http://niebezpiecznik.pl/post/aplikacja-na-telefon-do-wykradania-danych-ze-zblizeniowych-kart-kredytowych

A przecie miało to być takie bardzo bezpieczne :-)

W dniu piątek, 22 czerwca 2012 23:57:30 UTC+2 użytkownik Clegan napisał:

http://niebezpiecznik.pl/post/aplikacja-na-telefon-do-wykradania-danych-ze-zblizeniowych-kart-kredytowych

A przecie miało to być takie bardzo bezpieczne :-)

Sory ale czy to właśnie nie tak ma działać Google Wallet (a raczej już działa) http://www.google.com/wallet/what-is-google-wallet.html

Skanujesz swoją kartę i trzymasz ją w Google Wallecie, przy płatności wybierasz kartę i przykładasz telefon (z NFC). Oczywiście na pewno są jakieś zabezpieczenia. Bodajże są też inne terminale niz do paypassa, tak przynajmniej było powiedziane w materiale video który oglądałem z pół roku temu. Zatem ten skaner raczej do niczego ci się nie przyda, nawet mając dane czyjejś karty nie zapłacisz płatnością NFC.

On Sat, 23 Jun 2012 01:19:33 -0700 (PDT), Tomek wrote:

Zatem ten skaner raczej do niczego ci się nie przyda, nawet mając dane
czyjejś karty nie zapłacisz płatnością NFC.

Ale za to zapłacisz w internecie.

--
Marcin Mokrzycki
gg:659336  o2:mmokrzycki

W dniu sobota, 23 czerwca 2012 11:21:36 UTC+2 użytkownik Marcin Mokrzycki napisał:

On Sat, 23 Jun 2012 01:19:33 -0700 (PDT), Tomek wrote:

> Zatem ten skaner raczej do niczego ci się nie przyda, nawet mając dane
> czyjejś karty nie zapłacisz płatnością NFC.

Ale za to zapłacisz w internecie.

-- Marcin Mokrzycki
gg:659336  o2:mmokrzycki

Nieprawda.

Przez NFC nie jest udostępniany przede wszystkim CVC. Numeru karty też nie widzę na tych screenach. Jedynie NFC ID jest i data ważności - do niczego nie przydatne. Siejecie panikę tylko.

Polecam przecztać:
Każdy terminal i czytnik kart zbliżeniowych musi posiadać autoryzację, nie ma więc możliwości podpięcia się do transakcji w sposób nielegalny za pomocą pirackiego urządzenia. Pomiędzy chipem, a czytnikiem nie są przesyłane dane dotyczące posiadacza, PIN karty, czy szczegóły dotyczące transakcji, a jedynie ciągi zaszyfrowanych cyfr. Poza tym za każdą transakcję przeprowadzoną z pomocą technologii zbliżeniowej, a więc bez użycia PIN-u odpowiedzialność ponosi bank. Wynika to z przepisów polskiego prawa i jest bardzo korzystne z punktu widzenia klienta. Bezpieczeństwo transakcji bezstykowych jest więc niejako zagwarantowane przez bank wydający kartę

w atrykule pisze: "Aplikacja sczytuje numery kart kredytowych, daty ważności "

On Sat, 23 Jun 2012 02:49:42 -0700 (PDT), Tomek wrote:

Nieprawda. Przez NFC nie jest udostćpniany przede wszystkim CVC. Numeru karty teý
nie widzć na tych screenach. Jedynie NFC ID jest i data waýnoúci - do
niczego nie przydatne.

http://news.yahoo.com/meet-paycardreader-credit-card-stealing-android-app-160502307.html

SC Magazine reports that Thomas Skora, a senior consultant for security
firm Integralis, has created an app that can *´skim card numbers and
[expiration] dates, along with transactions and merchant IDsĄ* using near
field communications technology that is typically used by mobile payment
platforms such as Google Wallet.

CVC nie jest wykorzystywany przy půatnoúciach internetowych. Jeúli chodziůo
Ci o CVC2, to moýna znaleęă miejsca, w których da sić zapůaciă bez jego
podawania.

--
Marcin Mokrzycki
gg:659336  o2:mmokrzycki

W dniu sobota, 23 czerwca 2012 12:19:30 UTC+2 użytkownik Marcin Mokrzycki napisał:

On Sat, 23 Jun 2012 02:49:42 -0700 (PDT), Tomek wrote:

> Nieprawda. > > Przez NFC nie jest udostępniany przede wszystkim CVC. Numeru karty też
> nie widzę na tych screenach. Jedynie NFC ID jest i data ważności - do
> niczego nie przydatne. http://news.yahoo.com/meet-paycardreader-credit-card-stealing-android-app-160502307.html

SC Magazine reports that Thomas Skora, a senior consultant for security
firm Integralis, has created an app that can *"skim card numbers and
[expiration] dates, along with transactions and merchant IDs"* using near
field communications technology that is typically used by mobile payment
platforms such as Google Wallet.

CVC nie jest wykorzystywany przy płatnościach internetowych. Jeśli chodziło
Ci o CVC2, to można znaleźć miejsca, w których da się zapłacić bez jego
podawania.

-- Marcin Mokrzycki
gg:659336  o2:mmokrzycki

Screen z aplikacji nie potwierdza kompletnie treści artykułu (poza datami ważności).

Jeżeli takie dane są w ogóle przesyłane, to na pewno nie w postaci jawnej. Łatwiej byłyby pozyskać CVC2 + numer karty montując kamery w sklepie gdzieś przy czytniku, nagrywającą kartę z obu stron. Albo np. używać "szpiegowskich okularów" z kamerą w rozdzielczości 720p za kilka stówek. Tylko co nam po tych danych, skoro po zrobieniu transakcji namierzą nas w kilka dni...

Na codzień w internecie jesteśmy narażeni na większe zagrożenia fraudami niż zeskanowanie karty zbiżeniowej w realu. Nie ma co się bać nowych technologii, transakcje są dobrze zabezpieczone na różne sposoby. Także pozdrawiam tych z kartami przedziurkowanymi, owiniętymi w folię śniadaniową i portfelem z ołowiu.

On Sat, 23 Jun 2012 04:20:28 -0700 (PDT), Tomek wrote:

Screen z aplikacji nie potwierdza kompletnie treści artykułu (poza
datami ważności).

Wydaje mi się, że pole Kartennr. powinno zawierać numer karty. Zwłaszcza,
że dla MasterCarda wartość pola zaczyna się od 5.

Jeżeli takie dane są w ogóle przesyłane, to na pewno nie w postaci
jawnej.

Opierasz to na czymś więcej niż tylko wierze?

--
Marcin Mokrzycki
gg:659336  o2:mmokrzycki

W dniu sobota, 23 czerwca 2012 13:32:52 UTC+2 użytkownik Marcin Mokrzycki napisał:

On Sat, 23 Jun 2012 04:20:28 -0700 (PDT), Tomek wrote:

> Screen z aplikacji nie potwierdza kompletnie treści artykułu (poza
> datami ważności). Wydaje mi się, że pole Kartennr. powinno zawierać numer karty. Zwłaszcza,
że dla MasterCarda wartość pola zaczyna się od 5.

> Jeżeli takie dane są w ogóle przesyłane, to na pewno nie w postaci
> jawnej. Opierasz to na czymś więcej niż tylko wierze?

-- Marcin Mokrzycki
gg:659336  o2:mmokrzycki

Interesowałem się tym dosyć dawno więc teraz nie przytoczę. Ale wystarczy popatrzeć na użyte standardy zabezpieczeń wymienione m.in. tutaj:

http://en.wikipedia.org/wiki/Near_field_communication

lub pokazane na slajdach (tutaj jest dla wersji 1, z tego co opisuje wiki jest już wersja 2)

http://docbox.etsi.org/workshop/2009/200901_SECURITYWORKSHOP/NXP_MEINDL_NFCIP1SecurityStandardProtectsNearFieldCommunication.pdf

PS Pole o którym mówisz jest na pewno za krótkie żeby to był numer karty.

PS2 Także na prawdę nie widze powodu do traktowania kart z paypassem jako prób wyłudzeń. Z resztą czy komukolwiek opłaca się kraść po 50zł na transakcji? Za pomocą paypassa można co najwyżej kupić dobra, pieniędzy nie zobaczymy. Lepiej na aukcji wystawić telefon za 2000zł i go nie wysłać (lewe konto, dane). Oszczędzamy sobie pokazywania siebie w sklepie 40 razy przy zakupach po 50zł...

W dniu sobota, 23 czerwca 2012 13:32:52 UTC+2 użytkownik Marcin Mokrzycki napisał:

On Sat, 23 Jun 2012 04:20:28 -0700 (PDT), Tomek wrote:

> Screen z aplikacji nie potwierdza kompletnie treści artykułu (poza
> datami ważności). Wydaje mi się, że pole Kartennr. powinno zawierać numer karty. Zwłaszcza,
że dla MasterCarda wartość pola zaczyna się od 5.

> Jeżeli takie dane są w ogóle przesyłane, to na pewno nie w postaci
> jawnej. Opierasz to na czymś więcej niż tylko wierze?

-- Marcin Mokrzycki
gg:659336  o2:mmokrzycki

A jeżeli interesują cię dokładniejsze dane to odsyłam:

http://www.nfc-forum.org/specs/spec_license

Data Exchange Format Technical Specification
 NFC Data Exchange Format (NDEF) Technical Specification  NFC Simple NDEF Exchange Protocol Specification

Te rzeczy są opracowywane przez lata, wdrażane są najlepsze zabezpieczenia i na pewno skan telefonem nie daje nam możliwości fraudu. Co do Google Wallet to powiązany jest on niejako z citibankiem z tego co pamiętam, więc też tak zeskanowaną zwykłą paypassówka nie będzie dało się zapłacić.

mam w portfelu przekładki z folii aluminiowej więc żadne psuedo wynalazki są
mi obce.
raz nawet naciąłem kartę poniżej paska i paypass nie działa :)
a NFC w telefonie, musi mieć wyłącznik...

--

b1op.SKASUJ@gazeta.pl napisał(a) :

mam w portfelu przekładki z folii aluminiowej więc żadne psuedo wynalazki są
mi obce.

Zacytuję siebie z 24 stycznia:

Oj, żebyś się zając nie zdziwił.
Wkleiłem w obie okładki portfela folię aluminiową. W środku karta
z RFID. I zdziwko mnie dopadło, jak czytnik zaskoczył. Z bliska,
ale zaskoczył. Trzeba by mieć osłonę bezpośrednio na samą kartę.
Okładki nic nie dają.

--
Pozdrawiam
    Zbyszek
PGP key: 0xC62E926B

Zbynek Ltd. <sp2scf.spamstoper@poczta.onet.pl> napisał(a):

b1op.SKASUJ@gazeta.pl napisał(a) :
> mam w portfelu przekładki z folii aluminiowej więc żadne psuedo wynalazki są
> mi obce.

Zacytuję siebie z 24 stycznia:

Oj, żebyś się zając nie zdziwił.
Wkleiłem w obie okładki portfela folię aluminiową. W środku karta
z RFID. I zdziwko mnie dopadło, jak czytnik zaskoczył. Z bliska,
ale zaskoczył. Trzeba by mieć osłonę bezpośrednio na samą kartę.
Okładki nic nie dają.

Portfel ma wszyte w zewnętrzne powłoki folię aluminiową, a dodatkowo kieszonki
na karty mają wszyte ekranowanie. Nie da rady zapłacić kartą zbliżeniowo.

--

On 23 Cze, 11:49, Tomek <tomr...@gmail.com> wrote:

Przez NFC nie jest udostępniany przede wszystkim CVC. Numeru karty też nie widzę na tych screenach. Jedynie NFC ID jest i data ważności - do niczego nie przydatne.

Cyt. "Aplikacja sczytuje numery kart kredytowych, daty ważności
łącznie z identyfikatorami merchanga i transakcji". Nawet MC swego
czasu przyznał, że nr karty w zbliżeniówkach przechwycić można.

Siejecie panikę tylko.

Wybacz, ale sobie doczytaj na niebezpieczniku dodatkowe artykuły,
które pokazują skuteczny sposób fraudu kart zbliżeniowych.
Opowieści o najlepszych zabezpieczenia tworzonych przez lata to można
sobie w ramach rozrywki opowiadać. Cytujesz marketolenie MC czy Visty
biorąc je za pewnik. Trochę dystansu.

Poza tym za każdą transakcję przeprowadzoną z pomocą technologii zbliżeniowej, a więc bez użycia PIN-u odpowiedzialność ponosi bank.

Jest to nieprawda. Do momentu zastrzeżenia karty ponosisz
odpowiedzialność do kwoty 150 euro (czyli na zasadach ogólnych
dotyczących kart).

W dniu sobota, 23 czerwca 2012 21:49:57 UTC+2 użytkownik Clegan napisał:

On 23 Cze, 11:49, Tomek <tomr...@gmail.com> wrote:

> Przez NFC nie jest udostępniany przede wszystkim CVC. Numeru karty też nie widzę na tych screenach. Jedynie NFC ID jest i data ważności - do niczego nie przydatne.
Cyt. "Aplikacja sczytuje numery kart kredytowych, daty ważności
łącznie z identyfikatorami merchanga i transakcji". Nawet MC swego
czasu przyznał, że nr karty w zbliżeniówkach przechwycić można.

> Siejecie panikę tylko.
Wybacz, ale sobie doczytaj na niebezpieczniku dodatkowe artykuły,
które pokazują skuteczny sposób fraudu kart zbliżeniowych.
Opowieści o najlepszych zabezpieczenia tworzonych przez lata to można
sobie w ramach rozrywki opowiadać. Cytujesz marketolenie MC czy Visty
biorąc je za pewnik. Trochę dystansu.

> Poza tym za każdą transakcję przeprowadzoną z pomocą technologii zbliżeniowej, a więc bez użycia PIN-u odpowiedzialność ponosi bank.
Jest to nieprawda. Do momentu zastrzeżenia karty ponosisz
odpowiedzialność do kwoty 150 euro (czyli na zasadach ogólnych
dotyczących kart).

Chętnie poczytam gdzie MC przyznał, że podczas transmisji numer karty jest przesyłany JAWNIE. Co najwyżej przesyłanych jest kilka dat i numerków pozwalających zidentyfikować kartę, lub numer zaszyfrowany.

Polecam przeczytać i obejrzeć:
http://www.dailyfinance.com/2011/02/08/rfid-skimmer-could-steal-your-credit-card-number-while-its-stil/

W tytule wielkimi "STEAL YOUR CREDIT CARD NUMBER". W artykule nigdzie nie jest napisane nawet, że można ukraść cały numer karty. Wspomiane jest tylko o datach ważności, i mniej istotnych danych. Na filmiku nawet nie pokazane w real-time czy te numery są zeskanowane czy koleś zrobił to w paincie. Na ulicy też mówi im bank i datę ważności. Druga sprawa można podstawić za $ takich ludzi. Tak na prawdę cały artykuł to tylko REKLAMA PORTFELA...

Na prawdę uważasz, że zeskanowanie paypassa to gratka dla poważnych "graczy"?? Czy ktokolwiek o zdrowych zmysłach będzie bawił się w zakupy po 50zł i zostanie wielkim skimmerem milionerem?

Coraz bardziej widzę, że dla niektórych grupowiczów idealna karta to:
1. potraktowana magnesem żeby zabić pasek
2. dziurkacz dla zabicia bezstykowości
3. papier ścierny do zatarcia numerów (numery wkuwamy na pamięć)
4. zamknięcie na kłódkę kodową w miejscu po dziurkaczu
6. kod kłódki zmieniamy po każdej transakcji (tak samo jak PIN)
7. karta kodów do kłódki (oczywiście zaszyfrowana)
8. ołowiany portfel

Dodatkowo pieniądze przelewane na rachunek karty dopiero przed samymi zakupami.

Współczuję trochę ciągłego życia w strachu przed zeskanowaniem karty, kiedy tak jak wspomniał MarcinF wszystko jest na karcie. Rozumiem, że kart płatniczych używacie tak aby nikt nigdy nie zauważy ich numerów. Z tymi danymi można robić transakcje na duże pieniądze, a nie w spożywczaku po 50zł.

On 24 Cze, 01:17, Tomek <tomr...@gmail.com> wrote:

Chętnie poczytam gdzie MC przyznał, że podczas transmisji numer karty jest przesyłany JAWNIE.

Za http://samcik.blox.pl/2012/01/MasterCard-oskarza-o-klamstwo-tych-ktorzy-strasza.html
cytat z oświadczenia MC: "Jedyne co można przechwycić to datę ważności
i numer karty."
Widzę, że skoro ktoś wskazuje na niebezpieczeństwa w technologii
zbliżeniowej to od razu zaczynasz mu przypisywać jakieś skrajności.
Jest to bardzo specyficzny sposób dyskusji.

Do wszystkiego należy podchodzić z rozsądkiem - bzdurą jest szerzenie
apokaliptycznych wizji złodziei kradnących masowo dane z kart, ja
jeszcze większą bzdurą jest opowiadanie o niesamowitych systemach
zabezpieczeń stosowanych przez banki i organizacje płatnicze.


Przy okazji: http://www.youtube.com/watch?v=wdDsukmgwsk
Jak widać technologia jest tak bezpieczna, ze lepiej o tym nie mówić
bo zaraz prawnicy się na człowieka rzucą :-)

W dniu niedziela, 24 czerwca 2012 18:52:35 UTC+2 użytkownik Clegan napisał:

On 24 Cze, 01:17, Tomek <tomr...@gmail.com> wrote:

> Chętnie poczytam gdzie MC przyznał, że podczas transmisji numer karty jest przesyłany JAWNIE.
Za http://samcik.blox.pl/2012/01/MasterCard-oskarza-o-klamstwo-tych-ktorzy-strasza.html
cytat z oświadczenia MC: "Jedyne co można przechwycić to datę ważności
i numer karty."
Widzę, że skoro ktoś wskazuje na niebezpieczeństwa w technologii
zbliżeniowej to od razu zaczynasz mu przypisywać jakieś skrajności.
Jest to bardzo specyficzny sposób dyskusji.

Do wszystkiego należy podchodzić z rozsądkiem - bzdurą jest szerzenie
apokaliptycznych wizji złodziei kradnących masowo dane z kart, ja
jeszcze większą bzdurą jest opowiadanie o niesamowitych systemach
zabezpieczeń stosowanych przez banki i organizacje płatnicze.


Przy okazji: http://www.youtube.com/watch?v=wdDsukmgwsk
Jak widać technologia jest tak bezpieczna, ze lepiej o tym nie mówić
bo zaraz prawnicy się na człowieka rzucą :-)

Proszę cię, tak wybiórczo traktujesz te artykuły. Trochę niżej jest wyraźnie napisane o co chodzi z numerem karty:

"Jeśli zbliżam kartę bezstykową do czytnika zainstalowanego w sklepie, to terminal podpięty do czytnika automatycznie generuje, a czytnik wysyła do karty, pewien numeryczny kod. Czip na karcie przyjmuje kod i na podstawie zdefiniowanego wcześniej algorytmu wykonuje kilka obliczeń (wykorzystuje do nich kod przesłany z czytnika, numer karty i licznik transakcji). Trzy ostatnie cyfry otrzymanej liczby czip karty odsyła do czytnika sklepowego. Jeśli wszystko się zgadza, transakcja jest zatwierdzana"

Ewidentnie widać tutaj zastosowanie modelu challenge-response, nic natomiast nie jest wspomniane o przesyłaniu numeru karty. Przyznaje nawet jeżeli ten nieszczęsny numer karty jest przesyłany jawnie to CO Z NIM ZROBISZ? Codziennie sprzedawca ma go na paragonie, kasjer widzi na oczy imię nazwisko, CVC2, datę i numer karty (nie musi zapamiętywać ma na paragonie).

Czekam na filmiki z okradania ludzi klonowanym paypassem.

On 24 Cze, 23:33, Tomek <tomr...@gmail.com> wrote:

Ewidentnie widać tutaj zastosowanie modelu challenge-response, nic natomiast nie jest wspomniane o przesyłaniu numeru karty.

Znaczy się sami sobie zaprzeczają ?
Oczywiście ta aplikacja do odczytywania to jest ściema i nikt - poza
tobą - tego nie wykrył ? Na obrazku masz Kartennr - to zapewne nie
jest nr karty bo ty tak stwierdziłeś ? :-))

Czekam na filmiki z okradania ludzi klonowanym paypassem.

O fraudzie ze zbliżeniówkami było.
Technologia nie jest w 100% bezpieczna. I ta teza nie jest budowana na
podstawie zapewnień organizacji płatniczych, bo te można traktować z
b.dużą dozą sceptycyzmu.

Tomek <tomrozb@gmail.com> writes:

"Jeśli zbliżam kartę bezstykową do czytnika zainstalowanego w sklepie,
to terminal podpięty do czytnika automatycznie generuje, a czytnik
wysyła do karty, pewien numeryczny kod. Czip na karcie przyjmuje kod i
na podstawie zdefiniowanego wcześniej algorytmu wykonuje kilka
obliczeń (wykorzystuje do nich kod przesłany z czytnika, numer karty i
licznik transakcji). Trzy ostatnie cyfry otrzymanej liczby czip karty
odsyła do czytnika sklepowego. Jeśli wszystko się zgadza, transakcja
jest zatwierdzana"

Ewidentnie widać tutaj zastosowanie modelu challenge-response, nic
natomiast nie jest wspomniane o przesyłaniu numeru karty.

Tzn. wierzysz że można obciążyć kartę nie znając jej numeru? 3 cyfry
(jakie by nie były) mają wystarczyć?

No nie wiem :-)

Chyba że miałbyś tych kart nie więcej niż 1000, to wtedy teoretycznie...
--
Krzysztof Halasa

Krzysztof Halasa napisał(a) :

Tomek <tomrozb@gmail.com> writes:

"Jeśli zbliżam kartę bezstykową do czytnika zainstalowanego w sklepie,
to terminal podpięty do czytnika automatycznie generuje, a czytnik
wysyła do karty, pewien numeryczny kod. Czip na karcie przyjmuje kod i
na podstawie zdefiniowanego wcześniej algorytmu wykonuje kilka
obliczeń (wykorzystuje do nich kod przesłany z czytnika, numer karty i
licznik transakcji). Trzy ostatnie cyfry otrzymanej liczby czip karty
odsyła do czytnika sklepowego. Jeśli wszystko się zgadza, transakcja
jest zatwierdzana"

Ewidentnie widać tutaj zastosowanie modelu challenge-response, nic
natomiast nie jest wspomniane o przesyłaniu numeru karty.

Tzn. wierzysz że można obciążyć kartę nie znając jej numeru? 3 cyfry
(jakie by nie były) mają wystarczyć?

wot tiechnika ;-)

--
Pozdrawiam
    Zbyszek
PGP key: 0x5351FDE3

[Człowiek zaczyna używać dopiero wtedy rozumu, gdy kończą mu się wszystkie możliwości.]

W dniu 23.06.2012 o 21:49 Clegan <cleghan@gmail.com> pisze:

Jest to nieprawda. Do momentu zastrzeżenia karty ponosisz
odpowiedzialność do kwoty 150 euro (czyli na zasadach ogólnych
dotyczących kart).

Ja mi sie wydaje, ze UEIP nie wien nawet co to platnosc zblizeniowa,  moglbys zacytowac jakie warunki musza byc spelnione aby obciazyc klienta?

MK

przecież tu nie chodzi o 50zł, jak ktoś przejdzie po autobusie to bedzie mial kilkanascie numerow kart, a sam numer karty juz wystarczy by zrobic zakupy w internecie rowniez na wyzsze kwoty niz 50zl

pytanie czy mozna ten nr odczytac czy nie

W dniu niedziela, 24 czerwca 2012 10:58:26 UTC+2 użytkownik disnej napisał:

przecież tu nie chodzi o 50zł, jak ktoś przejdzie po autobusie to bedzie mial kilkanascie numerow kart, a sam numer karty juz wystarczy by zrobic zakupy w internecie rowniez na wyzsze kwoty niz 50zl

pytanie czy mozna ten nr odczytac czy nie

Proszę o linki gdzie zrobię zakupy z samym numerem karty - pytam z ciekawości bo się nie spotkałem

Proszę o linki gdzie zrobię zakupy z samym numerem karty - pytam z ciekawości bo się nie spotkałem

Odsyłam do archiwum, temat "Pełny numer karty kredytowej na wydruku z kasy", google znajduje po temacie.

W dniu niedziela, 24 czerwca 2012 16:13:37 UTC+2 użytkownik disnej napisał:

> Proszę o linki gdzie zrobię zakupy z samym numerem karty - pytam z ciekawości bo się nie spotkałem

Odsyłam do archiwum, temat "Pełny numer karty kredytowej na wydruku z kasy", google znajduje po temacie.

Z tego co wyczytałem zapłacić można przez telefon lub amazon.com.

1. Gdzie można zapłacić przez telefon?
2. Z amazonem to nieprawna - oni nie wymagają CVC2, ale płatność i tak nie przejdzie JEŻELI BANK TO SPRAWDZA. Kupowałem kiedyś coś i tam nie ma miejsca na wpisanie CVC2, nie mogłem zapłacić żadną z posiadanych kart. Kupił mi dopiero kumpel który miał "kartę wirtualną"

Druga sprawa to okazuje się, że sprzedawcy mają na paragonach pełne numery kart, daty ważności itp. Skoro tak, to bardziej prawdopodobne jest, że taki przestępca po prostu kupi sobie kopie tych paragonów, niż będzie chodził po mieście i macał ludzi czytnikiem. Boicie sie wyimaginowanych sposób kradzieży danych kart, a codziennie rozdajecie PEŁNE dane w sklepach... Skoro jest taka nagonka na ochronę danych, to czekam na odpowiedź na jedno ważne pytanie:
Macie PEŁNE dane karty (a nie jakieś ochłapy zeskanowane z paypassa) jesteście złodziejami i co z nimi robicie? Nie ma możliwości ich sprzedaży, macie dokonać transakcji.
Czekam na odpowiedzi.

Tomek <tomrozb@gmail.com> writes:

1. Gdzie można zapłacić przez telefon?

W wielu miejscach, np. często tam, gdzie można zapłacić w Internecie
(ale np. ktoś woli zamówić coś telefonicznie).

2. Z amazonem to nieprawna - oni nie wymagają CVC2, ale płatność i tak
nie przejdzie JEĹťELI BANK TO SPRAWDZA.

Jeśli bank zobaczy wadliwy CVC2, to rzeczywiście może odrzucić taką
autoryzację. Ale jeśli w ogóle nie będzie CVC2? Który bank to odrzuci?

Kupowałem kiedyś coś i tam nie
ma miejsca na wpisanie CVC2, nie mogłem zapłacić żadną z posiadanych
kart. Kupił mi dopiero kumpel który miał "kartę wirtualną"

Pewnie terminal udawał zwykłą transakcje z obecnością karty, a karty
były płaskie i nie lubiły "card present keyed-in".

Druga sprawa to okazuje się, że sprzedawcy mają na paragonach pełne
numery kart, daty ważności itp. Skoro tak, to bardziej prawdopodobne
jest, że taki przestępca po prostu kupi sobie kopie tych paragonów,
niż będzie chodził po mieście i macał ludzi czytnikiem.

DuĹźo bardziej ryzykowne, poza tym jest teĹź bardzo duĹźe ryzyko dla
takiego "sprzedawcy paragonów" - wszystkie ślady będą prowadzić do
niego. Bez sensu.

Natomiast taki bezprzewodowy odczyt praktycznie nie niesie ze sobą
Ĺźadnego ryzyka.
--
Krzysztof Halasa

W dniu niedziela, 24 czerwca 2012 16:13:37 UTC+2 użytkownik disnej napisał:

> Proszę o linki gdzie zrobię zakupy z samym numerem karty - pytam z ciekawości bo się nie spotkałem

Odsyłam do archiwum, temat "Pełny numer karty kredytowej na wydruku z kasy", google znajduje po temacie.

Moge podać pełny nr jednej z moich kart- MC debit- chce ktoś?
Co z nim zrobi?
Nic

Kris <kszysztofc@gmail.com> writes:

Moge podać pełny nr jednej z moich kart- MC debit- chce ktoś?
Co z nim zrobi?
Nic

Np. podeśle bankowi link do postu z numerem, będzie jak znalazł
w czasie reklamacji.
--
Krzysztof Halasa

W dniu środa, 27 czerwca 2012 23:03:52 UTC+2 użytkownik Krzysztof Halasa napisał:

Kris <kszysztofc@gmail.com> writes:

> Moge podać pełny nr jednej z moich kart- MC debit- chce ktoś?
> Co z nim zrobi?
> Nic

Np. podeśle bankowi link do postu z numerem, będzie jak znalazł
w czasie reklamacji.

Jakiej reklamacji?
Żeby była reklamacja musi być najpierw np jakaś płatność którą bym reklamował.
Do czego przydadzą sie komukolwiek takie np cyfry:
5234 9876 3456 0034?

W dniu sobota, 23 czerwca 2012 11:49:42 UTC+2 użytkownik Tomek napisał:

Polecam przecztać:
Każdy terminal i czytnik kart zbliżeniowych musi posiadać autoryzację, nie ma więc możliwości podpięcia się do transakcji w sposób nielegalny za pomocą pirackiego urządzenia. Pomiędzy chipem, a czytnikiem nie są przesyłane dane dotyczące posiadacza, PIN karty, czy szczegóły dotyczące transakcji, a jedynie ciągi zaszyfrowanych cyfr. Poza tym za każdą transakcję przeprowadzoną z pomocą technologii zbliżeniowej, a więc bez użycia PIN-u odpowiedzialność ponosi bank. Wynika to z przepisów polskiego prawa i jest bardzo korzystne z punktu widzenia klienta. Bezpieczeństwo transakcji bezstykowych jest więc niejako zagwarantowane przez bank wydający kartę

Jednak regulaminy wielu bankow mowia inaczej. Mamy limity typu 100zl np. w Citi.

co z przypadkiem gdy ktos zbuduje 'most posredniczacy' pomiedzy wlascicielem karty platniczej a urzadzeniem w rekach zlodzieja ktory przeprowadza transakcje w niczego nieswiadomym sklepie? Trudne do wykonania ale nie niemozliwe?

W dniu 2012-06-24 11:39, Krzysiek pisze:

co z przypadkiem gdy ktos zbuduje 'most posredniczacy' pomiedzy wlascicielem karty platniczej a urzadzeniem w rekach zlodzieja ktory przeprowadza transakcje w niczego nieswiadomym sklepie? Trudne do wykonania ale nie niemozliwe?

Podziwiam fantazję, ale naprawdę nikt nie wymyśla wydumanych sposobów, żeby ukraść 100 czy 200zł. Dla takiej kwoty to się podchodzi do pacjenta i pyta się czy chce w ryja. Więc takie zastanawianie się to dyskusja czysto akademicka.

--
Raf

W dniu niedziela, 24 czerwca 2012 13:25:15 UTC+2 użytkownik Rafał napisał:

Podziwiam fantazję, ale naprawdę nikt nie wymyśla wydumanych sposobów, żeby ukraść 100 czy 200zł.

do czasu az ktos opracuje metode by zastosowac zjawisko skali.
(np.nie da się pobic/okrasc wszystkich a autobusie, ale jesli wszyscy maja karte platnicza....)

W dniu 2012-06-24 11:39, Krzysiek pisze:

co z przypadkiem gdy ktos zbuduje 'most posredniczacy' pomiedzy wlascicielem karty platniczej a urzadzeniem w rekach zlodzieja ktory przeprowadza transakcje w niczego nieswiadomym sklepie? Trudne do wykonania ale nie niemozliwe?

Wydaje mi się że trudno to zastosować na masową skalę, metoda wymaga
odczytania karty w tym samym czasie co transakcja, a większość miejsc
gdzie można odczytać kartę w każdej chwili (markety, dworce, itp) jest monitorowana.

W dniu 2012-06-24 19:37, MarcinF pisze:

W dniu 2012-06-24 11:39, Krzysiek pisze:

co z przypadkiem gdy ktos zbuduje 'most posredniczacy' pomiedzy
wlascicielem karty platniczej a urzadzeniem w rekach zlodzieja ktory
przeprowadza transakcje w niczego nieswiadomym sklepie? Trudne do
wykonania ale nie niemozliwe?

Wydaje mi się że trudno to zastosować na masową skalę, metoda wymaga
odczytania karty w tym samym czasie co transakcja, a większość miejsc
gdzie można odczytać kartę w każdej chwili (markety, dworce, itp) jest
monitorowana.

I co z tego, mało to słupów ma firmy o których nawet nie wiedzą, tylko co miesiąc podpisują papierki i dostają za to kilkaset zł?

MarcinF <marfi@interia.pl> wrote on 2012-06-24_19:37

W dniu 2012-06-24 11:39, Krzysiek pisze:

co z przypadkiem gdy ktos zbuduje 'most posredniczacy' pomiedzy
wlascicielem karty platniczej a urzadzeniem w rekach zlodzieja
ktory przeprowadza transakcje w niczego nieswiadomym sklepie?
Trudne do wykonania ale nie niemozliwe?

Wydaje mi się że trudno to zastosować na masową skalę, metoda wymaga
odczytania karty w tym samym czasie co transakcja, a większość miejsc
gdzie można odczytać kartę w każdej chwili (markety, dworce, itp)
jest monitorowana.

A policja ochoczo zajmie się przeglądaniem rejestratów z kilku
dni, aby znaleźć powtarzające się gęby podejrzane o kradzież 50
zł? :-))))

witrak()

Krzysiek <kl1@o2.pl> writes:

co z przypadkiem gdy ktos zbuduje 'most posredniczacy' pomiedzy
wlascicielem karty platniczej a urzadzeniem w rekach zlodzieja ktory
przeprowadza transakcje w niczego nieswiadomym sklepie? Trudne do
wykonania ale nie niemozliwe?

A co w tym trudnego?
Trochę ryzykowne.
--
Krzysztof Halasa

W dniu 2012-06-22 23:57, Clegan pisze:

http://niebezpiecznik.pl/post/aplikacja-na-telefon-do-wykradania-danych-ze-zblizeniowych-kart-kredytowych

Kolejne "hackerskie" narzędzie odczytujące "tajne" informacje
wydrukowane na awersie karty. Prościej zrobić zdjęcie karty,
nie trzeba mieć nfc w telefonie i nie trzeba go przykładać tak blisko karty.