Teraz jest gorzej - ponad połowa ludzi ma telefon z NFC, którym może odczytać z Twojej karty dane umożliwiające dokonanie transakcji.
Z drugiej strony KNF zmusił banki do umożliwienia wyłączenia tej funkcjonalności bez uszkadzania karty.
Poziom strachu każdy ma inny, więc sam oceń.

W dniu czwartek, 5 lipca 2018 21:47:34 UTC+2 użytkownik Dawid Rutkowski napisał:

Poziom strachu każdy ma inny, więc sam oceń.

Ja w zasadzie trzymam toto w grubym portfelu gdzie tkwi cała masa różnego
badziewia, więc pewnie te NFC miałoby problem się przez to przebić :>
Ale tak pytam czy słyszy się o jakiś aferach z tym związanych czy raczej nie.
Ostatnio mi się obiła o uszy sprawa z wrocławskimi biletami MPK które
miały być kupowane dotykowo i takoż sprawdzane, ktoś posiał panikę że
nastąpi wysyp pseudokanarów z czytnikami do okradania kart. Ale jakoś
wątek padł i nie wiem czy ów wysyp nastąpił ;)

L.

W dniu 2018-07-05 o 22:08, Lisciasty pisze:

W dniu czwartek, 5 lipca 2018 21:47:34 UTC+2 użytkownik Dawid Rutkowski napisał:

Poziom strachu każdy ma inny, więc sam oceń.

Ja w zasadzie trzymam toto w grubym portfelu gdzie tkwi cała masa różnego
badziewia, więc pewnie te NFC miałoby problem się przez to przebić :>
Ale tak pytam czy słyszy się o jakiś aferach z tym związanych czy raczej nie.

Poz tymi, co czasem (ale dawniej) widywałem w linkach wskazanych tutaj na grupie osobiście rozmawiałem ze sprzedawczynią w kwiaciarni, która twierdziła, że jak jej wcisnęli kartę zbliżeniową to kiedyś nagle pojawiło jej się na karcie kilka transakcji do 50zł, których na pewno nie robiła. Jej walka z bankiem była bezskuteczna. W związku z tym zrezygnowała z karty i już nigdy nie ma zamiaru używać zbliżeniowych. Ale to też się działo kilka lat temu i jest to zasłyszane od nieznanej osoby.
P.G.

W dniu 2018-07-05 o 21:47, Dawid Rutkowski pisze:

Teraz jest gorzej - ponad połowa ludzi ma telefon z NFC, którym może odczytać z Twojej karty dane umożliwiające dokonanie transakcji.

Dokonanie jakiej transakcji masz na myśli?

W dniu czwartek, 5 lipca 2018 23:48:05 UTC+2 użytkownik MarcinF napisał:

W dniu 2018-07-05 o 21:47, Dawid Rutkowski pisze:
> Teraz jest gorzej - ponad połowa ludzi ma telefon z NFC, którym może odczytać z Twojej karty dane umożliwiające dokonanie transakcji.

Dokonanie jakiej transakcji masz na myśli?

Płatniczej w terminalu za pomocą telefonu, który prześle do terminala dane odczytane telefonem - tym, czy innym i przesłane netem - z czyjejś karty.
Z racji nieznajomości przez złodzieja PIN ryzyko jest do 50zł oraz jednej transakcji dla danej karty.
Taka jest niestety dziura w pikaczu - ktoś nie pomyślał, żeby to był challenge i żeby dane były szyfrowane kluczem z terminala, tylko zrobił prostacko - karta na żądanie terminala (czy też telefonu) wysyła komplet danych potrzebnych do wykonania transakcji - a dopiero potwierdzenie ich przez terminal, które już jest szyfrowane (stąd ryzyko tylko jednej transakcji) powoduje, że chip w karcie generuje kolejny zestaw danych.

W dniu 2018-07-06 o 10:44, Dawid Rutkowski pisze:

Płatniczej w terminalu za pomocą telefonu, który prześle do terminala dane odczytane telefonem - tym, czy innym i przesłane netem - z czyjejś karty.
Z racji nieznajomości przez złodzieja PIN ryzyko jest do 50zł oraz jednej transakcji dla danej karty.
Taka jest niestety dziura w pikaczu - ktoś nie pomyślał, żeby to był challenge i żeby dane były szyfrowane kluczem z terminala, tylko zrobił prostacko - karta na żądanie terminala (czy też telefonu) wysyła komplet danych potrzebnych do wykonania transakcji - a dopiero potwierdzenie ich przez terminal, które już jest szyfrowane (stąd ryzyko tylko jednej transakcji) powoduje, że chip w karcie generuje kolejny zestaw danych.

Nie wiem czy masz rację, czy nie, ale wytłumacz proszę na czym według Ciebie polega tu to ograniczenie do jednej transakcji.

Jeśli zestaw danych z karty wystarcza do potwierdzenia transakcji to można tego zestawu użyć kolejno w wielu terminalach dopóki one nie są online.
P.G.

W dniu piątek, 6 lipca 2018 11:13:33 UTC+2 użytkownik Piotr Gałka napisał:

Nie wiem czy masz rację, czy nie, ale wytłumacz proszę na czym według Ciebie polega tu to ograniczenie do jednej transakcji.

Jeśli zestaw danych z karty wystarcza do potwierdzenia transakcji to można tego zestawu użyć kolejno w wielu terminalach dopóki one nie są online.

Dobra uwaga, ale z innego puntu widzenia.
Złodziej rzeczywiście może zrobić więcej transakcji tymi danymi w terminalach offline, ale z punktu widzenia ew. strat klienta, bank może się upierać, że "prawidłowo autoryzowana" jest tylko jedna z nich. A nawet taka sytuacja jest dla klienta korzystniejsza, bo karta nie ma prawa się tak zachowywać - pomijając oczywiście ew. uszkodzenie, co jednak można zweryfikować, bo klient karty nie stracił i można ją sprawdzić.
Inna sprawa że offline to coraz większa rzadkość - stykowe jeszcze bardziej, ale i pikaczowe. Z kart, które używam, pikaczowo chodzi KK visa platinum citka, choć ma chyba jakieś ograniczenie, po którym zaczyna wymuszać on-line do czasu transakcji z chipa. Zaś żabowa KK world nigdy jeszcze nie poszła mi offline - a niby "prime".

I myślę, że tutaj jest główne zabezpieczenie - poza takimi kuriozami jak te nieszczęsne biletomaty we Wrocławiu.
Bo pomysły były różne - MC od początku szedł na oślep, i ta strategia wygrała, choć visa, jako kupujący technologię, na początku wybrała sobie wg mnie rozsądny podzbiór - czyli pikaczu jedynie bezpinowe do 50zł, a do tego z ograniczeniem do 3 transakcji pod rząd, potem wymuszenie chipu.
Klientów to jednak wkurzało - i musieli dokupić pełnię możliwości.

A od połowy przyszłego roku pikaczu bezpinowe będzie do 100zł :)

Dla mnie pikaczu to ważniejszy wynalazek od samej karty płatniczej - miałem swego czasu porównanie, bo dostałem z eurobanku visę classic bezpikaczową, której trochę używałem, bo trzeba było zrobić 35 transakcji rocznie dla bezpłatności - i wygoda w porównaniu z pikaczową nieporównywalna.
Może to dlatego, że te czytniki czipów takie nieżyciowe - bo z paskiem porównania nie mam (jak miałem pierwszą i być może drugą debetówkę paskową z mBąka to kartą ciężko było jeszcze płacić - bodajże w markecie budowlanym tylko płaciłem, a reszta użyć to bankomat), ale wydaje mi się, że swipe to była fajna rzecz.
Choć to też potrafili niektórzy schrzanić - dla mnie naturalny jest swipe w kierunku do siebie, a np. w pekao dawali takie karty id klienta i przy kasach mieli czytniki - i tak był swipe od siebie, dziki taki.
A tacy Amerykanie przeskoczyli z paska na pikacza - widać, że to mądry naród ;>

W dniu 2018-07-06 o 14:04, Dawid Rutkowski pisze:

W dniu piątek, 6 lipca 2018 11:13:33 UTC+2 użytkownik Piotr Gałka napisał:

Nie wiem czy masz rację, czy nie, ale wytłumacz proszę na czym według
Ciebie polega tu to ograniczenie do jednej transakcji.

Jeśli zestaw danych z karty wystarcza do potwierdzenia transakcji to
można tego zestawu użyć kolejno w wielu terminalach dopóki one nie są
online.

Dobra uwaga, ale z innego puntu widzenia.
Złodziej rzeczywiście może zrobić więcej transakcji tymi danymi w terminalach offline, ale z punktu widzenia ew. strat klienta, bank może się upierać, że "prawidłowo autoryzowana" jest tylko jedna z nich. A nawet taka sytuacja jest dla klienta korzystniejsza, bo karta nie ma prawa się tak zachowywać - pomijając oczywiście ew. uszkodzenie, co jednak można zweryfikować, bo klient karty nie stracił i można ją sprawdzić.
Inna sprawa że offline to coraz większa rzadkość - stykowe jeszcze bardziej, ale i pikaczowe. Z kart, które używam, pikaczowo chodzi KK visa platinum citka, choć ma chyba jakieś ograniczenie, po którym zaczyna wymuszać on-line do czasu transakcji z chipa. Zaś żabowa KK world nigdy jeszcze nie poszła mi offline - a niby "prime".

I myślę, że tutaj jest główne zabezpieczenie - poza takimi kuriozami jak te nieszczęsne biletomaty we Wrocławiu.
Bo pomysły były różne - MC od początku szedł na oślep, i ta strategia wygrała, choć visa, jako kupujący technologię, na początku wybrała sobie wg mnie rozsądny podzbiór - czyli pikaczu jedynie bezpinowe do 50zł, a do tego z ograniczeniem do 3 transakcji pod rząd, potem wymuszenie chipu.
Klientów to jednak wkurzało - i musieli dokupić pełnię możliwości.

A od połowy przyszłego roku pikaczu bezpinowe będzie do 100zł :)

Dla mnie pikaczu to ważniejszy wynalazek od samej karty płatniczej - miałem swego czasu porównanie, bo dostałem z eurobanku visę classic bezpikaczową, której trochę używałem, bo trzeba było zrobić 35 transakcji rocznie dla bezpłatności - i wygoda w porównaniu z pikaczową nieporównywalna.
Może to dlatego, że te czytniki czipów takie nieżyciowe - bo z paskiem porównania nie mam (jak miałem pierwszą i być może drugą debetówkę paskową z mBąka to kartą ciężko było jeszcze płacić - bodajże w markecie budowlanym tylko płaciłem, a reszta użyć to bankomat), ale wydaje mi się, że swipe to była fajna rzecz.
Choć to też potrafili niektórzy schrzanić - dla mnie naturalny jest swipe w kierunku do siebie, a np. w pekao dawali takie karty id klienta i przy kasach mieli czytniki - i tak był swipe od siebie, dziki taki.
A tacy Amerykanie przeskoczyli z paska na pikacza - widać, że to mądry naród ;>

W latach 90-tych robiliśmy system kontroli dostępu na karty paskowe. Do głowy by nam nie przyszło zrobić czytnik który nie odczyta karty jak się ją przesunie w drugą stronę.

W jednym naszym urządzeniu czytnik był umieszczony poziomo (nad nim wyświetlacz z czasem). Koncepcja była taka, że jedno urządzenie bez żadnych guzików pozwala rejestrować i wejścia i wyjścia.
A w którą stronę we a w którą wy, aby się ludziom nie myliło? To proste jak urządzenie powieszone na ścianie to kartę należy przesunąć w tę stronę w którą się idzie.
P.G.

W dniu 2018-07-06 o 10:44, Dawid Rutkowski pisze:

Płatniczej w terminalu za pomocą telefonu, który prześle do terminala dane odczytane telefonem - tym, czy innym i przesłane netem - z czyjejś karty.
Z racji nieznajomości przez złodzieja PIN ryzyko jest do 50zł oraz jednej transakcji dla danej karty.
Taka jest niestety dziura w pikaczu - ktoś nie pomyślał, żeby to był challenge i żeby dane były szyfrowane kluczem z terminala, tylko zrobił prostacko - karta na żądanie terminala (czy też telefonu) wysyła komplet danych potrzebnych do wykonania transakcji - a dopiero potwierdzenie ich przez terminal, które już jest szyfrowane (stąd ryzyko tylko jednej transakcji) powoduje, że chip w karcie generuje kolejny zestaw danych.

Po tym co napisałeś poprzednio wystraszyłem się, że "połowa ludzi" może
okradać posiadaczy kart zbliżeniowych, i bardzo zastanowiło mnie czemu
tak się nie dzieje :)
Teoretyczny atak o którym teraz piszesz jest znany od dawna, ale czy
możesz przytoczyć jakikolwiek potwierdzony przykład?

On 2018-07-05, Dawid Rutkowski <drutkow1@wp.pl> wrote:

Teraz jest gorzej - ponad połowa ludzi ma telefon z NFC, którym może odczytać z Twojej karty dane umożliwiające dokonanie transakcji.

A ktoś policzył prawdopodobnieństwo tej możliwości?
Bo na początku tyle się słyszało o tych skanach kart, pokazywano
raporty jakie to łatwe (oczywiście w warunkach laboratoryjnych i...
cisza). Ale spoko, pewnie są i ludzie którzy mają schrony wybudowane na wypadek
jakby jednak jakiś meteor pierdalnął w planetę i trzeba by było przeżyć
resztę życia pod ziemią. W końcu szansa na to że meteor nas walnie też
jest niezerowa.

PS. Jak ktoś się boi, że mu karty zeskanują, to niech sobie płaci smartfonem z biometryką i problem z głowy. :)

--
Wojciech Bańcer
wojciech.bancer@gmail.com

W dniu piątek, 6 lipca 2018 16:16:55 UTC+2 użytkownik Wojciech Bancer napisał:

On 2018-07-05, Dawid Rutkowski wrote:

> Teraz jest gorzej - ponad połowa ludzi ma telefon z NFC, którym może odczytać z Twojej karty dane umożliwiające dokonanie transakcji.

A ktoś policzył prawdopodobnieństwo tej możliwości?
Bo na początku tyle się słyszało o tych skanach kart, pokazywano
raporty jakie to łatwe (oczywiście w warunkach laboratoryjnych i...
cisza).

Oczywiście, sytuację ratuje to, że karty pikaczowe mają naprawdę mikry zasięg, i tak naprawdę trzeba by kogoś "obszukać" telefonem, jak tym ręcznym wykrywaczem metalu na lotnisku, żeby kartę odczytać. Może w jakimś naprawdę tłoku w autobusie czy japońskim pociągu.
I do takich kart jak płatnicze to chyba nie wystarczy czytnik z mocniejszym polem, bo one chyba naprawdę radiowo nadają, a nie tylko, jak te breloczki unique, więcej albo mniej generowanego pola zjadają.

PS. Jak ktoś się boi, że mu karty zeskanują, to niech sobie płaci smartfonem z biometryką i problem z głowy. :)

O, z tym uważaj, już Zajdej w "Limes inferior" opisał, jak to pomysłowi ludzie biometrię potrafią obejść. Tam oczywiście była ta najniebezpieczniejsza biometria, czyli odcisk palca - ale weź tu edukuj bandytów, że biometria z układu naczyń krwionośnych w palcu działa tylko wtedy, gdy palec jest przytwierdzony do właściciela...

Użytkownik "Wojciech Bancer"  napisał w wiadomości grup dyskusyjnych:slrnpjuuek.273l.wojciech.bancer@pl-test.org...
On 2018-07-05, Dawid Rutkowski <drutkow1@wp.pl> wrote:

Teraz jest gorzej - ponad połowa ludzi ma telefon z NFC, którym może odczytać z Twojej karty dane umożliwiające dokonanie transakcji.

A ktoś policzył prawdopodobnieństwo tej możliwości?
Bo na początku tyle się słyszało o tych skanach kart, pokazywano
raporty jakie to łatwe (oczywiście w warunkach laboratoryjnych i...
cisza).

Ale w jakim sensie pr-stwo ?

Jesli 1000 studentow w kraju kupuje dziennie po 5 butelek wodki, to istotnie szansa ze padnie na mnie jest znikoma.

PS. Jak ktoś się boi, że mu karty zeskanują, to niech sobie płaci
smartfonem z biometryką i problem z głowy. :)

I to moze byc dobra rada.
Albo foliowa wkladka do portfela

J.