| Data: 2013-07-06 23:17:07 | |
| Autor: J.F. | |
| karty indukcyjne | |
|
czemu nam wciskaja ? A moze temu http://wyborcza.biz/biznes/1,101562,14197672,Tajemnice_kart_platniczych__bankomatow_i_terminali.html Zalety? Karty zużywa się trzykrotnie wolniej od paskowej, możemy nie wypuszczać jej z ręki, drobne transakcje są błyskawiczne. i pare ciekawych informacji "Forbes" sugeruje, że jednak tak, i opisuje publiczny pokaz skimmingu karty zbliżeniowej w wykonaniu Kristin Paged (specjalistki ds. bezpieczeństwa danych wspomagającej Apple'a i Microsoft). Posługując się sprzętem kupionym na eBayu (czytnik Vivotech RFID za 50 dol. i magnetyzer do kart za 300 dol.) Paged sczytała z odległości pół metra dane karty tkwiącej w kieszeni jednego z widzów, naniosła je magnetyzerem na pustą kartę, po skopiowaniu paska wsunęła duplikat karty do miniaturowego czytnika Square Credit Card Reader wtykanego przez gniazdko słuchawkowe do iPhone'a i na koniec wypłaciła sobie 15 dol. Z karty, której nie dotknęła ani nie widziała! Ale można prościej: pójść do banku i poprosić o wyłączenie niechcianej funkcji. Banki to robią (na razie tylko pięć), choć wcześniej zapewniały, że się nie da. - Teraz już da się, i to nawet zdalnie - zapewnia Joanna Erdman. - Klient wysyła nam dyspozycję, a my komunikat do jego karty. Aby karta odebrała komunikat i zmieniła status, trzeba ją wsunąć do terminalu lub bankomatu - zbliżenie do czytnika nie wystarczy. Utrata "zbliżeniowości" jest nieodwracalna. "Ci, którzy nie dowierzają, mają wiele sposobów wyłączenia zbliżeniowości zwykle przez uszkodzenie czipa (np. nożem, dziurkaczem czy podgrzewając kartę w mikrofalówce)" Hm, chip kontaktowy chyba tego nie przezyje. A i ferryty ponoc grzeja sie mocno. "Jadąc za granicę - Miej przy sobie numery telefonów "swoich" banków, gdybyś musiał zastrzec karty. - Bądź przygotowany na transakcje DCC - na terminalu pojawiają się wówczas dwie kwoty, a kasjer spyta cię, czy chcesz płacić w miejscowej walucie, czy w złotych. Ta druga jest opcja jest bezpieczniejsza - to, co widzisz, to ostateczna kwota transakcji - niezagrożona dodatkowymi opłatami za przeliczenie waluty czy użycie karty. Inaczej dochodzą koszty przewalutowania, czasem wielokrotnego (np. w Chorwacji z kun na euro i z euro na złote). " Naprawde tak bywa ? czy raczej do wyboru bedzie miejscowa waluta i euro ? J. |
|
| Data: 2013-07-06 20:42:20 | |
| Autor: A.L. | |
| karty indukcyjne | |
|
On Sat, 6 Jul 2013 23:17:07 +0200, "J.F."
<jfox_xnospamx@poczta.onet.pl> wrote:
Wszystko prawda. Tu gdzie mieszkam, sprzedaja gustowne etui do kart i paszportow majace te cenna wlasnosc ze ekranuja karte i nei da sie jej chipa RFID odczytac. Jezeli w Polsce takich nei ma, to jest nisza na rynku dla obrotnego pzredsiebiorcy :) A.L. P.S. Co patrwda kart z RFID jest tyle co an lekarstwo, ale kazdy paszport ma RFID |
|
| Data: 2013-07-07 00:41:38 | |
| Autor: witek | |
| karty indukcyjne | |
|
A.L. wrote:
tam gdzie mieszkasz to i gowno owiniete w papierek by sprzedali jesli tylko znalazl by sie frajer, ktory by uwierzyl, ze to dziala i chial kupic. |
|
| Data: 2013-07-09 12:13:36 | |
| Autor: A.L. | |
| karty indukcyjne | |
|
On Sun, 07 Jul 2013 00:41:38 -0500, witek
<witek7205@gazeta.pl.invalid> wrote: A.L. wrote: Dla mnei - rewelacja A.L. |
|
| Data: 2013-07-07 11:36:47 | |
| Autor: Marek | |
| karty indukcyjne | |
|
On Sat, 06 Jul 2013 20:42:20 -0500, A.L. <alewando@aol.com> wrote:
chipa RFID odczytac. Jezeli w Polsce takich nei ma, to jest nisza na Owszem sÄ , paranoiczne obawy do kart zbliĹźeniowych sÄ powszechne, co czÄsto moĹźna zauwaĹźyÄ nawet na tej grupie. -- Marek |
|
| Data: 2013-07-07 11:50:48 | |
| Autor: MarcinF | |
| karty indukcyjne | |
|
W dniu 2013-07-07 11:36, Marek pisze:
Owszem są, paranoiczne obawy do kart zbliżeniowych są powszechne, co Paranoiczne? System umożliwia kradzież pieniędzy, których nawet nie ma na rachunku, a banki nie chcą brać odpowiedzialności za nie potwierdzone pinem transakcje. Jeśli ktoś rozumie działanie usługi oraz jej regulamin to jego obawy są uzasadnione. |
|
| Data: 2013-07-07 16:38:24 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-07, MarcinF <marfi@interia.pl> wrote:
[...] Owszem są, paranoiczne obawy do kart zbliżeniowych są powszechne, co Tak. -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-07 21:28:26 | |
| Autor: MarcinF | |
| karty indukcyjne | |
|
W dniu 2013-07-07 16:38, Wojciech Bancer pisze:
Paranoiczne? Unikanie tracenia karty z oczu, sprawdzanie czy bankomat nie ma nakładki do skimmingu i zaklejanie kodu CVV też uważasz za paranoję ? |
|
| Data: 2013-07-07 12:35:28 | |
| Autor: Kris | |
| karty indukcyjne | |
|
W dniu niedziela, 7 lipca 2013 21:28:26 UTC+2 użytkownik MarcinF napisał:
Unikanie tracenia karty z oczu, sprawdzanie czy bankomat nie ma nak�adki Ja tak. |
|
| Data: 2013-07-08 00:12:10 | |
| Autor: Chris94 | |
| karty indukcyjne | |
|
Dnia Sun, 7 Jul 2013 12:35:28 -0700 (PDT), Kris napisał(a):
W dniu niedziela, 7 lipca 2013 21:28:26 UTC+2 użytkownik MarcinF napisał: No patrz Pan! A (pomijając zaklejanie kodu CVV) banki oraz policja właśnie takie kroki zalecały po każdym nagłośnionym przez media przypadku skimmingu! Czyżby banki i policja zostały opanowane przez paranoików? -- Pozdrowienia, Krzysztof (dawniej używający nicka 'Chris') |
|
| Data: 2013-07-08 00:23:09 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-07, Chris94 <chris94@WYTNIJ_TO.poczta.fm> wrote:
[...] No patrz Pan! W tym wypadku oczywiście że wykazują pewną nazwijmy to - zawodową - paranoję. -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-07 21:39:10 | |
| Autor: sqlwiel | |
| karty indukcyjne | |
|
W dniu 2013-07-07 21:28, MarcinF pisze:
W dniu 2013-07-07 16:38, Wojciech Bancer pisze: Ja zdrapuję (zapisawszy sobie przedtem zaszyfrowane). Jestem paranoikiem? -- Dziękuję. Pozdrawiam. sqlwiel. |
|
| Data: 2013-07-07 22:19:33 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-07, MarcinF <marfi@interia.pl> wrote:
[...] Unikanie tracenia karty z oczu, sprawdzanie czy bankomat nie ma nakładkiParanoiczne?Tak. Mhm. -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-08 18:20:18 | |
| Autor: m | |
| karty indukcyjne | |
|
On 07.07.2013 16:38, Wojciech Bancer wrote:
On 2013-07-07, MarcinF <marfi@interia.pl> wrote: A jednak przykłady obronienia karty zupełnie offline się zdarzały i limit 3 transakcji bez PINu okazał się być nie zasadą działania systemu a "zasadniczo tak być powinno ale nie zawsze". Ja PayPassa używam na debetówce, chwalę go sobie, ale tam mam kilkaset złotych. KK zbliżeniowej nie chcę. p. m. |
|
| Data: 2013-07-08 18:39:11 | |
| Autor: sqlwiel | |
| karty indukcyjne | |
|
W dniu 2013-07-08 18:20, m pisze:
Ja PayPassa używam na debetówce, chwalę go sobie, ale tam mam kilkaset Się zastanawiam, czy lepiej wklepywać PIN dając sporą szansę na jego podglądnięcie (zwłaszcza w jakimś Lidlu blisko domu, gdzie bywam 3x/tydz), czy raczej płacić zbliżeniowo-bezpinowo. .... w Lidlu akurat PINpady są osłonięte. -- Dziękuję. Pozdrawiam. sqlwiel. |
|
| Data: 2013-07-08 19:54:16 | |
| Autor: osa | |
| karty indukcyjne | |
|
W dniu 2013-07-08 18:20, m pisze:
A jednak przykłady obronienia karty zupełnie offline się zdarzały i Mieli zapisać limity ale miejsca na karcie brakło, bo musieli zarezerwować na listę ostatnich transakcji ;) Fakt, że na karcie jest też lista ostatnich X transakcji to takie moje wczorajsze odkrycie przy zabawie z kartami EMV. Trochę dziwi, że karty chętnie dzielą się z każdym zainteresowanym różnymi danymi dot. użytkownika - oczywiście dane te są jawne i można je odczytać każdym czytnikiem kart chipowych. Wszak zapisanie szczegółów ostatnich 10 (i więcej) transakcji czemuś służy (ktoś wie czemu?). A co do limitów ilościowych to bywa że są ustawione 3 szt. dla terminali online, ale jak terminal jest offline to 5 sztuk karta chętnie obsłuży bez marudzenia. Zgłębiam jeszcze tajniki negocjacji sposobu autoryzacji transakcji i wnioski też nie są zbyt optymistyczne: mimo, że można wymusić aby PIN między terminalem i kartą był szyfrowany to banki z jakiegoś powodu 'proponują' terminalowi przesłanie go w sposób jawny, nawet jeśli obsługuję on metodę szyfrowaną. A fakt, że taką transmisję można stosunkowo łatwo podsłuchać... no ale przecież to użytkownik odpowiada za transakcje z użyciem PINu. No ale to na razie początek mojej analizy danych z kart emv więc na razie nie będę siał (większej) paniki ;) |
|
| Data: 2013-07-08 19:59:33 | |
| Autor: Chris94 | |
| karty indukcyjne | |
|
Dnia Mon, 08 Jul 2013 19:54:16 +0200, osa napisał(a):
Mieli zapisać limity ale miejsca na karcie brakło, bo musieli zarezerwować na listę ostatnich transakcji ;) Fakt, że na karcie jest też lista ostatnich X transakcji to takie moje wczorajsze odkrycie przy zabawie z kartami EMV. Trochę dziwi, że karty chętnie dzielą się z każdym zainteresowanym różnymi danymi dot. użytkownika - oczywiście dane te są jawne i można je odczytać każdym czytnikiem kart chipowych. Wszak zapisanie szczegółów ostatnich 10 (i więcej) transakcji czemuś służy (ktoś wie czemu?). A co do limitów ilościowych to bywa że są ustawione 3 szt. dla terminali online, ale jak terminal jest offline to 5 sztuk karta chętnie obsłuży bez marudzenia. Niecierpliwie czekamy na dalsze ustalenia :) -- Pozdrowienia, Krzysztof (dawniej używający nicka 'Chris') |
|
| Data: 2013-07-09 23:07:38 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
osa <woytek18@poczta.fm> writes:
Mieli zapisaÄ limity ale miejsca na karcie brakĹo, bo musieli Co teoretycznie powinno powodowaÄ nielegalnoĹÄ tych kart w Polsce. Rzecznik coĹ tam raz na jakiĹ czas powie/napisze, ale jakoĹ niezbyt gĹoĹno. Wszak zapisanie szczegĂłĹĂłw ostatnich 10 (i wiÄcej) transakcji czemuĹ Ĺťeby moĹźna byĹo stwierdziÄ, Ĺźe danÄ kartÄ (a nie np. jej klonem) dokonano (lub nie) danej transakcji (fraudu). ZgĹÄbiam jeszcze tajniki negocjacji sposobu autoryzacji transakcji i Teoretycznie, to niby nie. A praktycznie, to i bez PINu czÄsto odpowiada. No ale to na razie poczÄ tek mojej analizy danych z kart emv wiÄc na Prawda jest taka, Ĺźe nie naleĹźy takich kart "traciÄ". Tyle Ĺźe w kontekĹcie NFC "utrata karty" zaczyna oznaczaÄ coĹ innego. -- Krzysztof HaĹasa |
|
| Data: 2013-07-09 10:03:32 | |
| Autor: Piotr Gałka | |
| karty indukcyjne | |
|
Użytkownik "m" <mvoicem@gmail.com> napisał w wiadomości news:51dae6c2$0$1214$65785112news.neostrada.pl... Ja PayPassa używam na debetówce, chwalę go sobie, ale tam mam kilkaset złotych. Ale jesteś świadom, że taką kartą skradzioną offlajnowo w ciągu kilkunastu minut potrafią zrobić ci kilka tysięcy debetu ? P.G. |
|
| Data: 2013-07-09 10:28:36 | |
| Autor: sqlwiel | |
| karty indukcyjne | |
|
W dniu 2013-07-09 10:03, Piotr Gałka pisze:
Dodać koniecznie: Który to debet zapłacisz, bo "bank nie ma możliwości odrzucenia transakcji off-line". -- Dziękuję. Pozdrawiam. sqlwiel. |
|
| Data: 2013-07-09 23:08:50 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
sqlwiel <"nick"@googlepoczta.com> writes:
KtĂłry to debet zapĹacisz, bo "bank nie ma moĹźliwoĹci odrzucenia OczywiĹcie Ĺźe ma. Ale decyzjÄ musi wczeĹniej zapisaÄ na karcie. -- Krzysztof HaĹasa |
|
| Data: 2013-07-09 11:52:48 | |
| Autor: m | |
| karty indukcyjne | |
|
On 09.07.2013 10:03, Piotr Gałka wrote:
Mam. Trochę mi to psuje dobry nastrój, ale generalnie dobrze śpię :). Za to z limitem kilkanaście tysięcy + paypas - nie spałbym juz tak dobrze. p. m. |
|
| Data: 2013-07-09 12:49:46 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-09, Piotr Gałka <piotr.galka@cutthismicromade.pl> wrote:
[...] Ja PayPassa używam na debetówce, chwalę go sobie, ale tam mam kilkaset złotych. I nie pokryje tego ubezpieczenie? -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-09 13:04:38 | |
| Autor: Maruda | |
| karty indukcyjne | |
|
W dniu 2013-07-09 12:49, Wojciech Bancer pisze:
On 2013-07-09, Piotr GaĹka<piotr.galka@cutthismicromade.pl> wrote:A czytaĹeĹ warunki? A pĹacisz za to ubezpieczenie? -- DziÄkujÄ. Pozdrawiam. Ten Maruda |
|
| Data: 2013-07-09 13:29:34 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-09, Maruda <maruda@null.com> wrote:
W dniu 2013-07-09 12:49, Wojciech Bancer pisze: Akceptuję ryzyko "do 150EUR". Powyżej klient nie odpowiada. A za transakcje po zastrzeżeniu karty nie odpowiada w ogóle, czyż nie? -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-09 15:55:17 | |
| Autor: Piotr Gałka | |
| karty indukcyjne | |
|
Użytkownik "Wojciech Bancer" <proteus@post.pl> napisał w wiadomości news:slrnktnt0u.2qm.proteuspl-test.org... Teoretycznie tak, ale problem się pojawia gdyż (jak to wynika z różnych wskazywanych tu kiedyś publikacji) nasze banki oczekują od klienta, aby to on udowodnił, że nie wykonał tych transakcji. Nie ma podpisu, nie ma PINu, karta była obecna = transakcje wykonał klient.A czytałeś warunki? P.G. |
|
| Data: 2013-07-09 16:00:15 | |
| Autor: Chris94 | |
| karty indukcyjne | |
|
Dnia Tue, 9 Jul 2013 13:29:34 +0200, Wojciech Bancer napisał(a):
Akceptuję ryzyko "do 150EUR". Powyżej klient nie odpowiada. Ale jak można przeczytać z zeznań ludzi, którzy takiego fraudu doświadczyli, wcale to nie działa tak, że bank zabiera tylko nadwyżkę ponad 150 EUR. Bank zabiera cała kwotę transakcji, a potem dopiero trzeba się kopać z koniem, żeby oddał tę nadwyżkę powyżej 150 EUR. A za transakcje po zastrzeżeniu karty nie odpowiada w ogóle, czyż nie? Mnie mBank obciążył jakby nigdy nic transakcją zbliżeniową, która została dokonana w 2 tygodnie po zastrzeżeniu karty. -- Pozdrowienia, Krzysztof (dawniej używający nicka 'Chris') |
|
| Data: 2013-07-09 16:04:52 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-09, Chris94 <chris94@WYTNIJ_TO.poczta.fm> wrote:
Akceptuję ryzyko "do 150EUR". Powyżej klient nie odpowiada. No oczywiście. Ale to jest ogólna niedogodność kart debetowych jako takich. -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-09 16:13:52 | |
| Autor: Chris94 | |
| karty indukcyjne | |
|
Dnia Tue, 9 Jul 2013 16:04:52 +0200, Wojciech Bancer napisał(a):
On 2013-07-09, Chris94 <chris94@WYTNIJ_TO.poczta.fm> wrote: Ale w przypadku używania karty zbliżeniowej, prawdopodobieństwo wystąpienia tej "niedogodności" gwałtownie rośnie i tego właśnie dotyczy nasza dyskusja. -- Pozdrowienia, Krzysztof (dawniej używający nicka 'Chris') |
|
| Data: 2013-07-09 16:29:16 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-09, Chris94 <chris94@WYTNIJ_TO.poczta.fm> wrote:
[...] No oczywiście. Ale to jest ogólna niedogodność kart debetowych jako takich. Jak gwałtownie? Konkretnie ktoś już oszacował ryzyko? Dużo wyższe niż wysoka wygrana w totka? -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-09 17:43:27 | |
| Autor: Chris94 | |
| karty indukcyjne | |
|
Dnia Tue, 9 Jul 2013 16:29:16 +0200, Wojciech Bancer napisał(a):
No oczywiście. Ale to jest ogólna niedogodność kart debetowych jako takich. W przypadku kradzieży karty płatniczej we Wrocławiu, bliskie 100%. -- Pozdrowienia, Krzysztof (dawniej używający nicka 'Chris') |
|
| Data: 2013-07-09 17:45:29 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-09, Chris94 <chris94@WYTNIJ_TO.poczta.fm> wrote:
[...] Jak gwałtownie? Konkretnie ktoś już oszacował ryzyko? Dużo wyższe niż wysokaW przypadku kradzieży karty płatniczej we Wrocławiu, bliskie 100%. Znaczy co? Pojawię się we Wrocławiu i na prawie 100% mnie okradną? Come on. -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-09 18:50:29 | |
| Autor: Chris94 | |
| karty indukcyjne | |
|
Dnia Tue, 9 Jul 2013 17:45:29 +0200, Wojciech Bancer napisał(a):
Jak gwałtownie? Konkretnie ktoś już oszacował ryzyko? Dużo wyższe niż wysokaW przypadku kradzieży karty płatniczej we Wrocławiu, bliskie 100%. Proponuję, żebyś spróbował przeczytać ze zrozumieniem to jedno, jedyne zdanie, które napisałem. -- Pozdrowienia, Krzysztof (dawniej używający nicka 'Chris') |
|
| Data: 2013-07-09 19:10:32 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-09, Chris94 <chris94@WYTNIJ_TO.poczta.fm> wrote:
[...] Proponuję, żebyś spróbował przeczytać ze zrozumieniem to jedno, jedyneW przypadku kradzieży karty płatniczej we Wrocławiu, bliskie 100%.Znaczy co? Pojawię się we Wrocławiu i na prawie 100% mnie okradną? Ale ten problem *nie* dotyczy *tylko* kart bezstykowych. Są terminale działające offline w których do małych płatności nikt sobie dupy nie zawraca PINem. Tak, działające też z paska/chipa. Akurat we Wrocławiu zrobiło się o tym o tyle głośno, bo tam można w ten sposób kupić doładowania, które można odsprzedać. Wciąż i nadal - poproszę o statystyki jak duży procent użytkowników kart padł ofiarą czegoś takiego i jak duży miał problemy z odzyskaniem pieniędzy. Bo inaczej to te paranoiczne hasła nie mają żadnego merytorycznego uzasadnienia. A propos tegoż Wrocławia: http://samcik.blox.pl/2012/10/Horroe-we-Wroclawiu-Nie-trzeba-znac-PIN-u-do.html [...] "Minęło aż 30 dni od czasu zgłoszenia mojej reklamacji. MasterCard i mBank okazały się porządnymi firmami i zwrócili mi całość skradzionej kwoty (1080 zł). Pracownik banku powiedział mi, że w przypadku wystąpienia wielu transakcji pod rząd wydawcy kart są ubezpieczeni od odpowiedzialności, nawet jeśli wina leży po stronie klienta. I że są świadomi ryzyk związanych z nieautoryzowanymi transakcjami zbliżeniowymi". Niewykluczone, że firma ubezpieczeniowa, która pośrednio pokryła straty klienta, wyegzekwuje pieniądze od lekkomyślnego właściciela biletomatów." -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-09 20:17:33 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-09, Wojciech Bancer <proteus@post.pl> wrote:
[...] która pośrednio pokryła straty klienta, wyegzekwuje pieniądze od lekkomyślnego właściciela biletomatów." I jeszcze (bo teraz doczytałem), odn. automatów we Wrocku, doczytaj w komentarzu: http://samcik.blox.pl/2012/10/Horroe-we-Wroclawiu-Nie-trzeba-znac-PIN-u-do.html "To nie musiały być transakcje zbliżeniowe! We wrocławskich autobusach karty zwykłe nie są proszone o PIN - absurd ale tak jest. dzwoniłem w tej sprawie do AliorBanku - że sobie nie życzę by z mojej karty można było zdjąć pieniądze bez PINu, ale powiedzieli mi, że po prostu jest taki rodziaj transakcji - chipowa bez PINu i nic na to nie poradzą - to jest kwestia akceptanta, a nie moja." Więc paypass/nie-paypass nie robi absolutnie żadnej różnicy. -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-09 23:14:53 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Wojciech Bancer <proteus@post.pl> writes:
WiÄc paypass/nie-paypass nie robi absolutnie Ĺźadnej róşnicy. Jednak trochÄ robi, bo zmienia siÄ odpowiedzialny. W przypadku paypassa odpowiada bank, przy transakcji stykowej typowo odpowiada sklep, ktĂłry nie sprawdziĹ PINu. -- Krzysztof HaĹasa |
|
| Data: 2013-07-09 23:59:05 | |
| Autor: J.F. | |
| karty indukcyjne | |
|
Dnia Tue, 9 Jul 2013 20:17:33 +0200, Wojciech Bancer napisał(a):
I jeszcze (bo teraz doczytałem), odn. automatów we Wrocku, doczytaj To nie bug, to feature :-) http://www.youtube.com/watch?v=on2mXfzAMXs Wszystko w celu bezpieczenstwa. Więc paypass/nie-paypass nie robi absolutnie żadnej różnicy. Troche robi, karte stykowa trzeba ci zabrac, zblizeniowa mozna przez ubranie ... J. |
|
| Data: 2013-07-10 00:44:32 | |
| Autor: Chris94 | |
| karty indukcyjne | |
|
Dnia Tue, 9 Jul 2013 19:10:32 +0200, Wojciech Bancer napisał(a):
Proponuję, żebyś spróbował przeczytać ze zrozumieniem to jedno, jedyneW przypadku kradzieży karty płatniczej we Wrocławiu, bliskie 100%.Znaczy co? Pojawię się we Wrocławiu i na prawie 100% mnie okradną? Ale przed wprowadzeniem kart zbliżeniowych nikt tego typu fraudów nie zgłaszał, natomiast po ich wprowadzeniu takie fraudy się pojawiły. Czyli jakiś związek pomiędzy tymi dwoma elementami istnieje i wcale nie musi to akurat być sama "zbliżeniowość", równie dobrze może to być jakaś luka w zabezpieczeniach, która została wprowadzona wraz ze "zbliżeniowością". Wciąż i nadal - poproszę o statystyki jak duży procent użytkowników kart Jeśli tylko podasz mi adres strony, która zawiera statystyki fraudów dokonanych w Polsce przy użyciu kart płatniczych, to postaram się wydzielić z nich dane dotyczące kart zbliżeniowych.
A w innych przypadkach banki ani myślały zwracać całości zdefraudowanych środków. Choćby w klasycznym już przypadku opisywanym na tej grupie: "Po reklamacji telefonicznej a następnie pisemnej oraz odczekaniu 30 dni mbank zwrócił środki z pominięciem równowartości 150 euro. W reklamacji było żądanie zwrotu całości skradzionych środków, ponieważ transakcje nie były autoryzowane, jednak mbank odmówił zwrotu całości. Tak więc ostatecznie szwagierkę okradziono na równowartość 150 euro, nie licząc straconego czasu, nerwów itp." - news:op.wizgjg1qebnp5ja159590 -- Pozdrowienia, Krzysztof (dawniej używający nicka 'Chris') |
|
| Data: 2013-07-10 01:48:03 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-09, Chris94 <chris94@WYTNIJ_TO.poczta.fm> wrote:
[...] Ale przed wprowadzeniem kart zbliżeniowych nikt tego typu fraudów nie Były. natomiast po ich wprowadzeniu takie fraudy się pojawiły. Tak. Pojawiło się kilka artykułów w gazetach. Jej. jakiś związek pomiędzy tymi dwoma elementami istnieje i wcale nie musi To się nazywa "temat zastępczy". [...] "Po reklamacji telefonicznej a następnie pisemnej oraz odczekaniu 30 dni mbank zwrócił środki z pominięciem równowartości 150 euro. W reklamacji było żądanie zwrotu całości skradzionych środków, ponieważ transakcje Do momentu zastrzeżenia karty użytkownik odpowiada "do wysokości 150 EUR. Więc kiedy nastąpiło zastrzeżenie karty, a kiedy dokonano transakcji? Identyczna sytuacja wystąpiłaby dajmy na to 5 lat temu przy kartach z podpisem. Jej. -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-10 09:51:50 | |
| Autor: Piotr Gałka | |
| karty indukcyjne | |
|
Użytkownik "Wojciech Bancer" <proteus@post.pl> napisał w wiadomości news:slrnktp8a9.2rc.proteuspl-test.org... Do momentu zastrzeżenia karty użytkownik odpowiada "do wysokości 150 EUR.Czyli mimo braku zgodnego podpisu za transakcje (do 150EUR) odpowiadał klient ? P.G. |
|
| Data: 2013-07-10 10:09:01 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-10, Piotr Gałka <piotr.galka@cutthismicromade.pl> wrote:
Ustawa o Elektronicznych Instrumentach Płatniczych (obowiązująca wtedy). Art. 28. [...] "2. O ile umowa nie przewiduje inaczej, posiadacza obciążają operacje dokonane z użyciem utraconej karty płatniczej do czasu zgłoszenia wydawcy jej utraty, do kwoty stanowiącej równowartość w złotych 150 euro." W przepisie nie widzę warunku "podpis niezgodny", a jedynie "do czasu zgłoszenia wydawcy jej utraty". PS. Jakbyś szukał w źródłach, ustawa obowiązywała w tym zakresie od 12/10/2003, przepis został uchylony wprowadzeniem podobnej konstrukcji w nowej ustawie z dn. 19/7/2012 o usługach płatniczych. -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-10 16:01:58 | |
| Autor: Matt | |
| karty indukcyjne | |
|
On Wed, 10 Jul 2013 10:09:01 +0200, Wojciech Bancer <proteus@post.pl> wrote:
On 2013-07-10, Piotr GaĹka <piotr.galka@cutthismicromade.pl> wrote: W ustawie o EIP kwota 150 euro dotyczyĹa przypadku, gdy wydawca karty i akceptant naleĹźycie wykonywali swoje obowiÄ zki. Cytat z ustawy o EIP: "Posiadacza nie obciÄ ĹźajÄ operacje dokonane z uĹźyciem utraconej karty pĹatniczej, jeĹźeli ich dokonanie nastÄ piĹo wskutek nienaleĹźytego wykonania zobowiÄ zania przez wydawcÄ lub akceptanta." Wg mnie, albo akceptant nie wykonywaĹ swoich obowiÄ zkĂłw naleĹźycie (brak autoryzacji), albo wydawca karty nie wykonywaĹ swoich obowiÄ zkĂłw naleĹźycie (bank pozwoliĹ na obciÄ Ĺźenie karty debetowej powyĹźej, znacznie powyĹźej dostÄpnych ĹrodkĂłw i caĹkowicie ignorujÄ c brak autoryzacji i caĹkowicie ignorujÄ c limity ustawione w systemie transakcyjnym). Matt |
|
| Data: 2013-07-10 16:11:54 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-10, Matt <matt@ms.ms> wrote:
[...] Wg mnie, albo akceptant nie wykonywał swoich obowiązków należycie (brak autoryzacji), albo wydawca karty nie wykonywał swoich obowiązków należycie (bank pozwolił na obciążenie karty debetowej powyżej, znacznie powyżej dostępnych środków i całkowicie ignorując brak autoryzacji i całkowicie ignorując limity ustawione w systemie transakcyjnym). Ale to już jest Twoje gdybanie czy "powyżej" i czy cokolwiek ignorując. A obciążenie karty powyżej dostępnych środków jest jak najbardziej możliwe, nie tylko przy transakcjach offline. -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-10 16:50:43 | |
| Autor: Matt | |
| karty indukcyjne | |
|
On Wed, 10 Jul 2013 16:11:54 +0200, Wojciech Bancer <proteus@post.pl> wrote:
On 2013-07-10, Matt <matt@ms.ms> wrote: Jakie gdybanie? DostÄpne Ĺrodki na rachunku to nie jest Ĺźadne gdybanie. Czy uwaĹźasz, Ĺźe iloĹÄ dostÄpnych ĹrodkĂłw leĹźy w kwestii interpretacji i opinii? A obciÄ Ĺźenie karty powyĹźej dostÄpnych ĹrodkĂłw jest jak najbardziej moĹźliwe, nie tylko przy transakcjach offline. To, co jest technicznie wykonalne, bo tak Visa/MC/Amex wymyĹliĹy sobie kilkadziesiÄ t lat temu, niekoniecznie jest zgodne ze wspĂłĹczesnym prawem. Stara ustawa o EIP: "Posiadacza nie obciÄ ĹźajÄ operacje dokonane przy uĹźyciu elektronicznego instrumentu pĹatniczego, ktĂłrych zlecenia nie potwierdziĹ, z zastrzeĹźeniem art. 28 ust. 1 i 6 oraz art. 32 ust. 2." Czyli wg tego zapisu, albo akceptant bÄdzie przeprowadzaĹ autoryzacjÄ dla kaĹźdej transakcji, albo tego nie robi i bierze na siebie koszty potencjalnych fradĂłw. Niestety, rzeczywistoĹÄ pokazaĹa, Ĺźe zapis w ustawie to jedno, a dziaĹalnoĹÄ bankĂłw (z mbankiem na czele) to drugie. Matt |
|
| Data: 2013-07-10 17:17:19 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-10, Matt <matt@ms.ms> wrote:
On Wed, 10 Jul 2013 16:11:54 +0200, Wojciech Bancer <proteus@post.pl> wrote: Gdybasz, czy takie działania są dozwolone, czy nie. W szczególności nie podając zapisów umowy między stronami. A obciążenie karty powyżej dostępnych środków jest jak najbardziej możliwe, nie tylko przy transakcjach offline. Cytujesz Art. 5. Tymczasem art. 28 ust. 2 jest przepisem IMHO bardziej szczegółowym i dotyczy właśnie omawianej sytuacji. -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-10 23:06:00 | |
| Autor: Chris94 | |
| karty indukcyjne | |
|
Dnia Wed, 10 Jul 2013 01:48:03 +0200, Wojciech Bancer napisał(a):
Ale przed wprowadzeniem kart zbliżeniowych nikt tego typu fraudów nie Były przypadki dokonania fraudów poprzez dokonanie kartami płatności bez autoryzowania transakcji PIN-em, podpisem lub CVV? Podaj jakieś linki do przykładów. natomiast po ich wprowadzeniu takie fraudy się pojawiły. Zastępczy zamiast czego? Tutaj masz taki sam "temat zastępczy" z dzisiaj: "Czytam tą dyskusję i mogę powiedzieć tylko tyle ,że właśnie taki złodziej skroił mi kartę na 340zł.Może bym się nie z orientował tylko zakupy na tą kwotę zrobił w sklepie z zabawkami. A dla mnie to ostatni sklep gdzie można mnie spotkać. Więc macie tu przykład ,że takie kradzieże są możliwe i to nie na 50 zł" - http://niebezpiecznik.pl/post/klonowanie-zblizeniowych-kart-kredytowych-rfid/#comment-216997 Jak widać, ten numer już przechodzi nie tylko w środkach komunikacji miejskiej we Wrocławiu, ale nawet w sklepach z zabawkami! A ponieważ 340 zł < 150 EUR, więc zapowiada się ciekawa przepychanka z bankiem. Do momentu zastrzeżenia karty użytkownik odpowiada "do wysokości 150 EUR. Ale gdy wprowadzano karty chipowe i autoryzację podpisem zamieniano na autoryzację PIN-em, uzasadniano to zwiększeniem bezpieczeństwa poprzez wprowadzenie nowego sposobu autoryzacji. W przypadku bezstykowych kart mBanku stało się wręcz przeciwnie, gdyż tymi kartami złodziej może płacić ani nie autoryzując transakcji podpisem, ani PIN-em, co w starych kartach nie było możliwe. W sytuacji gdy bank chce obciążać klienta kosztami 150 EUR za wykonane przez złodzieja operacje, które były możliwe dlatego, że bank nie stworzył właściwych zabezpieczeń karty, to poza kastracją karty jedynym wyjściem pozostaje rezygnacja z niej. -- Pozdrowienia, Krzysztof (dawniej używający nicka 'Chris') |
|
| Data: 2013-07-10 23:32:10 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-10, Chris94 <chris94@WYTNIJ_TO.poczta.fm> wrote:
[...] Były. Były. Automaty działające offline bez podpisu/pin to nie jest jakaś specjalna nowość. Podaj jakieś linki do przykładów. Nie zbieram. jakiś związek pomiędzy tymi dwoma elementami istnieje i wcale nie musiTo się nazywa "temat zastępczy". Realnych problemów. sklep gdzie można mnie spotkać. Więc macie tu przykład ,że takie Po pierwsze - nie wiadomo czym i jak się posłużył złodziej, bo autor komentarza jest technicznym laikiem w tym temacie. Po drugie, wg. Ciebie klonowania kart z paskiem nie było. Nic a nic? Po trzecie niebezpiecznik to taki trochę plotek.pl. Ma być przede wszystkim sensacyjnie, niekoniecznie merytorycznie. Jak widać, ten numer już przechodzi nie tylko w środkach komunikacji To straszne! Jako żywo przypomina mi dyskusje sprzed kilku lat, gdzie paranoicy udowadniali że "podpisy najlepsze", bo banki uznają reklamacje a od transakcji PINowych - nie. I że PIN + chip to jest obniżenie bezpieczeństwa, bo PIN podejrzeć to bułka z masłem. A jak się tak strachasz i ryzyko jest dla Ciebie nieakceptowalne, to sobie znajdź dobre ubezpieczenie od nieautoryzowanych transakcji w kwocie <0-150EUR> i już. -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-11 00:53:53 | |
| Autor: Chris94 | |
| karty indukcyjne | |
|
Dnia Wed, 10 Jul 2013 23:32:10 +0200, Wojciech Bancer napisał(a):
Były przypadki dokonania fraudów poprzez dokonanie kartami płatności bez Ale wcześniej jakoś skarg nie było na fraudy dokonane przy użyciu tych automatów. Pojawiły się po wprowadzeniu kart bezstykowych. Podaj jakieś linki do przykładów. Więc szkoda, że nie masz żadnych argumentów na potwierdzenie głoszonych przez siebie teorii. To się nazywa "temat zastępczy". Jeśli dla Ciebie zniknięcie kilkuset złotych z konta jest "tematem zastępczym", to nie pozostaje mi nic innego, jak tylko życzyć Ci, żeby zamiast realnych problemów dotyczyły Cię tylko "tematy zastępcze". A jak się tak strachasz i ryzyko jest dla Ciebie nieakceptowalne, to sobie A dlaczego to ja mam ponosić koszty ubezpieczenia, jeśli to bank nie potrafił właściwie zabezpieczyć wydawanych przez siebie kart płatniczych? Jedynym sensownym wyjściem z tej sytuacji jest rezygnacja z użytkowania takiej niebezpiecznej karty, co właśnie mam zamiar uczynić. -- Pozdrowienia, Krzysztof (dawniej używający nicka 'Chris') |
|
| Data: 2013-07-11 09:12:40 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-10, Chris94 <chris94@WYTNIJ_TO.poczta.fm> wrote:
[...] Były przypadki dokonania fraudów poprzez dokonanie kartami płatności bez Ale dociera do Ciebie, że ten automat przyjmie też kartę bez funkcji bezstykowej? I też *NIE BĘDZIE CHCIAŁ PINU*? W jaki sposób to, że swoją karte pozbawisz antenki pomoże w takiej sytuacji? Co do tematu dyskusji wnosi fakt, że zostały zaimplementowane niedawno i jest o nich głośno, bo pozwalają na fraudy? To jest luka na którą pozwolił właściciel automatu, a nie wada bezstykówek jako takich. Więc szkoda, że nie masz żadnych argumentów na potwierdzenie głoszonychPodaj jakieś linki do przykładów.Nie zbieram. Ja nie głoszę żadnych teorii. Wyśmiewam te istniejące paranoiczne zachowania. Realnych problemów. Nie troluj. W skali kraju i omawianego bezpieczeństwa, pojedynczy przypadek, czy nawet 3 przypadki, z których omawiany wyżej jest słabo opisany i w sumie nie wiadomo *jak i dlaczego* ktoś stracił kasę, to jak najbardziej temat zastępczy. Już nie mówiąc o tym, że przeczytałeś komentarz i nie znasz dalszego ciągu historii, tylko sobie domniemywasz. A jak się tak strachasz i ryzyko jest dla Ciebie nieakceptowalne, to sobie Duh. Bo nie akceptujesz minimalnego ryzyka utraty środków, związanego z przedziałem 0-150EUR, w czasie od utraty karty do zgłoszenia zastrzeżenia? Jedynym sensownym wyjściem z tej sytuacji jest rezygnacja z użytkowania A rób co chcesz, to wolny kraj. Tylko nie udawaj, że taka decyzja ma podłoże merytoryczne i oparte na jakiejś wiedzy. Postraszyli Cię kilkoma sensacyjnymi artykułami, temat zastępczy podziałał. -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-11 15:12:30 | |
| Autor: Piotr Gałka | |
| karty indukcyjne | |
|
Użytkownik "Wojciech Bancer" <proteus@post.pl> napisał w wiadomości news:slrnktsmnu.2te.proteuspl-test.org... Nikomu by nic nie przeszkadzało jakby miał wybór między:A dlaczego to ja mam ponosić koszty ubezpieczenia, jeśli to bank nie 1. karta super wygodna i mało bezpieczna + ewentualne płatne ubezpieczenie dla chętnych, 2. karta niewygodna (nie zbliżeniowa i nie offlajnowa) ale bezpieczna i bez konieczności ubezpieczania. Źródłem dyskusji jest brak tego wyboru. P.G. |
|
| Data: 2013-07-11 18:06:52 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-11, Piotr Gałka <piotr.galka@cutthismicromade.pl> wrote:
[...] Duh. Bo nie akceptujesz minimalnego ryzyka utraty środków, związanegoNikomu by nic nie przeszkadzało jakby miał wybór między: Źródłem zagrożenia są transakcje offline, a nie fakt zbliżeniowości karty. I obawiam się, że fraudów i malkontentów (Ci są zawsze) jest na tyle mało, że właściwym osobom władnym za takie decyzje zwyczajnie to powiewa. I ja im się nie dziwię. Weź też pod uwagę też inny aspekt: łatwiej zamontować skaner do klonownaia kart + kamerę do podpatrzenia PIN niż popindalać ludziom po kieszachiach z czytnikiem. Jest to i łatwiejsze dla złodzieja, i bezpieczniejsze (może sobie dane wciągnąć zdalnie) i mniej problematyczne (od razu podpatrzy PIN, a nie ma kontaktu z użytkownikiem karty, i podpierdolić może jednorazowo "ile fabryka dała"). Więc jak chcesz bezpiecznie, to używaj gotówki, albo zaakceptuj ryzyko jakie się wiąże z używaniem karty. Jakiejkolwiek. -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-11 22:45:01 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Wojciech Bancer <proteus@post.pl> writes:
ĹšrĂłdĹem zagroĹźenia sÄ transakcje offline, a nie fakt zbliĹźeniowoĹci Nie, jedno i drugie jest zagroĹźeniem. Tyle Ĺźe transakcje off-line majÄ swoje pozytywne strony, natomiast transakcje bezstykowe - tak Ĺrednio. Ĺatwiej zamontowaÄ skaner do klonownaia kart + kamerÄ do podpatrzenia PIN To chyba Ĺźart? To pierwsze wcale nie jest Ĺatwe, za to Ĺatwo to wykryÄ i np. zastawiÄ puĹapkÄ na zĹodzieja. To drugie jest praktycznie niewykrywalne, a jeĹli komuĹ wystarczy "zwykĹy" zasiÄg, to telefony majÄ wbudowane scalaki NFC. DomyĹlam siÄ, Ĺźe nie wystarczy, trzeba bÄdzie kupiÄ jakiegoĹ scalaka np. NXP, ze dwa tranzystory, kilka kondensatorĂłw i opornikĂłw, i to wszystko zmontowaÄ i uruchomiÄ. ZwĹaszcza scalaka moĹźe byÄ trudno przylutowaÄ, maĹa obudowa z wyprowadzeniami pod spodem (SOT617). -- Krzysztof HaĹasa |
|
| Data: 2013-07-12 00:12:43 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-11, Krzysztof Halasa <khc@pm.waw.pl> wrote:
[...] Źródłem zagrożenia są transakcje offline, a nie fakt zbliżeniowości Jedno i drugie ma dokładnie tą samą zaletę. Jest wygodne. I o to chodzi. Większa wygoda za cenę niewielkiego ryzyka, które ponoszą obie strony (klient do czasu zastrzeżenia + ew. niedogodności związane z przepychaniem się z bankiem). To drugie jest praktycznie niewykrywalne, a jeśli komuś wystarczy To jaki wg Ciebie to jest zasięg? Bo wg mnie taki, żeby conajmniej pokracznie wyglądać i zwracać na siebie uwagę "szurając" po ludziach. To wcale nie jest podejrzane. Nic a nic. tranzystory, kilka kondensatorów i oporników, i to wszystko zmontować I czy na pewno dane uzyskane przez taki odczyt wystarczą do wykonania transakcji bezstykowej? Masz gdzieś opis faktycznego sklonowania i wykorzystania takiego klona, czy tylko się jarają wszyscy tym że można sobie jakieś dane z karty odczytać bezstykowo? Co zrobisz z tym swoim scalakiem skoro terminal działa na zasadzie challenge-response? -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-12 09:02:04 | |
| Autor: Piotrek | |
| karty indukcyjne | |
|
On 2013-07-12 00:12, Wojciech Bancer wrote:
[...] Tu masz opis ataku nawet groźniejszego niż klonowanie (gdzie sklonowaną kartą można zrobić nie więcej niż jedną transakcję do wysokości limitu): <http://niebezpiecznik.pl/post/uniwersalny-atak-na-karty-zblizeniowe/> Piotrek |
|
| Data: 2013-07-12 10:28:16 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-12, Piotrek <piotrek@pisz.na.berdyczow.info> wrote:
On 2013-07-12 00:12, Wojciech Bancer wrote: Niezłe SF. Uśmiałem się. Autor ma wyobraźnię. :) A coś z realnego świata? -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-12 11:01:11 | |
| Autor: Piotrek | |
| karty indukcyjne | |
|
On 2013-07-12 10:28, Wojciech Bancer wrote:
Niezłe SF. Uśmiałem się. Autor ma wyobraźnię. :) Czego konkretnie nie zrozumiałeś? Piotrek |
|
| Data: 2013-07-12 11:21:27 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-12, Piotrek <piotrek@pisz.na.berdyczow.info> wrote:
On 2013-07-12 10:28, Wojciech Bancer wrote: Takiego drobiazgu jak synchronizacja i radzenie sobie z opóźnieniami transmisji na odległość vs wymaganiami co do transmisji jakie mają terminale. Zabawnie byłoby oglądać "nie wzbudzającą podejrzeń" parkę, w której jeden się lepi do ludzi "w autobusie", a drugi idealnie wymierza moment na piknięcie w kasie. Normalnie jak film szpiegowski klasy B. :) -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-12 11:28:07 | |
| Autor: Piotrek | |
| karty indukcyjne | |
|
On 2013-07-12 11:21, Wojciech Bancer wrote:
Takiego drobiazgu jak synchronizacja i radzenie sobie z opóźnieniami Odpowiedź masz w filmie z mojego poprzedniego postu. Przy dobrze zaplanowanym ataku prawdopodobieństwo, że od zeskanowania karty do fraudowej transakcji ofiara zrobi transakcję kartą jest praktycznie zerowe. Piotrek |
|
| Data: 2013-07-12 11:29:48 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-12, Piotrek <piotrek@pisz.na.berdyczow.info> wrote:
On 2013-07-12 11:21, Wojciech Bancer wrote: W Polsce masz challenge-response tokeny, więc takie zapisane transakcje nie wystarczą. -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-12 11:11:55 | |
| Autor: Piotrek | |
| karty indukcyjne | |
|
On 2013-07-12 10:28, Wojciech Bancer wrote:
Niezłe SF. Uśmiałem się. Autor ma wyobraźnię. :) Tu masz pierwszą lepszą wizualizację do tego SF: Click -> <http://www.youtube.com/watch?v=w_vYuLyfw3E> Software leży tu: Click -> <http://sourceforge.net/projects/nfcproxy/> Jedyny "problem" polega na zbudowaniu sprzętu posiadającego nieco lepszą czułość niż to co standardowo jest w telefonie. Ale ponieważ protokół (NFC) nie ma wbudowanych zabezpieczeń przed maksymalną odległością z jakiej można się komunikować z urządzeniem to jest to "problem" a nie problem. Piotrek |
|
| Data: 2013-07-12 11:29:03 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-12, Piotrek <piotrek@pisz.na.berdyczow.info> wrote:
Niezłe SF. Uśmiałem się. Autor ma wyobraźnię. :) Absolutnie nie. I nawet ładnie w komentarzu naposali, że na nie US kartach raczej nie zadziała. A jednak wszystkie obecne informacje jakie się w sieci znajdują na temat "ściągnęli mi kasę z konta" dotyczą skradzionych kart. -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-12 11:39:33 | |
| Autor: Piotrek | |
| karty indukcyjne | |
|
On 2013-07-12 11:29, Wojciech Bancer wrote:
[...] na nie US kartach raczej nie zadziała [...] Być może. Chociaż nie widać powodu dla którego miałby nie zadziałać atak z wykorzystaniem trybu proxy. Ale nie na tym polega zasadniczy problem. Zasadniczy problem polega na tym, że w większości banku funkcjonalności nie można wyłączyć na żądanie. I tu (choć nie jesteśmy na pręgierzu) wazelina dla np. Citi gdzie dzwonisz na party-line, mówisz że sobie nie życzysz mieć płatności zbliżeniowych i Ci je po prostu wyłączają. Proste? Proste! Piotrek |
|
| Data: 2013-07-12 11:49:30 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-12, Piotrek <piotrek@pisz.na.berdyczow.info> wrote:
[...] Być może. Chociaż nie widać powodu dla którego miałby nie zadziałać atak z wykorzystaniem trybu proxy. No ale tutaj mamy do czynienia wtedy z gościem który sobie łazi po ludziach i wygląda co najmniej dziwnie. Pamiętaj o koniecznej synchronizacji. Realny świat to nie warunki laboratoryjne i *trochę* zabezpieczeń, opóźnień i innych trudnych do przewidzenia rzeczy tam jest. A wpaść niezwykle łatwo, bo musisz to robić f2f. I to za co? Kwoty w sklepach to raptem 50 zł jednorazowo, bo inaczej karta poprosi o pin. A przy ponownym użyciu trzeba mieć ponownie zbliżoną, bo inny będzie CR. Pomyśl przez chwilę jakie to jest ryzykowne w realnym życiu, a nie w warunkach laboratoryjnych. I tu (choć nie jesteśmy na pręgierzu) wazelina dla np. Citi gdzie dzwonisz na party-line, mówisz że sobie nie życzysz mieć płatności zbliżeniowych i Ci je po prostu wyłączają. I karta o tym nie wie do momentu aż nie zostanie odpowiednio poinstruowana w czasie transakcji online. A i tak istotniejsze jest: - wyłączenie transakcji internetowych - wyłączenie transakcji offline co powoduje że karta staje się mało wygodna i mało użyteczna. Zbliżeniówka to przy powyższym pikuś nie warty szerszej wzmianki. -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-12 12:12:31 | |
| Autor: Piotrek | |
| karty indukcyjne | |
|
On 2013-07-12 11:49, Wojciech Bancer wrote:
No ale tutaj mamy do czynienia wtedy z gościem który sobie łazi po ludziach Ale zgaduję, że w realnym życiu nie używa się do fraudów urządzeń ogólnodostępnych tylko profesjonalnych (które potrafią się komunikować na odległości nieco większe niż te 10-15 cm). A samą fraudową płatność robisz jak wiesz, że masz w zasięgu kartę, która odpowie. Tak więc ryzyko niewielkie, natomiast zyski to tylko kwestia skali i umiejętności dystrybucji pozyskanych w wyniku fraudu towarów. I karta o tym nie wie do momentu aż nie zostanie odpowiednio poinstruowana Oczywiście. w czasie transakcji online. A i tak istotniejsze jest: Czy odpowiadasz za fraudy przy transakcjach MOTO/internetowych? - wyłączenie transakcji offline Ale dla kogo? Dla użytkownika? A jaki to problem *dla użytkownika* poczekać x sekund na autoryzację on-line? Oczywiście problem jest dla akceptanta/banku. Ponieważ wymaga zaangażowania konkretnych zasobów *w chwili* dokonywania transakcji. No ale przecież to "nie mój cyrk, nie moje małpy". Piotrek |
|
| Data: 2013-07-12 12:30:49 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-12, Piotrek <piotrek@pisz.na.berdyczow.info> wrote:
[...] A wpaść niezwykle łatwo, bo musisz to robić f2f. I to za co? Ale co to znaczy "masz w zasięgu"? Musisz przez dobrą chwilę popindalać za kimś. Nawet jak zasię jest większy niż 20 cm, to *i tak* ludzie się ruszają, obracają rozmawiają, poruszają. A profesjonaliści się za drobnymi nie uganiają, właśnie o to chodzi w całej idei. Za duże ryzyko do potencjalnego potencjalnego zysku IMHO. Tak więc ryzyko niewielkie, natomiast zyski to tylko kwestia skali i umiejętności dystrybucji pozyskanych w wyniku fraudu towarów. Kwestia oceny. Jak dla mnie jest bardzo duże. I właśnie o to chodzi. w czasie transakcji online. A i tak istotniejsze jest: Zależy od banku. Podpadasz pod dokładnie ten sam przepis co transakcje offline/zbliżeniowe. W jednym banku uznają reklamację, w innym nie. - wyłączenie transakcji offline Gdzie x jest w okolicach 30, zamiast w okolicach 4. To nie jest problem. To jest po prostu mniej wygodne. Ja jak mam do wyboru: karta online, karta offline, gotówka, to zawsze wolę offline. -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-12 12:39:14 | |
| Autor: Piotrek | |
| karty indukcyjne | |
|
On 2013-07-12 12:30, Wojciech Bancer wrote:
Gdzie x jest w okolicach 30, zamiast w okolicach 4. Za szybko żyjesz ;-) A i tak stanie przed Tobą "babcia", która przez dwie minuty będzie szukała gotówki i ... click -> <https://www.youtube.com/watch?v=KdhwopvTf18> Piotrek |
|
| Data: 2013-07-12 13:31:09 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-12, Piotrek <piotrek@pisz.na.berdyczow.info> wrote:
[...] A i tak stanie przed Tobą "babcia", która przez dwie minuty będzie szukała gotówki i ... Nie fantazjuj. :) Za duże ryzyko, za mały zysk. -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-12 12:45:05 | |
| Autor: m | |
| karty indukcyjne | |
|
W dniu 12.07.2013 12:30, Wojciech Bancer pisze:
On 2013-07-12, Piotrek<piotrek@pisz.na.berdyczow.info> wrote: Zwłaszcza w pociągu, autobusie, tramwaju, poczekalni. p. m. |
|
| Data: 2013-07-12 13:29:50 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-12, m <mvoicem@gmail.com> wrote:
[...] Ale co to znaczy "masz w zasięgu"? Musisz przez dobrą chwilę popindalać za kimś. W pociągu, autobusie, tramwaju to taka zabawka nie zadziała z przyczyn technicznych - opóźnienia transmisji i gubienia sygnału. A i wtedy trzeba znaleźć dobre warunki, czyli mocno zatłoczony pojazd, inaczej taki przyklejony do ludzi będzie wygladać dziwnie i jeszcze w pysk zarobi. A w poczekalni to się siedzi, a nie klei do ludzi. To nie jest tak, że taki czytnik będzie się mieścić na dłoni i jeszcze obejmie cały budynek. Czekam teraz na informację, że jakiś MFC-PRISM2 wykorzysta satelity i nikt się przed tym nie ukryje. Jak SF to na całego. -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-12 13:39:17 | |
| Autor: Piotrek | |
| karty indukcyjne | |
|
On 2013-07-12 13:29, Wojciech Bancer wrote:
[...] Jak SF to na całego. SF (a raczej zwykłe dym@nie klienta) to jest IMHO raczej w tym, że banki/VISA/MC twierdzą że technologia jest super-bezpieczna i jednocześnie nie biorą by default "na klatę" fraudów możliwych do przeprowadzenia przy użyciu tej super-bezpiecznej technologii. Ani (w sporej części) nie umożliwiają wyłączenie transakcji wykorzystujących tę super-bezpieczną technologię. Bo jak rozumiem nie negujesz możliwości przeprowadzenia fraudu przy użyciu (w zasadzie) ogólnodostępnych rekwizytów, a jedynie jego prawdopodobieństwo/opłacalność. Piotrek |
|
| Data: 2013-07-12 13:59:59 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-12, Piotrek <piotrek@pisz.na.berdyczow.info> wrote:
[...] SF (a raczej zwykłe dym@nie klienta) to jest IMHO raczej w tym, że banki/VISA/MC twierdzą że technologia jest super-bezpieczna i jednocześnie nie biorą by default "na klatę" fraudów możliwych do przeprowadzenia przy użyciu tej super-bezpiecznej technologii. Ani (w sporej części) nie umożliwiają wyłączenie transakcji wykorzystujących tę super-bezpieczną technologię. Nie ma czegoś takiego. Jedyne co można zrobić, to sprawić by to było nieopłacalne. I tak właśnie jest. Bo jak rozumiem nie negujesz możliwości przeprowadzenia fraudu przy użyciu (w zasadzie) ogólnodostępnych rekwizytów, a jedynie jego prawdopodobieństwo/opłacalność. Oczywiście. Wszystko się da, nie wszystko się opłaca. :) -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-12 14:07:27 | |
| Autor: Piotrek | |
| karty indukcyjne | |
|
On 2013-07-12 13:59, Wojciech Bancer wrote:
super-bezpieczną technologię. Nopaczpan. A Ci twierdzą, że się zabezpieczyli: <http://www.visa.pl/visa_w_polsce/karty_dla_ciebie/p%C5%82atno%C5%9Bci_zbli%C5%BCeniowe/bezpiecze%C5%84stwo.aspx> Lamerzy jacyś? Czy co? ;-) piotrek |
|
| Data: 2013-07-12 14:23:06 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-12, Piotrek <piotrek@pisz.na.berdyczow.info> wrote:
On 2013-07-12 13:59, Wojciech Bancer wrote: A możesz konkretnie zacytować w którym miejscu? -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-12 14:34:03 | |
| Autor: Piotrek | |
| karty indukcyjne | |
|
On 2013-07-12 14:23, Wojciech Bancer wrote:
A możesz konkretnie zacytować w którym miejscu? Zaraz po tytule :-) Piotrek |
|
| Data: 2013-07-12 15:22:33 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-12, Piotrek <piotrek@pisz.na.berdyczow.info> wrote:
[...] A możesz konkretnie zacytować w którym miejscu?Zaraz po tytule :-) No przecież zastosowano. A że nie w każdych warunkach są skuteczne? No to o tym mówiłem. :) -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-12 17:18:29 | |
| Autor: Piotrek | |
| karty indukcyjne | |
|
On 2013-07-12 15:22, Wojciech Bancer wrote:
No przecież zastosowano. A że nie w każdych warunkach są skuteczne? Tia, jajeczko częściowi nieświeże ... Warunki w których zastosowane zabezpieczenia *nie* działają nie są jakoś szczególnie kosmiczne. I możesz stracić kasę nie wypuszczając karty z ręki/portfela. Być może na razie nie opłaca się na masową skalę robić fraudów na płatnościach zbliżeniowych. Ale to nie oznacza, że za chwilę kwota nie zostanie zwiększona, albo środki techniczne niezbędne do bezstresowego fraudowania nie stanieją. I wtedy zacznie się opłacać. Dlatego uczciwe byłoby umożliwienie rezygnacji z tej super-bezpiecznej technologii dla tych bardziej świadomych/strachliwych. Albo wzięcie na klatę konsekwencji stosowania technologii, której zabezpieczania - jak byłeś łaskaw napisać - nie w każdych warunkach są skuteczne. I tyle :-) EOT Piotrek |
|
| Data: 2013-07-12 17:43:55 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-12, Piotrek <piotrek@pisz.na.berdyczow.info> wrote:
[...] Warunki w których zastosowane zabezpieczenia *nie* działają nie są jakoś szczególnie kosmiczne. I możesz stracić kasę nie wypuszczając karty z ręki/portfela. Na żadną skalę się to nie opłaca. :) Dlatego uczciwe byłoby umożliwienie rezygnacji z tej super-bezpiecznej technologii dla tych bardziej świadomych/strachliwych. Jest. Nazywa się gotówka. :) -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-12 22:29:07 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Piotrek <piotrek@pisz.na.berdyczow.info> writes:
ByÄ moĹźe na razie nie opĹaca siÄ na masowÄ skalÄ robiÄ fraudĂłw na WÄ tpiÄ. To po prostu wzglÄdnie nowa technologia, a ludzie, ktĂłrzy siÄ znajÄ na takich rzeczach, typowo majÄ lepsze zajÄcia. Ale to nie znaczy, Ĺźe to siÄ nie opĹaca, i na pewno nie Ĺwiadczy o Ĺźadnym bezpieczeĹstwie. Ale to nie oznacza, Ĺźe za chwilÄ kwota nie Ĺrodki techniczne sÄ ekstremalnie tanie. Typowy hobbista elektronik, interesujÄ cy siÄ radiem i cyfrĂłwkÄ , zapewne ma potrzebne rzeczy w domu. JeĹli nie chciaĹby zbyt duĹźo czytaÄ, tylko zrobiÄ to jak najproĹciej siÄ da, to lepiej zrobiÄ ukĹad w oparciu o specjalizowanego scalaka, tego pewnie musiaĹby kupiÄ. Koszt typu 50 zĹ z dostawÄ . MoĹźna oczywiĹcie pokombinowaÄ inaczej, np. zrobiÄ to "na piechotÄ", to nic trudnego. Wtedy wymagane wiÄksze doĹwiadczenie. Dlatego uczciwe byĹoby umoĹźliwienie rezygnacji z tej super-bezpiecznej To trochÄ tak jakby pisaÄ o zabezpieczeniach kart magnetycznych. "Nie w kaĹźdych warunkach skuteczne". Niestety tu sÄ inne warunki, w szczegĂłlnoĹci karta moĹźe byÄ caĹy czas w portfelu pod kontrolÄ klienta. -- Krzysztof HaĹasa |
|
| Data: 2013-07-12 13:58:56 | |
| Autor: Piotrek | |
| karty indukcyjne | |
|
On 2013-07-12 13:29, Wojciech Bancer wrote:
On 2013-07-12, m <mvoicem@gmail.com> wrote: Ale jakie klejenie do ludzi? Czytniki komunikujące się do 1.5 metra oferuje/oferował Feig Electronic. Fakt, że antena nie jest mała ale wejdzie do teczki, plecaka, etc. Tak więc możliwości techniczne są większe niż się większości optymistów wydaje ;-) Ja rozumiem, że no risk no fun ale wolałbym sobie sam wybierać risk po którym mam fan. A nie, żeby to robił za mnie bank ;-) Piotrek |
|
| Data: 2013-07-12 21:52:45 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Wojciech Bancer <proteus@post.pl> writes:
Nie, jedno i drugie jest zagroĹźeniem. Tyle Ĺźe transakcje off-line majÄ Transakcje stykowe takĹźe sÄ wygodne. Dodatkowo, sÄ (podobno) minimalnie szybsze. No chyba Ĺźe piszesz o potrzebie lub braku potrzeby podawania PINu - ale to nie jest róşnica wynikajÄ ca z warunkĂłw technicznych. To jaki wg Ciebie to jest zasiÄg? Bo wg mnie taki, Ĺźeby conajmniej pokracznie Jasne Ĺźe nie. Bez najmniejszego problemu moĹźna mieÄ czytnik, ktĂłry przeczyta kartÄ w promieniu 50 cm. Wiem, bo takiego rutynowo uĹźywam (nie, to nie jest czytnik EMV). To oczywiĹcie nie oznacza, Ĺźe nie moĹźna mieÄ wiÄkszego zasiÄgu, jasne Ĺźe moĹźna (aczkolwiek trzeba pojechaÄ z mocÄ doĹÄ brutalnie). I czy na pewno dane uzyskane przez taki odczyt wystarczÄ do wykonania transakcji Jasne. Dodatkowo, praktycznie nie ma moĹźliwoĹci obrony przed takim atakiem. NajwiÄksze zagroĹźenie dla atakujÄ cego to monitoring - moĹźesz chyba oceniÄ skalÄ tego zagroĹźenia i ochrony przed nim. Masz gdzieĹ opis faktycznego sklonowania i wykorzystania takiego NajgroĹşniejszym atakiem jest przetunelowanie caĹego ruchu. Wtedy nawet reklamacja w banku nic nie da, ofiara bÄdzie mieÄ na karcie Ĺlad po tej transakcji :-( CoĹ takiego IMHO podpada pod definicjÄ "narzÄdzia niebezpiecznego dla uĹźytkownika". JeĹli chodzi o klonowanie, to moĹźliwe Ĺźe sklonowanie karty Paywave moĹźe byÄ problemem, ze wzglÄdu na podpisywanie danych kluczem asymetrycznym (przez kartÄ). Paypass tego nie robi (stÄ d m.in. brak moĹźliwoĹci podania PINu przy wyĹźszej kwocie - bo mĂłgĹby zostaÄ przechwycony). -- Krzysztof HaĹasa |
|
| Data: 2013-07-12 22:17:00 | |
| Autor: Kamil Jońca | |
| karty indukcyjne | |
|
Krzysztof Halasa <khc@pm.waw.pl> writes:
[...]> Jeśli chodzi o klonowanie, to możliwe że sklonowanie karty Paywave może Czegoś nie rozumiem. Płaciłem wielokrotnie PayPassem (nie PayWave) >50 i potwierdzałem pinem. KJ -- http://blogdebart.pl/2009/12/22/mamy-chorych-dzieci/ I want a WESSON OIL lease!! |
|
| Data: 2013-07-12 23:57:21 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
kjonca@poczta.onet.pl (Kamil JoĹca) writes:
JeĹli chodzi o klonowanie, to moĹźliwe Ĺźe sklonowanie karty Paywave moĹźe Ale ten pin trafiaĹ do banku, nie do karty, wymaga to autoryzacji online i w wielu miejscach (np. krajach) w ogĂłle nie dziaĹa. To nie zabezpiecza przed prĂłbÄ sklonowania karty, bank nie odróşni klona od oryginaĹu, przynajmniej do momentu dokonania oryginaĹem jakiejĹ kolejnej transakcji z autoryzacjÄ online. Karcie nie moĹźna podaÄ PINu niezaszyfrowanego zbliĹźeniowo (tak jakoĹ wyszĹo), a PayPassowi nie moĹźna go zaszyfrowaÄ. Z tym Ĺźe myĹlÄ Ĺźe to siÄ zmieni. -- Krzysztof HaĹasa |
|
| Data: 2013-07-13 10:27:33 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-12, Krzysztof Halasa <khc@pm.waw.pl> wrote:
[...] Masz gdzieś opis faktycznego sklonowania i wykorzystania takiego No ale na jaką odległość chcesz te tunelowanie przeprowadzić? Właśnie o to chodzi, że przecież tu trzeba zsynchronizować w tym momencie kupującego i skanującego. Od początku piszę, że największym "wyzwaniem" nie jest technologia, ale konieczność synchronizacji i operacji f2f. A zasięg czytnika 50 cm, czy nawet 1m to nadal zasięg przy którym trzeba dziwnie się do ludzi kleić. Pal tam sześć jakby to było "na chwilkę", ale biorąc pod uwagę, że druga osoba musi mieć czas dokonać tego zakupu i zakładając czystość punktu sprzedaży, to taka operacja robi się wybitnie ryzykowna. Jeśli chodzi o klonowanie, to możliwe że sklonowanie karty Paywave może Już bardziej uwierzę, że największym problemem jest odczytanie numeru karty. Bo to potem można spróbować wykorzystać w internecie. No ale przed tym w PL akurat dużo banków pozwala się zabezpieczyć. -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-13 10:59:03 | |
| Autor: Piotrek | |
| karty indukcyjne | |
|
On 2013-07-13 10:27, Wojciech Bancer wrote:
No ale na jaką odległość chcesz te tunelowanie przeprowadzić? Właśnie IMHO doszukujesz się problemów tam, gdzie ich po prostu nie ma. Zgaduję, że w pierwszym lepszym autobusie/tramwaju/SKM-ce znajdzie się bez problemu nie jedną potencjalną ofiarę. W zajęciu miejsca obok takiej ofiary nie ma niczego podejrzanego. Tak więc IMHO można założyć, że przez kilka-kilkanaście minut w zasięgu będzie co najmniej jedna kartę do której można przetunelować transakcję. I teraz mając przygotowane zakupy (pewnie jakąś flaszkę albo wyroby tytoniowe, bo łatwo zbywalne) płacisz za nie kartą ofiary. Widzisz jeszcze jakieś inne problemy? Piotrek |
|
| Data: 2013-07-13 11:23:57 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-13, Piotrek <piotrek@pisz.na.berdyczow.info> wrote:
[...] No ale na jakÄ odlegĹoĹÄ chcesz te tunelowanie przeprowadziÄ? WĹaĹnie PrĂłbowaĹeĹ Ty kiedyĹ 3G w autobusie uĹźywaÄ? o.O Jak juĹź lecimy po pudelkach blogowych: http://samcik.blox.pl/2013/02/Dwa-smartfony-internet-i-juz-mozna-zdalnie.html W MasterCardzie majÄ i inne wÄ tpliwoĹci. "W opisywanym przypadku od strony technicznej wszystko jest teoretycznie wykonalne. Ale tylko teoretycznie i w warunkach laboratoryjnych. Gdy pierwszy oszust w sklepie pĹaci w kasie, to drugi ma maĹo czasu, by "rozganizowaÄ" transmisjÄ z jakÄ Ĺ innÄ kartÄ . Dozwolony czas transakcji to na ogóŠpóŠsekundy, choÄ moĹźe to trwaÄ dĹuĹźej â terminal moĹźe czekaÄ na odpowiedĹş karty nawet kilka sekund, wiÄc teoretycznie jest czas na poĹÄ czenie z urzÄ dzeniem drugiego oszusta (w autobusie, metrze czy innym zatĹoczonym miejscu - jak w przykĹadzie). Drugi oszust nie tylko ma maĹo czasu - musi byÄ teĹź w odlegĹoĹci maksymalnie 30 cm od posiadaczy kart zbliĹźeniowych. I â aby sczytaÄ dane kart w czasie rzeczywistym, co jest niezbÄdne do realizacji transakcji - musi utrzymywaÄ urzÄ dzenie, za pomocÄ ktĂłrego chce siÄ poĹÄ czyÄ z kartÄ , w pozycji stabilnej â co w warunkach panujÄ cych w autobusie czy innym zatĹoczonym miejscu moĹźe byÄ trudne" - piszÄ mi ludzie z MasterCarda. A wiÄc ich zdaniem operacja musi siÄ zmieĹciÄ w kilku sekundach, bo inaczej siÄ nie uda - terminal nie przyjmie pĹatnoĹci.. "Terminal zakĹada, Ĺźe karta odpowiada w konkretnym czasie - jeĹźeli komunikacja jest zbyt wolna, terminal przerwie transakcjÄ". W MasterCardzie twierdzÄ teĹź, Ĺźe przeszkodÄ do fraudu typu relay attack moĹźe teĹź byÄ kwestia jakoĹci poĹÄ czenia internetowego miÄdzy smartfonem znajdujÄ cym siÄ w sklepie i tym, ktĂłry ma byÄ blisko tĹumu posiadaczy kart zbliĹźeniowych. "Na czas transakcji wpĹywa transmisja danych miÄdzy smartfonami. W laboratorium, przy maĹym obciÄ Ĺźeniu sieci i telefonu teoretycznie moĹźe udaĹoby siÄ zdÄ ĹźyÄ, ale praktycznie, jeĹźeli jeden oszust jest w sklepie, drugi w tĹumie, to najczÄĹciej nie jest to idealny zasiÄg i sieÄ jest obciÄ Ĺźona, wiÄc opóźnienia bÄdÄ spore - i w dodatku zmienne (sÄ widoczne nawet jeĹźeli telefon ĹÄ czy siÄ z serwerem, a co dopiero z drugim telefonem)". No i kolejny problem: kwestia moĹźliwoĹci czytania karty, ktĂłra jest w portfelu lub kieszeni. "Sczytanie karty w autobusie czy metrze moĹźe i jest moĹźliwe w warunkach laboratoryjnych, ale trzeba mieÄ dobrÄ antenÄ, solidny wzmacniacz oraz mocne zasilanie, do tego brak zakĹĂłceĹ. Nie wystarczy zatem sam telefon, tylko trzeba juĹź podróşowaÄ z wiÄkszym sprzÄtem" W MasterCardzie przedstawiajÄ sprawÄ w kategoriach zabawy dla hobbystĂłw, a nie zajÄcia dla powaĹźnych ludzi od duĹźych fraudĂłw. [...] -- Wojciech BaĹcer proteus@post.pl |
|
| Data: 2013-07-13 15:13:20 | |
| Autor: Andrzej Kubiak | |
| karty indukcyjne | |
|
Dnia Sat, 13 Jul 2013 11:23:57 +0200, Wojciech Bancer napisał(a):
Próbowałeś Ty kiedyś 3G w autobusie używać? o.O Gdy jeździłem autobusami, było tylko EDGE, ale w samochodzie 3G działa, w czym problem? AK |
|
| Data: 2013-07-13 17:25:48 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-13, Andrzej Kubiak <none@inv.invalid> wrote:
[...] Próbowałeś Ty kiedyś 3G w autobusie używać? o.OGdy jeździłem autobusami, było tylko EDGE, ale w samochodzie 3G działa, w Z opóźnieniami jakie towarzyszą połączeniom mobilnym. -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-14 20:09:03 | |
| Autor: Chris94 | |
| karty indukcyjne | |
|
Dnia Sat, 13 Jul 2013 17:25:48 +0200, Wojciech Bancer napisał(a):
On 2013-07-13, Andrzej Kubiak <none@inv.invalid> wrote: Sugerujesz, że opóźnienia rzędu 60 ms uniemożliwią transakcje? Bo właśnie takie opóźnienia występują w przypadku połączenia HSPA. -- Pozdrowienia, Krzysztof (dawniej używający nicka 'Chris') |
|
| Data: 2013-07-14 20:56:00 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-14, Chris94 <chris94@WYTNIJ_TO.poczta.fm> wrote:
[...] Z opóźnieniami jakie towarzyszą połączeniom mobilnym. Dla porządku, mówisz o opóźnieniach: - pomiędzy 2 urządzeniami mobilnymi (a nie urządzeniem a stacją bazową) - z których jedno jest w ruchu, w pojeżdzie (co też nie pozostaje bez wpływu na zakłócenia) - a drugie w budynku, zazwyczaj dość ładnie ekranowanym ? Bo z moich obserwacji czasów np. w czasie jazdy autobusem, czy pociągiem, na ipadzie/laptopie wynika, że jednak tak pięknie jak opisujesz, to jednak nie jest. -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-14 21:27:48 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-14, Wojciech Bancer <proteus@post.pl> wrote:
[...] Bo z moich obserwacji czasów np. w czasie jazdy autobusem, czy pociągiem, na ipadzie/laptopie wynika, że jednak tak pięknie jak opisujesz, to jednak nie jest. I dla porządku, krótki test w warunkach "przejdę się po okolicy": http://share.pho.to/2xliU/original warunki nie były złe, serwer też niezgorszy, myślę że w autobusie i do innego urządzenia mobilnego, byłyby dużo gorsze. -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-17 23:06:22 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Wojciech Bancer <proteus@post.pl> writes:
I dla porzÄ dku, krĂłtki test w warunkach "przejdÄ siÄ po okolicy": Fajne zabezpieczenie, "bo moĹźe bÄdÄ gorsze warunki i moĹźe fraud siÄ nie uda". Obawiam siÄ, Ĺźe takie warunki jednak nie byĹyby przeszkodÄ :-( -- Krzysztof HaĹasa |
|
| Data: 2013-07-17 23:39:12 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-17, Krzysztof Halasa <khc@pm.waw.pl> wrote:
Wojciech Bancer <proteus@post.pl> writes: Największe zabezpieczenie to "nie opłaca się". -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-17 23:57:58 | |
| Autor: Piotrek | |
| karty indukcyjne | |
|
On 2013-07-17 23:39, Wojciech Bancer wrote:
Największe zabezpieczenie to "nie opłaca się". Idąc Twoim tokiem rozumowania można byłoby dojść do wniosku, że produkcja gwoździ jest kompletnie nieopłacalna. No bo ile kosztuje jeden gwóźdź w porównaniu do kosztów jakie trzeba ponieść ażeby zakupić maszynę do ich produkcji. Ale jak się nietrudno domyśleć, tego typu myślenie łatwo może prowadzić na manowce. A już zwłaszcza wtedy, kiedy tematem jest security a nie produkcja gwoździ. Oczywiście jak się zrobi rzetelną analizę, to może się okazać, że taniej jest "brać na klatę" fraudy zgłaszane przez klientów niż porządnie zabezpieczyć produkt. Jednakowoż IMHO nasze banki w większości poszły jakby o krok dalej. Biorą fraudy na klatę ... klienta. A jako alternatywę dla karty z płatnościami zbliżeniowymi proponują "niemanie" karty. I tu jest sedno problemu. Piotrek |
|
| Data: 2013-07-18 00:04:15 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-17, Piotrek <piotrek@pisz.na.berdyczow.info> wrote:
[...] Największe zabezpieczenie to "nie opłaca się". To absolutnie nie jest mój tok myślenia, tylko Twój. -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-13 16:54:30 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Wojciech Bancer <proteus@post.pl> writes:
W MasterCardzie majÄ i inne wÄ tpliwoĹci. "W opisywanym przypadku od strony technicznej wszystko jest teoretycznie wykonalne. Ale tylko teoretycznie i w warunkach laboratoryjnych. A dajÄ gwarancjÄ na to "tylko"? Gdy pierwszy oszust w sklepie pĹaci w kasie, to drugi ma maĹo czasu, by "rozganizowaÄ" transmisjÄ z jakÄ Ĺ innÄ kartÄ . To moĹźe niech to "organizuje" np. minutÄ wczeĹniej. To nie jest chyba tak, Ĺźe oszuĹci muszÄ robiÄ to, co jest dla nich najmniej korzystne? Dozwolony czas transakcji to na ogóŠpóŠsekundy, choÄ moĹźe to trwaÄ dĹuĹźej â terminal moĹźe czekaÄ na odpowiedĹş karty nawet kilka sekund, wiÄc teoretycznie jest czas na poĹÄ czenie z urzÄ dzeniem drugiego oszusta (w autobusie, metrze czy innym zatĹoczonym miejscu - jak w Przy czym to jest zarĂłwno teoretycznie jak i praktycznie, a dodatkowo jest duĹźo zapasu czasu. Drugi oszust nie tylko ma maĹo czasu - musi byÄ teĹź w odlegĹoĹci maksymalnie 30 cm od posiadaczy kart zbliĹźeniowych. Nawet gdyby, chociaĹź pisaĹem juĹź Ĺźe uĹźywam seryjnego czytnika o nieco wiÄkszym zasiÄgu, i jestem przekonany Ĺźe potrafiĹbym zmontowaÄ jeszcze duĹźo lepszy (przy czym opieram swoje zdanie na moim wieloletnim doĹwiadczeniu w elektronice oraz m.in. na tym, Ĺźe moja praca, w niewielkiej czÄĹci, dotyczy wĹaĹnie konstrukcji czytnikĂłw NFC). Nawet gdyby to byĹo tylko 30 cm, to wciÄ Ĺź nie jest to wielkim problemem w np. komunikacji zbiorowej. I â aby sczytaÄ dane kart w czasie rzeczywistym, co jest niezbÄdne do realizacji transakcji - musi utrzymywaÄ urzÄ dzenie, za pomocÄ ktĂłrego chce siÄ poĹÄ czyÄ z kartÄ , w pozycji stabilnej â co w warunkach panujÄ cych w autobusie czy innym zatĹoczonym miejscu moĹźe byÄ trudne" - piszÄ mi ludzie z MasterCarda. .... tzn. nie naleĹźy krÄciÄ zbyt szybko antenÄ , tak? Kto by pomyĹlaĹ. A wiÄc ich zdaniem operacja musi siÄ zmieĹciÄ w kilku sekundach, AĹź tyle czasu nawet nie potrzeba W MasterCardzie twierdzÄ teĹź, Ĺźe przeszkodÄ do fraudu typu relay attack moĹźe teĹź byÄ kwestia jakoĹci poĹÄ czenia internetowego miÄdzy smartfonem znajdujÄ cym siÄ w sklepie i tym, ktĂłry ma byÄ blisko tĹumu posiadaczy kart zbliĹźeniowych. Taaak, problemem moĹźe byÄ takĹźe rozĹadowanie siÄ baterii, albo nagĹa utrata przytomnoĹci przez jednego z oszustĂłw. Impuls elektromagnetyczny, i przerwa w dziaĹaniu telefonĂłw teĹź przychodzÄ mi do gĹowy. W laboratorium, przy maĹym obciÄ Ĺźeniu sieci i telefonu A no tak, za duĹźe obciÄ Ĺźenie telefonu. MoĹźe ktoĹ oglÄ da na nim film podczas ataku. teoretycznie moĹźe udaĹoby siÄ zdÄ ĹźyÄ, ale praktycznie, jeĹźeli jeden oszust jest w sklepie, drugi w tĹumie, to najczÄĹciej nie jest to idealny zasiÄg i sieÄ jest obciÄ Ĺźona, wiÄc opóźnienia bÄdÄ spore - i w dodatku zmienne (sÄ widoczne nawet jeĹźeli telefon ĹÄ czy siÄ z serwerem, a co dopiero z drugim telefonem)". Tak czy owak ten atak jest zarĂłwno teoretycznie jak i praktycznie moĹźliwy, i prawdopodobieĹstwo, Ĺźe dana prĂłba siÄ powiedzie jest znacznie wiÄksze niĹź 90%. Dodatkowo, niepowodzenie nie niesie ze sobÄ Ĺźadnych negatywnych dla oszustĂłw skutkĂłw, np. prĂłba oszustwa nie wychodzi na jaw. No i kolejny problem: kwestia moĹźliwoĹci czytania karty, ktĂłra jest w portfelu lub kieszeni. "Sczytanie karty w autobusie czy metrze moĹźe i jest moĹźliwe w warunkach laboratoryjnych, ale trzeba mieÄ dobrÄ antenÄ, solidny wzmacniacz oraz mocne zasilanie, do tego brak zakĹĂłceĹ. Nie wystarczy zatem sam telefon, tylko trzeba juĹź podróşowaÄ z wiÄkszym sprzÄtem" To akurat prawda, najlepiej mieÄ wiÄkszÄ antenÄ (jeĹli chodzi o wymiary). Nie jest to jednak Ĺźadnym praktycznym problemem. W MasterCardzie przedstawiajÄ sprawÄ w kategoriach zabawy dla hobbystĂłw, a nie zajÄcia dla powaĹźnych ludzi od duĹźych fraudĂłw. Trudno siÄ spodziewaÄ by powiedzieli "daliĹmy ciaĹa, to wszystko jest do d*, w sumie wiedzieliĹmy o tym od zawsze, ale dla nas liczy siÄ nasza kasa, nie bezpieczeĹstwo jakichĹ tam klientĂłw". -- Krzysztof HaĹasa |
|
| Data: 2013-07-13 17:24:48 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-13, Krzysztof Halasa <khc@pm.waw.pl> wrote:
[...] Gdy pierwszy oszust w sklepie pĹaci w kasie, to drugi ma maĹo czasu, by "rozganizowaÄ" transmisjÄ z jakÄ Ĺ innÄ kartÄ . Ale co ma zorganizowaÄ wczeĹniej? Jak zsynchronizujesz goĹcia jadÄ cego w autobusie i siedzÄ cego z czytnikiem koĹo "klienta" i jednoczeĹnie oddalonego o nieznanÄ odlegĹoĹÄ kupujÄ cego? Dozwolony czas transakcji to na ogóŠpóŠsekundy, choÄ moĹźe to trwaÄ dĹuĹźej â terminal moĹźe czekaÄ na odpowiedĹş karty nawet kilka sekund, wiÄc teoretycznie jest czas na poĹÄ czenie z urzÄ dzeniem drugiego oszusta (w autobusie, metrze czy innym zatĹoczonym miejscu - jak w No ja akurat bardziej jestem skĹonny uwierzyÄ w to, Ĺźe nie ma tego czasu aĹź tak duĹźo. Drugi oszust nie tylko ma maĹo czasu - musi byÄ teĹź w odlegĹoĹci maksymalnie 30 cm od posiadaczy kart zbliĹźeniowych. Jak nie? Komunikacja zbiorowa to ciÄ gĹy ruch przecieĹź. Jak chcesz dĹugotrwale uzyskaÄ dobry namiar (zauwaĹź jak na tych wszystkich filmikach siÄ ludzie muszÄ nastaraÄ i wycelowaÄ) i w dodatku zagwarantowaÄ staĹoĹÄ i szybkoĹÄ poĹÄ czenia internetowego pomiÄdzy urzÄ dzeniami? I â aby sczytaÄ dane kart w czasie rzeczywistym, co jest niezbÄdne do realizacji transakcji - musi utrzymywaÄ urzÄ dzenie, za pomocÄ ktĂłrego chce siÄ poĹÄ czyÄ z kartÄ , w pozycji stabilnej â co w warunkach panujÄ cych w autobusie czy innym zatĹoczonym miejscu moĹźe byÄ trudne" - piszÄ mi ludzie z MasterCarda. Rozumiem Ĺźe jesteĹ typem czĹowieka ktĂłremu rÄka nie drgnie niezaleĹźnie od drgaĹ, kierunku i szybkoĹci poruszania siÄ pojazdu? Respekt. A wiÄc ich zdaniem operacja musi siÄ zmieĹciÄ w kilku sekundach,AĹź tyle czasu nawet nie potrzeba To zobacz ile zajmuje odczyt strony internetowej w autobusie. Bo ja na jednej trasie mam róşnice miÄdzy 100ms a timeout. Z przewagÄ czasu > 1s. Na EDGE jest jeszcze gorzej. teoretycznie moĹźe udaĹoby siÄ zdÄ ĹźyÄ, ale praktycznie, jeĹźeli jeden oszust jest w sklepie, drugi w tĹumie, to najczÄĹciej nie jest to idealny zasiÄg i sieÄ jest obciÄ Ĺźona, wiÄc opóźnienia bÄdÄ spore - i w dodatku zmienne (sÄ widoczne nawet jeĹźeli telefon ĹÄ czy siÄ z serwerem, a co dopiero z drugim telefonem)". No to jest Twoja ocena sytuacji. Ja uwaĹźam inaczej. I jak widaÄ nie tylko ja. W MasterCardzie przedstawiajÄ sprawÄ w kategoriach zabawy dla hobbystĂłw, a nie zajÄcia dla powaĹźnych ludzi od duĹźych fraudĂłw. A z drugiej strony, skoro te fraudy sÄ takie banalne i proste, to czemu jeszcze nikt tego na wiÄkszÄ skalÄ nie zrobiĹ? -- Wojciech BaĹcer proteus@post.pl |
|
| Data: 2013-07-14 02:36:23 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Wojciech Bancer <proteus@post.pl> writes:
Ale co ma zorganizowaÄ wczeĹniej? Jak zsynchronizujesz goĹcia jadÄ cego A co jest nieznanego w tej odlegĹoĹci (i np. kierunku) i dlaczego? MoĹźe to po prostu robota dla kogoĹ, kto wie, jak dziaĹa radio. Jak nie? Komunikacja zbiorowa to ciÄ gĹy ruch przecieĹź. Jak chcesz dĹugotrwale Niczego nie muszÄ gwarantowaÄ przede wszystkim. Ale oczywiĹcie mogÄ - wystarczy, Ĺźe jednoczeĹnie kilka osĂłb bÄdzie "polowaĹo" (dodatkowo teĹź wiÄcej "klientĂłw" moĹźe kupowaÄ). Rozumiem Ĺźe jesteĹ typem czĹowieka ktĂłremu rÄka nie drgnie niezaleĹźnie od No wiesz, myĹlaĹem raczej o rotacjach / minutÄ. Karta bardzo nie lubi gadaÄ z czytnikiem, jeĹli kÄ t miÄdzy antenami jest zbliĹźony do 90 stopni. ZwykĹe drgania anteny w niczym nie przeszkadzajÄ , jeĹli nie jesteĹmy na granicy zasiÄgu. To zobacz ile zajmuje odczyt strony internetowej w autobusie. To zobacz ile trwa odpowiedĹş na pinga o dĹugoĹci np. 512 bajtĂłw, to bÄdzie mieÄ jakiĹ zwiÄ zek ze sprawÄ (w odróşnieniu od "strony internetowej"). Takie coĹ moĹźna bez problemu zrobiÄ nawet na poĹÄ czeniu komutowanym. No to jest Twoja ocena sytuacji. Ja uwaĹźam inaczej. I jak widaÄ Owszem. Ale racja nie opiera siÄ na demokracji, tylko na stanie faktycznym, a ten moĹźna ustaliÄ korzystajÄ c np. z wiedzy, doĹwiadczenia itd. A z drugiej strony, skoro te fraudy sÄ takie banalne i proste, to czemu jeszcze nikt tego na wiÄkszÄ skalÄ nie zrobiĹ? A skÄ d informacja Ĺźe nie zrobiĹ? Natomiast wiem, dlaczego wiele osĂłb tego nie robi, mimo Ĺźe byliby w stanie: bo a) nie chcÄ czyniÄ zĹa, b) jest to nielegalne i bojÄ siÄ ew. kary (moĹźliwej np. po popeĹnieniu bĹÄdĂłw), i dopiero c) bo to jednak moĹźe byÄ doĹÄ trudne, zwĹaszcza jeĹli ktoĹ siÄ takimi rzeczami nie zajmuje normalnie. -- Krzysztof HaĹasa |
|
| Data: 2013-07-14 21:04:09 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-14, Krzysztof Halasa <khc@pm.waw.pl> wrote:
Wojciech Bancer <proteus@post.pl> writes: Ok. To podaj mi odległość między mną, a autobusem linii dajmy na to T1. Poproszę. :) Może to po prostu robota dla kogoś, kto wie, jak działa radio. O, czyli kolejny sprzęcik potrzebny do akcji. I rozumiem gościu z koszyczkiem, robiący nasłuch w sklepie, nic a nic nie jest podejrzany. :) Niczego nie muszę gwarantować przede wszystkim. Ale oczywiście mogę - Czyli transakcję "do 50 zł/operację" masz już do podziału nie między 2 os, a dajmy na to 4. Jeszcze lepiej. Rozumiem że jesteś typem człowieka któremu ręka nie drgnie niezależnie od No nie wiem czy w pojeżdzie mechanicznym masz do czynienia ze zwykłymi drganiami. Dobrze wiedzieć. :) Aż zazdroszczę tego miasta w którym żyjesz, bo musi być nieźle wyremontowane, a kierowcy kulturalni, nikt nagle nie hamuje, nie ma ostrych skrętów. Ideał. :) To zobacz ile zajmuje odczyt strony internetowej w autobusie. Ale ping jest jak wyżej. W dodatku szalenie zmienny. Owszem. Ale racja nie opiera się na demokracji, tylko na stanie No to moja wiedza i doświadczenie w zakresie jakości połączenia "z autubusu" pozwalają mi spać spokojnie. A z drugiej strony, skoro te fraudy są takie banalne i proste, to czemu jeszcze nikt tego na większą skalę nie zrobił? Oh, media by takiego tematu nie odpuściły, skoro pochylają się nad losem pojedynczego Kowalskiego który zgubił kartę. Natomiast wiem, dlaczego wiele osób tego nie robi, mimo że byliby d) połączenie b), c) oraz tego, że ludzie którzy są w stanie to zrobić zarabiają na godzinę więcej niż zarobią na takiej akcji powoduje że to jest zwyczajnie nieopłacalne. -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-17 23:14:24 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Wojciech Bancer <proteus@post.pl> writes:
Ok. To podaj mi odlegĹoĹÄ miÄdzy mnÄ , a autobusem linii dajmy na to T1. PoproszÄ. :) JesteĹ PRem bankowym? Komu innemu zaleĹźaĹoby na wymyĹlaniu absurdĂłw? O, czyli kolejny sprzÄcik potrzebny do akcji. I rozumiem goĹciu z koszyczkiem, Nie Ĺźaden kolejny, tylko potrzebny jest np. telefon, albo inna radiostacja itp, oraz czytnik. M.in. ten ostatni to takĹźe urzÄ dzenie radiowe, mimo Ĺźe (zwykle) maĹej mocy i o kiepskiej czuĹoĹci. Niczego nie muszÄ gwarantowaÄ przede wszystkim. Ale oczywiĹcie mogÄ - Nie "transakcjÄ". Transakcje. Nie moĹźesz myĹleÄ kategoriami PR, tu nie chodzi o zaklinanie rzeczywistoĹci. Ĺťeby ustaliÄ stan faktyczny, musisz myĹleÄ tak, jak druga strona, musisz pokonaÄ takie same realne przeszkody. Nie chodzi o wymyĹlenie przeszkĂłd, ktĂłre nie istniejÄ . W przeciwnym przypadku to nie prowadzi do niczego. Ale ping jest jak wyĹźej. W dodatku szalenie zmienny. ZmiennoĹÄ w niczym nie przeszkadza (moĹźna byĹo zrobiÄ tego pinga czÄĹciej niĹź raz na sekundÄ). Sam widzisz Ĺźe to nie jest problemem. -- Krzysztof HaĹasa |
|
| Data: 2013-07-17 23:37:28 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-17, Krzysztof Halasa <khc@pm.waw.pl> wrote:
[...] Ok. To podaj mi odległość między mną, a autobusem linii dajmy na to T1. Poproszę. :) Brakuje argumentów? Nie jestem. O, czyli kolejny sprzęcik potrzebny do akcji. I rozumiem gościu z koszyczkiem, Potrzebne są przynajmniej dwa urządzenia. Jedno by zapewnić komunikację zespołu, drugie by zapewnić komunikację kart. Czyli transakcję "do 50 zł/operację" masz już do podziału nie między 2 os, Nie. TransakcjĘ. Sztuk jeden. Zanim nazbierasz drugi koszyczek, to trochę potrwa. I jeszcze musisz zapewnić ponownie warunki na odczyt karty. Nie możesz myśleć kategoriami PR A Ty kategoriami fizyka z warunkami idealnymi. chodzi o zaklinanie rzeczywistości. Żeby ustalić stan faktyczny, W stanie faktycznym masz do czynienia z ludźmi, a nie wzorami matematycznymi. przeszkody. Nie chodzi o wymyślenie przeszkód, które nie istnieją. Właśnie druga strona musi kalkulować i przewidywać przeszkody by ocenić ryzyko. A nie dziarsko przyjmować warunki idealne. Ale ping jest jak wyżej. W dodatku szalenie zmienny. Oczywiście że przeszkadza, zwłaszcza kiedy masz ograniczony czas na dokonanie transmisji (nie na zbliżenie karty, tylko na dokonanie transmisji w obie strony). -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-18 00:41:24 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Wojciech Bancer <proteus@post.pl> writes:
JesteĹ PRem bankowym? Komu innemu zaleĹźaĹoby na wymyĹlaniu absurdĂłw? Ignorujesz argumenty. Tak robiÄ PRowcy. Nie Ĺźaden kolejny, tylko potrzebny jest np. telefon, albo inna JeĹli to drugie to czytnik zapewniajÄ cy komunikacjÄ "z kartami", to owszem. Nie. TransakcjÄ. Sztuk jeden. Zanim nazbierasz drugi koszyczek, to trochÄ potrwa. Nie muszÄ, bo niepowodzenie niczym nie grozi. Natomiast uparcie wydajesz siÄ nie zauwaĹźaÄ tego, Ĺźe te "koszyczki" moĹźna zbieraÄ jednoczeĹnie. Zrozum, ew. fraudster nie stara siÄ zrobiÄ sobie jak najgorzej. On nie chce, by to byĹo nieopĹacalne. JeĹli nie potrafisz podÄ ĹźyÄ tym tropem, to nie moĹźesz dojĹÄ do prawidĹowych wnioskĂłw. Nie moĹźesz myĹleÄ kategoriami PR Nie robiÄ tego, przeciwnie - myĹlÄ kategoriami elektronika i programisty, ktĂłry czÄsto dokĹadnie takimi rzeczami siÄ zajmuje (wĹÄ cznie z np. programowaniem scalakĂłw siedzÄ cych w czytnikach, uruchamianiem prototypowych czytnikĂłw itp). Takie Ĺźycie. Na temat produkcji makaronu siÄ nie wypowiadam. WĹaĹnie druga strona musi kalkulowaÄ i przewidywaÄ przeszkody by oceniÄ Ryzyko - tak. Ale Twoje "przeszkody" nie powodujÄ ryzyka. One majÄ rzekomo uniemoĹźliwiaÄ atak, albo czyniÄ go nieopĹacalnym. ZmiennoĹÄ w niczym nie przeszkadza A w czym przeszkadza? PrzeszkadzaÄ mogÄ dĹugie pingi, ale to duĹźa dĹugoĹÄ jest problemem (zwĹaszcza, jeĹli masz tylko takie), a nie zmiennoĹÄ. Problemem byĹyby takĹźe straty pakietĂłw. Tyle Ĺźe oczywiĹcie nie napiszÄ, Ĺźe wtedy by siÄ "nie daĹo" - bo tak nie jest, wystarczyĹoby wysyĹaÄ pakiety z redundancjÄ . Jeszcze raz napiszÄ, Ĺźe nawet wcale nie trzeba do tego uĹźywaÄ UMTS. Wystarczy poĹÄ czenie CS w GSM, takie jakiego kiedyĹ dawno siÄ uĹźywaĹo. -- Krzysztof HaĹasa |
|
| Data: 2013-07-18 08:49:57 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-17, Krzysztof Halasa <khc@pm.waw.pl> wrote:
[...] Nie. TransakcjĘ. Sztuk jeden. Zanim nazbierasz drugi koszyczek, to trochę potrwa. Przy 2 osobach i bez wzbudzania podejrzeń? Nie. Zrozum, ew. fraudster nie stara się zrobić sobie jak najgorzej. On nie Zrozum, że to po prostu *jest* nieopłacalne. Stwarzanie dziwnych, idealnych warunków po to by próbować udowodnić, że to jest opłacalne daje nieprawidłowe wnioski. Nie możesz myśleć kategoriami PR Myślisz kategoriami teoretyka. Bez sprawdzania "w boju", a przede wszystkim bez efektu psychologicznego jakie temu towarzyszy. Zakładasz, że: - zasięg zawsze będzie idealny - zawsze znajdzie się ofiara która stoi jak ciołek całą trasę - z tejże ofiary można ściągnąć bóg wie ile, nieistotne czy na karcie są/zadziałają limity, czy nie to o czym z Tobą dyskutować? Jechałeś Ty kiedyś atobusem? Właśnie druga strona musi kalkulować i przewidywać przeszkody by ocenić Ściślej: Czynią go nieopłacalnym. A w czym przeszkadza? Jak transmisja będzie trwała dłużej niż wymagana przez czytnik (ten końcowy), to w niczym to wg Ciebie nie przeszkadza? -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-21 17:42:23 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Wojciech Bancer <proteus@post.pl> writes:
MyĹlisz kategoriami teoretyka. Bez sprawdzania "w boju", a przede Tzn. co, namawiasz mnie bym mojÄ wiedzÄ, zarĂłwno teoretycznÄ jak i praktycznÄ , wykorzystaĹ do prawdziwego fraudu, bo w przeciwnym przypadku jestem wciÄ Ĺź takim samym teoretykiem jak Ty? :-) No wybacz. Mi wystarczy "studium wykonalnoĹci" Ĺźeby wiedzieÄ, od czego mam trzymaÄ siÄ z daleka. ZakĹadasz, Ĺźe: Nie, ale teĹź taki nie jest potrzebny. - zawsze znajdzie siÄ ofiara ktĂłra stoi jak cioĹek caĹÄ trasÄ ZakĹadam, Ĺźe nie opuszcza autobusu w trakcie jazdy. ChociaĹź oczywiĹcie gdyby tak siÄ staĹo, to atakujÄ cy nie sÄ zagroĹźeni. - z tejĹźe ofiary moĹźna ĹciÄ gnÄ Ä bĂłg wie ile, nieistotne czy Limit w najgorszym przypadku powoduje, Ĺźe transakcja siÄ nie uda. Poza tym, limit przestaje byÄ problemem jeĹli "w zasiÄgu" jest wiÄcej osĂłb, i/lub jeĹli jest wiÄcej niĹź jeden "atakujÄ cy". MyĹlisz, Ĺźe tamte opisywane fraudy byĹy nieopĹacalne dlatego, Ĺźe istniaĹa moĹźliwoĹÄ wystÄ pienia limitĂłw (nie byĹo ich ale mogĹy byÄ)? No pomyĹl chwilÄ. JechaĹeĹ Ty kiedyĹ atobusem? ZdaĹźaĹo mi siÄ, chociaĹź przyznajÄ Ĺźe ostatnio kilka lat temu. CoĹ siÄ w tej materii pozmieniaĹo? Bo kiedyĹ taki ukĹad jak wĹaĹnie w autobusie byĹby perfekcyjny do przeprowadzenia takich atakĂłw. Jak transmisja bÄdzie trwaĹa dĹuĹźej niĹź wymagana przez czytnik (ten koĹcowy), to w niczym to wg Ciebie nie przeszkadza? Jakby babcia miaĹa wÄ sy. Jest niewielkie prawdopodobieĹstwo Ĺźe tak siÄ stanie, a jeĹli siÄ stanie, to i tak nic specjalnego siÄ nie wydarzy - wiÄc o czym tu dyskutowaÄ? To jest bardzo proste: bezpieczeĹstwo kart bankowych nie moĹźe opieraÄ siÄ na tym, Ĺźe maĹo ludzi bÄdzie w autobusie, Ĺźe poĹÄ czenie bÄdzie siÄ rwaÄ, albo czasy transmisji bÄdÄ wyjÄ tkowo dĹugie. CoĹ takiego moĹźe przypadkowo uratowaÄ kogoĹ przed fraudem, ale to nie ma nic wspĂłlnego z bezpieczeĹstwem. -- Krzysztof HaĹasa |
|
| Data: 2013-07-21 22:40:48 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-21, Krzysztof Halasa <khc@pm.waw.pl> wrote:
Myślisz kategoriami teoretyka. Bez sprawdzania "w boju", a przede Namawiam byś poza wiedzą teoretyczną z zakresu "jak zrobić czytnik na kilometr" oszacował również ryzyko. Wiesz, ja też znam świetny sposób na zdobycie kasy. Idziesz do kolektury lotto, skreślasz właściwe numery i zostajesz milionerem. Dużo prostsze i dużo mniej ryzykowne, czyż nie? na karcie są/zadziałają limity, czy nie to o czym z Tobą dyskutować? Czyli rozumiem, jesteś również ekspertem i masz wiedzę od tego co ma zaszyte/nie ma zaszyte w sobie oprogramowanie terminala? Poza tym, limit przestaje być problemem jeśli "w zasięgu" jest więcej osób, Powątpiewam. Zwłaszcza jak w tym momencie terminal ładnie poprosi o PIN. A już to "więcej niż jeden atakujący" to w ogóle ślicznie wygląda w kontekście synchronizacji, organizacji, użycia gotowego oprogramowania, przełączania i na koniec - opłacalności tego wszystkiego. Jechałeś Ty kiedyś atobusem? Ależ oczywiście. Jak transmisja będzie trwała dłużej niż wymagana przez czytnik (ten końcowy), to w niczym to wg Ciebie nie przeszkadza? No to mamy Twoje zdanie vs. zdanie eksperta z Master Carda. Sorry, ale jemu wierzę bardziej. Ubezpieczycielom też, skoro bardzo nisko (kwotowo) wyceniają ryzyko od takich zdarzeń. A co jak co, to eksperci od ubezpieczeń znają się na szacowaniu ryzyka, czyż nie? a jeśli się stanie, to i tak nic specjalnego się nie wydarzy A skąd wiesz? Znasz reakcję oprogramowania terminala? -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-22 20:19:11 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Wojciech Bancer <proteus@post.pl> writes:
Namawiam byĹ poza wiedzÄ teoretycznÄ z zakresu "jak zrobiÄ czytnik Ryzyko czego? Wiesz, ja teĹź znam Ĺwietny sposĂłb na zdobycie kasy. Idziesz do Trudno porĂłwnaÄ ryzyko nie wiedzÄ c czego dotyczy. Natomiast prawdopodobieĹstwo sukcesu masz "nieco" gorsze. Limit w najgorszym przypadku powoduje, Ĺźe transakcja siÄ nie uda. A coĹ konkretniej? Czego spodziewasz siÄ po terminalu, Ĺźe CiÄ aresztuje, czy wybuchnie? Czy trzeba byÄ wielkim ekspertem by wiedzieÄ, Ĺźe jeĹli transakcja siÄ nie uda, to bÄdzie nieudana? Nic siÄ tu wiÄcej nie stanie, z niezwykle prostej przyczyny - transakcje NFC nie sÄ z natury rzeczy 100% pewne i niepowodzenie (na niskim poziomie) jest normalne. Poza tym, limit przestaje byÄ problemem jeĹli "w zasiÄgu" jest wiÄcej osĂłb, MoĹźna tak zrobiÄ by nie mĂłgĹ (dokĹadne szczegĂłĹy sÄ publicznie dostÄpne). Ale nawet jeĹli poprosi, to co z tego? W najgorszym przypadku transakcja nie dojdzie do skutku. A juĹź to "wiÄcej niĹź jeden atakujÄ cy" to w ogĂłle Ĺlicznie wyglÄ da Tak tak, to juĹź wiemy. I to jest ta gwarancja bezpieczeĹstwa. No to mamy Twoje zdanie vs. zdanie eksperta z Master Carda. To nie jest kwestia wiary, ale prostej analizy publicznie dostÄpnych obiektywnych informacji. JedynÄ sprawÄ , ktĂłrÄ byÄ moĹźe musisz braÄ "na wiarÄ", jest kwestia zasiÄgu wiÄkszego niĹź standardowy (ale teĹź niewielki dodatek wiedzy z zakresu RF wystarczy byĹ nie musiaĹ nikomu wierzyÄ). Ubezpieczycielom teĹź, skoro UbezpieczyĹeĹ siÄ, czy moĹźe wykupiĹeĹ "ubezpieczenie" w banku wydawcy karty? Bo to jest drobna róşnica :-) A co jak co, to eksperci od ubezpieczeĹ znajÄ siÄ na szacowaniu Jasne. Podaj jakieĹ szczegĂłĹy tego ubezpieczenia. A skÄ d wiesz? Znasz reakcjÄ oprogramowania terminala? ReakcjÄ na niedostÄpnoĹÄ karty? Jasne, sam moĹźesz przecieĹź Ĺatwo sprawdziÄ. NaprawdÄ nie musisz tu nikomu wierzyÄ. -- Krzysztof HaĹasa |
|
| Data: 2013-07-23 23:33:48 | |
| Autor: Piotrek | |
| karty indukcyjne | |
|
On 2013-07-22 20:19, Krzysztof Halasa wrote:
To nie jest kwestia wiary, [...] GĹÄboko siÄ z TobÄ nie zgodzÄ. To *jest* wĹaĹnie kwestia wiary, Ĺźe jak "duĹźy" coĹ zrobi to bÄdzie dobrze, bezpiecznie, funkcjonalnie i tanio. ;-) A przewaĹźnie wychodzi jak zwykle. Pewnie z tego powodu, Ĺźe coraz czÄĹciej: - produkty projektujÄ ksiÄgowi - implementujÄ je studenci/"hindusi" - nad wszystkim czuwa PM, dla ktĂłrego najwaĹźniejsze jest aĹźeby zdÄ ĹźyÄ z przed konkurencjÄ (a później siÄ "zapaczuje"). Piotrek |
|
| Data: 2013-07-13 14:05:42 | |
| Autor: sqlwiel | |
| karty indukcyjne | |
|
W dniu 2013-07-13 10:59, Piotrek pisze:
On 2013-07-13 10:27, Wojciech Bancer wrote: Nie wydaje się Wam, że bijecie pianę? Może poszlibyście se pogadać na priv? -- Dziękuję. Pozdrawiam. sqlwiel. |
|
| Data: 2013-07-13 15:15:30 | |
| Autor: Andrzej Kubiak | |
| karty indukcyjne | |
|
Dnia Sat, 13 Jul 2013 14:05:42 +0200, sqlwiel napisał(a):
Nie wydaje się Wam, że bijecie pianę? Może poszlibyście se pogadać na priv? Gadają na temat i z sensem. Sam se idź pomarudzić na priv. AK |
|
| Data: 2013-07-14 00:59:36 | |
| Autor: J.F. | |
| karty indukcyjne | |
|
Dnia Sat, 13 Jul 2013 10:59:03 +0200, Piotrek napisał(a):
Zgaduję, że w pierwszym lepszym autobusie/tramwaju/SKM-ce znajdzie się bez problemu nie jedną potencjalną ofiarę. W zajęciu miejsca obok takiej ofiary nie ma niczego podejrzanego. A przeciez sa jeszcze inne miejsca z tlokiem. Albo np szafki w szatni na basenie. Tak więc IMHO można założyć, że przez kilka-kilkanaście minut w zasięgu będzie co najmniej jedna kartę do której można przetunelować transakcję. I moze wlasnie o to chodzi. Ile mozna ukrasc - 200 zl dziennie ? Przy wiekszym obrocie moze sie wydac podejrzane - delikwent ktory codziennie dwie flaszki kupuje ? J. |
|
| Data: 2013-07-14 21:37:43 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-13, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:
[...] Tak więc IMHO można założyć, że przez kilka-kilkanaście minut w zasięgu będzie co najmniej jedna kartę do której można przetunelować transakcję. Ale to się po prostu totalnie nie opłaca. Czas/sprzęt/ilość ludzi potrzebna, a i tak, ile da się takich ataków w ciągu godziny przeprowadzić? Jeszcze się okaże, że fachowiec potrzebny do tego by to dobrze zestroić zarabia w godzinę jakieś 2x-3x więcej, i to bez ryzyka. A towar zdobyty jeszcze trzeba upłynnić (czas), też nie za 100% wartości. -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-12 10:18:34 | |
| Autor: Piotr GaĹka | |
| karty indukcyjne | |
|
UĹźytkownik "Krzysztof Halasa" <khc@pm.waw.pl> napisaĹ w wiadomoĹci news:m3zjtsygfm.fsfintrepid.localdomain... To chyba Ĺźart? Nie jest tak Ĺşle. To jest 32 pin raster 0,5mm. Solder maska wchodzi miÄdzy piny uĹatwiajÄ c lutowanie. Gorzej jest z rastrem 0,4mm - solder maska nie wchodzi miÄdzy piny (ze wzglÄdu na wymagania technologiczne). P.G. |
|
| Data: 2013-07-12 22:46:19 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Piotr GaĹka <piotr.galka@cutthismicromade.pl> writes:
Nie jest tak Ĺşle. To jest 32 pin raster 0,5mm. Solder maska wchodzi Ja nie twierdzÄ Ĺźe to jest trudne, zwĹaszcza jeĹli ktoĹ ma pĹytkÄ pod takÄ obudowÄ (aczkolwiek z tym wchodzeniem solder maski miÄdzy piny, czy w kaĹźdym razie kontakty, to nie do koĹca rozumiem - na moich pĹytkach solder maska raczej siÄ nie porusza). Natomiast jeĹli ktoĹ np. ma pĹytkÄ uniwersalnÄ "srebrzonÄ ", nie ma miejsca pod takÄ obudowÄ, tylko musi zrobiÄ "pajÄ ka", i jeszcze uĹźywa jakiejĹ lutownicy z czasĂłw kamienia Ĺupanego albo do innych rynien, to jest to trudniejsze. -- Krzysztof HaĹasa |
|
| Data: 2013-07-22 16:44:27 | |
| Autor: Piotr GaĹka | |
| karty indukcyjne | |
|
UĹźytkownik "Krzysztof Halasa" <khc@pm.waw.pl> napisaĹ w wiadomoĹci news:m3sizjjylg.fsfintrepid.localdomain... WyjaĹniÄ pojÄcie "wchodzi" miÄdzy piny. Raster 0.4mm = 15.7mils - pady 8 mils, odstÄpy czasem 8 czasem 7. Ja "od zawsze" stosujÄ powiÄkszenie solder maski (wzglÄdem padĂłw) o 3 mils z kaĹźdej strony (choÄ niedawno siÄ dowiedziaĹem, Ĺźe standardem jest podobno 4 mils). To powiÄkszenie to ze wzglÄdu na skoĹczonÄ precyzjÄ nanoszenia solder maski. Gdy odstÄp 7 mils i powiÄkszenie 3 to na solder maskÄ miÄdzy padami zostaje 1 mils. KiedyĹ tak zaprojektowaĹem pĹytkÄ i siÄ zdziwiĹem, Ĺźe tej solder maski nie ma. Wtdy siÄ od techonolĂłw dowiedziaĹem, Ĺźe minimalna realizowalna szerokoĹÄ paska solder maski to 3mils. Przy 0.5 mm jest miejsce na solder maskÄ = wchodzi miÄdzy pady, przy 0.4 nie ma. P.G. |
|
| Data: 2013-07-22 20:24:14 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Piotr GaĹka <piotr.galka@cutthismicromade.pl> writes:
Gdy odstÄp 7 mils i powiÄkszenie 3 to na solder maskÄ miÄdzy padami Ok, teraz rozumiem. MyĹlaĹem Ĺźe to ma byÄ w drugÄ stronÄ, Ĺźe jakoĹ solder maska ma czÄĹciowo przykrywaÄ pady czy coĹ takiego :-) -- Krzysztof HaĹasa |
|
| Data: 2013-07-23 10:44:09 | |
| Autor: Piotr GaĹka | |
| karty indukcyjne | |
|
UĹźytkownik "Krzysztof Halasa" <khc@pm.waw.pl> napisaĹ w wiadomoĹci news:m361w28nch.fsfintrepid.localdomain...
W tamtym projekcie scalak miaĹ wiele sÄ siednich pinĂłw poĹÄ czonych do GND. PoĹÄ czyĹem je miÄdzy sobÄ (Ĺrodek pada do Ĺrodka pada) ĹcieĹźkÄ 8 mils. Gdyby solder maska "weszĹa" miÄdzy pady wszystko wyglÄ daĹo by normalnie, ale nie weszĹa i przez te poĹÄ czenia cyna zalaĹa przerwy miÄdzy sÄ siednimi pinami. Elektrycznie OK, ale wyglÄ daĹo tragicznie - naokoĹo scalaka wiele grup pozlewanych pinĂłw. Przy rastrze 0.4mm naleĹźy caĹe rzÄdy padĂłw umieszczaÄ w jednym wspĂłlnym otworze w solder masce i nie ĹÄ czyÄ sÄ siednich bezpoĹrednio, tylko na zewnÄ trz lub wewnÄ trz. P.G. |
|
| Data: 2013-07-23 21:50:40 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Piotr GaĹka <piotr.galka@cutthismicromade.pl> writes:
Przy rastrze 0.4mm naleĹźy caĹe rzÄdy padĂłw umieszczaÄ w jednym Jasne. Dodatkowo dobrze teĹź zastosowaÄ odpowiedniÄ iloĹÄ pasty oraz wybraÄ odpowiedni proces w piecu. Na szczÄĹcie osobiĹcie akurat tym raczej siÄ nie zajmujÄ. -- Krzysztof HaĹasa |
|
| Data: 2013-07-12 01:56:55 | |
| Autor: Chris94 | |
| karty indukcyjne | |
|
Dnia Thu, 11 Jul 2013 09:12:40 +0200, Wojciech Bancer napisał(a):
Były. Automaty działające offline bez podpisu/pin to nie jest jakaś Jedynymi automatami z jakimi się spotkałem, które nie żądały PIN-u od karty stykowej, to były bramki na zagranicznych autostradach. Ale na autostradowej bramce fraudu na większą kwotę nie zrobisz. Natomiast zbliżeniowo - jak wykazuje doświadczenie - można płacić do upojenia, jeśli tylko nie przekracza się kwoty 50 zł. Opisywałem tu kiedyś eksperyment jaki przeprowadziłem, gdy na koncie ustawiłem wszystkie limity płatności kartą na zero (lub jakąś zbliżoną kwotę), a pomimo tego bez problemu mogłem zbliżeniowo płacić rachunki do 50 zł bez żadnej autoryzacji. I właśnie dlatego, pieprzę taką kartę! W jaki sposób to, że swoją Nie wiem na jakiej zasadzie pomoże, ale w moim przypadku przecięcie antenki pomogło! Poprzednio wszystkie moje transakcje bezstykowe na kwoty do 50 zł były akceptowane bez autoryzacji, a po przecięciu antenki wszystkie operacje odbywają się on-line i są autoryzowane PIN-em. Co do tematu dyskusji Jeśli w dowolnym sklepie mogę bez użycia PIN-u płacić bezstykowo kartą, która ma ustawione na zero wszystkie limity płatności, to chyba to nie jest wina "właściciela automatu". Nie troluj. W skali kraju i omawianego bezpieczeństwa, pojedynczy przypadek, czy nawet 3 przypadki, z których omawiany wyżej jest słabo opisany i w sumie nie wiadomo *jak i dlaczego* ktoś stracił kasę, To są przypadki nagłośnione, ale jeszcze mogło być wiele takich, gdzie poszkodowani nie wiedzieli o istnieniu Samcika ani tej grupy i potulnie zapłacili to, co im bank kazał. I wyjaśnij wreszcie, jakie to są te "prawdziwe problemy", o których ma pisać Samcik, Niebezpiecznik oraz my na p.b.b., zamiast zajmować się "tematem zastępczym" jakim jest brak działających zabezpieczeń w kartach zbliżeniowych? Już nie mówiąc o tym, że przeczytałeś A jaki ma być "dalszy ciąg historii"? Facetowi buchnęli kasę z konta, a my mamy aż za dużo przypadków potwierdzających praktykę banku, że w takiej sytuacji standardowo obciąża się klienta kosztami fraudu do wysokości 150 EUR. Poza tym, dlaczego mam kwestionować to, co ktoś poszkodowany napisał? Jeśli sam, na swojej karcie mogłem sprawdzić, że te "zabezpieczenia" są guzik warte i nie działają, to dlaczego mam mu nie wierzyć? -- Pozdrowienia, Krzysztof (dawniej używający nicka 'Chris') |
|
| Data: 2013-07-11 19:44:07 | |
| Autor: witek | |
| karty indukcyjne | |
|
Chris94 wrote:
Kiedy ostatni raz byles w McDonaldzie? |
|
| Data: 2013-07-13 00:01:47 | |
| Autor: Chris94 | |
| karty indukcyjne | |
|
Dnia Thu, 11 Jul 2013 19:44:07 -0500, witek napisał(a):
Jedynymi automatami z jakimi się spotkałem, które nie żądały PIN-u od Dawno. Chyba będę musiał się przejść :) Masz na myśli McDonaldy polskie, czy zagraniczne? -- Pozdrowienia, Krzysztof (dawniej używający nicka 'Chris') |
|
| Data: 2013-07-13 00:18:00 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-12, Chris94 <chris94@WYTNIJ_TO.poczta.fm> wrote:
[...] Kiedy ostatni raz byles w McDonaldzie? Polskie też mają transakcje offline. -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-13 15:07:52 | |
| Autor: Chris94 | |
| karty indukcyjne | |
|
Dnia Sat, 13 Jul 2013 00:18:00 +0200, Wojciech Bancer napisał(a):
Kiedy ostatni raz byles w McDonaldzie? I akceptują płatności wykonywane stykowo bez autoryzacji PIN-em? -- Pozdrowienia, Krzysztof (dawniej używający nicka 'Chris') |
|
| Data: 2013-07-13 10:42:07 | |
| Autor: witek | |
| karty indukcyjne | |
|
Chris94 wrote:
Dnia Sat, 13 Jul 2013 00:18:00 +0200, Wojciech Bancer napisał(a): tak, do zadnej karty po za debetowa do bankomatu nie mam pinu. Po prostu nigdy nie byl ustalony. Robienie zakupow czy ty w mcdonald czy tez w carrefour sprowadza sie do przylozenia karty w okolicach czytnika. Mam nawet klopot, zeby zaplacic w carrefur za pomoca paska magnetycznego, bo zanim zdaze przeciagnac karte przez ta szczeline, to czytnik wypisuje, dziekuje, zaplacone. |
|
| Data: 2013-07-14 00:50:15 | |
| Autor: J.F. | |
| karty indukcyjne | |
|
Dnia Sat, 13 Jul 2013 10:42:07 -0500, witek napisał(a):
Dnia Sat, 13 Jul 2013 00:18:00 +0200, Wojciech Bancer napisał(a):tak, Hm, i karta jest wtedy bez PIN, czy on tam jest, ale nie wiesz jaki ? Robienie zakupow czy ty w mcdonald czy tez w carrefour sprowadza sie do przylozenia karty w okolicach czytnika. I jaka najwieksza kwote autoryzowal ? Mam nawet klopot, zeby zaplacic w carrefur za pomoca paska magnetycznego, bo zanim zdaze przeciagnac karte przez ta szczeline, to czytnik wypisuje, dziekuje, zaplacone. I nie boisz sie ? A jak bankomaty zaczna wyplacac pieniadze po zblizeniu ? :-) J. |
|
| Data: 2013-07-14 01:58:01 | |
| Autor: witek | |
| karty indukcyjne | |
|
J.F. wrote:
Dnia Sat, 13 Jul 2013 10:42:07 -0500, witek napisał(a): Nie ma pinu. Musialbym dzwonic do banku zeby ustawic pin. Nie ma zadnego pinu poczatkowego.
Nie zwracalem uwagi. Raczej male i sadze, ze bylo to ponizej 50 zl. tymi kartami gotowki nie wyplacisz.Mam nawet klopot, zeby zaplacic w carrefur za pomoca paska Po za tym akurat bank nie jest z Polski i mnie 150 euro nie obowiazuje. Moja umowa z bankiem jest na zero zlotych niezaleznie od tego czy przed czy po zgloszeniu utraty karty. |
|
| Data: 2013-07-12 06:55:17 | |
| Autor: sqlwiel | |
| karty indukcyjne | |
|
W dniu 2013-07-12 01:56, Chris94 pisze:
W jaki sposób to, że swoją Powtórzę pytanie: Czy na pewno wolisz płacić zawsze z PINem narażając się na tegoż pinu podglądnięcie, po czym wydolinowanie karty i wypucowanie konta w tym samym Lidlu (np. na alkoholem - nie zmarnuje się u złodzieja), czy może jednak płacić paypassem i pinu nie narażać? Bo ja mam dylemat... Większość kart już mam przedziurkowane, ale kredytówkę jeszcze nie. -- Dziękuję. Pozdrawiam. sqlwiel. |
|
| Data: 2013-07-13 00:11:33 | |
| Autor: Chris94 | |
| karty indukcyjne | |
|
Dnia Fri, 12 Jul 2013 06:55:17 +0200, sqlwiel napisał(a):
Powtórzę pytanie: Kartą płacę w zasadzie tylko przy grubszych płatnościach, a więc raczej w warunkach dość komfortowych i nie stwarzających zagrożenia. Drobne płatności płacę gotówką, a środkami komunikacji miejskiej prawie w ogóle nie jeżdżę. Bo ja mam dylemat... Większość kart już mam przedziurkowane, ale kredytówkę jeszcze nie. Na razie testuję kartę debetową Meritum (bez funkcji zbliżeniowej). Jeśli będzie bezproblemowa, to z karty mBanku przestanę korzystać. -- Pozdrowienia, Krzysztof (dawniej używający nicka 'Chris') |
|
| Data: 2013-07-12 10:37:56 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-11, Chris94 <chris94@WYTNIJ_TO.poczta.fm> wrote:
[...] Jedynymi automatami z jakimi się spotkałem, które nie żądały PIN-u od No tak. Nie widziałem = nie istnieje. Ale w internecie napisali, że bezstykowe są niebezpieczne, więc im trzeba wierzyć. :) W jaki sposób to, że swoją Ok. To zrób eksperyment i doładuj sobie komórkę w automacie we Wrocku. bo pozwalają na fraudy? To jest luka na którą pozwolił właściciel automatu, a nie wada bezstykówek jako takich. Czyli nadal masz pretensje do tego że coś działa offline. I wyjaśnij wreszcie, jakie to są te "prawdziwe problemy", o których ma Już pędzę. :) [... ciach gdybalizmy pospolite ...] -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-13 00:24:12 | |
| Autor: Chris94 | |
| karty indukcyjne | |
|
Dnia Fri, 12 Jul 2013 10:37:56 +0200, Wojciech Bancer napisał(a):
Jedynymi automatami z jakimi się spotkałem, które nie żądały PIN-u od Ponownie proszę, żebyś postarał się czytać to co napisałem, ze zrozumieniem. A napisałem wyraźnie, że moje przekonanie o tym, że bezstykowa karta mBanku jest niebezpieczna nie bierze się wyłącznie z tego, co przeczytałem w internecie, ale przede wszystkim z eksperymentów, które przeprowadziłem na swojej karcie! Jeśli w dowolnym sklepie mogę bez użycia PIN-u płacić bezstykowo kartą, Tak, mam pretensje o to, że ustawione przeze mnie limity transakcyjne nie działają i są zwykłą fikcją. Ten stan mógłbym akceptować, gdyby bank brał na siebie ewentualne fraudy wynikłe z tej luki w systemie bezpieczeństwa, ale bank ani myśli tego robić, całą odpowiedzialność zrzuca na klienta. I wyjaśnij wreszcie, jakie to są te "prawdziwe problemy", o których ma Tutaj powstrzymam się od komentarza. -- Pozdrowienia, Krzysztof (dawniej używający nicka 'Chris') |
|
| Data: 2013-07-12 22:38:15 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Chris94 <chris94@WYTNIJ_TO.poczta.fm> writes:
Nie wiem na jakiej zasadzie pomoĹźe, ale w moim przypadku przeciÄcie Tylko pamiÄtaj, Ĺźe jÄ moĹźna (byÄ moĹźe Ĺatwo) naprawiÄ. Poprzednio wszystkie moje transakcje bezstykowe na kwoty do 50 zĹ byĹy Szczerze mĂłwiÄ c nie rozumiem jaka idea przyĹwieca twĂłrcom tej "technologii". Transakcje bezstykowe, przy ktĂłrych nie mamy pewnoĹci, czy nie jest to fraud (atak z tunelem jest praktycznie nie do obrony, jest oczywisty i wynika z podstawowych zaĹoĹźeĹ), nie sÄ autoryzowane. DokĹadnie takie same transakcje stykowe, w przypadku ktĂłrych wiemy, Ĺźe oryginalna karta jest fizycznie podpiÄta do czytnika (nie wiemy czy do naszego, ale w wersji minimum musi byÄ fizycznie ukradziona) - sÄ PINowane i autoryzowane. Nie Ĺźeby oczywiĹcie ta autoryzacja robiĹa aĹź tak wielkÄ róşnicÄ. Facetowi buchnÄli kasÄ z konta, a my mamy aĹź za duĹźo przypadkĂłw Tak jest jeĹli chodzi o transakcje utraconÄ kartÄ . Natomiast co siÄ dzieje, jeĹli okaĹźe siÄ, Ĺźe transakcje zostaĹy przeprowadzone tÄ kartÄ (z proxy)? CoĹ sĹabo widzÄ takÄ reklamacjÄ. -- Krzysztof HaĹasa |
|
| Data: 2013-07-12 23:10:57 | |
| Autor: J.F. | |
| karty indukcyjne | |
|
Dnia Fri, 12 Jul 2013 22:38:15 +0200, Krzysztof Halasa napisał(a):
Szczerze mówiąc nie rozumiem jaka idea przyświeca twórcom tej No coz, moze i styki na chipie sie wycieraja zbyt szybko. A moze przekonali supermarkety ze wydajnosc kasjerow wzrosnie o 20%, a to jest warte 1% prowizji, a fraudow jest znacznie mniej :-) Bo cos rosna nagrody za platnosc kartami i to dziwne ze wlasnie z supermarketow i stacji paliwowych ... Facetowi buchnęli kasę z konta, a my mamy aż za dużo przypadków Szczegolnie jak na bliska odleglosc .. J. |
|
| Data: 2013-07-11 22:34:52 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Chris94 <chris94@WYTNIJ_TO.poczta.fm> writes:
ByĹy. Automaty dziaĹajÄ ce offline bez podpisu/pin to nie jest jakaĹ Kwestia odpowiedzialnoĹci - w przypadku karty bezstykowej odpowiada (w praktyce) klient. -- Krzysztof HaĹasa |
|
| Data: 2013-07-11 22:30:05 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Wojciech Bancer <proteus@post.pl> writes:
Do momentu zastrzeĹźenia karty uĹźytkownik odpowiada "do wysokoĹci 150 EUR. Wtedy banki raczej zastrzegaĹy wszystkie karty, ktĂłre pozwalaĹy na dokonywanie operacji off-line (chyba Ĺźe odzyskiwaĹy je od klienta). -- Krzysztof HaĹasa |
|
| Data: 2013-07-11 22:32:22 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-11, Krzysztof Halasa <khc@pm.waw.pl> wrote:
Wojciech Bancer <proteus@post.pl> writes: Teraz też zastrzegają. -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-11 22:55:40 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Wojciech Bancer <proteus@post.pl> writes:
Wtedy banki raczej zastrzegaĹy wszystkie karty, ktĂłre pozwalaĹy na NiektĂłre, na pewno, ale - jak widaÄ po transakcjach 2 tygodnie po rzekomym zastrzeĹźeniu - róşnie to jest. -- Krzysztof HaĹasa |
|
| Data: 2013-07-11 23:50:30 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-11, Krzysztof Halasa <khc@pm.waw.pl> wrote:
[...] Teraz też zastrzegają. Krótka piłka. PO zastrzeżeniu taka transakcja to problem banku. Nawet jak się pojawi. Cały dramat i darcie szat tutaj dotyczy okresu pomiędzy zgubieniem, a zastrzeżeniem. -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-12 21:40:45 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Wojciech Bancer <proteus@post.pl> writes:
KrĂłtka piĹka. PO zastrzeĹźeniu taka transakcja to problem banku. Problem w tym rozumowaniu jest taki, Ĺźe po zastrzeĹźeniu karty Ĺźadna dodatkowa transakcja juĹź siÄ nie pojawi. JeĹli siÄ pojawiĹa, to znaczy, Ĺźe bank karty nie zastrzegĹ. Tzn. oczywiĹcie z punktu widzenia ukĹadĂłw z klientem moĹźe zastrzegĹ. -- Krzysztof HaĹasa |
|
| Data: 2013-07-10 05:38:16 | |
| Autor: sqlwiel | |
| karty indukcyjne | |
|
W dniu 2013-07-10 00:44, Chris94 pisze:
Ale przed wprowadzeniem kart zbliżeniowych nikt tego typu fraudów nie .... albo większa masowość kart, mająca niewiele wspólnego ze zbliżeniowością. Wszak masy, wiadomo, ciemne są i przez to mniej ostrożne, niż p.b.b-owcy mający świadomość posługiwania się niebezpiecznym narzędziem :) -- Dziękuję. Pozdrawiam. sqlwiel. |
|
| Data: 2013-07-10 01:29:15 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
MasterCard i mBank okazaĹy siÄ porzÄ dnymi firmami i zwrĂłcili PowÄ tpiewam. nawet jeĹli wina leĹźy po stronie Jeszcze bardziej wÄ tpiÄ. Natomiast moĹźe bank odzyska pieniÄ dze od sprzedawcy. -- Krzysztof HaĹasa |
|
| Data: 2013-07-10 01:49:36 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-09, Krzysztof Halasa <khc@pm.waw.pl> wrote:
MasterCard i mBank okazały się porządnymi firmami i zwrócili Polemizujesz z cytatem. :) -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-09 23:10:44 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Chris94 <chris94@WYTNIJ_TO.poczta.fm> writes:
Mnie mBank obciÄ ĹźyĹ jakby nigdy nic transakcjÄ zbliĹźeniowÄ , ktĂłra Bo jej nie zastrzegĹ. -- Krzysztof HaĹasa |
|
| Data: 2013-07-10 00:48:22 | |
| Autor: Chris94 | |
| karty indukcyjne | |
|
Dnia Tue, 09 Jul 2013 23:10:44 +0200, Krzysztof Halasa napisał(a):
Chris94 <chris94@WYTNIJ_TO.poczta.fm> writes: W systemie transakcyjnym mBanku karta natychmiast po jej zastrzeżeniu przeze mnie stała się widoczna jako zastrzeżona, więc byłoby to dziwne. -- Pozdrowienia, Krzysztof (dawniej używający nicka 'Chris') |
|
| Data: 2013-07-10 01:24:35 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Chris94 <chris94@WYTNIJ_TO.poczta.fm> writes:
W systemie transakcyjnym mBanku karta natychmiast po jej zastrzeĹźeniu To mnie akurat tak bardzo nie dziwi. Czy bank znaĹ powĂłd zastrzeĹźenia karty? W przypadku "bo znudziĹa siÄ klientowi" takich rzeczy moĹźna siÄ spodziewaÄ, choÄ IMHO prawidĹowe to to nijak nie jest. JeĹli karta zostaĹa "utracona" i z tego powodu zastrzeĹźona, to coĹ takiego jest juĹź wiÄkszÄ zdradÄ , bo bank nie moĹźe podejrzewaÄ, Ĺźe jego wĹasny klient jednak odzyskaĹ kartÄ i np. przypadkiem jej uĹźyĹ. JeĹli bank nie zastrzega karty, to później ma do wyboru zapĹaciÄ sam, lub obciÄ ĹźyÄ klienta. Mimo Ĺźe zapewne potencjalny koszt takich rzeczy jest wczeĹniej skalkulowany, to jednak później miĹo jest bankowi samemu nie pĹaciÄ. -- Krzysztof HaĹasa |
|
| Data: 2013-07-07 16:05:16 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
A.L. <alewando@aol.com> writes:
Wszystko prawda. Tu gdzie mieszkam, sprzedaja gustowne etui do kart i Pewnie sÄ . Ale czy jak zrobiÄ antenÄ 50x50 cm i dam w niÄ 10W mocy, to teĹź na pewno zadziaĹajÄ ? Odbiornik teĹź zrobiÄ czulszy, wystarczy mi 1 uV zamiast 30 mV. -- Krzysztof HaĹasa |
|
| Data: 2013-07-07 00:39:43 | |
| Autor: witek | |
| karty indukcyjne | |
|
J.F. wrote:
Ja zawsze spotykam wersje, miejscowa waluta i waluta karty. Przy czym nie wiem czy tak bedzie jak waluta karty bedzie takie egotyczne cos jak zlotowka. |
|
| Data: 2013-07-09 12:15:58 | |
| Autor: A.L. | |
| karty indukcyjne | |
|
On Sun, 07 Jul 2013 00:39:43 -0500, witek
<witek7205@gazeta.pl.invalid> wrote: J.F. wrote: Tam gdzie meszkasz?... A.L. |
|
| Data: 2013-07-09 12:41:11 | |
| Autor: witek | |
| karty indukcyjne | |
|
A.L. wrote:
tam gdzie zlotowka jest egzotyczna waluta. |
|
| Data: 2013-07-10 16:14:36 | |
| Autor: Matt | |
| karty indukcyjne | |
|
On Sun, 07 Jul 2013 07:39:43 +0200, witek <witek7205@gazeta.pl.invalid> wrote:
Ja zawsze spotykam wersje, miejscowa waluta i waluta karty. A waluta rachunku, do ktĂłrego podĹÄ czona jest karta w ogĂłle jest znana dla terminala (np. zapisana na karcie)? Chyba nie. W DCC do wyboru to raczej jest: miejscowa waluta i waluta kraju wydawcy karty. Czyli dla karty wydanej przez polski bank do rachunku w euro lub usd, w przypadku DCC proponowana waluta lokalna i zĹotĂłwki. Kolejny powĂłd by unikaÄ DCC i zawsze ĹźÄ daÄ obciÄ Ĺźenia w walucie lokalnej. Matt |
|
| Data: 2013-07-10 13:41:44 | |
| Autor: witek | |
| karty indukcyjne | |
|
Matt wrote:
On Sun, 07 Jul 2013 07:39:43 +0200, witek <witek7205@gazeta.pl.invalid> A calkiem mozliwe. |
|
| Data: 2013-07-10 17:47:26 | |
| Autor: osa | |
| karty indukcyjne | |
|
W dniu 2013-07-10 16:14, Matt pisze:
On Sun, 07 Jul 2013 07:39:43 +0200, witek <witek7205@gazeta.pl.invalid> Na karcie jest zapisana waluta, sprawdzone dla mBankowch kart do kont walutowych GBP (nessi) i EUR (pĹaszczka/manta). Niestety karta kantoru Aliora odmawia ujawnienia waluty (wiesza siÄ przy odczycie danych przed odczytem m.in. tego rekordu). |
|
| Data: 2013-07-07 02:27:46 | |
| Autor: Chris94 | |
| karty indukcyjne | |
|
Dnia Sat, 6 Jul 2013 23:17:07 +0200, J.F. napisał(a):
Ale można prościej: pójść do banku i poprosić o wyłączenie niechcianej Jak wynika z lektury grupy, wcale nie jest wyłączana "zbliżeniowość", a tylko offlajnowość. "Jadąc za granicę Przy wyjazdach do Chorwacji od trzech lub czterech lat wszystkie rachunki płacę prowadzoną w euro kartą banku BZWBK i nigdy jeszcze nie spotkałem się z taką propozycją. -- Pozdrowienia, Krzysztof (dawniej używający nicka 'Chris') |
|
| Data: 2013-07-07 11:33:34 | |
| Autor: MarcinF | |
| karty indukcyjne | |
|
W dniu 2013-07-06 23:17, J.F. pisze:
Naprawde tak bywa ? Bywa cała lista walut, ale jej zawartość i kurs wymiany zależy chyba od agenta rozliczeniowego. |
|