Krzysztof Halasa <k...@p...waw.pl> napisał(a):

> "Seba" <b...@W...gazeta.pl> writes:
>
> > na odleglosc 5 cm ; zanim zaczniesz masowo robic takie "fraudy" posadza
cie
> > za naruszenie nietykalnosci cielesnej czy inne molestowanie albo po
prostu
> > dostaniesz od kogos w twarz, bo nie da sie tego zrobic z odleglosci jaka
> > zachowuja ludzie miedzy soba nawet w tłoku.
>
> Tylko tak myslisz. Zeby udowodnic ze czegos sie nie da zrobic, trzeba
> sie naprawde nameczyc, a i tak dowod moze okazac sie w przyszlosci
> wadliwy. Zeby jednak udowodnic, ze cos sie da zrobic, wystarczy tylko to
> zrobic. Tak wlasnie bylo takze z karta bezstykowa - wymaga to tylko
> nieco zmodyfikowanego czytnika i zasieg zwieksza sie przynajmniej 10-
>krotnie.


czyli modyfikacja czytnika czyli ingerencja w dostarczony przez MC sprzet
czyli konieczny współudział sprzedawcy, o czym pisałem (ingerencja w
terminal też jest oczywiscie do wykrycia, również zdalnie)


> Ale nawet zakladajac te 5 cm (co jest bajka dla grzecznych dzieci
> wylacznie) - ludzie czesto trzymaja karty w portfelu w kieszeni np.
> w spodniach, nie widze najmniejszego problemu w tloku.
>
> > co do obciazenia karty bez
> > terminala (czyli kluczy), ktory jest niezbedny do autentykacji
transakcji
> > (tak jak pisalem rozkodowanie kryptogramu bądz cvc/cvv3) nie bede
> > komentowal, bo to swiadczy ze nie masz pojecia o czym piszesz.
>
> :-)

wesoło jest, więc odrzucamy podstawiony (bo nie bedzie kluczy)/zmanipulowany
terminal (bo sprzedawca jest uczciwy i nie jest idiotą) i skupiamy się na
Twoim przypadku.

przesledz moze jeszcze przebieg transakcji pp, dla ulatwienia moze opisze
początek :

1. dane z karty przesylane do czytnika - inicjaca transakcji
2. z czytnika idzie do karty tzw UN (unpredictable number) a jesli karta emv
to rowniez kwota itp. UN jest oczywiscie wartoscią losową generowana przez
terminal
3. na podstawie UN generowany jest cvc3 lub tc/arqc (w zaleznosci od typu
karty (mag/emv) i tego czy transakcja jest off/online

dalszy ciąg juz nie dotyczy opisanego przez Ciebie "frauda na odleglosc"
wiec sobie deruje

>
> To teraz wyobraz sobie ze ten terminal znajduje sie w sklepie, w ktorym
> wspolnik faceta z autobusu wlasnie placi. Dotarlo w koncu?
>

czyli rozumiem, ze wymysliles frauda, gdzie jeden czlowiek stoi przy
czytniku kart w sklepie z zakupami, a drugi (ten z autobusu) przytyka po
kolei do dupska pasażerom drugi czytnik komunikujący się bezprzewodowo z
kartą faceta w sklepie w nadziei, ze w ciągu kilku sekund, gdy jego wspolnik
dał mu znak ze jest juz przy kasie, znajdzie karte pp. Wszystko pieknie,
tylko na całą transakcję offline od inicjacji do jej zamkniecia jest czas do
maks sekundy (standardowo zamyka sie w 400 ms), w tym czasie musisz
pzrekazac informacje w obie strony (czytnik goscia w autobusie musi miec
rowniez mozliwosc transamisji w strone do karty), karta ne moze stracic
łączności z czytnikiem w czasie trwania transakcji (np właściciel
oryginalnej karty zepnie poślady i wszystko od początku).

sorry, ale dla mnie na tą chwilę to totalna fikcja


> > na pdobnej
> > zasadzie mozesz sobie odczytac dane z karty magnetycznej przez jakis
czytnik
> > podpiety do pc i co z tego ? obciążysz kartę ?
>
> Nie ma tu zadnej podobnej zasady, a jesli nie wierzysz we fraudy
> kopiowanymi kartami magnetycznymi to ja nic na to nie poradze.

przyklad podalem beznadziejny to fakt; paski kopiują wszyscy i wszędzie - w
tym nieszczęśliwym przykładzie chodzilo mi o to, ze samo odczytanie danych
nic nie da (mając dane z paska w pliku bez ich nosnika nie dokonasz
transakcji, tak samo jak odczytanie karty paypass nie pozwoli ci obciążyc
konta)


> > u nas nowosc, w stanach od 5 lat - i nie ma przez to wiecej fraudow.
>
> 5 lat to jest wlasnie "jakas nowosc".
> Podaj zrodlo danych o braku wiekszej ilosci fraudow.

organizacje płatnicze ?

>
> > no i co z tego ? chyba oczywiste ze za kazdym razem gdy jest robiony
> > chargeback fraudowy musi byc zarejestrowane naduzycie w MC bo inaczej
bank
> > nie wygra
>
> Jesli bank nie uznaje transakcji za fraud (a moze nawet wlasciciel jej
> nie uznaje za fraud, bo nie pamieta), to jakims cudem chcesz to miec
> w statystyce fraudow?

to juz problem (i obowiązek) posiadacza karty, zeby wyciąg kontrolowal.
jakos ludzie potrafia zglaszac np fraudy internetowe na naprawde niewielkie
kwoty, nie widze powodu zeby akurat tego typu transakcje mialy im "umykac"


--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/