Parę lat temu dostałem debetówkę z jakimś pajpasem
ale ponoć było to ryzykowne toteż migiem wydłubałem antenkę
i sobie używałem normalnie. Teraz znów dostałem nową i pytanie,
czy można to już nosić w kieszeni bez strachu, czy zaś trzeba
wydłubać antenkę?

L.

Teraz jest gorzej - ponad połowa ludzi ma telefon z NFC, którym może odczytać z Twojej karty dane umożliwiające dokonanie transakcji.
Z drugiej strony KNF zmusił banki do umożliwienia wyłączenia tej funkcjonalności bez uszkadzania karty.
Poziom strachu każdy ma inny, więc sam oceń.

W dniu czwartek, 5 lipca 2018 21:47:34 UTC+2 użytkownik Dawid Rutkowski napisał:

Poziom strachu każdy ma inny, więc sam oceń.

Ja w zasadzie trzymam toto w grubym portfelu gdzie tkwi cała masa różnego
badziewia, więc pewnie te NFC miałoby problem się przez to przebić :>
Ale tak pytam czy słyszy się o jakiś aferach z tym związanych czy raczej nie.
Ostatnio mi się obiła o uszy sprawa z wrocławskimi biletami MPK które
miały być kupowane dotykowo i takoż sprawdzane, ktoś posiał panikę że
nastąpi wysyp pseudokanarów z czytnikami do okradania kart. Ale jakoś
wątek padł i nie wiem czy ów wysyp nastąpił ;)

L.

W dniu 2018-07-05 o 22:08, Lisciasty pisze:

W dniu czwartek, 5 lipca 2018 21:47:34 UTC+2 użytkownik Dawid Rutkowski napisał:

Poziom strachu każdy ma inny, więc sam oceń.

Ja w zasadzie trzymam toto w grubym portfelu gdzie tkwi cała masa różnego
badziewia, więc pewnie te NFC miałoby problem się przez to przebić :>
Ale tak pytam czy słyszy się o jakiś aferach z tym związanych czy raczej nie.

Poz tymi, co czasem (ale dawniej) widywałem w linkach wskazanych tutaj na grupie osobiście rozmawiałem ze sprzedawczynią w kwiaciarni, która twierdziła, że jak jej wcisnęli kartę zbliżeniową to kiedyś nagle pojawiło jej się na karcie kilka transakcji do 50zł, których na pewno nie robiła. Jej walka z bankiem była bezskuteczna. W związku z tym zrezygnowała z karty i już nigdy nie ma zamiaru używać zbliżeniowych. Ale to też się działo kilka lat temu i jest to zasłyszane od nieznanej osoby.
P.G.

W dniu 2018-07-05 o 21:47, Dawid Rutkowski pisze:

Teraz jest gorzej - ponad połowa ludzi ma telefon z NFC, którym może odczytać z Twojej karty dane umożliwiające dokonanie transakcji.

Dokonanie jakiej transakcji masz na myśli?

W dniu czwartek, 5 lipca 2018 23:48:05 UTC+2 użytkownik MarcinF napisał:

W dniu 2018-07-05 o 21:47, Dawid Rutkowski pisze:
> Teraz jest gorzej - ponad połowa ludzi ma telefon z NFC, którym może odczytać z Twojej karty dane umożliwiające dokonanie transakcji.

Dokonanie jakiej transakcji masz na myśli?

Płatniczej w terminalu za pomocą telefonu, który prześle do terminala dane odczytane telefonem - tym, czy innym i przesłane netem - z czyjejś karty.
Z racji nieznajomości przez złodzieja PIN ryzyko jest do 50zł oraz jednej transakcji dla danej karty.
Taka jest niestety dziura w pikaczu - ktoś nie pomyślał, żeby to był challenge i żeby dane były szyfrowane kluczem z terminala, tylko zrobił prostacko - karta na żądanie terminala (czy też telefonu) wysyła komplet danych potrzebnych do wykonania transakcji - a dopiero potwierdzenie ich przez terminal, które już jest szyfrowane (stąd ryzyko tylko jednej transakcji) powoduje, że chip w karcie generuje kolejny zestaw danych.

W dniu 2018-07-06 o 10:44, Dawid Rutkowski pisze:

Płatniczej w terminalu za pomocą telefonu, który prześle do terminala dane odczytane telefonem - tym, czy innym i przesłane netem - z czyjejś karty.
Z racji nieznajomości przez złodzieja PIN ryzyko jest do 50zł oraz jednej transakcji dla danej karty.
Taka jest niestety dziura w pikaczu - ktoś nie pomyślał, żeby to był challenge i żeby dane były szyfrowane kluczem z terminala, tylko zrobił prostacko - karta na żądanie terminala (czy też telefonu) wysyła komplet danych potrzebnych do wykonania transakcji - a dopiero potwierdzenie ich przez terminal, które już jest szyfrowane (stąd ryzyko tylko jednej transakcji) powoduje, że chip w karcie generuje kolejny zestaw danych.

Nie wiem czy masz rację, czy nie, ale wytłumacz proszę na czym według Ciebie polega tu to ograniczenie do jednej transakcji.

Jeśli zestaw danych z karty wystarcza do potwierdzenia transakcji to można tego zestawu użyć kolejno w wielu terminalach dopóki one nie są online.
P.G.

W dniu piątek, 6 lipca 2018 11:13:33 UTC+2 użytkownik Piotr Gałka napisał:

Nie wiem czy masz rację, czy nie, ale wytłumacz proszę na czym według Ciebie polega tu to ograniczenie do jednej transakcji.

Jeśli zestaw danych z karty wystarcza do potwierdzenia transakcji to można tego zestawu użyć kolejno w wielu terminalach dopóki one nie są online.

Dobra uwaga, ale z innego puntu widzenia.
Złodziej rzeczywiście może zrobić więcej transakcji tymi danymi w terminalach offline, ale z punktu widzenia ew. strat klienta, bank może się upierać, że "prawidłowo autoryzowana" jest tylko jedna z nich. A nawet taka sytuacja jest dla klienta korzystniejsza, bo karta nie ma prawa się tak zachowywać - pomijając oczywiście ew. uszkodzenie, co jednak można zweryfikować, bo klient karty nie stracił i można ją sprawdzić.
Inna sprawa że offline to coraz większa rzadkość - stykowe jeszcze bardziej, ale i pikaczowe. Z kart, które używam, pikaczowo chodzi KK visa platinum citka, choć ma chyba jakieś ograniczenie, po którym zaczyna wymuszać on-line do czasu transakcji z chipa. Zaś żabowa KK world nigdy jeszcze nie poszła mi offline - a niby "prime".

I myślę, że tutaj jest główne zabezpieczenie - poza takimi kuriozami jak te nieszczęsne biletomaty we Wrocławiu.
Bo pomysły były różne - MC od początku szedł na oślep, i ta strategia wygrała, choć visa, jako kupujący technologię, na początku wybrała sobie wg mnie rozsądny podzbiór - czyli pikaczu jedynie bezpinowe do 50zł, a do tego z ograniczeniem do 3 transakcji pod rząd, potem wymuszenie chipu.
Klientów to jednak wkurzało - i musieli dokupić pełnię możliwości.

A od połowy przyszłego roku pikaczu bezpinowe będzie do 100zł :)

Dla mnie pikaczu to ważniejszy wynalazek od samej karty płatniczej - miałem swego czasu porównanie, bo dostałem z eurobanku visę classic bezpikaczową, której trochę używałem, bo trzeba było zrobić 35 transakcji rocznie dla bezpłatności - i wygoda w porównaniu z pikaczową nieporównywalna.
Może to dlatego, że te czytniki czipów takie nieżyciowe - bo z paskiem porównania nie mam (jak miałem pierwszą i być może drugą debetówkę paskową z mBąka to kartą ciężko było jeszcze płacić - bodajże w markecie budowlanym tylko płaciłem, a reszta użyć to bankomat), ale wydaje mi się, że swipe to była fajna rzecz.
Choć to też potrafili niektórzy schrzanić - dla mnie naturalny jest swipe w kierunku do siebie, a np. w pekao dawali takie karty id klienta i przy kasach mieli czytniki - i tak był swipe od siebie, dziki taki.
A tacy Amerykanie przeskoczyli z paska na pikacza - widać, że to mądry naród ;>

W dniu 2018-07-06 o 14:04, Dawid Rutkowski pisze:

W dniu piątek, 6 lipca 2018 11:13:33 UTC+2 użytkownik Piotr Gałka napisał:

Nie wiem czy masz rację, czy nie, ale wytłumacz proszę na czym według
Ciebie polega tu to ograniczenie do jednej transakcji.

Jeśli zestaw danych z karty wystarcza do potwierdzenia transakcji to
można tego zestawu użyć kolejno w wielu terminalach dopóki one nie są
online.

Dobra uwaga, ale z innego puntu widzenia.
Złodziej rzeczywiście może zrobić więcej transakcji tymi danymi w terminalach offline, ale z punktu widzenia ew. strat klienta, bank może się upierać, że "prawidłowo autoryzowana" jest tylko jedna z nich. A nawet taka sytuacja jest dla klienta korzystniejsza, bo karta nie ma prawa się tak zachowywać - pomijając oczywiście ew. uszkodzenie, co jednak można zweryfikować, bo klient karty nie stracił i można ją sprawdzić.
Inna sprawa że offline to coraz większa rzadkość - stykowe jeszcze bardziej, ale i pikaczowe. Z kart, które używam, pikaczowo chodzi KK visa platinum citka, choć ma chyba jakieś ograniczenie, po którym zaczyna wymuszać on-line do czasu transakcji z chipa. Zaś żabowa KK world nigdy jeszcze nie poszła mi offline - a niby "prime".

I myślę, że tutaj jest główne zabezpieczenie - poza takimi kuriozami jak te nieszczęsne biletomaty we Wrocławiu.
Bo pomysły były różne - MC od początku szedł na oślep, i ta strategia wygrała, choć visa, jako kupujący technologię, na początku wybrała sobie wg mnie rozsądny podzbiór - czyli pikaczu jedynie bezpinowe do 50zł, a do tego z ograniczeniem do 3 transakcji pod rząd, potem wymuszenie chipu.
Klientów to jednak wkurzało - i musieli dokupić pełnię możliwości.

A od połowy przyszłego roku pikaczu bezpinowe będzie do 100zł :)

Dla mnie pikaczu to ważniejszy wynalazek od samej karty płatniczej - miałem swego czasu porównanie, bo dostałem z eurobanku visę classic bezpikaczową, której trochę używałem, bo trzeba było zrobić 35 transakcji rocznie dla bezpłatności - i wygoda w porównaniu z pikaczową nieporównywalna.
Może to dlatego, że te czytniki czipów takie nieżyciowe - bo z paskiem porównania nie mam (jak miałem pierwszą i być może drugą debetówkę paskową z mBąka to kartą ciężko było jeszcze płacić - bodajże w markecie budowlanym tylko płaciłem, a reszta użyć to bankomat), ale wydaje mi się, że swipe to była fajna rzecz.
Choć to też potrafili niektórzy schrzanić - dla mnie naturalny jest swipe w kierunku do siebie, a np. w pekao dawali takie karty id klienta i przy kasach mieli czytniki - i tak był swipe od siebie, dziki taki.
A tacy Amerykanie przeskoczyli z paska na pikacza - widać, że to mądry naród ;>

W latach 90-tych robiliśmy system kontroli dostępu na karty paskowe. Do głowy by nam nie przyszło zrobić czytnik który nie odczyta karty jak się ją przesunie w drugą stronę.

W jednym naszym urządzeniu czytnik był umieszczony poziomo (nad nim wyświetlacz z czasem). Koncepcja była taka, że jedno urządzenie bez żadnych guzików pozwala rejestrować i wejścia i wyjścia.
A w którą stronę we a w którą wy, aby się ludziom nie myliło? To proste jak urządzenie powieszone na ścianie to kartę należy przesunąć w tę stronę w którą się idzie.
P.G.

W dniu 2018-07-06 o 10:44, Dawid Rutkowski pisze:

Płatniczej w terminalu za pomocą telefonu, który prześle do terminala dane odczytane telefonem - tym, czy innym i przesłane netem - z czyjejś karty.
Z racji nieznajomości przez złodzieja PIN ryzyko jest do 50zł oraz jednej transakcji dla danej karty.
Taka jest niestety dziura w pikaczu - ktoś nie pomyślał, żeby to był challenge i żeby dane były szyfrowane kluczem z terminala, tylko zrobił prostacko - karta na żądanie terminala (czy też telefonu) wysyła komplet danych potrzebnych do wykonania transakcji - a dopiero potwierdzenie ich przez terminal, które już jest szyfrowane (stąd ryzyko tylko jednej transakcji) powoduje, że chip w karcie generuje kolejny zestaw danych.

Po tym co napisałeś poprzednio wystraszyłem się, że "połowa ludzi" może
okradać posiadaczy kart zbliżeniowych, i bardzo zastanowiło mnie czemu
tak się nie dzieje :)
Teoretyczny atak o którym teraz piszesz jest znany od dawna, ale czy
możesz przytoczyć jakikolwiek potwierdzony przykład?

On 2018-07-05, Dawid Rutkowski <drutkow1@wp.pl> wrote:

Teraz jest gorzej - ponad połowa ludzi ma telefon z NFC, którym może odczytać z Twojej karty dane umożliwiające dokonanie transakcji.

A ktoś policzył prawdopodobnieństwo tej możliwości?
Bo na początku tyle się słyszało o tych skanach kart, pokazywano
raporty jakie to łatwe (oczywiście w warunkach laboratoryjnych i...
cisza). Ale spoko, pewnie są i ludzie którzy mają schrony wybudowane na wypadek
jakby jednak jakiś meteor pierdalnął w planetę i trzeba by było przeżyć
resztę życia pod ziemią. W końcu szansa na to że meteor nas walnie też
jest niezerowa.

PS. Jak ktoś się boi, że mu karty zeskanują, to niech sobie płaci smartfonem z biometryką i problem z głowy. :)

--
Wojciech Bańcer
wojciech.bancer@gmail.com

W dniu piątek, 6 lipca 2018 16:16:55 UTC+2 użytkownik Wojciech Bancer napisał:

On 2018-07-05, Dawid Rutkowski wrote:

> Teraz jest gorzej - ponad połowa ludzi ma telefon z NFC, którym może odczytać z Twojej karty dane umożliwiające dokonanie transakcji.

A ktoś policzył prawdopodobnieństwo tej możliwości?
Bo na początku tyle się słyszało o tych skanach kart, pokazywano
raporty jakie to łatwe (oczywiście w warunkach laboratoryjnych i...
cisza).

Oczywiście, sytuację ratuje to, że karty pikaczowe mają naprawdę mikry zasięg, i tak naprawdę trzeba by kogoś "obszukać" telefonem, jak tym ręcznym wykrywaczem metalu na lotnisku, żeby kartę odczytać. Może w jakimś naprawdę tłoku w autobusie czy japońskim pociągu.
I do takich kart jak płatnicze to chyba nie wystarczy czytnik z mocniejszym polem, bo one chyba naprawdę radiowo nadają, a nie tylko, jak te breloczki unique, więcej albo mniej generowanego pola zjadają.

PS. Jak ktoś się boi, że mu karty zeskanują, to niech sobie płaci smartfonem z biometryką i problem z głowy. :)

O, z tym uważaj, już Zajdej w "Limes inferior" opisał, jak to pomysłowi ludzie biometrię potrafią obejść. Tam oczywiście była ta najniebezpieczniejsza biometria, czyli odcisk palca - ale weź tu edukuj bandytów, że biometria z układu naczyń krwionośnych w palcu działa tylko wtedy, gdy palec jest przytwierdzony do właściciela...

Użytkownik "Wojciech Bancer"  napisał w wiadomości grup dyskusyjnych:slrnpjuuek.273l.wojciech.bancer@pl-test.org...
On 2018-07-05, Dawid Rutkowski <drutkow1@wp.pl> wrote:

Teraz jest gorzej - ponad połowa ludzi ma telefon z NFC, którym może odczytać z Twojej karty dane umożliwiające dokonanie transakcji.

A ktoś policzył prawdopodobnieństwo tej możliwości?
Bo na początku tyle się słyszało o tych skanach kart, pokazywano
raporty jakie to łatwe (oczywiście w warunkach laboratoryjnych i...
cisza).

Ale w jakim sensie pr-stwo ?

Jesli 1000 studentow w kraju kupuje dziennie po 5 butelek wodki, to istotnie szansa ze padnie na mnie jest znikoma.

PS. Jak ktoś się boi, że mu karty zeskanują, to niech sobie płaci
smartfonem z biometryką i problem z głowy. :)

I to moze byc dobra rada.
Albo foliowa wkladka do portfela

J.

W dniu 2018-07-05 o 21:20, Lisciasty pisze:

Parę lat temu dostałem debetówkę z jakimś pajpasem
ale ponoć było to ryzykowne toteż migiem wydłubałem antenkę
i sobie używałem normalnie. Teraz znów dostałem nową i pytanie,
czy można to już nosić w kieszeni bez strachu, czy zaś trzeba
wydłubać antenkę?

Moim zdaniem jak banki w końcu powłączały zabezpieczenia, które były w kartach od zawsze to użycie kart zbliżeniowych jest w miarę bezpieczne.
P.G.

W dniu piątek, 6 lipca 2018 10:06:05 UTC+2 użytkownik Piotr Gałka napisał:

W dniu 2018-07-05 o 21:20, Lisciasty pisze:
> Parę lat temu dostałem debetówkę z jakimś pajpasem
> ale ponoć było to ryzykowne toteż migiem wydłubałem antenkę
> i sobie używałem normalnie. Teraz znów dostałem nową i pytanie,
> czy można to już nosić w kieszeni bez strachu, czy zaś trzeba
> wydłubać antenkę?
> Moim zdaniem jak banki w końcu powłączały zabezpieczenia, które były w kartach od zawsze to użycie kart zbliżeniowych jest w miarę bezpieczne.
P.G.

O, a jakie to zabezpieczenia, które były wyłączone kiedyś, a teraz działają?

Jedyna rzecz, jaką widziałem, która była wyłączona, a której włączenie było spowodowane pojawieniem się pikaczowych kart płatniczych, to mechanizm unikania kolizji w warszawskich kasownikach i bramkach w metrze - kiedyś nie dało się przyłożyć wizytownika, w którym miało się kartę wiejską oraz pikaczową płatniczą - było czerwone światełko, potem zaczęło działać w większości - choć trafiają się jeszcze takie, w których nie włączyli i albo trzeba kartę wyjąć albo rozłożyć wizytownik.

W dniu 2018-07-06 o 10:39, Dawid Rutkowski pisze:

Moim zdaniem jak banki w końcu powłączały zabezpieczenia, które były w
kartach od zawsze to użycie kart zbliżeniowych jest w miarę bezpieczne.

O, a jakie to zabezpieczenia, które były wyłączone kiedyś, a teraz działają?

Kampania wprowadzająca karty zbliżeniowe opierała się na tym, że płacisz szybko - w reklamie to praktycznie w biegu.

Aby to tak działało (nie wiem tego z autopsji, tylko z tego co się pojawiało w internecie) banki powyłączały np. ograniczniki liczby transakcji bezpinowych. To umożliwiło takie numery, jak kiedyś opisywany, że buchniętą kartą nakupiono chyba w godzinę we Wrocławiu biletów za ponad 2kPLN, a potem bank twierdził, że transakcje były prawidłowo autoryzowane więc nie ma podstaw do reklamacji.

Prawie na pewno to nie jest tak, że tych zabezpieczeń nie było. Były tylko spece od marketingu stwierdzili, że ma być szybko i jeszcze raz szybko.

O ile się orientuję teraz są generalnie włączone, ale czy we wszystkich kartach to nie wiem.

Nie mam dużego doświadczenia w zbliżeniówkach bo tak właściwie to używam dopiero od roku, jak uznałem, że chyba jest w miarę bezpiecznie.
P.G.