W dniu 2010-09-26 23:54, Rafal M pisze:

Hej

Jak wiemy w przypadku platnosci Paypass/PayWave do kwoty 50 zl
przechodza one bez PINu i (czasami) bez autoryzacji.
Kto w takim przypadku ponosi odpowiedzialnosc za frady, jesli
uzytwkonik karty ja zgubil/zostala mu skradziona?

Ja poruszę temat PayPassów w innym kontekście.. a co z mass fraudem typu - wielki festiwal z płatnościami tylko zbliżeniowymi i gość z odpowiednio przerobionym terminalem zbliżeniowym w plecaku który ściągnie po dajmy na to, 20 zł ode łba? Jestem w stanie sobie taki zmodyfikowany, dalekozasięgowy terminal wyobrazić.

Jest to możliwe, czy technologia nie da rady? Czy ewentualny klucz terminala szybko zostanie namierzony i zablokowane zostaną transakcje z niego?

Pozdr,
Tomek

Tomek Głowacki pisze:

Jak wiemy w przypadku platnosci Paypass/PayWave do kwoty 50 zl
przechodza one bez PINu i (czasami) bez autoryzacji.
Kto w takim przypadku ponosi odpowiedzialnosc za frady, jesli
uzytwkonik karty ja zgubil/zostala mu skradziona?

Ja poruszę temat PayPassów w innym kontekście.. a co z mass fraudem typu
- wielki festiwal z płatnościami tylko zbliżeniowymi i gość z
odpowiednio przerobionym terminalem zbliĹźeniowym w plecaku ktĂłry
ściągnie po dajmy na to, 20 zł ode łba? Jestem w stanie sobie taki
zmodyfikowany, dalekozasięgowy terminal wyobrazić.

Jest to moĹźliwe, czy technologia nie da rady? Czy ewentualny klucz
terminala szybko zostanie namierzony i zablokowane zostaną transakcje z
niego?

Tego bym się specjalnie nie bał, bo jednak każdy terminal jest przypisany do "kogoś" i namierzenie tego kogoś raczej nie powinno być trudne.

Bałbym się natomiast czegoś podobnego: - wielki festiwal z płatnościami tylko zbliżeniowymi i gość z odpowiednio przerobionym terminalem zbliżeniowym w plecaku który ściągnie numery całej masy kart, a potem zacznie je wykorzystywać do a) zrobienia kopii kart; b) fraudów internetowych.

Pytanie brzmi - czy terminal podczas komunikacji z chipem karty jest w stanie odczytać jej numer i datę ważności? Jeśli tak, to katastrofa. A spodziewam się, że pewnie tak...

--
MiCHA

Dnia Tue, 28 Sep 2010 20:16:18 +0200, Przemyslaw Kwiatkowski napisał(a):

Pytanie brzmi - czy terminal podczas komunikacji z chipem karty jest w
stanie odczytać jej numer i datę ważności? Jeśli tak, to katastrofa. A
spodziewam się, że pewnie tak...

Wydaje mi się, że raczej ktoś to przemyślał i wziął pod uwagę tego typu warianty zaczepne ze strony skimerów ;)



--
xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide

xbartx pisze:

Pytanie brzmi - czy terminal podczas komunikacji z chipem karty jest w
stanie odczytać jej numer i datę ważności? Jeśli tak, to katastrofa. A
spodziewam się, że pewnie tak...

Wydaje mi się, że raczej ktoś to przemyślał i wziął pod uwagę tego typu
warianty zaczepne ze strony skimerĂłw ;)

No, ale skoro transakcja PP może być offline, to terminal musi jakoś zidentyfikować kartę bez udziału banku. Oczywiście najprościej, jakby "identyfikator" przesyłany przez paypass po prostu nie był numerem karty, tylko czymś innym. Muszę kiedyś sprawdzić co się drukuje na slipie...

--
MiCHA

On Tue, 28 Sep 2010 18:56:06 +0000 (UTC), xbartx <bart@hashzero.net>
wrote:

Wydaje mi się, że raczej ktoś to przemyślał i wziął pod uwagę tego typu warianty zaczepne ze strony skimerów ;)

tak - i przeniósł odpowiedzialność na klienta :-)
--
pozdrawiam,
Jarek Andrzejewski

On 29 Wrz, 08:12, Jarek Andrzejewski <ptja...@gmail.com> wrote:

tak - i przeniósł odpowiedzialność na klienta :-)

a jak to się ma dot ego co pisze Samcik:
http://samcik.blox.pl/2010/09/Co-robic-Bank-wciska-klientowi-karte-zblizeniowa.html

"No i wreszcie ostatnia rzecz: w polskim prawie każda transakcja,
która nie została zautoryzowana PIN-em lub podpisem, zostaje
przeprowadzona na odpowiedzialność banku. Czyli gdyby ktoś po drodze
jakimś cudem przejął dane transakcji lub pieniądze, to i tak
odpowiedzialność spoczywa na banku, a nie kliencie."

On 10-09-29 09:08, Krzysiek wrote:

On 29 Wrz, 08:12, Jarek Andrzejewski<ptja...@gmail.com>  wrote:

tak - i przeniósł odpowiedzialność na klienta :-)

a jak to się ma dot ego co pisze Samcik:
http://samcik.blox.pl/2010/09/Co-robic-Bank-wciska-klientowi-karte-zblizeniowa.html

"No i wreszcie ostatnia rzecz: w polskim prawie kaĹźda transakcja,
która nie została zautoryzowana PIN-em lub podpisem, zostaje
przeprowadzona na odpowiedzialność banku. Czyli gdyby ktoś po drodze
jakimś cudem przejął dane transakcji lub pieniądze, to i tak
odpowiedzialność spoczywa na banku, a nie kliencie."

Maciek ma racje.
art 28 ustawy o elektronicznych instrumentach płatniczych.
pkt 5. Posiadacza nie obciążają operacje, z zastrzeżeniem ust. 6, jeżeli karta płatnicza została wykorzystana bez fizycznego przedstawienia i elektronicznej identyfikacji posiadacza lub bez złożenia przez niego własnoręcznego podpisu na dokumencie obciążeniowym. Użycie kodu identyfikacyjnego nie wystarcza do obciążenia posiadacza zakwestionowaną przez niego operacją, chyba że został złożony bezpieczny podpis elektroniczny zgodnie z art. 5 ust. 1 ustawy z dnia 18 września 2001 r. o podpisie elektronicznym (Dz. U. z 2001 r. Nr 130, poz. 1450 oraz z 2002 r. Nr 153, poz. 1271).

podpisu nie ma, pinu nie ma - wiec bank bez szemrania musi taka transakcje uznac, chyba, ze beda kamery, etc ;)

--
http://macierzynski.blip.pl/

Dnia Wed, 29 Sep 2010 21:40:54 +0200, Michał 'Amra' Macierzyński
napisał(a):

Maciek ma racje.
art 28 ustawy o elektronicznych instrumentach płatniczych.
pkt 5. Posiadacza nie obciążają operacje, z zastrzeżeniem ust. 6, jeżeli karta płatnicza została wykorzystana bez fizycznego przedstawienia i elektronicznej identyfikacji posiadacza lub bez złożenia przez niego własnoręcznego podpisu na dokumencie obciążeniowym. Użycie kodu identyfikacyjnego nie wystarcza do obciążenia posiadacza zakwestionowaną przez niego operacją, chyba że został złożony bezpieczny podpis elektroniczny zgodnie z art. 5 ust. 1 ustawy z dnia 18 września 2001 r. o podpisie elektronicznym (Dz. U. z 2001 r. Nr 130, poz. 1450 oraz z 2002 r. Nr 153, poz. 1271).

podpisu nie ma, pinu nie ma - wiec bank bez szemrania musi taka transakcje uznac, chyba, ze beda kamery, etc ;)

Ale nie na pewno?
Oto fragment regulaminu pod tytułem "Zasady wydawania i używania Kart
płatniczych Banku Zachodniego WBK dla ludnosci" obowiązującego od dnia
31.05.20120:

Par. 32 ust. 9:
"Posiadacza obciążają wszelkie operacje dokonane na odległość
(transakcje pocztowe, telefoniczne i w sieci internet) mimo, że Karta
została wykorzystana bez fizycznego jej przedstawienia."
http://indywidualni.bzwbk.pl/_items/outside.bzwbk.pl/nowe_zasady_kartowe_dla_ludnosci_31-05-2010.pdf

I jak się to ma do tego, co napisałeś?

--
Pozdrowienia,
Krzysztof

On 3 Paź, 13:51, Chris <chris94@WYTNIJ_TO.poczta.fm> wrote:

Par. 32 ust. 9:
"Posiadacza obciążają wszelkie operacje dokonane na odległość
(transakcje pocztowe, telefoniczne i w sieci internet) mimo, że Karta
została wykorzystana bez fizycznego jej przedstawienia."http://indywidualni.bzwbk.pl/_items/outside.bzwbk.pl/nowe_zasady_kart...

Ale to nie to samo.
Paypass nie podpada pod transakcje "na odległość" w tym punkcie,
według mnie, chodzi tylko o to, że jesli płaciłes przez internet to
nie możesz reklamować transakcji, mówiąc, że nie przedstawiłeś
fizycznie karty:)

Dnia Mon, 4 Oct 2010 12:31:53 -0700 (PDT), Krzysiek napisał(a):

według mnie, chodzi tylko o to, że jesli płaciłes przez internet to
nie możesz reklamować transakcji, mówiąc, że nie przedstawiłeś
fizycznie karty:)

Ale właśnie to stoi w sprzeczności zarówno z tym, co napisał Samcik, jak
z tym, co napisał Amra!

--
Pozdrowienia,
Krzysztof

On 28 Wrz, 20:16, Przemyslaw Kwiatkowski <mi...@micha.waw.pl> wrote:

Tego bym się specjalnie nie bał, bo jednak każdy terminal jest
przypisany do "kogoś" i namierzenie tego kogoś raczej nie powinno być
trudne.

Dlatego jest dodatkowa trudność:
 trzeba nie tyko podpiąć się pod kartę ale także pod terminal (taki
pośrednik).
czy do zrobienia?...nie wiem