Użytkownik "Dawid Rutkowski" napisał w wiadomości grup
>W dniu poniedziałek, 26 września 2016 17:42:45 UTC+2 użytkownik J.F.
>napisał:
>
>Ale możliwości konfiguracji jest tak wiele... Np. żonie raz nie
>poszła z chipa KK db w ikea -
>pani w kasie na to, żeby się nie przejmować, przeciągnęła z paska - i
>poszło.
>Zaintrygowany próbowałem płacić w różnych miejscach z paska,
>ale zawsze kazało włożyć kartę do czytnika chip - mimo to jednak jest
>opcja płatności z paska pod pewnymi warunkami.

Ciekawe - a przeciez tych akceptantow w Polsce nie ma tak wielu, i
terminale u kontrahentow powinni oni konfigurowac ...

Mnie z kolei cos czasem debetowka nie funguje i kaza mi sie podpisac
na papierku.
I nie wiem o co chodzi, bo nie zlapalem reguly ...

>> Pamietaj, ze ten system sie wywodzi z tego, ze wystarczy znac
>> numer -
>> czy to odbic go na zelazku, czy podyktowac przez telefon - karte
>> sie
>> obciaza, a jak posiadacz zaprotestuje, to sie wtedy bedzie
>> wyjasniac.

>Może i tak jest, pytanie tylko, czy akceptanci są skłonni ponosić
>takie ryzyko, bo to ich obciążają fraudy. Wolą więc być
>zabezpieczeni - stąd rozwój
>autoryzacji elektronicznej (choć i przed tym mieli możliwość
>autoryzacji np. przez telefon - długo to trwało,
>było wkurzające dla klienta - ale wtedy karty to nie była masówka, a
>może ci bogaci klienci są cierpliwi i mają czas ?).

W USA dlugo byli sklonni ponosic ryzyko, chyba nawet dzis ciagle sporo
jest off-line.

>A do tego masówka zwana np. visa electron czy maestro czy różne
>lokalne debetówki
> - które z założenia działają zupełnie odwrotnie, niż napisałeś -
> czyli jak jest autoryzacja,
>to płatność idzie, a jak nie, to biedny kliencie nie zawracaj nam
>głowy.

Jesli sie nie myle, to wroclawskie biletomaty maja to w d* i wydaja i
obciazaja :-)
A i czasem udawalo sie taka przez internet zaplacic.

>> >Oczywiście EMV ma znaną dziurę, dzięki której można spowodować, że
>> >karta zaakceptuje dowolny PIN i poda wszystkie dane potrzebne do
>> >pozytywnej >autoryzacji przez bank - mimo, że złodziej
>> >prawidłowego
>> >PINu nie zna - oczywiście w kasie taki atak nie przejdzie, bo
>> >wymaga
>> >dodatkowego sprzętu, ale w >bankomatach ze skradzionych kart już
>> >sporo wypłacono.
>
>> Ale chyba jednak znajac PIN ?

>Właśnie NIE ZNAJĄC - dlatego jest to dziura.

A to nie znam.

>I dlatego potrzebny jest dodatkowy sprzęt - taki czytnik, w który
>wkładasz skradzioną kartę,
>który podłączony jest kabelkiem do takiej "wtyczki" w kształcie karty
>z chipem,
>którą do bankomatu wkładasz (coś takiego było w "Terminator 2",
>tyle że używali Atari Portfolio - jak widać SF przewiduje przyszłość
>- i wypłacili sobie kasę z bankomatu)
>- i dlatego kraść dawało się wyłącznie przez bankomaty

No wiesz - w sklepie wzbudziloby to zainteresowanie.
Moze na jakiejs samoobslugowej stacji paliwowej..

A teraz wystarczy zblizyc telefon lub inny dowolny przedmiot i nikogo
w sklepie to nie dziwi :-)

>(możliwe, że można było się zabezpieczyć limitem transakcji
>gótówkowych ustawionym na 0 - oczywiście jeśli bank na to pozwala).

>Bo przecież jak ukradniesz kartę i jednocześnie podejrzysz PIN, to
>już żadnego dodatkowego sprzętu do wypłaty z bankomatu nie potrzeba
>- potrzeba tylko tyle, by okradziony się nie zorientował i nie
>zadzwonił do banku, aby zastrzec kartę.

Wroclawskim biletomatom zastrzezenie nie przeszkadzalo :-)

Z tym, ze sztuka polegala na tym, aby karty nie krasc.
Dane z paska sie zczyta, PIN podejrzy kamerka, i zrobi duplikat karty.
Z czipowej teoretycznie sie duplikatu zrobic nie da, ale czy aby na
pewno ?

>> Hm, bankomaty przez lata musialy sie opierac na pasku magnetycznym,
>> mam nadzieje, ze tam PIN nie zapamietywano.
>> Czy wraz z nowa technika zrobiono cos nowego ? Troche watpie ..

>Jak czytałem o zawartości paska, to tam jest miejsce na dane
>autoryzacyjne
> - np. w USA jako taki "PIN" do kredytówki np. na samoobsługowej
> stacji
>benzynowej podajesz swój kod pocztowy - i raczej leci to bez
>łączności z bankiem.

Tak kompletnie bez lacznosci, to mozna probowac wyprodukowac karte
fikcyjna.
No ale na stacji sa kamery, a samochod ma tablice ... choc nie zawsze
prawdziwe ...

>Zaś w chipie pin offline jest na pewno - i wiele się nad tym
>zastanawiałem,
>po co jest metoda autoryzacji 1F, gdzie kwota autoryzowana
>jest on-line, zaś pin off-line - skoro i tak łączność z bankiem jest
>nawiązana.
>I podejrzewam, że ten atak możliwy był z tego powodu,
>że bankomaty sprawdzają PIN offline - ale może za mało wiem.

Moze, ale troche to dziwne, ze chcialo im sie cos takiego wymyslac, i
akurat do bankomatow wstawiac, ktore i tak maja weryfikacje on-line.

>> A jednoczesnie wystarczy im numer karty przez telefon. Z CVV, albo
>> i
>> bez - pamietasz sprawe z prenumerata ?
>Wystarczy tym akceptantom, którzy mają to ryzyko wliczone w model
>biznesowy
> - czyli po prostu w cenę - a ceną i tak mogą konkurować,
> bo mają niższe inne koszty, bo są np. sklepami internetowymi.

No ale cos takiego tu podejrzewam - online sie nie udalo, to
przechodzimy do trybu off-line i wierzymy ze karta dobra.

>I to też nie jest, że wystarczy podać - żaden sklep internetowy
>nie autoryzuje Ci transakcji off-line - i są kryci,
>bo jeśli klient karty skradzionej nie zastrzegł, to jest to wina
>klienta.

Zapomniales o prenumeracie. Ktos tam uzyl karty, zaplacil, a
sprzedawca za pol roku pobral kolejna kwote, zgodnie z umowa zreszta.
Ale pobral - i ciekaw jestem - zapamietal nr karty i CVV, czy do
obciazenia wcale mu CVV nie jest potrzebny.
Tak w koncu ten system dzialal przez lata - zadnych autoryzacji, sam
numer wystarcza do obciazenia.

J.