Witam

W Polsce mamy praktycznie wszedzie 3D secure, potwierdznie wszystkiego
haslem jednorazowym i proba zakupu na dane karty "spisane" w sklepie
itp. praktycznie wydaje sie niemozliwa. A tu w swiecie dziala sobie
serwis z wplatami karta do ktorego wystarczy wklepac jedynie numer karty
i date waznosci (nawet bez cvv). Do tego byl inny blad zwracany jezeli
data byla zla ale numer dobry.
I ktos wpadl na pomysl sprawdzenia kart przez wprowadzanie kolejnych
numerow, jak sysem wyplul blad daty waznosci to znaczy numer dobry i
mozna "zgadywac" date a potem jakies inne zakupy.
Ciekawe czy "wirtualne numery" kart Apple/Google/Garmin itp. Pay sa na
to bezpieczne.

https://niebezpiecznik.pl/post/zgadywanie-numerow-ka
rt-platniczych-i-ich-okradanie-to-mozliwe/

Pozdrawiam,
Marcin

do góry

No to ten serwis beknie zdrowo, a przynajmniej jego acquirer.
Mnie zaciekawiło co innego - "Niektórzy klienci dostawcy kart Privacy.com zauważyli
na swoich kontach ślady po wielu nieudanych próbach obciążenia ich kart".
Najpierw myślałem, że to privacy.com to właśnie ten serwis, który nie stosuje CVV (a
może nawet daty ważności), ale nie - to jakiś wystawca wirtualnych kart - i nawet
ciekawy pomysł, można tam ustawiać limity osobno dla każdego serwisu, w którym się
płaci - a być może w ogóle działa na zasadzie białej listy.
I, czego w bankach nie uświadczysz, pokazuje nieskuteczne próby obciążenia karty.

Co do google pay to wciąż nie wiem, czy płatność tymi kartami jest jako zwykła czy
jako IO.
Zapewne "zbliżeniowo telefonem" jest to płatność zwykła - ale czy płatność google pay
przez internet to jest IO czy "zwykła" to pewien nie jestem.
Gdyby była "zwykła" to rozwiązywałoby kwestię takiego ataku - a za "zwykłością"
przemawia to, że do wirtualnego numeru nie masz podanego CVV (w przeciwieństwie np.
do "wirtualnej" karty z banku - a taki mBąk do tej pory i tak wysyłał plastik
"wirtualnej" karty).

Zaś data ważności - nie zawsze jest to jakikolwiek kłopot, np. taki citek radośnie od
lat numeruje karty kredytowe po kolei - w środku numeru mojej mam cztery zera. Co
ciekawe, debetówki potrafią numerować losowo.

do góry

Użytkownik "Marcin" napisał w wiadomości grup
dyskusyjnych:5e5ecf16$0$17347$6...@n...neostrad
a.pl...
>W Polsce mamy praktycznie wszedzie 3D secure, potwierdznie
>wszystkiego haslem jednorazowym i proba zakupu na dane karty
>"spisane" w sklepie itp. praktycznie wydaje sie niemozliwa. A tu w
>swiecie dziala sobie serwis z wplatami karta do ktorego wystarczy
>wklepac jedynie numer karty i date waznosci (nawet bez cvv). Do tego
>byl inny blad zwracany jezeli data byla zla ale numer dobry.
>I ktos wpadl na pomysl sprawdzenia kart przez wprowadzanie kolejnych
>numerow, jak sysem wyplul blad daty waznosci to znaczy numer dobry i
>mozna "zgadywac" date a potem jakies inne zakupy.

Wiadomo czym takie podejscie grozi, ale
-prawdopodobne numery kart pewnie mozna zgadnac, bo tam jakies nr
banku sa zawarte itp,
-data waznosci ... kilkanascie prob i trafimy,
-imie i nazwisko czesto jest potrzebne,
-i np adres.

I juz nam ilosc prob rosnie, a moze gdzies tam jest jakies
zabezpieczenie, ze przy duzej ilosci prob cos zostanie zablokowane.

No i jeszcze adresy dostawy - potem policja szybko namierzy.
Chyba, ze jakis wirtualny towar, czy paczkomat.

>Ciekawe czy "wirtualne numery" kart Apple/Google/Garmin itp. Pay sa
>na to bezpieczne.
>https://niebezpiecznik.pl/post/zgadywanie-numerow-k
art-platniczych-i-ich-okradanie-to-mozliwe/

J.

do góry

On Tue, 3 Mar 2020 22:41:40 +0100, Marcin <n...@n...com> wrote:
> W Polsce mamy praktycznie wszedzie 3D secure, potwierdznie
> wszystkiego

To nie ma znaczenia bo:
1.  cyt. "chętnie stosowany w Polsce mechanizm 3DSecure dla kart
niczego tu nie zmienia, bo nie musi być zaimplementowany po stronie
"merchanta", czyli w miejscu, gdzie ktoś w sposób nieautoryzowany
użyje Waszej karty. I nie zawsze jest"

2. Karta jest obciążana "na nr" i card issuer ma/może obciążyć kartę
nawet jak "nie ma na niej środków".

--
Marek

do góry

Marek <f...@f...com> writes:

> To nie ma znaczenia bo:
> 1.  cyt. "chętnie stosowany w Polsce mechanizm 3DSecure dla kart
> niczego tu nie zmienia, bo nie musi być zaimplementowany po stronie
> "merchanta", czyli w miejscu, gdzie ktoś w sposób nieautoryzowany
> użyje Waszej karty. I nie zawsze jest"
>
> 2. Karta jest obciążana "na nr" i card issuer ma/może obciążyć kartę
> nawet jak "nie ma na niej środków".

Właśnie to ma zasadnicze znaczenie. Idąc tym tokiem rozumowania, to
w ogóle nic nie ma znaczenia, bo w końcu kasjerka w banku może ukraść
pieniądze.
--
Krzysztof Hałasa

do góry

On Sat, 07 Mar 2020 16:18:23 +0100, Krzysztof Halasa <k...@p...waw.pl>
wrote:
> Właśnie to ma zasadnicze znaczenie. Idąc tym tokiem rozumowania, to
> w ogóle nic nie ma znaczenia, bo w końcu kasjerka w banku może
> ukraść
> pieniądze.

Od 50 lat w USA obciążenie karty nigdy nie było problemem bo system
reklamacji/chargeback był/jest zawsze bezdyskusyjny a nie warunkowy,
ergo nie ma problemu z niechcianym obciązeniem i nikt w ogóle takich
polskich dylematów nie rozstrząsa.

--
Marek

do góry

W dniu 11.03.2020 o 09:03, Marek pisze:
> On Sat, 07 Mar 2020 16:18:23 +0100, Krzysztof Halasa <k...@p...waw.pl> wrote:
>> Właśnie to ma zasadnicze znaczenie. Idąc tym tokiem rozumowania, to
>> w ogóle nic nie ma znaczenia, bo w końcu kasjerka w banku może ukraść
>> pieniądze.
>
> Od 50 lat w USA obciążenie karty nigdy nie było problemem bo system
> reklamacji/chargeback był/jest zawsze bezdyskusyjny a nie warunkowy,
> ergo nie ma problemu z niechcianym obciązeniem i nikt w ogóle takich
> polskich dylematów nie rozstrząsa.
>
wystarczy że wyjmiesz kartę w sklepie, dasz na chwilę kasjerowi, tak aby
kamera zobaczyła numer, datę i cvv - możesz zostać okradziony. np za pół
roku od wizyty w sklepie. w zeszłej epoce, kupowano za pomocą kart dobra
materialne, które trafiały w ręce realnej osoby. stąd "odzyskanie"
skradzonej kwoty było.. może nie łatwe, ale możliwe. teraz jak kupisz
bitcoiny, albo wartość niematerialną, połączoną z kontem w grze
komputerowej....? Jak to namierzysz? Stąd od niedawna przy większych
kwotach (chyba pow 50zł) trzeba podać (przynajmniej ja muszę) kod smsowy.

ToMasz

do góry

ToMasz <t...@p...fm.com.pl> writes:

> wystarczy że wyjmiesz kartę w sklepie, dasz na chwilę kasjerowi, tak
> aby kamera zobaczyła numer, datę i cvv - możesz zostać okradziony. np
> za pół roku od wizyty w sklepie. w zeszłej epoce, kupowano za pomocą
> kart dobra materialne, które trafiały w ręce realnej osoby.

Tak to było rzeczywiście, i pewnie teraz też może być. I pewnie przy
małej kwocie może to się komuś upiec. Złodzieje jednak przyzwyczajają
się i kwoty rosną, i wpadają. Wykrycie takich rzeczy nie jest
skomplikowane.

> teraz jak kupisz bitcoiny,

Byłbym zdziwiony gdyby ktoś sprzedawał BTC bez choćby 3DS (co raczej
nie zabezpiecza sprzedawcy całkowicie) - nie żeby to miało świadczyć
o jakiejś wartości kryptowaluty.

> albo wartość niematerialną, połączoną z
> kontem w grze komputerowej....? Jak to namierzysz?

Nijak - sprzedawcy spisują takie rzeczy na straty. Chociaż 3DS może
pomóc.
--
Krzysztof Hałasa

do góry

Amazon nie stosuje.
Ale to taki "maleński sklepik".


-----
> serwis, który nie stosuje CVV

do góry

Użytkownik "ToMasz" napisał w wiadomości grup
dyskusyjnych:r4bite$4m6$...@d...me...
W dniu 11.03.2020 o 09:03, Marek pisze:
>> Od 50 lat w USA obciążenie karty nigdy nie było problemem bo system
>> reklamacji/chargeback był/jest zawsze bezdyskusyjny a nie
>> warunkowy, ergo nie ma problemu z niechcianym obciązeniem i nikt w
>> ogóle takich polskich dylematów nie rozstrząsa.
>
>wystarczy że wyjmiesz kartę w sklepie, dasz na chwilę kasjerowi, tak
>aby kamera zobaczyła numer, datę i cvv - możesz zostać okradziony. np
>za pół roku od wizyty w sklepie. w zeszłej epoce, kupowano za pomocą
>kart dobra materialne, które trafiały w ręce realnej osoby. stąd
>"odzyskanie" skradzonej kwoty było.. może nie łatwe, ale możliwe.

Przy wysylce, bo w sklepie to juz niekoniecznie - podal karte, zabral
towar i tyle go widzieli.
No ale karta byla materialna.

> teraz jak kupisz bitcoiny, albo wartość niematerialną, połączoną z
> kontem w grze komputerowej....? Jak to namierzysz? Stąd od niedawna
> przy większych kwotach (chyba pow 50zł) trzeba podać (przynajmniej
> ja muszę) kod smsowy.

W Polsce, bo w USA ciagle jakos prosciej.

Moze oszustwa maja wliczone w koszta, szczegolnie, ze te niematerialne
to takie niematerialne straty przynoszą :-)
Moze czasem namierzaja i dla przykladu puszkuja, moze zablokuja konto
w grze i tak sie skonczy ... ale bitcoiny pewnie lepiej sprawdzaja :-)

J.

do góry