Wojciech Bancer <p...@p...pl> writes:

>> Wtedy banki raczej zastrzegały wszystkie karty, które pozwalały na
>> dokonywanie operacji off-line (chyba że odzyskiwały je od klienta).
>
> Teraz też zastrzegają.

Niektóre, na pewno, ale - jak widać po transakcjach 2 tygodnie po
rzekomym zastrzeżeniu - różnie to jest.
--
Krzysztof Hałasa

do góry

On 2013-07-11, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

>> Teraz też zastrzegają.
>
> Niektóre, na pewno, ale - jak widać po transakcjach 2 tygodnie po
> rzekomym zastrzeżeniu - różnie to jest.

Krótka piłka. PO zastrzeżeniu taka transakcja to problem banku.
Nawet jak się pojawi. Cały dramat i darcie szat tutaj dotyczy
okresu pomiędzy zgubieniem, a zastrzeżeniem.

--
Wojciech Bańcer
p...@p...pl

do góry

On 2013-07-11, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

>> Źródłem zagrożenia są transakcje offline, a nie fakt zbliżeniowości
>> karty.
>
> Nie, jedno i drugie jest zagrożeniem. Tyle że transakcje off-line mają
> swoje pozytywne strony, natomiast transakcje bezstykowe - tak średnio.

Jedno i drugie ma dokładnie tą samą zaletę. Jest wygodne.
I o to chodzi. Większa wygoda za cenę niewielkiego ryzyka, które ponoszą
obie strony (klient do czasu zastrzeżenia + ew. niedogodności związane
z przepychaniem się z bankiem).

> To drugie jest praktycznie niewykrywalne, a jeśli komuś wystarczy
> "zwykły" zasięg,

To jaki wg Ciebie to jest zasięg? Bo wg mnie taki, żeby conajmniej pokracznie
wyglądać i zwracać na siebie uwagę "szurając" po ludziach. To wcale nie jest
podejrzane. Nic a nic.

> tranzystory, kilka kondensatorów i oporników, i to wszystko zmontować
> i uruchomić. Zwłaszcza scalaka może być trudno przylutować, mała obudowa
> z wyprowadzeniami pod spodem (SOT617).

I czy na pewno dane uzyskane przez taki odczyt wystarczą do wykonania transakcji
bezstykowej? Masz gdzieś opis faktycznego sklonowania i wykorzystania takiego
klona, czy tylko się jarają wszyscy tym że można sobie jakieś dane z karty
odczytać bezstykowo? Co zrobisz z tym swoim scalakiem skoro terminal działa
na zasadzie challenge-response?

--
Wojciech Bańcer
p...@p...pl

do góry

Dnia Thu, 11 Jul 2013 09:12:40 +0200, Wojciech Bancer napisał(a):

>>> Były. Automaty działające offline bez podpisu/pin to nie jest jakaś
>>> specjalna nowość.
>>
>> Ale wcześniej jakoś skarg nie było na fraudy dokonane przy użyciu tych
>> automatów. Pojawiły się po wprowadzeniu kart bezstykowych.
>
> Ale dociera do Ciebie, że ten automat przyjmie też kartę bez funkcji
> bezstykowej? I też *NIE BĘDZIE CHCIAŁ PINU*?

Jedynymi automatami z jakimi się spotkałem, które nie żądały PIN-u od
karty stykowej, to były bramki na zagranicznych autostradach. Ale na
autostradowej bramce fraudu na większą kwotę nie zrobisz. Natomiast
zbliżeniowo - jak wykazuje doświadczenie - można płacić do upojenia,
jeśli tylko nie przekracza się kwoty 50 zł.
Opisywałem tu kiedyś eksperyment jaki przeprowadziłem, gdy na koncie
ustawiłem wszystkie limity płatności kartą na zero (lub jakąś zbliżoną
kwotę), a pomimo tego bez problemu mogłem zbliżeniowo płacić rachunki do
50 zł bez żadnej autoryzacji.
I właśnie dlatego, pieprzę taką kartę!

> W jaki sposób to, że swoją
> karte pozbawisz antenki pomoże w takiej sytuacji?

Nie wiem na jakiej zasadzie pomoże, ale w moim przypadku przecięcie
antenki pomogło!
Poprzednio wszystkie moje transakcje bezstykowe na kwoty do 50 zł były
akceptowane bez autoryzacji, a po przecięciu antenki wszystkie operacje
odbywają się on-line i są autoryzowane PIN-em.

> Co do tematu dyskusji
> wnosi fakt, że zostały zaimplementowane niedawno i jest o nich głośno,
> bo pozwalają na fraudy? To jest luka na którą pozwolił właściciel
> automatu, a nie wada bezstykówek jako takich.

Jeśli w dowolnym sklepie mogę bez użycia PIN-u płacić bezstykowo kartą,
która ma ustawione na zero wszystkie limity płatności, to chyba to nie
jest wina "właściciela automatu".

> Nie troluj. W skali kraju i omawianego bezpieczeństwa, pojedynczy
> przypadek, czy nawet 3 przypadki, z których omawiany wyżej jest słabo
> opisany i w sumie nie wiadomo *jak i dlaczego* ktoś stracił kasę,
> to jak najbardziej temat zastępczy.

To są przypadki nagłośnione, ale jeszcze mogło być wiele takich, gdzie
poszkodowani nie wiedzieli o istnieniu Samcika ani tej grupy i potulnie
zapłacili to, co im bank kazał.
I wyjaśnij wreszcie, jakie to są te "prawdziwe problemy", o których ma
pisać Samcik, Niebezpiecznik oraz my na p.b.b., zamiast zajmować się
"tematem zastępczym" jakim jest brak działających zabezpieczeń w kartach
zbliżeniowych?

> Już nie mówiąc o tym, że przeczytałeś
> komentarz i nie znasz dalszego ciągu historii, tylko sobie domniemywasz.

A jaki ma być "dalszy ciąg historii"?
Facetowi buchnęli kasę z konta, a my mamy aż za dużo przypadków
potwierdzających praktykę banku, że w takiej sytuacji standardowo
obciąża się klienta kosztami fraudu do wysokości 150 EUR.
Poza tym, dlaczego mam kwestionować to, co ktoś poszkodowany napisał?
Jeśli sam, na swojej karcie mogłem sprawdzić, że te "zabezpieczenia" są
guzik warte i nie działają, to dlaczego mam mu nie wierzyć?

--
Pozdrowienia,
Krzysztof
(dawniej używający nicka 'Chris')

do góry

Chris94 wrote:
>
> Jedynymi automatami z jakimi się spotkałem, które nie żądały PIN-u od
> karty stykowej, to były bramki na zagranicznych autostradach.

Kiedy ostatni raz byles w McDonaldzie?

do góry

W dniu 2013-07-12 01:56, Chris94 pisze:

>> W jaki sposób to, że swoją
>> karte pozbawisz antenki pomoże w takiej sytuacji?
>
> Nie wiem na jakiej zasadzie pomoże, ale w moim przypadku przecięcie
> antenki pomogło!
> Poprzednio wszystkie moje transakcje bezstykowe na kwoty do 50 zł były
> akceptowane bez autoryzacji, a po przecięciu antenki wszystkie operacje
> odbywają się on-line i są autoryzowane PIN-em.

Powtórzę pytanie:
Czy na pewno wolisz płacić zawsze z PINem narażając się na tegoż pinu
podglądnięcie, po czym wydolinowanie karty i wypucowanie konta w tym
samym Lidlu (np. na alkoholem - nie zmarnuje się u złodzieja), czy może
jednak płacić paypassem i pinu nie narażać?
Bo ja mam dylemat... Większość kart już mam przedziurkowane, ale
kredytówkę jeszcze nie.


--

Dziękuję. Pozdrawiam. sqlwiel.

do góry

On 2013-07-12 00:12, Wojciech Bancer wrote:
>[...]
> I czy na pewno dane uzyskane przez taki odczyt wystarczą do wykonania transakcji
> bezstykowej? Masz gdzieś opis faktycznego sklonowania i wykorzystania takiego
> klona, czy tylko się jarają wszyscy tym że można sobie jakieś dane z karty
> odczytać bezstykowo? Co zrobisz z tym swoim scalakiem skoro terminal działa
> na zasadzie challenge-response?
>

Tu masz opis ataku nawet groźniejszego niż klonowanie (gdzie sklonowaną
kartą można zrobić nie więcej niż jedną transakcję do wysokości limitu):
<http://niebezpiecznik.pl/post/uniwersalny-atak-na-k
arty-zblizeniowe/>

Piotrek

do góry

Użytkownik "Krzysztof Halasa" <k...@p...waw.pl> napisał w wiadomości
news:m3zjtsygfm.fsf@intrepid.localdomain...
> To chyba żart?
> To pierwsze wcale nie jest łatwe, za to łatwo to wykryć i np. zastawić
> pułapkę na złodzieja.
> To drugie jest praktycznie niewykrywalne, a jeśli komuś wystarczy
> "zwykły" zasięg, to telefony mają wbudowane scalaki NFC. Domyślam się,
> że nie wystarczy, trzeba będzie kupić jakiegoś scalaka np. NXP, ze dwa
> tranzystory, kilka kondensatorów i oporników, i to wszystko zmontować
> i uruchomić. Zwłaszcza scalaka może być trudno przylutować, mała obudowa
> z wyprowadzeniami pod spodem (SOT617).

Nie jest tak źle. To jest 32 pin raster 0,5mm. Solder maska wchodzi między
piny ułatwiając lutowanie.
Gorzej jest z rastrem 0,4mm - solder maska nie wchodzi między piny (ze
względu na wymagania technologiczne).
P.G.

do góry

On 2013-07-12, Piotrek <p...@p...na.berdyczow.info> wrote:
> On 2013-07-12 00:12, Wojciech Bancer wrote:
>>[...]
>> I czy na pewno dane uzyskane przez taki odczyt wystarczą do wykonania transakcji
>> bezstykowej? Masz gdzieś opis faktycznego sklonowania i wykorzystania takiego
>> klona, czy tylko się jarają wszyscy tym że można sobie jakieś dane z karty
>> odczytać bezstykowo? Co zrobisz z tym swoim scalakiem skoro terminal działa
>> na zasadzie challenge-response?
>>
>
> Tu masz opis ataku nawet groźniejszego niż klonowanie (gdzie sklonowaną
> kartą można zrobić nie więcej niż jedną transakcję do wysokości limitu):
><http://niebezpiecznik.pl/post/uniwersalny-atak-na-
karty-zblizeniowe/>

Niezłe SF. Uśmiałem się. Autor ma wyobraźnię. :)
A coś z realnego świata?

--
Wojciech Bańcer
p...@p...pl

do góry

On 2013-07-11, Chris94 <chris94@WYTNIJ_TO.poczta.fm> wrote:

[...]

> Jedynymi automatami z jakimi się spotkałem, które nie żądały PIN-u od
> karty stykowej, to były bramki na zagranicznych autostradach.

No tak. Nie widziałem = nie istnieje. Ale w internecie napisali, że
bezstykowe są niebezpieczne, więc im trzeba wierzyć. :)

>> W jaki sposób to, że swoją
>> karte pozbawisz antenki pomoże w takiej sytuacji?
>
> Nie wiem na jakiej zasadzie pomoże, ale w moim przypadku przecięcie
> antenki pomogło!

Ok. To zrób eksperyment i doładuj sobie komórkę w automacie we Wrocku.

>> bo pozwalają na fraudy? To jest luka na którą pozwolił właściciel
>> automatu, a nie wada bezstykówek jako takich.
>
> Jeśli w dowolnym sklepie mogę bez użycia PIN-u płacić bezstykowo kartą,
> która ma ustawione na zero wszystkie limity płatności, to chyba to nie
> jest wina "właściciela automatu".

Czyli nadal masz pretensje do tego że coś działa offline.

> I wyjaśnij wreszcie, jakie to są te "prawdziwe problemy", o których ma
> pisać Samcik, Niebezpiecznik oraz my na p.b.b., zamiast zajmować się
> "tematem zastępczym" jakim jest brak działających zabezpieczeń w kartach
> zbliżeniowych?

Już pędzę. :)

[... ciach gdybalizmy pospolite ...]

--
Wojciech Bańcer
p...@p...pl

do góry