipowe. Tak że to twoje doświadczenie w paru
> polskich sklepach dopiero uczących się obsługi kart z chipem jest w
> skali światowej raczej wyjątkiem.

UK to nie swiat, w skali swiatowej wciaz najczestsze sa karty
tylko magnetyczne. Aczkolwiek to sie bedzie zmieniac tylko w jedna
strone.

> Elektronika wszystkich terminali dopuszczone do użytku ulega
> nieodwracalnemu uszkodzeniu w momecie próby otwarcia.

Akurat. Jak to sobie w ogole wyobrazasz? A co np. z serwisem?

Elektronika _niektorych_ terminali zapamietuje kazde otwarcie
i nastepnie melduje o tym wlascicielowi, to prawda. Tak czy owak
najbardziej trywialny sposob ataku, w ktorym uzywa sie podstawionego
czytnika, np. wyswietlajacego wpisany PIN (ktory sprzedawca nastepnie
wpisuje do prawdziwego czytnika), jest nie do obrony. Dlatego PIN
mozna traktowac wylacznie jako dodatkowe zabezpieczenie sprzedawcy
i banku przed fraudem, ale nie jako cos, co obciaza klienta.

Okolicznoscia obciazajaca klienta jest transakcja oryginalna karta.
W przypadku kart magnetycznych nie da sie odroznic takiej od
transakcji z kopia karty.

> Dlatego piszę, że używanie chipa
> jest znacznie bezpieczniejsze niż paska.

W przypadku karty procesorowej odpowiedzialnosc za fraudy bez uzycia
procesora ponosi ten, kto nie uzyl procesora, wiec klienta to nie
powinno w ogole interesowac.

> Pomyłka, miałem na myśli CVV2, którego znajomość umożliwia
> przeprowadzanie transakcji MO/TO/IO. Od stycznia 2008 pasek kart w UK
> nie zawiera CVV2.

CVV2 tak czy owak nie jest gwarancja niczego, to tylko dodatkowe
zabezpieczenie sprzedawcy.
--
Krzysztof Halasa

do góry

"kashmiri" <k...@i...pl> writes:

> To by było mniej więcej tak ryzykowne, jak wydawanie reszty fałszywymi
> banknotami. Nie każdy jest głupi albo niespotrzegawczy - skąd wiadomo,
> co klient wie i gdzie pracuje?

??? A jak odroznisz falszywy czytnik od prawdziwego? Moga nie roznic
sie niczym na zewnatrz. Typowo, to to bedzie po prostu drugi,
przerobiony nieco czytnik.
--
Krzysztof Halasa

do góry

"kashmiri" frj8pn$b8g$...@n...interia.pl

> To by było mniej więcej tak ryzykowne, jak wydawanie reszty fałszywymi
> banknotami. Nie każdy jest głupi albo niespotrzegawczy - skąd wiadomo, co
> klient wie i gdzie pracuje?

> Nie wyobrażam sobie przyzwoitego sklepu wystawiającego taką fałszywkę. Może
> w taksówce, ale nie w supermarkecie.

A ja nie wyobrażam sobie człowieka, który zna absolutnie wszystkie typy
klawiatur PINowych. :) No... I szczerze wątpię w to, że elektronika ich
ulega nieodwracalnemu zniszczeniu w wypadku otwarcia obudowy czytnika.

Problem jest jednak inny -- co nas obchodzi, czy ta elektronika
padnie czy nie padnie? Wyrzucamy ją przecież do śmietnika.


Otwieramy obudowę czytnika (nawet łamiemy, oby nie za mocno, bo
poklejony taśmami czytnik wzbudzić może podejrzenia -- akurat
u mnie nie wzbudzają takie czytniki :) podejrzeń, bo nie do
jednego się przyzwyczaiłem w Polsce) podmieniamy prawdziwy
czytnik (wnętrze czytnika, czyli ,,elektronikę'') kawałkiem
kalkulatora czy telefonu i zamykamy tę obudowę. Z wierzchu
nie widać wnętrza. :)

Widziałem takie czytniki PINów, że nie mogłem się powstrzymywać
od śmiechu i śmiałem się tak, że trudno było ze mną rozmawiać. :)
Poklejone taśmami, poprzecierane na wylot klawisze
(cyfr niektórych klawiszy już dawno nie było, ale można było
wydedukować ;) który klawisz co oznaczał -- zwłaszcza maciupkie
płaszczaki tak wyglądały, i to w wielu sklepach, czasami bardzo
dużych, nie w jednym, na jakiejś zapadłej prowincji)
spod których wystawały kikuty :) mikrowyłączników, pokaleczone
wyświetlacze LCD, poprzecierane (?na wylot? -- do miedzi)
przewody połączeniowe...

-=-

Banki gustują natomiast w zaawansowaną myśl. :) Na przykład

'wiem, ale nie powiem'. :)

Czytnik czyta i decyduje o tym, czy PIN jest poprawny, ale
sam tego PINu nie poznaje!!!

-=-

Ale te wszystkie zapobiegliwości są dobre psu na budę w zetknięciu
z brutalnością niektórych rozwiązań typu podrobiony czytnik PINu.
Gdybyż to było tak:

-- klient wkłada kartę do czytnika kart

-- czytnik kart prosi kartę o jakiś kod

-- karta bezwzględnie kod podaje

-- czytnik kart sprawdza ten kod w jakiejś bazie (która
być może zmienia się jakoś (; dynDamicznie) i wysyła
do karty (chipowej oczywiście) stosowną odpowiedź
(różną w różnych okolicznościach)

-- karta (chipowa oczywiście) po otrzymaniu odpowiedzi
od czytnika kart podejmuje decyzję typu -- dobra
jest ta odpowiedź, czy zła

-- jeśli odpowiedź jest dobra, to karta kontynuuje rozmowę
z czytnikiem i informuje jakoś swego właściciela (zwanego
przez banki posiadaczem i niewłaścicielem zarazem), ale
jeśli odpowiedź jest zła, to karta zamyka się na pół dnia
lub nawet żąda wizyty w banku i złożenia wyjaśnień, celem
których jest namierzanie podejrzanych sprzedawców

-- klient nie ma prawa do podania PINu tak długo, jak
długo karta mu nie powie, że zbadała sklepowy czytnik
kart; czasami karta nie zezowali na podanie PINu, choć
dogada się z czytnikiem kart -- jeśli klient PIN poda
(o czym karta dowie się od sprawnego czytnika kart,
z którym jest w jawnej zmowie) mimo braku zgody karty,
to karta się zamknie :) przed sfinalizowaniem transakcji
i poprosi klienta o wizytę w banku, gdzie ów klient
zostanie (odpłatnie) poinformowany o tym, że nie wolno
mu podawać PINu bez zgody jego karty

Jeśli w tej sytuacji czytnik kart i czytnik PINu będą ZAWSZE w tej
samej obudowie (otworzenie której skutkować będzie zniszczeniem
elektroniki lub innym dezaktywowaniem czytnika kart/PINów) to
wykradanie PINów będzie utrudnione, ale nadal możliwe będzie
instalowanie ukrytych kamer, których zapisy pokażą wstukiwane PINy.

I na te kamery nie ma prostych sposobów: jeśli czytnik kart/PINów
nie prosi o podanie całego PINu, ale kolejno o którąś z jego cyfr,
to nie tylko klient wie, o które cyfry chodzi, ale i kamera czy
raczej kamerzysta... Rozwiązaniem by były karty rozmawiające
z klientem za pomocą czegoś na kształt alfabetu braila, lecz
to już scenariusz na SF z przewaga F. ;) Niby czytnik mógłby
prosić o podawanie cyfr PINu ,,poprawionych'' w jakiś prosty
sposób; na przykład tak: do każdej cyfry PINu dodaj pierwszą
(lub drugą czy trzecią itd.) cyfrę Twego numeru PESEL... Ale
wbrew pozorom takie podawanie PINu byłoby skutecznym
utrudnieniem dla klientów. :)

Łatwiej już w kartę wmontować czytnik linii papilarnych jej właściciela. :)

Ale nadal możliwe będzie płacenie taką kartą przez internet
i telefon oraz tam, gdzie nadal sztuka prasowania jest kultywowana.

-===-

Sprawna karta magnetyczna nie pogada z czytnikiem i zawsze poda mu
to, czego on zapragnie. :) Podobnie jest z człowiekiem -- poda PIN
i nie będzie sprawdzał (bo i gdzie?) autentyczności czytnika PIN.

--
.`'.-. ._. .-.
.'O`-' ., ; o.' leszekc@@alpha.net.pl '.O_'
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~'~'~ o.`.,
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;, .;. . .;\|/....

do góry

"kashmiri" frj94d$bnp$...@n...interia.pl

> Kolega Eneuel pisał chyba o fikcyjnym sklepie, bo nie wydaje mi się, żeby
> gdziekolwiek w PL jeszcze tak traktowali klienta.

Kolega Eneuel pisze o sklepie, w którym pracuje złodziej, nie zaś
porządny sprzedawca. Porządny przecież nie kradnie PINów, a trudno
sobie wyobrazić sytację taką, że PINy kradnie jakiś klient sklepu
bez porozumienia z właścicielem czy choćby sprzedawcą tegoż sklepu.

> No chyba że za mało Polski
> widziałem...

Raczej za szybko czytałeś wątek. ;)

> Do tego kolega Eneuel chyba nie zauważył, że chodzi o wkładanie do czytnika kart z
chipem.

W poście, na który odpowiada kolega Eneuel, chodzi o wkładanie kart
z paskiem magnetycznym. :) Kolega Eneuel odpowiada na ten/poniższy
post, którego jesteś (?nieświadomym?) autorem:

"kashmiri" frj54v$5rl$...@n...interia.pl
[..]
k> Że w chwili nieuwagi klienta sprzedawca nie skopiuje karty (paska) -
k> najczęstsza sposób fraudów.
[..]

Oto i odpwiedź kolegi Eneuela:

"Eneuel Leszek Ciszewski" frj6u3$h2q$...@f...man.torun.pl

> "kashmiri" frj54v$5rl$...@n...interia.pl

E> > > Jaka różnica, kto wkłada?

k> > Że w chwili nieuwagi klienta sprzedawca nie skopiuje karty (paska) -
k> > najczęstsza sposób fraudów.

A w wątku (w poście inicjującym wątek) chodzi o karty chipowe z paskiem magnetycznym.

Oto i ten post, którym zaczyna się wątek:

f...@s...poczta.onet.pl 1...@h...unknown

[..]
> Od jakiegos czasu mam karte ze stykami, co podobno
> sprawia, ze jest ona bardzo bezpieczna. Tak mowia :-)

> Temat bezpieczenstwa w czasie, kiedy ow procesor jest uzywany
> jest dla mnie jasny, ale nijak nie potrafie znalezc
> prawdziwego uzasadnienia dla calej karty.

> Karta ma pasek, jak kazda "zwykla" karta. Pasek ten mozna tak
> samo skopiowac, tak samo mozna zlapac PIN - i wtedy co?

> Oszust idzie do dowolnej maszyny, ktora nie uzywa procesora
> i naciga mnie IDENTYCZNIE jakbym nie mial go wcale?!

> Pytam glownie pod katem krajow znanych z fraudow - dawniej wyjazd
> w takie miejsce z karta rownal sie jej ogoleniu i banki
> zalecaly wymiane karty po powrocie. Ostatnio widzialem reklame
> - jak to Mastercard jest super bezpieczny w... taksowce! Oczywiscie
> dzieki procesorowi. To dla mnie jakis absolutny belkot,
> ale moze cos przegapilem?
[..]

Tak więc (podobnie jak kolega "swen" w poście o midzie
sn9Dj.11372$%N...@n...ntli.net) tracisz chyba
kontakt z tym, co czytasz, :) czyli z tym, co ja piszę.
W przeciwieństwie do kolegi "swen", tracisz najwyraźniej
kontakt także z tym, co sam piszesz...

--
.`'.-. ._. .-.
.'O`-' ., ; o.' leszekc@@alpha.net.pl '.O_'
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~'~'~ o.`.,
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;, .;. . .;\|/....

do góry

"Mithos" frjb5c$665$...@n...onet.pl

> [..] A kombo pasek + chip jeszcze tylko zwieksza to niebezpieczenstwo.

Ale jakoś trzeba przejść z pasków na chipy.

--
.`'.-. ._. .-.
.'O`-' ., ; o.' leszekc@@alpha.net.pl '.O_'
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~'~'~ o.`.,
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;, .;. . .;\|/....

do góry

"kashmiri" <k...@i...pl> wrote in message
news:frj5o8$6nu$1@news.interia.pl...
>
> Niewielka garstka klientów może być właścicielami bardzo potężnych
> magnesów, nie? Jesteś telepatą jeśli oceniłeś, że @franekkimono do takich
> należy.

Nie musi byc potezny, jak uszkodzilem zapic na pasku uzywajac madnesu z
glosnika. Bylo to jakies 1,5 roku temu. Oczywiscie uszkodzilem celowo.

MK

do góry

Samotnik wrote:
> Dnia 16.03.2008 f...@s...poczta.onet.pl
<f...@s...poczta.onet.pl> napisał/a:
>> Macie jakis pomysl dlaczego karta ze scalakiem ma sie nie dac ogolic?
>
> Jeśli ma pasek, to nie ma różnicy. Jeśli nie ma paska, to trudniej o tyle,
> że nie da się jej skopiować.

Czy uszkodzenie paska zwiększa bezpieczeństwo?

--
Pozdrawiam,
Piotr Kubiak

do góry