Dnia Tue, 28 Sep 2010 06:56:14 +0000 (UTC), xbartx napisał(a):

> Aktualnie zalety PP widzę takie, że kartę można pożyczyć (oczywiście
> zaufanej osobie) i może ona wykonać drobne zakupy - wiem, że jest to
> niezgodne z toną dwieście regulaminów ale co z tego skoro bardzo
> wygodne ;)

A tu zonk, bo wyskoczyło pytanie o PIN.
Jeśli dasz jej PIN, to równie dobrze możesz dać zwykłą kartę :)

--
Borys Pogoreło
borys(#)leszno,edu,pl

do góry

W dniu 2010-09-26 23:54, Rafal M pisze:
> Hej
>
> Jak wiemy w przypadku platnosci Paypass/PayWave do kwoty 50 zl
> przechodza one bez PINu i (czasami) bez autoryzacji.
> Kto w takim przypadku ponosi odpowiedzialnosc za frady, jesli
> uzytwkonik karty ja zgubil/zostala mu skradziona?
>

Ja poruszę temat PayPassów w innym kontekście.. a co z mass fraudem typu
- wielki festiwal z płatnościami tylko zbliżeniowymi i gość z
odpowiednio przerobionym terminalem zbliżeniowym w plecaku który
ściągnie po dajmy na to, 20 zł ode łba? Jestem w stanie sobie taki
zmodyfikowany, dalekozasięgowy terminal wyobrazić.

Jest to możliwe, czy technologia nie da rady? Czy ewentualny klucz
terminala szybko zostanie namierzony i zablokowane zostaną transakcje z
niego?

Pozdr,
Tomek

do góry

Tomek Głowacki pisze:

>> Jak wiemy w przypadku platnosci Paypass/PayWave do kwoty 50 zl
>> przechodza one bez PINu i (czasami) bez autoryzacji.
>> Kto w takim przypadku ponosi odpowiedzialnosc za frady, jesli
>> uzytwkonik karty ja zgubil/zostala mu skradziona?
>>
>
> Ja poruszę temat PayPassów w innym kontekście.. a co z mass fraudem typu
> - wielki festiwal z płatnościami tylko zbliżeniowymi i gość z
> odpowiednio przerobionym terminalem zbliżeniowym w plecaku który
> ściągnie po dajmy na to, 20 zł ode łba? Jestem w stanie sobie taki
> zmodyfikowany, dalekozasięgowy terminal wyobrazić.
>
> Jest to możliwe, czy technologia nie da rady? Czy ewentualny klucz
> terminala szybko zostanie namierzony i zablokowane zostaną transakcje z
> niego?

Tego bym się specjalnie nie bał, bo jednak każdy terminal jest
przypisany do "kogoś" i namierzenie tego kogoś raczej nie powinno być
trudne.

Bałbym się natomiast czegoś podobnego: - wielki festiwal z płatnościami
tylko zbliżeniowymi i gość z odpowiednio przerobionym terminalem
zbliżeniowym w plecaku który ściągnie numery całej masy kart, a potem
zacznie je wykorzystywać do a) zrobienia kopii kart; b) fraudów
internetowych.

Pytanie brzmi - czy terminal podczas komunikacji z chipem karty jest w
stanie odczytać jej numer i datę ważności? Jeśli tak, to katastrofa. A
spodziewam się, że pewnie tak...

--
MiCHA

do góry

Dnia Tue, 28 Sep 2010 15:50:28 +0200, Borys Pogoreło napisał(a):

> A tu zonk, bo wyskoczyło pytanie o PIN. Jeśli dasz jej PIN, to równie
> dobrze możesz dać zwykłą kartę :)

To nie był przykład, który można stosować dla wszystkich kart z PP,
wiadomo, że trzeba prędzej całość przemyśleć. Równie dobrze można kupić
prepaid MC z PP i po sprawie.



--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide

do góry

Dnia Tue, 28 Sep 2010 20:16:18 +0200, Przemyslaw Kwiatkowski napisał(a):

> Pytanie brzmi - czy terminal podczas komunikacji z chipem karty jest w
> stanie odczytać jej numer i datę ważności? Jeśli tak, to katastrofa. A
> spodziewam się, że pewnie tak...

Wydaje mi się, że raczej ktoś to przemyślał i wziął pod uwagę tego typu
warianty zaczepne ze strony skimerów ;)



--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide

do góry

xbartx pisze:

>> Pytanie brzmi - czy terminal podczas komunikacji z chipem karty jest w
>> stanie odczytać jej numer i datę ważności? Jeśli tak, to katastrofa. A
>> spodziewam się, że pewnie tak...
>
> Wydaje mi się, że raczej ktoś to przemyślał i wziął pod uwagę tego typu
> warianty zaczepne ze strony skimerów ;)

No, ale skoro transakcja PP może być offline, to terminal musi jakoś
zidentyfikować kartę bez udziału banku. Oczywiście najprościej, jakby
"identyfikator" przesyłany przez paypass po prostu nie był numerem
karty, tylko czymś innym. Muszę kiedyś sprawdzić co się drukuje na slipie...

--
MiCHA

do góry

On Tue, 28 Sep 2010 18:56:06 +0000 (UTC), xbartx <b...@h...net>
wrote:

>Wydaje mi się, że raczej ktoś to przemyślał i wziął pod uwagę tego typu
>warianty zaczepne ze strony skimerów ;)

tak - i przeniósł odpowiedzialność na klienta :-)
--
pozdrawiam,
Jarek Andrzejewski

do góry

On 28 Wrz, 20:16, Przemyslaw Kwiatkowski <m...@m...waw.pl> wrote:

> Tego bym się specjalnie nie bał, bo jednak każdy terminal jest
> przypisany do "kogoś" i namierzenie tego kogoś raczej nie powinno być
> trudne.
Dlatego jest dodatkowa trudność:
trzeba nie tyko podpiąć się pod kartę ale także pod terminal (taki
pośrednik).
czy do zrobienia?...nie wiem

do góry

On 29 Wrz, 08:12, Jarek Andrzejewski <p...@g...com> wrote:

> tak - i przeniósł odpowiedzialność na klienta :-)

a jak to się ma dot ego co pisze Samcik:
http://samcik.blox.pl/2010/09/Co-robic-Bank-wciska-k
lientowi-karte-zblizeniowa.html

"No i wreszcie ostatnia rzecz: w polskim prawie każda transakcja,
która nie została zautoryzowana PIN-em lub podpisem, zostaje
przeprowadzona na odpowiedzialność banku. Czyli gdyby ktoś po drodze
jakimś cudem przejął dane transakcji lub pieniądze, to i tak
odpowiedzialność spoczywa na banku, a nie kliencie."

do góry

On 10-09-29 09:08, Krzysiek wrote:
> On 29 Wrz, 08:12, Jarek Andrzejewski<p...@g...com> wrote:
>
>> tak - i przeniósł odpowiedzialność na klienta :-)
>
> a jak to się ma dot ego co pisze Samcik:
> http://samcik.blox.pl/2010/09/Co-robic-Bank-wciska-k
lientowi-karte-zblizeniowa.html
>
> "No i wreszcie ostatnia rzecz: w polskim prawie każda transakcja,
> która nie została zautoryzowana PIN-em lub podpisem, zostaje
> przeprowadzona na odpowiedzialność banku. Czyli gdyby ktoś po drodze
> jakimś cudem przejął dane transakcji lub pieniądze, to i tak
> odpowiedzialność spoczywa na banku, a nie kliencie."


Maciek ma racje.
art 28 ustawy o elektronicznych instrumentach płatniczych.
pkt 5. Posiadacza nie obciążają operacje, z zastrzeżeniem ust. 6, jeżeli
karta płatnicza została wykorzystana bez fizycznego przedstawienia i
elektronicznej identyfikacji posiadacza lub bez złożenia przez niego
własnoręcznego podpisu na dokumencie obciążeniowym. Użycie kodu
identyfikacyjnego nie wystarcza do obciążenia posiadacza zakwestionowaną
przez niego operacją, chyba że został złożony bezpieczny podpis
elektroniczny zgodnie z art. 5 ust. 1 ustawy z dnia 18 września 2001 r.
o podpisie elektronicznym (Dz. U. z 2001 r. Nr 130, poz. 1450 oraz z
2002 r. Nr 153, poz. 1271).

podpisu nie ma, pinu nie ma - wiec bank bez szemrania musi taka
transakcje uznac, chyba, ze beda kamery, etc ;)

--
http://macierzynski.blip.pl/

do góry