Ostatnio płaciłem tą kartą przy takowaniu. Wpisałem zły PIN (tylko 3 cyfry) i
anulowałem transakcję czerwonym przyciskiem. Terminal radośnie wypluł
"Transakcja zaakceptowana" i na stacji konsternacja...

Okazało się, że transakcja została jak najbardziej przyjęta, a bank na pytanie
"why, leo?" odpowiada, że "system źle zafunkcjonował, ale już został
naprawiony".

Fajnie :)

do góry

Użytkownik radekp napisał w wiadomości
>Ostatnio płaciłem tą kartą przy takowaniu. Wpisałem zły PIN (tylko 3
>cyfry) i
>anulowałem transakcję czerwonym przyciskiem. Terminal radośnie wypluł
>"Transakcja zaakceptowana" i na stacji konsternacja...

Pan sie pomylil trzy razy - wpisal 4 dobre cyfry i nacisnal zielony
:-)

>Okazało się, że transakcja została jak najbardziej przyjęta, a bank
>na pytanie
>"why, leo?" odpowiada, że "system źle zafunkcjonował, ale już został
>naprawiony".
>Fajnie :)

Ale kasa wrocila w ramach naprawy ?

A dziwic sie, ze potem ludzie sie boja kart i pomylek systemu :-)


J.

do góry

Hmm, co do zwrotu kasy w ramach naprawy, to najpierw trzeba ustalić, czy OP został z
tej stacji wypuszczony z benzyną czy też ON w banku i bez dodatkowego płacenia,
jedynie na podstawie "transakcja zaakceptowana", czy też musiał zapłacić inną kartą
albo biletemi NBP ?

Bo w sumie czyja ta konsternacja była - klienta czy obsługi ?
Tzn. kliencką rozumiem, ale w sprawie tego, że nacisnął, jak nacisnął, a zadziałało
inaczej, niż się spodziewał - ale kasjer raczej operacji na pin-padzie nie widzi (a
wręcz nie "raczej", a na pewno nie powinien widzieć) !
Chyba że jakaś komunikacja głosowa doszła.

Jeszcze mam jedno podejrzenie - choć to zależy od tego, na jaką sumę było tankowanie
- może po naciśnięciu czerwonego anulowała się transakcja stykowa - bez drukowania
slipa, a zaraz z automatu terminal znów podjął próbę zapłaty - i może poszło pikaczem
- a < 50zł bez PINu idzie ?
Naciągane, ale nie niemożliwe ;>

do góry

Mon, 26 Sep 2016 12:51:10 +0200, w
<57e8fdaa$0$15202$65785112@news.neostrada.pl>, "J.F."
<j...@p...onet.pl> napisał(-a):

> >Okazało się, że transakcja została jak najbardziej przyjęta, a bank
> >na pytanie
> >"why, leo?" odpowiada, że "system źle zafunkcjonował, ale już został
> >naprawiony".
> >Fajnie :)
>
> Ale kasa wrocila w ramach naprawy ?

Chyba żartujesz :)

do góry

Mon, 26 Sep 2016 04:02:52 -0700 (PDT), w
<5...@g...c
om>, Dawid Rutkowski
<d...@w...pl> napisał(-a):

> Hmm, co do zwrotu kasy w ramach naprawy, to najpierw trzeba ustalić, czy OP został
z tej stacji wypuszczony z benzyną czy też ON w banku i bez dodatkowego płacenia,
jedynie na podstawie "transakcja zaakceptowana", czy też musiał zapłacić inną kartą
albo biletemi NBP ?

Od klienta wzięto jedynie nr telefonu na wszelki wypadek (system pokazał, że
kasa została ściągnięta)

> Bo w sumie czyja ta konsternacja była - klienta czy obsługi ?

Obu.

> Tzn. kliencką rozumiem, ale w sprawie tego, że nacisnął, jak nacisnął, a zadziałało
inaczej, niż się spodziewał - ale kasjer raczej operacji na pin-padzie nie widzi (a
wręcz nie "raczej", a na pewno nie powinien widzieć) !
> Chyba że jakaś komunikacja głosowa doszła.

Poszła -- że będzie potrzeba jeszcze raz wykonać operację, bo nastąpiła
pomyłka.

> Jeszcze mam jedno podejrzenie - choć to zależy od tego, na jaką sumę było
tankowanie - może po naciśnięciu czerwonego anulowała się transakcja stykowa - bez
drukowania slipa, a zaraz z automatu terminal znów podjął próbę zapłaty - i może
poszło pikaczem - a < 50zł bez PINu idzie ?
> Naciągane, ale nie niemożliwe ;>

Slip się wydrukował -- proszę obciążyć moje konto, podpis niewymagany, kod
autoryzacji 603283 (1) ( )
Po jego wydrukowaniu nastąpiła konsternacja obu stron.

do góry

Użytkownik radekp napisał w wiadomości
Mon, 26 Sep 2016 12:51:10 +0200, w "J.F."
>> >Okazało się, że transakcja została jak najbardziej przyjęta, a
>> >bank
>> >na pytanie
>> >"why, leo?" odpowiada, że "system źle zafunkcjonował, ale już
>> >został
>> >naprawiony".
>> >Fajnie :)
>> Ale kasa wrocila w ramach naprawy ?
>Chyba żartujesz :)

A napisales "Reklamacja" ?
Transakcja nieautoryzowana, to IMO nie powinna wyjsc :-)
Tzn nieautoryzowana przez Ciebie, bo bank moze miec inne zdanie co do
autoryzacji :-)

A swoja droga - moze niepotrzebnie sie bulwersujemy, i tak ma byc.
Jest proba autoryzacji, a jak sie nie uda, to zarejestruje platnosc
off-line i zrealizuje pozniej - w koncu klientowi zalezy, aby paliwo
zatankowac i odjechac bez problemow.
I klient jest zadowolony, dopoki mu karty nie ukradna :-)
A wtedy sie bedzie reklamacje rozpatrywalo.

I co mnie tylko zastanawia ... co tam bank zle zrobil, ze "system zle
zafunkcjonowal".
Moze wszystkie tak samo zle funkcjonuja ?

J.

do góry

W dniu poniedziałek, 26 września 2016 17:09:01 UTC+2 użytkownik J.F. napisał:
> Jest proba autoryzacji, a jak sie nie uda, to zarejestruje platnosc
> off-line i zrealizuje pozniej - w koncu klientowi zalezy, aby paliwo
> zatankowac i odjechac bez problemow.
> I klient jest zadowolony, dopoki mu karty nie ukradna :-)

Eee, tu już coś mocno zmyślasz.
Czy online, czy offline, jeśli karta trafiła do czytnika stykowego, to PIN PRAWIDŁOWY
podać trzeba - po to do karty wgrywany jest PIN-offline.

Oczywiście EMV ma znaną dziurę, dzięki której można spowodować, że karta zaakceptuje
dowolny PIN i poda wszystkie dane potrzebne do pozytywnej autoryzacji przez bank -
mimo, że złodziej prawidłowego PINu nie zna - oczywiście w kasie taki atak nie
przejdzie, bo wymaga dodatkowego sprzętu, ale w bankomatach ze skradzionych kart już
sporo wypłacono.
Jedynie zastanawia mnie w tym to, że bankomat nie sprawdza podanego PIN z bankiem -
czyżby korzystały z PINu offline ?
I może teraz przełączyli wszystkie bankomaty na PIN online, co uniemożliwiło
wykorzystanie tej dziury ?

Pewnie, że klientowi zależy na tym, żeby zatankować i odjechać, niezależnie od tego,
czy terminal+łącze+bank wszystkie razem działają prawidłowo - ale banki i (może w
mniejszej mierze, ale również) akceptanci mają to gdzieś.
Pytałem w obu bankach, w których mam wypukłe kredytówki (tych dwóch innych, które
wydały mi wypukłe debetówki, już pytać siły nie miałem), czy w razie awarii terminala
można z tej wypukłości (i hologramu jako zabezpieczenia oryginalności karty)
skorzystać - nic z tego, banki nie potrafiły podać powodu, dla którego w ogóle wydają
wypukłe karty, zaś forma akceptacji zależy wyłącznie od akceptanta - a ci w PL chcą
już tylko elektronicznie, jak nie działa to jest problem klienta.

do góry

Użytkownik "Dawid Rutkowski" napisał w wiadomości grup
dyskusyjnych:bf49cbc2-9aab-4926-bc18-dd6d43da0c28@go
oglegroups.com...
W dniu poniedziałek, 26 września 2016 17:09:01 UTC+2 użytkownik J.F.
napisał:
>> Jest proba autoryzacji, a jak sie nie uda, to zarejestruje platnosc
>> off-line i zrealizuje pozniej - w koncu klientowi zalezy, aby
>> paliwo
>> zatankowac i odjechac bez problemow.
>> I klient jest zadowolony, dopoki mu karty nie ukradna :-)

>Eee, tu już coś mocno zmyślasz.
>Czy online, czy offline, jeśli karta trafiła do czytnika stykowego,
>to PIN PRAWIDŁOWY podać trzeba - po to do karty wgrywany jest
>PIN-offline.

No widzisz jak bardzo trzeba podac :-)

Pamietaj, ze ten system sie wywodzi z tego, ze wystarczy znac numer -
czy to odbic go na zelazku, czy podyktowac przez telefon - karte sie
obciaza, a jak posiadacz zaprotestuje, to sie wtedy bedzie wyjasniac.

>Oczywiście EMV ma znaną dziurę, dzięki której można spowodować, że
>karta zaakceptuje dowolny PIN i poda wszystkie dane potrzebne do
>pozytywnej >autoryzacji przez bank - mimo, że złodziej prawidłowego
>PINu nie zna - oczywiście w kasie taki atak nie przejdzie, bo wymaga
>dodatkowego sprzętu, ale w >bankomatach ze skradzionych kart już
>sporo wypłacono.

Ale chyba jednak znajac PIN ?

>Jedynie zastanawia mnie w tym to, że bankomat nie sprawdza podanego
>PIN z bankiem - czyżby korzystały z PINu offline ?
>I może teraz przełączyli wszystkie bankomaty na PIN online, co
>uniemożliwiło wykorzystanie tej dziury ?

Hm, bankomaty przez lata musialy sie opierac na pasku magnetycznym,
mam nadzieje, ze tam PIN nie zapamietywano.
Czy wraz z nowa technika zrobiono cos nowego ? Troche watpie ..

>Pewnie, że klientowi zależy na tym, żeby zatankować i odjechać,
>niezależnie od tego, czy terminal+łącze+bank wszystkie razem działają
>prawidłowo - ale >banki i (może w mniejszej mierze, ale również)
>akceptanci mają to gdzieś.
>Pytałem w obu bankach, w których mam wypukłe kredytówki (tych dwóch
>innych, które wydały mi wypukłe debetówki, już pytać siły nie
>miałem), czy w razie >awarii terminala można z tej wypukłości (i
>hologramu jako zabezpieczenia oryginalności karty) skorzystać - nic z
>tego, banki nie potrafiły podać powodu, dla >którego w ogóle wydają
>wypukłe karty, zaś forma akceptacji zależy wyłącznie od akceptanta -
>a ci w PL chcą już tylko elektronicznie, jak nie działa to jest
> >problem klienta.

A jednoczesnie wystarczy im numer karty przez telefon. Z CVV, albo i
bez - pamietasz sprawe z prenumerata ?

Ale moze w Polsce za duzo oszustw, we wszystkie strony, to i akceptant
sie zabezpiecza ....

J.

do góry

W dniu poniedziałek, 26 września 2016 17:42:45 UTC+2 użytkownik J.F. napisał:
> >> Jest proba autoryzacji, a jak sie nie uda, to zarejestruje platnosc
> >> off-line i zrealizuje pozniej - w koncu klientowi zalezy, aby
> >> paliwo
> >> zatankowac i odjechac bez problemow.
> >> I klient jest zadowolony, dopoki mu karty nie ukradna :-)
>
> >Eee, tu już coś mocno zmyślasz.
> >Czy online, czy offline, jeśli karta trafiła do czytnika stykowego,
> >to PIN PRAWIDŁOWY podać trzeba - po to do karty wgrywany jest
> >PIN-offline.
>
> No widzisz jak bardzo trzeba podac :-)

Cóż, póki co, to wiemy, że coś jest nie tak z tą historią - albo ze sposobem
działania terminalu, albo banku - albo z prawidłowością relacji OP ;>

Hmmm, w sumie można POS ustawić tak, żeby o PIN nie pytał - vide afera z biletomatami
we Wrocławiu - także może i teoretycznie jest taka możliwość, że jak jest problem z
autoryzacją on-line, to terminal pozwala na off-line i to nawet bez PINu - choć
zapewne jest to błąd w konfiguracji.
Ale możliwości konfiguracji jest tak wiele... Np. żonie raz nie poszła z chipa KK db
w ikea - pani w kasie na to, żeby się nie przejmować, przeciągnęła z paska - i
poszło. Zaintrygowany próbowałem płacić w różnych miejscach z paska, ale zawsze
kazało włożyć kartę do czytnika chip - mimo to jednak jest opcja płatności z paska
pod pewnymi warunkami.

> Pamietaj, ze ten system sie wywodzi z tego, ze wystarczy znac numer -
> czy to odbic go na zelazku, czy podyktowac przez telefon - karte sie
> obciaza, a jak posiadacz zaprotestuje, to sie wtedy bedzie wyjasniac.

Może i tak jest, pytanie tylko, czy akceptanci są skłonni ponosić takie ryzyko, bo to
ich obciążają fraudy. Wolą więc być zabezpieczeni - stąd rozwój autoryzacji
elektronicznej (choć i przed tym mieli możliwość autoryzacji np. przez telefon -
długo to trwało, było wkurzające dla klienta - ale wtedy karty to nie była masówka, a
może ci bogaci klienci są cierpliwi i mają czas ?).

A do tego masówka zwana np. visa electron czy maestro czy różne lokalne debetówki -
które z założenia działają zupełnie odwrotnie, niż napisałeś - czyli jak jest
autoryzacja, to płatność idzie, a jak nie, to biedny kliencie nie zawracaj nam głowy.

> >Oczywiście EMV ma znaną dziurę, dzięki której można spowodować, że
> >karta zaakceptuje dowolny PIN i poda wszystkie dane potrzebne do
> >pozytywnej >autoryzacji przez bank - mimo, że złodziej prawidłowego
> >PINu nie zna - oczywiście w kasie taki atak nie przejdzie, bo wymaga
> >dodatkowego sprzętu, ale w >bankomatach ze skradzionych kart już
> >sporo wypłacono.
>
> Ale chyba jednak znajac PIN ?

Właśnie NIE ZNAJĄC - dlatego jest to dziura.
I dlatego potrzebny jest dodatkowy sprzęt - taki czytnik, w który wkładasz skradzioną
kartę, który podłączony jest kabelkiem do takiej "wtyczki" w kształcie karty z
chipem, którą do bankomatu wkładasz (coś takiego było w "Terminator 2", tyle że
używali Atari Portfolio - jak widać SF przewiduje przyszłość - i wypłacili sobie kasę
z bankomatu) - i dlatego kraść dawało się wyłącznie przez bankomaty (możliwe, że
można było się zabezpieczyć limitem transakcji gótówkowych ustawionym na 0 -
oczywiście jeśli bank na to pozwala).

Bo przecież jak ukradniesz kartę i jednocześnie podejrzysz PIN, to już żadnego
dodatkowego sprzętu do wypłaty z bankomatu nie potrzeba - potrzeba tylko tyle, by
okradziony się nie zorientował i nie zadzwonił do banku, aby zastrzec kartę.

> Hm, bankomaty przez lata musialy sie opierac na pasku magnetycznym,
> mam nadzieje, ze tam PIN nie zapamietywano.
> Czy wraz z nowa technika zrobiono cos nowego ? Troche watpie ..

Jak czytałem o zawartości paska, to tam jest miejsce na dane autoryzacyjne - np. w
USA jako taki "PIN" do kredytówki np. na samoobsługowej stacji benzynowej podajesz
swój kod pocztowy - i raczej leci to bez łączności z bankiem.
Zaś w chipie pin offline jest na pewno - i wiele się nad tym zastanawiałem, po co
jest metoda autoryzacji 1F, gdzie kwota autoryzowana jest on-line, zaś pin off-line -
skoro i tak łączność z bankiem jest nawiązana.
I podejrzewam, że ten atak możliwy był z tego powodu, że bankomaty sprawdzają PIN
offline - ale może za mało wiem.

> A jednoczesnie wystarczy im numer karty przez telefon. Z CVV, albo i
> bez - pamietasz sprawe z prenumerata ?
Wystarczy tym akceptantom, którzy mają to ryzyko wliczone w model biznesowy - czyli
po prostu w cenę - a ceną i tak mogą konkurować, bo mają niższe inne koszty, bo są
np. sklepami internetowymi.
I to też nie jest, że wystarczy podać - żaden sklep internetowy nie autoryzuje Ci
transakcji off-line - i są kryci, bo jeśli klient karty skradzionej nie zastrzegł, to
jest to wina klienta.

do góry

Użytkownik "Dawid Rutkowski" napisał w wiadomości grup
>W dniu poniedziałek, 26 września 2016 17:42:45 UTC+2 użytkownik J.F.
>napisał:
>
>Ale możliwości konfiguracji jest tak wiele... Np. żonie raz nie
>poszła z chipa KK db w ikea -
>pani w kasie na to, żeby się nie przejmować, przeciągnęła z paska - i
>poszło.
>Zaintrygowany próbowałem płacić w różnych miejscach z paska,
>ale zawsze kazało włożyć kartę do czytnika chip - mimo to jednak jest
>opcja płatności z paska pod pewnymi warunkami.

Ciekawe - a przeciez tych akceptantow w Polsce nie ma tak wielu, i
terminale u kontrahentow powinni oni konfigurowac ...

Mnie z kolei cos czasem debetowka nie funguje i kaza mi sie podpisac
na papierku.
I nie wiem o co chodzi, bo nie zlapalem reguly ...

>> Pamietaj, ze ten system sie wywodzi z tego, ze wystarczy znac
>> numer -
>> czy to odbic go na zelazku, czy podyktowac przez telefon - karte
>> sie
>> obciaza, a jak posiadacz zaprotestuje, to sie wtedy bedzie
>> wyjasniac.

>Może i tak jest, pytanie tylko, czy akceptanci są skłonni ponosić
>takie ryzyko, bo to ich obciążają fraudy. Wolą więc być
>zabezpieczeni - stąd rozwój
>autoryzacji elektronicznej (choć i przed tym mieli możliwość
>autoryzacji np. przez telefon - długo to trwało,
>było wkurzające dla klienta - ale wtedy karty to nie była masówka, a
>może ci bogaci klienci są cierpliwi i mają czas ?).

W USA dlugo byli sklonni ponosic ryzyko, chyba nawet dzis ciagle sporo
jest off-line.

>A do tego masówka zwana np. visa electron czy maestro czy różne
>lokalne debetówki
> - które z założenia działają zupełnie odwrotnie, niż napisałeś -
> czyli jak jest autoryzacja,
>to płatność idzie, a jak nie, to biedny kliencie nie zawracaj nam
>głowy.

Jesli sie nie myle, to wroclawskie biletomaty maja to w d* i wydaja i
obciazaja :-)
A i czasem udawalo sie taka przez internet zaplacic.

>> >Oczywiście EMV ma znaną dziurę, dzięki której można spowodować, że
>> >karta zaakceptuje dowolny PIN i poda wszystkie dane potrzebne do
>> >pozytywnej >autoryzacji przez bank - mimo, że złodziej
>> >prawidłowego
>> >PINu nie zna - oczywiście w kasie taki atak nie przejdzie, bo
>> >wymaga
>> >dodatkowego sprzętu, ale w >bankomatach ze skradzionych kart już
>> >sporo wypłacono.
>
>> Ale chyba jednak znajac PIN ?

>Właśnie NIE ZNAJĄC - dlatego jest to dziura.

A to nie znam.

>I dlatego potrzebny jest dodatkowy sprzęt - taki czytnik, w który
>wkładasz skradzioną kartę,
>który podłączony jest kabelkiem do takiej "wtyczki" w kształcie karty
>z chipem,
>którą do bankomatu wkładasz (coś takiego było w "Terminator 2",
>tyle że używali Atari Portfolio - jak widać SF przewiduje przyszłość
>- i wypłacili sobie kasę z bankomatu)
>- i dlatego kraść dawało się wyłącznie przez bankomaty

No wiesz - w sklepie wzbudziloby to zainteresowanie.
Moze na jakiejs samoobslugowej stacji paliwowej..

A teraz wystarczy zblizyc telefon lub inny dowolny przedmiot i nikogo
w sklepie to nie dziwi :-)

>(możliwe, że można było się zabezpieczyć limitem transakcji
>gótówkowych ustawionym na 0 - oczywiście jeśli bank na to pozwala).

>Bo przecież jak ukradniesz kartę i jednocześnie podejrzysz PIN, to
>już żadnego dodatkowego sprzętu do wypłaty z bankomatu nie potrzeba
>- potrzeba tylko tyle, by okradziony się nie zorientował i nie
>zadzwonił do banku, aby zastrzec kartę.

Wroclawskim biletomatom zastrzezenie nie przeszkadzalo :-)

Z tym, ze sztuka polegala na tym, aby karty nie krasc.
Dane z paska sie zczyta, PIN podejrzy kamerka, i zrobi duplikat karty.
Z czipowej teoretycznie sie duplikatu zrobic nie da, ale czy aby na
pewno ?

>> Hm, bankomaty przez lata musialy sie opierac na pasku magnetycznym,
>> mam nadzieje, ze tam PIN nie zapamietywano.
>> Czy wraz z nowa technika zrobiono cos nowego ? Troche watpie ..

>Jak czytałem o zawartości paska, to tam jest miejsce na dane
>autoryzacyjne
> - np. w USA jako taki "PIN" do kredytówki np. na samoobsługowej
> stacji
>benzynowej podajesz swój kod pocztowy - i raczej leci to bez
>łączności z bankiem.

Tak kompletnie bez lacznosci, to mozna probowac wyprodukowac karte
fikcyjna.
No ale na stacji sa kamery, a samochod ma tablice ... choc nie zawsze
prawdziwe ...

>Zaś w chipie pin offline jest na pewno - i wiele się nad tym
>zastanawiałem,
>po co jest metoda autoryzacji 1F, gdzie kwota autoryzowana
>jest on-line, zaś pin off-line - skoro i tak łączność z bankiem jest
>nawiązana.
>I podejrzewam, że ten atak możliwy był z tego powodu,
>że bankomaty sprawdzają PIN offline - ale może za mało wiem.

Moze, ale troche to dziwne, ze chcialo im sie cos takiego wymyslac, i
akurat do bankomatow wstawiac, ktore i tak maja weryfikacje on-line.

>> A jednoczesnie wystarczy im numer karty przez telefon. Z CVV, albo
>> i
>> bez - pamietasz sprawe z prenumerata ?
>Wystarczy tym akceptantom, którzy mają to ryzyko wliczone w model
>biznesowy
> - czyli po prostu w cenę - a ceną i tak mogą konkurować,
> bo mają niższe inne koszty, bo są np. sklepami internetowymi.

No ale cos takiego tu podejrzewam - online sie nie udalo, to
przechodzimy do trybu off-line i wierzymy ze karta dobra.

>I to też nie jest, że wystarczy podać - żaden sklep internetowy
>nie autoryzuje Ci transakcji off-line - i są kryci,
>bo jeśli klient karty skradzionej nie zastrzegł, to jest to wina
>klienta.

Zapomniales o prenumeracie. Ktos tam uzyl karty, zaplacil, a
sprzedawca za pol roku pobral kolejna kwote, zgodnie z umowa zreszta.
Ale pobral - i ciekaw jestem - zapamietal nr karty i CVV, czy do
obciazenia wcale mu CVV nie jest potrzebny.
Tak w koncu ten system dzialal przez lata - zadnych autoryzacji, sam
numer wystarcza do obciazenia.

J.

do góry