Data: 2009-06-10 13:40:07 | |
Autor: Tomek Głowacki | |
zbliżeniówki PayPass MC i Maestro - obserwacje | |
Witam serdecznie,
Jako, że jakiś czas temu była dyskusja na temat jak w temacie, konkretnie kwestionowana była wygoda rozwiązania stosowania karty PayPass, jedni mówili że szybko inni, że jak normalna karta: Ostatnio miałem okazję poobserwować w praktyce no i jest tak: - karta MC płaska Paypass autoryzuje się offline więc działa to dokładnie tak szybko jak pieniądz fizyczny, saldo jest na chipie i nie da się wziąć więcej niż tam się ma (próbowane ;) ), mimo braku operacji w serwisie SMSowym. Dotyczy to kwot poniżej 50 zł, żadnego pinu, przytykam do terminala "pik" i już zakupione. Powyżej - pin. - karta Maestro Paypass autoryzuje się wyłącznie online, więc trwa to dokładnie tak długo jak zwykłą kartą, zaleta tylko taka, ze operacje w serwisie SMSowym pojawiają się od razu. Kwota operacji dopuszczalnej bez pinu to też poniżej 50 zł. Mówię o operacjach przez terminal zbliżeniowy, bo w zwykłym terminalu niestety jest wszystko jedno - autoryzacja online i pin, nawet przy kwocie poniżej 50 zł. BZWBK zaszalał - na wszystkich festiwalach które organizuje AlterArt (np. Selektor w Krakowie, Open'er w Gdyni) jedynym i wyłącznym środkiem płatniczym są zbliżeniówki PayPass właśnie BZWBKu, cobrandowe w tym roku, bo rok temu były "defaultowe" z niebieskim motylkiem i tylko Maestro. W tym roku - MC. Zarobią/zarobili, nie ma co ;) Nie wiem, nie skończy im się numeracja tych kart? :) Przecież tam przyjeżdża dziesiątki tysięcy ludzi i każdy MUSI mieć kartę żeby móc cokolwiek kupić na terenie festiwalu. Pozdr, Tomek |
|
Data: 2009-06-10 04:57:59 | |
Autor: krzysztofsf@wp.pl | |
zbliżeniówki PayPass MC i Maestro - obserwacje | |
On 10 Cze, 13:40, Tomek Głowacki <t_gl_nospam_wyalto@wytnijto_o2.pl>
wrote: Nie wiem, nie skończy im się numeracja tych kart? :) Przecież tam Stali bywalcy beda mieli z poprzednich lat. ja jestem negatywnie nastawiony do tego wynalazku, do czasu az klient nie bedzie mial mozliwosci zdefiniowania limitow kwotowych i ilosciowych PONIZEJ tych narzuconych przez bank. Np. ustawic sobie, ze moge dziennie zrobic 10 transakcji o maksymalnej wartosci kazdej 20 zl, a laczny dzienny limit nie przekroczy przykladowo 100 zl. Wtedy bedize to narzedzie platnicze, ktore kazdy bedzie mogl dopasowac sobie do swoich preferencji. Limity domyslne narzucone przez emitentow sa wg mnie za wysokie - zwlaszcza, jesli ktos ma taka funkcjonalnosc w karci ekredytowej czy debetowej, a nie tylko prepaidzie. |
|
Data: 2009-06-10 14:01:09 | |
Autor: MK | |
zbliżeniówki PayPass MC i Maestro - obserwacje | |
<krzysztofsf@wp.pl> wrote in message news:01cfcaa2-5bb0-476e-85b1-dc10968166eff19g2000yqh.googlegroups.com...
Limity domyslne narzucone przez emitentow sa wg mnie za wysokie - zwlaszcza, jesli ktos ma taka funkcjonalnosc w karci ekredytowej czy debetowej, a nie tylko prepaidzie. 50 pln to za duzo? Oszalales? Po przekroczeniu kazdych 50 pln lub 4 transakcji jest dokonywana autoryzacja online. MK |
|
Data: 2009-06-10 05:26:28 | |
Autor: kl1 | |
zbliżeniówki PayPass MC i Maestro - obserwacje | |
On 10 Cze, 14:01, "MK" <ma...@interia.pl> wrote:
50 pln to za duzo? Oszalales? Po przekroczeniu kazdych 50 pln lub 4Nie ma znaczenia czy za dużo czy za mało. Nie ma powodu by nie było możliwości samodzielnej konfiguracji tego (nawet jeśli tylko jednorazowo przy zamawianiu nowej karty...) Mi z kolei nie podoba się to, że przykładam kartę do czytnika i koniec. Wolałbym mieć większą władzę i decydować kiedy ma nastąpić autoryzacja - fakt zbliżenia karty do czytnika lub czytnika do karty to trochę mało... Jeszcze dodatkowo zniechęcające jest, że to samo można zrobić dla kart stykowych - gdyby tylko chciano. |
|
Data: 2009-06-10 14:39:18 | |
Autor: Tomek GĹowacki | |
zbliÂżeniĂłwki PayPass MC i Maestro - obserwacje | |
kl1@o2.pl pisze:
Nie ma znaczenia czy za duĹźo czy za maĹo. Nie ma powodu by nie byĹo Dla mnie, sĹabÄ opcjÄ jest wykup tzw. "pieniÄ dza elektronicznego" za prawie 20 zĹ (!) z karty, oraz nie moĹźliwoĹÄ zmiany/ustalenia pinu na nowo. Kompletny bezsens - mam kartÄ z zamroĹźonÄ tam gotĂłwkÄ bo mi zostaĹo po festiwalu i nie wiem co mam z tym zrobiÄ. Za dwie dychy nie opĹaca siÄ, a pin zginÄ Ĺ w mrokach dziejĂłw (od zeszĹego roku). Co do faktu zakupu przez samo zlibĹźenie, aĹź prosi siÄ o masowy fraud w tĹumie odpowiednio przerobionym odbiornikiem.... szybka kasa... Pozdr, Tomek |
|
Data: 2009-06-10 05:58:10 | |
Autor: kl1 | |
zbliżeniówki PayPass MC i Maestro - obserwacje | |
On 10 Cze, 14:39, Tomek Głowacki <t_gl_nospam_wyalto@wytnijto_o2.pl>
wrote: Co do faktu zakupu przez samo zlibżenie, aż prosi się o masowy fraud w Bądź też można komuś(np. w zatłoczonym autobusie) zrobić psikusa. Jednej osobie skasować za batonik. Ciekawy czy posiadacz karty udowodni, że tego batonika za 2pln nie kupował, że w ogóle nie jada słodyczy i nie kupuje ich dla innych, czy też banki będą pozytywnie rozpatrywać każdą taką reklamację. |
|
Data: 2009-06-11 08:30:09 | |
Autor: Seba | |
zbli?eniówki PayPass MC i Maestro - obserwacje | |
kl1@o2.pl napisał(a):
Badz tez mozna komus (np. w zatloczonym autobusie) zrobic psikusa. jesli twoje psikusy polegają na generowaniu dynamicznego cvc3/cvv3 lub rozkodowywaniu kryptogramu (mając oczywiscie dostep do kluczy organizacji/centrow rozliczeniowych/bankow) to mozesz sie w ten sposob bawic. poza tym nawet jesli odczytalbys dane z karty - co to da ? w jaki sposob ją obciązysz ? tak naprawde fraudy mozliwe sa po kradziezy takiej karty, nie trzeba znac pinu zeby dokonywac trx na male kwoty, dlatego konieczne jest stosowanie licznikow transakcji/kwotowych - a do wysokosci limitow bank bieze ryzyko na siebie -- |
|
Data: 2009-06-11 02:43:32 | |
Autor: Krzysiek | |
zbli?eniówki PayPass MC i Maestro - obserwacje | |
On 11 Cze, 10:30, "Seba" <bbaste...@WYTNIJ.gazeta.pl> wrote:
jesli twoje psikusy polegają na generowaniu dynamicznego cvc3/cvv3 lubczy na pewno muszę w to wnikać? Nie wystarczy odpowiednio spreparowany w wyglądzie zewnętrznym (aby nie rzucał się w oczy) oficjalny, zarejestrowany czytnik ? Potem wszystko idzie drogą oficjalną - klient nawet nie zauważy, że zapłacił (chyba, że przeanalizuje rachunek). Szczególnie może byc to niebezpieczne jesli kartę zbliżeniową podajemy kasjerowi/kasjerce w celu wykonania "zwykłej autoryzacji" - czy przypadkiem nie została zbliżona do czegoś co może być czytnikiem;) a do wysokosci ale koszty tego ryzyka bank tak czy siak przeniesie na klientów w formie jakiś opłat od jakiś, niekoniecznie karcianych, usług. |
|
Data: 2009-06-11 10:24:02 | |
Autor: Seba | |
zbli?eniówki PayPass MC i Maestro - obserwacje | |
Krzysiek <kl1@o2.pl> napisał(a):
czy na pewno musze w to wnikac Nie wystarczy odpowiednio spreparowany sprzedawca musialby byc wyjatkowym idiota, zeby ryzykowac wiezienie, utrate licencji itp dla kilku transakcji do 50 pln - takie cos wyjdzie po 3-4 reklamacjach od klientow dla danego punktu. >a do wysokosci to wyobraz sobie w takim razie, jakie teraz fraudy pokrywasz w formie oplat, jesli to dziala w ten sposob. -- |
|
Data: 2009-06-11 04:49:21 | |
Autor: Krzysiek | |
zbli?eniówki PayPass MC i Maestro - obserwacje | |
On 11 Cze, 12:24, "Seba" <bbaste...@WYTNIJ.gazeta.pl> wrote:
sprzedawca musialby byc wyjatkowym idiota, zeby ryzykowac wiezienie, utratechyba, że znajdzie sposób dzięki któremu poczuje się bezpiecznie. (pomijajac w ogóle fakt, że własciciel sklepu nie musi być sprzedawcą, nie musi wiedzieć jak bawia sie jego pracownicy albo jak próbują zwiekszyć obrót aby w ich mniemaniu łatwo - dostać premie za dobre wyniki itp.) A idioci sie zdarzają niestety na świecie? to wyobraz sobie w takim razie, jakie teraz fraudy pokrywasz w formie oplat,Wyobrażam sobie - każde ryzyko trzeba wliczyć w koszty i banki to robią. Oczywiście nigdzie nie będzie opłaty "za ryzyko fraudu" - za to bedzie "za kartę, za nieużywanie karty, za konto" itp. albo opłata będzie pobierana poprzez oferowanie niższego oprocentowania rachunku lub w ogóle brak %. Owszem więcej transakcji = większe zyski więc można liczyć, że to pokryje koszty ryzyka. |
|
Data: 2009-06-11 12:21:30 | |
Autor: Rafał | |
zbli?eniówki PayPass MC i Maestro - obserwacje | |
Krzysiek pisze:
Nie wystarczy odpowiednio spreparowany A jak zauważy to chargeback. Do tego przy większej ilości od razu wejdzie prokurator. To nie jest jak z bronią nierejestrowaną, że nie da się namierzyć. -- Raf |
|
Data: 2009-06-11 04:39:47 | |
Autor: Krzysiek | |
zbli?eniówki PayPass MC i Maestro - obserwacje | |
On 11 Cze, 12:21, Rafał <ad...@moj.invalid> wrote:
A jak zauważy to chargeback. Do tego przy większej ilości od razu Od razu? nie trzeba przypadkiem przejść najpierw przez skomplikowany system reklamacyjny? teraz też mogę sobie powiedzieć, że "ta transakcja za 10,25zł z 08.06.09 nie została wykonana przeze mnie". Tylko co dalej? Dalej sprawdzanie czy była potwierdzana PINem czy podpis itd. A przy bezstykowych nie ma zadnego PINu, żadnego podpisu. a na pewno nie jest tak, że kazdej transakcji moge sie wyprzeć jesli tylko w danym punkcie nie było przypadkiem monitoringu. |
|
Data: 2009-06-11 15:16:17 | |
Autor: Rafał | |
zbli?eniówki PayPass MC i Maestro - obserwacje | |
Krzysiek pisze:
Od razu? nie trzeba przypadkiem przejść najpierw przez skomplikowany Jaki on tam skomplikowany? Dostajesz kwit, w zależnosci od sytuacji i podpisujesz. W przypadku kredytówki zawieszona masz spłatę spornej kwoty. Tylko co dalej? Dalej sprawdzanie czy była potwierdzana PINem czy Więc to sprzedawca musi udowodnić, że sprzedał ci coś. Jego problem. Zgłoszenie sprawy na policję przyspiesza nawet sprawę. -- Raf |
|
Data: 2009-06-11 16:19:47 | |
Autor: Krzysztof Halasa | |
zbli?eniówki PayPass MC i Maestro - obserwacje | |
Rafał <adres@moj.invalid> writes:
Tylko co dalej? Dalej sprawdzanie czy była potwierdzana PINem czy Akurat w przypadku transakcji kartami procesorowymi sprzedawca "ma" podpis karty, wiec to w ogole nie jest jego problem. Chyba ze taki sprzedawca zostanie zlapany na tym, ze zajmuje sie glownie dokonywaniem fraudow - wtedy moze byc gorzej, ale czy sa mechanizmy zeby go na tym zlapac (takie jak w przypadku normalnych kart) to nie wiem. -- Krzysztof Halasa |
|
Data: 2009-06-11 15:16:20 | |
Autor: Seba | |
zbli?eniówki PayPass MC i Maestro - obserwacje | |
Krzysztof Halasa <khc@pm.waw.pl> napisał(a):
Akurat w przypadku transakcji kartami procesorowymi sprzedawca "ma" TYLKO w przypadku uzycia ORYGINALNEJ karty - nie da sie "zeskimowac" chipa do paypass - tylko jesli ukradnisz/znajdziesz taką karte mozesz ją wykorzystac
oczywiscie ze są - fraudy są rejetsrowane przez banki w organizacjach, po kilku przypadkach w tym samym punkcie wniosek jest oczywisty -- |
|
Data: 2009-06-11 19:59:49 | |
Autor: Krzysztof Halasa | |
zbli?eniówki PayPass MC i Maestro - obserwacje | |
"Seba" <bbastek13@WYTNIJ.gazeta.pl> writes:
Akurat w przypadku transakcji kartami procesorowymi sprzedawca "ma" Oczywiscie. Wazny jest sposob uzycia oryginalnej karty. Przeciez napisalem - usenet to nie jest medium write-only. Przyjmij do wiadomosci ze w przypadku kart zblizeniowych da sie przeprowadzic transakcje "na odleglosc" (np. w tlumie) placac w normalnym sklepie, bez wspoludzialu sprzedawcy i bez potrzeby posiadania terminala w niewielkiej odleglosci od karty. I jeszcze ze nie wymaga to specjalnie wielkich nakladow ani trudnosci, a glowne przeszkody to a) jest to jakas nowosc (przestepcy niekoniecznie sa naukowcami), b) limity sa takie, ze nie da sie kupic za to TV itp, w kawalkach po 50 zl nie sprzedaja raczej. oczywiscie ze są - fraudy są rejetsrowane przez banki w organizacjach, po kilku przypadkach w tym samym punkcie wniosek jest oczywisty Niestety "oczywisty" niekoniecznie oznacza w tym przypadku "prawdziwy". Jesli transakcja zostaje przeprowadzona przy uzyciu oryginalnej karty, i jesli ta karta (zblizeniowa) byla caly czas w posiadaniu prawowitego posiadacza, to najpierw bank musi uznac ja za fraud, by mozna bylo ja zarejestrowac jako taki. -- Krzysztof Halasa |
|
Data: 2009-06-11 19:17:39 | |
Autor: Seba | |
zbli?eniówki PayPass MC i Maestro - obserwacje | |
Krzysztof Halasa <khc@pm.waw.pl> napisał(a):
Przyjmij do wiadomosci ze w przypadku kart zblizeniowych da sie na odleglosc 5 cm ; zanim zaczniesz masowo robic takie "fraudy" posadza cie za naruszenie nietykalnosci cielesnej czy inne molestowanie albo po prostu dostaniesz od kogos w twarz, bo nie da sie tego zrobic z odleglosci jaka zachowuja ludzie miedzy soba nawet w tłoku. co do obciazenia karty bez terminala (czyli kluczy), ktory jest niezbedny do autentykacji transakcji (tak jak pisalem rozkodowanie kryptogramu bądz cvc/cvv3) nie bede komentowal, bo to swiadczy ze nie masz pojecia o czym piszesz. na pdobnej zasadzie mozesz sobie odczytac dane z karty magnetycznej przez jakis czytnik podpiety do pc i co z tego ? obciążysz kartę ? I jeszcze ze nie wymaga to specjalnie wielkich nakladow ani trudnosci, u nas nowosc, w stanach od 5 lat - i nie ma przez to wiecej fraudow. > oczywiscie ze są - fraudy są rejetsrowane przez banki w organizacjach,po > kilku przypadkach w tym samym punkcie wniosek jest oczywisty pisząc po twojemu - fałsz Jesli transakcja zostaje przeprowadzona przy uzyciu oryginalnej karty, no i co z tego ? chyba oczywiste ze za kazdym razem gdy jest robiony chargeback fraudowy musi byc zarejestrowane naduzycie w MC bo inaczej bank nie wygra -- |
|
Data: 2009-06-11 22:16:50 | |
Autor: Kamil Jońca | |
zbli?eniówki PayPass MC i Maestro - obserwacje | |
"Seba" <bbastek13@WYTNIJ.gazeta.pl> writes:
Krzysztof Halasa <khc@pm.waw.pl> napisał(a): Taaak, a np. przypadkowo aktywowane karty miejskie w Wawie to się przyśniły :) Technicznie podejście w byle zatłoczonym autobusie na tyle blisko, żeby się dało "odczytać" kartę jest IMO możliwe. Kwestia opłacalności. KJ -- Spokojnie... To tylko prowokacja. |
|
Data: 2009-06-11 22:25:41 | |
Autor: Krzysztof Halasa | |
zbli?eniówki PayPass MC i Maestro - obserwacje | |
"Seba" <bbastek13@WYTNIJ.gazeta.pl> writes:
na odleglosc 5 cm ; zanim zaczniesz masowo robic takie "fraudy" posadza cie za naruszenie nietykalnosci cielesnej czy inne molestowanie albo po prostu dostaniesz od kogos w twarz, bo nie da sie tego zrobic z odleglosci jaka zachowuja ludzie miedzy soba nawet w tłoku. Tylko tak myslisz. Zeby udowodnic ze czegos sie nie da zrobic, trzeba sie naprawde nameczyc, a i tak dowod moze okazac sie w przyszlosci wadliwy. Zeby jednak udowodnic, ze cos sie da zrobic, wystarczy tylko to zrobic. Tak wlasnie bylo takze z karta bezstykowa - wymaga to tylko nieco zmodyfikowanego czytnika i zasieg zwieksza sie przynajmniej 10-krotnie. Ale nawet zakladajac te 5 cm (co jest bajka dla grzecznych dzieci wylacznie) - ludzie czesto trzymaja karty w portfelu w kieszeni np. w spodniach, nie widze najmniejszego problemu w tloku. co do obciazenia karty bez terminala (czyli kluczy), ktory jest niezbedny do autentykacji transakcji (tak jak pisalem rozkodowanie kryptogramu bądz cvc/cvv3) nie bede komentowal, bo to swiadczy ze nie masz pojecia o czym piszesz. :-) To teraz wyobraz sobie ze ten terminal znajduje sie w sklepie, w ktorym wspolnik faceta z autobusu wlasnie placi. Dotarlo w koncu? na pdobnej zasadzie mozesz sobie odczytac dane z karty magnetycznej przez jakis czytnik podpiety do pc i co z tego ? obciążysz kartę ? Nie ma tu zadnej podobnej zasady, a jesli nie wierzysz we fraudy kopiowanymi kartami magnetycznymi to ja nic na to nie poradze. u nas nowosc, w stanach od 5 lat - i nie ma przez to wiecej fraudow. 5 lat to jest wlasnie "jakas nowosc". Podaj zrodlo danych o braku wiekszej ilosci fraudow. pisząc po twojemu - fałsz Wlasnie. no i co z tego ? chyba oczywiste ze za kazdym razem gdy jest robiony chargeback fraudowy musi byc zarejestrowane naduzycie w MC bo inaczej bank nie wygra Jesli bank nie uznaje transakcji za fraud (a moze nawet wlasciciel jej nie uznaje za fraud, bo nie pamieta), to jakims cudem chcesz to miec w statystyce fraudow? No nie wiem, ja naprawde tak enigmatycznie pisze? Staram sie tak jak "dla opornych" i wciaz nic. -- Krzysztof Halasa |
|
Data: 2009-06-15 18:58:55 | |
Autor: Seba | |
zbli?eniówki PayPass MC i Maestro - obserwacje | |
Krzysztof Halasa <khc@pm.waw.pl> napisał(a):
"Seba" <bbastek13@WYTNIJ.gazeta.pl> writes: > na odleglosc 5 cm ; zanim zaczniesz masowo robic takie "fraudy" posadzacie > za naruszenie nietykalnosci cielesnej czy inne molestowanie albo poprostu > dostaniesz od kogos w twarz, bo nie da sie tego zrobic z odleglosci jaka > zachowuja ludzie miedzy soba nawet w tłoku. Tylko tak myslisz. Zeby udowodnic ze czegos sie nie da zrobic, trzeba sie naprawde nameczyc, a i tak dowod moze okazac sie w przyszlosci wadliwy. Zeby jednak udowodnic, ze cos sie da zrobic, wystarczy tylko to zrobic. Tak wlasnie bylo takze z karta bezstykowa - wymaga to tylko nieco zmodyfikowanego czytnika i zasieg zwieksza sie przynajmniej 10- czyli modyfikacja czytnika czyli ingerencja w dostarczony przez MC sprzet czyli konieczny współudział sprzedawcy, o czym pisałem (ingerencja w terminal też jest oczywiscie do wykrycia, również zdalnie) Ale nawet zakladajac te 5 cm (co jest bajka dla grzecznych dzieci wylacznie) - ludzie czesto trzymaja karty w portfelu w kieszeni np. w spodniach, nie widze najmniejszego problemu w tloku. > co do obciazenia karty bez > terminala (czyli kluczy), ktory jest niezbedny do autentykacjitransakcji > (tak jak pisalem rozkodowanie kryptogramu bądz cvc/cvv3) nie bede > komentowal, bo to swiadczy ze nie masz pojecia o czym piszesz. :-) wesoło jest, więc odrzucamy podstawiony (bo nie bedzie kluczy)/zmanipulowany terminal (bo sprzedawca jest uczciwy i nie jest idiotą) i skupiamy się na Twoim przypadku. przesledz moze jeszcze przebieg transakcji pp, dla ulatwienia moze opisze początek : 1. dane z karty przesylane do czytnika - inicjaca transakcji 2. z czytnika idzie do karty tzw UN (unpredictable number) a jesli karta emv to rowniez kwota itp. UN jest oczywiscie wartoscią losową generowana przez terminal 3. na podstawie UN generowany jest cvc3 lub tc/arqc (w zaleznosci od typu karty (mag/emv) i tego czy transakcja jest off/online dalszy ciąg juz nie dotyczy opisanego przez Ciebie "frauda na odleglosc" wiec sobie deruje
czyli rozumiem, ze wymysliles frauda, gdzie jeden czlowiek stoi przy czytniku kart w sklepie z zakupami, a drugi (ten z autobusu) przytyka po kolei do dupska pasażerom drugi czytnik komunikujący się bezprzewodowo z kartą faceta w sklepie w nadziei, ze w ciągu kilku sekund, gdy jego wspolnik dał mu znak ze jest juz przy kasie, znajdzie karte pp. Wszystko pieknie, tylko na całą transakcję offline od inicjacji do jej zamkniecia jest czas do maks sekundy (standardowo zamyka sie w 400 ms), w tym czasie musisz pzrekazac informacje w obie strony (czytnik goscia w autobusie musi miec rowniez mozliwosc transamisji w strone do karty), karta ne moze stracic łączności z czytnikiem w czasie trwania transakcji (np właściciel oryginalnej karty zepnie poślady i wszystko od początku). sorry, ale dla mnie na tą chwilę to totalna fikcja > na pdobnej > zasadzie mozesz sobie odczytac dane z karty magnetycznej przez jakisczytnik > podpiety do pc i co z tego ? obciążysz kartę ? Nie ma tu zadnej podobnej zasady, a jesli nie wierzysz we fraudy kopiowanymi kartami magnetycznymi to ja nic na to nie poradze. przyklad podalem beznadziejny to fakt; paski kopiują wszyscy i wszędzie - w tym nieszczęśliwym przykładzie chodzilo mi o to, ze samo odczytanie danych nic nie da (mając dane z paska w pliku bez ich nosnika nie dokonasz transakcji, tak samo jak odczytanie karty paypass nie pozwoli ci obciążyc konta) > u nas nowosc, w stanach od 5 lat - i nie ma przez to wiecej fraudow. 5 lat to jest wlasnie "jakas nowosc". Podaj zrodlo danych o braku wiekszej ilosci fraudow. organizacje płatnicze ? bank > nie wygra Jesli bank nie uznaje transakcji za fraud (a moze nawet wlasciciel jej nie uznaje za fraud, bo nie pamieta), to jakims cudem chcesz to miec w statystyce fraudow? to juz problem (i obowiązek) posiadacza karty, zeby wyciąg kontrolowal. jakos ludzie potrafia zglaszac np fraudy internetowe na naprawde niewielkie kwoty, nie widze powodu zeby akurat tego typu transakcje mialy im "umykac" -- |
|
Data: 2009-06-15 22:08:34 | |
Autor: Krzysztof Halasa | |
zbli?eniówki PayPass MC i Maestro - obserwacje | |
"Seba" <bbastek13@WYTNIJ.gazeta.pl> writes:
czyli rozumiem, ze wymysliles frauda, gdzie jeden czlowiek stoi przy czytniku kart w sklepie z zakupami, a drugi (ten z autobusu) przytyka po kolei do dupska pasażerom drugi czytnik komunikujący się bezprzewodowo z kartą faceta w sklepie Wymyslili i przetestowali inni. Po raz pierwszy juz pare lat temu zreszta. w nadziei, ze w ciągu kilku sekund, gdy jego wspolnik dał mu znak ze jest juz przy kasie, znajdzie karte pp. Wszystko pieknie, tylko na całą transakcję offline od inicjacji do jej zamkniecia jest czas do maks sekundy (standardowo zamyka sie w 400 ms), w tym czasie musisz pzrekazac informacje w obie strony (czytnik goscia w autobusie musi miec rowniez mozliwosc transamisji w strone do karty), karta ne moze stracic łączności z czytnikiem w czasie trwania transakcji (np właściciel oryginalnej karty zepnie poślady i wszystko od początku). 400 ms to jest kilka razy wiecej niz czas potrzeby na wyslanie zapytania i odebranie odpowiedzi publicznym Internetem na drugi koniec swiata. Ale przyznaje ze jedno z potencjalnych zabezpieczen ma polegac na scislym limitowaniu czasu odpowiedzi karty (z tym ze wczesniej beda to robic, a moze juz robia, platne TV - bankom sie nie spieszy). Tyle ze to wykluczy moze fraudy z 20 tys. km (a przynajmniej jest szansa), ale nie takie robione np. para radiotelefonow (zeby bylo latwo i tanio, i zeby nie bylo sladow w zadnych bilingach itp). Swoja droga, to w pewnym sensie takze dziala na korzysc fraudsterow - jakby klient zobaczyl operacje z drugiej polkuli to moglby cos podejrzewac, ale jak bedzie tam tylko mial np. swoje miasto, to nawet jesli cos zauwazy, to bank mu w to nie uwierzy (i zgadnic co zrobi ze statystyka). "Byl pan wtedy w Koziej Wolce? No bylem, ale... Dziekujemy". Podaj zrodlo danych o braku wiekszej ilosci fraudow. Ale miales podac konkretne zrodlo a nie pytac. Ja tez mam pewne idee na rozne tematy ale nie traktuje ich jak "twardych" danych. Jesli bank nie uznaje transakcji za fraud (a moze nawet wlasciciel jej nie uznaje za fraud, bo nie pamieta), to jakims cudem chcesz to miec w statystyce fraudow? Drobne fraudy internetowe tez im "umykaja", ale niewazne. Co napiszesz o nieuznawaniu fraudu przez bank? -- Krzysztof Halasa |
|
Data: 2009-06-15 20:51:14 | |
Autor: Seba | |
zbli?eniówki PayPass MC i Maestro - obserwacje | |
Krzysztof Halasa <khc@pm.waw.pl> napisał(a):
"Seba" <bbastek13@WYTNIJ.gazeta.pl> writes: ale w warunkach "laboratoryjnych", w rzeczywistych - nie wydaje mie sie mozliwe dogranie calosci w ten sposob aby doprowadzic do konca transakcje - gdy na kasie jest nabita kwota i czytnik czeka na karte musisz miec juz na widelcu "ofiare", w odpowiednim momencie odebrac sygnal i nadac odpowiedz (z drugiej strony niezly bajer musi byc ta fakeowa karta/nadajnik która komunikuje sie z terminalem). Naprawde prosciej ukrasc taka karte i isc na zakupy offline. Podobnie jest z chipem, niby mozna sklonowac, niby mozna zlamac mocne nawet kodowanie ale na to potrzeba czasu, którego przy transakcji nie ma - drobny timeout i idzie reversal > w nadziei, ze w ciągu kilku sekund, gdy jego wspolnik > dał mu znak ze jest juz przy kasie, znajdzie karte pp. Wszystko pieknie, > tylko na całą transakcję offline od inicjacji do jej zamkniecia jestczas do > maks sekundy (standardowo zamyka sie w 400 ms), w tym czasie musisz > pzrekazac informacje w obie strony (czytnik goscia w autobusie musi miec > rowniez mozliwosc transamisji w strone do karty), karta ne moze stracic > łączności z czytnikiem w czasie trwania transakcji (np właściciel > oryginalnej karty zepnie poślady i wszystko od początku). słyszałem o bardziej beznadziejnych sprawach z punktu widzenia klientów, gdzie mimo wszystko dostawali z powrotem ukradzione pieniądze : "listonosze" którzy działali dokładnie w terenie klienta - kupowali nawet w tych samych sklepach zeby utwierdzic bank w przekonaniu ze to klient; insider z pewnej firmy od bankomatów który teoretycznie nie miał prawa wpaśc a wpadł póltora roku temu na koszeniu bankomatów (konkretnie podczas czyszczenia jednego z nich z gotówki) itp druga sprawa - klient klientem, ale kazdy akłajer prowadzi monitoring merchantow, tutaj tez wiele fajnych spraw wychodzi >> Podaj zrodlo danych o braku wiekszej ilosci fraudow. > to było pytanie retoryczne :) niewielkie > kwoty, nie widze powodu zeby akurat tego typu transakcje mialyim "umykac"
są tez ludzie którzy nie wiedzą jak im pieniądze z portfela wychodzą :) ta sama zasada, albo się pilnuje swoich interesów (nieważne gotówka czy konto/karta) albo się budzi jak jest już pozamiatane. nie wydaje mi sie by w interesie banku było nieuznawanie klianta, -- |
|
Data: 2009-06-16 00:21:20 | |
Autor: Krzysztof Halasa | |
zbli?eniówki PayPass MC i Maestro - obserwacje | |
"Seba" <bbastek13@WYTNIJ.gazeta.pl> writes:
ale w warunkach "laboratoryjnych", w rzeczywistych - nie wydaje mie sie mozliwe dogranie calosci w ten sposob aby doprowadzic do konca transakcje - gdy na kasie jest nabita kwota i czytnik czeka na karte musisz miec juz na widelcu "ofiare", w odpowiednim momencie odebrac sygnal i nadac odpowiedz (z drugiej strony niezly bajer musi byc ta fakeowa karta/nadajnik która komunikuje sie z terminalem). Tworzysz sztuczne problemy. Co niby jest takie trudne, przejsc sie po tramwaju i ustawic sie tam, gdzie w "zasiegu" jest jakas karta? Naprawde prosciej ukrasc taka karte i isc na zakupy offline. Powaznie, latwiej ukrasc komus karte niz po prostu podejsc niedaleko jego? Watpie. Zapominasz tez o tym, ze taka karta zapewne niedlugo zostanie zastrzezona (= po chwili transakcja wymagajaca autoryzacji zablokuje karte), wiec nalezaloby tych kart krasc nie wiadomo ile. To juz zdecydowanie latwiej z kartami magnetycznymi, te przynajmniej nie chca PINu (w duzej czesci) przy wiekszych zakupach. Podobnie jest z chipem, niby mozna sklonowac, niby mozna zlamac mocne nawet kodowanie ale na to potrzeba czasu, którego przy transakcji nie ma - drobny timeout i idzie reversal Nie. Owszem, mozna chipa sklonowac, ale to wymaga jego zlamania. Nie chodzi nawet tylko o czas, tylko o wykorzystanie jakiejs slabosci. W tym przypadku prawdopodobienstwo sukcesu jest prawie stuprocentowe, a brak sukcesu nie jest przeciez zadnym problemem. słyszałem o bardziej beznadziejnych sprawach z punktu widzenia klientów, gdzie mimo wszystko dostawali z powrotem ukradzione pieniądze To nie zmienia faktu, ze taki atak jest prosty i bezpieczny. druga sprawa - klient klientem, ale kazdy akłajer prowadzi monitoring merchantow, tutaj tez wiele fajnych spraw wychodzi Niestety tu sprzedawca nie ma z tym zwiazku. są tez ludzie którzy nie wiedzą jak im pieniądze z portfela wychodzą :) ta sama zasada, albo się pilnuje swoich interesów (nieważne gotówka czy konto/karta) albo się budzi jak jest już pozamiatane. nie wydaje mi sie by w interesie banku było nieuznawanie klianta, Chyba zartujesz? Jesli bank uznaje taki fraud (tak naprawde bez zadnych podstaw oprocz samego oswiadczenia klienta) musi za niego zaplacic. Nawet nie tylko w Polsce, ale w ogole nigdzie banki tego nie robia jesli nie musza. To nie sa transakcje w sieci przy ktorych mozna zrobic chargeback "bo tak" i placi sprzedawca. Tu placi bank (a wlasciwie klient), bo transakcja zostala przeprowadzona jego oryginalna karta. -- Krzysztof Halasa |
|
Data: 2009-06-11 14:09:40 | |
Autor: Krzysztof Halasa | |
zbli?eniówki PayPass MC i Maestro - obserwacje | |
"Seba" <bbastek13@WYTNIJ.gazeta.pl> writes:
jesli twoje psikusy polegają na generowaniu dynamicznego cvc3/cvv3 lub rozkodowywaniu kryptogramu (mając oczywiscie dostep do kluczy organizacji/centrow rozliczeniowych/bankow) to mozesz sie w ten sposob bawic. Bez sensu, wektor ataku na takie karty jest (jak juz napisalem) zupelnie inny i w praktyce niezbyt trudny do zrealizowania. Gdyby zamiast 50 zl mozna bylo taka karta wydac np. 5 kzl (bez PINu), to podejrzewam ze juz bysmy mieli takie ataki. Inna sprawa, biorac pod uwage liczbe ludzi uzywajacych kart zblizeniowych (niekonieczenie w Polsce), pewnie takie ataki juz sa dokonywane, tylko skad mielibysmy sie o nich (konkretnie) dowiedziec. -- Krzysztof Halasa |
|
Data: 2009-06-11 15:13:43 | |
Autor: Seba | |
zbli?eniówki PayPass MC i Maestro - obserwacje | |
Krzysztof Halasa <khc@pm.waw.pl> napisał(a):
Bez sensu, wektor ataku na takie karty jest (jak juz napisalem) zupelnie w stanach karty te uzywane są od 2003 roku i nie wpłynęlo to na statystyki fraudowe - zlodziejom nie oplaca sie tym zajmowac to raz, dwa ze nie jest to proste - tak jak pisalem konieczny jest udzial merchanta do dokonania frauda (pomijając oczywiste przypadki lost/stolen), a jak merchant ma juz jechac z fraudami to nie idzie w drobnice typu paypass/paywave tylko konkretnie. -- |
|
Data: 2009-06-11 17:20:41 | |
Autor: Krzysztof Halasa | |
zbli?eniówki PayPass MC i Maestro - obserwacje | |
"Seba" <bbastek13@WYTNIJ.gazeta.pl> writes:
w stanach karty te uzywane są od 2003 roku i nie wpłynęlo to na statystyki fraudowe - zlodziejom nie oplaca sie tym zajmowac to raz, dwa ze nie jest to proste - tak jak pisalem konieczny jest udzial merchanta do dokonania Falsz, udzial sprzedawcy ani nie jest potrzebny, ani nawet nie jest przydatny. Zakladasz uzycie blednego wektora ataku, dlatego wszystkie wnioski sa bledne. Nie jest trywialnie proste - owszem. Kiedys skopiowanie karty magnetycznej albo np. postawienie falszywego BTSa itd. GSM tez nie bylo proste. -- Krzysztof Halasa |
|
Data: 2009-06-11 15:25:05 | |
Autor: Seba | |
zbli?eniówki PayPass MC i Maestro - obserwacje | |
Krzysztof Halasa <khc@pm.waw.pl> napisał(a):
"Seba" <bbastek13@WYTNIJ.gazeta.pl> writes:statystyki > fraudowe - zlodziejom nie oplaca sie tym zajmowac to raz, dwa ze niejest to > proste - tak jak pisalem konieczny jest udzial merchanta do dokonania napisałem że poza lost/stolen - co wyciąłeś z cytatu - nie ma możliwości frauda bez udziału merchanta - trzeba miec dostep do kluczy i certyfikowanego terminala. a sprzedawca jest przydatny zeby wydal ci towar w sklepie. innej korzysci z tego nie bedziesz miec -- |
|
Data: 2009-06-11 20:01:00 | |
Autor: Krzysztof Halasa | |
zbli?eniówki PayPass MC i Maestro - obserwacje | |
"Seba" <bbastek13@WYTNIJ.gazeta.pl> writes:
napisałem że poza lost/stolen - co wyciąłeś z cytatu - nie ma możliwości frauda bez udziału merchanta - trzeba miec dostep do kluczy i certyfikowanego terminala. a sprzedawca jest przydatny zeby wydal ci towar w sklepie. innej korzysci z tego nie bedziesz miec Falsz. -- Krzysztof Halasa |
|
Data: 2009-06-15 20:54:55 | |
Autor: Tomek Głowacki | |
zbli?eniówki PayPass MC i Maestro - obserwacje | |
Krzysztof Halasa pisze:
"Seba" <bbastek13@WYTNIJ.gazeta.pl> writes: Dokładnie. Metoda jest dość prosta. Kto przyjmuje płatności tymi PayPassami? A no czasami za przeproszeniem "stragany" z bigosem. Nie sądzę, aby mając dostęp do terminala swobodny i zdolnego nazwijmy to - "szwagra" odpowiednio tenże terminal przystosować (większa czułość? tak żeby zasuwał dookólnie powiedzmy w promieniu 20-30 metrów, zmiany w sofcie na poziomie firmware poprawiające "szybkość" łapania transakcji). Chodzi o to, że terminale aktualnie są potencjalnym narzędziem do fraudu - znacznie łatwiejszym do wykonania (na pierwszy rzut oka!) niż karty które są w użyciu. Przy kwotach rzędu np. 10 zł x setki osób przechodzących obok przerobionego terminalu już są znaczne. Oczywiście, jedząc łyżeczką potencjalnie nieuczciwy merchant może swobodnie przez długi czas zagarniać więcej niż powinien, dalej mając w papierach względnie czysto (przecież nie rozliczy ile bigosów czy kiełbas sprzedał co do sztuki, albo wręcz stworzy usługi "płatne" i tak potwierdzi ilość, nie musi mieć tego na magazynie). Mówimy o potencjalnej możliwości. Równie dobrze, system może być skonstruowany od strony prawnej/technicznej tak, że nie jest to możliwe albo obarczone zbyt dużym ryzykiem (np. jakieś przedziały czasowe, ilościowe na sprzedaż, potem pewna forma raportowania użycia terminala, prowizje od pewnego progu itp. itd.... tak teoretyzuję). Choć z drugiej strony, dowolność cen na wcześniej wspomniancyh festivalach to pewna forma zupełnie zalegalizowanego fraudu (7 zł za 0.4l piwa, i to jeszcze lanego w 0.5l kubek - na moje pytanie, dlaczego akurat wg. nalewającego 0.4 kończy się w tym miejscu a nie przy samym dnie dla odmiany zapadła konsternacja... ale to NTG ;) przedziałki 0.4 na kubku oczywiście niet ). Więc - ja byłbym na razie z tymi, szczególnie MC zbliżeniowymi ostrożny. Pozdr, Tomek |
|
Data: 2009-06-15 21:48:38 | |
Autor: Krzysztof Halasa | |
zbli?eniówki PayPass MC i Maestro - obserwacje | |
Tomek Głowacki <t_gl_towytnij@totezwytnij-o2.pl.zx> writes:
Dokładnie. Metoda jest dość prosta. Kto przyjmuje płatności tymi To byloby raczej trudne, moze jakies kombinacje z antena kierunkowa, ale to nie jest trywialne. Realne (wzglednie proste) jest "lapanie" z kilkudziesieciu centymetrow. Oczywiście, Nieuczciwy sprzedawca to maly problem. Problemem sa fraudy z uczciwym sprzedawca i nieuczciwym klientem, "uzywajacym" zdalnie czyjejs karty. -- Krzysztof Halasa |
|
Data: 2009-06-10 14:55:32 | |
Autor: MK | |
zbliÂżeniĂłwki PayPass MC i Ma estro - obserwacje | |
"Tomek GĹowacki" <t_gl_nospam_wyalto@wytnijto_o2.pl> wrote in message news:1244637541.592639bongos2.pseinfo.pl...
Hehe... i chcialbys to telepatycznie przekazywac karcie? ;)
PIN mozna zmienic w bankomacie. Przynajmniej kiedys tak bylo dla Maestro. Odz wykupu lepiej skorzystac z wyplaty z bankmatu bo prowizja nizsza. No, ale jak sie nie ma PINu... Co do faktu zakupu przez samo zlibĹźenie, aĹź prosi siÄ o masowy fraud w tĹumie odpowiednio przerobionym odbiornikiem.... szybka kasa... Ciekawe czemu jeszcze nie ma masowych fraudow... MK |
|
Data: 2009-06-10 06:45:26 | |
Autor: kl1 | |
zbliżeniówki PayPass MC i Maestro - obserwacje | |
On 10 Cze, 14:55, "MK" <ma...@interia.pl> wrote:
Ciekawe czemu jeszcze nie ma masowych fraudow... Może ludzie są już uczciwi:) Pewnym ograniczeniem może być odległość - do czytnika trzeba kartę przyłożyć dosyć blisko. Nie sądzę jednak, że jest to problem którego nie uda się obejść.. |
|
Data: 2009-06-10 21:22:00 | |
Autor: Grzexs | |
zbliÂżeniĂłwki PayPass MC i Maestro - obserwacje | |
Ciekawe czemu jeszcze nie ma masowych fraudow... A czemu nie da siÄ tak z normalnÄ kartÄ z chipem? To znaczy nie zbliĹźeniowo, ale poprzez wĹoĹźenie na chwilÄ w szczelinÄ czytnika, ale tak samo bez autoryzacji. Czy jest jakaĹ trudnoĹÄ w wepchniÄciu takiego trybu maĹych pĹatnoĹci do zwykĹej debetĂłwki czy kredytĂłwki z chipem? I odpadĹby problem nieautoryzowanego zdalnego fraudu. -- Grzexs |
|
Data: 2009-06-11 02:34:53 | |
Autor: Krzysiek | |
zbliżeniówki PayPass MC i Maestro - obserwacje | |
On 10 Cze, 21:22, Grzexs <grzexs@usu_n_to.gazeta.pl> wrote:
A czemu nie da się tak z normalną kartą z chipem? To znaczy nie IMHO jedyny problem to podejście "taka formę płatności zarezerwujemy dla nowej technologii" żeby czymś się wyróżniała. Taki sposób wspierania nowej techniki, w końcu czasem funkcjonują płatnosci bez- pinu przy kartach stykowych ale jest to bardzo rzadkie. |
|
Data: 2009-06-10 23:38:36 | |
Autor: RafaĹ BĹachnio | |
zbliÂżeniĂłwki PayPass MC i Maestro - obserwacje | |
W dniu 2009-06-10 15:45, kl1@o2.pl pisze:
Pewnym ograniczeniem moĹźe byÄ odlegĹoĹÄ - do czytnika trzeba kartÄ W Japonii osaifu keitai funkcjonujÄ juĹź kupÄ czasu i jakoĹ nie sĹychaÄ o jakichĹ masowych fraudach. -- Raf |
|
Data: 2009-06-11 02:37:25 | |
Autor: Krzysiek | |
zbliżeniówki PayPass MC i Maestro - obserwacje | |
On 10 Cze, 23:38, Rafał Błachnio <raf...@adres.invalid> wrote:
W Japonii osaifu keitai funkcjonuję już kupę czasu i jakoś nie słychać oMasowy fraud jest zawsze łatwiejszy do wyśledzenia i zlokalizowania sprawcy - dlatego większym problemem mogą być różne mini-fraudy np. na nielubianym koledze, albo "tym paskudnym kliencie". Taka pojedyńcza osoba może miec sporo trudnosci udowodnienia, że jedna z wielu transakcji na 2-5zł to jest fraud. |
|
Data: 2009-06-11 14:04:02 | |
Autor: Krzysztof Halasa | |
zbliÂżeniĂłwki PayPass MC i Maestro - obserwacje | |
kl1@o2.pl writes:
Pewnym ograniczeniem może być odległość - do czytnika trzeba kartę W tloku w autobusie itp? Bez problemu. Problem z kartami magnetycznymi tez byl znany duzo wczesniej niz zaczal byc na wieksza skale eksploatowany. Tutaj trzeba troche kombinacji - trzeba zrobic jakis (bezprzewodowy zapewne) most miedzy "czytnikiem" w autobusie a "klientem", ktory wlasnie w prawdziwym sklepie placi za towar. Natomiast przyznaje ze nie rozumiem dlaczego karta zblizeniowa mialaby byc lepsza pod jakims wzgledem od karty procesorowej. No nie wiem, higiena? :-) -- Krzysztof Halasa |
|
Data: 2009-06-11 08:06:22 | |
Autor: Krzysiek | |
zbliżeniówki PayPass MC i Maestro - obserwacje | |
On 11 Cze, 14:04, Krzysztof Halasa <k...@pm.waw.pl> wrote:
Natomiast przyznaje ze nie rozumiem dlaczego karta zblizeniowa mialabyStyki się nie "powycierają" więc można wydac na dłużej?:) |
|
Data: 2009-06-10 06:26:43 | |
Autor: krzysztofsf@wp.pl | |
zbliżeniówki PayPass MC i Maestro - obserwacje | |
On 10 Cze, 14:01, "MK" <ma...@interia.pl> wrote:
<krzyszto...@wp.pl> wrote in message Oczywiscie, ze za duzo. Zblizeniowe sa przeznaczone (tak sei je reklamuje) do zaplacenia z papierosy, bilet, gazete, kawe. To niech obsluguja platnosci na taka wysokosc. Niech ci sei zapodzieje kredytowka z taka opcja i ktos przez tydzien bedzie ci robil po 4 nie wymagajace autoryzacji platnosc na 200 zl w sumie.codziennie. Uwazam, ze 1% przecietnego wynagrodzenia netto to nie jest wymysl przy ustawianiu limitu transakcyjnego. Zreszta, jestem za przedstawiana kilka razy argumentacja, ze wystarczylyby zwykle karty chipowe umozliwiajace transakcje bez autoryzacji, ktore klient sam wklada w terminal, aby byla identyczna szybkosc transakcji, tak przy okazji. |
|
Data: 2009-06-10 15:42:35 | |
Autor: MK | |
zbliżeniówki PayPass MC i Maestro - obserwacje | |
<krzysztofsf@wp.pl> wrote in message news:c071b2da-4f38-46d0-8096-a09f54348458z14g2000yqa.googlegroups.com...
A niby skad bedzie znal PIN? Po przekroczeniu 50 pln (w sumie) lub 4 kolejnych transakcji bez autoryzacji nastepna jest online przy uzyciu PINu. Podejrzewam, ze te obawy sa spowodowane nieznajomoscia dzialania takiej karty. MK |
|
Data: 2009-06-10 07:09:50 | |
Autor: krzysztofsf@wp.pl | |
zbliżeniówki PayPass MC i Maestro - obserwacje | |
On 10 Cze, 15:42, "MK" <ma...@interia.pl> wrote:
<krzyszto...@wp.pl> wrote in message To jest gorna wartosc pojedynczej transakcji lub 4 Kazda o wartosci do 50 zl. Mozna w Zabce poprosic o cztery kupki po 40- pare zl kazda i kasowac osobno. i nastepna jest online przy uzyciu PINu. Pytanie, do kiedy jest trzymana ta informacja na chipie karty - bezterminowo i za tydzien pierwsza transakcja zacznie sie od poproszenia o PIN ? Podejrzewam, ze te obawy sa spowodowane nieznajomoscia dzialania takiej Dzwonilem na infolinie bzwbk z rok temu, jak wprowadzili. |
|
Data: 2009-06-10 17:07:08 | |
Autor: Tomek GĹowacki | |
zbliÂżeniĂłwki PayPass MC i Maestro - obserwacje | |
krzysztofsf@wp.pl pisze:
lub 4 RozwiejÄ wÄ tpliwoĹci, sprawdzone w praktyce - nie prosi o autoryzacjÄ pinem po 4 transakcji. KaĹźÄ powyĹźej 50 - tak. WiÄc oczywiĹcie - moĹźna pykaÄ i po 5 zĹ dowolnÄ iloĹÄ razy to wyczerpania ĹrodkĂłw. Pozdr, Tomek |
|
Data: 2009-06-10 17:10:42 | |
Autor: MK | |
zbliÂżeniĂłwki PayPass MC i Ma estro - obserwacje | |
"Tomek GĹowacki" <t_gl_towytnij@totezwytnij-o2.pl.zx> wrote in message news:h0oi6r$7b3$1portraits.wsisiz.edu.pl...
A czy przypadkiem te "srodki" to nie 50 PLN? MK |
|
Data: 2009-06-10 21:33:53 | |
Autor: Tomek GĹowacki | |
zbliÂżeniĂłwki PayPass MC i Maestro - obserwacje | |
MK pisze:
"Tomek GĹowacki" <t_gl_towytnij@totezwytnij-o2.pl.zx> wrote in message Nie, moĹźna mieÄ np. 250 zĹ i kupowaÄ za to ciÄ gle po 3 piwa i nie autoryzuje pinem. Mniej wiÄcej takie transakcje siÄ odbywajÄ na rzeczonych festiwalach. Pozdr, Tomek |
|
Data: 2009-06-10 21:46:00 | |
Autor: Tomek GĹowacki | |
zbliÂżeniĂłwki PayPass MC i Maestro - obserwacje | |
Tomek GĹowacki pisze:
Poprawka - uwzglÄdniajÄ c limit dzienny transakcji, te 250 zĹ rzuciĹem tak z kosmosu (bo limit dzienny to zdaje siÄ albo te 250 albo 200 - zerknÄ w papier). Pozdr, Tomek |
|
Data: 2009-06-10 17:08:57 | |
Autor: MK | |
zbliżeniówki PayPass MC i Maestro - obserwacje | |
<krzysztofsf@wp.pl> wrote in message news:4196b4ca-1c22-461c-93a1-61b507a5ee91h28g2000yqd.googlegroups.com...
Tak, o ile ta pojedyncza nastepuje bezposrednio po transakcji online. Sprobuj dokonac 3 transakcji offline po 20 pln :).
Probowales?
Tam jest po prostu licznik, po przekroczeniu wartosci krytycznej transakcja nie przechodzi. MK |
|
Data: 2009-06-10 21:41:56 | |
Autor: krzysztofsf | |
zbliżeniówki PayPass MC i Maestro - obserwacje | |
MK pisze:
<krzysztofsf@wp.pl> wrote in message news:4196b4ca-1c22-461c-93a1-61b507a5ee91h28g2000yqd.googlegroups.com... Czy mowisz z praktyki czy teoretyzujesz? Zawsze trzecia transakcja powodujaca w sumie przekroczenie 50 zl od odtatniego podania pin wymusza zadanie PIN? Jaka karta miales takie zachowania? Banki podaja jedynie wartosc pojedynczej transakcji. http://www.zblizeniowa.pl/pages/index.php Infolinia BZWBK po wprowadzeniu swoich kart podawala, ze limit dzienny 200 zl na bezstykowe do momentu zadania pin a pojedyncza do 50 zl. Nie spytalem o to, czy nastepnego dnia licznik rusza od nowa, jesli nie bylo 200 zl na bezstykowe.
Czyli bezterminowo trzyma ta informacje? Probowales? Nastepnego dnia czy po kilku dniach nieuzywania karty licznik wymusza podanie PIN jako pierwszej transakcji? |
|
Data: 2009-06-10 23:37:49 | |
Autor: MK | |
zbliżeniówki PayPass MC i Maestro - obserwacje | |
"krzysztofsf" <krzysztofsf@wp.pl> wrote in message news:h0p2af$8n$1news.wp.pl...
Takie byly zalozenia i tak to powinno dzialac... Zawsze trzecia transakcja powodujaca w sumie przekroczenie 50 zl od odtatniego podania pin wymusza zadanie PIN? Jaka karta miales takie zachowania? Uzywalem testowo tylko Maestro, a tam wszystkie transakcje byly autoryzowane online. Jak bede sie rozstawal z ktoras z kolejnych karta to sobie wyrobie MC zeby potestowac.
Przeciez zaladowana na mikroprocesor kasa znika w 'konta'. Zauwazyles zeby zniknalo wiecej niz 50 pln?
Tak to modelowo powinno dzialac. MK |
|
Data: 2009-06-11 01:27:23 | |
Autor: krzysztofsf | |
zbliżeniówki PayPass MC i Maestro - obserwacje | |
MK pisze:
Tomek w tym samym watku opisal, jak dziala to w praktyce. Wykonywal do limitu dziennego transakcje bez koniecznosci podawania pin Piszesz, ze wszystkie transakcje miales autoryzowane online - oznacza to, ze wszsytkie musiales autoryzowac pinem? |
|
Data: 2009-06-11 08:24:09 | |
Autor: MK | |
zbliżeniówki PayPass MC i Maestro - obserwacje | |
"krzysztofsf" <krzysztofsf@wp.pl> wrote in message news:h0pfh6$838$1news.wp.pl...
Pisal, nie wiemy tylko ile jest 'zdejmowane' z konta i kiedy, przed czy po dokonaniu transakcji. Piszesz, ze wszystkie transakcje miales autoryzowane online - oznacza to, ze wszsytkie musiales autoryzowac pinem? PIN to tylko weryfikacja :). Transakcje nie byly weryfikowane. Bank dawal autoryzacje i blokowal okreslona kwote, jak w przypadku tradycyjnych kart. MK |
|
Data: 2009-06-11 09:38:24 | |
Autor: krzysztofsf | |
zbliżeniówki PayPass MC i Maestro - obserwacje | |
MK pisze:
"krzysztofsf" <krzysztofsf@wp.pl> wrote in message news:h0pfh6$838$1news.wp.pl... Sadzisz, ze bank dal mu magiczna karte, ktora mozna wykonywac codziennie kilkanascie transakcji bez zdejmowania pieniedzy z konta,byle lacznie nie przekroczyly 200 zl?
Po czym poznawales, ze transakcja byla online, skoro nie podawales pinu? Po czasie transakcji? Nie moze byc tak, ze przy ktorejs transakcji online, wszystkie poprzednie offline przekazywane razem z nia, sa zakladane z osobnymi blokadami, a nie z jedna zbiorcza blokada? Jak dotad nie dales zadnych kontrargumentow z praktyki, ignorujac jednoczesnie wypowiedzi osoby, majacej osobiste doswiadczenia z wieloma transakcjami nie wymagajacymi pinu. Dalej uwazam, ze 50 zl to za duzo i karta jest zbyt ryzykowna bez mozliwosci wlasnego zmniejszania narzuconych limitow, |
|
Data: 2009-06-11 14:21:55 | |
Autor: Krzysztof Halasa | |
zbliżeniówki PayPass MC i Maestro - obserwacje | |
krzysztofsf <krzysztofsf@wp.pl> writes:
Po czym poznawales, ze transakcja byla online, skoro nie podawales pinu? Teoretycznie te karty mialy dzialac tak, zeby do kwoty jakiejstam (np. 50 zl albo $50) nigdy nie podawac PINu. Natomiast po przekroczeniu jakiegos tam limitu (niekoniecznie dziennego, raczej takiego "bezterminowego") mialaby nastepowac autoryzacja (co nie ma jednak zadnego zwiazku z PINem) i po sukcesie limit bylby przywracany. W skrocie, pod jedynym tylko warunkiem - ze pojedyncze zakupy beda na kwote nizsza niz "50 zl" - mozna byloby taka karta wydac dowolna kwote (majaca pokrycie na koncie) w dowolnym czasie bez pytania o PIN. Z tym ze kazde pytanie o PIN blokowaloby bezpinowe transakcje do momentu podania wlasciwego PINu (offline), wiec jedna wpadka (np. terminal z mniejszym limitem bezpinowym) i karta staje sie dla zlodzieja bezuzyteczna. Takze - zastrzezenie (blokada) karty i zlodziej traci karte przy pierwszej online autoryzacji (czyli nie moze nia wydac wiecej niz XXX od momentu blokady, nawet jesli zna PIN). -- Krzysztof Halasa |
|
Data: 2009-06-11 15:22:25 | |
Autor: Seba | |
zbliżeniówki PayPass MC i Maestro - obserwacje | |
Krzysztof Halasa <khc@pm.waw.pl> napisał(a):
krzysztofsf <krzysztofsf@wp.pl> writes: mylisz pojecia, to ze transakcja ma byc bez pinu nie oznacza, ze musi byc offline - moze byc polaczenie (przy przekroczeniu licznika ilosciowego/kwotowego dl apaypass) wlasnie po to, zeby sprawdzic czy sa srodki na rachunku i czy karta nie jest zastrzezona -- |
|
Data: 2009-06-11 17:55:52 | |
Autor: krzysztofsf | |
zbliżeniówki PayPass MC i Maestro - obserwacje | |
Seba pisze:
Krzysztof Halasa <khc@pm.waw.pl> napisał(a): Potwierdzasz Krzysztofie moje satrzezenia. Bylem i jestem niechetny takim kartom, zwlaszcza w opcji polaczenia z karta debetowa czy kredytowa. mylisz pojecia, to ze transakcja ma byc bez pinu nie oznacza, ze musi byc offline - moze byc polaczenie (przy przekroczeniu licznika ilosciowego/kwotowego dl apaypass) wlasnie po to, zeby sprawdzic czy sa srodki na rachunku i czy karta nie jest zastrzezona A Ty z kolei piszesz o czyms niezwiazanym z pytaniem - pytalem sie, po czym MK poznal, ze transakcje byly online. |
|
Data: 2009-06-11 20:05:51 | |
Autor: Krzysztof Halasa | |
zbliżeniówki PayPass MC i Maestro - obserwacje | |
krzysztofsf <krzysztofsf@wp.pl> writes:
Potwierdzasz Krzysztofie moje satrzezenia. Bylem i jestem niechetny Tzn. jak rozumiem w odroznieniu od karty "podarunkowej". Cos w tym jest. Tak w ogole te zalozenia nie roznia sie specjalnie dla normalnych (stykowych) kart procesorowych - chociaz implementacja moze byc inna. Oczywiscie karty "stykowe" maja ta przewage, ze nie wystarczy zblizyc do nich czytnika, trzeba karte w nim umiescic. -- Krzysztof Halasa |
|
Data: 2009-06-11 20:29:44 | |
Autor: krzysztofsf | |
zbliżeniówki PayPass MC i Maestro - obserwacje | |
Krzysztof Halasa pisze:
krzysztofsf <krzysztofsf@wp.pl> writes: Zastanawialem sie kiedys nad ewentualnoscia kart bezstykowych dzialajacych na zasadzie wirtualnej portmonetki (typu ekarta) podpinanych do konta czy karty kredytowej i doladowywanych z tych srodkow poprzez www czy raczej w bankomacie Ale biorac pod uwage regulamin takiej ekarty przy transakcjach nie wymagajacych autoryzacji, gdzie mimo braku srodkow na ekarcie transakcja przechodzi i pozniej pod nia sa pobierane srodki z ekonta, chip musialby sie odswiezac po naladowaniu (stad bankomat)i dopiero wtedy pozwalac na transakcje. Pytanie, czy istnieje mozliwosc oklamania chipa i robienia na to konto zakupow bez pokrycia z rownoczesnym zablokowaniem w nim odswiezania danych onlie? Taka "wieczna karta" na drobne wydatki, ktorej wlasciciel kasowlby dane o transakcjach. Pewno cos by wymyslono. Zreszta taka blokade mozna rowniez zapewne zaprogramowac i w obecnych kartach, zwlaszcza prepaid. Wieczny klucz z Limes Inferior Zajdla :) |
|
Data: 2009-06-11 21:47:56 | |
Autor: Krzysztof Halasa | |
zbliżeniówki PayPass MC i Maestro - obserwacje | |
krzysztofsf <krzysztofsf@wp.pl> writes:
Ale biorac pod uwage regulamin takiej ekarty przy transakcjach nie Ale to sie ma przeciez nijak do samego chipa, mozna karte obciazyc po prostu znajac jej numer (a w kazdym razie bank moze na to pozwalac i np. w przypadku mBankowej ekarty pozwala). Pytanie, czy istnieje mozliwosc Jasne. Tyle ze bank sie zorientuje i zastrzeze karte, a dodatkowo pewnie bedzie kombinowal jak by tu znalezc sprawce. Za mala stawka zeby to w praktyce mialo sens. Taka Przyznaje ze czytalem te ksiazke ze 20 lat temu, wiec niekoniecznie pamietam szczegoly, ale gdyby pieniadze znajdowaly sie na karcie, nie na koncie w banku, to pewnie takie ataki mialyby sens. Alternatywnie gdyby udalo sie zlamac np. uzywany algorytm hashujacy, wtedy moznaby miec takich kart dowolna ilosc, i zastrzeganie ich po kolei przez bank nie byloby takim problemem dla zlodzieja (czy jak go nazwac). -- Krzysztof Halasa |
|
Data: 2009-06-11 20:03:33 | |
Autor: Krzysztof Halasa | |
zbliżeniówki PayPass MC i Maestro - obserwacje | |
"Seba" <bbastek13@WYTNIJ.gazeta.pl> writes:
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^Teoretycznie te karty mialy dzialac tak, zeby do kwoty jakiejstam ^^^^^^^^^^^^^^^^^^^^^^^zadnego zwiazku z PINem) i po sukcesie limit bylby przywracany. mylisz pojecia, Falsz. to ze transakcja ma byc bez pinu nie oznacza, ze musi byc offline Niczego takiego nie sugerowalem. Sam zreszta zacytowales fragment, w ktorym napisalem ze autoryzacja i PIN nie sa ze soba zwiazane. Propozycja: zamiast tylko pisac, zacznij takze czytac. -- Krzysztof Halasa |
|
Data: 2009-06-11 20:51:14 | |
Autor: MK | |
zbliżeniówki PayPass MC i Maestro - obserwacje | |
"krzysztofsf" <krzysztofsf@wp.pl> wrote in message news:h0qc9s$l6d$2news.wp.pl...
W przypadku kart kredytowych obciazenie jest po transakcji, prawdziwe karty prepaid cechuja sie tym, ze kasa zanika konta (rachuku bankowego, o ile taki jest do karty) i zostaje zaladowana na nosnik.
Po kodzie autoryzacji i po tym, ze transakcja byla widoczna w zablokowanych i po tym, ze terminal wyswietlal kominikat laczenie... Nie moze byc tak, ze przy ktorejs transakcji online, wszystkie poprzednie offline przekazywane razem z nia, sa zakladane z osobnymi blokadami, a nie z jedna zbiorcza blokada? W przypadku KK takie zachowani byloby dopuszczalne, w przypadku pieniadza elektronicznego jest to zbedne, bo 'rozliczenie' odbywa sie na podstawie danych z teminala. Jak dotad nie dales zadnych kontrargumentow z praktyki, ignorujac jednoczesnie wypowiedzi osoby, majacej osobiste doswiadczenia z wieloma transakcjami nie wymagajacymi pinu. Przeciez napisalem, ze korzystalem z karty prepaid, nie moge sie wiec wypowiadac na temat dzialania KK. Dalej uwazam, ze 50 zl to za duzo i karta jest zbyt ryzykowna bez mozliwosci wlasnego zmniejszania narzuconych limitow, No, i ok. Nie musisz korzystac z takiej karty. MK |
|
Data: 2009-06-13 22:50:55 | |
Autor: Krzysztof 'kw1618' z Warszawy | |
zbliżeniówki PayPass MC i Maestro - obserwacje | |
A jak to jest od strony sprzedawcy z prowizjami ?
Byłem w Żabce, miałem rachunek do zapłacenia 5,10 zł kartka: "płatności kartą powyżej 10zł" więc wyjąłem gotówkę 20zł, sprzedawca nie miał reszty wydać gotówką to powiedziałem, że może jednak kartą, jak zobaczył Paypass powiedział, że OK, przy Paypassach szefowa mówiła mu, że nie ma limitu kwoty... -- Zalaczam pozdrowienia i zyczenia powodzenia Krzysztof 'kw1618' Warszawa - Ursynow grupy.3mam.net 'Kontakt' dla e-poczty Cmentarz Komunalny Południowy Antoninów http://foto.3mam.net/album2/Cmentarz-Poludniowy/index3.php |
|
Data: 2009-06-13 22:53:39 | |
Autor: krzysztofsf | |
zbliżeniówki PayPass MC i Maestro - obserwacje | |
Krzysztof 'kw1618' z Warszawy pisze:
A jak to jest od strony sprzedawcy z prowizjami ? Na "prowincji" gdzi emieszkam, jak sie pytalem w zabce, to poinformowano mnie, ze limit 20 zl na wszelkie formy, bez wzgedu na to, co sobie pisze prasa (bo pisala, ze na bezstykowe zabka zniosla dolne limity). |
|
Data: 2009-06-13 23:26:16 | |
Autor: Valdi.Pavlack | |
zbliżeniówki PayPass MC i Maestro - obserwacje | |
"krzysztofsf" news:h113l6$i2g$6news.wp.pl
Na "prowincji" gdzi emieszkam, jak sie pytalem w zabce, to poinformowano Prasa swoje, życie swoje... ehh jakie to przykre. PS. Próbowałeś jakoś dyskutować ze sprzedawcą? |
|
Data: 2009-06-14 18:41:02 | |
Autor: krzysztofsf | |
zbliżeniówki PayPass MC i Maestro - obserwacje | |
Valdi.Pavlack pisze:
"krzysztofsf" news:h113l6$i2g$6news.wp.pl Nie mam zblizeniowki, tyle, ze sie zainteresowalem i zapytalem widzac terminal. |
|
Data: 2009-06-14 02:15:04 | |
Autor: Krzysiek | |
zbliżeniówki PayPass MC i Maestro - obserwacje | |
On 13 Cze, 22:50, Krzysztof 'kw1618' z Warszawy
<adres...@mojej.www.pl> wrote: Byłem w Żabce, miałem rachunek do zapłacenia 5,10 zł kartka: "płatności Oczywiście ten brak limitu wynika z polityki organizacji płatniczych, uzasadnienia nie ma żeby przy stykowych-chipowych przy autoryzacji off- line, nawet mimo kilku sekund więcej na podanie PINu (choc i z tego mozna zrezygnować) opłaty za transakcję były takie same. Ot. sztuczne wspomaganie nowej. |