Re: Google Pay inny nr karty na potwierdzeniu - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › Google Pay inny nr karty na potwierdzeniu › Re: Google Pay inny nr karty na potwierdzeniu

Path: news-archive.icm.edu.pl!news.icm.edu.pl!news.chmurka.net!.POSTED.abkv47.neoplus
.adsl.tpnet.pl!not-for-mail
From: "J.F" <j...@p...onet.pl>
Newsgroups: pl.biznes.banki
Subject: Re: Google Pay inny nr karty na potwierdzeniu
Date: Thu, 23 Mar 2023 19:09:40 +0100
Organization: news.chmurka.net
Message-ID: <d8k004vecjuy$.pbvt4bpff8qd$.dlg@40tude.net>
References: <64161c56$0$9605$65785112@news.neostrada.pl>
<1...@g...com>
<8...@a...kjonca>
<0...@g...com>
<8...@a...kjonca>
<6...@g...com>
<8...@a...kjonca>
<5...@g...com>
<9...@g...com>
<nudn0jer8xx8$.1gxxfb53hx61a.dlg@40tude.net>
<7...@g...com>
<d47jmnsuo8fo$.1n5gwc2zqpf9n.dlg@40tude.net>
<c...@g...com>
<p4nz06wxfeot$.13r0ve094ribu$.dlg@40tude.net>
<d...@g...com>
NNTP-Posting-Host: abkv47.neoplus.adsl.tpnet.pl
Mime-Version: 1.0
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: 8bit
Injection-Info: news.chmurka.net; posting-account="jfoxwr";
posting-host="abkv47.neoplus.adsl.tpnet.pl:83.7.189.47";
logging-data="19384";
mail-complaints-to="abuse-news.(at).chmurka.net"
User-Agent: 40tude_Dialog/2.0.15.1
Xref: news-archive.icm.edu.pl pl.biznes.banki:667147
[ ukryj nagłówki ]
On Thu, 23 Mar 2023 06:22:00 -0700 (PDT), Dawid Rutkowski wrote:
> czwartek, 23 marca 2023 o 12:11:10 UTC+1 J.F napisał(a):
>>> Fraud - sądzę, że lecieli po kolei z numerami kart - bo jeśli w durnym amazonie
>>> dalej tak jest, że nie trzeba CVC2, to wystarczy wylosować datę ważności.
>>> A może nawet nie losować, jeśli IKA robi tak jak luzak citek, czyli numeruje
wydawane karty po kolei...
>> Niektorzy maja dluzej. Numer zostaje, a data sie zmienia.
>
> Takiś uczony?
> To sprawdź najpierw, czy IKA wznawia karty, a potem się mądrzyj.
> Do tego seria tzw. "wielowalutowych" jest dopiero pierwsza - ja miałem jedną z
pierwszych,
> a była jeszcze ważna do lipca.
>
>> Podejrzewam, ze w miare łatwo da sie ustalic liste prawdopodobnych
>> numerow kart.
>> Ale tez banki sie moga zabezpieczyc, i np po 5 nieudanej probie
>> zablokowac klienta/komputer/adres IP.
>
> Próba wystarczy jedna.

Jedna to troche mało. ludzie się mylą.
Co prawda mozna próbowac rozpoznac czy to wygląda na pomyłke, czy ktos
np kolejne daty sprawdza. I informatycy mają zajęcie :-)

>A hacker ma do dyspozycji ze 100 IP.

To mu zablokują 100 i kariera sie skonczy.

Tylko teraz internet komórkowy modny - z jedngo IP wielu ludzi
korzysta, nie mozna zablokowac.

>>> Albo nawet nie losować, tylko z aliora wyciekła lista kart, alior oczywiście,
>>> jako pisiorski bank pod pisiorskim nadzorem, ani słowa o tym.
>> Z datami waznosci i cvc2?
>
> CVC2 wylicza się tajnym algorytmem z daty ważności i numeru karty.

Wow, a to sobie zabezpieczenie wymyslili

> Numery można dawać po kolei, daty ważności takoż.

Mozna, ale przy pewnej losowosci danych nie tak łatwo trafic.
Gorzej, jak piszesz, ze bank nie wznawia kart, i numeruje kolejno.
Patrzysz na jedną kartę, i mozesz wygenerować tysiace kolejnych.

> Ale amazon chyba wciąż nie wymaga cvc2 (a na pewno był czas, że nie wymagał),
> nie mówiąc o 3D-Secure.

No, jesli to taki tajny algorytm, to po co ma wymagac :-)

Algorytm jak widzę całkiem jawny nie jest, bo są dwa tajne klucze do
DES ... ciekawe, czy hackerzy je znają ...

>>> No coz, wyciekaly i z innych miejsc,
>>> Haker nie musi być kulturalny - nawet jak sprzeda za dolara taką subskrypcję, to
zarobi tego dolara.
>> trzeba miec kulturalnych przyjacioł.
>> A 1$ mało. I mozna latwo wpasc.
>
> Tylko mi IKA kartę wydał?

Nie tylko tobie, ale zeby zarobic 100$, to trzeba sie troche narobic
i miec setke zaufanych odbiorców.
Narkotyki lepsze.
No chyba, ze gdzies w Chinach, Rosji, Indiach, Afryce - to nie ma
problemu ze zbyciem nawet tysiąca subskrypcji bez ryzyka ...

J.