| Data: 2013-07-06 20:42:20 | |
| Autor: A.L. | |
| karty indukcyjne | |
|
On Sat, 6 Jul 2013 23:17:07 +0200, "J.F."
<jfox_xnospamx@poczta.onet.pl> wrote:
Wszystko prawda. Tu gdzie mieszkam, sprzedaja gustowne etui do kart i paszportow majace te cenna wlasnosc ze ekranuja karte i nei da sie jej chipa RFID odczytac. Jezeli w Polsce takich nei ma, to jest nisza na rynku dla obrotnego pzredsiebiorcy :) A.L. P.S. Co patrwda kart z RFID jest tyle co an lekarstwo, ale kazdy paszport ma RFID |
|
| Data: 2013-07-07 00:41:38 | |
| Autor: witek | |
| karty indukcyjne | |
|
A.L. wrote:
tam gdzie mieszkasz to i gowno owiniete w papierek by sprzedali jesli tylko znalazl by sie frajer, ktory by uwierzyl, ze to dziala i chial kupic. |
|
| Data: 2013-07-09 12:13:36 | |
| Autor: A.L. | |
| karty indukcyjne | |
|
On Sun, 07 Jul 2013 00:41:38 -0500, witek
<witek7205@gazeta.pl.invalid> wrote: A.L. wrote: Dla mnei - rewelacja A.L. |
|
| Data: 2013-07-07 11:36:47 | |
| Autor: Marek | |
| karty indukcyjne | |
|
On Sat, 06 Jul 2013 20:42:20 -0500, A.L. <alewando@aol.com> wrote:
chipa RFID odczytac. Jezeli w Polsce takich nei ma, to jest nisza na Owszem są, paranoiczne obawy do kart zbliżeniowych są powszechne, co często można zauważyć nawet na tej grupie. -- Marek |
|
| Data: 2013-07-07 11:50:48 | |
| Autor: MarcinF | |
| karty indukcyjne | |
|
W dniu 2013-07-07 11:36, Marek pisze:
Owszem s±, paranoiczne obawy do kart zbli¿eniowych s± powszechne, co Paranoiczne? System umo¿liwia kradzie¿ pieniêdzy, których nawet nie ma na rachunku, a banki nie chc± braæ odpowiedzialno¶ci za nie potwierdzone pinem transakcje. Je¶li kto¶ rozumie dzia³anie us³ugi oraz jej regulamin to jego obawy s± uzasadnione. |
|
| Data: 2013-07-07 16:38:24 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-07, MarcinF <marfi@interia.pl> wrote:
[...] Owszem s±, paranoiczne obawy do kart zbli¿eniowych s± powszechne, co Tak. -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-07 21:28:26 | |
| Autor: MarcinF | |
| karty indukcyjne | |
|
W dniu 2013-07-07 16:38, Wojciech Bancer pisze:
Paranoiczne? Unikanie tracenia karty z oczu, sprawdzanie czy bankomat nie ma nak³adki do skimmingu i zaklejanie kodu CVV te¿ uwa¿asz za paranojê ? |
|
| Data: 2013-07-07 12:35:28 | |
| Autor: Kris | |
| karty indukcyjne | |
|
W dniu niedziela, 7 lipca 2013 21:28:26 UTC+2 u¿ytkownik MarcinF napisa³:
Unikanie tracenia karty z oczu, sprawdzanie czy bankomat nie ma nak�adki Ja tak. |
|
| Data: 2013-07-08 00:12:10 | |
| Autor: Chris94 | |
| karty indukcyjne | |
|
Dnia Sun, 7 Jul 2013 12:35:28 -0700 (PDT), Kris napisa³(a):
W dniu niedziela, 7 lipca 2013 21:28:26 UTC+2 u¿ytkownik MarcinF napisa³: No patrz Pan! A (pomijaj±c zaklejanie kodu CVV) banki oraz policja w³a¶nie takie kroki zaleca³y po ka¿dym nag³o¶nionym przez media przypadku skimmingu! Czy¿by banki i policja zosta³y opanowane przez paranoików? -- Pozdrowienia, Krzysztof (dawniej u¿ywaj±cy nicka 'Chris') |
|
| Data: 2013-07-08 00:23:09 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-07, Chris94 <chris94@WYTNIJ_TO.poczta.fm> wrote:
[...] No patrz Pan! W tym wypadku oczywi¶cie ¿e wykazuj± pewn± nazwijmy to - zawodow± - paranojê. -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-07 21:39:10 | |
| Autor: sqlwiel | |
| karty indukcyjne | |
|
W dniu 2013-07-07 21:28, MarcinF pisze:
W dniu 2013-07-07 16:38, Wojciech Bancer pisze: Ja zdrapujê (zapisawszy sobie przedtem zaszyfrowane). Jestem paranoikiem? -- Dziêkujê. Pozdrawiam. sqlwiel. |
|
| Data: 2013-07-07 22:19:33 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-07, MarcinF <marfi@interia.pl> wrote:
[...] Unikanie tracenia karty z oczu, sprawdzanie czy bankomat nie ma nak³adkiParanoiczne?Tak. Mhm. -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-08 18:20:18 | |
| Autor: m | |
| karty indukcyjne | |
|
On 07.07.2013 16:38, Wojciech Bancer wrote:
On 2013-07-07, MarcinF <marfi@interia.pl> wrote: A jednak przyk³ady obronienia karty zupe³nie offline siê zdarza³y i limit 3 transakcji bez PINu okaza³ siê byæ nie zasad± dzia³ania systemu a "zasadniczo tak byæ powinno ale nie zawsze". Ja PayPassa u¿ywam na debetówce, chwalê go sobie, ale tam mam kilkaset z³otych. KK zbli¿eniowej nie chcê. p. m. |
|
| Data: 2013-07-08 18:39:11 | |
| Autor: sqlwiel | |
| karty indukcyjne | |
|
W dniu 2013-07-08 18:20, m pisze:
Ja PayPassa u¿ywam na debetówce, chwalê go sobie, ale tam mam kilkaset Siê zastanawiam, czy lepiej wklepywaæ PIN daj±c spor± szansê na jego podgl±dniêcie (zw³aszcza w jakim¶ Lidlu blisko domu, gdzie bywam 3x/tydz), czy raczej p³aciæ zbli¿eniowo-bezpinowo. .... w Lidlu akurat PINpady s± os³oniête. -- Dziêkujê. Pozdrawiam. sqlwiel. |
|
| Data: 2013-07-08 19:54:16 | |
| Autor: osa | |
| karty indukcyjne | |
|
W dniu 2013-07-08 18:20, m pisze:
A jednak przyk³ady obronienia karty zupe³nie offline siê zdarza³y i Mieli zapisaæ limity ale miejsca na karcie brak³o, bo musieli zarezerwowaæ na listê ostatnich transakcji ;) Fakt, ¿e na karcie jest te¿ lista ostatnich X transakcji to takie moje wczorajsze odkrycie przy zabawie z kartami EMV. Trochê dziwi, ¿e karty chêtnie dziel± siê z ka¿dym zainteresowanym ró¿nymi danymi dot. u¿ytkownika - oczywi¶cie dane te s± jawne i mo¿na je odczytaæ ka¿dym czytnikiem kart chipowych. Wszak zapisanie szczegó³ów ostatnich 10 (i wiêcej) transakcji czemu¶ s³u¿y (kto¶ wie czemu?). A co do limitów ilo¶ciowych to bywa ¿e s± ustawione 3 szt. dla terminali online, ale jak terminal jest offline to 5 sztuk karta chêtnie obs³u¿y bez marudzenia. Zg³êbiam jeszcze tajniki negocjacji sposobu autoryzacji transakcji i wnioski te¿ nie s± zbyt optymistyczne: mimo, ¿e mo¿na wymusiæ aby PIN miêdzy terminalem i kart± by³ szyfrowany to banki z jakiego¶ powodu 'proponuj±' terminalowi przes³anie go w sposób jawny, nawet je¶li obs³ugujê on metodê szyfrowan±. A fakt, ¿e tak± transmisjê mo¿na stosunkowo ³atwo pods³uchaæ... no ale przecie¿ to u¿ytkownik odpowiada za transakcje z u¿yciem PINu. No ale to na razie pocz±tek mojej analizy danych z kart emv wiêc na razie nie bêdê sia³ (wiêkszej) paniki ;) |
|
| Data: 2013-07-08 19:59:33 | |
| Autor: Chris94 | |
| karty indukcyjne | |
|
Dnia Mon, 08 Jul 2013 19:54:16 +0200, osa napisa³(a):
Mieli zapisaæ limity ale miejsca na karcie brak³o, bo musieli zarezerwowaæ na listê ostatnich transakcji ;) Fakt, ¿e na karcie jest te¿ lista ostatnich X transakcji to takie moje wczorajsze odkrycie przy zabawie z kartami EMV. Trochê dziwi, ¿e karty chêtnie dziel± siê z ka¿dym zainteresowanym ró¿nymi danymi dot. u¿ytkownika - oczywi¶cie dane te s± jawne i mo¿na je odczytaæ ka¿dym czytnikiem kart chipowych. Wszak zapisanie szczegó³ów ostatnich 10 (i wiêcej) transakcji czemu¶ s³u¿y (kto¶ wie czemu?). A co do limitów ilo¶ciowych to bywa ¿e s± ustawione 3 szt. dla terminali online, ale jak terminal jest offline to 5 sztuk karta chêtnie obs³u¿y bez marudzenia. Niecierpliwie czekamy na dalsze ustalenia :) -- Pozdrowienia, Krzysztof (dawniej u¿ywaj±cy nicka 'Chris') |
|
| Data: 2013-07-09 23:07:38 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
osa <woytek18@poczta.fm> writes:
Mieli zapisać limity ale miejsca na karcie brakło, bo musieli Co teoretycznie powinno powodować nielegalność tych kart w Polsce. Rzecznik coś tam raz na jakiś czas powie/napisze, ale jakoś niezbyt głośno. Wszak zapisanie szczegółów ostatnich 10 (i więcej) transakcji czemuś Żeby można było stwierdzić, że daną kartą (a nie np. jej klonem) dokonano (lub nie) danej transakcji (fraudu). Zgłębiam jeszcze tajniki negocjacji sposobu autoryzacji transakcji i Teoretycznie, to niby nie. A praktycznie, to i bez PINu często odpowiada. No ale to na razie początek mojej analizy danych z kart emv więc na Prawda jest taka, że nie należy takich kart "tracić". Tyle że w kontekście NFC "utrata karty" zaczyna oznaczać coś innego. -- Krzysztof Hałasa |
|
| Data: 2013-07-09 10:03:32 | |
| Autor: Piotr Ga³ka | |
| karty indukcyjne | |
|
U¿ytkownik "m" <mvoicem@gmail.com> napisa³ w wiadomo¶ci news:51dae6c2$0$1214$65785112news.neostrada.pl... Ja PayPassa u¿ywam na debetówce, chwalê go sobie, ale tam mam kilkaset z³otych. Ale jeste¶ ¶wiadom, ¿e tak± kart± skradzion± offlajnowo w ci±gu kilkunastu minut potrafi± zrobiæ ci kilka tysiêcy debetu ? P.G. |
|
| Data: 2013-07-09 10:28:36 | |
| Autor: sqlwiel | |
| karty indukcyjne | |
|
W dniu 2013-07-09 10:03, Piotr Ga³ka pisze:
Dodaæ koniecznie: Który to debet zap³acisz, bo "bank nie ma mo¿liwo¶ci odrzucenia transakcji off-line". -- Dziêkujê. Pozdrawiam. sqlwiel. |
|
| Data: 2013-07-09 23:08:50 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
sqlwiel <"nick"@googlepoczta.com> writes:
Który to debet zapłacisz, bo "bank nie ma możliwości odrzucenia Oczywiście że ma. Ale decyzję musi wcześniej zapisać na karcie. -- Krzysztof Hałasa |
|
| Data: 2013-07-09 11:52:48 | |
| Autor: m | |
| karty indukcyjne | |
|
On 09.07.2013 10:03, Piotr Ga³ka wrote:
Mam. Trochê mi to psuje dobry nastrój, ale generalnie dobrze ¶piê :). Za to z limitem kilkana¶cie tysiêcy + paypas - nie spa³bym juz tak dobrze. p. m. |
|
| Data: 2013-07-09 12:49:46 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-09, Piotr Ga³ka <piotr.galka@cutthismicromade.pl> wrote:
[...] Ja PayPassa u¿ywam na debetówce, chwalê go sobie, ale tam mam kilkaset z³otych. I nie pokryje tego ubezpieczenie? -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-09 13:04:38 | |
| Autor: Maruda | |
| karty indukcyjne | |
|
W dniu 2013-07-09 12:49, Wojciech Bancer pisze:
On 2013-07-09, Piotr Gałka<piotr.galka@cutthismicromade.pl> wrote:A czytałeś warunki? A płacisz za to ubezpieczenie? -- Dziękuję. Pozdrawiam. Ten Maruda |
|
| Data: 2013-07-09 13:29:34 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-09, Maruda <maruda@null.com> wrote:
W dniu 2013-07-09 12:49, Wojciech Bancer pisze: Akceptujê ryzyko "do 150EUR". Powy¿ej klient nie odpowiada. A za transakcje po zastrze¿eniu karty nie odpowiada w ogóle, czy¿ nie? -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-09 15:55:17 | |
| Autor: Piotr Ga³ka | |
| karty indukcyjne | |
|
U¿ytkownik "Wojciech Bancer" <proteus@post.pl> napisa³ w wiadomo¶ci news:slrnktnt0u.2qm.proteuspl-test.org... Teoretycznie tak, ale problem siê pojawia gdy¿ (jak to wynika z ró¿nych wskazywanych tu kiedy¶ publikacji) nasze banki oczekuj± od klienta, aby to on udowodni³, ¿e nie wykona³ tych transakcji. Nie ma podpisu, nie ma PINu, karta by³a obecna = transakcje wykona³ klient.A czyta³e¶ warunki? P.G. |
|
| Data: 2013-07-09 16:00:15 | |
| Autor: Chris94 | |
| karty indukcyjne | |
|
Dnia Tue, 9 Jul 2013 13:29:34 +0200, Wojciech Bancer napisa³(a):
Akceptujê ryzyko "do 150EUR". Powy¿ej klient nie odpowiada. Ale jak mo¿na przeczytaæ z zeznañ ludzi, którzy takiego fraudu do¶wiadczyli, wcale to nie dzia³a tak, ¿e bank zabiera tylko nadwy¿kê ponad 150 EUR. Bank zabiera ca³a kwotê transakcji, a potem dopiero trzeba siê kopaæ z koniem, ¿eby odda³ tê nadwy¿kê powy¿ej 150 EUR. A za transakcje po zastrze¿eniu karty nie odpowiada w ogóle, czy¿ nie? Mnie mBank obci±¿y³ jakby nigdy nic transakcj± zbli¿eniow±, która zosta³a dokonana w 2 tygodnie po zastrze¿eniu karty. -- Pozdrowienia, Krzysztof (dawniej u¿ywaj±cy nicka 'Chris') |
|
| Data: 2013-07-09 16:04:52 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-09, Chris94 <chris94@WYTNIJ_TO.poczta.fm> wrote:
Akceptujê ryzyko "do 150EUR". Powy¿ej klient nie odpowiada. No oczywi¶cie. Ale to jest ogólna niedogodno¶æ kart debetowych jako takich. -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-09 16:13:52 | |
| Autor: Chris94 | |
| karty indukcyjne | |
|
Dnia Tue, 9 Jul 2013 16:04:52 +0200, Wojciech Bancer napisa³(a):
On 2013-07-09, Chris94 <chris94@WYTNIJ_TO.poczta.fm> wrote: Ale w przypadku u¿ywania karty zbli¿eniowej, prawdopodobieñstwo wyst±pienia tej "niedogodno¶ci" gwa³townie ro¶nie i tego w³a¶nie dotyczy nasza dyskusja. -- Pozdrowienia, Krzysztof (dawniej u¿ywaj±cy nicka 'Chris') |
|
| Data: 2013-07-09 16:29:16 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-09, Chris94 <chris94@WYTNIJ_TO.poczta.fm> wrote:
[...] No oczywi¶cie. Ale to jest ogólna niedogodno¶æ kart debetowych jako takich. Jak gwa³townie? Konkretnie kto¶ ju¿ oszacowa³ ryzyko? Du¿o wy¿sze ni¿ wysoka wygrana w totka? -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-09 17:43:27 | |
| Autor: Chris94 | |
| karty indukcyjne | |
|
Dnia Tue, 9 Jul 2013 16:29:16 +0200, Wojciech Bancer napisa³(a):
No oczywi¶cie. Ale to jest ogólna niedogodno¶æ kart debetowych jako takich. W przypadku kradzie¿y karty p³atniczej we Wroc³awiu, bliskie 100%. -- Pozdrowienia, Krzysztof (dawniej u¿ywaj±cy nicka 'Chris') |
|
| Data: 2013-07-09 17:45:29 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-09, Chris94 <chris94@WYTNIJ_TO.poczta.fm> wrote:
[...] Jak gwa³townie? Konkretnie kto¶ ju¿ oszacowa³ ryzyko? Du¿o wy¿sze ni¿ wysokaW przypadku kradzie¿y karty p³atniczej we Wroc³awiu, bliskie 100%. Znaczy co? Pojawiê siê we Wroc³awiu i na prawie 100% mnie okradn±? Come on. -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-09 18:50:29 | |
| Autor: Chris94 | |
| karty indukcyjne | |
|
Dnia Tue, 9 Jul 2013 17:45:29 +0200, Wojciech Bancer napisa³(a):
Jak gwa³townie? Konkretnie kto¶ ju¿ oszacowa³ ryzyko? Du¿o wy¿sze ni¿ wysokaW przypadku kradzie¿y karty p³atniczej we Wroc³awiu, bliskie 100%. Proponujê, ¿eby¶ spróbowa³ przeczytaæ ze zrozumieniem to jedno, jedyne zdanie, które napisa³em. -- Pozdrowienia, Krzysztof (dawniej u¿ywaj±cy nicka 'Chris') |
|
| Data: 2013-07-09 19:10:32 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-09, Chris94 <chris94@WYTNIJ_TO.poczta.fm> wrote:
[...] Proponujê, ¿eby¶ spróbowa³ przeczytaæ ze zrozumieniem to jedno, jedyneW przypadku kradzie¿y karty p³atniczej we Wroc³awiu, bliskie 100%.Znaczy co? Pojawiê siê we Wroc³awiu i na prawie 100% mnie okradn±? Ale ten problem *nie* dotyczy *tylko* kart bezstykowych. S± terminale dzia³aj±ce offline w których do ma³ych p³atno¶ci nikt sobie dupy nie zawraca PINem. Tak, dzia³aj±ce te¿ z paska/chipa. Akurat we Wroc³awiu zrobi³o siê o tym o tyle g³o¶no, bo tam mo¿na w ten sposób kupiæ do³adowania, które mo¿na odsprzedaæ. Wci±¿ i nadal - poproszê o statystyki jak du¿y procent u¿ytkowników kart pad³ ofiar± czego¶ takiego i jak du¿y mia³ problemy z odzyskaniem pieniêdzy. Bo inaczej to te paranoiczne has³a nie maj± ¿adnego merytorycznego uzasadnienia. A propos tego¿ Wroc³awia: http://samcik.blox.pl/2012/10/Horroe-we-Wroclawiu-Nie-trzeba-znac-PIN-u-do.html [...] "Minê³o a¿ 30 dni od czasu zg³oszenia mojej reklamacji. MasterCard i mBank okaza³y siê porz±dnymi firmami i zwrócili mi ca³o¶æ skradzionej kwoty (1080 z³). Pracownik banku powiedzia³ mi, ¿e w przypadku wyst±pienia wielu transakcji pod rz±d wydawcy kart s± ubezpieczeni od odpowiedzialno¶ci, nawet je¶li wina le¿y po stronie klienta. I ¿e s± ¶wiadomi ryzyk zwi±zanych z nieautoryzowanymi transakcjami zbli¿eniowymi". Niewykluczone, ¿e firma ubezpieczeniowa, która po¶rednio pokry³a straty klienta, wyegzekwuje pieni±dze od lekkomy¶lnego w³a¶ciciela biletomatów." -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-09 20:17:33 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-09, Wojciech Bancer <proteus@post.pl> wrote:
[...] która po¶rednio pokry³a straty klienta, wyegzekwuje pieni±dze od lekkomy¶lnego w³a¶ciciela biletomatów." I jeszcze (bo teraz doczyta³em), odn. automatów we Wrocku, doczytaj w komentarzu: http://samcik.blox.pl/2012/10/Horroe-we-Wroclawiu-Nie-trzeba-znac-PIN-u-do.html "To nie musia³y byæ transakcje zbli¿eniowe! We wroc³awskich autobusach karty zwyk³e nie s± proszone o PIN - absurd ale tak jest. dzwoni³em w tej sprawie do AliorBanku - ¿e sobie nie ¿yczê by z mojej karty mo¿na by³o zdj±æ pieni±dze bez PINu, ale powiedzieli mi, ¿e po prostu jest taki rodziaj transakcji - chipowa bez PINu i nic na to nie poradz± - to jest kwestia akceptanta, a nie moja." Wiêc paypass/nie-paypass nie robi absolutnie ¿adnej ró¿nicy. -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-09 23:14:53 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Wojciech Bancer <proteus@post.pl> writes:
Więc paypass/nie-paypass nie robi absolutnie żadnej różnicy. Jednak trochę robi, bo zmienia się odpowiedzialny. W przypadku paypassa odpowiada bank, przy transakcji stykowej typowo odpowiada sklep, który nie sprawdził PINu. -- Krzysztof Hałasa |
|
| Data: 2013-07-09 23:59:05 | |
| Autor: J.F. | |
| karty indukcyjne | |
|
Dnia Tue, 9 Jul 2013 20:17:33 +0200, Wojciech Bancer napisa³(a):
I jeszcze (bo teraz doczyta³em), odn. automatów we Wrocku, doczytaj To nie bug, to feature :-) http://www.youtube.com/watch?v=on2mXfzAMXs Wszystko w celu bezpieczenstwa. Wiêc paypass/nie-paypass nie robi absolutnie ¿adnej ró¿nicy. Troche robi, karte stykowa trzeba ci zabrac, zblizeniowa mozna przez ubranie ... J. |
|
| Data: 2013-07-10 00:44:32 | |
| Autor: Chris94 | |
| karty indukcyjne | |
|
Dnia Tue, 9 Jul 2013 19:10:32 +0200, Wojciech Bancer napisa³(a):
Proponujê, ¿eby¶ spróbowa³ przeczytaæ ze zrozumieniem to jedno, jedyneW przypadku kradzie¿y karty p³atniczej we Wroc³awiu, bliskie 100%.Znaczy co? Pojawiê siê we Wroc³awiu i na prawie 100% mnie okradn±? Ale przed wprowadzeniem kart zbli¿eniowych nikt tego typu fraudów nie zg³asza³, natomiast po ich wprowadzeniu takie fraudy siê pojawi³y. Czyli jaki¶ zwi±zek pomiêdzy tymi dwoma elementami istnieje i wcale nie musi to akurat byæ sama "zbli¿eniowo¶æ", równie dobrze mo¿e to byæ jaka¶ luka w zabezpieczeniach, która zosta³a wprowadzona wraz ze "zbli¿eniowo¶ci±". Wci±¿ i nadal - poproszê o statystyki jak du¿y procent u¿ytkowników kart Je¶li tylko podasz mi adres strony, która zawiera statystyki fraudów dokonanych w Polsce przy u¿yciu kart p³atniczych, to postaram siê wydzieliæ z nich dane dotycz±ce kart zbli¿eniowych.
A w innych przypadkach banki ani my¶la³y zwracaæ ca³o¶ci zdefraudowanych ¶rodków. Choæby w klasycznym ju¿ przypadku opisywanym na tej grupie: "Po reklamacji telefonicznej a nastêpnie pisemnej oraz odczekaniu 30 dni mbank zwróci³ ¶rodki z pominiêciem równowarto¶ci 150 euro. W reklamacji by³o ¿±danie zwrotu ca³o¶ci skradzionych ¶rodków, poniewa¿ transakcje nie by³y autoryzowane, jednak mbank odmówi³ zwrotu ca³o¶ci. Tak wiêc ostatecznie szwagierkê okradziono na równowarto¶æ 150 euro, nie licz±c straconego czasu, nerwów itp." - news:op.wizgjg1qebnp5ja159590 -- Pozdrowienia, Krzysztof (dawniej u¿ywaj±cy nicka 'Chris') |
|
| Data: 2013-07-10 01:48:03 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-09, Chris94 <chris94@WYTNIJ_TO.poczta.fm> wrote:
[...] Ale przed wprowadzeniem kart zbli¿eniowych nikt tego typu fraudów nie By³y. natomiast po ich wprowadzeniu takie fraudy siê pojawi³y. Tak. Pojawi³o siê kilka artyku³ów w gazetach. Jej. jaki¶ zwi±zek pomiêdzy tymi dwoma elementami istnieje i wcale nie musi To siê nazywa "temat zastêpczy". [...] "Po reklamacji telefonicznej a nastêpnie pisemnej oraz odczekaniu 30 dni mbank zwróci³ ¶rodki z pominiêciem równowarto¶ci 150 euro. W reklamacji by³o ¿±danie zwrotu ca³o¶ci skradzionych ¶rodków, poniewa¿ transakcje Do momentu zastrze¿enia karty u¿ytkownik odpowiada "do wysoko¶ci 150 EUR. Wiêc kiedy nast±pi³o zastrze¿enie karty, a kiedy dokonano transakcji? Identyczna sytuacja wyst±pi³aby dajmy na to 5 lat temu przy kartach z podpisem. Jej. -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-10 09:51:50 | |
| Autor: Piotr Ga³ka | |
| karty indukcyjne | |
|
U¿ytkownik "Wojciech Bancer" <proteus@post.pl> napisa³ w wiadomo¶ci news:slrnktp8a9.2rc.proteuspl-test.org... Do momentu zastrze¿enia karty u¿ytkownik odpowiada "do wysoko¶ci 150 EUR.Czyli mimo braku zgodnego podpisu za transakcje (do 150EUR) odpowiada³ klient ? P.G. |
|
| Data: 2013-07-10 10:09:01 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-10, Piotr Ga³ka <piotr.galka@cutthismicromade.pl> wrote:
Ustawa o Elektronicznych Instrumentach P³atniczych (obowi±zuj±ca wtedy). Art. 28. [...] "2. O ile umowa nie przewiduje inaczej, posiadacza obci±¿aj± operacje dokonane z u¿yciem utraconej karty p³atniczej do czasu zg³oszenia wydawcy jej utraty, do kwoty stanowi±cej równowarto¶æ w z³otych 150 euro." W przepisie nie widzê warunku "podpis niezgodny", a jedynie "do czasu zg³oszenia wydawcy jej utraty". PS. Jakby¶ szuka³ w ¼ród³ach, ustawa obowi±zywa³a w tym zakresie od 12/10/2003, przepis zosta³ uchylony wprowadzeniem podobnej konstrukcji w nowej ustawie z dn. 19/7/2012 o us³ugach p³atniczych. -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-10 16:01:58 | |
| Autor: Matt | |
| karty indukcyjne | |
|
On Wed, 10 Jul 2013 10:09:01 +0200, Wojciech Bancer <proteus@post.pl> wrote:
On 2013-07-10, Piotr Gałka <piotr.galka@cutthismicromade.pl> wrote: W ustawie o EIP kwota 150 euro dotyczyła przypadku, gdy wydawca karty i akceptant należycie wykonywali swoje obowiązki. Cytat z ustawy o EIP: "Posiadacza nie obciążają operacje dokonane z użyciem utraconej karty płatniczej, jeżeli ich dokonanie nastąpiło wskutek nienależytego wykonania zobowiązania przez wydawcę lub akceptanta." Wg mnie, albo akceptant nie wykonywał swoich obowiązków należycie (brak autoryzacji), albo wydawca karty nie wykonywał swoich obowiązków należycie (bank pozwolił na obciążenie karty debetowej powyżej, znacznie powyżej dostępnych środków i całkowicie ignorując brak autoryzacji i całkowicie ignorując limity ustawione w systemie transakcyjnym). Matt |
|
| Data: 2013-07-10 16:11:54 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-10, Matt <matt@ms.ms> wrote:
[...] Wg mnie, albo akceptant nie wykonywa³ swoich obowi±zków nale¿ycie (brak autoryzacji), albo wydawca karty nie wykonywa³ swoich obowi±zków nale¿ycie (bank pozwoli³ na obci±¿enie karty debetowej powy¿ej, znacznie powy¿ej dostêpnych ¶rodków i ca³kowicie ignoruj±c brak autoryzacji i ca³kowicie ignoruj±c limity ustawione w systemie transakcyjnym). Ale to ju¿ jest Twoje gdybanie czy "powy¿ej" i czy cokolwiek ignoruj±c. A obci±¿enie karty powy¿ej dostêpnych ¶rodków jest jak najbardziej mo¿liwe, nie tylko przy transakcjach offline. -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-10 16:50:43 | |
| Autor: Matt | |
| karty indukcyjne | |
|
On Wed, 10 Jul 2013 16:11:54 +0200, Wojciech Bancer <proteus@post.pl> wrote:
On 2013-07-10, Matt <matt@ms.ms> wrote: Jakie gdybanie? Dostępne środki na rachunku to nie jest żadne gdybanie. Czy uważasz, że ilość dostępnych środków leży w kwestii interpretacji i opinii? A obciążenie karty powyżej dostępnych środków jest jak najbardziej możliwe, nie tylko przy transakcjach offline. To, co jest technicznie wykonalne, bo tak Visa/MC/Amex wymyśliły sobie kilkadziesiąt lat temu, niekoniecznie jest zgodne ze współczesnym prawem. Stara ustawa o EIP: "Posiadacza nie obciążają operacje dokonane przy użyciu elektronicznego instrumentu płatniczego, których zlecenia nie potwierdził, z zastrzeżeniem art. 28 ust. 1 i 6 oraz art. 32 ust. 2." Czyli wg tego zapisu, albo akceptant będzie przeprowadzał autoryzację dla każdej transakcji, albo tego nie robi i bierze na siebie koszty potencjalnych fradów. Niestety, rzeczywistość pokazała, że zapis w ustawie to jedno, a działalność banków (z mbankiem na czele) to drugie. Matt |
|
| Data: 2013-07-10 17:17:19 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-10, Matt <matt@ms.ms> wrote:
On Wed, 10 Jul 2013 16:11:54 +0200, Wojciech Bancer <proteus@post.pl> wrote: Gdybasz, czy takie dzia³ania s± dozwolone, czy nie. W szczególno¶ci nie podaj±c zapisów umowy miêdzy stronami. A obci±¿enie karty powy¿ej dostêpnych ¶rodków jest jak najbardziej mo¿liwe, nie tylko przy transakcjach offline. Cytujesz Art. 5. Tymczasem art. 28 ust. 2 jest przepisem IMHO bardziej szczegó³owym i dotyczy w³a¶nie omawianej sytuacji. -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-10 23:06:00 | |
| Autor: Chris94 | |
| karty indukcyjne | |
|
Dnia Wed, 10 Jul 2013 01:48:03 +0200, Wojciech Bancer napisa³(a):
Ale przed wprowadzeniem kart zbli¿eniowych nikt tego typu fraudów nie By³y przypadki dokonania fraudów poprzez dokonanie kartami p³atno¶ci bez autoryzowania transakcji PIN-em, podpisem lub CVV? Podaj jakie¶ linki do przyk³adów. natomiast po ich wprowadzeniu takie fraudy siê pojawi³y. Zastêpczy zamiast czego? Tutaj masz taki sam "temat zastêpczy" z dzisiaj: "Czytam t± dyskusjê i mogê powiedzieæ tylko tyle ,¿e w³a¶nie taki z³odziej skroi³ mi kartê na 340z³.Mo¿e bym siê nie z orientowa³ tylko zakupy na t± kwotê zrobi³ w sklepie z zabawkami. A dla mnie to ostatni sklep gdzie mo¿na mnie spotkaæ. Wiêc macie tu przyk³ad ,¿e takie kradzie¿e s± mo¿liwe i to nie na 50 z³" - http://niebezpiecznik.pl/post/klonowanie-zblizeniowych-kart-kredytowych-rfid/#comment-216997 Jak widaæ, ten numer ju¿ przechodzi nie tylko w ¶rodkach komunikacji miejskiej we Wroc³awiu, ale nawet w sklepach z zabawkami! A poniewa¿ 340 z³ < 150 EUR, wiêc zapowiada siê ciekawa przepychanka z bankiem. Do momentu zastrze¿enia karty u¿ytkownik odpowiada "do wysoko¶ci 150 EUR. Ale gdy wprowadzano karty chipowe i autoryzacjê podpisem zamieniano na autoryzacjê PIN-em, uzasadniano to zwiêkszeniem bezpieczeñstwa poprzez wprowadzenie nowego sposobu autoryzacji. W przypadku bezstykowych kart mBanku sta³o siê wrêcz przeciwnie, gdy¿ tymi kartami z³odziej mo¿e p³aciæ ani nie autoryzuj±c transakcji podpisem, ani PIN-em, co w starych kartach nie by³o mo¿liwe. W sytuacji gdy bank chce obci±¿aæ klienta kosztami 150 EUR za wykonane przez z³odzieja operacje, które by³y mo¿liwe dlatego, ¿e bank nie stworzy³ w³a¶ciwych zabezpieczeñ karty, to poza kastracj± karty jedynym wyj¶ciem pozostaje rezygnacja z niej. -- Pozdrowienia, Krzysztof (dawniej u¿ywaj±cy nicka 'Chris') |
|
| Data: 2013-07-10 23:32:10 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-10, Chris94 <chris94@WYTNIJ_TO.poczta.fm> wrote:
[...] By³y. By³y. Automaty dzia³aj±ce offline bez podpisu/pin to nie jest jaka¶ specjalna nowo¶æ. Podaj jakie¶ linki do przyk³adów. Nie zbieram. jaki¶ zwi±zek pomiêdzy tymi dwoma elementami istnieje i wcale nie musiTo siê nazywa "temat zastêpczy". Realnych problemów. sklep gdzie mo¿na mnie spotkaæ. Wiêc macie tu przyk³ad ,¿e takie Po pierwsze - nie wiadomo czym i jak siê pos³u¿y³ z³odziej, bo autor komentarza jest technicznym laikiem w tym temacie. Po drugie, wg. Ciebie klonowania kart z paskiem nie by³o. Nic a nic? Po trzecie niebezpiecznik to taki trochê plotek.pl. Ma byæ przede wszystkim sensacyjnie, niekoniecznie merytorycznie. Jak widaæ, ten numer ju¿ przechodzi nie tylko w ¶rodkach komunikacji To straszne! Jako ¿ywo przypomina mi dyskusje sprzed kilku lat, gdzie paranoicy udowadniali ¿e "podpisy najlepsze", bo banki uznaj± reklamacje a od transakcji PINowych - nie. I ¿e PIN + chip to jest obni¿enie bezpieczeñstwa, bo PIN podejrzeæ to bu³ka z mas³em. A jak siê tak strachasz i ryzyko jest dla Ciebie nieakceptowalne, to sobie znajd¼ dobre ubezpieczenie od nieautoryzowanych transakcji w kwocie <0-150EUR> i ju¿. -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-11 00:53:53 | |
| Autor: Chris94 | |
| karty indukcyjne | |
|
Dnia Wed, 10 Jul 2013 23:32:10 +0200, Wojciech Bancer napisa³(a):
By³y przypadki dokonania fraudów poprzez dokonanie kartami p³atno¶ci bez Ale wcze¶niej jako¶ skarg nie by³o na fraudy dokonane przy u¿yciu tych automatów. Pojawi³y siê po wprowadzeniu kart bezstykowych. Podaj jakie¶ linki do przyk³adów. Wiêc szkoda, ¿e nie masz ¿adnych argumentów na potwierdzenie g³oszonych przez siebie teorii. To siê nazywa "temat zastêpczy". Je¶li dla Ciebie znikniêcie kilkuset z³otych z konta jest "tematem zastêpczym", to nie pozostaje mi nic innego, jak tylko ¿yczyæ Ci, ¿eby zamiast realnych problemów dotyczy³y Ciê tylko "tematy zastêpcze". A jak siê tak strachasz i ryzyko jest dla Ciebie nieakceptowalne, to sobie A dlaczego to ja mam ponosiæ koszty ubezpieczenia, je¶li to bank nie potrafi³ w³a¶ciwie zabezpieczyæ wydawanych przez siebie kart p³atniczych? Jedynym sensownym wyj¶ciem z tej sytuacji jest rezygnacja z u¿ytkowania takiej niebezpiecznej karty, co w³a¶nie mam zamiar uczyniæ. -- Pozdrowienia, Krzysztof (dawniej u¿ywaj±cy nicka 'Chris') |
|
| Data: 2013-07-11 09:12:40 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-10, Chris94 <chris94@WYTNIJ_TO.poczta.fm> wrote:
[...] By³y przypadki dokonania fraudów poprzez dokonanie kartami p³atno¶ci bez Ale dociera do Ciebie, ¿e ten automat przyjmie te¿ kartê bez funkcji bezstykowej? I te¿ *NIE BÊDZIE CHCIA£ PINU*? W jaki sposób to, ¿e swoj± karte pozbawisz antenki pomo¿e w takiej sytuacji? Co do tematu dyskusji wnosi fakt, ¿e zosta³y zaimplementowane niedawno i jest o nich g³o¶no, bo pozwalaj± na fraudy? To jest luka na któr± pozwoli³ w³a¶ciciel automatu, a nie wada bezstykówek jako takich. Wiêc szkoda, ¿e nie masz ¿adnych argumentów na potwierdzenie g³oszonychPodaj jakie¶ linki do przyk³adów.Nie zbieram. Ja nie g³oszê ¿adnych teorii. Wy¶miewam te istniej±ce paranoiczne zachowania. Realnych problemów. Nie troluj. W skali kraju i omawianego bezpieczeñstwa, pojedynczy przypadek, czy nawet 3 przypadki, z których omawiany wy¿ej jest s³abo opisany i w sumie nie wiadomo *jak i dlaczego* kto¶ straci³ kasê, to jak najbardziej temat zastêpczy. Ju¿ nie mówi±c o tym, ¿e przeczyta³e¶ komentarz i nie znasz dalszego ci±gu historii, tylko sobie domniemywasz. A jak siê tak strachasz i ryzyko jest dla Ciebie nieakceptowalne, to sobie Duh. Bo nie akceptujesz minimalnego ryzyka utraty ¶rodków, zwi±zanego z przedzia³em 0-150EUR, w czasie od utraty karty do zg³oszenia zastrze¿enia? Jedynym sensownym wyj¶ciem z tej sytuacji jest rezygnacja z u¿ytkowania A rób co chcesz, to wolny kraj. Tylko nie udawaj, ¿e taka decyzja ma pod³o¿e merytoryczne i oparte na jakiej¶ wiedzy. Postraszyli Ciê kilkoma sensacyjnymi artyku³ami, temat zastêpczy podzia³a³. -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-11 15:12:30 | |
| Autor: Piotr Ga³ka | |
| karty indukcyjne | |
|
U¿ytkownik "Wojciech Bancer" <proteus@post.pl> napisa³ w wiadomo¶ci news:slrnktsmnu.2te.proteuspl-test.org... Nikomu by nic nie przeszkadza³o jakby mia³ wybór miêdzy:A dlaczego to ja mam ponosiæ koszty ubezpieczenia, je¶li to bank nie 1. karta super wygodna i ma³o bezpieczna + ewentualne p³atne ubezpieczenie dla chêtnych, 2. karta niewygodna (nie zbli¿eniowa i nie offlajnowa) ale bezpieczna i bez konieczno¶ci ubezpieczania. ¬ród³em dyskusji jest brak tego wyboru. P.G. |
|
| Data: 2013-07-11 18:06:52 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-11, Piotr Ga³ka <piotr.galka@cutthismicromade.pl> wrote:
[...] Duh. Bo nie akceptujesz minimalnego ryzyka utraty ¶rodków, zwi±zanegoNikomu by nic nie przeszkadza³o jakby mia³ wybór miêdzy: ¬ród³em zagro¿enia s± transakcje offline, a nie fakt zbli¿eniowo¶ci karty. I obawiam siê, ¿e fraudów i malkontentów (Ci s± zawsze) jest na tyle ma³o, ¿e w³a¶ciwym osobom w³adnym za takie decyzje zwyczajnie to powiewa. I ja im siê nie dziwiê. We¼ te¿ pod uwagê te¿ inny aspekt: ³atwiej zamontowaæ skaner do klonownaia kart + kamerê do podpatrzenia PIN ni¿ popindalaæ ludziom po kieszachiach z czytnikiem. Jest to i ³atwiejsze dla z³odzieja, i bezpieczniejsze (mo¿e sobie dane wci±gn±æ zdalnie) i mniej problematyczne (od razu podpatrzy PIN, a nie ma kontaktu z u¿ytkownikiem karty, i podpierdoliæ mo¿e jednorazowo "ile fabryka da³a"). Wiêc jak chcesz bezpiecznie, to u¿ywaj gotówki, albo zaakceptuj ryzyko jakie siê wi±¿e z u¿ywaniem karty. Jakiejkolwiek. -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-11 22:45:01 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Wojciech Bancer <proteus@post.pl> writes:
Źródłem zagrożenia są transakcje offline, a nie fakt zbliżeniowości Nie, jedno i drugie jest zagrożeniem. Tyle że transakcje off-line mają swoje pozytywne strony, natomiast transakcje bezstykowe - tak średnio. łatwiej zamontować skaner do klonownaia kart + kamerę do podpatrzenia PIN To chyba żart? To pierwsze wcale nie jest łatwe, za to łatwo to wykryć i np. zastawić pułapkę na złodzieja. To drugie jest praktycznie niewykrywalne, a jeśli komuś wystarczy "zwykły" zasięg, to telefony mają wbudowane scalaki NFC. Domyślam się, że nie wystarczy, trzeba będzie kupić jakiegoś scalaka np. NXP, ze dwa tranzystory, kilka kondensatorów i oporników, i to wszystko zmontować i uruchomić. Zwłaszcza scalaka może być trudno przylutować, mała obudowa z wyprowadzeniami pod spodem (SOT617). -- Krzysztof Hałasa |
|
| Data: 2013-07-12 00:12:43 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-11, Krzysztof Halasa <khc@pm.waw.pl> wrote:
[...] ¬ród³em zagro¿enia s± transakcje offline, a nie fakt zbli¿eniowo¶ci Jedno i drugie ma dok³adnie t± sam± zaletê. Jest wygodne. I o to chodzi. Wiêksza wygoda za cenê niewielkiego ryzyka, które ponosz± obie strony (klient do czasu zastrze¿enia + ew. niedogodno¶ci zwi±zane z przepychaniem siê z bankiem). To drugie jest praktycznie niewykrywalne, a je¶li komu¶ wystarczy To jaki wg Ciebie to jest zasiêg? Bo wg mnie taki, ¿eby conajmniej pokracznie wygl±daæ i zwracaæ na siebie uwagê "szuraj±c" po ludziach. To wcale nie jest podejrzane. Nic a nic. tranzystory, kilka kondensatorów i oporników, i to wszystko zmontowaæ I czy na pewno dane uzyskane przez taki odczyt wystarcz± do wykonania transakcji bezstykowej? Masz gdzie¶ opis faktycznego sklonowania i wykorzystania takiego klona, czy tylko siê jaraj± wszyscy tym ¿e mo¿na sobie jakie¶ dane z karty odczytaæ bezstykowo? Co zrobisz z tym swoim scalakiem skoro terminal dzia³a na zasadzie challenge-response? -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-12 09:02:04 | |
| Autor: Piotrek | |
| karty indukcyjne | |
|
On 2013-07-12 00:12, Wojciech Bancer wrote:
[...] Tu masz opis ataku nawet gro¼niejszego ni¿ klonowanie (gdzie sklonowan± kart± mo¿na zrobiæ nie wiêcej ni¿ jedn± transakcjê do wysoko¶ci limitu): <http://niebezpiecznik.pl/post/uniwersalny-atak-na-karty-zblizeniowe/> Piotrek |
|
| Data: 2013-07-12 10:28:16 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-12, Piotrek <piotrek@pisz.na.berdyczow.info> wrote:
On 2013-07-12 00:12, Wojciech Bancer wrote: Niez³e SF. U¶mia³em siê. Autor ma wyobra¼niê. :) A co¶ z realnego ¶wiata? -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-12 11:01:11 | |
| Autor: Piotrek | |
| karty indukcyjne | |
|
On 2013-07-12 10:28, Wojciech Bancer wrote:
Niez³e SF. U¶mia³em siê. Autor ma wyobra¼niê. :) Czego konkretnie nie zrozumia³e¶? Piotrek |
|
| Data: 2013-07-12 11:21:27 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-12, Piotrek <piotrek@pisz.na.berdyczow.info> wrote:
On 2013-07-12 10:28, Wojciech Bancer wrote: Takiego drobiazgu jak synchronizacja i radzenie sobie z opó¼nieniami transmisji na odleg³o¶æ vs wymaganiami co do transmisji jakie maj± terminale. Zabawnie by³oby ogl±daæ "nie wzbudzaj±c± podejrzeñ" parkê, w której jeden siê lepi do ludzi "w autobusie", a drugi idealnie wymierza moment na pikniêcie w kasie. Normalnie jak film szpiegowski klasy B. :) -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-12 11:28:07 | |
| Autor: Piotrek | |
| karty indukcyjne | |
|
On 2013-07-12 11:21, Wojciech Bancer wrote:
Takiego drobiazgu jak synchronizacja i radzenie sobie z opó¼nieniami Odpowied¼ masz w filmie z mojego poprzedniego postu. Przy dobrze zaplanowanym ataku prawdopodobieñstwo, ¿e od zeskanowania karty do fraudowej transakcji ofiara zrobi transakcjê kart± jest praktycznie zerowe. Piotrek |
|
| Data: 2013-07-12 11:29:48 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-12, Piotrek <piotrek@pisz.na.berdyczow.info> wrote:
On 2013-07-12 11:21, Wojciech Bancer wrote: W Polsce masz challenge-response tokeny, wiêc takie zapisane transakcje nie wystarcz±. -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-12 11:11:55 | |
| Autor: Piotrek | |
| karty indukcyjne | |
|
On 2013-07-12 10:28, Wojciech Bancer wrote:
Niez³e SF. U¶mia³em siê. Autor ma wyobra¼niê. :) Tu masz pierwsz± lepsz± wizualizacjê do tego SF: Click -> <http://www.youtube.com/watch?v=w_vYuLyfw3E> Software le¿y tu: Click -> <http://sourceforge.net/projects/nfcproxy/> Jedyny "problem" polega na zbudowaniu sprzêtu posiadaj±cego nieco lepsz± czu³o¶æ ni¿ to co standardowo jest w telefonie. Ale poniewa¿ protokó³ (NFC) nie ma wbudowanych zabezpieczeñ przed maksymaln± odleg³o¶ci± z jakiej mo¿na siê komunikowaæ z urz±dzeniem to jest to "problem" a nie problem. Piotrek |
|
| Data: 2013-07-12 11:29:03 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-12, Piotrek <piotrek@pisz.na.berdyczow.info> wrote:
Niez³e SF. U¶mia³em siê. Autor ma wyobra¼niê. :) Absolutnie nie. I nawet ³adnie w komentarzu naposali, ¿e na nie US kartach raczej nie zadzia³a. A jednak wszystkie obecne informacje jakie siê w sieci znajduj± na temat "¶ci±gnêli mi kasê z konta" dotycz± skradzionych kart. -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-12 11:39:33 | |
| Autor: Piotrek | |
| karty indukcyjne | |
|
On 2013-07-12 11:29, Wojciech Bancer wrote:
[...] na nie US kartach raczej nie zadzia³a [...] Byæ mo¿e. Chocia¿ nie widaæ powodu dla którego mia³by nie zadzia³aæ atak z wykorzystaniem trybu proxy. Ale nie na tym polega zasadniczy problem. Zasadniczy problem polega na tym, ¿e w wiêkszo¶ci banku funkcjonalno¶ci nie mo¿na wy³±czyæ na ¿±danie. I tu (choæ nie jeste¶my na prêgierzu) wazelina dla np. Citi gdzie dzwonisz na party-line, mówisz ¿e sobie nie ¿yczysz mieæ p³atno¶ci zbli¿eniowych i Ci je po prostu wy³±czaj±. Proste? Proste! Piotrek |
|
| Data: 2013-07-12 11:49:30 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-12, Piotrek <piotrek@pisz.na.berdyczow.info> wrote:
[...] Byæ mo¿e. Chocia¿ nie widaæ powodu dla którego mia³by nie zadzia³aæ atak z wykorzystaniem trybu proxy. No ale tutaj mamy do czynienia wtedy z go¶ciem który sobie ³azi po ludziach i wygl±da co najmniej dziwnie. Pamiêtaj o koniecznej synchronizacji. Realny ¶wiat to nie warunki laboratoryjne i *trochê* zabezpieczeñ, opó¼nieñ i innych trudnych do przewidzenia rzeczy tam jest. A wpa¶æ niezwykle ³atwo, bo musisz to robiæ f2f. I to za co? Kwoty w sklepach to raptem 50 z³ jednorazowo, bo inaczej karta poprosi o pin. A przy ponownym u¿yciu trzeba mieæ ponownie zbli¿on±, bo inny bêdzie CR. Pomy¶l przez chwilê jakie to jest ryzykowne w realnym ¿yciu, a nie w warunkach laboratoryjnych. I tu (choæ nie jeste¶my na prêgierzu) wazelina dla np. Citi gdzie dzwonisz na party-line, mówisz ¿e sobie nie ¿yczysz mieæ p³atno¶ci zbli¿eniowych i Ci je po prostu wy³±czaj±. I karta o tym nie wie do momentu a¿ nie zostanie odpowiednio poinstruowana w czasie transakcji online. A i tak istotniejsze jest: - wy³±czenie transakcji internetowych - wy³±czenie transakcji offline co powoduje ¿e karta staje siê ma³o wygodna i ma³o u¿yteczna. Zbli¿eniówka to przy powy¿szym piku¶ nie warty szerszej wzmianki. -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-12 12:12:31 | |
| Autor: Piotrek | |
| karty indukcyjne | |
|
On 2013-07-12 11:49, Wojciech Bancer wrote:
No ale tutaj mamy do czynienia wtedy z go¶ciem który sobie ³azi po ludziach Ale zgadujê, ¿e w realnym ¿yciu nie u¿ywa siê do fraudów urz±dzeñ ogólnodostêpnych tylko profesjonalnych (które potrafi± siê komunikowaæ na odleg³o¶ci nieco wiêksze ni¿ te 10-15 cm). A sam± fraudow± p³atno¶æ robisz jak wiesz, ¿e masz w zasiêgu kartê, która odpowie. Tak wiêc ryzyko niewielkie, natomiast zyski to tylko kwestia skali i umiejêtno¶ci dystrybucji pozyskanych w wyniku fraudu towarów. I karta o tym nie wie do momentu a¿ nie zostanie odpowiednio poinstruowana Oczywi¶cie. w czasie transakcji online. A i tak istotniejsze jest: Czy odpowiadasz za fraudy przy transakcjach MOTO/internetowych? - wy³±czenie transakcji offline Ale dla kogo? Dla u¿ytkownika? A jaki to problem *dla u¿ytkownika* poczekaæ x sekund na autoryzacjê on-line? Oczywi¶cie problem jest dla akceptanta/banku. Poniewa¿ wymaga zaanga¿owania konkretnych zasobów *w chwili* dokonywania transakcji. No ale przecie¿ to "nie mój cyrk, nie moje ma³py". Piotrek |
|
| Data: 2013-07-12 12:30:49 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-12, Piotrek <piotrek@pisz.na.berdyczow.info> wrote:
[...] A wpa¶æ niezwykle ³atwo, bo musisz to robiæ f2f. I to za co? Ale co to znaczy "masz w zasiêgu"? Musisz przez dobr± chwilê popindalaæ za kim¶. Nawet jak zasiê jest wiêkszy ni¿ 20 cm, to *i tak* ludzie siê ruszaj±, obracaj± rozmawiaj±, poruszaj±. A profesjonali¶ci siê za drobnymi nie uganiaj±, w³a¶nie o to chodzi w ca³ej idei. Za du¿e ryzyko do potencjalnego potencjalnego zysku IMHO. Tak wiêc ryzyko niewielkie, natomiast zyski to tylko kwestia skali i umiejêtno¶ci dystrybucji pozyskanych w wyniku fraudu towarów. Kwestia oceny. Jak dla mnie jest bardzo du¿e. I w³a¶nie o to chodzi. w czasie transakcji online. A i tak istotniejsze jest: Zale¿y od banku. Podpadasz pod dok³adnie ten sam przepis co transakcje offline/zbli¿eniowe. W jednym banku uznaj± reklamacjê, w innym nie. - wy³±czenie transakcji offline Gdzie x jest w okolicach 30, zamiast w okolicach 4. To nie jest problem. To jest po prostu mniej wygodne. Ja jak mam do wyboru: karta online, karta offline, gotówka, to zawsze wolê offline. -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-12 12:39:14 | |
| Autor: Piotrek | |
| karty indukcyjne | |
|
On 2013-07-12 12:30, Wojciech Bancer wrote:
Gdzie x jest w okolicach 30, zamiast w okolicach 4. Za szybko ¿yjesz ;-) A i tak stanie przed Tob± "babcia", która przez dwie minuty bêdzie szuka³a gotówki i ... click -> <https://www.youtube.com/watch?v=KdhwopvTf18> Piotrek |
|
| Data: 2013-07-12 13:31:09 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-12, Piotrek <piotrek@pisz.na.berdyczow.info> wrote:
[...] A i tak stanie przed Tob± "babcia", która przez dwie minuty bêdzie szuka³a gotówki i ... Nie fantazjuj. :) Za du¿e ryzyko, za ma³y zysk. -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-12 12:45:05 | |
| Autor: m | |
| karty indukcyjne | |
|
W dniu 12.07.2013 12:30, Wojciech Bancer pisze:
On 2013-07-12, Piotrek<piotrek@pisz.na.berdyczow.info> wrote: Zw³aszcza w poci±gu, autobusie, tramwaju, poczekalni. p. m. |
|
| Data: 2013-07-12 13:29:50 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-12, m <mvoicem@gmail.com> wrote:
[...] Ale co to znaczy "masz w zasiêgu"? Musisz przez dobr± chwilê popindalaæ za kim¶. W poci±gu, autobusie, tramwaju to taka zabawka nie zadzia³a z przyczyn technicznych - opó¼nienia transmisji i gubienia sygna³u. A i wtedy trzeba znale¼æ dobre warunki, czyli mocno zat³oczony pojazd, inaczej taki przyklejony do ludzi bêdzie wygladaæ dziwnie i jeszcze w pysk zarobi. A w poczekalni to siê siedzi, a nie klei do ludzi. To nie jest tak, ¿e taki czytnik bêdzie siê mie¶ciæ na d³oni i jeszcze obejmie ca³y budynek. Czekam teraz na informacjê, ¿e jaki¶ MFC-PRISM2 wykorzysta satelity i nikt siê przed tym nie ukryje. Jak SF to na ca³ego. -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-12 13:39:17 | |
| Autor: Piotrek | |
| karty indukcyjne | |
|
On 2013-07-12 13:29, Wojciech Bancer wrote:
[...] Jak SF to na ca³ego. SF (a raczej zwyk³e dym@nie klienta) to jest IMHO raczej w tym, ¿e banki/VISA/MC twierdz± ¿e technologia jest super-bezpieczna i jednocze¶nie nie bior± by default "na klatê" fraudów mo¿liwych do przeprowadzenia przy u¿yciu tej super-bezpiecznej technologii. Ani (w sporej czê¶ci) nie umo¿liwiaj± wy³±czenie transakcji wykorzystuj±cych tê super-bezpieczn± technologiê. Bo jak rozumiem nie negujesz mo¿liwo¶ci przeprowadzenia fraudu przy u¿yciu (w zasadzie) ogólnodostêpnych rekwizytów, a jedynie jego prawdopodobieñstwo/op³acalno¶æ. Piotrek |
|
| Data: 2013-07-12 13:59:59 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-12, Piotrek <piotrek@pisz.na.berdyczow.info> wrote:
[...] SF (a raczej zwyk³e dym@nie klienta) to jest IMHO raczej w tym, ¿e banki/VISA/MC twierdz± ¿e technologia jest super-bezpieczna i jednocze¶nie nie bior± by default "na klatê" fraudów mo¿liwych do przeprowadzenia przy u¿yciu tej super-bezpiecznej technologii. Ani (w sporej czê¶ci) nie umo¿liwiaj± wy³±czenie transakcji wykorzystuj±cych tê super-bezpieczn± technologiê. Nie ma czego¶ takiego. Jedyne co mo¿na zrobiæ, to sprawiæ by to by³o nieop³acalne. I tak w³a¶nie jest. Bo jak rozumiem nie negujesz mo¿liwo¶ci przeprowadzenia fraudu przy u¿yciu (w zasadzie) ogólnodostêpnych rekwizytów, a jedynie jego prawdopodobieñstwo/op³acalno¶æ. Oczywi¶cie. Wszystko siê da, nie wszystko siê op³aca. :) -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-12 14:07:27 | |
| Autor: Piotrek | |
| karty indukcyjne | |
|
On 2013-07-12 13:59, Wojciech Bancer wrote:
super-bezpieczn± technologiê. Nopaczpan. A Ci twierdz±, ¿e siê zabezpieczyli: <http://www.visa.pl/visa_w_polsce/karty_dla_ciebie/p%C5%82atno%C5%9Bci_zbli%C5%BCeniowe/bezpiecze%C5%84stwo.aspx> Lamerzy jacy¶? Czy co? ;-) piotrek |
|
| Data: 2013-07-12 14:23:06 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-12, Piotrek <piotrek@pisz.na.berdyczow.info> wrote:
On 2013-07-12 13:59, Wojciech Bancer wrote: A mo¿esz konkretnie zacytowaæ w którym miejscu? -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-12 14:34:03 | |
| Autor: Piotrek | |
| karty indukcyjne | |
|
On 2013-07-12 14:23, Wojciech Bancer wrote:
A mo¿esz konkretnie zacytowaæ w którym miejscu? Zaraz po tytule :-) Piotrek |
|
| Data: 2013-07-12 15:22:33 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-12, Piotrek <piotrek@pisz.na.berdyczow.info> wrote:
[...] A mo¿esz konkretnie zacytowaæ w którym miejscu?Zaraz po tytule :-) No przecie¿ zastosowano. A ¿e nie w ka¿dych warunkach s± skuteczne? No to o tym mówi³em. :) -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-12 17:18:29 | |
| Autor: Piotrek | |
| karty indukcyjne | |
|
On 2013-07-12 15:22, Wojciech Bancer wrote:
No przecie¿ zastosowano. A ¿e nie w ka¿dych warunkach s± skuteczne? Tia, jajeczko czê¶ciowi nie¶wie¿e ... Warunki w których zastosowane zabezpieczenia *nie* dzia³aj± nie s± jako¶ szczególnie kosmiczne. I mo¿esz straciæ kasê nie wypuszczaj±c karty z rêki/portfela. Byæ mo¿e na razie nie op³aca siê na masow± skalê robiæ fraudów na p³atno¶ciach zbli¿eniowych. Ale to nie oznacza, ¿e za chwilê kwota nie zostanie zwiêkszona, albo ¶rodki techniczne niezbêdne do bezstresowego fraudowania nie staniej±. I wtedy zacznie siê op³acaæ. Dlatego uczciwe by³oby umo¿liwienie rezygnacji z tej super-bezpiecznej technologii dla tych bardziej ¶wiadomych/strachliwych. Albo wziêcie na klatê konsekwencji stosowania technologii, której zabezpieczania - jak by³e¶ ³askaw napisaæ - nie w ka¿dych warunkach s± skuteczne. I tyle :-) EOT Piotrek |
|
| Data: 2013-07-12 17:43:55 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-12, Piotrek <piotrek@pisz.na.berdyczow.info> wrote:
[...] Warunki w których zastosowane zabezpieczenia *nie* dzia³aj± nie s± jako¶ szczególnie kosmiczne. I mo¿esz straciæ kasê nie wypuszczaj±c karty z rêki/portfela. Na ¿adn± skalê siê to nie op³aca. :) Dlatego uczciwe by³oby umo¿liwienie rezygnacji z tej super-bezpiecznej technologii dla tych bardziej ¶wiadomych/strachliwych. Jest. Nazywa siê gotówka. :) -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-12 22:29:07 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Piotrek <piotrek@pisz.na.berdyczow.info> writes:
Być może na razie nie opłaca się na masową skalę robić fraudów na Wątpię. To po prostu względnie nowa technologia, a ludzie, którzy się znają na takich rzeczach, typowo mają lepsze zajęcia. Ale to nie znaczy, że to się nie opłaca, i na pewno nie świadczy o żadnym bezpieczeństwie. Ale to nie oznacza, że za chwilę kwota nie Środki techniczne są ekstremalnie tanie. Typowy hobbista elektronik, interesujący się radiem i cyfrówką, zapewne ma potrzebne rzeczy w domu. Jeśli nie chciałby zbyt dużo czytać, tylko zrobić to jak najprościej się da, to lepiej zrobić układ w oparciu o specjalizowanego scalaka, tego pewnie musiałby kupić. Koszt typu 50 zł z dostawą. Można oczywiście pokombinować inaczej, np. zrobić to "na piechotę", to nic trudnego. Wtedy wymagane większe doświadczenie. Dlatego uczciwe byłoby umożliwienie rezygnacji z tej super-bezpiecznej To trochę tak jakby pisać o zabezpieczeniach kart magnetycznych. "Nie w każdych warunkach skuteczne". Niestety tu są inne warunki, w szczególności karta może być cały czas w portfelu pod kontrolą klienta. -- Krzysztof Hałasa |
|
| Data: 2013-07-12 13:58:56 | |
| Autor: Piotrek | |
| karty indukcyjne | |
|
On 2013-07-12 13:29, Wojciech Bancer wrote:
On 2013-07-12, m <mvoicem@gmail.com> wrote: Ale jakie klejenie do ludzi? Czytniki komunikuj±ce siê do 1.5 metra oferuje/oferowa³ Feig Electronic. Fakt, ¿e antena nie jest ma³a ale wejdzie do teczki, plecaka, etc. Tak wiêc mo¿liwo¶ci techniczne s± wiêksze ni¿ siê wiêkszo¶ci optymistów wydaje ;-) Ja rozumiem, ¿e no risk no fun ale wola³bym sobie sam wybieraæ risk po którym mam fan. A nie, ¿eby to robi³ za mnie bank ;-) Piotrek |
|
| Data: 2013-07-12 21:52:45 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Wojciech Bancer <proteus@post.pl> writes:
Nie, jedno i drugie jest zagrożeniem. Tyle że transakcje off-line mają Transakcje stykowe także są wygodne. Dodatkowo, są (podobno) minimalnie szybsze. No chyba że piszesz o potrzebie lub braku potrzeby podawania PINu - ale to nie jest różnica wynikająca z warunków technicznych. To jaki wg Ciebie to jest zasięg? Bo wg mnie taki, żeby conajmniej pokracznie Jasne że nie. Bez najmniejszego problemu można mieć czytnik, który przeczyta kartę w promieniu 50 cm. Wiem, bo takiego rutynowo używam (nie, to nie jest czytnik EMV). To oczywiście nie oznacza, że nie można mieć większego zasięgu, jasne że można (aczkolwiek trzeba pojechać z mocą dość brutalnie). I czy na pewno dane uzyskane przez taki odczyt wystarczą do wykonania transakcji Jasne. Dodatkowo, praktycznie nie ma możliwości obrony przed takim atakiem. Największe zagrożenie dla atakującego to monitoring - możesz chyba ocenić skalę tego zagrożenia i ochrony przed nim. Masz gdzieś opis faktycznego sklonowania i wykorzystania takiego Najgroźniejszym atakiem jest przetunelowanie całego ruchu. Wtedy nawet reklamacja w banku nic nie da, ofiara będzie mieć na karcie ślad po tej transakcji :-( Coś takiego IMHO podpada pod definicję "narzędzia niebezpiecznego dla użytkownika". Jeśli chodzi o klonowanie, to możliwe że sklonowanie karty Paywave może być problemem, ze względu na podpisywanie danych kluczem asymetrycznym (przez kartę). Paypass tego nie robi (stąd m.in. brak możliwości podania PINu przy wyższej kwocie - bo mógłby zostać przechwycony). -- Krzysztof Hałasa |
|
| Data: 2013-07-12 22:17:00 | |
| Autor: Kamil Joñca | |
| karty indukcyjne | |
|
Krzysztof Halasa <khc@pm.waw.pl> writes:
[...]> Je¶li chodzi o klonowanie, to mo¿liwe ¿e sklonowanie karty Paywave mo¿e Czego¶ nie rozumiem. P³aci³em wielokrotnie PayPassem (nie PayWave) >50 i potwierdza³em pinem. KJ -- http://blogdebart.pl/2009/12/22/mamy-chorych-dzieci/ I want a WESSON OIL lease!! |
|
| Data: 2013-07-12 23:57:21 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
kjonca@poczta.onet.pl (Kamil Jońca) writes:
Jeśli chodzi o klonowanie, to możliwe że sklonowanie karty Paywave może Ale ten pin trafiał do banku, nie do karty, wymaga to autoryzacji online i w wielu miejscach (np. krajach) w ogóle nie działa. To nie zabezpiecza przed próbą sklonowania karty, bank nie odróżni klona od oryginału, przynajmniej do momentu dokonania oryginałem jakiejś kolejnej transakcji z autoryzacją online. Karcie nie można podać PINu niezaszyfrowanego zbliżeniowo (tak jakoś wyszło), a PayPassowi nie można go zaszyfrować. Z tym że myślę że to się zmieni. -- Krzysztof Hałasa |
|
| Data: 2013-07-13 10:27:33 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-12, Krzysztof Halasa <khc@pm.waw.pl> wrote:
[...] Masz gdzie¶ opis faktycznego sklonowania i wykorzystania takiego No ale na jak± odleg³o¶æ chcesz te tunelowanie przeprowadziæ? W³a¶nie o to chodzi, ¿e przecie¿ tu trzeba zsynchronizowaæ w tym momencie kupuj±cego i skanuj±cego. Od pocz±tku piszê, ¿e najwiêkszym "wyzwaniem" nie jest technologia, ale konieczno¶æ synchronizacji i operacji f2f. A zasiêg czytnika 50 cm, czy nawet 1m to nadal zasiêg przy którym trzeba dziwnie siê do ludzi kleiæ. Pal tam sze¶æ jakby to by³o "na chwilkê", ale bior±c pod uwagê, ¿e druga osoba musi mieæ czas dokonaæ tego zakupu i zak³adaj±c czysto¶æ punktu sprzeda¿y, to taka operacja robi siê wybitnie ryzykowna. Je¶li chodzi o klonowanie, to mo¿liwe ¿e sklonowanie karty Paywave mo¿e Ju¿ bardziej uwierzê, ¿e najwiêkszym problemem jest odczytanie numeru karty. Bo to potem mo¿na spróbowaæ wykorzystaæ w internecie. No ale przed tym w PL akurat du¿o banków pozwala siê zabezpieczyæ. -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-13 10:59:03 | |
| Autor: Piotrek | |
| karty indukcyjne | |
|
On 2013-07-13 10:27, Wojciech Bancer wrote:
No ale na jak± odleg³o¶æ chcesz te tunelowanie przeprowadziæ? W³a¶nie IMHO doszukujesz siê problemów tam, gdzie ich po prostu nie ma. Zgadujê, ¿e w pierwszym lepszym autobusie/tramwaju/SKM-ce znajdzie siê bez problemu nie jedn± potencjaln± ofiarê. W zajêciu miejsca obok takiej ofiary nie ma niczego podejrzanego. Tak wiêc IMHO mo¿na za³o¿yæ, ¿e przez kilka-kilkana¶cie minut w zasiêgu bêdzie co najmniej jedna kartê do której mo¿na przetunelowaæ transakcjê. I teraz maj±c przygotowane zakupy (pewnie jak±¶ flaszkê albo wyroby tytoniowe, bo ³atwo zbywalne) p³acisz za nie kart± ofiary. Widzisz jeszcze jakie¶ inne problemy? Piotrek |
|
| Data: 2013-07-13 11:23:57 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-13, Piotrek <piotrek@pisz.na.berdyczow.info> wrote:
[...] No ale na jaką odległość chcesz te tunelowanie przeprowadzić? Właśnie Próbowałeś Ty kiedyś 3G w autobusie używać? o.O Jak już lecimy po pudelkach blogowych: http://samcik.blox.pl/2013/02/Dwa-smartfony-internet-i-juz-mozna-zdalnie.html W MasterCardzie mają i inne wątpliwości. "W opisywanym przypadku od strony technicznej wszystko jest teoretycznie wykonalne. Ale tylko teoretycznie i w warunkach laboratoryjnych. Gdy pierwszy oszust w sklepie płaci w kasie, to drugi ma mało czasu, by "rozganizować" transmisję z jakąś inną kartą. Dozwolony czas transakcji to na ogół pół sekundy, choć może to trwać dłużej – terminal może czekać na odpowiedź karty nawet kilka sekund, więc teoretycznie jest czas na połączenie z urządzeniem drugiego oszusta (w autobusie, metrze czy innym zatłoczonym miejscu - jak w przykładzie). Drugi oszust nie tylko ma mało czasu - musi być też w odległości maksymalnie 30 cm od posiadaczy kart zbliżeniowych. I – aby sczytać dane kart w czasie rzeczywistym, co jest niezbędne do realizacji transakcji - musi utrzymywać urządzenie, za pomocą którego chce się połączyć z kartą, w pozycji stabilnej – co w warunkach panujących w autobusie czy innym zatłoczonym miejscu może być trudne" - piszą mi ludzie z MasterCarda. A więc ich zdaniem operacja musi się zmieścić w kilku sekundach, bo inaczej się nie uda - terminal nie przyjmie płatności.. "Terminal zakłada, że karta odpowiada w konkretnym czasie - jeżeli komunikacja jest zbyt wolna, terminal przerwie transakcję". W MasterCardzie twierdzą też, że przeszkodą do fraudu typu relay attack może też być kwestia jakości połączenia internetowego między smartfonem znajdującym się w sklepie i tym, który ma być blisko tłumu posiadaczy kart zbliżeniowych. "Na czas transakcji wpływa transmisja danych między smartfonami. W laboratorium, przy małym obciążeniu sieci i telefonu teoretycznie może udałoby się zdążyć, ale praktycznie, jeżeli jeden oszust jest w sklepie, drugi w tłumie, to najczęściej nie jest to idealny zasięg i sieć jest obciążona, więc opóźnienia będą spore - i w dodatku zmienne (są widoczne nawet jeżeli telefon łączy się z serwerem, a co dopiero z drugim telefonem)". No i kolejny problem: kwestia możliwości czytania karty, która jest w portfelu lub kieszeni. "Sczytanie karty w autobusie czy metrze może i jest możliwe w warunkach laboratoryjnych, ale trzeba mieć dobrą antenę, solidny wzmacniacz oraz mocne zasilanie, do tego brak zakłóceń. Nie wystarczy zatem sam telefon, tylko trzeba już podróżować z większym sprzętem" W MasterCardzie przedstawiają sprawę w kategoriach zabawy dla hobbystów, a nie zajęcia dla poważnych ludzi od dużych fraudów. [...] -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-13 15:13:20 | |
| Autor: Andrzej Kubiak | |
| karty indukcyjne | |
|
Dnia Sat, 13 Jul 2013 11:23:57 +0200, Wojciech Bancer napisa³(a):
Próbowa³e¶ Ty kiedy¶ 3G w autobusie u¿ywaæ? o.O Gdy je¼dzi³em autobusami, by³o tylko EDGE, ale w samochodzie 3G dzia³a, w czym problem? AK |
|
| Data: 2013-07-13 17:25:48 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-13, Andrzej Kubiak <none@inv.invalid> wrote:
[...] Próbowa³e¶ Ty kiedy¶ 3G w autobusie u¿ywaæ? o.OGdy je¼dzi³em autobusami, by³o tylko EDGE, ale w samochodzie 3G dzia³a, w Z opó¼nieniami jakie towarzysz± po³±czeniom mobilnym. -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-14 20:09:03 | |
| Autor: Chris94 | |
| karty indukcyjne | |
|
Dnia Sat, 13 Jul 2013 17:25:48 +0200, Wojciech Bancer napisa³(a):
On 2013-07-13, Andrzej Kubiak <none@inv.invalid> wrote: Sugerujesz, ¿e opó¼nienia rzêdu 60 ms uniemo¿liwi± transakcje? Bo w³a¶nie takie opó¼nienia wystêpuj± w przypadku po³±czenia HSPA. -- Pozdrowienia, Krzysztof (dawniej u¿ywaj±cy nicka 'Chris') |
|
| Data: 2013-07-14 20:56:00 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-14, Chris94 <chris94@WYTNIJ_TO.poczta.fm> wrote:
[...] Z opó¼nieniami jakie towarzysz± po³±czeniom mobilnym. Dla porz±dku, mówisz o opó¼nieniach: - pomiêdzy 2 urz±dzeniami mobilnymi (a nie urz±dzeniem a stacj± bazow±) - z których jedno jest w ruchu, w poje¿dzie (co te¿ nie pozostaje bez wp³ywu na zak³ócenia) - a drugie w budynku, zazwyczaj do¶æ ³adnie ekranowanym ? Bo z moich obserwacji czasów np. w czasie jazdy autobusem, czy poci±giem, na ipadzie/laptopie wynika, ¿e jednak tak piêknie jak opisujesz, to jednak nie jest. -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-14 21:27:48 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-14, Wojciech Bancer <proteus@post.pl> wrote:
[...] Bo z moich obserwacji czasów np. w czasie jazdy autobusem, czy poci±giem, na ipadzie/laptopie wynika, ¿e jednak tak piêknie jak opisujesz, to jednak nie jest. I dla porz±dku, krótki test w warunkach "przejdê siê po okolicy": http://share.pho.to/2xliU/original warunki nie by³y z³e, serwer te¿ niezgorszy, my¶lê ¿e w autobusie i do innego urz±dzenia mobilnego, by³yby du¿o gorsze. -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-17 23:06:22 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Wojciech Bancer <proteus@post.pl> writes:
I dla porządku, krótki test w warunkach "przejdę się po okolicy": Fajne zabezpieczenie, "bo może będą gorsze warunki i może fraud się nie uda". Obawiam się, że takie warunki jednak nie byłyby przeszkodą :-( -- Krzysztof Hałasa |
|
| Data: 2013-07-17 23:39:12 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-17, Krzysztof Halasa <khc@pm.waw.pl> wrote:
Wojciech Bancer <proteus@post.pl> writes: Najwiêksze zabezpieczenie to "nie op³aca siê". -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-17 23:57:58 | |
| Autor: Piotrek | |
| karty indukcyjne | |
|
On 2013-07-17 23:39, Wojciech Bancer wrote:
Najwiêksze zabezpieczenie to "nie op³aca siê". Id±c Twoim tokiem rozumowania mo¿na by³oby doj¶æ do wniosku, ¿e produkcja gwo¼dzi jest kompletnie nieop³acalna. No bo ile kosztuje jeden gwó¼d¼ w porównaniu do kosztów jakie trzeba ponie¶æ a¿eby zakupiæ maszynê do ich produkcji. Ale jak siê nietrudno domy¶leæ, tego typu my¶lenie ³atwo mo¿e prowadziæ na manowce. A ju¿ zw³aszcza wtedy, kiedy tematem jest security a nie produkcja gwo¼dzi. Oczywi¶cie jak siê zrobi rzeteln± analizê, to mo¿e siê okazaæ, ¿e taniej jest "braæ na klatê" fraudy zg³aszane przez klientów ni¿ porz±dnie zabezpieczyæ produkt. Jednakowo¿ IMHO nasze banki w wiêkszo¶ci posz³y jakby o krok dalej. Bior± fraudy na klatê ... klienta. A jako alternatywê dla karty z p³atno¶ciami zbli¿eniowymi proponuj± "niemanie" karty. I tu jest sedno problemu. Piotrek |
|
| Data: 2013-07-18 00:04:15 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-17, Piotrek <piotrek@pisz.na.berdyczow.info> wrote:
[...] Najwiêksze zabezpieczenie to "nie op³aca siê". To absolutnie nie jest mój tok my¶lenia, tylko Twój. -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-13 16:54:30 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Wojciech Bancer <proteus@post.pl> writes:
W MasterCardzie mają i inne wątpliwości. "W opisywanym przypadku od strony technicznej wszystko jest teoretycznie wykonalne. Ale tylko teoretycznie i w warunkach laboratoryjnych. A dają gwarancję na to "tylko"? Gdy pierwszy oszust w sklepie płaci w kasie, to drugi ma mało czasu, by "rozganizować" transmisję z jakąś inną kartą. To może niech to "organizuje" np. minutę wcześniej. To nie jest chyba tak, że oszuści muszą robić to, co jest dla nich najmniej korzystne? Dozwolony czas transakcji to na ogół pół sekundy, choć może to trwać dłużej – terminal może czekać na odpowiedź karty nawet kilka sekund, więc teoretycznie jest czas na połączenie z urządzeniem drugiego oszusta (w autobusie, metrze czy innym zatłoczonym miejscu - jak w Przy czym to jest zarówno teoretycznie jak i praktycznie, a dodatkowo jest dużo zapasu czasu. Drugi oszust nie tylko ma mało czasu - musi być też w odległości maksymalnie 30 cm od posiadaczy kart zbliżeniowych. Nawet gdyby, chociaż pisałem już że używam seryjnego czytnika o nieco większym zasięgu, i jestem przekonany że potrafiłbym zmontować jeszcze dużo lepszy (przy czym opieram swoje zdanie na moim wieloletnim doświadczeniu w elektronice oraz m.in. na tym, że moja praca, w niewielkiej części, dotyczy właśnie konstrukcji czytników NFC). Nawet gdyby to było tylko 30 cm, to wciąż nie jest to wielkim problemem w np. komunikacji zbiorowej. I – aby sczytać dane kart w czasie rzeczywistym, co jest niezbędne do realizacji transakcji - musi utrzymywać urządzenie, za pomocą którego chce się połączyć z kartą, w pozycji stabilnej – co w warunkach panujących w autobusie czy innym zatłoczonym miejscu może być trudne" - piszą mi ludzie z MasterCarda. .... tzn. nie należy kręcić zbyt szybko anteną, tak? Kto by pomyślał. A więc ich zdaniem operacja musi się zmieścić w kilku sekundach, Aż tyle czasu nawet nie potrzeba W MasterCardzie twierdzą też, że przeszkodą do fraudu typu relay attack może też być kwestia jakości połączenia internetowego między smartfonem znajdującym się w sklepie i tym, który ma być blisko tłumu posiadaczy kart zbliżeniowych. Taaak, problemem może być także rozładowanie się baterii, albo nagła utrata przytomności przez jednego z oszustów. Impuls elektromagnetyczny, i przerwa w działaniu telefonów też przychodzą mi do głowy. W laboratorium, przy małym obciążeniu sieci i telefonu A no tak, za duże obciążenie telefonu. Może ktoś ogląda na nim film podczas ataku. teoretycznie może udałoby się zdążyć, ale praktycznie, jeżeli jeden oszust jest w sklepie, drugi w tłumie, to najczęściej nie jest to idealny zasięg i sieć jest obciążona, więc opóźnienia będą spore - i w dodatku zmienne (są widoczne nawet jeżeli telefon łączy się z serwerem, a co dopiero z drugim telefonem)". Tak czy owak ten atak jest zarówno teoretycznie jak i praktycznie możliwy, i prawdopodobieństwo, że dana próba się powiedzie jest znacznie większe niż 90%. Dodatkowo, niepowodzenie nie niesie ze sobą żadnych negatywnych dla oszustów skutków, np. próba oszustwa nie wychodzi na jaw. No i kolejny problem: kwestia możliwości czytania karty, która jest w portfelu lub kieszeni. "Sczytanie karty w autobusie czy metrze może i jest możliwe w warunkach laboratoryjnych, ale trzeba mieć dobrą antenę, solidny wzmacniacz oraz mocne zasilanie, do tego brak zakłóceń. Nie wystarczy zatem sam telefon, tylko trzeba już podróżować z większym sprzętem" To akurat prawda, najlepiej mieć większą antenę (jeśli chodzi o wymiary). Nie jest to jednak żadnym praktycznym problemem. W MasterCardzie przedstawiają sprawę w kategoriach zabawy dla hobbystów, a nie zajęcia dla poważnych ludzi od dużych fraudów. Trudno się spodziewać by powiedzieli "daliśmy ciała, to wszystko jest do d*, w sumie wiedzieliśmy o tym od zawsze, ale dla nas liczy się nasza kasa, nie bezpieczeństwo jakichś tam klientów". -- Krzysztof Hałasa |
|
| Data: 2013-07-13 17:24:48 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-13, Krzysztof Halasa <khc@pm.waw.pl> wrote:
[...] Gdy pierwszy oszust w sklepie płaci w kasie, to drugi ma mało czasu, by "rozganizować" transmisję z jakąś inną kartą. Ale co ma zorganizować wcześniej? Jak zsynchronizujesz gościa jadącego w autobusie i siedzącego z czytnikiem koło "klienta" i jednocześnie oddalonego o nieznaną odległość kupującego? Dozwolony czas transakcji to na ogół pół sekundy, choć może to trwać dłużej – terminal może czekać na odpowiedź karty nawet kilka sekund, więc teoretycznie jest czas na połączenie z urządzeniem drugiego oszusta (w autobusie, metrze czy innym zatłoczonym miejscu - jak w No ja akurat bardziej jestem skłonny uwierzyć w to, że nie ma tego czasu aż tak dużo. Drugi oszust nie tylko ma mało czasu - musi być też w odległości maksymalnie 30 cm od posiadaczy kart zbliżeniowych. Jak nie? Komunikacja zbiorowa to ciągły ruch przecież. Jak chcesz długotrwale uzyskać dobry namiar (zauważ jak na tych wszystkich filmikach się ludzie muszą nastarać i wycelować) i w dodatku zagwarantować stałość i szybkość połączenia internetowego pomiędzy urządzeniami? I – aby sczytać dane kart w czasie rzeczywistym, co jest niezbędne do realizacji transakcji - musi utrzymywać urządzenie, za pomocą którego chce się połączyć z kartą, w pozycji stabilnej – co w warunkach panujących w autobusie czy innym zatłoczonym miejscu może być trudne" - piszą mi ludzie z MasterCarda. Rozumiem że jesteś typem człowieka któremu ręka nie drgnie niezależnie od drgań, kierunku i szybkości poruszania się pojazdu? Respekt. A więc ich zdaniem operacja musi się zmieścić w kilku sekundach,Aż tyle czasu nawet nie potrzeba To zobacz ile zajmuje odczyt strony internetowej w autobusie. Bo ja na jednej trasie mam różnice między 100ms a timeout. Z przewagą czasu > 1s. Na EDGE jest jeszcze gorzej. teoretycznie może udałoby się zdążyć, ale praktycznie, jeżeli jeden oszust jest w sklepie, drugi w tłumie, to najczęściej nie jest to idealny zasięg i sieć jest obciążona, więc opóźnienia będą spore - i w dodatku zmienne (są widoczne nawet jeżeli telefon łączy się z serwerem, a co dopiero z drugim telefonem)". No to jest Twoja ocena sytuacji. Ja uważam inaczej. I jak widać nie tylko ja. W MasterCardzie przedstawiają sprawę w kategoriach zabawy dla hobbystów, a nie zajęcia dla poważnych ludzi od dużych fraudów. A z drugiej strony, skoro te fraudy są takie banalne i proste, to czemu jeszcze nikt tego na większą skalę nie zrobił? -- Wojciech Bańcer proteus@post.pl |
|
| Data: 2013-07-14 02:36:23 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Wojciech Bancer <proteus@post.pl> writes:
Ale co ma zorganizować wcześniej? Jak zsynchronizujesz gościa jadącego A co jest nieznanego w tej odległości (i np. kierunku) i dlaczego? Może to po prostu robota dla kogoś, kto wie, jak działa radio. Jak nie? Komunikacja zbiorowa to ciągły ruch przecież. Jak chcesz długotrwale Niczego nie muszę gwarantować przede wszystkim. Ale oczywiście mogę - wystarczy, że jednocześnie kilka osób będzie "polowało" (dodatkowo też więcej "klientów" może kupować). Rozumiem że jesteś typem człowieka któremu ręka nie drgnie niezależnie od No wiesz, myślałem raczej o rotacjach / minutę. Karta bardzo nie lubi gadać z czytnikiem, jeśli kąt między antenami jest zbliżony do 90 stopni. Zwykłe drgania anteny w niczym nie przeszkadzają, jeśli nie jesteśmy na granicy zasięgu. To zobacz ile zajmuje odczyt strony internetowej w autobusie. To zobacz ile trwa odpowiedź na pinga o długości np. 512 bajtów, to będzie mieć jakiś związek ze sprawą (w odróżnieniu od "strony internetowej"). Takie coś można bez problemu zrobić nawet na połączeniu komutowanym. No to jest Twoja ocena sytuacji. Ja uważam inaczej. I jak widać Owszem. Ale racja nie opiera się na demokracji, tylko na stanie faktycznym, a ten można ustalić korzystając np. z wiedzy, doświadczenia itd. A z drugiej strony, skoro te fraudy są takie banalne i proste, to czemu jeszcze nikt tego na większą skalę nie zrobił? A skąd informacja że nie zrobił? Natomiast wiem, dlaczego wiele osób tego nie robi, mimo że byliby w stanie: bo a) nie chcą czynić zła, b) jest to nielegalne i boją się ew. kary (możliwej np. po popełnieniu błędów), i dopiero c) bo to jednak może być dość trudne, zwłaszcza jeśli ktoś się takimi rzeczami nie zajmuje normalnie. -- Krzysztof Hałasa |
|
| Data: 2013-07-14 21:04:09 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-14, Krzysztof Halasa <khc@pm.waw.pl> wrote:
Wojciech Bancer <proteus@post.pl> writes: Ok. To podaj mi odleg³o¶æ miêdzy mn±, a autobusem linii dajmy na to T1. Poproszê. :) Mo¿e to po prostu robota dla kogo¶, kto wie, jak dzia³a radio. O, czyli kolejny sprzêcik potrzebny do akcji. I rozumiem go¶ciu z koszyczkiem, robi±cy nas³uch w sklepie, nic a nic nie jest podejrzany. :) Niczego nie muszê gwarantowaæ przede wszystkim. Ale oczywi¶cie mogê - Czyli transakcjê "do 50 z³/operacjê" masz ju¿ do podzia³u nie miêdzy 2 os, a dajmy na to 4. Jeszcze lepiej. Rozumiem ¿e jeste¶ typem cz³owieka któremu rêka nie drgnie niezale¿nie od No nie wiem czy w poje¿dzie mechanicznym masz do czynienia ze zwyk³ymi drganiami. Dobrze wiedzieæ. :) A¿ zazdroszczê tego miasta w którym ¿yjesz, bo musi byæ nie¼le wyremontowane, a kierowcy kulturalni, nikt nagle nie hamuje, nie ma ostrych skrêtów. Idea³. :) To zobacz ile zajmuje odczyt strony internetowej w autobusie. Ale ping jest jak wy¿ej. W dodatku szalenie zmienny. Owszem. Ale racja nie opiera siê na demokracji, tylko na stanie No to moja wiedza i do¶wiadczenie w zakresie jako¶ci po³±czenia "z autubusu" pozwalaj± mi spaæ spokojnie. A z drugiej strony, skoro te fraudy s± takie banalne i proste, to czemu jeszcze nikt tego na wiêksz± skalê nie zrobi³? Oh, media by takiego tematu nie odpu¶ci³y, skoro pochylaj± siê nad losem pojedynczego Kowalskiego który zgubi³ kartê. Natomiast wiem, dlaczego wiele osób tego nie robi, mimo ¿e byliby d) po³±czenie b), c) oraz tego, ¿e ludzie którzy s± w stanie to zrobiæ zarabiaj± na godzinê wiêcej ni¿ zarobi± na takiej akcji powoduje ¿e to jest zwyczajnie nieop³acalne. -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-17 23:14:24 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Wojciech Bancer <proteus@post.pl> writes:
Ok. To podaj mi odległość między mną, a autobusem linii dajmy na to T1. Poproszę. :) Jesteś PRem bankowym? Komu innemu zależałoby na wymyślaniu absurdów? O, czyli kolejny sprzęcik potrzebny do akcji. I rozumiem gościu z koszyczkiem, Nie żaden kolejny, tylko potrzebny jest np. telefon, albo inna radiostacja itp, oraz czytnik. M.in. ten ostatni to także urządzenie radiowe, mimo że (zwykle) małej mocy i o kiepskiej czułości. Niczego nie muszę gwarantować przede wszystkim. Ale oczywiście mogę - Nie "transakcję". Transakcje. Nie możesz myśleć kategoriami PR, tu nie chodzi o zaklinanie rzeczywistości. Żeby ustalić stan faktyczny, musisz myśleć tak, jak druga strona, musisz pokonać takie same realne przeszkody. Nie chodzi o wymyślenie przeszkód, które nie istnieją. W przeciwnym przypadku to nie prowadzi do niczego. Ale ping jest jak wyżej. W dodatku szalenie zmienny. Zmienność w niczym nie przeszkadza (można było zrobić tego pinga częściej niż raz na sekundę). Sam widzisz że to nie jest problemem. -- Krzysztof Hałasa |
|
| Data: 2013-07-17 23:37:28 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-17, Krzysztof Halasa <khc@pm.waw.pl> wrote:
[...] Ok. To podaj mi odleg³o¶æ miêdzy mn±, a autobusem linii dajmy na to T1. Poproszê. :) Brakuje argumentów? Nie jestem. O, czyli kolejny sprzêcik potrzebny do akcji. I rozumiem go¶ciu z koszyczkiem, Potrzebne s± przynajmniej dwa urz±dzenia. Jedno by zapewniæ komunikacjê zespo³u, drugie by zapewniæ komunikacjê kart. Czyli transakcjê "do 50 z³/operacjê" masz ju¿ do podzia³u nie miêdzy 2 os, Nie. TransakcjÊ. Sztuk jeden. Zanim nazbierasz drugi koszyczek, to trochê potrwa. I jeszcze musisz zapewniæ ponownie warunki na odczyt karty. Nie mo¿esz my¶leæ kategoriami PR A Ty kategoriami fizyka z warunkami idealnymi. chodzi o zaklinanie rzeczywisto¶ci. ¯eby ustaliæ stan faktyczny, W stanie faktycznym masz do czynienia z lud¼mi, a nie wzorami matematycznymi. przeszkody. Nie chodzi o wymy¶lenie przeszkód, które nie istniej±. W³a¶nie druga strona musi kalkulowaæ i przewidywaæ przeszkody by oceniæ ryzyko. A nie dziarsko przyjmowaæ warunki idealne. Ale ping jest jak wy¿ej. W dodatku szalenie zmienny. Oczywi¶cie ¿e przeszkadza, zw³aszcza kiedy masz ograniczony czas na dokonanie transmisji (nie na zbli¿enie karty, tylko na dokonanie transmisji w obie strony). -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-18 00:41:24 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Wojciech Bancer <proteus@post.pl> writes:
Jesteś PRem bankowym? Komu innemu zależałoby na wymyślaniu absurdów? Ignorujesz argumenty. Tak robią PRowcy. Nie żaden kolejny, tylko potrzebny jest np. telefon, albo inna Jeśli to drugie to czytnik zapewniający komunikację "z kartami", to owszem. Nie. TransakcjĘ. Sztuk jeden. Zanim nazbierasz drugi koszyczek, to trochę potrwa. Nie muszę, bo niepowodzenie niczym nie grozi. Natomiast uparcie wydajesz się nie zauważać tego, że te "koszyczki" można zbierać jednocześnie. Zrozum, ew. fraudster nie stara się zrobić sobie jak najgorzej. On nie chce, by to było nieopłacalne. Jeśli nie potrafisz podążyć tym tropem, to nie możesz dojść do prawidłowych wniosków. Nie możesz myśleć kategoriami PR Nie robię tego, przeciwnie - myślę kategoriami elektronika i programisty, który często dokładnie takimi rzeczami się zajmuje (włącznie z np. programowaniem scalaków siedzących w czytnikach, uruchamianiem prototypowych czytników itp). Takie życie. Na temat produkcji makaronu się nie wypowiadam. Właśnie druga strona musi kalkulować i przewidywać przeszkody by ocenić Ryzyko - tak. Ale Twoje "przeszkody" nie powodują ryzyka. One mają rzekomo uniemożliwiać atak, albo czynić go nieopłacalnym. Zmienność w niczym nie przeszkadza A w czym przeszkadza? Przeszkadzać mogą długie pingi, ale to duża długość jest problemem (zwłaszcza, jeśli masz tylko takie), a nie zmienność. Problemem byłyby także straty pakietów. Tyle że oczywiście nie napiszę, że wtedy by się "nie dało" - bo tak nie jest, wystarczyłoby wysyłać pakiety z redundancją. Jeszcze raz napiszę, że nawet wcale nie trzeba do tego używać UMTS. Wystarczy połączenie CS w GSM, takie jakiego kiedyś dawno się używało. -- Krzysztof Hałasa |
|
| Data: 2013-07-18 08:49:57 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-17, Krzysztof Halasa <khc@pm.waw.pl> wrote:
[...] Nie. TransakcjÊ. Sztuk jeden. Zanim nazbierasz drugi koszyczek, to trochê potrwa. Przy 2 osobach i bez wzbudzania podejrzeñ? Nie. Zrozum, ew. fraudster nie stara siê zrobiæ sobie jak najgorzej. On nie Zrozum, ¿e to po prostu *jest* nieop³acalne. Stwarzanie dziwnych, idealnych warunków po to by próbowaæ udowodniæ, ¿e to jest op³acalne daje nieprawid³owe wnioski. Nie mo¿esz my¶leæ kategoriami PR My¶lisz kategoriami teoretyka. Bez sprawdzania "w boju", a przede wszystkim bez efektu psychologicznego jakie temu towarzyszy. Zak³adasz, ¿e: - zasiêg zawsze bêdzie idealny - zawsze znajdzie siê ofiara która stoi jak cio³ek ca³± trasê - z tej¿e ofiary mo¿na ¶ci±gn±æ bóg wie ile, nieistotne czy na karcie s±/zadzia³aj± limity, czy nie to o czym z Tob± dyskutowaæ? Jecha³e¶ Ty kiedy¶ atobusem? W³a¶nie druga strona musi kalkulowaæ i przewidywaæ przeszkody by oceniæ ¦ci¶lej: Czyni± go nieop³acalnym. A w czym przeszkadza? Jak transmisja bêdzie trwa³a d³u¿ej ni¿ wymagana przez czytnik (ten koñcowy), to w niczym to wg Ciebie nie przeszkadza? -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-21 17:42:23 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Wojciech Bancer <proteus@post.pl> writes:
Myślisz kategoriami teoretyka. Bez sprawdzania "w boju", a przede Tzn. co, namawiasz mnie bym moją wiedzę, zarówno teoretyczną jak i praktyczną, wykorzystał do prawdziwego fraudu, bo w przeciwnym przypadku jestem wciąż takim samym teoretykiem jak Ty? :-) No wybacz. Mi wystarczy "studium wykonalności" żeby wiedzieć, od czego mam trzymać się z daleka. Zakładasz, że: Nie, ale też taki nie jest potrzebny. - zawsze znajdzie się ofiara która stoi jak ciołek całą trasę Zakładam, że nie opuszcza autobusu w trakcie jazdy. Chociaż oczywiście gdyby tak się stało, to atakujący nie są zagrożeni. - z tejże ofiary można ściągnąć bóg wie ile, nieistotne czy Limit w najgorszym przypadku powoduje, że transakcja się nie uda. Poza tym, limit przestaje być problemem jeśli "w zasięgu" jest więcej osób, i/lub jeśli jest więcej niż jeden "atakujący". Myślisz, że tamte opisywane fraudy były nieopłacalne dlatego, że istniała możliwość wystąpienia limitów (nie było ich ale mogły być)? No pomyśl chwilę. Jechałeś Ty kiedyś atobusem? Zdażało mi się, chociaż przyznaję że ostatnio kilka lat temu. Coś się w tej materii pozmieniało? Bo kiedyś taki układ jak właśnie w autobusie byłby perfekcyjny do przeprowadzenia takich ataków. Jak transmisja będzie trwała dłużej niż wymagana przez czytnik (ten końcowy), to w niczym to wg Ciebie nie przeszkadza? Jakby babcia miała wąsy. Jest niewielkie prawdopodobieństwo że tak się stanie, a jeśli się stanie, to i tak nic specjalnego się nie wydarzy - więc o czym tu dyskutować? To jest bardzo proste: bezpieczeństwo kart bankowych nie może opierać się na tym, że mało ludzi będzie w autobusie, że połączenie będzie się rwać, albo czasy transmisji będą wyjątkowo długie. Coś takiego może przypadkowo uratować kogoś przed fraudem, ale to nie ma nic wspólnego z bezpieczeństwem. -- Krzysztof Hałasa |
|
| Data: 2013-07-21 22:40:48 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-21, Krzysztof Halasa <khc@pm.waw.pl> wrote:
My¶lisz kategoriami teoretyka. Bez sprawdzania "w boju", a przede Namawiam by¶ poza wiedz± teoretyczn± z zakresu "jak zrobiæ czytnik na kilometr" oszacowa³ równie¿ ryzyko. Wiesz, ja te¿ znam ¶wietny sposób na zdobycie kasy. Idziesz do kolektury lotto, skre¶lasz w³a¶ciwe numery i zostajesz milionerem. Du¿o prostsze i du¿o mniej ryzykowne, czy¿ nie? na karcie s±/zadzia³aj± limity, czy nie to o czym z Tob± dyskutowaæ? Czyli rozumiem, jeste¶ równie¿ ekspertem i masz wiedzê od tego co ma zaszyte/nie ma zaszyte w sobie oprogramowanie terminala? Poza tym, limit przestaje byæ problemem je¶li "w zasiêgu" jest wiêcej osób, Pow±tpiewam. Zw³aszcza jak w tym momencie terminal ³adnie poprosi o PIN. A ju¿ to "wiêcej ni¿ jeden atakuj±cy" to w ogóle ¶licznie wygl±da w kontek¶cie synchronizacji, organizacji, u¿ycia gotowego oprogramowania, prze³±czania i na koniec - op³acalno¶ci tego wszystkiego. Jecha³e¶ Ty kiedy¶ atobusem? Ale¿ oczywi¶cie. Jak transmisja bêdzie trwa³a d³u¿ej ni¿ wymagana przez czytnik (ten koñcowy), to w niczym to wg Ciebie nie przeszkadza? No to mamy Twoje zdanie vs. zdanie eksperta z Master Carda. Sorry, ale jemu wierzê bardziej. Ubezpieczycielom te¿, skoro bardzo nisko (kwotowo) wyceniaj± ryzyko od takich zdarzeñ. A co jak co, to eksperci od ubezpieczeñ znaj± siê na szacowaniu ryzyka, czy¿ nie? a je¶li siê stanie, to i tak nic specjalnego siê nie wydarzy A sk±d wiesz? Znasz reakcjê oprogramowania terminala? -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-22 20:19:11 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Wojciech Bancer <proteus@post.pl> writes:
Namawiam byś poza wiedzą teoretyczną z zakresu "jak zrobić czytnik Ryzyko czego? Wiesz, ja też znam świetny sposób na zdobycie kasy. Idziesz do Trudno porównać ryzyko nie wiedząc czego dotyczy. Natomiast prawdopodobieństwo sukcesu masz "nieco" gorsze. Limit w najgorszym przypadku powoduje, że transakcja się nie uda. A coś konkretniej? Czego spodziewasz się po terminalu, że Cię aresztuje, czy wybuchnie? Czy trzeba być wielkim ekspertem by wiedzieć, że jeśli transakcja się nie uda, to będzie nieudana? Nic się tu więcej nie stanie, z niezwykle prostej przyczyny - transakcje NFC nie są z natury rzeczy 100% pewne i niepowodzenie (na niskim poziomie) jest normalne. Poza tym, limit przestaje być problemem jeśli "w zasięgu" jest więcej osób, Można tak zrobić by nie mógł (dokładne szczegóły są publicznie dostępne). Ale nawet jeśli poprosi, to co z tego? W najgorszym przypadku transakcja nie dojdzie do skutku. A już to "więcej niż jeden atakujący" to w ogóle ślicznie wygląda Tak tak, to już wiemy. I to jest ta gwarancja bezpieczeństwa. No to mamy Twoje zdanie vs. zdanie eksperta z Master Carda. To nie jest kwestia wiary, ale prostej analizy publicznie dostępnych obiektywnych informacji. Jedyną sprawą, którą być może musisz brać "na wiarę", jest kwestia zasięgu większego niż standardowy (ale też niewielki dodatek wiedzy z zakresu RF wystarczy byś nie musiał nikomu wierzyć). Ubezpieczycielom też, skoro Ubezpieczyłeś się, czy może wykupiłeś "ubezpieczenie" w banku wydawcy karty? Bo to jest drobna różnica :-) A co jak co, to eksperci od ubezpieczeń znają się na szacowaniu Jasne. Podaj jakieś szczegóły tego ubezpieczenia. A skąd wiesz? Znasz reakcję oprogramowania terminala? Reakcję na niedostępność karty? Jasne, sam możesz przecież łatwo sprawdzić. Naprawdę nie musisz tu nikomu wierzyć. -- Krzysztof Hałasa |
|
| Data: 2013-07-23 23:33:48 | |
| Autor: Piotrek | |
| karty indukcyjne | |
|
On 2013-07-22 20:19, Krzysztof Halasa wrote:
To nie jest kwestia wiary, [...] Głęboko się z Tobą nie zgodzę. To *jest* właśnie kwestia wiary, że jak "duży" coś zrobi to będzie dobrze, bezpiecznie, funkcjonalnie i tanio. ;-) A przeważnie wychodzi jak zwykle. Pewnie z tego powodu, że coraz częściej: - produkty projektują księgowi - implementują je studenci/"hindusi" - nad wszystkim czuwa PM, dla którego najważniejsze jest ażeby zdążyć z przed konkurencją (a później się "zapaczuje"). Piotrek |
|
| Data: 2013-07-13 14:05:42 | |
| Autor: sqlwiel | |
| karty indukcyjne | |
|
W dniu 2013-07-13 10:59, Piotrek pisze:
On 2013-07-13 10:27, Wojciech Bancer wrote: Nie wydaje siê Wam, ¿e bijecie pianê? Mo¿e poszliby¶cie se pogadaæ na priv? -- Dziêkujê. Pozdrawiam. sqlwiel. |
|
| Data: 2013-07-13 15:15:30 | |
| Autor: Andrzej Kubiak | |
| karty indukcyjne | |
|
Dnia Sat, 13 Jul 2013 14:05:42 +0200, sqlwiel napisa³(a):
Nie wydaje siê Wam, ¿e bijecie pianê? Mo¿e poszliby¶cie se pogadaæ na priv? Gadaj± na temat i z sensem. Sam se id¼ pomarudziæ na priv. AK |
|
| Data: 2013-07-14 00:59:36 | |
| Autor: J.F. | |
| karty indukcyjne | |
|
Dnia Sat, 13 Jul 2013 10:59:03 +0200, Piotrek napisa³(a):
Zgadujê, ¿e w pierwszym lepszym autobusie/tramwaju/SKM-ce znajdzie siê bez problemu nie jedn± potencjaln± ofiarê. W zajêciu miejsca obok takiej ofiary nie ma niczego podejrzanego. A przeciez sa jeszcze inne miejsca z tlokiem. Albo np szafki w szatni na basenie. Tak wiêc IMHO mo¿na za³o¿yæ, ¿e przez kilka-kilkana¶cie minut w zasiêgu bêdzie co najmniej jedna kartê do której mo¿na przetunelowaæ transakcjê. I moze wlasnie o to chodzi. Ile mozna ukrasc - 200 zl dziennie ? Przy wiekszym obrocie moze sie wydac podejrzane - delikwent ktory codziennie dwie flaszki kupuje ? J. |
|
| Data: 2013-07-14 21:37:43 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-13, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:
[...] Tak wiêc IMHO mo¿na za³o¿yæ, ¿e przez kilka-kilkana¶cie minut w zasiêgu bêdzie co najmniej jedna kartê do której mo¿na przetunelowaæ transakcjê. Ale to siê po prostu totalnie nie op³aca. Czas/sprzêt/ilo¶æ ludzi potrzebna, a i tak, ile da siê takich ataków w ci±gu godziny przeprowadziæ? Jeszcze siê oka¿e, ¿e fachowiec potrzebny do tego by to dobrze zestroiæ zarabia w godzinê jakie¶ 2x-3x wiêcej, i to bez ryzyka. A towar zdobyty jeszcze trzeba up³ynniæ (czas), te¿ nie za 100% warto¶ci. -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-12 10:18:34 | |
| Autor: Piotr Gałka | |
| karty indukcyjne | |
|
Użytkownik "Krzysztof Halasa" <khc@pm.waw.pl> napisał w wiadomości news:m3zjtsygfm.fsfintrepid.localdomain... To chyba żart? Nie jest tak źle. To jest 32 pin raster 0,5mm. Solder maska wchodzi między piny ułatwiając lutowanie. Gorzej jest z rastrem 0,4mm - solder maska nie wchodzi między piny (ze względu na wymagania technologiczne). P.G. |
|
| Data: 2013-07-12 22:46:19 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Piotr Gałka <piotr.galka@cutthismicromade.pl> writes:
Nie jest tak źle. To jest 32 pin raster 0,5mm. Solder maska wchodzi Ja nie twierdzę że to jest trudne, zwłaszcza jeśli ktoś ma płytkę pod taką obudowę (aczkolwiek z tym wchodzeniem solder maski między piny, czy w każdym razie kontakty, to nie do końca rozumiem - na moich płytkach solder maska raczej się nie porusza). Natomiast jeśli ktoś np. ma płytkę uniwersalną "srebrzoną", nie ma miejsca pod taką obudowę, tylko musi zrobić "pająka", i jeszcze używa jakiejś lutownicy z czasów kamienia łupanego albo do innych rynien, to jest to trudniejsze. -- Krzysztof Hałasa |
|
| Data: 2013-07-22 16:44:27 | |
| Autor: Piotr Gałka | |
| karty indukcyjne | |
|
Użytkownik "Krzysztof Halasa" <khc@pm.waw.pl> napisał w wiadomości news:m3sizjjylg.fsfintrepid.localdomain... Wyjaśnię pojęcie "wchodzi" między piny. Raster 0.4mm = 15.7mils - pady 8 mils, odstępy czasem 8 czasem 7. Ja "od zawsze" stosuję powiększenie solder maski (względem padów) o 3 mils z każdej strony (choć niedawno się dowiedziałem, że standardem jest podobno 4 mils). To powiększenie to ze względu na skończoną precyzję nanoszenia solder maski. Gdy odstęp 7 mils i powiększenie 3 to na solder maskę między padami zostaje 1 mils. Kiedyś tak zaprojektowałem płytkę i się zdziwiłem, że tej solder maski nie ma. Wtdy się od techonolów dowiedziałem, że minimalna realizowalna szerokość paska solder maski to 3mils. Przy 0.5 mm jest miejsce na solder maską = wchodzi między pady, przy 0.4 nie ma. P.G. |
|
| Data: 2013-07-22 20:24:14 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Piotr Gałka <piotr.galka@cutthismicromade.pl> writes:
Gdy odstęp 7 mils i powiększenie 3 to na solder maskę między padami Ok, teraz rozumiem. Myślałem że to ma być w drugą stronę, że jakoś solder maska ma częściowo przykrywać pady czy coś takiego :-) -- Krzysztof Hałasa |
|
| Data: 2013-07-23 10:44:09 | |
| Autor: Piotr Gałka | |
| karty indukcyjne | |
|
Użytkownik "Krzysztof Halasa" <khc@pm.waw.pl> napisał w wiadomości news:m361w28nch.fsfintrepid.localdomain...
W tamtym projekcie scalak miał wiele sąsiednich pinów połączonych do GND. Połączyłem je między sobą (środek pada do środka pada) ścieżką 8 mils. Gdyby solder maska "weszła" między pady wszystko wyglądało by normalnie, ale nie weszła i przez te połączenia cyna zalała przerwy między sąsiednimi pinami. Elektrycznie OK, ale wyglądało tragicznie - naokoło scalaka wiele grup pozlewanych pinów. Przy rastrze 0.4mm należy całe rzędy padów umieszczać w jednym wspólnym otworze w solder masce i nie łączyć sąsiednich bezpośrednio, tylko na zewnątrz lub wewnątrz. P.G. |
|
| Data: 2013-07-23 21:50:40 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Piotr Gałka <piotr.galka@cutthismicromade.pl> writes:
Przy rastrze 0.4mm należy całe rzędy padów umieszczać w jednym Jasne. Dodatkowo dobrze też zastosować odpowiednią ilość pasty oraz wybrać odpowiedni proces w piecu. Na szczęście osobiście akurat tym raczej się nie zajmuję. -- Krzysztof Hałasa |
|
| Data: 2013-07-12 01:56:55 | |
| Autor: Chris94 | |
| karty indukcyjne | |
|
Dnia Thu, 11 Jul 2013 09:12:40 +0200, Wojciech Bancer napisa³(a):
By³y. Automaty dzia³aj±ce offline bez podpisu/pin to nie jest jaka¶ Jedynymi automatami z jakimi siê spotka³em, które nie ¿±da³y PIN-u od karty stykowej, to by³y bramki na zagranicznych autostradach. Ale na autostradowej bramce fraudu na wiêksz± kwotê nie zrobisz. Natomiast zbli¿eniowo - jak wykazuje do¶wiadczenie - mo¿na p³aciæ do upojenia, je¶li tylko nie przekracza siê kwoty 50 z³. Opisywa³em tu kiedy¶ eksperyment jaki przeprowadzi³em, gdy na koncie ustawi³em wszystkie limity p³atno¶ci kart± na zero (lub jak±¶ zbli¿on± kwotê), a pomimo tego bez problemu mog³em zbli¿eniowo p³aciæ rachunki do 50 z³ bez ¿adnej autoryzacji. I w³a¶nie dlatego, pieprzê tak± kartê! W jaki sposób to, ¿e swoj± Nie wiem na jakiej zasadzie pomo¿e, ale w moim przypadku przeciêcie antenki pomog³o! Poprzednio wszystkie moje transakcje bezstykowe na kwoty do 50 z³ by³y akceptowane bez autoryzacji, a po przeciêciu antenki wszystkie operacje odbywaj± siê on-line i s± autoryzowane PIN-em. Co do tematu dyskusji Je¶li w dowolnym sklepie mogê bez u¿ycia PIN-u p³aciæ bezstykowo kart±, która ma ustawione na zero wszystkie limity p³atno¶ci, to chyba to nie jest wina "w³a¶ciciela automatu". Nie troluj. W skali kraju i omawianego bezpieczeñstwa, pojedynczy przypadek, czy nawet 3 przypadki, z których omawiany wy¿ej jest s³abo opisany i w sumie nie wiadomo *jak i dlaczego* kto¶ straci³ kasê, To s± przypadki nag³o¶nione, ale jeszcze mog³o byæ wiele takich, gdzie poszkodowani nie wiedzieli o istnieniu Samcika ani tej grupy i potulnie zap³acili to, co im bank kaza³. I wyja¶nij wreszcie, jakie to s± te "prawdziwe problemy", o których ma pisaæ Samcik, Niebezpiecznik oraz my na p.b.b., zamiast zajmowaæ siê "tematem zastêpczym" jakim jest brak dzia³aj±cych zabezpieczeñ w kartach zbli¿eniowych? Ju¿ nie mówi±c o tym, ¿e przeczyta³e¶ A jaki ma byæ "dalszy ci±g historii"? Facetowi buchnêli kasê z konta, a my mamy a¿ za du¿o przypadków potwierdzaj±cych praktykê banku, ¿e w takiej sytuacji standardowo obci±¿a siê klienta kosztami fraudu do wysoko¶ci 150 EUR. Poza tym, dlaczego mam kwestionowaæ to, co kto¶ poszkodowany napisa³? Je¶li sam, na swojej karcie mog³em sprawdziæ, ¿e te "zabezpieczenia" s± guzik warte i nie dzia³aj±, to dlaczego mam mu nie wierzyæ? -- Pozdrowienia, Krzysztof (dawniej u¿ywaj±cy nicka 'Chris') |
|
| Data: 2013-07-11 19:44:07 | |
| Autor: witek | |
| karty indukcyjne | |
|
Chris94 wrote:
Kiedy ostatni raz byles w McDonaldzie? |
|
| Data: 2013-07-13 00:01:47 | |
| Autor: Chris94 | |
| karty indukcyjne | |
|
Dnia Thu, 11 Jul 2013 19:44:07 -0500, witek napisa³(a):
Jedynymi automatami z jakimi siê spotka³em, które nie ¿±da³y PIN-u od Dawno. Chyba bêdê musia³ siê przej¶æ :) Masz na my¶li McDonaldy polskie, czy zagraniczne? -- Pozdrowienia, Krzysztof (dawniej u¿ywaj±cy nicka 'Chris') |
|
| Data: 2013-07-13 00:18:00 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-12, Chris94 <chris94@WYTNIJ_TO.poczta.fm> wrote:
[...] Kiedy ostatni raz byles w McDonaldzie? Polskie te¿ maj± transakcje offline. -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-13 15:07:52 | |
| Autor: Chris94 | |
| karty indukcyjne | |
|
Dnia Sat, 13 Jul 2013 00:18:00 +0200, Wojciech Bancer napisa³(a):
Kiedy ostatni raz byles w McDonaldzie? I akceptuj± p³atno¶ci wykonywane stykowo bez autoryzacji PIN-em? -- Pozdrowienia, Krzysztof (dawniej u¿ywaj±cy nicka 'Chris') |
|
| Data: 2013-07-13 10:42:07 | |
| Autor: witek | |
| karty indukcyjne | |
|
Chris94 wrote:
Dnia Sat, 13 Jul 2013 00:18:00 +0200, Wojciech Bancer napisa³(a): tak, do zadnej karty po za debetowa do bankomatu nie mam pinu. Po prostu nigdy nie byl ustalony. Robienie zakupow czy ty w mcdonald czy tez w carrefour sprowadza sie do przylozenia karty w okolicach czytnika. Mam nawet klopot, zeby zaplacic w carrefur za pomoca paska magnetycznego, bo zanim zdaze przeciagnac karte przez ta szczeline, to czytnik wypisuje, dziekuje, zaplacone. |
|
| Data: 2013-07-14 00:50:15 | |
| Autor: J.F. | |
| karty indukcyjne | |
|
Dnia Sat, 13 Jul 2013 10:42:07 -0500, witek napisa³(a):
Dnia Sat, 13 Jul 2013 00:18:00 +0200, Wojciech Bancer napisa³(a):tak, Hm, i karta jest wtedy bez PIN, czy on tam jest, ale nie wiesz jaki ? Robienie zakupow czy ty w mcdonald czy tez w carrefour sprowadza sie do przylozenia karty w okolicach czytnika. I jaka najwieksza kwote autoryzowal ? Mam nawet klopot, zeby zaplacic w carrefur za pomoca paska magnetycznego, bo zanim zdaze przeciagnac karte przez ta szczeline, to czytnik wypisuje, dziekuje, zaplacone. I nie boisz sie ? A jak bankomaty zaczna wyplacac pieniadze po zblizeniu ? :-) J. |
|
| Data: 2013-07-14 01:58:01 | |
| Autor: witek | |
| karty indukcyjne | |
|
J.F. wrote:
Dnia Sat, 13 Jul 2013 10:42:07 -0500, witek napisa³(a): Nie ma pinu. Musialbym dzwonic do banku zeby ustawic pin. Nie ma zadnego pinu poczatkowego.
Nie zwracalem uwagi. Raczej male i sadze, ze bylo to ponizej 50 zl. tymi kartami gotowki nie wyplacisz.Mam nawet klopot, zeby zaplacic w carrefur za pomoca paska Po za tym akurat bank nie jest z Polski i mnie 150 euro nie obowiazuje. Moja umowa z bankiem jest na zero zlotych niezaleznie od tego czy przed czy po zgloszeniu utraty karty. |
|
| Data: 2013-07-12 06:55:17 | |
| Autor: sqlwiel | |
| karty indukcyjne | |
|
W dniu 2013-07-12 01:56, Chris94 pisze:
W jaki sposób to, ¿e swoj± Powtórzê pytanie: Czy na pewno wolisz p³aciæ zawsze z PINem nara¿aj±c siê na tego¿ pinu podgl±dniêcie, po czym wydolinowanie karty i wypucowanie konta w tym samym Lidlu (np. na alkoholem - nie zmarnuje siê u z³odzieja), czy mo¿e jednak p³aciæ paypassem i pinu nie nara¿aæ? Bo ja mam dylemat... Wiêkszo¶æ kart ju¿ mam przedziurkowane, ale kredytówkê jeszcze nie. -- Dziêkujê. Pozdrawiam. sqlwiel. |
|
| Data: 2013-07-13 00:11:33 | |
| Autor: Chris94 | |
| karty indukcyjne | |
|
Dnia Fri, 12 Jul 2013 06:55:17 +0200, sqlwiel napisa³(a):
Powtórzê pytanie: Kart± p³acê w zasadzie tylko przy grubszych p³atno¶ciach, a wiêc raczej w warunkach do¶æ komfortowych i nie stwarzaj±cych zagro¿enia. Drobne p³atno¶ci p³acê gotówk±, a ¶rodkami komunikacji miejskiej prawie w ogóle nie je¿d¿ê. Bo ja mam dylemat... Wiêkszo¶æ kart ju¿ mam przedziurkowane, ale kredytówkê jeszcze nie. Na razie testujê kartê debetow± Meritum (bez funkcji zbli¿eniowej). Je¶li bêdzie bezproblemowa, to z karty mBanku przestanê korzystaæ. -- Pozdrowienia, Krzysztof (dawniej u¿ywaj±cy nicka 'Chris') |
|
| Data: 2013-07-12 10:37:56 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-11, Chris94 <chris94@WYTNIJ_TO.poczta.fm> wrote:
[...] Jedynymi automatami z jakimi siê spotka³em, które nie ¿±da³y PIN-u od No tak. Nie widzia³em = nie istnieje. Ale w internecie napisali, ¿e bezstykowe s± niebezpieczne, wiêc im trzeba wierzyæ. :) W jaki sposób to, ¿e swoj± Ok. To zrób eksperyment i do³aduj sobie komórkê w automacie we Wrocku. bo pozwalaj± na fraudy? To jest luka na któr± pozwoli³ w³a¶ciciel automatu, a nie wada bezstykówek jako takich. Czyli nadal masz pretensje do tego ¿e co¶ dzia³a offline. I wyja¶nij wreszcie, jakie to s± te "prawdziwe problemy", o których ma Ju¿ pêdzê. :) [... ciach gdybalizmy pospolite ...] -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-13 00:24:12 | |
| Autor: Chris94 | |
| karty indukcyjne | |
|
Dnia Fri, 12 Jul 2013 10:37:56 +0200, Wojciech Bancer napisa³(a):
Jedynymi automatami z jakimi siê spotka³em, które nie ¿±da³y PIN-u od Ponownie proszê, ¿eby¶ postara³ siê czytaæ to co napisa³em, ze zrozumieniem. A napisa³em wyra¼nie, ¿e moje przekonanie o tym, ¿e bezstykowa karta mBanku jest niebezpieczna nie bierze siê wy³±cznie z tego, co przeczyta³em w internecie, ale przede wszystkim z eksperymentów, które przeprowadzi³em na swojej karcie! Je¶li w dowolnym sklepie mogê bez u¿ycia PIN-u p³aciæ bezstykowo kart±, Tak, mam pretensje o to, ¿e ustawione przeze mnie limity transakcyjne nie dzia³aj± i s± zwyk³± fikcj±. Ten stan móg³bym akceptowaæ, gdyby bank bra³ na siebie ewentualne fraudy wynik³e z tej luki w systemie bezpieczeñstwa, ale bank ani my¶li tego robiæ, ca³± odpowiedzialno¶æ zrzuca na klienta. I wyja¶nij wreszcie, jakie to s± te "prawdziwe problemy", o których ma Tutaj powstrzymam siê od komentarza. -- Pozdrowienia, Krzysztof (dawniej u¿ywaj±cy nicka 'Chris') |
|
| Data: 2013-07-12 22:38:15 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Chris94 <chris94@WYTNIJ_TO.poczta.fm> writes:
Nie wiem na jakiej zasadzie pomoże, ale w moim przypadku przecięcie Tylko pamiętaj, że ją można (być może łatwo) naprawić. Poprzednio wszystkie moje transakcje bezstykowe na kwoty do 50 zł były Szczerze mówiąc nie rozumiem jaka idea przyświeca twórcom tej "technologii". Transakcje bezstykowe, przy których nie mamy pewności, czy nie jest to fraud (atak z tunelem jest praktycznie nie do obrony, jest oczywisty i wynika z podstawowych założeń), nie są autoryzowane. Dokładnie takie same transakcje stykowe, w przypadku których wiemy, że oryginalna karta jest fizycznie podpięta do czytnika (nie wiemy czy do naszego, ale w wersji minimum musi być fizycznie ukradziona) - są PINowane i autoryzowane. Nie żeby oczywiście ta autoryzacja robiła aż tak wielką różnicę. Facetowi buchnęli kasę z konta, a my mamy aż za dużo przypadków Tak jest jeśli chodzi o transakcje utraconą kartą. Natomiast co się dzieje, jeśli okaże się, że transakcje zostały przeprowadzone tą kartą (z proxy)? Coś słabo widzę taką reklamację. -- Krzysztof Hałasa |
|
| Data: 2013-07-12 23:10:57 | |
| Autor: J.F. | |
| karty indukcyjne | |
|
Dnia Fri, 12 Jul 2013 22:38:15 +0200, Krzysztof Halasa napisa³(a):
Szczerze mówi±c nie rozumiem jaka idea przy¶wieca twórcom tej No coz, moze i styki na chipie sie wycieraja zbyt szybko. A moze przekonali supermarkety ze wydajnosc kasjerow wzrosnie o 20%, a to jest warte 1% prowizji, a fraudow jest znacznie mniej :-) Bo cos rosna nagrody za platnosc kartami i to dziwne ze wlasnie z supermarketow i stacji paliwowych ... Facetowi buchnêli kasê z konta, a my mamy a¿ za du¿o przypadków Szczegolnie jak na bliska odleglosc .. J. |
|
| Data: 2013-07-11 22:34:52 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Chris94 <chris94@WYTNIJ_TO.poczta.fm> writes:
Były. Automaty działające offline bez podpisu/pin to nie jest jakaś Kwestia odpowiedzialności - w przypadku karty bezstykowej odpowiada (w praktyce) klient. -- Krzysztof Hałasa |
|
| Data: 2013-07-11 22:30:05 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Wojciech Bancer <proteus@post.pl> writes:
Do momentu zastrzeżenia karty użytkownik odpowiada "do wysokości 150 EUR. Wtedy banki raczej zastrzegały wszystkie karty, które pozwalały na dokonywanie operacji off-line (chyba że odzyskiwały je od klienta). -- Krzysztof Hałasa |
|
| Data: 2013-07-11 22:32:22 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-11, Krzysztof Halasa <khc@pm.waw.pl> wrote:
Wojciech Bancer <proteus@post.pl> writes: Teraz te¿ zastrzegaj±. -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-11 22:55:40 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Wojciech Bancer <proteus@post.pl> writes:
Wtedy banki raczej zastrzegały wszystkie karty, które pozwalały na Niektóre, na pewno, ale - jak widać po transakcjach 2 tygodnie po rzekomym zastrzeżeniu - różnie to jest. -- Krzysztof Hałasa |
|
| Data: 2013-07-11 23:50:30 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-11, Krzysztof Halasa <khc@pm.waw.pl> wrote:
[...] Teraz te¿ zastrzegaj±. Krótka pi³ka. PO zastrze¿eniu taka transakcja to problem banku. Nawet jak siê pojawi. Ca³y dramat i darcie szat tutaj dotyczy okresu pomiêdzy zgubieniem, a zastrze¿eniem. -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-12 21:40:45 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Wojciech Bancer <proteus@post.pl> writes:
Krótka piłka. PO zastrzeżeniu taka transakcja to problem banku. Problem w tym rozumowaniu jest taki, że po zastrzeżeniu karty żadna dodatkowa transakcja już się nie pojawi. Jeśli się pojawiła, to znaczy, że bank karty nie zastrzegł. Tzn. oczywiście z punktu widzenia układów z klientem może zastrzegł. -- Krzysztof Hałasa |
|
| Data: 2013-07-10 05:38:16 | |
| Autor: sqlwiel | |
| karty indukcyjne | |
|
W dniu 2013-07-10 00:44, Chris94 pisze:
Ale przed wprowadzeniem kart zbli¿eniowych nikt tego typu fraudów nie .... albo wiêksza masowo¶æ kart, maj±ca niewiele wspólnego ze zbli¿eniowo¶ci±. Wszak masy, wiadomo, ciemne s± i przez to mniej ostro¿ne, ni¿ p.b.b-owcy maj±cy ¶wiadomo¶æ pos³ugiwania siê niebezpiecznym narzêdziem :) -- Dziêkujê. Pozdrawiam. sqlwiel. |
|
| Data: 2013-07-10 01:29:15 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
MasterCard i mBank okazały się porządnymi firmami i zwrócili Powątpiewam. nawet jeśli wina leży po stronie Jeszcze bardziej wątpię. Natomiast może bank odzyska pieniądze od sprzedawcy. -- Krzysztof Hałasa |
|
| Data: 2013-07-10 01:49:36 | |
| Autor: Wojciech Bancer | |
| karty indukcyjne | |
|
On 2013-07-09, Krzysztof Halasa <khc@pm.waw.pl> wrote:
MasterCard i mBank okaza³y siê porz±dnymi firmami i zwrócili Polemizujesz z cytatem. :) -- Wojciech Bañcer proteus@post.pl |
|
| Data: 2013-07-09 23:10:44 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Chris94 <chris94@WYTNIJ_TO.poczta.fm> writes:
Mnie mBank obciążył jakby nigdy nic transakcją zbliżeniową, która Bo jej nie zastrzegł. -- Krzysztof Hałasa |
|
| Data: 2013-07-10 00:48:22 | |
| Autor: Chris94 | |
| karty indukcyjne | |
|
Dnia Tue, 09 Jul 2013 23:10:44 +0200, Krzysztof Halasa napisa³(a):
Chris94 <chris94@WYTNIJ_TO.poczta.fm> writes: W systemie transakcyjnym mBanku karta natychmiast po jej zastrze¿eniu przeze mnie sta³a siê widoczna jako zastrze¿ona, wiêc by³oby to dziwne. -- Pozdrowienia, Krzysztof (dawniej u¿ywaj±cy nicka 'Chris') |
|
| Data: 2013-07-10 01:24:35 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
Chris94 <chris94@WYTNIJ_TO.poczta.fm> writes:
W systemie transakcyjnym mBanku karta natychmiast po jej zastrzeżeniu To mnie akurat tak bardzo nie dziwi. Czy bank znał powód zastrzeżenia karty? W przypadku "bo znudziła się klientowi" takich rzeczy można się spodziewać, choć IMHO prawidłowe to to nijak nie jest. Jeśli karta została "utracona" i z tego powodu zastrzeżona, to coś takiego jest już większą zdradą, bo bank nie może podejrzewać, że jego własny klient jednak odzyskał kartę i np. przypadkiem jej użył. Jeśli bank nie zastrzega karty, to później ma do wyboru zapłacić sam, lub obciążyć klienta. Mimo że zapewne potencjalny koszt takich rzeczy jest wcześniej skalkulowany, to jednak później miło jest bankowi samemu nie płacić. -- Krzysztof Hałasa |
|
| Data: 2013-07-07 16:05:16 | |
| Autor: Krzysztof Halasa | |
| karty indukcyjne | |
|
A.L. <alewando@aol.com> writes:
Wszystko prawda. Tu gdzie mieszkam, sprzedaja gustowne etui do kart i Pewnie są. Ale czy jak zrobię antenę 50x50 cm i dam w nią 10W mocy, to też na pewno zadziałają? Odbiornik też zrobię czulszy, wystarczy mi 1 uV zamiast 30 mV. -- Krzysztof Hałasa |
|