"J.F." <j...@p...onet.pl> writes:

> Rzeczywiste zagrozenie, czy komus sie cos wydaje ?
>
> Fakt, ze 6 cyfr nr karty ustalic latwo. Kolejne juz trudniej. Czy
> jest jakas strona, ktora pozwoli sprawdzac losowe numery ?

To jakieś kompletne brednie, to jest po prostu zwykły brutalny atak,
znany "od zawsze". Same numery kart bardzo łatwo zresztą zdobyć, nie
trzeba zgadywać. Problem nie leży w numerach kart (ani nawet w kodach
CVV2/CVC2), tylko w odpowiedzialności sprzedawcy i jego możliwościach
np. identyfikacji odbiorcy itd.
"Towary wirtualne" o małej wartości, cóż, całkowite ryzyko ponosi
sprzedawca.
--
Krzysztof Hałasa

do góry

Krzysztof Halasa wrote:

> "J.F." <j...@p...onet.pl> writes:
>
>> Rzeczywiste zagrozenie, czy komus sie cos wydaje ?
>>
>> Fakt, ze 6 cyfr nr karty ustalic latwo. Kolejne juz trudniej. Czy
>> jest jakas strona, ktora pozwoli sprawdzac losowe numery ?
>
> To jakieś kompletne brednie, to jest po prostu zwykły brutalny atak,
> znany "od zawsze". Same numery kart bardzo łatwo zresztą zdobyć, nie
> trzeba zgadywać. Problem nie leży w numerach kart (ani nawet w kodach
> CVV2/CVC2), tylko w odpowiedzialności sprzedawcy i jego możliwościach
> np. identyfikacji odbiorcy itd.
> "Towary wirtualne" o małej wartości, cóż, całkowite ryzyko ponosi
> sprzedawca.

Pewnie że jest problem - jeżeli od danego merchanta lecą masowo requesty na
nieistniejące numery kart, to jest to atak polegający na zgadywaniu
właściwego numeru. To powinno zablokować takiego merchanta po pewnej
rozsądnej liczbie takich prób. W zacytowanym tekście jest napisane, że
MasterCard jest przed tym zabezpieczony. I to jest prawidłowe działanie.

Podpowiem Tobie, że gdyby witryny nie były zabezpieczone przed tego typu
atakiem, to wszędzie gdzie się otrzymuje kod np. 6 cyfrowy, byłyby ataki.
Tzn. scenariusz byłby taki, że ktoś wchodzi w posiadanie hasła Twojego np.
do poczty, tam widzi maile z banku, próbuje do banku zalogować się tym samym
hasłem (idetyfikatory logowania są często w mailach, np. są to numery CIF
czy NIK czy inny tego typu). Następnie potrzeba "tylko" 100.000 prób
odgadnięcia hasła jednorazowego (nieważne czy z tokena czy z SMSa). Czy to
brzmi prawdopodobnie? No nie brzmi - każdy bank zablokuje to po 3-ciej
próbie. A tu masz - VISA pozwala na nieograniczoną liczbę prób w ten sposób?
Nie brzmi to jak wiocha? No brzmi - to nadal uważasz, że tego typu podatność
w globalnym systemie VISA to "kompletne brednie"?

--
Wysłane z pola.

do góry

janek z pola <a...@e...pl> writes:

> Pewnie że jest problem - jeżeli od danego merchanta lecą masowo requesty na
> nieistniejące numery kart, to jest to atak polegający na zgadywaniu
> właściwego numeru. To powinno zablokować takiego merchanta po pewnej
> rozsądnej liczbie takich prób. W zacytowanym tekście jest napisane, że
> MasterCard jest przed tym zabezpieczony. I to jest prawidłowe
> działanie.

I napisałeś to tylko na podstawie tego artykułu, bez żadnej dodatkowej
wiedzy?

Ja po prostu zajmuję się różnymi rzeczami, w tym bezpieczeństwem
systemów informatycznych, od pewnego czasu, i to powoduje, że rzeczy
normalnie oczywiste nie są już dla mnie takie oczywiste.

W szczególności, dopuszczam istnienie tzw. "szarych list" (sprzedawca na
takiej liście może być poddany obserwacji, ale to nie oznacza, że się go
całkiem blokuje, bo to m.in. nie pozwala zbierać dowodów). Rozumiem, że
nawet jeśli sprzedawca w taki sposób wygenerowałby nie wiem ile numerów
kart (itd), i następnie zostałyby one użyte we fraudach, to organizacja
karciana bez większego problemu skojarzy owe fakty (skoro potrafi
namierzyć sprzedawcę, przez którego ręce przeszło wiele kart użytych
później we fraudach, ale bez żadnych nietypowych sytuacji u tego
sprzedawcy).

Autor pisze, że "Scentralizowany system MasterCard wykrył taki atak po
mniej niż 10 próbach odgadnięcia danych" - ciekawe skąd autor o tym
wiedział, i skąd wiedział, że akurat VISA tego nie wykryła? Sklepy
chwalą się takimi informacjami?

A może autor próbował w taki sposób odgadnąć numer posiadanej przez
siebie karty (legalnej), i sprawdzał jej "status" w bankomacie? :-)

"Atak ułatwia fakt, że różne witryny proszą o różne kombinacje danych.
Absolutne minimum to numer karty i data jej wygaśnięcia. Niektóre
witryny żądają też podania kodu CVV. Nieograniczona możliwość zgadywanie
daje szerokie pole do popisu. Po odgadnięciu numeru karty trzeba jeszcze
zdobyć datę jej wygaśnięcia."

Tyle że niestety doktorant Ali nie dowiedział się, że w celu uzyskania
autoryzacji (co oznacza "dobrą" kartę) trzeba te dane podać
jednocześnie. To nie jest tak, że podamy dobry numer i złą datę, i bank
(sklep) nam powie "numer ok, data nie".

"Eksperci uważają, że w opisany powyżej sposób działali przestępcy,
którzy niedawno zaatakowali sieć Tesco i ukradli swoim ofiarom 2,5
miliona funtów"

Taaak, jasne - generowali numery kart, daty ważności oraz kody CVV2,
i używali ich do kradzieży pieniędzy z kont bankowych. "Zwykłe"
uzyskanie tych danych, np. przez kasjerkę w supermarkecie, byłoby zbyt
proste. BTW gdzie się wpisuje ten kod przy kradzieży pieniędzy z konta?
--
Krzysztof Hałasa

do góry

Użytkownik "Krzysztof Halasa" napisał w wiadomości grup
dyskusyjnych:m...@p...waw.pl...
>Autor pisze, że "Scentralizowany system MasterCard wykrył taki atak
>po
>mniej niż 10 próbach odgadnięcia danych" - ciekawe skąd autor o tym
>wiedział, i skąd wiedział, że akurat VISA tego nie wykryła? Sklepy
>chwalą się takimi informacjami?

Moze doktorant sprobowal ?
I przy MC po 10 probach dostal juz informacje "zablokowano", a przy
visie mogl sprawdzac dalej

>A może autor próbował w taki sposób odgadnąć numer posiadanej przez
>siebie karty (legalnej), i sprawdzał jej "status" w bankomacie? :-)

Mogl tez dostac sms, ze zablokowano :-)

>"Atak ułatwia fakt, że różne witryny proszą o różne kombinacje
>danych.
>Absolutne minimum to numer karty i data jej wygaśnięcia. Niektóre
>witryny żądają też podania kodu CVV. Nieograniczona możliwość
>zgadywanie
>daje szerokie pole do popisu. Po odgadnięciu numeru karty trzeba
>jeszcze
>zdobyć datę jej wygaśnięcia."

>Tyle że niestety doktorant Ali nie dowiedział się, że w celu
>uzyskania
>autoryzacji (co oznacza "dobrą" kartę) trzeba te dane podać
>jednocześnie. To nie jest tak, że podamy dobry numer i złą datę, i
>bank
>(sklep) nam powie "numer ok, data nie".

I to mnie wlasnie niepokoi.

>"Eksperci uważają, że w opisany powyżej sposób działali przestępcy,
>którzy niedawno zaatakowali sieć Tesco i ukradli swoim ofiarom 2,5
>miliona funtów"
>Taaak, jasne - generowali numery kart, daty ważności oraz kody CVV2,
>i używali ich do kradzieży pieniędzy z kont bankowych. "Zwykłe"
>uzyskanie tych danych, np. przez kasjerkę w supermarkecie, byłoby
>zbyt
>proste. BTW gdzie się wpisuje ten kod przy kradzieży pieniędzy z
>konta?

Tym niemniej - jesli numer karty zgadlismy, lub odczytalismy komus z
karty, lub z innej hackerki,
potem na kilku witrynach znajdujemy date waznosci (raptem 60 prob
trzeba), potem na innych witrynach wyszukujemy CVV,
i w zasadzie karta stoi otworem.
Do konta w banku droga daleka ... chyba, ze w ktorys bankach da sie np
haslo zresetowac, a do autoryzacji uzyja danych z karty :-)

Ale nawet bez konta mozna chyba zamowic w Tesco telewizor z dostawa do
domu.
A potem sie okaze, ze Muhammad Ali juz tu nie mieszka, a Ali Ahmed
wynajal tydzien temu.

J.

do góry

W dniu 12.12.2016 12:13, J.F. pisze:

>
> Ale nawet bez konta mozna chyba zamowic w Tesco telewizor z dostawa do
> domu.

Zawsze było tak, że można było zamawiać coś z wysyłką pocztą... Oraz, że
transakcje bez fizycznego użycia karty były na ryzyko sprzedawcy. Trudno
było numer karty traktować jako coś 'tajnego' skoro znał go każdy kelner.

Teraz są te różne 3d-secure, smsy itd. - trzeba oprócz numeru karty
przejąć aparat telefoniczny ofiary(*). No, chyba, że jakiś operator
telefonii się wygłupi i da dostęp do treści smsów przez internet...

MJ
(*) Zakładam, że zmiana numeru przypisanego do tej karty jest dla
złodzieja niedostępna (trudno dostępna).

do góry

Użytkownik "Michał Jankowski" napisał w wiadomości grup
dyskusyjnych:o2m1n1$bau$...@n...agh.edu.pl...
W dniu 12.12.2016 12:13, J.F. pisze:
>> Ale nawet bez konta mozna chyba zamowic w Tesco telewizor z dostawa
>> do
>> domu.

>Zawsze było tak, że można było zamawiać coś z wysyłką pocztą... Oraz,
>że transakcje bez fizycznego użycia karty były na ryzyko sprzedawcy.
>Trudno było numer karty traktować jako coś 'tajnego' skoro znał go
>każdy kelner.

A jednak wystarczalo.

>Teraz są te różne 3d-secure, smsy itd. - trzeba oprócz numeru karty
>przejąć aparat telefoniczny ofiary(*).

Rozne zabezpieczenia mamy, wymyslone przez Zachod ... a z drugiej
strony jak sie czyta, to oni niedaleko od zelazka odbiegli, i system w
USA dziurawy jak sito.

A przejecie telefonu tez nie jest jakies niemozliwe.

> No, chyba, że jakiś operator telefonii się wygłupi i da dostęp do
> treści smsów przez internet...

No ba, telefon zdarza sie utracic ... i co wtedy ?


J.

do góry

W dniu 12.12.2016 13:19, J.F. pisze:

>
> No ba, telefon zdarza sie utracic ... i co wtedy ?
>

Kartę też można utracić. Albo dokumenty. Albo klucze od domu.

Zawsze można było i są na taką okoliczność procedury.

MJ

do góry

"J.F." <j...@p...onet.pl> writes:

> Moze doktorant sprobowal ?
> I przy MC po 10 probach dostal juz informacje "zablokowano", a przy
> visie mogl sprawdzac dalej

No ale jak mógł to dostać? Sklepy czegoś takie same nie wiedzą, to jak
mogą pokazać klientowi?
Chyba że karta zastrzeżona - raczej podejrzane.

> Tym niemniej - jesli numer karty zgadlismy, lub odczytalismy komus z
> karty, lub z innej hackerki,

No ale nie możemy zgadnąć samego numeru, od razu zgadujemy numer + datę.
Tzn. w ogóle pewnie sam numer dałoby się sprawdzić (będąc sprzedawcą),
ale żeby tak w swoim sklepie? :-)
Bardziej możliwy byłby jakiś atak na terminal (np. GPRS), tyle że wtedy
po co cokolwiek zgadywać?

> Ale nawet bez konta mozna chyba zamowic w Tesco telewizor z dostawa do
> domu.

Ale to problem Tesco, i teoretycznie Tesco każdy taki telewizor powinno
traktować specjalnie...

> A potem sie okaze, ze Muhammad Ali juz tu nie mieszka, a Ali Ahmed
> wynajal tydzien temu.

... nie żebym myślał o jakimś rasizmie, nic z tych rzeczy :-)


Natomiast pizzę pewnie dostarczą gdziekolwiek.
--
Krzysztof Hałasa

do góry

On Mon, 12 Dec 2016 19:59:10 +0100, Krzysztof Halasa <k...@p...waw.pl>
wrote:

>Natomiast pizzę pewnie dostarczą gdziekolwiek.
"Mi" dostarczyli. Przy czym cudzysłów celowo bo nie ja zamawiałem, nie
ja odebrałem i nie ja zjadłem. No i w konsekwencji nie ja zapłaciłem
:)
news:67e38atj9b5qaj4hqu6v1skd71ugvc97bq@4ax.com
news:h0s38apcjd21bv6qlnhoap4lttgk6lg2mf@4ax.com

WAM
--
www.nawakacje.pl ?
pokoje w górach www.wpolskichgorach.pl
pokoje na Mazurach www.spanienamazurach.pl
pokoje nad morzem www.nadmorze.pl

do góry

Użytkownik "Krzysztof Halasa" napisał w wiadomości grup
dyskusyjnych:m...@p...waw.pl...
"J.F." <j...@p...onet.pl> writes:
>> Moze doktorant sprobowal ?
>> I przy MC po 10 probach dostal juz informacje "zablokowano", a przy
>> visie mogl sprawdzac dalej

>No ale jak mógł to dostać? Sklepy czegoś takie same nie wiedzą, to
>jak
>mogą pokazać klientowi?

A nie wiedza ? Moze jest roznica miedzy "karta zastrzezona" a "dane
sie nie zgadzaja".

Ewentualnie po 10 probach dostal SMS "wykrylismy probe kradziezy i
zablokowalismy dostep" ...

>> Tym niemniej - jesli numer karty zgadlismy, lub odczytalismy komus
>> z
>> karty, lub z innej hackerki,

>No ale nie możemy zgadnąć samego numeru, od razu zgadujemy numer +
>datę.

Numer zgadnac latwo. A potem date mozna sobie zweryfikowac.

>Tzn. w ogóle pewnie sam numer dałoby się sprawdzić (będąc
>sprzedawcą),
>ale żeby tak w swoim sklepie? :-)

A czemu nie ? Oczywiscie po wiekszej ilosci prob moze wzbudzic
podejrzenia.

Tylko, ze tu metoda ma byc taka, ze korzysta sie z innych sklepow.

>Bardziej możliwy byłby jakiś atak na terminal (np. GPRS), tyle że
>wtedy
>po co cokolwiek zgadywać?

A tu metoda rzekomo polega na skorzystaniu z ogolnie dostepnych stron
sklepow, i kazdy moze sobie sprawdzic rozne mumery.

>> Ale nawet bez konta mozna chyba zamowic w Tesco telewizor z dostawa
>> do
>> domu.
>Ale to problem Tesco, i teoretycznie Tesco każdy taki telewizor
>powinno
>traktować specjalnie...

Wszystko drozsze trzeba by traktowac specjalnie, a przeciez tych
sklepow przybywa, nic w tym dziwnego, ze ktos sobie prezenty zamowil i
karta zaplacil :-)

>> A potem sie okaze, ze Muhammad Ali juz tu nie mieszka, a Ali Ahmed
>> wynajal tydzien temu.
>... nie żebym myślał o jakimś rasizmie, nic z tych rzeczy :-)

Absolutnie nic :-)

J.

do góry