> A może nawet nie losować, jeśli IKA robi tak jak luzak citek, czyli numeruje
wydawane karty po kolei...

Niemożliwie jest to głupie, ale wygląda na to, że rzeczywiście numerują karty po
kolei.
Moja z lipca 2019 (rzeczywiście prawie koniec ważności) ma trzy zera na początku
drugiej ósemki cyfr numeru, żony 2 lata późniejsza wciąż dwa zera.
To debile.
I jest to chyba ich świecka tradycja - zabytkową eurową też mam z dwoma zerami...

do góry

środa, 22 marca 2023 o 13:08:19 UTC+1 Dawid Rutkowski napisał(a):
> > A może nawet nie losować, jeśli IKA robi tak jak luzak citek, czyli numeruje
wydawane karty po kolei...
> Niemożliwie jest to głupie, ale wygląda na to, że rzeczywiście numerują karty po
kolei.
> Moja z lipca 2019 (rzeczywiście prawie koniec ważności) ma trzy zera na początku
drugiej ósemki cyfr numeru, żony 2 lata późniejsza wciąż dwa zera.
> To debile.
> I jest to chyba ich świecka tradycja - zabytkową eurową też mam z dwoma zerami...

Jak ktoś ma inne karty aliora - tego dużego, albo zabytkowe z różowego-T - zarówno
kredytowe, jak debetowe - oraz też wirtualne (cały numer wirtualki można odczytać
drugim telefonem/tabletem z NFC oraz apką "Czytnik kart bankowych") - to sprawdźcie,
czy tamte też mają zera w środku numeru.

do góry

Fraud już załatwiony, kasa wróciła (dobrze, ze nie wygłupiali się ze zwrotem
10,69USD,
albo jeszcze przeliczonym od razu na euro, tylko oddali po prostu 10,04EUR) -
szybciutko.
Ciekawe, czy jeszcze będę musiał iść na pocztę po polecony z potwierdzeniem odbioru,
zapomniałem, że alior się upiera przy wysyłaniu odpowiedzi na reklamację również
pocztą (całe szczęście odsyłają też w ST), nawet jak im się napisze, że się chce
tylko w ST.

Jeszcze czeka reklamacja z op*dolem za wydawanie kart numerowanych po kolei (a
przynajmniej
rosnąco), ciekawe co na to powiedzą.
Ale obawiam się, że jedynie naprawdę spora skala fraudów mogłaby ich zmusić do
ruszenia d4 w tej sprawie.

do góry

On Tue, 21 Mar 2023 07:54:41 -0700 (PDT), Dawid Rutkowski wrote:
> wtorek, 21 marca 2023 o 13:23:36 UTC+1 J.F napisał(a):
>> On Tue, 21 Mar 2023 03:30:23 -0700 (PDT), Dawid Rutkowski wrote:
>>> poniedziałek, 20 marca 2023 o 15:59:56 UTC+1 J.F napisał(a):
>>>> On Mon, 20 Mar 2023 07:01:35 -0700 (PDT), Dawid Rutkowski wrote:
>>>>> Okazało się, niejako w temacie, że chyba właśnie trafił mi się pierwszy w życiu
fraud kartowy - i to podobno jeszcze przez GP.
>>>>> Przypadkiem zajrzałem do IKA i widzę w historii transakcję kartą na 10,04 EUR
(przeliczoną z 10,69 USD,
>>>>> od niejakiego "Kindle Unltd" z gwiazdką + literki i cyferki) z soboty,
rozliczona w niedzielę.
>>>> Ciekawe - maja na mysli usługę, czy to firma ... brytyjska może?
>>>
>>> Brytyjska spólka z nieograniczoną nieodpowiedzialnością.
>>> Takie rzeczy tylko we Wrocławiu.
>> Ale korzystałes wczesniej kiedys z Kindla, czy nie?
>>
>> Bo jak na fraud, to troche dziwny mi sie wydaje. Jest tam cos, co by
>> mogło zainteresować hackera? Kulturalny jakis?
>>
>> Natomiast prawdopodobne mi sie wydaje:
>> -jakies wznowienie wczesniejszej subskrypcji, sprzed lat,
>> -"przypadowe" uruchomienie Kindle na
>> smartfonie/tablecie/komputerze/telewizorze.
>> Ale żeby tak przypadkowo zakupić usługę ... chyba, ze jak masz konto
>> amazon, to łatwo idzie ?
>>
>> -Amazon wcisnął przy okazji jakis zakupów. Ale patrzac po tym podatku
>> ... z amerykanskiego korzystałeś ?
>
> Jakbym korzystał to byłby trop i nie posiałbym, ze to na pewno nie ja.
> Konta amazon też nie mam, i nigdy tam nie kupowałem, a nie sądzę, by gógiel swojemu
największemu konkurentowi
> ułatwiałby działania w taki sposób, że można zapłacić GP "przypadkiem", bez
odblokowania ekranu.
>
> Fraud - sądzę, że lecieli po kolei z numerami kart - bo jeśli w durnym amazonie
> dalej tak jest, że nie trzeba CVC2, to wystarczy wylosować datę ważności.
> A może nawet nie losować, jeśli IKA robi tak jak luzak citek, czyli numeruje
wydawane karty po kolei...

Niektorzy maja dluzej. Numer zostaje, a data sie zmienia.

Podejrzewam, ze w miare łatwo da sie ustalic liste prawdopodobnych
numerow kart.
Ale tez banki sie moga zabezpieczyc, i np po 5 nieudanej probie
zablokowac klienta/komputer/adres IP.

> Albo nawet nie losować, tylko z aliora wyciekła lista kart, alior oczywiście,
> jako pisiorski bank pod pisiorskim nadzorem, ani słowa o tym.

Z datami waznosci i cvc2?

> No coz, wyciekaly i z innych miejsc,
> Haker nie musi być kulturalny - nawet jak sprzeda za dolara taką subskrypcję, to
zarobi tego dolara.

trzeba miec kulturalnych przyjacioł.
A 1$ mało. I mozna latwo wpasc.

> Była przecież swego czasu afera z rewolwerowymi kartami wirtualnymi, które za
każdym
> razem miały inny numer, i ludzie "wykupywali" (za darmo) na nie miesięczne triale
netflixa,
> które potem tanio sprzedawali bezkartowcom (albo takim, co mają tylko jedną kartę
> i już im się własny trial skończył).

Sie revolut/netflix nie zabezpieczyli, to maja :-)

> U żony na razie fraudu nie ma, ale może jak już moja karta przyjdzie, to warto
będzie zastrzec
> i zamówić nową. Tym bardziej, że IKA automatycznie nie wznawia.

J.

do góry

On Thu, 23 Mar 2023 03:50:12 -0700 (PDT), Dawid Rutkowski wrote:
> Fraud już załatwiony, kasa wróciła (dobrze, ze nie wygłupiali się ze zwrotem
10,69USD,
> albo jeszcze przeliczonym od razu na euro, tylko oddali po prostu 10,04EUR) -
szybciutko.
> Ciekawe, czy jeszcze będę musiał iść na pocztę po polecony z potwierdzeniem
odbioru,
> zapomniałem, że alior się upiera przy wysyłaniu odpowiedzi na reklamację również
> pocztą (całe szczęście odsyłają też w ST), nawet jak im się napisze, że się chce
tylko w ST.
>
> Jeszcze czeka reklamacja z op*dolem za wydawanie kart numerowanych po kolei (a
przynajmniej
> rosnąco), ciekawe co na to powiedzą.
> Ale obawiam się, że jedynie naprawdę spora skala fraudów mogłaby ich zmusić do
ruszenia d4 w tej sprawie.

a) zrezygnuja z poleconych,
b) zablokuja niektore serwisy.
Choc tu by trzeba GP zablokowac ... odwazny ruch.\
c) GP sztuczna inteligencje postawi do załatwiania reklamacji i bedzie
"bezkosztowo" :-)

J.

do góry

czwartek, 23 marca 2023 o 12:11:10 UTC+1 J.F napisał(a):

> > Fraud - sądzę, że lecieli po kolei z numerami kart - bo jeśli w durnym amazonie
> > dalej tak jest, że nie trzeba CVC2, to wystarczy wylosować datę ważności.
> > A może nawet nie losować, jeśli IKA robi tak jak luzak citek, czyli numeruje
wydawane karty po kolei...
> Niektorzy maja dluzej. Numer zostaje, a data sie zmienia.

Takiś uczony?
To sprawdź najpierw, czy IKA wznawia karty, a potem się mądrzyj.
Do tego seria tzw. "wielowalutowych" jest dopiero pierwsza - ja miałem jedną z
pierwszych,
a była jeszcze ważna do lipca.

> Podejrzewam, ze w miare łatwo da sie ustalic liste prawdopodobnych
> numerow kart.
> Ale tez banki sie moga zabezpieczyc, i np po 5 nieudanej probie
> zablokowac klienta/komputer/adres IP.

Próba wystarczy jedna. A hacker ma do dyspozycji ze 100 IP.

> > Albo nawet nie losować, tylko z aliora wyciekła lista kart, alior oczywiście,
> > jako pisiorski bank pod pisiorskim nadzorem, ani słowa o tym.
> Z datami waznosci i cvc2?

CVC2 wylicza się tajnym algorytmem z daty ważności i numeru karty.
Numery można dawać po kolei, daty ważności takoż.
Ale amazon chyba wciąż nie wymaga cvc2 (a na pewno był czas, że nie wymagał),
nie mówiąc o 3D-Secure.

> > No coz, wyciekaly i z innych miejsc,
> > Haker nie musi być kulturalny - nawet jak sprzeda za dolara taką subskrypcję, to
zarobi tego dolara.
> trzeba miec kulturalnych przyjacioł.
> A 1$ mało. I mozna latwo wpasc.

Tylko mi IKA kartę wydał?

do góry

czwartek, 23 marca 2023 o 12:15:00 UTC+1 J.F napisał(a):
> On Thu, 23 Mar 2023 03:50:12 -0700 (PDT), Dawid Rutkowski wrote:
> > Fraud już załatwiony, kasa wróciła (dobrze, ze nie wygłupiali się ze zwrotem
10,69USD,
> > albo jeszcze przeliczonym od razu na euro, tylko oddali po prostu 10,04EUR) -
szybciutko.
> > Ciekawe, czy jeszcze będę musiał iść na pocztę po polecony z potwierdzeniem
odbioru,
> > zapomniałem, że alior się upiera przy wysyłaniu odpowiedzi na reklamację również
> > pocztą (całe szczęście odsyłają też w ST), nawet jak im się napisze, że się chce
tylko w ST.
> >
> > Jeszcze czeka reklamacja z op*dolem za wydawanie kart numerowanych po kolei (a
przynajmniej
> > rosnąco), ciekawe co na to powiedzą.
> > Ale obawiam się, że jedynie naprawdę spora skala fraudów mogłaby ich zmusić do
ruszenia d4 w tej sprawie.
> a) zrezygnuja z poleconych,
> b) zablokuja niektore serwisy.
> Choc tu by trzeba GP zablokowac ... odwazny ruch.\
> c) GP sztuczna inteligencje postawi do załatwiania reklamacji i bedzie
> "bezkosztowo" :-)

Alior nie odpowiedział, ale obstawiam, że to wcale nie było przez GP, tylko coś
aliorowa infolinka
nabredziła, zapewne po mojej sugestii (swoją drogą nie pamiętam już totalnie,
dlaczego mi w ogóle
do łba przyszło, że to mogło być GP - może to przez tę gwiazdkę, widać trzeba zrobić
testowe
płatności GP "netową" oraz "zbliżeniową", żeby zobaczyć, czy to jest jakoś
wyróżnione).
Najzwyklejszy IO - no, może taki amazonowy - z podaniem jedynie numeru karty i daty
ważności.
Widocznie amazona stać na te zwroty.

Kradzenie takich "niematerialnych" rzeczy to małe ryzyko wpadki - najwyżej
konto/maila zablokują,
to się następne założy na kolejny darmowy gmail ;P
I jest duża szansa, że na takie 10$ znikające co miesiąc (bo to pewnie odnawialna
subskrypcja)
posiadacz karty nie zwróci uwagi - ja zauważyłem, bo na kontach, które nie są na co
dzień używane,
trzymam okrągłe sumy (np. 0 ;)
Swoją drogą trzeba zachować czujność, czy za miesiąc nie przyjdzie kolejne takie
obciążenie.

do góry

On Thu, 23 Mar 2023 07:04:29 -0700 (PDT), Dawid Rutkowski wrote:
> czwartek, 23 marca 2023 o 12:15:00 UTC+1 J.F napisał(a):
>> On Thu, 23 Mar 2023 03:50:12 -0700 (PDT), Dawid Rutkowski wrote:
>>> Fraud już załatwiony, kasa wróciła (dobrze, ze nie wygłupiali się ze zwrotem
10,69USD,
>>> albo jeszcze przeliczonym od razu na euro, tylko oddali po prostu 10,04EUR) -
szybciutko.
>>> Ciekawe, czy jeszcze będę musiał iść na pocztę po polecony z potwierdzeniem
odbioru,
>>> zapomniałem, że alior się upiera przy wysyłaniu odpowiedzi na reklamację również
>>> pocztą (całe szczęście odsyłają też w ST), nawet jak im się napisze, że się chce
tylko w ST.
>>>
>>> Jeszcze czeka reklamacja z op*dolem za wydawanie kart numerowanych po kolei (a
przynajmniej
>>> rosnąco), ciekawe co na to powiedzą.
>>> Ale obawiam się, że jedynie naprawdę spora skala fraudów mogłaby ich zmusić do
ruszenia d4 w tej sprawie.
>> a) zrezygnuja z poleconych,
>> b) zablokuja niektore serwisy.
>> Choc tu by trzeba GP zablokowac ... odwazny ruch.\
>> c) GP sztuczna inteligencje postawi do załatwiania reklamacji i bedzie
>> "bezkosztowo" :-)
>
> Alior nie odpowiedział, ale obstawiam, że to wcale nie było przez GP, tylko coś
aliorowa infolinka
> nabredziła, zapewne po mojej sugestii (swoją drogą nie pamiętam już totalnie,
dlaczego mi w ogóle
> do łba przyszło, że to mogło być GP - może to przez tę gwiazdkę, widać trzeba
zrobić testowe
> płatności GP "netową" oraz "zbliżeniową", żeby zobaczyć, czy to jest jakoś
wyróżnione).

Nie uzywam ... ale to GP nie jest jakos w banku oznaczone?

Chyba musieli sie jakos z google specjalnie dogadac, szczegolnie, ze
te zmienione nr kart w GP ...

Tylko tak - karta z polskiego banku, na serwis, którego w Polsce nie
ma ... zawsze to IMO mniejsze pr-stwo, ze tak sie trafi.
Co prawda jakis zagraniczny hacker moze nie patrzyc na kraj karty,
a i polscy/rosyjscy/bułgarscy/itp hackerzy mogą lubić Kindle.

Losowo z GP ... może łatwiej?

Zaraz ... a jak GP przydziela te nowe numery ... nie musieliby sie
wstrzelic w czas Twojego korzystania z karty przez GP?

> Najzwyklejszy IO - no, może taki amazonowy - z podaniem jedynie numeru karty i daty
ważności.
> Widocznie amazona stać na te zwroty.

W Kindle Unlimited?
Nie widzę problemu - zamkną podejrzane konto, moze nawet podejrzany
czytnik, i straty sie skonczą.
Moze nawet prawie wcale nie będzie, bo autor tantiemy ma ryczałtem,
albo za tę subskrypcje nie dostanie, bo nie zapłacono.

Gorzej, jakbys po dłuższym czasie sie zorientował, to suma rośnie..

> Kradzenie takich "niematerialnych" rzeczy to małe ryzyko wpadki - najwyżej
konto/maila zablokują,
> to się następne założy na kolejny darmowy gmail ;P

I małe koszta dla Amazona.

> I jest duża szansa, że na takie 10$ znikające co miesiąc (bo to pewnie odnawialna
subskrypcja)
> posiadacz karty nie zwróci uwagi - ja zauważyłem, bo na kontach, które nie są na co
dzień używane,
> trzymam okrągłe sumy (np. 0 ;)

IMO - w Polsce zwróci czesciej uwage, ale gdzies w USA, jak drobnych
pozycji na karcie sporo, a moze jeszcze sam ma subskrypcje, czy dzieci
miały ...

> Swoją drogą trzeba zachować czujność, czy za miesiąc nie przyjdzie kolejne takie
obciążenie.

Trzeba.
Amazon jak dostał konkretne zgłoszenie, to powinien, wyłączyc, ale
moze nie dostał.

J.

do góry

Dawid Rutkowski <d...@w...pl> writes:

> CVC2 wylicza się tajnym algorytmem z daty ważności i numeru karty.

Oczywiście każdy bank może to robić inaczej, ale generalnie CVC2,
podobnie jak wszelkie inne tego typu kody, powinny być po prostu
losowane.

Teoretycznie można np. tajnym kluczem zaszyfrować numer karty i datę
ważności, i część wyniku potraktować jako CVC2 - nie powinno się tego
jednak robić, ponieważ istnienie takiego klucza jest bardziej
niebezpieczne niż wersji z losowanymi kodami:
- np. pracownik banku z odpowiednimi uprawnieniami może go ukraść (całą
bazę kart wraz z kodami nieco trudniej jednak ukraść, nie wystarczy do
tego kartka i długopis)
- po "kompromitacji" klucza musimy unieważnić wszystkie karty, które
z niego korzystały - oznacza to konieczność częstej zmiany klucza
(np. codziennej), pamiętania wszystkich kluczy "dziennych", itd.
- zaletą takiego klucza mogłaby być możliwość trzymania go w bezpiecznej
czarnej skrzynce (a la Trusted Platform Module). Aczkolwiek
szyfrowanie całej bazy danych (wszystkich dostępów) przez taką czarną
skrzynkę rozwiązuje więcej problemów (jest jednak trudniejsze
sprzętowo).

Oczywiście "tajny algorytm" w literalnym rozumieniu nie wchodzi
w rachubę - nie istnieją algorytmy wystarczająco tajne.
--
Krzysztof Hałasa

do góry

On Thu, 23 Mar 2023 06:22:00 -0700 (PDT), Dawid Rutkowski wrote:
> czwartek, 23 marca 2023 o 12:11:10 UTC+1 J.F napisał(a):
>>> Fraud - sądzę, że lecieli po kolei z numerami kart - bo jeśli w durnym amazonie
>>> dalej tak jest, że nie trzeba CVC2, to wystarczy wylosować datę ważności.
>>> A może nawet nie losować, jeśli IKA robi tak jak luzak citek, czyli numeruje
wydawane karty po kolei...
>> Niektorzy maja dluzej. Numer zostaje, a data sie zmienia.
>
> Takiś uczony?
> To sprawdź najpierw, czy IKA wznawia karty, a potem się mądrzyj.
> Do tego seria tzw. "wielowalutowych" jest dopiero pierwsza - ja miałem jedną z
pierwszych,
> a była jeszcze ważna do lipca.
>
>> Podejrzewam, ze w miare łatwo da sie ustalic liste prawdopodobnych
>> numerow kart.
>> Ale tez banki sie moga zabezpieczyc, i np po 5 nieudanej probie
>> zablokowac klienta/komputer/adres IP.
>
> Próba wystarczy jedna.

Jedna to troche mało. ludzie się mylą.
Co prawda mozna próbowac rozpoznac czy to wygląda na pomyłke, czy ktos
np kolejne daty sprawdza. I informatycy mają zajęcie :-)

>A hacker ma do dyspozycji ze 100 IP.

To mu zablokują 100 i kariera sie skonczy.

Tylko teraz internet komórkowy modny - z jedngo IP wielu ludzi
korzysta, nie mozna zablokowac.

>>> Albo nawet nie losować, tylko z aliora wyciekła lista kart, alior oczywiście,
>>> jako pisiorski bank pod pisiorskim nadzorem, ani słowa o tym.
>> Z datami waznosci i cvc2?
>
> CVC2 wylicza się tajnym algorytmem z daty ważności i numeru karty.

Wow, a to sobie zabezpieczenie wymyslili

> Numery można dawać po kolei, daty ważności takoż.

Mozna, ale przy pewnej losowosci danych nie tak łatwo trafic.
Gorzej, jak piszesz, ze bank nie wznawia kart, i numeruje kolejno.
Patrzysz na jedną kartę, i mozesz wygenerować tysiace kolejnych.

> Ale amazon chyba wciąż nie wymaga cvc2 (a na pewno był czas, że nie wymagał),
> nie mówiąc o 3D-Secure.

No, jesli to taki tajny algorytm, to po co ma wymagac :-)

Algorytm jak widzę całkiem jawny nie jest, bo są dwa tajne klucze do
DES ... ciekawe, czy hackerzy je znają ...

>>> No coz, wyciekaly i z innych miejsc,
>>> Haker nie musi być kulturalny - nawet jak sprzeda za dolara taką subskrypcję, to
zarobi tego dolara.
>> trzeba miec kulturalnych przyjacioł.
>> A 1$ mało. I mozna latwo wpasc.
>
> Tylko mi IKA kartę wydał?

Nie tylko tobie, ale zeby zarobic 100$, to trzeba sie troche narobic
i miec setke zaufanych odbiorców.
Narkotyki lepsze.
No chyba, ze gdzies w Chinach, Rosji, Indiach, Afryce - to nie ma
problemu ze zbyciem nawet tysiąca subskrypcji bez ryzyka ...


J.

do góry