Użytkownik "Przemyslaw Kwiatkowski" <m...@m...waw.pl> napisał w
wiadomości news:4c1746c6$0$2607$65785112@news.neostrada.pl...

> Do "posłuchania" - może i tak. Ale przecież zamiast podsłuchiwać można po
> prostu udawać, że jest się zwykłym czytnikiem - czyli samemu zainicjować
> transmisję z kartą w portfelu ofiary. Karta nie ma możliwości weryfikacji
> kto się z nią komunikuje, bo operacje są offline.
> Bierzemy czytnik pod płaszcz, wsiadamy do metra w godzinach szczytu i
> przeciskamy się wśród tłumu. Na koniec sprawdzamy co udało się "złowić".
>
Co dalej z tym elektronicznym łupem ?
Dlatego uważam, że ewentualny atak musi polegać na dążeniu do skopiowania
karty.
P.G.

do góry

Agent Piotr Galka nadaje:
> Nie rozumiem skad w tym opisie teza, ze Paypass (bez pinu) jest takie
> bezpieczne.

W 2009 ilosc fraudów z udzialem PP byla znikoma, jeszcze mniejsza w 2008
i 2007 a np. w 2004 nie bylo zadnego. ;-)

do góry

Piotr Gałka pisze:

>> Do "posłuchania" - może i tak. Ale przecież zamiast podsłuchiwać można
>> po prostu udawać, że jest się zwykłym czytnikiem - czyli samemu
>> zainicjować transmisję z kartą w portfelu ofiary. Karta nie ma
>> możliwości weryfikacji kto się z nią komunikuje, bo operacje są offline.
>> Bierzemy czytnik pod płaszcz, wsiadamy do metra w godzinach szczytu i
>> przeciskamy się wśród tłumu. Na koniec sprawdzamy co udało się "złowić".
>>
> Co dalej z tym elektronicznym łupem ?
> Dlatego uważam, że ewentualny atak musi polegać na dążeniu do
> skopiowania karty.

Jak to "co dalej" ? To samo, co przy zdobyciu numerów zwykłej karty -
czyli fraud Internet.

--
MiCHA

do góry

On 15 Cze, 12:25, Piotr Gałka <p...@C...pl> wrote:
> Użytkownik "BK" <b...@g...com> napisał w
wiadomościnews:6aed6143-5027-4d9e-b383-91258ce6c90a@
u26g2000yqu.googlegroups.com...
>
> >> Ale czy "podsłuchując" PayPass nie da się odczytać numeru karty? No bo
> >> jeśli tak (a sądzę że raczej tak...), to Paypass jest idealny dla
> >> przestępców. Kartę można zeskanować nawet nie wyjmując jej ofierze z
> >> portfela, a potem to co zwykle - czyli fraud przez internet.
>
> > Szczerze mowiac nie jestem "technikiem" wiec nie wiem ;) Zakladam, ze
> > poki co nie jest to takie proste skoro jeszcze nikt tego nie zrobil.
>
> Nie jest ważne, że jeszcze nikt nie zrobił, ważne jest czy i kiedy będzie to
> możliwe.
> Takie Mifare miały być absolutnie bezpieczne aż tu nagle w 2009
roku:http://pl.wikipedia.org/wiki/Mifare
> patrz "Słabości".
> P.G.

Przy czym to co pokazanow Koloni okazalo sie bez przelozenia na
praktyke (AFIR trzeba sie podpiac pod funkcjonujacy czytnik w POS -
osoba obslugujaca POS moze latwiej zdobyc dane np. fotografujac karty
podawane przez klienta ;) ).

do góry

Przemyslaw Kwiatkowski <m...@m...waw.pl> napisał(a):

> Piotr Gałka pisze:
>
> >> Do "posłuchania" - może i tak. Ale przecież zamiast podsłuchiwać
moĹźna
> >> po prostu udawać, że jest się zwykłym czytnikiem - czyli samemu
> >> zainicjować transmisję z kartą w portfelu ofiary. Karta nie ma
> >> możliwości weryfikacji kto się z nią komunikuje, bo operacje są
offline
> .
> >> Bierzemy czytnik pod płaszcz, wsiadamy do metra w godzinach szczytu i
> >> przeciskamy się wśród tłumu. Na koniec sprawdzamy co udało
się "złowi
> ć".
> >>
> > Co dalej z tym elektronicznym łupem ?
> > Dlatego uważam, że ewentualny atak musi polegać na dążeniu do
> > skopiowania karty.
>
> Jak to "co dalej" ? To samo, co przy zdobyciu numerów zwykłej karty -
> czyli fraud Internet.
>

cvc2/cvv2 też z pod płaszcza "podsłuchasz"? nie jestem tez pewny czy data
waznosci wogóle jest przesyłana przy bezstykowej płatnosci.

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

BK <b...@g...com> writes:

> Z tego, ze w krajach gdzie paypass juz troche funkcjonuje nie
> odnotowano przestepczosci zwiazanej z ta technologia. Wynika to z jej
> specyfiki - male kwoty, brak mozliwosci pobrania gotowki - a oszustwa
> kartowe to w ogromnym % osztustwa gotowkowe (wybieranie gotowki z
> bankomatu) lub transakcje bez fizycznego okazania karty (platnosci
> internetowe).

Akurat. Wynika to po prostu z tego, ze to jest wzgledna nowosc, ktora
dodatkowo wymaga kombinacji z technologia. Chwilowo latwiej kopiowac
paski magnetyczne. Gdy wszystkie karty i czytniki beda chipowe,
zlodzieje zajma sie zapewne takze paypassami - latwiej bedzie z tym niz
z tylko normalnymi hybrydami, ktore w praktyce trzeba fizycznie ukrasc,
i ktore zwykle jak na zlosc chca jeszcze PINu.

Albo moze nie bedzie sie oplacac, ale nie liczylbym na to jakos bardzo.
--
Krzysztof Halasa

do góry

W dniu 10-06-15 23:43, Krzysztof Halasa pisze:
> Albo moze nie bedzie sie oplacac, ale nie liczylbym na to jakos bardzo.

Wytłumacz mi, jak chłopu na miedzy, dlaczego od 6 lat stosowania tego w
Japonii jakoś nie ma spektakularnych fraudów? I to pomimo tego, że
japońskie komórki mogą robić za bilety, karty wstępu czy nawet (o
zgrozo!) klucze autoryzujące. I nie przyjmę wyjaśnienia, że tam nie ma
przestępców.

--
Raf

do góry

Użytkownik "Przemyslaw Kwiatkowski" <m...@m...waw.pl> napisał w
wiadomości news:4c1742a5$0$17101$65785112@news.neostrada.pl...
> BK pisze:

> Ale czy "podsłuchując" PayPass nie da się odczytać numeru karty? No bo
> jeśli tak (a sądzę że raczej tak...), to Paypass jest idealny dla
> przestępców. Kartę można zeskanować nawet nie wyjmując jej ofierze z
> portfela, a potem to co zwykle - czyli fraud przez internet.

Numer karty to nie wszystko - nawet jeśli założymy, że da się odczytać, to
co skimmerowi po nr karty bez PIN?

Oni jednak wolą żywy "cash" z bankomatu niż zakupy w sklepie internetowym.

do góry

Rafał <a...@m...invalid> writes:

> Wytłumacz mi, jak chłopu na miedzy, dlaczego od 6 lat stosowania tego
> w Japonii jakoś nie ma spektakularnych fraudów?

Szczerze? Nie mam bladego pojecia jak to wyglada w Japonii.
--
Krzysztof Halasa

do góry

Seba pisze:

>>>> Do "posĹ?uchania" - moĹźe i tak. Ale przecieĹź zamiast podsĹ?uchiwaÄ?
> moĹźna
>>>> po prostu udawaÄ?, Ĺźe jest siÄ? zwykĹ?ym czytnikiem - czyli samemu
>>>> zainicjowaÄ? transmisjÄ? z kartÄ? w portfelu ofiary. Karta nie ma
>>>> moĹźliwoĹ?ci weryfikacji kto siÄ? z niÄ? komunikuje, bo operacje sÄ?
> offline
>> .
>>>> Bierzemy czytnik pod pĹ?aszcz, wsiadamy do metra w godzinach szczytu i
>>>> przeciskamy siÄ? wĹ?rĂłd tĹ?umu. Na koniec sprawdzamy co udaĹ?o
> siÄ? "zĹ?owi
>> Ä?".
>>>>
>>> Co dalej z tym elektronicznym Ĺ?upem ?
>>> Dlatego uwaĹźam, Ĺźe ewentualny atak musi polegaÄ? na dÄ?Ĺźeniu do
>>> skopiowania karty.
>>
>> Jak to "co dalej" ? To samo, co przy zdobyciu numerĂłw zwykĹ?ej karty -
>> czyli fraud Internet.
>
> cvc2/cvv2 też z pod płaszcza "podsłuchasz"?

Nie zawsze jest potrzebny.

> nie jestem tez pewny czy data
> waznosci wogóle jest przesyłana przy bezstykowej płatnosci.

Musi być, aby terminal offline był w stanie potwierdzić ważność karty.

--
MiCHA

do góry