Ostatnio płaciłem tą kartą przy takowaniu. Wpisałem zły PIN (tylko 3 cyfry) i
anulowałem transakcję czerwonym przyciskiem. Terminal radośnie wypluł
"Transakcja zaakceptowana" i na stacji konsternacja...

Okazało się, że transakcja została jak najbardziej przyjęta, a bank na pytanie
"why, leo?" odpowiada, że "system źle zafunkcjonował, ale już został
naprawiony".

Fajnie :)

Użytkownik  radekp napisał w wiadomości

Ostatnio płaciłem tą kartą przy takowaniu. Wpisałem zły PIN (tylko 3 cyfry) i
anulowałem transakcję czerwonym przyciskiem. Terminal radośnie wypluł
"Transakcja zaakceptowana" i na stacji konsternacja...

Pan sie pomylil trzy razy - wpisal 4 dobre cyfry i nacisnal zielony :-)

Okazało się, że transakcja została jak najbardziej przyjęta, a bank na pytanie
"why, leo?" odpowiada, że "system źle zafunkcjonował, ale już został
naprawiony".
Fajnie :)

Ale kasa wrocila w ramach naprawy ?

A dziwic sie, ze potem ludzie sie boja kart i pomylek systemu :-)


J.

Hmm, co do zwrotu kasy w ramach naprawy, to najpierw trzeba ustalić, czy OP został z tej stacji wypuszczony z benzyną czy też ON w banku i bez dodatkowego płacenia, jedynie na podstawie "transakcja zaakceptowana", czy też musiał zapłacić inną kartą albo biletemi NBP ?

Bo w sumie czyja ta konsternacja była - klienta czy obsługi ?
Tzn. kliencką rozumiem, ale w sprawie tego, że nacisnął, jak nacisnął, a zadziałało inaczej, niż się spodziewał - ale kasjer raczej operacji na pin-padzie nie widzi (a wręcz nie "raczej", a na pewno nie powinien widzieć) !
Chyba że jakaś komunikacja głosowa doszła.

Jeszcze mam jedno podejrzenie - choć to zależy od tego, na jaką sumę było tankowanie - może po naciśnięciu czerwonego anulowała się transakcja stykowa - bez drukowania slipa, a zaraz z automatu terminal znów podjął próbę zapłaty - i może poszło pikaczem - a < 50zł bez PINu idzie ?
Naciągane, ale nie niemożliwe ;>

Mon, 26 Sep 2016 04:02:52 -0700 (PDT), w
<5a13bc71-19d6-4091-879b-8c8b06a9719e@googlegroups.com>, Dawid Rutkowski
<drutkow1@wp.pl> napisał(-a):

Hmm, co do zwrotu kasy w ramach naprawy, to najpierw trzeba ustalić, czy OP został z tej stacji wypuszczony z benzyną czy też ON w banku i bez dodatkowego płacenia, jedynie na podstawie "transakcja zaakceptowana", czy też musiał zapłacić inną kartą albo biletemi NBP ?

Od klienta wzięto jedynie nr telefonu na wszelki wypadek (system pokazał, że
kasa została ściągnięta)

Bo w sumie czyja ta konsternacja była - klienta czy obsługi ?

Obu.

Tzn. kliencką rozumiem, ale w sprawie tego, że nacisnął, jak nacisnął, a zadziałało inaczej, niż się spodziewał - ale kasjer raczej operacji na pin-padzie nie widzi (a wręcz nie "raczej", a na pewno nie powinien widzieć) !
Chyba że jakaś komunikacja głosowa doszła.

Poszła -- że będzie potrzeba jeszcze raz wykonać operację, bo nastąpiła
pomyłka.

Jeszcze mam jedno podejrzenie - choć to zależy od tego, na jaką sumę było tankowanie - może po naciśnięciu czerwonego anulowała się transakcja stykowa - bez drukowania slipa, a zaraz z automatu terminal znów podjął próbę zapłaty - i może poszło pikaczem - a < 50zł bez PINu idzie ?
Naciągane, ale nie niemożliwe ;>

Slip się wydrukował -- proszę obciążyć moje konto, podpis niewymagany, kod
autoryzacji 603283 (1) ( )
Po jego wydrukowaniu nastąpiła konsternacja obu stron.

"radekp@konto.pl" <radekp@konto.pl> writes:

Slip się wydrukował -- proszę obciążyć moje konto, podpis niewymagany, kod
autoryzacji 603283 (1) ( )
Po jego wydrukowaniu nastąpiła konsternacja obu stron.

To tzw. "problem teoretyczny".
Natomiast w przypadku fraudu, problem może mieć bank (i zapewne jego
klient).
--
Krzysztof Hałasa

Mon, 26 Sep 2016 12:51:10 +0200, w
<57e8fdaa$0$15202$65785112@news.neostrada.pl>, "J.F."
<jfox_xnospamx@poczta.onet.pl> napisał(-a):

>Okazało się, że transakcja została jak najbardziej przyjęta, a bank >na pytanie
>"why, leo?" odpowiada, że "system źle zafunkcjonował, ale już został
>naprawiony".
>Fajnie :)

Ale kasa wrocila w ramach naprawy ?

Chyba żartujesz :)

Użytkownik  radekp napisał w wiadomości
Mon, 26 Sep 2016 12:51:10 +0200, w "J.F."

>Okazało się, że transakcja została jak najbardziej przyjęta, a >bank
>na pytanie
>"why, leo?" odpowiada, że "system źle zafunkcjonował, ale już >został
>naprawiony".
>Fajnie :)
Ale kasa wrocila w ramach naprawy ?

Chyba żartujesz :)

A napisales "Reklamacja" ?
Transakcja nieautoryzowana, to IMO nie powinna wyjsc :-)
Tzn nieautoryzowana przez Ciebie, bo bank moze miec inne zdanie co do autoryzacji :-)

A swoja droga - moze niepotrzebnie sie bulwersujemy, i tak ma byc.
Jest proba autoryzacji, a jak sie nie uda, to zarejestruje platnosc off-line i zrealizuje pozniej - w koncu klientowi zalezy, aby paliwo zatankowac i odjechac bez problemow.
I klient jest zadowolony, dopoki mu karty nie ukradna :-)
A wtedy sie bedzie reklamacje rozpatrywalo.

I co mnie tylko zastanawia ... co tam bank zle zrobil, ze "system zle zafunkcjonowal".
Moze wszystkie tak samo zle funkcjonuja ?

J.

W dniu poniedziałek, 26 września 2016 17:09:01 UTC+2 użytkownik J.F. napisał:

Jest proba autoryzacji, a jak sie nie uda, to zarejestruje platnosc off-line i zrealizuje pozniej - w koncu klientowi zalezy, aby paliwo zatankowac i odjechac bez problemow.
I klient jest zadowolony, dopoki mu karty nie ukradna :-)

Eee, tu już coś mocno zmyślasz.
Czy online, czy offline, jeśli karta trafiła do czytnika stykowego, to PIN PRAWIDŁOWY podać trzeba - po to do karty wgrywany jest PIN-offline.

Oczywiście EMV ma znaną dziurę, dzięki której można spowodować, że karta zaakceptuje dowolny PIN i poda wszystkie dane potrzebne do pozytywnej autoryzacji przez bank - mimo, że złodziej prawidłowego PINu nie zna - oczywiście w kasie taki atak nie przejdzie, bo wymaga dodatkowego sprzętu, ale w bankomatach ze skradzionych kart już sporo wypłacono.
Jedynie zastanawia mnie w tym to, że bankomat nie sprawdza podanego PIN z bankiem - czyżby korzystały z PINu offline ?
I może teraz przełączyli wszystkie bankomaty na PIN online, co uniemożliwiło wykorzystanie tej dziury ?

Pewnie, że klientowi zależy na tym, żeby zatankować i odjechać, niezależnie od tego, czy terminal+łącze+bank wszystkie razem działają prawidłowo - ale banki i (może w mniejszej mierze, ale również) akceptanci mają to gdzieś.
Pytałem w obu bankach, w których mam wypukłe kredytówki (tych dwóch innych, które wydały mi wypukłe debetówki, już pytać siły nie miałem), czy w razie awarii terminala można z tej wypukłości (i hologramu jako zabezpieczenia oryginalności karty) skorzystać - nic z tego, banki nie potrafiły podać powodu, dla którego w ogóle wydają wypukłe karty, zaś forma akceptacji zależy wyłącznie od akceptanta - a ci w PL chcą już tylko elektronicznie, jak nie działa to jest problem klienta.

Użytkownik "Dawid Rutkowski"  napisał w wiadomości grup dyskusyjnych:bf49cbc2-9aab-4926-bc18-dd6d43da0c28@googlegroups.com...
W dniu poniedziałek, 26 września 2016 17:09:01 UTC+2 użytkownik J.F. napisał:

Jest proba autoryzacji, a jak sie nie uda, to zarejestruje platnosc
off-line i zrealizuje pozniej - w koncu klientowi zalezy, aby paliwo
zatankowac i odjechac bez problemow.
I klient jest zadowolony, dopoki mu karty nie ukradna :-)

Eee, tu już coś mocno zmyślasz.
Czy online, czy offline, jeśli karta trafiła do czytnika stykowego, to PIN PRAWIDŁOWY podać trzeba - po to do karty wgrywany jest PIN-offline.

No widzisz jak bardzo trzeba podac :-)

Pamietaj, ze ten system sie wywodzi z tego, ze wystarczy znac numer - czy to odbic go na zelazku, czy podyktowac przez telefon - karte sie obciaza, a jak posiadacz zaprotestuje, to sie wtedy bedzie wyjasniac.

Oczywiście EMV ma znaną dziurę, dzięki której można spowodować, że karta zaakceptuje dowolny PIN i poda wszystkie dane potrzebne do pozytywnej >autoryzacji przez bank - mimo, że złodziej prawidłowego PINu nie zna - oczywiście w kasie taki atak nie przejdzie, bo wymaga dodatkowego sprzętu, ale w >bankomatach ze skradzionych kart już sporo wypłacono.

Ale chyba jednak znajac PIN ?

Jedynie zastanawia mnie w tym to, że bankomat nie sprawdza podanego PIN z bankiem - czyżby korzystały z PINu offline ?
I może teraz przełączyli wszystkie bankomaty na PIN online, co uniemożliwiło wykorzystanie tej dziury ?

Hm, bankomaty przez lata musialy sie opierac na pasku magnetycznym, mam nadzieje, ze tam PIN nie zapamietywano.
Czy wraz z nowa technika zrobiono cos nowego ? Troche watpie ..

Pewnie, że klientowi zależy na tym, żeby zatankować i odjechać, niezależnie od tego, czy terminal+łącze+bank wszystkie razem działają prawidłowo - ale >banki i (może w mniejszej mierze, ale również) akceptanci mają to gdzieś.
Pytałem w obu bankach, w których mam wypukłe kredytówki (tych dwóch innych, które wydały mi wypukłe debetówki, już pytać siły nie miałem), czy w razie >awarii terminala można z tej wypukłości (i hologramu jako zabezpieczenia oryginalności karty) skorzystać - nic z tego, banki nie potrafiły podać powodu, dla >którego w ogóle wydają wypukłe karty, zaś forma akceptacji zależy wyłącznie od akceptanta - a ci w PL chcą już tylko elektronicznie, jak nie działa to jest >problem klienta.

A jednoczesnie wystarczy im numer karty przez telefon. Z CVV, albo i bez - pamietasz sprawe z prenumerata ?

Ale moze w Polsce za duzo oszustw, we wszystkie strony, to i akceptant sie zabezpiecza ....

J.

W dniu poniedziałek, 26 września 2016 17:42:45 UTC+2 użytkownik J.F. napisał:

>> Jest proba autoryzacji, a jak sie nie uda, to zarejestruje platnosc
>> off-line i zrealizuje pozniej - w koncu klientowi zalezy, aby >> paliwo
>> zatankowac i odjechac bez problemow.
>> I klient jest zadowolony, dopoki mu karty nie ukradna :-)

>Eee, tu już coś mocno zmyślasz.
>Czy online, czy offline, jeśli karta trafiła do czytnika stykowego, >to PIN PRAWIDŁOWY podać trzeba - po to do karty wgrywany jest >PIN-offline.

No widzisz jak bardzo trzeba podac :-)

Cóż, póki co, to wiemy, że coś jest nie tak z tą historią - albo ze sposobem działania terminalu, albo banku - albo z prawidłowością relacji OP ;>

Hmmm, w sumie można POS ustawić tak, żeby o PIN nie pytał - vide afera z biletomatami we Wrocławiu - także może i teoretycznie jest taka możliwość, że jak jest problem z autoryzacją on-line, to terminal pozwala na off-line i to nawet bez PINu - choć zapewne jest to błąd w konfiguracji.
Ale możliwości konfiguracji jest tak wiele... Np. żonie raz nie poszła z chipa KK db w ikea - pani w kasie na to, żeby się nie przejmować, przeciągnęła z paska - i poszło. Zaintrygowany próbowałem płacić w różnych miejscach z paska, ale zawsze kazało włożyć kartę do czytnika chip - mimo to jednak jest opcja płatności z paska pod pewnymi warunkami.

Pamietaj, ze ten system sie wywodzi z tego, ze wystarczy znac numer - czy to odbic go na zelazku, czy podyktowac przez telefon - karte sie obciaza, a jak posiadacz zaprotestuje, to sie wtedy bedzie wyjasniac.

Może i tak jest, pytanie tylko, czy akceptanci są skłonni ponosić takie ryzyko, bo to ich obciążają fraudy. Wolą więc być zabezpieczeni - stąd rozwój autoryzacji elektronicznej (choć i przed tym mieli możliwość autoryzacji np. przez telefon - długo to trwało, było wkurzające dla klienta - ale wtedy karty to nie była masówka, a może ci bogaci klienci są cierpliwi i mają czas ?).

A do tego masówka zwana np. visa electron czy maestro czy różne lokalne debetówki - które z założenia działają zupełnie odwrotnie, niż napisałeś - czyli jak jest autoryzacja, to płatność idzie, a jak nie, to biedny kliencie nie zawracaj nam głowy.

>Oczywiście EMV ma znaną dziurę, dzięki której można spowodować, że >karta zaakceptuje dowolny PIN i poda wszystkie dane potrzebne do >pozytywnej >autoryzacji przez bank - mimo, że złodziej prawidłowego >PINu nie zna - oczywiście w kasie taki atak nie przejdzie, bo wymaga >dodatkowego sprzętu, ale w >bankomatach ze skradzionych kart już >sporo wypłacono.

Ale chyba jednak znajac PIN ?

Właśnie NIE ZNAJĄC - dlatego jest to dziura.
I dlatego potrzebny jest dodatkowy sprzęt - taki czytnik, w który wkładasz skradzioną kartę, który podłączony jest kabelkiem do takiej "wtyczki" w kształcie karty z chipem, którą do bankomatu wkładasz (coś takiego było w "Terminator 2", tyle że używali Atari Portfolio - jak widać SF przewiduje przyszłość - i wypłacili sobie kasę z bankomatu) - i dlatego kraść dawało się wyłącznie przez bankomaty (możliwe, że można było się zabezpieczyć limitem transakcji gótówkowych ustawionym na 0 - oczywiście jeśli bank na to pozwala).

Bo przecież jak ukradniesz kartę i jednocześnie podejrzysz PIN, to już żadnego dodatkowego sprzętu do wypłaty z bankomatu nie potrzeba - potrzeba tylko tyle, by okradziony się nie zorientował i nie zadzwonił do banku, aby zastrzec kartę.

Hm, bankomaty przez lata musialy sie opierac na pasku magnetycznym, mam nadzieje, ze tam PIN nie zapamietywano.
Czy wraz z nowa technika zrobiono cos nowego ? Troche watpie ..

Jak czytałem o zawartości paska, to tam jest miejsce na dane autoryzacyjne - np. w USA jako taki "PIN" do kredytówki np. na samoobsługowej stacji benzynowej podajesz swój kod pocztowy - i raczej leci to bez łączności z bankiem.
Zaś w chipie pin offline jest na pewno - i wiele się nad tym zastanawiałem, po co jest metoda autoryzacji 1F, gdzie kwota autoryzowana jest on-line, zaś pin off-line - skoro i tak łączność z bankiem jest nawiązana.
I podejrzewam, że ten atak możliwy był z tego powodu, że bankomaty sprawdzają PIN offline - ale może za mało wiem.

A jednoczesnie wystarczy im numer karty przez telefon. Z CVV, albo i bez - pamietasz sprawe z prenumerata ?

Wystarczy tym akceptantom, którzy mają to ryzyko wliczone w model biznesowy - czyli po prostu w cenę - a ceną i tak mogą konkurować, bo mają niższe inne koszty, bo są np. sklepami internetowymi.
I to też nie jest, że wystarczy podać - żaden sklep internetowy nie autoryzuje Ci transakcji off-line - i są kryci, bo jeśli klient karty skradzionej nie zastrzegł, to jest to wina klienta.

Użytkownik "Dawid Rutkowski"  napisał w wiadomości grup

W dniu poniedziałek, 26 września 2016 17:42:45 UTC+2 użytkownik J.F. napisał:

Ale możliwości konfiguracji jest tak wiele... Np. żonie raz nie poszła z chipa KK db w ikea -
pani w kasie na to, żeby się nie przejmować, przeciągnęła z paska - i poszło.
Zaintrygowany próbowałem płacić w różnych miejscach z paska,
ale zawsze kazało włożyć kartę do czytnika chip - mimo to jednak jest opcja płatności z paska pod pewnymi warunkami.

Ciekawe - a przeciez tych akceptantow w Polsce nie ma tak wielu, i terminale u kontrahentow powinni oni konfigurowac ...

Mnie z kolei cos czasem debetowka nie funguje i kaza mi sie podpisac na papierku.
I nie wiem o co chodzi, bo nie zlapalem reguly ...

Pamietaj, ze ten system sie wywodzi z tego, ze wystarczy znac numer -
czy to odbic go na zelazku, czy podyktowac przez telefon - karte sie
obciaza, a jak posiadacz zaprotestuje, to sie wtedy bedzie wyjasniac.

Może i tak jest, pytanie tylko, czy akceptanci są skłonni ponosić takie ryzyko, bo to ich obciążają fraudy. Wolą więc być zabezpieczeni - stąd rozwój
autoryzacji elektronicznej (choć i przed tym mieli możliwość autoryzacji np. przez telefon - długo to trwało,
było wkurzające dla klienta - ale wtedy karty to nie była masówka, a może ci bogaci klienci są cierpliwi i mają czas ?).

W USA dlugo byli sklonni ponosic ryzyko, chyba nawet dzis ciagle sporo jest off-line.

A do tego masówka zwana np. visa electron czy maestro czy różne lokalne debetówki
- które z założenia działają zupełnie odwrotnie, niż napisałeś - czyli jak jest autoryzacja,
to płatność idzie, a jak nie, to biedny kliencie nie zawracaj nam głowy.

Jesli sie nie myle, to wroclawskie biletomaty maja to w d* i wydaja i obciazaja :-)
A i czasem udawalo sie taka przez internet zaplacic.

>Oczywiście EMV ma znaną dziurę, dzięki której można spowodować, że
>karta zaakceptuje dowolny PIN i poda wszystkie dane potrzebne do
>pozytywnej >autoryzacji przez bank - mimo, że złodziej >prawidłowego
>PINu nie zna - oczywiście w kasie taki atak nie przejdzie, bo >wymaga
>dodatkowego sprzętu, ale w >bankomatach ze skradzionych kart już
>sporo wypłacono.

Ale chyba jednak znajac PIN ?

Właśnie NIE ZNAJĄC - dlatego jest to dziura.

A to nie znam.

I dlatego potrzebny jest dodatkowy sprzęt - taki czytnik, w który wkładasz skradzioną kartę,
który podłączony jest kabelkiem do takiej "wtyczki" w kształcie karty z chipem,
którą do bankomatu wkładasz (coś takiego było w "Terminator 2",
tyle że używali Atari Portfolio - jak widać SF przewiduje przyszłość
- i wypłacili sobie kasę z bankomatu)
- i dlatego kraść dawało się wyłącznie przez bankomaty

No wiesz - w sklepie wzbudziloby to zainteresowanie.
Moze na jakiejs samoobslugowej stacji paliwowej..

A teraz wystarczy zblizyc telefon lub inny dowolny przedmiot i nikogo w sklepie to nie dziwi :-)

(możliwe, że można było się zabezpieczyć limitem transakcji gótówkowych ustawionym na 0 - oczywiście jeśli bank na to pozwala).

Bo przecież jak ukradniesz kartę i jednocześnie podejrzysz PIN, to już żadnego dodatkowego sprzętu do wypłaty z bankomatu nie potrzeba
- potrzeba tylko tyle, by okradziony się nie zorientował i nie zadzwonił do banku, aby zastrzec kartę.

Wroclawskim biletomatom zastrzezenie nie przeszkadzalo :-)

Z tym, ze sztuka polegala na tym, aby karty nie krasc.
Dane z paska sie zczyta, PIN podejrzy kamerka, i zrobi duplikat karty.
Z czipowej teoretycznie sie duplikatu zrobic nie da, ale czy aby na pewno ?

Hm, bankomaty przez lata musialy sie opierac na pasku magnetycznym,
mam nadzieje, ze tam PIN nie zapamietywano.
Czy wraz z nowa technika zrobiono cos nowego ? Troche watpie ..

Jak czytałem o zawartości paska, to tam jest miejsce na dane autoryzacyjne
- np. w USA jako taki "PIN" do kredytówki np. na samoobsługowej stacji
benzynowej podajesz swój kod pocztowy - i raczej leci to bez łączności z bankiem.

Tak kompletnie bez lacznosci, to mozna probowac wyprodukowac karte fikcyjna.
No ale na stacji sa kamery, a samochod ma tablice ... choc nie zawsze prawdziwe ...

Zaś w chipie pin offline jest na pewno - i wiele się nad tym zastanawiałem,
po co jest metoda autoryzacji 1F, gdzie kwota autoryzowana
jest on-line, zaś pin off-line - skoro i tak łączność z bankiem jest nawiązana.
I podejrzewam, że ten atak możliwy był z tego powodu,
że bankomaty sprawdzają PIN offline - ale może za mało wiem.

Moze, ale troche to dziwne, ze chcialo im sie cos takiego wymyslac, i akurat do bankomatow wstawiac, ktore i tak maja weryfikacje on-line.

A jednoczesnie wystarczy im numer karty przez telefon. Z CVV, albo i
bez - pamietasz sprawe z prenumerata ?

Wystarczy tym akceptantom, którzy mają to ryzyko wliczone w model biznesowy
- czyli po prostu w cenę - a ceną i tak mogą konkurować,
bo mają niższe inne koszty, bo są np. sklepami internetowymi.

No ale cos takiego tu podejrzewam - online sie nie udalo, to przechodzimy do trybu off-line i wierzymy ze karta dobra.

I to też nie jest, że wystarczy podać - żaden sklep internetowy
nie autoryzuje Ci transakcji off-line - i są kryci,
bo jeśli klient karty skradzionej nie zastrzegł, to jest to wina klienta.

Zapomniales o prenumeracie. Ktos tam uzyl karty, zaplacil, a sprzedawca za pol roku pobral kolejna kwote, zgodnie z umowa zreszta.
Ale pobral - i ciekaw jestem - zapamietal nr karty i CVV, czy do obciazenia wcale mu CVV nie jest potrzebny.
Tak w koncu ten system dzialal przez lata - zadnych autoryzacji, sam numer wystarcza do obciazenia.

J.

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

Ciekawe - a przeciez tych akceptantow w Polsce nie ma tak wielu, i
terminale u kontrahentow powinni oni konfigurowac ...

Terminal zasadniczo powinien być skonfigurowany tak, jak życzy sobie
tego sprzedawca (w sensie np. właściciela sklepu). Np. może to być
jednoosobowy biznes o małym ryzyku, a właściciel chce akceptować
wszystko, co się da, np. także wpisywanie numeru karty bez autoryzacji
banku.

Z tym, ze sztuka polegala na tym, aby karty nie krasc.
Dane z paska sie zczyta, PIN podejrzy kamerka, i zrobi duplikat karty.
Z czipowej teoretycznie sie duplikatu zrobic nie da, ale czy aby na
pewno ?

Są znane ataki na pewne rodzaje kart, można zrobić duplikat.
Podobno takich kart jest już jednak nie tak bardzo dużo, teoretycznie
banki mają wydawać je jako tylko-online, tylko debit itp.

Zapomniales o prenumeracie. Ktos tam uzyl karty, zaplacil, a
sprzedawca za pol roku pobral kolejna kwote, zgodnie z umowa zreszta.
Ale pobral - i ciekaw jestem - zapamietal nr karty i CVV, czy do
obciazenia wcale mu CVV nie jest potrzebny.

Jasne że nie jest.
Natomiast może być przydatny jako obrona przed chargebackiem.
Taka sobie obrona, zresztą.
Inna sprawa, że taką prenumeratę zleca się raz, po co sprzedawca miałby
weryfikować CVV wielokrotnie?
--
Krzysztof Hałasa

Mon, 26 Sep 2016 09:05:09 -0700 (PDT), w
<16eb3a55-66af-43a0-9778-119be4ac6df0@googlegroups.com>, Dawid Rutkowski
<drutkow1@wp.pl> napisał(-a):

Hmmm, w sumie można POS ustawić tak, żeby o PIN nie pytał - vide afera z biletomatami we Wrocławiu - także może i teoretycznie jest taka możliwość, że jak jest problem z autoryzacją on-line, to terminal pozwala na off-line i to nawet bez PINu - choć zapewne jest to błąd w konfiguracji.
Ale możliwości konfiguracji jest tak wiele... Np. żonie raz nie poszła z chipa KK db w ikea - pani w kasie na to, żeby się nie przejmować, przeciągnęła z paska - i poszło. Zaintrygowany próbowałem płacić w różnych miejscach z paska, ale zawsze kazało włożyć kartę do czytnika chip - mimo to jednak jest opcja płatności z paska pod pewnymi warunkami.

A widzisz -- mnie też nie udawało się (zawsze kazano włożyć chipa). Ale raz
terminal wyrzucił "wyjmij kartę i przeciągnij" (w jakimś hipermarkecie tak się
stało) i dopiero wtedy płatność przeszła.

Dawid Rutkowski <drutkow1@wp.pl> writes:

Czy online, czy offline, jeśli karta trafiła do czytnika stykowego, to
PIN PRAWIDŁOWY podać trzeba - po to do karty wgrywany jest
PIN-offline.

Nie do każdej, i nie każdy czytnik sobie z tym radzi.

mimo, że złodziej prawidłowego
PINu nie zna - oczywiście w kasie taki atak nie przejdzie, bo wymaga
dodatkowego sprzętu, ale w bankomatach ze skradzionych kart już sporo
wypłacono.
Jedynie zastanawia mnie w tym to, że bankomat nie sprawdza podanego
PIN z bankiem - czyżby korzystały z PINu offline ?
I może teraz przełączyli wszystkie bankomaty na PIN online, co
uniemożliwiło wykorzystanie tej dziury ?

A były w ogóle bankomaty (całkiem) off-line?
Ze skradzionych (albo raczej sfabrykowanych) kart, to raczej wypłacano
na skradzione PINy. W bankomatach bez czytników EMV.

Pytałem w obu bankach, w których mam wypukłe kredytówki (tych dwóch
innych, które wydały mi wypukłe debetówki, już pytać siły nie miałem),
czy w razie awarii terminala można z tej wypukłości (i hologramu jako
zabezpieczenia oryginalności karty) skorzystać - nic z tego, banki nie
potrafiły podać powodu, dla którego w ogóle wydają wypukłe karty, zaś
forma akceptacji zależy wyłącznie od akceptanta - a ci w PL chcą już
tylko elektronicznie, jak nie działa to jest problem klienta.

Pytanie "pani w okienku" bankowym o takie rzeczy nie ma najmniejszego
sensu.
Oczywiście, to zależy od sklepu - bo to on ryzykuje. Nic nie stoi na
przeszkodzie, by sklep jakoś "odbił" kartę i rozliczył transakcję
w sposób tradycyjny. Kwestia także wysokości prowizji.

Jeśli nie działa terminal, to jest to głównie jednak problem sprzedawcy,
w zwykłym sklepie klient po prostu zostawi wózek z zakupami i pójdzie
sobie (też spora strata), a na stacji benzynowej, jak myślisz, co
zaproponuje? Trzeba go prosić, by zapłacił przelewem czy czymś tam innym.
Inna sprawa, gdy to tylko jego karta nie działa (a nie terminal).
--
Krzysztof Hałasa