Dnia Wed, 10 Jul 2013 01:48:03 +0200, Wojciech Bancer napisał(a):

>> Ale przed wprowadzeniem kart zbliżeniowych nikt tego typu fraudów nie
>> zgłaszał,
>
> Były.

Były przypadki dokonania fraudów poprzez dokonanie kartami płatności bez
autoryzowania transakcji PIN-em, podpisem lub CVV?
Podaj jakieś linki do przykładów.

>> natomiast po ich wprowadzeniu takie fraudy się pojawiły.
>
> Tak. Pojawiło się kilka artykułów w gazetach. Jej.
>
>> jakiś związek pomiędzy tymi dwoma elementami istnieje i wcale nie musi
>> to akurat być sama "zbliżeniowość",
>
> To się nazywa "temat zastępczy".

Zastępczy zamiast czego?
Tutaj masz taki sam "temat zastępczy" z dzisiaj:

"Czytam tą dyskusję i mogę powiedzieć tylko tyle ,że właśnie taki
złodziej skroił mi kartę na 340zł.Może bym się nie z orientował tylko
zakupy na tą kwotę zrobił w sklepie z zabawkami. A dla mnie to ostatni
sklep gdzie można mnie spotkać. Więc macie tu przykład ,że takie
kradzieże są możliwe i to nie na 50 zł" -
http://niebezpiecznik.pl/post/klonowanie-zblizeniowy
ch-kart-kredytowych-rfid/#comment-216997

Jak widać, ten numer już przechodzi nie tylko w środkach komunikacji
miejskiej we Wrocławiu, ale nawet w sklepach z zabawkami!
A ponieważ 340 zł < 150 EUR, więc zapowiada się ciekawa przepychanka z
bankiem.

> Do momentu zastrzeżenia karty użytkownik odpowiada "do wysokości 150 EUR.
> Więc kiedy nastąpiło zastrzeżenie karty, a kiedy dokonano transakcji?
> Identyczna sytuacja wystąpiłaby dajmy na to 5 lat temu przy kartach z
> podpisem. Jej.

Ale gdy wprowadzano karty chipowe i autoryzację podpisem zamieniano na
autoryzację PIN-em, uzasadniano to zwiększeniem bezpieczeństwa poprzez
wprowadzenie nowego sposobu autoryzacji.
W przypadku bezstykowych kart mBanku stało się wręcz przeciwnie, gdyż
tymi kartami złodziej może płacić ani nie autoryzując transakcji
podpisem, ani PIN-em, co w starych kartach nie było możliwe.
W sytuacji gdy bank chce obciążać klienta kosztami 150 EUR za wykonane
przez złodzieja operacje, które były możliwe dlatego, że bank nie
stworzył właściwych zabezpieczeń karty, to poza kastracją karty jedynym
wyjściem pozostaje rezygnacja z niej.

--
Pozdrowienia,
Krzysztof
(dawniej używający nicka 'Chris')

do góry

On 2013-07-10, Chris94 <chris94@WYTNIJ_TO.poczta.fm> wrote:

[...]

>> Były.
>
> Były przypadki dokonania fraudów poprzez dokonanie kartami płatności bez
> autoryzowania transakcji PIN-em, podpisem lub CVV?

Były. Automaty działające offline bez podpisu/pin to nie jest jakaś
specjalna nowość.

> Podaj jakieś linki do przykładów.

Nie zbieram.

>>> jakiś związek pomiędzy tymi dwoma elementami istnieje i wcale nie musi
>>> to akurat być sama "zbliżeniowość",
>> To się nazywa "temat zastępczy".
>
> Zastępczy zamiast czego?

Realnych problemów.

> sklep gdzie można mnie spotkać. Więc macie tu przykład ,że takie
> kradzieże są możliwe i to nie na 50 zł" -
> http://niebezpiecznik.pl/post/klonowanie-zblizeniowy
ch-kart-kredytowych-rfid/#comment-216997

Po pierwsze - nie wiadomo czym i jak się posłużył złodziej, bo autor
komentarza jest technicznym laikiem w tym temacie. Po drugie, wg. Ciebie
klonowania kart z paskiem nie było. Nic a nic?

Po trzecie niebezpiecznik to taki trochę plotek.pl.
Ma być przede wszystkim sensacyjnie, niekoniecznie merytorycznie.

> Jak widać, ten numer już przechodzi nie tylko w środkach komunikacji
> miejskiej we Wrocławiu, ale nawet w sklepach z zabawkami!

To straszne! Jako żywo przypomina mi dyskusje sprzed kilku lat, gdzie
paranoicy udowadniali że "podpisy najlepsze", bo banki uznają reklamacje
a od transakcji PINowych - nie. I że PIN + chip to jest obniżenie
bezpieczeństwa, bo PIN podejrzeć to bułka z masłem.

A jak się tak strachasz i ryzyko jest dla Ciebie nieakceptowalne, to sobie
znajdź dobre ubezpieczenie od nieautoryzowanych transakcji w kwocie <0-150EUR>
i już.

--
Wojciech Bańcer
p...@p...pl

do góry

Dnia Wed, 10 Jul 2013 23:32:10 +0200, Wojciech Bancer napisał(a):

>> Były przypadki dokonania fraudów poprzez dokonanie kartami płatności bez
>> autoryzowania transakcji PIN-em, podpisem lub CVV?
>
> Były. Automaty działające offline bez podpisu/pin to nie jest jakaś
> specjalna nowość.

Ale wcześniej jakoś skarg nie było na fraudy dokonane przy użyciu tych
automatów. Pojawiły się po wprowadzeniu kart bezstykowych.

>> Podaj jakieś linki do przykładów.
>
> Nie zbieram.

Więc szkoda, że nie masz żadnych argumentów na potwierdzenie głoszonych
przez siebie teorii.

>>> To się nazywa "temat zastępczy".
>>
>> Zastępczy zamiast czego?
>
> Realnych problemów.

Jeśli dla Ciebie zniknięcie kilkuset złotych z konta jest "tematem
zastępczym", to nie pozostaje mi nic innego, jak tylko życzyć Ci, żeby
zamiast realnych problemów dotyczyły Cię tylko "tematy zastępcze".

> A jak się tak strachasz i ryzyko jest dla Ciebie nieakceptowalne, to sobie
> znajdź dobre ubezpieczenie od nieautoryzowanych transakcji w kwocie <0-150EUR>
> i już.

A dlaczego to ja mam ponosić koszty ubezpieczenia, jeśli to bank nie
potrafił właściwie zabezpieczyć wydawanych przez siebie kart
płatniczych?
Jedynym sensownym wyjściem z tej sytuacji jest rezygnacja z użytkowania
takiej niebezpiecznej karty, co właśnie mam zamiar uczynić.

--
Pozdrowienia,
Krzysztof
(dawniej używający nicka 'Chris')

do góry

On 2013-07-10, Chris94 <chris94@WYTNIJ_TO.poczta.fm> wrote:

[...]

>>> Były przypadki dokonania fraudów poprzez dokonanie kartami płatności bez
>>> autoryzowania transakcji PIN-em, podpisem lub CVV?
>>
>> Były. Automaty działające offline bez podpisu/pin to nie jest jakaś
>> specjalna nowość.
>
> Ale wcześniej jakoś skarg nie było na fraudy dokonane przy użyciu tych
> automatów. Pojawiły się po wprowadzeniu kart bezstykowych.

Ale dociera do Ciebie, że ten automat przyjmie też kartę bez funkcji
bezstykowej? I też *NIE BĘDZIE CHCIAŁ PINU*? W jaki sposób to, że swoją
karte pozbawisz antenki pomoże w takiej sytuacji? Co do tematu dyskusji
wnosi fakt, że zostały zaimplementowane niedawno i jest o nich głośno,
bo pozwalają na fraudy? To jest luka na którą pozwolił właściciel
automatu, a nie wada bezstykówek jako takich.

>>> Podaj jakieś linki do przykładów.
>> Nie zbieram.
> Więc szkoda, że nie masz żadnych argumentów na potwierdzenie głoszonych
> przez siebie teorii.

Ja nie głoszę żadnych teorii. Wyśmiewam te istniejące paranoiczne
zachowania.

>> Realnych problemów.
>
> Jeśli dla Ciebie zniknięcie kilkuset złotych z konta jest "tematem
> zastępczym", to nie pozostaje mi nic innego, jak tylko życzyć Ci, żeby
> zamiast realnych problemów dotyczyły Cię tylko "tematy zastępcze".

Nie troluj. W skali kraju i omawianego bezpieczeństwa, pojedynczy
przypadek, czy nawet 3 przypadki, z których omawiany wyżej jest słabo
opisany i w sumie nie wiadomo *jak i dlaczego* ktoś stracił kasę,
to jak najbardziej temat zastępczy. Już nie mówiąc o tym, że przeczytałeś
komentarz i nie znasz dalszego ciągu historii, tylko sobie domniemywasz.

>> A jak się tak strachasz i ryzyko jest dla Ciebie nieakceptowalne, to sobie
>> znajdź dobre ubezpieczenie od nieautoryzowanych transakcji w kwocie <0-150EUR>
>> i już.
>
> A dlaczego to ja mam ponosić koszty ubezpieczenia, jeśli to bank nie
> potrafił właściwie zabezpieczyć wydawanych przez siebie kart
> płatniczych?

Duh. Bo nie akceptujesz minimalnego ryzyka utraty środków, związanego
z przedziałem 0-150EUR, w czasie od utraty karty do zgłoszenia
zastrzeżenia?

> Jedynym sensownym wyjściem z tej sytuacji jest rezygnacja z użytkowania
> takiej niebezpiecznej karty, co właśnie mam zamiar uczynić.

A rób co chcesz, to wolny kraj. Tylko nie udawaj, że taka decyzja
ma podłoże merytoryczne i oparte na jakiejś wiedzy. Postraszyli Cię
kilkoma sensacyjnymi artykułami, temat zastępczy podziałał.

--
Wojciech Bańcer
p...@p...pl

do góry

Użytkownik "Wojciech Bancer" <p...@p...pl> napisał w wiadomości
news:slrnktsmnu.2te.proteus@pl-test.org...
>> A dlaczego to ja mam ponosić koszty ubezpieczenia, jeśli to bank nie
>> potrafił właściwie zabezpieczyć wydawanych przez siebie kart
>> płatniczych?
>
> Duh. Bo nie akceptujesz minimalnego ryzyka utraty środków, związanego
> z przedziałem 0-150EUR, w czasie od utraty karty do zgłoszenia
> zastrzeżenia?
>
Nikomu by nic nie przeszkadzało jakby miał wybór między:
1. karta super wygodna i mało bezpieczna + ewentualne płatne ubezpieczenie
dla chętnych,
2. karta niewygodna (nie zbliżeniowa i nie offlajnowa) ale bezpieczna i bez
konieczności ubezpieczania.
Źródłem dyskusji jest brak tego wyboru.
P.G.

do góry

On 2013-07-11, Piotr Gałka <p...@c...pl> wrote:

[...]

>> Duh. Bo nie akceptujesz minimalnego ryzyka utraty środków, związanego
>> z przedziałem 0-150EUR, w czasie od utraty karty do zgłoszenia
>> zastrzeżenia?
>>
> Nikomu by nic nie przeszkadzało jakby miał wybór między:
> 1. karta super wygodna i mało bezpieczna + ewentualne płatne ubezpieczenie
> dla chętnych,
> 2. karta niewygodna (nie zbliżeniowa i nie offlajnowa) ale bezpieczna i bez
> konieczności ubezpieczania.
> Źródłem dyskusji jest brak tego wyboru.

Źródłem zagrożenia są transakcje offline, a nie fakt zbliżeniowości karty.
I obawiam się, że fraudów i malkontentów (Ci są zawsze) jest na tyle mało,
że właściwym osobom władnym za takie decyzje zwyczajnie to powiewa.
I ja im się nie dziwię.

Weź też pod uwagę też inny aspekt:

łatwiej zamontować skaner do klonownaia kart + kamerę do podpatrzenia PIN
niż popindalać ludziom po kieszachiach z czytnikiem. Jest to i łatwiejsze
dla złodzieja, i bezpieczniejsze (może sobie dane wciągnąć zdalnie)
i mniej problematyczne (od razu podpatrzy PIN, a nie ma kontaktu z użytkownikiem
karty, i podpierdolić może jednorazowo "ile fabryka dała").

Więc jak chcesz bezpiecznie, to używaj gotówki, albo zaakceptuj ryzyko jakie
się wiąże z używaniem karty. Jakiejkolwiek.

--
Wojciech Bańcer
p...@p...pl

do góry

Wojciech Bancer <p...@p...pl> writes:

> Do momentu zastrzeżenia karty użytkownik odpowiada "do wysokości 150 EUR.
> Więc kiedy nastąpiło zastrzeżenie karty, a kiedy dokonano transakcji?
> Identyczna sytuacja wystąpiłaby dajmy na to 5 lat temu przy kartach z
> podpisem. Jej.

Wtedy banki raczej zastrzegały wszystkie karty, które pozwalały na
dokonywanie operacji off-line (chyba że odzyskiwały je od klienta).
--
Krzysztof Hałasa

do góry

On 2013-07-11, Krzysztof Halasa <k...@p...waw.pl> wrote:
> Wojciech Bancer <p...@p...pl> writes:
>
>> Do momentu zastrzeżenia karty użytkownik odpowiada "do wysokości 150 EUR.
>> Więc kiedy nastąpiło zastrzeżenie karty, a kiedy dokonano transakcji?
>> Identyczna sytuacja wystąpiłaby dajmy na to 5 lat temu przy kartach z
>> podpisem. Jej.
>
> Wtedy banki raczej zastrzegały wszystkie karty, które pozwalały na
> dokonywanie operacji off-line (chyba że odzyskiwały je od klienta).

Teraz też zastrzegają.

--
Wojciech Bańcer
p...@p...pl

do góry

Chris94 <chris94@WYTNIJ_TO.poczta.fm> writes:

>> Były. Automaty działające offline bez podpisu/pin to nie jest jakaś
>> specjalna nowość.
>
> Ale wcześniej jakoś skarg nie było na fraudy dokonane przy użyciu tych
> automatów. Pojawiły się po wprowadzeniu kart bezstykowych.

Kwestia odpowiedzialności - w przypadku karty bezstykowej odpowiada
(w praktyce) klient.
--
Krzysztof Hałasa

do góry

Wojciech Bancer <p...@p...pl> writes:

> Źródłem zagrożenia są transakcje offline, a nie fakt zbliżeniowości
> karty.

Nie, jedno i drugie jest zagrożeniem. Tyle że transakcje off-line mają
swoje pozytywne strony, natomiast transakcje bezstykowe - tak średnio.

> łatwiej zamontować skaner do klonownaia kart + kamerę do podpatrzenia PIN
> niż popindalać ludziom po kieszachiach z czytnikiem.

To chyba żart?
To pierwsze wcale nie jest łatwe, za to łatwo to wykryć i np. zastawić
pułapkę na złodzieja.
To drugie jest praktycznie niewykrywalne, a jeśli komuś wystarczy
"zwykły" zasięg, to telefony mają wbudowane scalaki NFC. Domyślam się,
że nie wystarczy, trzeba będzie kupić jakiegoś scalaka np. NXP, ze dwa
tranzystory, kilka kondensatorów i oporników, i to wszystko zmontować
i uruchomić. Zwłaszcza scalaka może być trudno przylutować, mała obudowa
z wyprowadzeniami pod spodem (SOT617).
--
Krzysztof Hałasa

do góry