W dniu poniedziałek, 26 września 2016 17:42:45 UTC+2 użytkownik J.F. napisał:
> >> Jest proba autoryzacji, a jak sie nie uda, to zarejestruje platnosc
> >> off-line i zrealizuje pozniej - w koncu klientowi zalezy, aby
> >> paliwo
> >> zatankowac i odjechac bez problemow.
> >> I klient jest zadowolony, dopoki mu karty nie ukradna :-)
>
> >Eee, tu już coś mocno zmyślasz.
> >Czy online, czy offline, jeśli karta trafiła do czytnika stykowego,
> >to PIN PRAWIDŁOWY podać trzeba - po to do karty wgrywany jest
> >PIN-offline.
>
> No widzisz jak bardzo trzeba podac :-)

Cóż, póki co, to wiemy, że coś jest nie tak z tą historią - albo ze sposobem
działania terminalu, albo banku - albo z prawidłowością relacji OP ;>

Hmmm, w sumie można POS ustawić tak, żeby o PIN nie pytał - vide afera z biletomatami
we Wrocławiu - także może i teoretycznie jest taka możliwość, że jak jest problem z
autoryzacją on-line, to terminal pozwala na off-line i to nawet bez PINu - choć
zapewne jest to błąd w konfiguracji.
Ale możliwości konfiguracji jest tak wiele... Np. żonie raz nie poszła z chipa KK db
w ikea - pani w kasie na to, żeby się nie przejmować, przeciągnęła z paska - i
poszło. Zaintrygowany próbowałem płacić w różnych miejscach z paska, ale zawsze
kazało włożyć kartę do czytnika chip - mimo to jednak jest opcja płatności z paska
pod pewnymi warunkami.

> Pamietaj, ze ten system sie wywodzi z tego, ze wystarczy znac numer -
> czy to odbic go na zelazku, czy podyktowac przez telefon - karte sie
> obciaza, a jak posiadacz zaprotestuje, to sie wtedy bedzie wyjasniac.

Może i tak jest, pytanie tylko, czy akceptanci są skłonni ponosić takie ryzyko, bo to
ich obciążają fraudy. Wolą więc być zabezpieczeni - stąd rozwój autoryzacji
elektronicznej (choć i przed tym mieli możliwość autoryzacji np. przez telefon -
długo to trwało, było wkurzające dla klienta - ale wtedy karty to nie była masówka, a
może ci bogaci klienci są cierpliwi i mają czas ?).

A do tego masówka zwana np. visa electron czy maestro czy różne lokalne debetówki -
które z założenia działają zupełnie odwrotnie, niż napisałeś - czyli jak jest
autoryzacja, to płatność idzie, a jak nie, to biedny kliencie nie zawracaj nam głowy.

> >Oczywiście EMV ma znaną dziurę, dzięki której można spowodować, że
> >karta zaakceptuje dowolny PIN i poda wszystkie dane potrzebne do
> >pozytywnej >autoryzacji przez bank - mimo, że złodziej prawidłowego
> >PINu nie zna - oczywiście w kasie taki atak nie przejdzie, bo wymaga
> >dodatkowego sprzętu, ale w >bankomatach ze skradzionych kart już
> >sporo wypłacono.
>
> Ale chyba jednak znajac PIN ?

Właśnie NIE ZNAJĄC - dlatego jest to dziura.
I dlatego potrzebny jest dodatkowy sprzęt - taki czytnik, w który wkładasz skradzioną
kartę, który podłączony jest kabelkiem do takiej "wtyczki" w kształcie karty z
chipem, którą do bankomatu wkładasz (coś takiego było w "Terminator 2", tyle że
używali Atari Portfolio - jak widać SF przewiduje przyszłość - i wypłacili sobie kasę
z bankomatu) - i dlatego kraść dawało się wyłącznie przez bankomaty (możliwe, że
można było się zabezpieczyć limitem transakcji gótówkowych ustawionym na 0 -
oczywiście jeśli bank na to pozwala).

Bo przecież jak ukradniesz kartę i jednocześnie podejrzysz PIN, to już żadnego
dodatkowego sprzętu do wypłaty z bankomatu nie potrzeba - potrzeba tylko tyle, by
okradziony się nie zorientował i nie zadzwonił do banku, aby zastrzec kartę.

> Hm, bankomaty przez lata musialy sie opierac na pasku magnetycznym,
> mam nadzieje, ze tam PIN nie zapamietywano.
> Czy wraz z nowa technika zrobiono cos nowego ? Troche watpie ..

Jak czytałem o zawartości paska, to tam jest miejsce na dane autoryzacyjne - np. w
USA jako taki "PIN" do kredytówki np. na samoobsługowej stacji benzynowej podajesz
swój kod pocztowy - i raczej leci to bez łączności z bankiem.
Zaś w chipie pin offline jest na pewno - i wiele się nad tym zastanawiałem, po co
jest metoda autoryzacji 1F, gdzie kwota autoryzowana jest on-line, zaś pin off-line -
skoro i tak łączność z bankiem jest nawiązana.
I podejrzewam, że ten atak możliwy był z tego powodu, że bankomaty sprawdzają PIN
offline - ale może za mało wiem.

> A jednoczesnie wystarczy im numer karty przez telefon. Z CVV, albo i
> bez - pamietasz sprawe z prenumerata ?
Wystarczy tym akceptantom, którzy mają to ryzyko wliczone w model biznesowy - czyli
po prostu w cenę - a ceną i tak mogą konkurować, bo mają niższe inne koszty, bo są
np. sklepami internetowymi.
I to też nie jest, że wystarczy podać - żaden sklep internetowy nie autoryzuje Ci
transakcji off-line - i są kryci, bo jeśli klient karty skradzionej nie zastrzegł, to
jest to wina klienta.