Tomek Głowacki <t...@t...pl.zx> writes:

> Dokładnie. Metoda jest dość prosta. Kto przyjmuje płatności tymi
> PayPassami? A no czasami za przeproszeniem "stragany" z bigosem. Nie
> sądzę, aby mając dostęp do terminala swobodny i zdolnego nazwijmy to -
> "szwagra" odpowiednio tenże terminal przystosować (większa czułość? tak
> żeby zasuwał dookólnie powiedzmy w promieniu 20-30 metrów,

To byloby raczej trudne, moze jakies kombinacje z antena kierunkowa, ale
to nie jest trywialne.
Realne (wzglednie proste) jest "lapanie" z kilkudziesieciu centymetrow.

> Oczywiście,
> jedząc łyżeczką potencjalnie nieuczciwy merchant może swobodnie przez
> długi czas zagarniać więcej niż powinien, dalej mając w papierach
> względnie czysto (przecież nie rozliczy ile bigosów czy kiełbas sprzedał
> co do sztuki, albo wręcz stworzy usługi "płatne" i tak potwierdzi ilość,
> nie musi mieć tego na magazynie).

Nieuczciwy sprzedawca to maly problem.
Problemem sa fraudy z uczciwym sprzedawca i nieuczciwym klientem,
"uzywajacym" zdalnie czyjejs karty.
--
Krzysztof Halasa

do góry

"Seba" <b...@W...gazeta.pl> writes:

> czyli rozumiem, ze wymysliles frauda, gdzie jeden czlowiek stoi przy
> czytniku kart w sklepie z zakupami, a drugi (ten z autobusu) przytyka po
> kolei do dupska pasażerom drugi czytnik komunikujący się bezprzewodowo z
> kartą faceta w sklepie

Wymyslili i przetestowali inni. Po raz pierwszy juz pare lat temu
zreszta.

> w nadziei, ze w ciągu kilku sekund, gdy jego wspolnik
> dał mu znak ze jest juz przy kasie, znajdzie karte pp. Wszystko pieknie,
> tylko na całą transakcję offline od inicjacji do jej zamkniecia jest czas do
> maks sekundy (standardowo zamyka sie w 400 ms), w tym czasie musisz
> pzrekazac informacje w obie strony (czytnik goscia w autobusie musi miec
> rowniez mozliwosc transamisji w strone do karty), karta ne moze stracic
> łączności z czytnikiem w czasie trwania transakcji (np właściciel
> oryginalnej karty zepnie poślady i wszystko od początku).

400 ms to jest kilka razy wiecej niz czas potrzeby na wyslanie zapytania
i odebranie odpowiedzi publicznym Internetem na drugi koniec swiata.

Ale przyznaje ze jedno z potencjalnych zabezpieczen ma polegac na
scislym limitowaniu czasu odpowiedzi karty (z tym ze wczesniej beda to
robic, a moze juz robia, platne TV - bankom sie nie spieszy). Tyle ze to
wykluczy moze fraudy z 20 tys. km (a przynajmniej jest szansa), ale nie
takie robione np. para radiotelefonow (zeby bylo latwo i tanio, i zeby
nie bylo sladow w zadnych bilingach itp).

Swoja droga, to w pewnym sensie takze dziala na korzysc fraudsterow -
jakby klient zobaczyl operacje z drugiej polkuli to moglby cos
podejrzewac, ale jak bedzie tam tylko mial np. swoje miasto, to nawet
jesli cos zauwazy, to bank mu w to nie uwierzy (i zgadnic co zrobi ze
statystyka).

"Byl pan wtedy w Koziej Wolce? No bylem, ale... Dziekujemy".

>> Podaj zrodlo danych o braku wiekszej ilosci fraudow.
>
> organizacje płatnicze ?

Ale miales podac konkretne zrodlo a nie pytac. Ja tez mam pewne idee na
rozne tematy ale nie traktuje ich jak "twardych" danych.

>> Jesli bank nie uznaje transakcji za fraud (a moze nawet wlasciciel jej
>> nie uznaje za fraud, bo nie pamieta), to jakims cudem chcesz to miec
>> w statystyce fraudow?
>
> to juz problem (i obowiązek) posiadacza karty, zeby wyciąg kontrolowal.
> jakos ludzie potrafia zglaszac np fraudy internetowe na naprawde niewielkie
> kwoty, nie widze powodu zeby akurat tego typu transakcje mialy im "umykac"

Drobne fraudy internetowe tez im "umykaja", ale niewazne. Co napiszesz
o nieuznawaniu fraudu przez bank?
--
Krzysztof Halasa

do góry

Krzysztof Halasa <k...@p...waw.pl> napisał(a):

> "Seba" <b...@W...gazeta.pl> writes:
>
> > czyli rozumiem, ze wymysliles frauda, gdzie jeden czlowiek stoi przy
> > czytniku kart w sklepie z zakupami, a drugi (ten z autobusu) przytyka po
> > kolei do dupska pasażerom drugi czytnik komunikujący się bezprzewodowo z
> > kartą faceta w sklepie
>
> Wymyslili i przetestowali inni. Po raz pierwszy juz pare lat temu
> zreszta.

ale w warunkach "laboratoryjnych", w rzeczywistych - nie wydaje mie sie
mozliwe dogranie calosci w ten sposob aby doprowadzic do konca transakcje -
gdy na kasie jest nabita kwota i czytnik czeka na karte musisz miec juz na
widelcu "ofiare", w odpowiednim momencie odebrac sygnal i nadac odpowiedz (z
drugiej strony niezly bajer musi byc ta fakeowa karta/nadajnik która
komunikuje sie z terminalem). Naprawde prosciej ukrasc taka karte i isc na
zakupy offline.
Podobnie jest z chipem, niby mozna sklonowac, niby mozna zlamac mocne nawet
kodowanie ale na to potrzeba czasu, którego przy transakcji nie ma - drobny
timeout i idzie reversal

> > w nadziei, ze w ciągu kilku sekund, gdy jego wspolnik
> > dał mu znak ze jest juz przy kasie, znajdzie karte pp. Wszystko pieknie,
> > tylko na całą transakcję offline od inicjacji do jej zamkniecia jest
czas do
> > maks sekundy (standardowo zamyka sie w 400 ms), w tym czasie musisz
> > pzrekazac informacje w obie strony (czytnik goscia w autobusie musi miec
> > rowniez mozliwosc transamisji w strone do karty), karta ne moze stracic
> > łączności z czytnikiem w czasie trwania transakcji (np właściciel
> > oryginalnej karty zepnie poślady i wszystko od początku).
>
> 400 ms to jest kilka razy wiecej niz czas potrzeby na wyslanie zapytania
> i odebranie odpowiedzi publicznym Internetem na drugi koniec swiata.
>
> Ale przyznaje ze jedno z potencjalnych zabezpieczen ma polegac na
> scislym limitowaniu czasu odpowiedzi karty (z tym ze wczesniej beda to
> robic, a moze juz robia, platne TV - bankom sie nie spieszy). Tyle ze to
> wykluczy moze fraudy z 20 tys. km (a przynajmniej jest szansa), ale nie
> takie robione np. para radiotelefonow (zeby bylo latwo i tanio, i zeby
> nie bylo sladow w zadnych bilingach itp).
>
> Swoja droga, to w pewnym sensie takze dziala na korzysc fraudsterow -
> jakby klient zobaczyl operacje z drugiej polkuli to moglby cos
> podejrzewac, ale jak bedzie tam tylko mial np. swoje miasto, to nawet
> jesli cos zauwazy, to bank mu w to nie uwierzy (i zgadnic co zrobi ze
> statystyka).
>
> "Byl pan wtedy w Koziej Wolce? No bylem, ale... Dziekujemy".
>

słyszałem o bardziej beznadziejnych sprawach z punktu widzenia klientów,
gdzie mimo wszystko dostawali z powrotem ukradzione pieniądze : "listonosze"
którzy działali dokładnie w terenie klienta - kupowali nawet w tych samych
sklepach zeby utwierdzic bank w przekonaniu ze to klient; insider z pewnej
firmy od bankomatów który teoretycznie nie miał prawa wpaśc a wpadł póltora
roku temu na koszeniu bankomatów (konkretnie podczas czyszczenia jednego z
nich z gotówki) itp

druga sprawa - klient klientem, ale kazdy akłajer prowadzi monitoring
merchantow, tutaj tez wiele fajnych spraw wychodzi


> >> Podaj zrodlo danych o braku wiekszej ilosci fraudow.
> >
> > organizacje płatnicze ?
>
> Ale miales podac konkretne zrodlo a nie pytac. Ja tez mam pewne idee na
> rozne tematy ale nie traktuje ich jak "twardych" danych.

to było pytanie retoryczne :)

>
> >> Jesli bank nie uznaje transakcji za fraud (a moze nawet wlasciciel jej
> >> nie uznaje za fraud, bo nie pamieta), to jakims cudem chcesz to miec
> >> w statystyce fraudow?
> >
> > to juz problem (i obowiązek) posiadacza karty, zeby wyciąg kontrolowal.
> > jakos ludzie potrafia zglaszac np fraudy internetowe na naprawde
niewielkie
> > kwoty, nie widze powodu zeby akurat tego typu transakcje mialy
im "umykac"
>
> Drobne fraudy internetowe tez im "umykaja", ale niewazne. Co napiszesz
> o nieuznawaniu fraudu przez bank?

są tez ludzie którzy nie wiedzą jak im pieniądze z portfela wychodzą :) ta
sama zasada, albo się pilnuje swoich interesów (nieważne gotówka czy
konto/karta) albo się budzi jak jest już pozamiatane. nie wydaje mi sie by w
interesie banku było nieuznawanie klianta,




--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

"Seba" <b...@W...gazeta.pl> writes:

> ale w warunkach "laboratoryjnych", w rzeczywistych - nie wydaje mie sie
> mozliwe dogranie calosci w ten sposob aby doprowadzic do konca transakcje -
> gdy na kasie jest nabita kwota i czytnik czeka na karte musisz miec juz na
> widelcu "ofiare", w odpowiednim momencie odebrac sygnal i nadac odpowiedz (z
> drugiej strony niezly bajer musi byc ta fakeowa karta/nadajnik która
> komunikuje sie z terminalem).

Tworzysz sztuczne problemy. Co niby jest takie trudne, przejsc sie po
tramwaju i ustawic sie tam, gdzie w "zasiegu" jest jakas karta?

> Naprawde prosciej ukrasc taka karte i isc na
> zakupy offline.

Powaznie, latwiej ukrasc komus karte niz po prostu podejsc niedaleko
jego? Watpie.
Zapominasz tez o tym, ze taka karta zapewne niedlugo zostanie
zastrzezona (= po chwili transakcja wymagajaca autoryzacji zablokuje
karte), wiec nalezaloby tych kart krasc nie wiadomo ile. To juz
zdecydowanie latwiej z kartami magnetycznymi, te przynajmniej nie chca
PINu (w duzej czesci) przy wiekszych zakupach.

> Podobnie jest z chipem, niby mozna sklonowac, niby mozna zlamac mocne nawet
> kodowanie ale na to potrzeba czasu, którego przy transakcji nie ma - drobny
> timeout i idzie reversal

Nie. Owszem, mozna chipa sklonowac, ale to wymaga jego zlamania. Nie
chodzi nawet tylko o czas, tylko o wykorzystanie jakiejs slabosci.
W tym przypadku prawdopodobienstwo sukcesu jest prawie stuprocentowe,
a brak sukcesu nie jest przeciez zadnym problemem.

> słyszałem o bardziej beznadziejnych sprawach z punktu widzenia klientów,
> gdzie mimo wszystko dostawali z powrotem ukradzione pieniądze

To nie zmienia faktu, ze taki atak jest prosty i bezpieczny.

> druga sprawa - klient klientem, ale kazdy akłajer prowadzi monitoring
> merchantow, tutaj tez wiele fajnych spraw wychodzi

Niestety tu sprzedawca nie ma z tym zwiazku.

> są tez ludzie którzy nie wiedzą jak im pieniądze z portfela wychodzą :) ta
> sama zasada, albo się pilnuje swoich interesów (nieważne gotówka czy
> konto/karta) albo się budzi jak jest już pozamiatane. nie wydaje mi sie by w
> interesie banku było nieuznawanie klianta,

Chyba zartujesz? Jesli bank uznaje taki fraud (tak naprawde bez zadnych
podstaw oprocz samego oswiadczenia klienta) musi za niego zaplacic.
Nawet nie tylko w Polsce, ale w ogole nigdzie banki tego nie robia jesli
nie musza.

To nie sa transakcje w sieci przy ktorych mozna zrobic chargeback "bo
tak" i placi sprzedawca. Tu placi bank (a wlasciwie klient), bo
transakcja zostala przeprowadzona jego oryginalna karta.
--
Krzysztof Halasa

do góry