http://www.msn.com/pl-pl/finanse/najpopularniejsze-artykuly/haker-w-sze%C5%9B%C4%87-sekund-mo%C5%BCe-zdoby%C4%87-szczeg%C3%B3%C5%82y-twojej-karty-visa/ar-AAlcmYV


"Distributed Guessing Attack wykorzystuje dwie słabości, które same z siebie nie są zbyt groźne, jednak połączone razem stanowią poważne zagrożenie dla całego systemu płatności elektronicznych, stwierdza doktorant Mohammed Ali, główny autor badań z Newcastle University. Co więcej ani banki, ani operatorzy internetu nie są w stanie wykryć ataku.Do zdobycia wrażliwych danych wystarczy... zabawa w zgaduj-zgadulę.

Obecnie wykorzystywane systemy płatnicze nie wszczynają alarmu, gdy wielokrotnie z różnych witryn otrzymają żądania przeprowadzenia transakcji, w których pojawią się wadliwe dane. Jako, że typowa witryna dopuszcza nawet 20 prób wprowadzenia danych karty napastnik może wykorzystać wiele takich witryn i automatycznie generować dane, sprawdzając, które z nich zostaną zaakceptowane.

Możliwość nieograniczonego zgadywania prawidłowych danych w połączeniu z różnymi danymi wymaganymi przez różne witryny powoduje, że wygenerowanie danych dla danego pola jest niezwykle łatwe. Każde dobrze wygenerowane pole może zostać wykorzystane do generowania kolejnego pola i tak dalej. Jeśli próby odgadnięcia są dokonywane na wystarczająco dużej liczbie witryn, to pozytywną odpowiedź dla każdego z pól możemy otrzymać w ciągu zaledwie 2 sekund witryn i automatycznie generować dane, sprawdzając, które z nich zostaną zaakceptowane.

Sześć pierwszych cyfr numeru naszej karty to numer banku, który ją wystawił. Zaczynając od nich haker może w ciągu zaledwie 6 sekund zdobyć wszystkie pozostałe dane potrzebne do przeprowadzenia transakcji. Atak ułatwia fakt, że różne witryny proszą o różne kombinacje danych. Absolutne minimum to numer karty i data jej wygaśnięcia. Niektóre witryny żądają też podania kodu CVV.

Nieograniczona możliwość zgadywanie daje szerokie pole do popisu. Po odgadnięciu numeru karty trzeba jeszcze zdobyć datę jej wygaśnięcia. Nie jest to szczególnie trudne, gdyż zwykle karty są ważne przez 60 miesięcy, wystarczy zatem nie więcej niż 60 prób. [...]

Co interesujące, okazuje się, że na atak podatne są jedynie karty VISA. Scentralizowany system MasterCard wykrył taki atak po mniej niż 10 próbach odgadnięcia danych, nawet wówczas, jeśli przeprowadzono je za pomocą wielu witryn.[...]"

Rzeczywiste zagrozenie, czy komus sie cos wydaje ?

Fakt, ze 6 cyfr nr karty ustalic latwo.  Kolejne juz trudniej. Czy jest jakas strona, ktora pozwoli sprawdzac losowe numery ?

Data wygasniecia to faktycznie raptem kilkadziesiat mozliwosci, ale najpierw trzeba jakos te 10 cyfr numeru ustalic.

Jak juz ustalimy numer i waznosc  - to sprawdzenie roznych CVV na tysiacu witryn moze byc latwe.

O ile tych tysiac witryn nie prowadzi do jednego Polcardu :-)

Ale znow - pod warunkiem, ze Polcard takie nieudane proby notuje, bo moze i nie.

No i o ile nie wymagaja dodatkowych danych, a tam czesto bywa np imie i nazwisko.


Jesli jednak ktos nasza karte zapamietal czy np sfotografowal, to CVV moze byc latwo ustalic, znow - o ile nie trzeba podac innych danych, a adres chyba czesto jest wymagany ... ale czy sprawdzany ?

A sam numer mozna odczytac np za pomoca NFC, wystarczy sie do kogos/torebki przytulic.
Ale czy tak prosto ustalic reszte ?

J.

On 2016-12-09, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:

[...]

Fakt, ze 6 cyfr nr karty ustalic latwo.  Kolejne juz trudniej. Czy jest jakas strona, ktora pozwoli sprawdzac losowe numery ?

To zależy. Karty nie mają losowych numerów, ich poprawność jest weryfikowana algorytmem mod10, a to ogranicza liczbę możliwych
opcji.

Data wygasniecia to faktycznie raptem kilkadziesiat mozliwosci, ale najpierw trzeba jakos te 10 cyfr numeru ustalic.

Raczej: zakładając że masz losowy numer karty, to sprawdzasz go na
3 witrynach (każda daje 20 prób).

Jak juz ustalimy numer i waznosc  - to sprawdzenie roznych CVV na tysiacu witryn moze byc latwe.

Sporo witryn nie wymaga CVV.

No i o ile nie wymagaja dodatkowych danych, a tam czesto bywa np imie i nazwisko.

Są wymagana, ale nigdy nie weryfikowane.

Jesli jednak ktos nasza karte zapamietal czy np sfotografowal, to CVV moze byc latwo ustalic, znow - o ile nie trzeba podac innych danych, a adres chyba czesto jest wymagany ... ale czy sprawdzany ?

Nie jest sprawdzany :)

--
Wojciech Bańcer
wojciech.bancer@gmail.com

Citek numeruje karty po kolei - a przynajmniej kredytowe mc gold.
Także zakres poszukiwań mały, a i o datę ważności łatwo.

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

Rzeczywiste zagrozenie, czy komus sie cos wydaje ?

Fakt, ze 6 cyfr nr karty ustalic latwo.  Kolejne juz trudniej. Czy
jest jakas strona, ktora pozwoli sprawdzac losowe numery ?

To jakieś kompletne brednie, to jest po prostu zwykły brutalny atak,
znany "od zawsze". Same numery kart bardzo łatwo zresztą zdobyć, nie
trzeba zgadywać. Problem nie leży w numerach kart (ani nawet w kodach
CVV2/CVC2), tylko w odpowiedzialności sprzedawcy i jego możliwościach
np. identyfikacji odbiorcy itd.
"Towary wirtualne" o małej wartości, cóż, całkowite ryzyko ponosi
sprzedawca.
--
Krzysztof Hałasa

Krzysztof Halasa wrote:

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

Rzeczywiste zagrozenie, czy komus sie cos wydaje ?

Fakt, ze 6 cyfr nr karty ustalic latwo.  Kolejne juz trudniej. Czy
jest jakas strona, ktora pozwoli sprawdzac losowe numery ?

To jakieś kompletne brednie, to jest po prostu zwykły brutalny atak,
znany "od zawsze". Same numery kart bardzo łatwo zresztą zdobyć, nie
trzeba zgadywać. Problem nie leży w numerach kart (ani nawet w kodach
CVV2/CVC2), tylko w odpowiedzialności sprzedawcy i jego możliwościach
np. identyfikacji odbiorcy itd.
"Towary wirtualne" o małej wartości, cóż, całkowite ryzyko ponosi
sprzedawca.

Pewnie że jest problem - jeżeli od danego merchanta lecą masowo requesty na nieistniejące numery kart, to jest to atak polegający na zgadywaniu właściwego numeru. To powinno zablokować takiego merchanta po pewnej rozsądnej liczbie takich prób. W zacytowanym tekście jest napisane, że MasterCard jest przed tym zabezpieczony. I to jest prawidłowe działanie.

Podpowiem Tobie, że gdyby witryny nie były zabezpieczone przed tego typu atakiem, to wszędzie gdzie się otrzymuje kod np. 6 cyfrowy, byłyby ataki. Tzn. scenariusz byłby taki, że ktoś wchodzi w posiadanie hasła Twojego np. do poczty, tam widzi maile z banku, próbuje do banku zalogować się tym samym hasłem (idetyfikatory logowania są często w mailach, np. są to numery CIF czy NIK czy inny tego typu). Następnie potrzeba "tylko" 100.000 prób odgadnięcia hasła jednorazowego (nieważne czy z tokena czy z SMSa). Czy to brzmi prawdopodobnie? No nie brzmi - każdy bank zablokuje to po 3-ciej próbie. A tu masz - VISA pozwala na nieograniczoną liczbę prób w ten sposób? Nie brzmi to jak wiocha? No brzmi - to nadal uważasz, że tego typu podatność w globalnym systemie VISA to "kompletne brednie"?

--
Wysłane z pola.

janek z pola <adres@email.pl> writes:

Pewnie że jest problem - jeżeli od danego merchanta lecą masowo requesty na nieistniejące numery kart, to jest to atak polegający na zgadywaniu właściwego numeru. To powinno zablokować takiego merchanta po pewnej rozsądnej liczbie takich prób. W zacytowanym tekście jest napisane, że MasterCard jest przed tym zabezpieczony. I to jest prawidłowe
działanie.

I napisałeś to tylko na podstawie tego artykułu, bez żadnej dodatkowej
wiedzy?

Ja po prostu zajmuję się różnymi rzeczami, w tym bezpieczeństwem
systemów informatycznych, od pewnego czasu, i to powoduje, że rzeczy
normalnie oczywiste nie są już dla mnie takie oczywiste.

W szczególności, dopuszczam istnienie tzw. "szarych list" (sprzedawca na
takiej liście może być poddany obserwacji, ale to nie oznacza, że się go
całkiem blokuje, bo to m.in. nie pozwala zbierać dowodów). Rozumiem, że
nawet jeśli sprzedawca w taki sposób wygenerowałby nie wiem ile numerów
kart (itd), i następnie zostałyby one użyte we fraudach, to organizacja
karciana bez większego problemu skojarzy owe fakty (skoro potrafi
namierzyć sprzedawcę, przez którego ręce przeszło wiele kart użytych
później we fraudach, ale bez żadnych nietypowych sytuacji u tego
sprzedawcy).

Autor pisze, że "Scentralizowany system MasterCard wykrył taki atak po
mniej niż 10 próbach odgadnięcia danych" - ciekawe skąd autor o tym
wiedział, i skąd wiedział, że akurat VISA tego nie wykryła? Sklepy
chwalą się takimi informacjami?

A może autor próbował w taki sposób odgadnąć numer posiadanej przez
siebie karty (legalnej), i sprawdzał jej "status" w bankomacie? :-)

"Atak ułatwia fakt, że różne witryny proszą o różne kombinacje danych.
Absolutne minimum to numer karty i data jej wygaśnięcia. Niektóre
witryny żądają też podania kodu CVV. Nieograniczona możliwość zgadywanie
daje szerokie pole do popisu. Po odgadnięciu numeru karty trzeba jeszcze
zdobyć datę jej wygaśnięcia."

Tyle że niestety doktorant Ali nie dowiedział się, że w celu uzyskania
autoryzacji (co oznacza "dobrą" kartę) trzeba te dane podać
jednocześnie. To nie jest tak, że podamy dobry numer i złą datę, i bank
(sklep) nam powie "numer ok, data nie".

"Eksperci uważają, że w opisany powyżej sposób działali przestępcy,
którzy niedawno zaatakowali sieć Tesco i ukradli swoim ofiarom 2,5
miliona funtów"

Taaak, jasne - generowali numery kart, daty ważności oraz kody CVV2,
i używali ich do kradzieży pieniędzy z kont bankowych. "Zwykłe"
uzyskanie tych danych, np. przez kasjerkę w supermarkecie, byłoby zbyt
proste. BTW gdzie się wpisuje ten kod przy kradzieży pieniędzy z konta?
--
Krzysztof Hałasa

Użytkownik "Krzysztof Halasa"  napisał w wiadomości grup dyskusyjnych:m3wpf6caet.fsf@pm.waw.pl...

Autor pisze, że "Scentralizowany system MasterCard wykrył taki atak po
mniej niż 10 próbach odgadnięcia danych" - ciekawe skąd autor o tym
wiedział, i skąd wiedział, że akurat VISA tego nie wykryła? Sklepy
chwalą się takimi informacjami?

Moze doktorant sprobowal ?
I przy MC po 10 probach dostal juz informacje "zablokowano", a przy visie mogl sprawdzac dalej

A może autor próbował w taki sposób odgadnąć numer posiadanej przez
siebie karty (legalnej), i sprawdzał jej "status" w bankomacie? :-)

Mogl tez dostac sms, ze zablokowano :-)

"Atak ułatwia fakt, że różne witryny proszą o różne kombinacje danych.
Absolutne minimum to numer karty i data jej wygaśnięcia. Niektóre
witryny żądają też podania kodu CVV. Nieograniczona możliwość zgadywanie
daje szerokie pole do popisu. Po odgadnięciu numeru karty trzeba jeszcze
zdobyć datę jej wygaśnięcia."

Tyle że niestety doktorant Ali nie dowiedział się, że w celu uzyskania
autoryzacji (co oznacza "dobrą" kartę) trzeba te dane podać
jednocześnie. To nie jest tak, że podamy dobry numer i złą datę, i bank
(sklep) nam powie "numer ok, data nie".

I to mnie wlasnie niepokoi.

"Eksperci uważają, że w opisany powyżej sposób działali przestępcy,
którzy niedawno zaatakowali sieć Tesco i ukradli swoim ofiarom 2,5
miliona funtów"
Taaak, jasne - generowali numery kart, daty ważności oraz kody CVV2,
i używali ich do kradzieży pieniędzy z kont bankowych. "Zwykłe"
uzyskanie tych danych, np. przez kasjerkę w supermarkecie, byłoby zbyt
proste. BTW gdzie się wpisuje ten kod przy kradzieży pieniędzy z konta?

Tym niemniej - jesli numer karty zgadlismy, lub odczytalismy komus z karty, lub z innej hackerki,
potem na kilku witrynach znajdujemy date waznosci (raptem 60 prob trzeba), potem na innych witrynach wyszukujemy CVV,
i w zasadzie karta stoi otworem.
Do konta w banku droga daleka ... chyba, ze w ktorys bankach da sie np haslo zresetowac, a do autoryzacji uzyja danych z karty :-)

Ale nawet bez konta mozna chyba zamowic w Tesco telewizor z dostawa do domu.
A potem sie okaze, ze Muhammad Ali juz tu nie mieszka, a Ali Ahmed wynajal tydzien temu.

J.

W dniu 12.12.2016 12:13, J.F. pisze:

Ale nawet bez konta mozna chyba zamowic w Tesco telewizor z dostawa do
domu.

Zawsze było tak, że można było zamawiać coś z wysyłką pocztą... Oraz, że transakcje bez fizycznego użycia karty były na ryzyko sprzedawcy. Trudno było numer karty traktować jako coś 'tajnego' skoro znał go każdy kelner.

Teraz są te różne 3d-secure, smsy itd. - trzeba oprócz numeru karty przejąć aparat telefoniczny ofiary(*). No, chyba, że jakiś operator telefonii się wygłupi i da dostęp do treści smsów przez internet...

   MJ
(*) Zakładam, że zmiana numeru przypisanego do tej karty jest dla złodzieja niedostępna (trudno dostępna).

Użytkownik "Michał Jankowski"  napisał w wiadomości grup dyskusyjnych:o2m1n1$bau$1@news.agh.edu.pl...
W dniu 12.12.2016 12:13, J.F. pisze:

Ale nawet bez konta mozna chyba zamowic w Tesco telewizor z dostawa do
domu.

Zawsze było tak, że można było zamawiać coś z wysyłką pocztą... Oraz, że transakcje bez fizycznego użycia karty były na ryzyko sprzedawcy. Trudno było numer karty traktować jako coś 'tajnego' skoro znał go każdy kelner.

A jednak wystarczalo.

Teraz są te różne 3d-secure, smsy itd. - trzeba oprócz numeru karty przejąć aparat telefoniczny ofiary(*).

Rozne zabezpieczenia mamy, wymyslone przez Zachod ... a z drugiej strony jak sie czyta, to oni niedaleko od zelazka odbiegli, i system w USA dziurawy jak sito.

A przejecie telefonu tez nie jest jakies niemozliwe.

No, chyba, że jakiś operator telefonii się wygłupi i da dostęp do treści smsów przez internet...

No ba, telefon zdarza sie utracic ... i co wtedy ?


J.

W dniu 12.12.2016 13:19, J.F. pisze:

No ba, telefon zdarza sie utracic ... i co wtedy ?

Kartę też można utracić. Albo dokumenty. Albo klucze od domu.

Zawsze można było i są na taką okoliczność procedury.

   MJ

Michał Jankowski wrote:

W dniu 12.12.2016 12:13, J.F. pisze:

Ale nawet bez konta mozna chyba zamowic w Tesco telewizor z dostawa do
domu.

Zawsze było tak, że można było zamawiać coś z wysyłką pocztą... Oraz, że
transakcje bez fizycznego użycia karty były na ryzyko sprzedawcy. Trudno
było numer karty traktować jako coś 'tajnego' skoro znał go każdy kelner.

Teraz są te różne 3d-secure, smsy itd. - trzeba oprócz numeru karty
przejąć aparat telefoniczny ofiary(*). No, chyba, że jakiś operator
telefonii się wygłupi i da dostęp do treści smsów przez internet...

Technologia istnieje. Nie da się zaprzeczyć. W zasadzie to nie technologia tylko to standard komunikacji z systemami VISA czy MC który zakłada 3D-S.

Tylko co z tego, że protokół dopuszcza aktywację 3D-S. Diabeł tkwi w szczegółach. Polecam poszukać sobie w necie jakie ramki wymienia centrum autoryzacyjne operatora kart z bankiem wydawcą karty. Jakie są warunki na obsługę poszczególnych ficzerów, jakie są timeouty, etc. To nie jest takie różowe jakby się wydawało na pierwszy rzut oka.

--
Wysłane z pola.

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

Moze doktorant sprobowal ?
I przy MC po 10 probach dostal juz informacje "zablokowano", a przy
visie mogl sprawdzac dalej

No ale jak mógł to dostać? Sklepy czegoś takie same nie wiedzą, to jak
mogą pokazać klientowi?
Chyba że karta zastrzeżona - raczej podejrzane.

Tym niemniej - jesli numer karty zgadlismy, lub odczytalismy komus z
karty, lub z innej hackerki,

No ale nie możemy zgadnąć samego numeru, od razu zgadujemy numer + datę.
Tzn. w ogóle pewnie sam numer dałoby się sprawdzić (będąc sprzedawcą),
ale żeby tak w swoim sklepie? :-)
Bardziej możliwy byłby jakiś atak na terminal (np. GPRS), tyle że wtedy
po co cokolwiek zgadywać?

Ale nawet bez konta mozna chyba zamowic w Tesco telewizor z dostawa do
domu.

Ale to problem Tesco, i teoretycznie Tesco każdy taki telewizor powinno
traktować specjalnie...

A potem sie okaze, ze Muhammad Ali juz tu nie mieszka, a Ali Ahmed
wynajal tydzien temu.

.... nie żebym myślał o jakimś rasizmie, nic z tych rzeczy :-)


Natomiast pizzę pewnie dostarczą gdziekolwiek.
--
Krzysztof Hałasa

On Mon, 12 Dec 2016 19:59:10 +0100, Krzysztof Halasa <khc@pm.waw.pl>
wrote:

Natomiast pizzę pewnie dostarczą gdziekolwiek.

"Mi" dostarczyli. Przy czym cudzysłów celowo bo nie ja zamawiałem, nie
ja odebrałem i nie ja zjadłem. No i w konsekwencji nie ja zapłaciłem
:)
news:67e38atj9b5qaj4hqu6v1skd71ugvc97bq4ax.com
news:h0s38apcjd21bv6qlnhoap4lttgk6lg2mf4ax.com

WAM
--
www.nawakacje.pl ?
pokoje w górach www.wpolskichgorach.pl
pokoje na Mazurach www.spanienamazurach.pl
pokoje nad morzem www.nadmorze.pl

Użytkownik "Krzysztof Halasa"  napisał w wiadomości grup dyskusyjnych:m3r35das8x.fsf@pm.waw.pl...
"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

Moze doktorant sprobowal ?
I przy MC po 10 probach dostal juz informacje "zablokowano", a przy
visie mogl sprawdzac dalej

No ale jak mógł to dostać? Sklepy czegoś takie same nie wiedzą, to jak
mogą pokazać klientowi?

A nie wiedza ? Moze jest roznica miedzy "karta zastrzezona" a "dane sie nie zgadzaja".

Ewentualnie po 10 probach dostal SMS "wykrylismy probe kradziezy i zablokowalismy dostep" ...

Tym niemniej - jesli numer karty zgadlismy, lub odczytalismy komus z
karty, lub z innej hackerki,

No ale nie możemy zgadnąć samego numeru, od razu zgadujemy numer + datę.

Numer zgadnac latwo. A potem date mozna sobie zweryfikowac.

Tzn. w ogóle pewnie sam numer dałoby się sprawdzić (będąc sprzedawcą),
ale żeby tak w swoim sklepie? :-)

A czemu nie ? Oczywiscie po wiekszej ilosci prob moze wzbudzic podejrzenia.

Tylko, ze tu metoda ma byc taka, ze korzysta sie z innych sklepow.

Bardziej możliwy byłby jakiś atak na terminal (np. GPRS), tyle że wtedy
po co cokolwiek zgadywać?

A tu metoda rzekomo polega na skorzystaniu z ogolnie dostepnych stron sklepow, i kazdy moze sobie sprawdzic rozne mumery.

Ale nawet bez konta mozna chyba zamowic w Tesco telewizor z dostawa do
domu.

Ale to problem Tesco, i teoretycznie Tesco każdy taki telewizor powinno
traktować specjalnie...

Wszystko drozsze trzeba by traktowac specjalnie, a przeciez tych sklepow przybywa, nic w tym dziwnego, ze ktos sobie prezenty zamowil i karta zaplacil :-)

A potem sie okaze, ze Muhammad Ali juz tu nie mieszka, a Ali Ahmed
wynajal tydzien temu.

... nie żebym myślał o jakimś rasizmie, nic z tych rzeczy :-)

Absolutnie nic :-)

J.

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

A nie wiedza ? Moze jest roznica miedzy "karta zastrzezona" a "dane
sie nie zgadzaja".

Ale raczej nie dla klienta sklepu. Chyba że policja podjeżdża pod dom,
to może tak :-)

Ewentualnie po 10 probach dostal SMS "wykrylismy probe kradziezy i
zablokowalismy dostep" ...

No ale musiałby "testować" własną kartę, więc nie byłoby mowy
o sprawdzaniu numerów.

Tylko, ze tu metoda ma byc taka, ze korzysta sie z innych sklepow.

Ale wtedy można sprawdzić tylko wszystko razem.

A tu metoda rzekomo polega na skorzystaniu z ogolnie dostepnych stron
sklepow, i kazdy moze sobie sprawdzic rozne mumery.

Jasne, to się nie zmieniło od dawna (modulo np. 3ds albo inne
jednorazowe numery kart).
To jest mniej-więcej tak, jakby można sobie było sprawdzić różne numery
kont bankowych. Zbyt wiele z tego nie wynika.

Wszystko drozsze trzeba by traktowac specjalnie, a przeciez tych
sklepow przybywa, nic w tym dziwnego, ze ktos sobie prezenty zamowil i
karta zaplacil :-)

Faktem jest jednak że jakoś się nie słyszy o masowych fraudach tego typu
- sprzedawcy jakoś potrafią zapanować nad sytuacją. Są pewne modele
sprzedaży o (znacznie) większym ryzyku (np. drobne płatności za towar
"wirtualny") - jest to wliczone w cenę.
--
Krzysztof Hałasa

Użytkownik "Krzysztof Halasa"  napisał w wiadomości grup dyskusyjnych:m360mn31cx.fsf@pm.waw.pl...
"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

A nie wiedza ? Moze jest roznica miedzy "karta zastrzezona" a "dane
sie nie zgadzaja".

Ale raczej nie dla klienta sklepu. Chyba że policja podjeżdża pod dom,
to może tak :-)

Tak mi sie przypomnialo - w zwyklym sklepie i terminalu - zly pin skutkuje "brak akceptacji".
Zastrzezona karta - "zatrzymac karte".

Ewentualnie po 10 probach dostal SMS "wykrylismy probe kradziezy i
zablokowalismy dostep" ...

No ale musiałby "testować" własną kartę, więc nie byłoby mowy
o sprawdzaniu numerów.

Numery to osobny temat.

Tylko, ze tu metoda ma byc taka, ze korzysta sie z innych sklepow.

Ale wtedy można sprawdzić tylko wszystko razem.

Ale brak wykrycia sprawdzania roznych numerow.

A tu metoda rzekomo polega na skorzystaniu z ogolnie dostepnych stron
sklepow, i kazdy moze sobie sprawdzic rozne mumery.

Jasne, to się nie zmieniło od dawna (modulo np. 3ds albo inne
jednorazowe numery kart).
To jest mniej-więcej tak, jakby można sobie było sprawdzić różne numery
kont bankowych. Zbyt wiele z tego nie wynika.

troche wynika - chyba moge zgadnac kilkadziesiat czy kilkaset prawdopodobnych numerow, potem razy 60 - i jesli wystarczy gdzies nr i data waznosci to zweryfikowac te dwie dane latwo.

Tak swoja droga - karty z 3D secure ... jak zmysle numer i date waznosci, to bank nie odrzuci szybko platnosci ?
No tak, ale co z tego, ze czasem zweryfikuje numery, skoro jeszcze SMS trzeba :-)

Wszystko drozsze trzeba by traktowac specjalnie, a przeciez tych
sklepow przybywa, nic w tym dziwnego, ze ktos sobie prezenty zamowil i
karta zaplacil :-)

Faktem jest jednak że jakoś się nie słyszy o masowych fraudach tego typu
- sprzedawcy jakoś potrafią zapanować nad sytuacją.

Adres dostawy chyba duzo daje - szybko ich wylapuja.

A czy nie slychac ... u nas nie slychac, Visa sie chwalila miliardowymi stratami na fraudach, to jakis tam znikomy procent - ale z jednej strony widac, ze opracowuja nowe zabezpieczenia, z drugiej - w USA ich nie wprowadzaja :-)

J.

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

Tak mi sie przypomnialo - w zwyklym sklepie i terminalu - zly pin
skutkuje "brak akceptacji".
Zastrzezona karta - "zatrzymac karte".

Owszem, ale klient tego nie widzi - widzi sprzedawca.
W sklepie internetowym dokładnie tak samo (pomijając to, że klient nie
może zerknąć sprzedawcy "przez ramię").

troche wynika - chyba moge zgadnac kilkadziesiat czy kilkaset
prawdopodobnych numerow, potem razy 60 - i jesli wystarczy gdzies nr i
data waznosci to zweryfikowac te dwie dane latwo.

Owszem, ale to wiadomo od dawna i sprzedawcy się przed tym bronią dość
skutecznie.

Adres dostawy chyba duzo daje - szybko ich wylapuja.

Tak wygląda.

A czy nie slychac ... u nas nie slychac, Visa sie chwalila
miliardowymi stratami na fraudach, to jakis tam znikomy procent - ale
z jednej strony widac, ze opracowuja nowe zabezpieczenia, z drugiej - w USA ich nie wprowadzaja :-)

Tam mają nieco inny układ - weryfikują adresy (AVS), nie dostarczają
tam, gdzie nie trzeba, za fraudy idzie się siedzieć.
--
Krzysztof Hałasa

Krzysztof Halasa wrote:

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

Tak mi sie przypomnialo - w zwyklym sklepie i terminalu - zly pin
skutkuje "brak akceptacji".
Zastrzezona karta - "zatrzymac karte".

Owszem, ale klient tego nie widzi - widzi sprzedawca.
W sklepie internetowym dokładnie tak samo (pomijając to, że klient nie
może zerknąć sprzedawcy "przez ramię").

Kody odmowy znajdują się na wydrukach z terminali. Nie wszystkie banki przekazują szczegółową informację, ale z pewnością są banki, którym się kody odmowy przekazywane do VISA (i potem dalej do terminala POS i na wydruk) w 100% zgadzają z odpowiadającym temu polem w bankowej bazie danych.

Przykładowe listy kodów odpowiedzi z innych krajów:

http://www.paychoice.com.au/docs/api/credit-card-error-codes/

https://www.totalmerchantconcepts.com/educational-resources/card-issuer-
response-codes

--
Wysłane z pola.

Krzysztof Halasa wrote:

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

A nie wiedza ? Moze jest roznica miedzy "karta zastrzezona" a "dane
sie nie zgadzaja".

Ale raczej nie dla klienta sklepu. Chyba że policja podjeżdża pod dom,
to może tak :-)

Aha - a to, że klient otrzymuje (nawet w Polsce) z części terminali wprost kod odpowiedzi z banku (tak, to jest ta wartość którą bank ma w swojej bazie danych w kolumnie "kod odpowiedzi" wydrukowana na slipie z terminala, który trzyma w ręku klient), to Twoim zdaniem wyklucza że po tym kodzie odpowiedzi można rozpoznać jakie intencje ma bank odrzucając zapytanie o dostępne środki?

Ewentualnie po 10 probach dostal SMS "wykrylismy probe kradziezy i
zablokowalismy dostep" ...

No ale musiałby "testować" własną kartę, więc nie byłoby mowy
o sprawdzaniu numerów.

Albo własne 10 albo własne 100 albo własny 1000 kart przedpłaconych.

Tylko, ze tu metoda ma byc taka, ze korzysta sie z innych sklepow.

Ale wtedy można sprawdzić tylko wszystko razem.

A tu metoda rzekomo polega na skorzystaniu z ogolnie dostepnych stron
sklepow, i kazdy moze sobie sprawdzic rozne mumery.

Jasne, to się nie zmieniło od dawna (modulo np. 3ds albo inne
jednorazowe numery kart).
To jest mniej-więcej tak, jakby można sobie było sprawdzić różne numery
kont bankowych. Zbyt wiele z tego nie wynika.

Możesz wrócić do mojej pierwszej odpowiedzi w tym wątku, na którą zresztą odpowiedziałeś - tam już raz wyjaśniałem dlaczego jednak coś z tego wynika.

Wszystko drozsze trzeba by traktowac specjalnie, a przeciez tych
sklepow przybywa, nic w tym dziwnego, ze ktos sobie prezenty zamowil i
karta zaplacil :-)

Faktem jest jednak że jakoś się nie słyszy o masowych fraudach tego typu
- sprzedawcy jakoś potrafią zapanować nad sytuacją. Są pewne modele
sprzedaży o (znacznie) większym ryzyku (np. drobne płatności za towar
"wirtualny") - jest to wliczone w cenę.

A kto nie słyszy? Media mainstremowe typu TVN?

--
Wysłane z pola.

janek z pola <adres@email.pl> writes:

Aha - a to, że klient otrzymuje (nawet w Polsce) z części terminali wprost kod odpowiedzi z banku (tak, to jest ta wartość którą bank ma w swojej bazie danych w kolumnie "kod odpowiedzi" wydrukowana na slipie z terminala, który trzyma w ręku klient), to Twoim zdaniem wyklucza że po tym kodzie odpowiedzi można rozpoznać jakie intencje ma bank odrzucając zapytanie o dostępne środki?

Kod odpowiedzi z banku zależy od banku, różne banki różnie reagują na
zdarzenia związane z kartami (np. niektóre blokują karty po nietypowych
transakcjach, a inne nie, albo mają inne kryteria "nietypowości").
Niektóre sytuacje (w szczególności zastrzeżenie karty) da się w taki
sposób rozpoznać, aczkolwiek nie jestem pewien czy da się tak zrobić
w sklepie internetowym. Ale może gdzieś się da. Tak czy owak, wyciąganie
z tego wniosków dot. organizacji karcianych nie ma sensu.
BTW nie ma to też związku z zapytaniem o dostępne środki.

No ale musiałby "testować" własną kartę, więc nie byłoby mowy
o sprawdzaniu numerów.

Albo własne 10 albo własne 100 albo własny 1000 kart przedpłaconych.

Ale w dalszym ciągu te numery nie są wtedy wygenerowane. Tak w ogóle, ta
kwestia nie ma sensu. Bezpieczeństwo kart nie opiera się na tajności
numerów (ani dat ważności) - przecież te dane widzi każdy kasjer!

Faktem jest jednak że jakoś się nie słyszy o masowych fraudach tego typu
- sprzedawcy jakoś potrafią zapanować nad sytuacją. Są pewne modele
sprzedaży o (znacznie) większym ryzyku (np. drobne płatności za towar
"wirtualny") - jest to wliczone w cenę.

A kto nie słyszy? Media mainstremowe typu TVN?

Słyszałeś o masowych fraudach tego typu?
--
Krzysztof Hałasa

Krzysztof Halasa wrote:

janek z pola <adres@email.pl> writes:

Pewnie że jest problem - jeżeli od danego merchanta lecą masowo requesty
na nieistniejące numery kart, to jest to atak polegający na zgadywaniu
właściwego numeru. To powinno zablokować takiego merchanta po pewnej
rozsądnej liczbie takich prób. W zacytowanym tekście jest napisane, że
MasterCard jest przed tym zabezpieczony. I to jest prawidłowe
działanie.

I napisałeś to tylko na podstawie tego artykułu, bez żadnej dodatkowej
wiedzy?

Opisałem mechanizm tego, co kolega wcześniej opisał na podstawie lektury artykułu prasowego, który powstał na podstawie pracy naukowej wykonanej w uczelni w UK.

Ja po prostu zajmuję się różnymi rzeczami, w tym bezpieczeństwem
systemów informatycznych, od pewnego czasu, i to powoduje, że rzeczy
normalnie oczywiste nie są już dla mnie takie oczywiste.

Życzę Ci, żebyś się w tym swoim zajmowaniu od pewnego czasu nie zafiksował na pewnych schematach, bo zdaje się że właśnie padłeś ofiarą tego.

W szczególności, dopuszczam istnienie tzw. "szarych list" (sprzedawca na
takiej liście może być poddany obserwacji, ale to nie oznacza, że się go
całkiem blokuje, bo to m.in. nie pozwala zbierać dowodów). Rozumiem, że
nawet jeśli sprzedawca w taki sposób wygenerowałby nie wiem ile numerów
kart (itd), i następnie zostałyby one użyte we fraudach, to organizacja
karciana bez większego problemu skojarzy owe fakty (skoro potrafi
namierzyć sprzedawcę, przez którego ręce przeszło wiele kart użytych
później we fraudach, ale bez żadnych nietypowych sytuacji u tego
sprzedawcy).

No i co z tego, że skojarzy? Towar został wydany - organizacja płatnicza będzie musiała się wytłumaczyć przed posiadaczem konkretnej karty skąd był fraud. Przecież to będzie numer karty jakiegoś randomowego Kowalskiego.

Autor pisze, że "Scentralizowany system MasterCard wykrył taki atak po
mniej niż 10 próbach odgadnięcia danych" - ciekawe skąd autor o tym
wiedział, i skąd wiedział, że akurat VISA tego nie wykryła? Sklepy
chwalą się takimi informacjami?

Wiedział stąd, że mu się chciało ruszyć 4 litery i zrobić na to odpowiednie badania. Prawdopodobnie schemat badań jest opisany w jego pracy naukowej.

Dodam, że jakbym ja był związany z bezpieczeństwem IT i by do mnie przyszedł jakiś kolo i powiedział, że powszechnie używany system płatności ma jakieś luki, to zamiast się z niego śmiać i deprecjonować użyte przez niego metody, bym to najzwyczajniej w świecie sprawdził i zbadał. No ale widać, że jak się ma tak dużo doświadczenia jak Ty, to już się niczego nie sprawdza, bo się wie wszystko najlepiej.

A może autor próbował w taki sposób odgadnąć numer posiadanej przez
siebie karty (legalnej), i sprawdzał jej "status" w bankomacie? :-)

"Atak ułatwia fakt, że różne witryny proszą o różne kombinacje danych.
Absolutne minimum to numer karty i data jej wygaśnięcia. Niektóre
witryny żądają też podania kodu CVV. Nieograniczona możliwość zgadywanie
daje szerokie pole do popisu. Po odgadnięciu numeru karty trzeba jeszcze
zdobyć datę jej wygaśnięcia."

Tyle że niestety doktorant Ali nie dowiedział się, że w celu uzyskania
autoryzacji (co oznacza "dobrą" kartę) trzeba te dane podać
jednocześnie. To nie jest tak, że podamy dobry numer i złą datę, i bank
(sklep) nam powie "numer ok, data nie".

"Eksperci uważają, że w opisany powyżej sposób działali przestępcy,
którzy niedawno zaatakowali sieć Tesco i ukradli swoim ofiarom 2,5
miliona funtów"

Taaak, jasne - generowali numery kart, daty ważności oraz kody CVV2,
i używali ich do kradzieży pieniędzy z kont bankowych. "Zwykłe"
uzyskanie tych danych, np. przez kasjerkę w supermarkecie, byłoby zbyt
proste. BTW gdzie się wpisuje ten kod przy kradzieży pieniędzy z konta?

O czym my w ogóle dyskutujemy? Pieniądze z konta kradnie się tak, że konto jest obciążane kartą debetową, do której się kradnie 3 dane: numer, datę ważności i kod zabezpieczający. Jeżeli tego nie ogarniasz, to nie dziwię się, że cały temat wydaje się Tobie podejrzany i niewarty uwagi.

--
Wysłane z pola.

janek z pola <adres@email.pl> writes:

No i co z tego, że skojarzy? Towar został wydany - organizacja płatnicza będzie musiała się wytłumaczyć przed posiadaczem konkretnej karty skąd był fraud. Przecież to będzie numer karty jakiegoś randomowego
Kowalskiego.

Nic takiego nie będzie miało miejsca, organizacje nie tłumaczą się przed
posiadaczami kart. To sprawa sklepów.

Dodam, że jakbym ja był związany z bezpieczeństwem IT i by do mnie przyszedł jakiś kolo i powiedział, że powszechnie używany system płatności ma jakieś luki, to zamiast się z niego śmiać i deprecjonować użyte przez niego metody, bym to najzwyczajniej w świecie sprawdził i zbadał. No ale widać, że jak się ma tak dużo doświadczenia jak Ty, to już się niczego nie sprawdza, bo się wie wszystko najlepiej.

Jasne jest, że systemy m.in. płatności mają luki, które są zresztą
eliminowane (odejście od imprinterów, ścieżek magnetycznych itd).
Tyle tylko, że to nie są akurat te luki, co w tym artykule.

Taaak, jasne - generowali numery kart, daty ważności oraz kody CVV2,
i używali ich do kradzieży pieniędzy z kont bankowych. "Zwykłe"
uzyskanie tych danych, np. przez kasjerkę w supermarkecie, byłoby zbyt
proste. BTW gdzie się wpisuje ten kod przy kradzieży pieniędzy z konta?

O czym my w ogóle dyskutujemy? Pieniądze z konta kradnie się tak, że konto jest obciążane kartą debetową, do której się kradnie 3 dane: numer, datę ważności i kod zabezpieczający.

I co dalej dzieje się z tymi pieniędzmi, Einsteinie?
--
Krzysztof Hałasa

On Fri, 9 Dec 2016 19:24:33 +0100, "J.F." <jfox_xnospamx@poczta.onet.pl> wrote:

Fakt, ze 6 cyfr nr karty ustalic latwo.  Kolejne juz trudniej. Czy jest jakas strona, ktora pozwoli sprawdzac losowe numery ?

A po co strona? karta dla danego banku ma stały prefix a reszta cyfr nie jest dowolna, więc z można sobie wygenerowac wszystkie kombinacje kart np. dla mBanku i za pomocą botnetu sprawdzic je   wszystkie.   Mając do duspozycji botnet z kilkuset tys końcówek takie sprawdzenie to moment.

--
Marek

A propos - platnosc zagraniczna przez firme Stripe - poprosili o nr karty, date waznosci, CVV,  adres ... po czym stwierdzili, ze kod pocztowy im sie nie zgadza.
I juz mozna sprawdzac kolejne - choc prob raczej niewiele.

Tylko ... zalozyli przy tym blokade - dzis widze 0$, wczesniej ponoc byl 1$.

BZ byl szybki i karte zablokowal - ale ciekaw jestem co mu sie nie spodobalo - transakcja zagraniczna w ogole, dwie blokady szybko po sobie, niska kwota, internetowa platnosc - wychodzi jednak na to, ze bez telefonu w obce kraje nie ma co jechac i lepiej sie nastawic na koszt rozmowy :-)

J.

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

A propos - platnosc zagraniczna przez firme Stripe - poprosili o nr
karty, date waznosci, CVV,  adres ... po czym stwierdzili, ze kod
pocztowy im sie nie zgadza.
I juz mozna sprawdzac kolejne - choc prob raczej niewiele.

Przeciwnie, przynajmniej oni mogą sprawdzać w nieskończoność :-)

Tylko ... zalozyli przy tym blokade - dzis widze 0$, wczesniej ponoc
byl 1$.

BZ byl szybki i karte zablokowal - ale ciekaw jestem co mu sie nie
spodobalo - transakcja zagraniczna w ogole, dwie blokady szybko po
sobie, niska kwota, internetowa platnosc

Dziwne. Swoją drogą, $0 to ciekawa blokada.
--
Krzysztof Hałasa

Użytkownik "Krzysztof Halasa"  napisał w
"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

A propos - platnosc zagraniczna przez firme Stripe - poprosili o nr
karty, date waznosci, CVV,  adres ... po czym stwierdzili, ze kod
pocztowy im sie nie zgadza.
I juz mozna sprawdzac kolejne - choc prob raczej niewiele.

Przeciwnie, przynajmniej oni mogą sprawdzać w nieskończoność :-)

Oni moze moga, ale za ktoryms razem hackerowi odmowia.
Albo jak ponizej - bank zadziala, a moze Visa zadziala ...

Eksperymentow nie robilem ... ale byc moze mozna za jedna proba sprawdzic i kod i ulice.
Chociaz ... kod to mozna znalezc dla ulicy w ksiazce kodow :-)

Tylko ... zalozyli przy tym blokade - dzis widze 0$, wczesniej ponoc
byl 1$.

BZ byl szybki i karte zablokowal - ale ciekaw jestem co mu sie nie
spodobalo - transakcja zagraniczna w ogole, dwie blokady szybko po
sobie, niska kwota, internetowa platnosc

Dziwne. Swoją drogą, $0 to ciekawa blokada.

Byc moze jakis skutek wycofywania tej blokady.

J.

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

A propos - platnosc zagraniczna przez firme Stripe - poprosili o nr
karty, date waznosci, CVV,  adres ... po czym stwierdzili, ze kod
pocztowy im sie nie zgadza.
I juz mozna sprawdzac kolejne - choc prob raczej niewiele.

Przeciwnie, przynajmniej oni mogą sprawdzać w nieskończoność :-)

Oni moze moga, ale za ktoryms razem hackerowi odmowia.
Albo jak ponizej - bank zadziala, a moze Visa zadziala ...

No ale sprawdzanie adresu na polskiej karcie - słabo to wygląda.
--
Krzysztof Hałasa