Mon, 26 Sep 2016 09:05:09 -0700 (PDT), w
<1...@g...c
om>, Dawid Rutkowski
<d...@w...pl> napisał(-a):

> Hmmm, w sumie można POS ustawić tak, żeby o PIN nie pytał - vide afera z
biletomatami we Wrocławiu - także może i teoretycznie jest taka możliwość, że jak
jest problem z autoryzacją on-line, to terminal pozwala na off-line i to nawet bez
PINu - choć zapewne jest to błąd w konfiguracji.
> Ale możliwości konfiguracji jest tak wiele... Np. żonie raz nie poszła z chipa KK
db w ikea - pani w kasie na to, żeby się nie przejmować, przeciągnęła z paska - i
poszło. Zaintrygowany próbowałem płacić w różnych miejscach z paska, ale zawsze
kazało włożyć kartę do czytnika chip - mimo to jednak jest opcja płatności z paska
pod pewnymi warunkami.

A widzisz -- mnie też nie udawało się (zawsze kazano włożyć chipa). Ale raz
terminal wyrzucił "wyjmij kartę i przeciągnij" (w jakimś hipermarkecie tak się
stało) i dopiero wtedy płatność przeszła.

do góry

Dawid Rutkowski <d...@w...pl> writes:

> Czy online, czy offline, jeśli karta trafiła do czytnika stykowego, to
> PIN PRAWIDŁOWY podać trzeba - po to do karty wgrywany jest
> PIN-offline.

Nie do każdej, i nie każdy czytnik sobie z tym radzi.

> mimo, że złodziej prawidłowego
> PINu nie zna - oczywiście w kasie taki atak nie przejdzie, bo wymaga
> dodatkowego sprzętu, ale w bankomatach ze skradzionych kart już sporo
> wypłacono.
> Jedynie zastanawia mnie w tym to, że bankomat nie sprawdza podanego
> PIN z bankiem - czyżby korzystały z PINu offline ?
> I może teraz przełączyli wszystkie bankomaty na PIN online, co
> uniemożliwiło wykorzystanie tej dziury ?

A były w ogóle bankomaty (całkiem) off-line?
Ze skradzionych (albo raczej sfabrykowanych) kart, to raczej wypłacano
na skradzione PINy. W bankomatach bez czytników EMV.

> Pytałem w obu bankach, w których mam wypukłe kredytówki (tych dwóch
> innych, które wydały mi wypukłe debetówki, już pytać siły nie miałem),
> czy w razie awarii terminala można z tej wypukłości (i hologramu jako
> zabezpieczenia oryginalności karty) skorzystać - nic z tego, banki nie
> potrafiły podać powodu, dla którego w ogóle wydają wypukłe karty, zaś
> forma akceptacji zależy wyłącznie od akceptanta - a ci w PL chcą już
> tylko elektronicznie, jak nie działa to jest problem klienta.

Pytanie "pani w okienku" bankowym o takie rzeczy nie ma najmniejszego
sensu.
Oczywiście, to zależy od sklepu - bo to on ryzykuje. Nic nie stoi na
przeszkodzie, by sklep jakoś "odbił" kartę i rozliczył transakcję
w sposób tradycyjny. Kwestia także wysokości prowizji.

Jeśli nie działa terminal, to jest to głównie jednak problem sprzedawcy,
w zwykłym sklepie klient po prostu zostawi wózek z zakupami i pójdzie
sobie (też spora strata), a na stacji benzynowej, jak myślisz, co
zaproponuje? Trzeba go prosić, by zapłacił przelewem czy czymś tam innym.
Inna sprawa, gdy to tylko jego karta nie działa (a nie terminal).
--
Krzysztof Hałasa

do góry

"J.F." <j...@p...onet.pl> writes:

> Ciekawe - a przeciez tych akceptantow w Polsce nie ma tak wielu, i
> terminale u kontrahentow powinni oni konfigurowac ...

Terminal zasadniczo powinien być skonfigurowany tak, jak życzy sobie
tego sprzedawca (w sensie np. właściciela sklepu). Np. może to być
jednoosobowy biznes o małym ryzyku, a właściciel chce akceptować
wszystko, co się da, np. także wpisywanie numeru karty bez autoryzacji
banku.

> Z tym, ze sztuka polegala na tym, aby karty nie krasc.
> Dane z paska sie zczyta, PIN podejrzy kamerka, i zrobi duplikat karty.
> Z czipowej teoretycznie sie duplikatu zrobic nie da, ale czy aby na
> pewno ?

Są znane ataki na pewne rodzaje kart, można zrobić duplikat.
Podobno takich kart jest już jednak nie tak bardzo dużo, teoretycznie
banki mają wydawać je jako tylko-online, tylko debit itp.

> Zapomniales o prenumeracie. Ktos tam uzyl karty, zaplacil, a
> sprzedawca za pol roku pobral kolejna kwote, zgodnie z umowa zreszta.
> Ale pobral - i ciekaw jestem - zapamietal nr karty i CVV, czy do
> obciazenia wcale mu CVV nie jest potrzebny.

Jasne że nie jest.
Natomiast może być przydatny jako obrona przed chargebackiem.
Taka sobie obrona, zresztą.
Inna sprawa, że taką prenumeratę zleca się raz, po co sprzedawca miałby
weryfikować CVV wielokrotnie?
--
Krzysztof Hałasa

do góry

"r...@k...pl" <r...@k...pl> writes:

> Slip się wydrukował -- proszę obciążyć moje konto, podpis niewymagany, kod
> autoryzacji 603283 (1) ( )
> Po jego wydrukowaniu nastąpiła konsternacja obu stron.

To tzw. "problem teoretyczny".
Natomiast w przypadku fraudu, problem może mieć bank (i zapewne jego
klient).
--
Krzysztof Hałasa

do góry