"Seba" <b...@W...gazeta.pl> writes:

> ale w warunkach "laboratoryjnych", w rzeczywistych - nie wydaje mie sie
> mozliwe dogranie calosci w ten sposob aby doprowadzic do konca transakcje -
> gdy na kasie jest nabita kwota i czytnik czeka na karte musisz miec juz na
> widelcu "ofiare", w odpowiednim momencie odebrac sygnal i nadac odpowiedz (z
> drugiej strony niezly bajer musi byc ta fakeowa karta/nadajnik która
> komunikuje sie z terminalem).

Tworzysz sztuczne problemy. Co niby jest takie trudne, przejsc sie po
tramwaju i ustawic sie tam, gdzie w "zasiegu" jest jakas karta?

> Naprawde prosciej ukrasc taka karte i isc na
> zakupy offline.

Powaznie, latwiej ukrasc komus karte niz po prostu podejsc niedaleko
jego? Watpie.
Zapominasz tez o tym, ze taka karta zapewne niedlugo zostanie
zastrzezona (= po chwili transakcja wymagajaca autoryzacji zablokuje
karte), wiec nalezaloby tych kart krasc nie wiadomo ile. To juz
zdecydowanie latwiej z kartami magnetycznymi, te przynajmniej nie chca
PINu (w duzej czesci) przy wiekszych zakupach.

> Podobnie jest z chipem, niby mozna sklonowac, niby mozna zlamac mocne nawet
> kodowanie ale na to potrzeba czasu, którego przy transakcji nie ma - drobny
> timeout i idzie reversal

Nie. Owszem, mozna chipa sklonowac, ale to wymaga jego zlamania. Nie
chodzi nawet tylko o czas, tylko o wykorzystanie jakiejs slabosci.
W tym przypadku prawdopodobienstwo sukcesu jest prawie stuprocentowe,
a brak sukcesu nie jest przeciez zadnym problemem.

> słyszałem o bardziej beznadziejnych sprawach z punktu widzenia klientów,
> gdzie mimo wszystko dostawali z powrotem ukradzione pieniądze

To nie zmienia faktu, ze taki atak jest prosty i bezpieczny.

> druga sprawa - klient klientem, ale kazdy akłajer prowadzi monitoring
> merchantow, tutaj tez wiele fajnych spraw wychodzi

Niestety tu sprzedawca nie ma z tym zwiazku.

> są tez ludzie którzy nie wiedzą jak im pieniądze z portfela wychodzą :) ta
> sama zasada, albo się pilnuje swoich interesów (nieważne gotówka czy
> konto/karta) albo się budzi jak jest już pozamiatane. nie wydaje mi sie by w
> interesie banku było nieuznawanie klianta,

Chyba zartujesz? Jesli bank uznaje taki fraud (tak naprawde bez zadnych
podstaw oprocz samego oswiadczenia klienta) musi za niego zaplacic.
Nawet nie tylko w Polsce, ale w ogole nigdzie banki tego nie robia jesli
nie musza.

To nie sa transakcje w sieci przy ktorych mozna zrobic chargeback "bo
tak" i placi sprzedawca. Tu placi bank (a wlasciwie klient), bo
transakcja zostala przeprowadzona jego oryginalna karta.
--
Krzysztof Halasa