Statystyki o fraudach karcianych
http://prnews.pl/przeglad-prasy/przestepstwa-z-uzyciem-kart-platniczych-w-2009-roku-52808.html

Uzytkownik "Tomasz [Bubon]" <tompod@gmail.com> napisal w wiadomosci news:5bfd2620-e495-4c43-9f7a-43584fd34678j4g2000yqh.googlegroups.com...

Statystyki o fraudach karcianych
http://prnews.pl/przeglad-prasy/przestepstwa-z-uzyciem-kart-platniczych-w-2009-roku-52808.html

Nie rozumiem skad w tym opisie teza, ze Paypass (bez pinu) jest takie bezpieczne.
Jestem pewien, ze transmisje mozna podsluchac z odleglosci 1m lub wiecej, a to juz daje jakis punkt zaczepienia, którego nie ma w przypadku kart kontaktowych.
P.G.

On 15 Cze, 10:31, "Piotr Galka" <piotr.ga...@CUTTHISmicromade.pl>
wrote:

Uzytkownik "Tomasz [Bubon]" <tom...@gmail.com> napisal w wiadomoscinews:5bfd2620-e495-4c43-9f7a-43584fd34678j4g2000yqh.googlegroups.com...> Statystyki o fraudach karcianych
>http://prnews.pl/przeglad-prasy/przestepstwa-z-uzyciem-kart-platniczy...

Nie rozumiem skad w tym opisie teza, ze Paypass (bez pinu) jest takie
bezpieczne.
Jestem pewien, ze transmisje mozna podsluchac z odleglosci 1m lub wiecej, a
to juz daje jakis punkt zaczepienia, którego nie ma w przypadku kart
kontaktowych.
P.G.

Z tego, ze w krajach gdzie paypass juz troche funkcjonuje nie
odnotowano przestepczosci zwiazanej z ta technologia. Wynika to z jej
specyfiki - male kwoty, brak mozliwosci pobrania gotowki - a oszustwa
kartowe to w ogromnym % osztustwa gotowkowe (wybieranie gotowki z
bankomatu) lub transakcje bez fizycznego okazania karty (platnosci
internetowe).

Nikt sie nie bawi w podstawianie falszywych terminali i obrot
bezgotowkowy bo to sie po prostu nie oplaca. W przypadku paypass
dochodzi niska kwota transakcji + koniecznosc inwestycji w
technologie.

Zaden gang karciany nie bedzie inwestowal w technologie dla 10 euro od
karty + ryzyko latwej wpadki (bo kase gdzies trzeba przelewac i prac)
jesli zwykle karty mozna skimmowac i golic na wieksze kwoty z
minimalnym ryzykiem wpadki (montujesz skaner w dowolnym miejscu na
swiecie, wysylasz dane kart do innego panstwa, w ustronnym bankomacie
wybierasz kase i z gotowka w reku konczysz operacje).

Gangi tez kombinuja nad ekonomika swoich dzialan. Okradanie paypassa w
zaden sposob sie nie oplaca - mozna to robic (technicznie jest
mozliwe) ale tylko z pobudek politycznych/ideologicznych/naukowych :)

BK pisze:

Nie rozumiem skad w tym opisie teza, ze Paypass (bez pinu) jest takie
bezpieczne.
Jestem pewien, ze transmisje mozna podsluchac z odleglosci 1m lub wiecej, a
to juz daje jakis punkt zaczepienia, ktĂłrego nie ma w przypadku kart
kontaktowych.
P.G.

Z tego, ze w krajach gdzie paypass juz troche funkcjonuje nie
odnotowano przestepczosci zwiazanej z ta technologia. Wynika to z jej
specyfiki - male kwoty, brak mozliwosci pobrania gotowki - a oszustwa
kartowe to w ogromnym % osztustwa gotowkowe (wybieranie gotowki z
bankomatu) lub transakcje bez fizycznego okazania karty (platnosci
internetowe).

Ale czy "podsłuchując" PayPass nie da się odczytać numeru karty? No bo jeśli tak (a sądzę że raczej tak...), to Paypass jest idealny dla przestępców. Kartę można zeskanować nawet nie wyjmując jej ofierze z portfela, a potem to co zwykle - czyli fraud przez internet.

--
MiCHA

On 15 Cze, 11:03, Przemyslaw Kwiatkowski <mi...@micha.waw.pl> wrote:

BK pisze:

>> Nie rozumiem skad w tym opisie teza, ze Paypass (bez pinu) jest takie
>> bezpieczne.
>> Jestem pewien, ze transmisje mozna podsluchac z odleglosci 1m lub wiecej, a
>> to juz daje jakis punkt zaczepienia, którego nie ma w przypadku kart
>> kontaktowych.
>> P.G.

> Z tego, ze w krajach gdzie paypass juz troche funkcjonuje nie
> odnotowano przestepczosci zwiazanej z ta technologia. Wynika to z jej
> specyfiki - male kwoty, brak mozliwosci pobrania gotowki - a oszustwa
> kartowe to w ogromnym % osztustwa gotowkowe (wybieranie gotowki z
> bankomatu) lub transakcje bez fizycznego okazania karty (platnosci
> internetowe).

Ale czy "podsłuchując" PayPass nie da się odczytać numeru karty? No bo
jeśli tak (a sądzę że raczej tak...), to Paypass jest idealny dla
przestępców. Kartę można zeskanować nawet nie wyjmując jej ofierze z
portfela, a potem to co zwykle - czyli fraud przez internet.

--
MiCHA

Szczerze mowiac nie jestem "technikiem" wiec nie wiem ;) Zakladam, ze
poki co nie jest to takie proste skoro jeszcze nikt tego nie zrobil.

Użytkownik "BK" <bkapuscinski@gmail.com> napisał w wiadomości news:6aed6143-5027-4d9e-b383-91258ce6c90au26g2000yqu.googlegroups.com...

Ale czy "podsłuchując" PayPass nie da się odczytać numeru karty? No bo
jeśli tak (a sądzę że raczej tak...), to Paypass jest idealny dla
przestępców. Kartę można zeskanować nawet nie wyjmując jej ofierze z
portfela, a potem to co zwykle - czyli fraud przez internet.

Szczerze mowiac nie jestem "technikiem" wiec nie wiem ;) Zakladam, ze
poki co nie jest to takie proste skoro jeszcze nikt tego nie zrobil.

Nie jest ważne, że jeszcze nikt nie zrobił, ważne jest czy i kiedy będzie to możliwe.
Takie Mifare miały być absolutnie bezpieczne aż tu nagle w 2009 roku:
http://pl.wikipedia.org/wiki/Mifare
patrz "Słabości".
P.G.

On 15 Cze, 12:25, Piotr Gałka <piotr.ga...@CUTTHISmicromade.pl> wrote:

Użytkownik "BK" <bkapuscin...@gmail.com> napisał w wiadomościnews:6aed6143-5027-4d9e-b383-91258ce6c90au26g2000yqu.googlegroups.com...

>> Ale czy "podsłuchując" PayPass nie da się odczytać numeru karty? No bo
>> jeśli tak (a sądzę że raczej tak...), to Paypass jest idealny dla
>> przestępców. Kartę można zeskanować nawet nie wyjmując jej ofierze z
>> portfela, a potem to co zwykle - czyli fraud przez internet.

> Szczerze mowiac nie jestem "technikiem" wiec nie wiem ;) Zakladam, ze
> poki co nie jest to takie proste skoro jeszcze nikt tego nie zrobil.

Nie jest ważne, że jeszcze nikt nie zrobił, ważne jest czy i kiedy będzie to
możliwe.
Takie Mifare miały być absolutnie bezpieczne aż tu nagle w 2009 roku:http://pl.wikipedia.org/wiki/Mifare
patrz "Słabości".
P.G.

Przy czym to co pokazanow Koloni okazalo sie bez przelozenia na
praktyke (AFIR trzeba sie podpiac pod funkcjonujacy czytnik w POS -
osoba obslugujaca POS moze latwiej zdobyc dane np. fotografujac karty
podawane przez klienta ;) ).

Użytkownik "Przemyslaw Kwiatkowski" <micha@micha.waw.pl> napisał w wiadomości news:4c1742a5$0$17101$65785112news.neostrada.pl...

Ale czy "podsłuchując" PayPass nie da się odczytać numeru karty? No bo jeśli tak (a sądzę że raczej tak...),

Jeśli protokół jest zrobiony bez błędów to będzie to wymagało mnóstwa mocy obliczeniowej (moc obliczeniowa tanieje z roku na rok).
Co jakiś czas okazuje się, że w tym, czy tamtym rozwiązaniu ktoś popełnił jakieś błędy.
P.G.

Piotr Gałka pisze:

Ale czy "podsłuchując" PayPass nie da się odczytać numeru karty? No bo
jeśli tak (a sądzę że raczej tak...),

Jeśli protokół jest zrobiony bez błędów to będzie to wymagało mnóstwa
mocy obliczeniowej (moc obliczeniowa tanieje z roku na rok).

Do "posłuchania" - może i tak. Ale przecież zamiast podsłuchiwać można po prostu udawać, że jest się zwykłym czytnikiem - czyli samemu zainicjować transmisję z kartą w portfelu ofiary. Karta nie ma możliwości weryfikacji kto się z nią komunikuje, bo operacje są offline.
Bierzemy czytnik pod płaszcz, wsiadamy do metra w godzinach szczytu i przeciskamy się wśród tłumu. Na koniec sprawdzamy co udało się "złowić".

--
MiCHA

Użytkownik "Przemyslaw Kwiatkowski" <micha@micha.waw.pl> napisał w wiadomości news:4c1746c6$0$2607$65785112news.neostrada.pl...

Do "posłuchania" - może i tak. Ale przecież zamiast podsłuchiwać można po prostu udawać, że jest się zwykłym czytnikiem - czyli samemu zainicjować transmisję z kartą w portfelu ofiary. Karta nie ma możliwości weryfikacji kto się z nią komunikuje, bo operacje są offline.
Bierzemy czytnik pod płaszcz, wsiadamy do metra w godzinach szczytu i przeciskamy się wśród tłumu. Na koniec sprawdzamy co udało się "złowić".

Co dalej z tym elektronicznym łupem ?
Dlatego uważam, że ewentualny atak musi polegać na dążeniu do skopiowania karty.
P.G.

Piotr Gałka pisze:

Do "posłuchania" - może i tak. Ale przecież zamiast podsłuchiwać można
po prostu udawać, że jest się zwykłym czytnikiem - czyli samemu
zainicjować transmisję z kartą w portfelu ofiary. Karta nie ma
możliwości weryfikacji kto się z nią komunikuje, bo operacje są offline.
Bierzemy czytnik pod płaszcz, wsiadamy do metra w godzinach szczytu i
przeciskamy się wśród tłumu. Na koniec sprawdzamy co udało się "złowić".

Co dalej z tym elektronicznym łupem ?
Dlatego uważam, że ewentualny atak musi polegać na dążeniu do
skopiowania karty.

Jak to "co dalej" ? To samo, co przy zdobyciu numerów zwykłej karty - czyli fraud Internet.

--
MiCHA

Przemyslaw Kwiatkowski <micha@micha.waw.pl> napisał(a):

Piotr Gałka pisze:

>> Do "posłuchania" - może i tak. Ale przecież zamiast podsłuchiwać

moĹźna

>> po prostu udawać, że jest się zwykłym czytnikiem - czyli samemu
>> zainicjować transmisję z kartą w portfelu ofiary. Karta nie ma
>> możliwości weryfikacji kto się z nią komunikuje, bo operacje są

offline

.
>> Bierzemy czytnik pod płaszcz, wsiadamy do metra w godzinach szczytu i
>> przeciskamy się wśród tłumu. Na koniec sprawdzamy co udało

się "złowi

ć".
>>
> Co dalej z tym elektronicznym łupem ?
> Dlatego uważam, że ewentualny atak musi polegać na dążeniu do
> skopiowania karty.

Jak to "co dalej" ? To samo, co przy zdobyciu numerów zwykłej karty - czyli fraud Internet.

cvc2/cvv2 też z pod płaszcza "podsłuchasz"? nie jestem tez pewny czy data waznosci wogóle jest przesyłana przy bezstykowej płatnosci.

--

Seba pisze:

Do "pos�uchania" - moşe i tak. Ale przecieş zamiast pods�uchiwa�

moĚźna

po prostu udawa�, şe jest si� zwyk�ym czytnikiem - czyli samemu
zainicjowa� transmisj� z kart� w portfelu ofiary. Karta nie ma
moşliwo�ci weryfikacji kto si� z ni� komunikuje, bo operacje s�

offline

.

Bierzemy czytnik pod p�aszcz, wsiadamy do metra w godzinach szczytu i
przeciskamy si� w�ród t�umu. Na koniec sprawdzamy co uda�o

si� "z�owi

�".

Co dalej z tym elektronicznym �upem ?
Dlatego uwaşam, şe ewentualny atak musi polega� na d�şeniu do
skopiowania karty.

Jak to "co dalej" ? To samo, co przy zdobyciu numerów zwyk�ej karty -
czyli fraud Internet.

cvc2/cvv2 też z pod płaszcza "podsłuchasz"?

Nie zawsze jest potrzebny.

nie jestem tez pewny czy data
waznosci wogóle jest przesyłana przy bezstykowej płatnosci.

Musi być, aby terminal offline był w stanie potwierdzić ważność karty.

--
MiCHA

Użytkownik "Przemyslaw Kwiatkowski" <micha@micha.waw.pl> napisał w wiadomości news:4c1742a5$0$17101$65785112news.neostrada.pl...

BK pisze:

Ale czy "podsłuchując" PayPass nie da się odczytać numeru karty? No bo jeśli tak (a sądzę że raczej tak...), to Paypass jest idealny dla przestępców. Kartę można zeskanować nawet nie wyjmując jej ofierze z portfela, a potem to co zwykle - czyli fraud przez internet.

Numer karty to nie wszystko - nawet jeśli założymy, że da się odczytać, to co skimmerowi po nr karty bez PIN?

Oni jednak wolą żywy "cash" z bankomatu niż zakupy w sklepie internetowym.

Uzytkownik "BK" <bkapuscinski@gmail.com> napisal w wiadomosci news:4fb1bb82-3751-4aaf-b25f-1bd5172336d2w12g2000yqj.googlegroups.com...

Zaden gang karciany nie bedzie inwestowal w technologie dla 10 euro od

karty + ryzyko latwej wpadki (bo kase gdzies trzeba przelewac i prac)
jesli zwykle karty mozna skimmowac i golic na wieksze kwoty z
minimalnym ryzykiem wpadki (montujesz skaner w dowolnym miejscu na
swiecie, wysylasz dane kart do innego panstwa, w ustronnym bankomacie
wybierasz kase i z gotowka w reku konczysz operacje).

OK, jasne.
Rozumialem tamta wypowiedz jako dotyczaca technologii a nie ograniczen. Karta z chipem z takimi samymi ograniczeniami bylaby tak samo (lub bardziej) bezpieczna.
P.G.

On 15 Cze, 11:08, "Piotr Galka" <piotr.ga...@CUTTHISmicromade.pl>
wrote:

Uzytkownik "BK" <bkapuscin...@gmail.com> napisal w wiadomoscinews:4fb1bb82-3751-4aaf-b25f-1bd5172336d2w12g2000yqj.googlegroups.com...

> Zaden gang karciany nie bedzie inwestowal w technologie dla 10 euro od

karty + ryzyko latwej wpadki (bo kase gdzies trzeba przelewac i prac)
jesli zwykle karty mozna skimmowac i golic na wieksze kwoty z
minimalnym ryzykiem wpadki (montujesz skaner w dowolnym miejscu na
swiecie, wysylasz dane kart do innego panstwa, w ustronnym bankomacie
wybierasz kase i z gotowka w reku konczysz operacje).

OK, jasne.
Rozumialem tamta wypowiedz jako dotyczaca technologii a nie ograniczen.
Karta z chipem z takimi samymi ograniczeniami bylaby tak samo (lub bardziej)
bezpieczna.
P.G.

A to ja nie wiem co dokladnie poeta mial na myslisz piszac ten tekst -
opisalem tylko jak to wyglada w praktyce przy szacowaniu ew. ryzyka
tego rozwiazania.

BK <bkapuscinski@gmail.com> writes:

Z tego, ze w krajach gdzie paypass juz troche funkcjonuje nie
odnotowano przestepczosci zwiazanej z ta technologia. Wynika to z jej
specyfiki - male kwoty, brak mozliwosci pobrania gotowki - a oszustwa
kartowe to w ogromnym % osztustwa gotowkowe (wybieranie gotowki z
bankomatu) lub transakcje bez fizycznego okazania karty (platnosci
internetowe).

Akurat. Wynika to po prostu z tego, ze to jest wzgledna nowosc, ktora
dodatkowo wymaga kombinacji z technologia. Chwilowo latwiej kopiowac
paski magnetyczne. Gdy wszystkie karty i czytniki beda chipowe,
zlodzieje zajma sie zapewne takze paypassami - latwiej bedzie z tym niz
z tylko normalnymi hybrydami, ktore w praktyce trzeba fizycznie ukrasc,
i ktore zwykle jak na zlosc chca jeszcze PINu.

Albo moze nie bedzie sie oplacac, ale nie liczylbym na to jakos bardzo.
--
Krzysztof Halasa

W dniu 10-06-15 23:43, Krzysztof Halasa pisze:

Albo moze nie bedzie sie oplacac, ale nie liczylbym na to jakos bardzo.

Wytłumacz mi, jak chłopu na miedzy, dlaczego od 6 lat stosowania tego w Japonii jakoś nie ma spektakularnych fraudów? I to pomimo tego, że japońskie komórki mogą robić za bilety, karty wstępu czy nawet (o zgrozo!) klucze autoryzujące. I nie przyjmę wyjaśnienia, że tam nie ma przestępców.

--
Raf

Rafał <adres@moj.invalid> writes:

Wytłumacz mi, jak chłopu na miedzy, dlaczego od 6 lat stosowania tego
w Japonii jakoś nie ma spektakularnych fraudów?

Szczerze? Nie mam bladego pojecia jak to wyglada w Japonii.
--
Krzysztof Halasa

Z tego, ze w krajach gdzie paypass juz troche funkcjonuje nie
odnotowano przestepczosci zwiazanej z ta technologia.

Pamiętam jak w latach gdy wchodziło Windows NT, Microsoft mocno się
reklamował że ich system jest superduperhiperbezpieczny, bo nie ma
przeciw niemu atakĂłw, a przeciwko Uniksom od cholery...

Agent Piotr Galka nadaje:

Nie rozumiem skad w tym opisie teza, ze Paypass (bez pinu) jest takie
bezpieczne.

W 2009 ilosc fraudów z udzialem PP byla znikoma, jeszcze mniejsza w 2008 i 2007 a np. w 2004 nie bylo zadnego. ;-)

W dniu 2010-06-15 20:10, JanKo pisze:

Agent Piotr Galka nadaje:

Nie rozumiem skad w tym opisie teza, ze Paypass (bez pinu) jest takie
bezpieczne.

W 2009 ilosc fraudĂłw z udzialem PP byla znikoma, jeszcze mniejsza w 2008
i 2007 a np. w 2004 nie bylo zadnego. ;-)

:) Słusznie.
To typowy, pismacki, ignorancki bełkot. Dotarł koleś do paru cyferek i wysmażył artykuł. Mózgu w ogóle nie używał, bo miał włączony spell-checker ;)

[Piszę nie do Ciebie, Muzykancie, a do niekumającej reszty]. Takie zjawisko, jak fraudy karciane trzeba analizować w pewnym kontekście, np. takim:
Wprowadza się nową technologię, początkowo bardzo niewielu ludzi ma karty z tą technologią. Fraudziarzy więc to nie interesuje zupełnie, a więc karty są, fraudów zero. Potem popularność karty rośnie, fraudziarze zauważają, że warto się temu przyjrzeć. Uruchamiają ośrodki badawczo-rozwojowe ;), w międzyczasie liczba kart zaczyna rosnąć szybciej, bo karta taka fajna, a fraudów na niej zero. Fraudziarze wreszcie dopracowują się skutecznej technologii fraudu, budują do niej infrastrukturę, organizują siatki, a liczba kart rośnie już lawinowo. Fraudziarze zaczynają działać, nowa technologia fraudu przynosi lawinowo rosnące zyski oszustom. Tematem zaczynają się interesować specjalistyczne organa ścigania (o ile nie byli już na to przygotowani wcześniej).... itd. I tak to się toczy.



--
Dziękuję. Pozdrawiam.            Młotkowy