pueblo <n...@n...pl> writes:

> Rozumuję w bardzo prosty sposób - w kontekście startowego posta. Mogę
> płacić kartą w sklepach zbliżeniowo lub tradycyjnie przez terminal w
> sklepie, wypłacać w bankomatach. I tutaj naiwnie zakładam, że nikt
> niepowołany nie będzie mógł wykorzystać jakichkolwiek danych do
> wykonania później transakcji moją kartą.

Niepowołany to może nie. No bo taki np. sprzedawca to jest chyba
powołany, nie?

> Dla mnie to nr, data, CVV, bo jeśli ktoś uzyska te dane, to może bez
> mojej wiedzy wykonać transakcję przez internet. Najbardziej
> niebezpieczne, bo o ile zgubienie karty zauważę dość szybko, to
> nieautoryzowane transakcje przez net mogę zauważyć po tygodniu.

To i tak bardzo szybko.
Rozumiem że chodzi o kod "CVV", który jest nadrukowany na karcie.
Te dane może uzyskać każdy, kto ma kontakt z kartą. Tego kodu akurat nie
wymienia się "elektronicznie" (w czasie zakupów "z obecnością karty"),
ale kamery, pamięć człowieka, ołówek i papier - bez problemu.

>> A jak płacisz w sklepach "stacjonarnych"? W szczególności, w takich,
>> które nie mają czytnika elektronicznego w pinpadzie?
> Sugerujesz, że jakieś dane mojej karty zostają u sprzedawcy? Nie
> rozumiem, co to znaczy "nie mają czytnika w pinpadzie" Podaję kartę
> sprzedwcy, który ją wkłada do terminala, a ja w osobnym urządzeniu
> (pinpadzie) wklepuję pin? Nie przypominam sobie takiej sytuacji.

To dziwne. Używasz karty bardzo sporadycznie, tak?

> No dobra, jakie dane, dla kogo dostępne i gdzie zostawia moja karta po
> płatności w np. Lidlu? Przecież nie CVV. Niech już mają numer karty.
> Czy to wystarczy, żeby ktoś mógł obciążyć moją kartę?

Oczywiście, numer karty i data ważności zostają praktycznie w każdym
sklepie "stacjonarnym" (i w wielu internetowych).

CVV2 (lub CVC2) nie jest używany w transakcjach "z obecnością", więc
(jeśli sprzedawca go nie zapamięta) nie zostaje w sklepie. Ale
transakcje internetowe niekoniecznie wymagają tego kodu, to jest tylko
dodatkowe, opcjonalne zabezpieczenie sprzedawcy. Sklepy, w których
sprzedawca "wklepuje" dane karty do normalnego terminala (tak jakby to
była transakcja "card present, keyed in"), nie mogą nawet użyć tego
kodu.

Tyle że to można reklamować, i sprzedawca będzie "w plecy" (a w każdym
razie powinien być, natomiast w rzeczywistości "w plecy" może być
klient).
--
Krzysztof Hałasa

do góry

Witaj Krzysztof Halasa, 04 maj 2017 w news:m3h910r1ln.fsf@pm.waw.pl
napisałeś/aś:

> pueblo <n...@n...pl> writes:
>
>> Rozumuję w bardzo prosty sposób - w kontekście startowego posta.
>> Mogę płacić kartą w sklepach zbliżeniowo lub tradycyjnie przez
>> terminal w sklepie, wypłacać w bankomatach. I tutaj naiwnie
>> zakładam, że nikt niepowołany nie będzie mógł wykorzystać
>> jakichkolwiek danych do wykonania później transakcji moją kartą.
>
> Niepowołany to może nie. No bo taki np. sprzedawca to jest chyba
> powołany, nie?
>
To zależy...powołany, niepowołany - zależy, co może z tymi danymi złego
zrobić.

>> Dla mnie to nr, data, CVV, bo jeśli ktoś uzyska te dane, to może
>> bez mojej wiedzy wykonać transakcję przez internet. Najbardziej
>> niebezpieczne, bo o ile zgubienie karty zauważę dość szybko, to
>> nieautoryzowane transakcje przez net mogę zauważyć po tygodniu.
>
> To i tak bardzo szybko.
> Rozumiem że chodzi o kod "CVV", który jest nadrukowany na karcie.
> Te dane może uzyskać każdy, kto ma kontakt z kartą. Tego kodu akurat
> nie wymienia się "elektronicznie" (w czasie zakupów "z obecnością
> karty"), ale kamery, pamięć człowieka, ołówek i papier - bez
> problemu.
>
Zdaję sobie z tego sprawę.
>>> A jak płacisz w sklepach "stacjonarnych"? W szczególności, w
>>> takich, które nie mają czytnika elektronicznego w pinpadzie?
>> Sugerujesz, że jakieś dane mojej karty zostają u sprzedawcy? Nie
>> rozumiem, co to znaczy "nie mają czytnika w pinpadzie" Podaję kartę
>> sprzedwcy, który ją wkłada do terminala, a ja w osobnym urządzeniu
>> (pinpadzie) wklepuję pin? Nie przypominam sobie takiej sytuacji.
>
> To dziwne. Używasz karty bardzo sporadycznie, tak?
>
Nie, po prostu wszędzię, gdzie ostatnio coś płaciłem terminal, czytnik
(jak zwał tak zwał) jest podciągnięty na zasięg klienta.
>> No dobra, jakie dane, dla kogo dostępne i gdzie zostawia moja karta
>> po płatności w np. Lidlu? Przecież nie CVV. Niech już mają numer
>> karty. Czy to wystarczy, żeby ktoś mógł obciążyć moją kartę?
>
> Oczywiście, numer karty i data ważności zostają praktycznie w każdym
> sklepie "stacjonarnym" (i w wielu internetowych).
>
No, ok, choć jest to dla mnie dziwne, biorąc pod uwagę np. kontakty z
bankiem w sprawie karty, gdzie nigdy nie musiałem podawać człowiekowi
całego nr karty. Stąd moje przeświadczenie, że cały nr karty to ma być
"wielka tajemnica" he he.


> CVV2 (lub CVC2) nie jest używany w transakcjach "z obecnością", więc
> (jeśli sprzedawca go nie zapamięta) nie zostaje w sklepie. Ale
> transakcje internetowe niekoniecznie wymagają tego kodu, to jest
> tylko dodatkowe, opcjonalne zabezpieczenie sprzedawcy.
No i to jest najistotniejsze dla mnie. Nie miałem do czynienia z
płatnością przez internet bez kodu CVV. Ty piszesz, że jest taka
możliwość. Wystarczy nr i data? Np. gdzie?


> Sklepy, w
> których sprzedawca "wklepuje" dane karty do normalnego terminala
> (tak jakby to była transakcja "card present, keyed in"), nie mogą
> nawet użyć tego kodu.
Sorry, mało światowy jestem, ale nie miałem takiej sytuacji.
W każdym razie z tego, co piszesz wynika, że jest możliwość
wykorzystania danych, jakie karta zostawia podczas transakcji do
wykonania innej transakcji.
Dotąd sądziłem, że są dwie możliwości transakcji:
1. Fizyczna karta+jakiś terminal
2. Dane(nr, data, cvv) w internecie.
Ty dorzuciłeś pkt. 3
Dane niepełne(bez fizycznej obecności karty): nr i data + w internecie
lub jakiś terminal.
Zgadza się?

do góry

W dniu 2017-05-04 o 20:10, pueblo pisze:

> Sorry, mało światowy jestem, ale nie miałem takiej sytuacji.
> W każdym razie z tego, co piszesz wynika, że jest możliwość
> wykorzystania danych, jakie karta zostawia podczas transakcji do
> wykonania innej transakcji.
> Dotąd sądziłem, że są dwie możliwości transakcji:
> 1. Fizyczna karta+jakiś terminal
> 2. Dane(nr, data, cvv) w internecie.
> Ty dorzuciłeś pkt. 3
> Dane niepełne(bez fizycznej obecności karty): nr i data + w internecie
> lub jakiś terminal.
> Zgadza się?

Z każdego hotelu przyślą Ci obciążenie tylko na podstawie nr karty, daty
ważności i nazwiska na karcie. Tzn jak np po Twojej płatności tam
stwierdzą, że coś tam jeszcze musisz dopłacić. W bookingu tez podajesz
tylko te dane (bez CVV)
i bez problemu obciążają kartę np na spóźnione odwołanie rezerwacji.
Zamów sobie jakąś prenumeratę płacąc kartą zgodnie z trybem
jaki podajesz - czyli wszystkie dane i kod CVV a następne
obciążenia sobie przyjdą po kolejnych miesiącach i nie będzie potrezbny CVV
i wiele innych przypadków z preautoryzacją na testowe kwoty sprawdzające
poprawność danych karty a obciążenie na kwoty wg rachunku właściwego.

do góry

Witaj cef, 04 maj 2017 w
news:590b7b4c$0$15193$65785112@news.neostrada.pl napisałeś/aś:

> W dniu 2017-05-04 o 20:10, pueblo pisze:
>
>> Sorry, mało światowy jestem, ale nie miałem takiej sytuacji.
>> W każdym razie z tego, co piszesz wynika, że jest możliwość
>> wykorzystania danych, jakie karta zostawia podczas transakcji do
>> wykonania innej transakcji.
>> Dotąd sądziłem, że są dwie możliwości transakcji:
>> 1. Fizyczna karta+jakiś terminal
>> 2. Dane(nr, data, cvv) w internecie.
>> Ty dorzuciłeś pkt. 3
>> Dane niepełne(bez fizycznej obecności karty): nr i data + w
>> internecie lub jakiś terminal.
>> Zgadza się?
>
> Z każdego hotelu przyślą Ci obciążenie tylko na podstawie nr karty,
> daty ważności i nazwiska na karcie. Tzn jak np po Twojej płatności
> tam stwierdzą, że coś tam jeszcze musisz dopłacić. W bookingu tez
> podajesz tylko te dane (bez CVV)
> i bez problemu obciążają kartę np na spóźnione odwołanie rezerwacji.
Ok, jak pisałem - daleko mi do światowca, nie płaciłem chyba nigdy za
hotel bezpośrednio.
A tak na serio, w przypadkach które podajesz mogą mnie obciążyć tylko
za swoje usługi, że tak powiem. Nie mogą wykorzystać tych danych żeby,
no nie wiem, robić sobie zakupy w sklepie lub w sieci. Zgadza się?
Płacę często w lokalnym kiosku, gdzie siedzi taka jedna kombinatorka.
Czyli co? Czy ona, jak się postara, może zrobić jakiś zakup, choćby w
swoim kiosku na moją kartę? Zakładamy, że nie mogła w żaden sposób
zczytać żadnych danych "wzrokowo" z mojej karty i nie ma żadnego
złodziejsko-hakerskiego sprzętu. Tylko ewentualny standardowy ślad
elektroniczny transakcji.
> Zamów sobie jakąś prenumeratę płacąc kartą zgodnie z trybem
> jaki podajesz - czyli wszystkie dane i kod CVV a następne
> obciążenia sobie przyjdą po kolejnych miesiącach i nie będzie
> potrezbny CVV i wiele innych przypadków z preautoryzacją na testowe
> kwoty sprawdzające poprawność danych karty a obciążenie na kwoty wg
> rachunku właściwego.
>
Tak, rzeczywiście, przerabiałem to - no, ale jak piszesz za pierwszym
razem podawałem CVV.
No to wracając do pkt wyjścia, czyli pierwszego posta - gość podał
sprzedawcy OC cały komplet danych do karty i teraz ten sprzedawca
teoretycznie może użyć ich do dowolnych zakupów np. przez internet, a
jak będzie bardzo sprytny, to nikt mu nic nie udowodni. Dlatego
pisałem, nikomu bym w ten sposób ich nie podał.

do góry

W dniu 2017-05-04 o 22:36, pueblo pisze:

> No to wracając do pkt wyjścia, czyli pierwszego posta - gość podał
> sprzedawcy OC cały komplet danych do karty i teraz ten sprzedawca
> teoretycznie może użyć ich do dowolnych zakupów np. przez internet, a
> jak będzie bardzo sprytny, to nikt mu nic nie udowodni. Dlatego
> pisałem, nikomu bym w ten sposób ich nie podał.

No ja akurat ostatnio tez podałem przez telefon ubezpieczycielowi
pełne dane karty do dokonania płatności.
I jakoś się nie martwię.
Ubezpieczyciel to po pierwsze nie byle kto.
Po drugie zawsze mogę reklamować.
Po trzecie robię wszystkimi kartami pewnie z tysiąc transakcji rocznie
i miałem raptem w ciągu ostatnich 20 lat jakieś dwie sytuacje, które
wymagały interwencji, więc to nie jest jakiś gigantyczny problem.

do góry

Użytkownik "cef" napisał w wiadomości grup
dyskusyjnych:590b9b6a$0$15192$6...@n...neostrad
a.pl...
W dniu 2017-05-04 o 22:36, pueblo pisze:
>> No to wracając do pkt wyjścia, czyli pierwszego posta - gość podał
>> sprzedawcy OC cały komplet danych do karty i teraz ten sprzedawca
>> teoretycznie może użyć ich do dowolnych zakupów np. przez internet,
>> a
>> jak będzie bardzo sprytny, to nikt mu nic nie udowodni. Dlatego
>> pisałem, nikomu bym w ten sposób ich nie podał.

>No ja akurat ostatnio tez podałem przez telefon ubezpieczycielowi
>pełne dane karty do dokonania płatności.

Tak sie po prostu tych kart uzywa, zero zabezpieczen, zero :-)

>I jakoś się nie martwię.

W Polsce zyjemy.

>Ubezpieczyciel to po pierwsze nie byle kto.

Ale zatrudnia byle kogo. A poza tym nie dojdziesz ze to
ubezpieczyciel.
Przy czym ... mnie przelaczaja na jakis automatyczny system, ktory to
zalatwia bez udzialu czlowieka. Podobno.

>Po drugie zawsze mogę reklamować.
>Po trzecie robię wszystkimi kartami pewnie z tysiąc transakcji
>rocznie
>i miałem raptem w ciągu ostatnich 20 lat jakieś dwie sytuacje, które
>wymagały interwencji, więc to nie jest jakiś gigantyczny problem.

No i na tym visa sie opiera.
Co nie znaczy, ze ktos ma byc zadowolony, jak mu 10 tys dlugu na
karcie powstanie.

Albo w druga strone - bedzie chcial zaplacic, a tu d* - karta zostala
automatycznie zablokowana.

J.

do góry

Użytkownik "pueblo" napisał w wiadomości grup
dyskusyjnych:590b90b2$0$659$6...@n...neostrada.
pl...
>> Z każdego hotelu przyślą Ci obciążenie tylko na podstawie nr karty,
>> daty ważności i nazwiska na karcie. Tzn jak np po Twojej płatności
>> tam stwierdzą, że coś tam jeszcze musisz dopłacić. W bookingu tez
>> podajesz tylko te dane (bez CVV)
>> i bez problemu obciążają kartę np na spóźnione odwołanie
>> rezerwacji.
>Ok, jak pisałem - daleko mi do światowca, nie płaciłem chyba nigdy za
>hotel bezpośrednio.
>A tak na serio, w przypadkach które podajesz mogą mnie obciążyć tylko
>za swoje usługi, że tak powiem. Nie mogą wykorzystać tych danych
>żeby,
>no nie wiem, robić sobie zakupy w sklepie lub w sieci. Zgadza się?

A co im przeszkodzi ?

>Płacę często w lokalnym kiosku, gdzie siedzi taka jedna kombinatorka.
>Czyli co? Czy ona, jak się postara, może zrobić jakiś zakup, choćby w
>swoim kiosku na moją kartę? Zakładamy, że nie mogła w żaden sposób
>zczytać żadnych danych "wzrokowo" z mojej karty i nie ma żadnego
>złodziejsko-hakerskiego sprzętu. Tylko ewentualny standardowy ślad
>elektroniczny transakcji.

hackerski sprzet to dzis jeden telefon, a umiejetnosc zapamietania
mozna wyksztalcic.
Zreszta skoro czesto placisz, to wystarczy ze jedna liczbe naraz
zapamieta.

W swoim kiosku ma terminal, w zasadzie bez uzycia karty nie powinna
nic kupic u siebie ... ale co zrobisz, jak zobaczysz na wyciagu dwie
operacje rozne o minute i na podobne kwoty ?

Moze przylozyla gdzies tam na chwile do terminala i bezdotykowo 20zl
zeszlo ...

J.

do góry