Michal wrote:
> witek pisze:
>
>>
>> No właśnie. nie tylko takie są.
>> Autoryzajca może być na złotówkę obciążenie na 10 tyś.
>
> I reklamacja takiej transakcji będzie bezproblemowa- nie wyraziłeś zgody
> na więcej niż 1zł.

Ale my ciagle o tym samym.
Będzie pozytywna. Za dwa miesiące. Do tego czasu zamiast zablokowanego
limitu na karcie kredytowej, bedziesz miał zablokowaną własną kasę.


>
>>> Kijem wisły nie zawrócisz jak dobrze Ci zapewne wiadomo. A ja
>>> naprawdę uważam za bezpieczneijsze transakcje chip + PIN niż podpis.
>>> Tyle, że nie pasek + PIN.
>>
>> Po wprowadzeniu PIN nie jesteś wstanie powiedzieć czy wprowadził go
>> właściciel karty czy ktoś inny. Po podpisie jesteś wstanie.
>>
>> Chip chroni kartę i to jest zabezpieczenie dla banków i nie mam nic
>> przeciwko.
>> Niematerialny PIN jest najsłabszym ogniwem w tym wszystkim.
>> Może pin + podpis?
>
> A po cóż ten podpis niby? Podpisem w żaden sposób nie jesteś w stanie
> zweryfikować, czy faktycznie posiadacz płaci. A na pewno nie może to
> zrobić kasjerka. Całkiem niedawno była dyskusja na ten temat z której
> jasno wynikło, że kasjerki nie mają kompetencji grafologicznych. A i
> grafolog nie ma zdolności nadprzyrodzonych. Nie takie podpisy się
> podrabiało.


Ale przed sądem w razie czego przeciwko bankowi jestem wstanie wykazać,
ze to nie mój podpis. natomiast tego, że to nie ja wprowadziłem pin nie
jestem wstanie.


>
> Podsumowując: Ryzyko fraudu przy transakcji POS typu EMV (chip + PIN)
> mamy w praktyce tylko wtedy, kiedy ktoś naszą ukradzioną kartą zapłaci,
> znając nasz PIN. Jest to dość nieprawdopodobna sytuacja, ale na wszelki
> wypadek porządne banki oferują ubezpieczenia od sytuacji typu rozbój +
> wyłudzenie PINu.

oczywiscie nie za darmo. I chyba o to w tym wszystkich chodzi.

do góry

witek pisze:
> Michal wrote:
>> witek pisze:
>>
>>>
>>> No właśnie. nie tylko takie są.
>>> Autoryzajca może być na złotówkę obciążenie na 10 tyś.
>>
>> I reklamacja takiej transakcji będzie bezproblemowa- nie wyraziłeś
>> zgody na więcej niż 1zł.
>
> Ale my ciagle o tym samym.
> Będzie pozytywna. Za dwa miesiące. Do tego czasu zamiast zablokowanego
> limitu na karcie kredytowej, bedziesz miał zablokowaną własną kasę.
>
>
>>
>>>> Kijem wisły nie zawrócisz jak dobrze Ci zapewne wiadomo. A ja
>>>> naprawdę uważam za bezpieczneijsze transakcje chip + PIN niż podpis.
>>>> Tyle, że nie pasek + PIN.
>>>
>>> Po wprowadzeniu PIN nie jesteś wstanie powiedzieć czy wprowadził go
>>> właściciel karty czy ktoś inny. Po podpisie jesteś wstanie.
>>>
>>> Chip chroni kartę i to jest zabezpieczenie dla banków i nie mam nic
>>> przeciwko.
>>> Niematerialny PIN jest najsłabszym ogniwem w tym wszystkim.
>>> Może pin + podpis?
>>
>> A po cóż ten podpis niby? Podpisem w żaden sposób nie jesteś w stanie
>> zweryfikować, czy faktycznie posiadacz płaci. A na pewno nie może to
>> zrobić kasjerka. Całkiem niedawno była dyskusja na ten temat z której
>> jasno wynikło, że kasjerki nie mają kompetencji grafologicznych. A i
>> grafolog nie ma zdolności nadprzyrodzonych. Nie takie podpisy się
>> podrabiało.
>
>
> Ale przed sądem w razie czego przeciwko bankowi jestem wstanie wykazać,
> ze to nie mój podpis. natomiast tego, że to nie ja wprowadziłem pin nie
> jestem wstanie.

Czy przypadkiem nie jest odwrotnie?
Czy to nie bank powinien udowodnić, że to Ty dokonałeś transakcji, za
którą Cię chce obciążyć?
(Udowodnić może np. zapisem wideo, który jest przy każdej kasie w
supermarkecie)
... oczywiście o ile w regulaminie nie ma zapisu, że "operacje z użyciem
PIN uważa się za wykonane przez właściciela karty" - takie zapisy moim
zdaniem dyskwalifikują kartę.

BTW - ponawiam apel do właścicieli stronek/portali karcianych:
wprowadźcie to proszę jako kryterium przy wyborze karty.


--
Tnx. Pzdr. Ten Maruda.

do góry

Krzysztof Halasa <k...@p...waw.pl> napisał(a):

> "Seba" <b...@W...gazeta.pl> writes:
>
> > widzisz, drogi marcinie, skimmer na bankomacie to jest mały pikus w
> > porównaniu z wyciągnięciem kilkuset tysięcy czy paru milionów
zapisow da
> nych
> > kart z baz akłajerów/merchantow (jak jest kiepskie kodowanie to i piny
> > uswiadczysz w takim zbiorze).
>
> Teoretycznie nie powinno to byc mozliwe. Wiem ze teoria i praktyka
> w teorii sa takie same, a w praktyce nie, ale CVC/CVV oraz PINy (a takze
> CVC2/CVV2) nie powinny byc zapisywane w zadnej bazie, a tylko uzywane
> podczas autoryzacji i nastepnie zapominane.
>
> W kazdym razie jesli acquirer lub merchant takie rzeczy robi, to
> powinien sie liczyc z klopotami. Swoja droga, nie wiem po co mialby to
> robic (sam chcialby troche pofraudowac?).

tez jest to dla mnie zagadką, ale robią to często (mniej lub bardziej
świadomie ; aby doszło do autoryzcji musi sie odbic zapias sciezki na
serwerach i moze mają problem z jego skutecznym usunięciem ?)

> Naturalnie to nie eliminuje ryzyka przechwycenia tych informacji
> w czasie autoryzacji, ale to duzo mniejszy problem.

teraz juz moze tak, ale jeszcze 3-4 lata temu wire tapping był masowy tam,
gdzie były powszehcne niekodowane łącza (np egipt, sri lanka, tajlandia) -
efekt podobny do duzego data breach, jesli sie w dobrym miejscu wpieli w
łącza.
a sprawa tjmaxx'a opisana jest np tutaj
http://www.huffingtonpost.com/2008/08/05/biggest-ide
ntity-theft-
ca_n_117094.html
, i to nie jest jakis straszny wyjątek, tylko skala więszka niz zwykle


--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

witek <w...@g...pl.invalid> napisał(a):


> Różnica zwykle kilku miesięcy oraz faktu, że nagle zostałeś baz kasy
> mimo, że wcale tego nie planowałeś.

problem rozłożony w czasie to wciąz problem

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

Michal pisze:
> A po cóż ten podpis niby? Podpisem w żaden sposób nie jesteś w stanie
> zweryfikować, czy faktycznie posiadacz płaci. A na pewno nie może to
> zrobić kasjerka. Całkiem niedawno była dyskusja na ten temat z której
> jasno wynikło, że kasjerki nie mają kompetencji grafologicznych. A i
> grafolog nie ma zdolności nadprzyrodzonych. Nie takie podpisy się
> podrabiało.

Ale to nie obchodzi w żaden sposób posiadacza karty. To już jest tylko i
wyłącznie odpowiedzialność banku/sprzedawcy.

W przypadku nieuprawnionego użycia PIN musisz udowadniać, że nie jesteś
wielbłądem. Bo w jaki sposób udowodnisz, że nie ujawniłeś numer PIN ?

> Podsumowując: Ryzyko fraudu przy transakcji POS typu EMV (chip + PIN)
> mamy w praktyce tylko wtedy, kiedy ktoś naszą ukradzioną kartą zapłaci,
> znając nasz PIN. Jest to dość nieprawdopodobna sytuacja, ale na wszelki
> wypadek porządne banki oferują ubezpieczenia od sytuacji typu rozbój +
> wyłudzenie PINu.
> W standardzie EMV karta ze skopiowanym paskiem nie powinna prosić o PIN
> (wtedy mamy transacje bezpinową, czyli łatwą do reklamacji) lub prosić o
> użycie chipu (a na karcie skopiowanej chipu nie ma złodziej jest w
> przysłowiowej dupie).

Niestety działa to tylko w teorii. Sporo część banków wydaje karty
kredytowe, które mają chip + pasek, autoryzację PINem i jednocześnie nie
umożliwiają obniżenia limitu na transakcje gotówkowe. A więc : kopiujemy
pasek, podpatrujemy PIN i w bankomacie czyścimy rachunek KK. Ja
osobiście nie straciłem odwagę na używanie takowych KK.

Co do zasady to faktycznie jest tak, że np moja KK Alior zawsze domaga
się aby ją przez terminal przepuszczono chipem i wtedy autoryzacja jest
PINem, natomiast jeśli się nie da i idzie wszystko przez pasek to
autoryzacja jest podpisem. Ale ja dodatkowo zablokowałem transakcje
gotówkowe.

> Przy kartach bez chipa skimmer ma nieporównywalnie większe pole manewru-
> może iść gdziekolwiek i zapłacić za cokolwiek, nie znając wcale PINu i
> nie ryzykując praktycznie niczym (karta nie upomni się o użycie chipa,
> nie poprosi o PIN).

Tak jak pisałem wcześniej : to już nie obchodzi posiadacza karty.


--
Mithos

do góry

maruda pisze:
> ... oczywiście o ile w regulaminie nie ma zapisu, że "operacje z użyciem
> PIN uważa się za wykonane przez właściciela karty" - takie zapisy moim
> zdaniem dyskwalifikują kartę.

Takie zapisy (lub podobne) są w każdym regulaminie, bo inaczej
uniemożliwiłoby to korzystanie z karty. Podobnie jest przy transakcjach
na odległość.

PIN zna tylko jej posiadacz, jeśli pozna go inna osoba to może to
nastąpić na skutek :
- ujawnienia PIN przez posiadacza karty lub
- podpatrzenia PIN przez osobę trzecią wtedy gdy posiadacz karty nie
dochował należytej staranności.

A jeszcze kwestia różnych pseduo ubezpieczeń : w większości jest zapis,
że nie obejmują one transakcji autoryzowanych PINem. Kuriozalne w
przypadku kart, które podobno mogą być autoryzowane tylko w ten sposób.


--
Mithos

do góry

Mithos pisze:
> maruda pisze:
>> ... oczywiście o ile w regulaminie nie ma zapisu, że "operacje z
>> użyciem PIN uważa się za wykonane przez właściciela karty" - takie
>> zapisy moim zdaniem dyskwalifikują kartę.
>
> Takie zapisy (lub podobne) są w każdym regulaminie,

Nieprawda. Nie w każdym. Przeanalizowałeś WSZYSTKIE regulaminy? Ile ich
tak naprawdę dokładnie przeczytałeś? Kłamiesz i to publicznie! Domagam
się, abyś to odwołał.
Radziłbym większą powściągliwość w używaniu kwantyfikatorów.

bo inaczej
> uniemożliwiłoby to korzystanie z karty. Podobnie jest przy transakcjach
> na odległość.

No popatrz - a moja nie ma, a da się korzystać! ;) Obalenie przez
kontrprzykład.



>
> PIN zna tylko jej posiadacz, jeśli pozna go inna osoba to może to
> nastąpić na skutek :
> - ujawnienia PIN przez posiadacza karty lub
> - podpatrzenia PIN przez osobę trzecią wtedy gdy posiadacz karty nie
> dochował należytej staranności.

Spróbuj "dochować należytej staranności" i nie ujawnić PINa wklepując go
w kasie supermarketu (zapis wideo, do którego ma dostęp
byle-ochroniarz), na nieprzysłonięty PINpad, mając jedną rękę zajętą.

>
> A jeszcze kwestia różnych pseduo ubezpieczeń : w większości jest zapis,
> że nie obejmują one transakcji autoryzowanych PINem. Kuriozalne w
> przypadku kart, które podobno mogą być autoryzowane tylko w ten sposób.
>

Wszelkie ubezpieczenia, to czysta ściema. Gdyby ubezpieczenie było
korzystne dla ubezpieczonego, to TU poszłyby z torbami. To elementarna
logika.




--
Tnx. Pzdr. Ten Maruda.

do góry

Dnia Sun, 27 Sep 2009 01:15:49 +0200, Michal napisał(a):

> Podsumowując: Ryzyko fraudu przy transakcji POS typu EMV (chip + PIN)
> mamy w praktyce tylko wtedy, kiedy ktoś naszą ukradzioną kartą zapłaci,
> znając nasz PIN. Jest to dość nieprawdopodobna sytuacja, ale na wszelki
> wypadek porządne banki oferują ubezpieczenia od sytuacji typu rozbój +
> wyłudzenie PINu.

Nieprawdopodobna? Poznać Twój pin, przy założeniu, że używasz karty jestem
w stanie w ciągu kilku Twoich transakcji.

Dodajemy do tego dwóch wprawnych kieszonkowców i po zakupach w sklepie ja
znam Twój PIN, doliniarze mają Twoją kartę, co oznacza, że Ty jesteś
bankowi winien kupe kasy.

> W podróży bankomaty przydają sie nieporównywalnie częściej i jako klient
> banków mam prawo oczekiwać, że maszyny będą bezpieczne... i wracamy do
> punktu wyjścia.

Masz prawo. I co z tego?

--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 502) 122 688
___/ /_ ___ ul. Na Szaniec 23/70 31-560 Kraków (012 378 31 98)
_______/ /_ GG: 3524356
___________/ Wywoływanie slajdów http://trzypion.pl/

do góry

Dnia Sun, 27 Sep 2009 11:38:14 +0200, Mithos napisał(a):

> PIN zna tylko jej posiadacz, jeśli pozna go inna osoba to może to
> nastąpić na skutek :
> - ujawnienia PIN przez posiadacza karty lub
> - podpatrzenia PIN przez osobę trzecią wtedy gdy posiadacz karty nie
> dochował należytej staranności.

Oraz:
- Podpatrzenia PINu przez osobę trzecią wtedy gdy posiadacz karty zachował
należytej staranności.
- Przechwycenia PINu przez zmodyfikowany pinpad.

--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 502) 122 688
___/ /_ ___ ul. Na Szaniec 23/70 31-560 Kraków (012 378 31 98)
_______/ /_ GG: 3524356
___________/ Wywoływanie slajdów http://trzypion.pl/

do góry

Dnia Sun, 27 Sep 2009 12:37:57 +0200, maruda napisał(a):

> Spróbuj "dochować należytej staranności" i nie ujawnić PINa wklepując go
> w kasie supermarketu (zapis wideo, do którego ma dostęp
> byle-ochroniarz), na nieprzysłonięty PINpad, mając jedną rękę zajętą.


Lub też niech poda metodę na zweryfikowanie, że pinpad nei został
zmodyfikowany tak, że przesyła PIN nie tylko do modułu szyfrującego, ale
też do kogoś nieuprawnionego.

--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 502) 122 688
___/ /_ ___ ul. Na Szaniec 23/70 31-560 Kraków (012 378 31 98)
_______/ /_ GG: 3524356
___________/ Wywoływanie slajdów http://trzypion.pl/

do góry