L501 aneryS napisał:

>> Czy to z kolei nie są ograniczenia nadane przez bank dla płatności
>> zbliżeniowych (które to z definicji nie używają pinu)?
>
> Z tym niepotwierdzaniem - spotkalem si,e ze sklepem, gdzie wszystkie
> karty szły na podpis...

No to w sumie dobrze. Zachachmęcone transakcje na podpisł łatwiej
reklamować niż te na pin. Ja do kredytowej nawet nie pamiętam pinu.

>> Z kolei w takim na przykład Amazonie, przy płatności internetowej,
>> w ogóle nie pytają o ten (jak mu tam) trzycyfrowy kod, co jest
>> wydrukowany z tyłu. W dodatku taka karta jest rejestrowana w systemie
>> i od tego momentu można wszystko kupować jednym kliknięciem bez
>> podawania czegokolwiek.
>
> Teraz zwykły włam na konto i żegnaj Gienia, kup se trąbkę...

Nie takie to proste. Numeru z konta już odczytać się nie da, więc
można kupować tylko trąbki sprzedawane przez Amazon. Ale żeby je
mogli gdzieś dostarczyć, to trzeba podać jakiś adres. A tam już
może czekać tak zwany organ ścigania.

--
Jarek

do góry

Użytkownik "Jarosław Sokołowski" <j...@l...waw.pl> napisał w wiadomości
news:slrnjireii.tfb.jaros@falcon.lasek.waw.pl...
> L501 aneryS napisał:
>
>>> Czy to z kolei nie są ograniczenia nadane przez bank dla płatności
>>> zbliżeniowych (które to z definicji nie używają pinu)?
>>
>> Z tym niepotwierdzaniem - spotkalem si,e ze sklepem, gdzie wszystkie
>> karty szły na podpis...
>
> No to w sumie dobrze. Zachachmęcone transakcje na podpisł łatwiej
> reklamować niż te na pin. Ja do kredytowej nawet nie pamiętam pinu.

Tylko ludkowie dziwowali się - wiem bo kasjerem byłem w tym sklepie.
No, jeszcze jak rzeczywiście podpisać trzeba, to jakiś odsiew jest, z
drugiej strony nauczyć się podrobić podpis, to sztuka? Nie ma idealnego
zabezpieczenia.

>
>> Teraz zwykły włam na konto i żegnaj Gienia, kup se trąbkę...
>
> Nie takie to proste. Numeru z konta już odczytać się nie da, więc
> można kupować tylko trąbki sprzedawane przez Amazon. Ale żeby je
> mogli gdzieś dostarczyć, to trzeba podać jakiś adres. A tam już
> może czekać tak zwany organ ścigania.

Ale zawsze kłopot i korowody...

--
Pod żadnym pozorem nie zezwalam na wysyłanie mi jakichkolwiek reklam,
ogłoszeń, mailingów, itd., ani nawet zapytań o możliwość ich wysyłki.
Nie przyjmuję ŻADNYCH tłumaczeń, że mój adres e-mail jest ogólnodostępny
i nie został ukryty. Wszelkie próby takich wysyłek potraktuję jako stalking.

do góry

L501 aneryS napisał:

>>> Z tym niepotwierdzaniem - spotkalem si,e ze sklepem, gdzie wszystkie
>>> karty szły na podpis...
>>
>> No to w sumie dobrze. Zachachmęcone transakcje na podpisł łatwiej
>> reklamować niż te na pin. Ja do kredytowej nawet nie pamiętam pinu.
>
> Tylko ludkowie dziwowali się - wiem bo kasjerem byłem w tym sklepie.
> No, jeszcze jak rzeczywiście podpisać trzeba, to jakiś odsiew jest, z
> drugiej strony nauczyć się podrobić podpis, to sztuka? Nie ma idealnego
> zabezpieczenia.

Nie chodzi o nauczenie się. Ja często coś nagryzmolę na kwitku, a kasjer
nawet nie spojrzy na kartę i nie próbuje porównywać. Chodzi o możliwość
reklamacji. Jeśli bank mi obciąży kartę jakąś przekręciarską transakcją,
to ja im każę pokazać slipa z *moim* podpisem. I albo ją cofną, albo
mają sprawę z fałszerstwem podpisu w tle. Na to drugie nigdy nie idą.
W przypadku transakcji z pinem bank jest panem sytuacji, zrobi jak chce
i żaden biegły im nie podskoczy.

>>> Teraz zwykły włam na konto i żegnaj Gienia, kup se trąbkę...
>>
>> Nie takie to proste. Numeru z konta już odczytać się nie da, więc
>> można kupować tylko trąbki sprzedawane przez Amazon. Ale żeby je
>> mogli gdzieś dostarczyć, to trzeba podać jakiś adres. A tam już
>> może czekać tak zwany organ ścigania.
>
> Ale zawsze kłopot i korowody...

Ryzyko dla złodzieja jednak duże. W Stanach czasem złodzieje zamawiają
na prawdziwy adres. Tam kurierzy mają zwyczaj, że towar (do pewnej
wartości) po prostu rzucają przed wejściem do posesji, nie biorą
pokwitowania i jadą dalej. A zbójcy czatuja i od razu biorą co zamówili.

--
Jarek

do góry

W dniu 2012-02-04 15:14 Piotr Gałka napisał(a):

>> Mnie PayPass z mBanku wkurzał w warszawskim metrze bo gryzie się z
>> kartą miejską i zawsze musiałem wyciągać ją oddzielnie z portfela -
>
> Jeśli jedno i drugie to mifare (tego nie jestem pewien) to winny jest
> raczej czytnik a nie karta.
> P.G.

Może to nawet tylko kwestia oprogramowania - ale bramki w metrze i
czytniki w warszawskich autobusach konsekwentnie informują o wykryciu
więcej niż jednej karty. Dopiero przyłożona tylko jedna karta (miejska)
działa poprawnie.

Wszystko fajnie, że technologia radiowa jest ta sama co w MC PayPass -
ale kuleje możliwość gadania z jedną kartą gdy w zasięgu jest kilka.

--
Adam Dybkowski
http://dybkowski.net/

Uwaga: przed wysłaniem do mnie maila usuń cyfry z adresu.

do góry

Użytkownik "Adam Dybkowski" <a...@g...6c7o8m> napisał w
wiadomości news:jgm8ri$3tj$1@news.icm.edu.pl...
>
> Wszystko fajnie, że technologia radiowa jest ta sama co w MC PayPass - ale
> kuleje możliwość gadania z jedną kartą gdy w zasięgu jest kilka.
>

A jak to niby mialo by sie odbywac ?
Lista znalezionych kart na czytniku
i wybor ktora laskawie chcesz zaplacic
- moze opcja na chybil-trafil ?

Juz z 10 lat wstecz albo i wiecej
placac kredytowka na autostradzie
nikt nie żądał pinu ani podpisu i jakos sie dalo ;)

Pozdrawiam

do góry

Użytkownik Waldek napisał:
>
> Użytkownik "Adam Dybkowski" <a...@g...6c7o8m> napisał
> w wiadomości news:jgm8ri$3tj$1@news.icm.edu.pl...
>>
>> Wszystko fajnie, że technologia radiowa jest ta sama co w MC PayPass -
>> ale kuleje możliwość gadania z jedną kartą gdy w zasięgu jest kilka.
>>
>
> A jak to niby mialo by sie odbywac ?
> Lista znalezionych kart na czytniku
> i wybor ktora laskawie chcesz zaplacic
> - moze opcja na chybil-trafil ?
[..]

Sieć 1-wire i pokrewne działają jakoś bezbłędnie w podobnych warunkach
(co prawda po kablu ale nie ma linii CE z którym elementem host chce
gadać), i raczej tu chodzi o wyeliminowanie karty której użyć się w
konkretnym przypadku i tak nie da.

--
AlexY
http://nadzieja.pl/inne/spam.html
http://www.pg.gda.pl/~agatek/netq.html

do góry

rageofhonor <w...@w...pl> wrote:

> Bo nie wiem dokładnie czy te karty posiadają baterię czy nie.

Nie posiadają.

> Obojętnie: zniszczyć, wyłączyć RFID. Wszystko by nie mieć tego dziadostwa.
> By tylko pasek magnetyczny i czip właściwy (ten srebrny lub złoty) działał.

Jest jeden chip, uszkadzając go zostawisz sobie tylko pasek, co nie jest
mądre, bo pasek ma tzw. kod serwisowy (trzy cyfry określające dozwolone
sposoby użycia karty), a w kartach z chipem pierwsza cyfra tego kodu wynosi
2 lub 6, co oznacza m.in. use chip where feasible. Jeżeli terminal obsługuje
transakcje stykowe, czyli EMV (w Polsce z tego co wiem tylko PEKAO jeszcze
nie obsługuje EMV), to taką kartę i tak trzeba włożyć do czytnika stykowego,
żeby zezwolić na fallback do paska magnetycznego. Tak jest zawsze - bez tego
aplikacja nie przejdzie certyfikacji Visy ani MasterCarda.

Więc pozostaje ci jedynie przerwanie anteny.

Jako ciekawostka - mając klucze do komunikacji z kartą można wysłać do karty
skrypt, który zablokuje część bezstykową. Wtedy zbliżenie karty do czytnika
poskutkuje komunikatem "użyj karty w terminalu" (lub podobnym). Czasem takie
skrypty przychodzą razem z odpowiedzią z serwera autoryzacyjnego i mogą robić
różne rzeczy (zmieniać PIN, jeżeli jest to PIN offline, blokować/odblokowywać
contactless, itd).

Ta wiedza nie jest tajna, wszystko jest dostępne w Internecie (EMV Book itd).

--
gof

do góry

!sp <s...@a...er> wrote:

> Może o to?
> http://niebezpiecznik.pl/post/klonowanie-zblizeniowy
ch-kart-kredytowych-rfid/

Dla mnie większym zagrożeniem niż odczyt contactlessa jest widoczność CVV.
Znając numer PAN, datę ważności i CVV można uzyskać kod autoryzacji bez
weryfikacji cardholdera (CVM - Cardholder Verification Method, czyli np.
PIN lub podpis) i zrobić transakcję, a te wszystkie liczby są wydrukowane
na karcie.

--
gof

do góry

Użytkownik "Adam Wysocki" <g...@n...invalid> napisał w
wiadomości news:pme.1328519346@news.chmurka.net...
> !sp <s...@a...er> wrote:
>
>> Może o to?
>> http://niebezpiecznik.pl/post/klonowanie-zblizeniowy
ch-kart-kredytowych-rfid/
>
> Dla mnie większym zagrożeniem niż odczyt contactlessa jest widoczność CVV.
> Znając numer PAN, datę ważności i CVV można uzyskać kod autoryzacji bez
> weryfikacji cardholdera (CVM - Cardholder Verification Method, czyli np.
> PIN lub podpis) i zrobić transakcję, a te wszystkie liczby są wydrukowane
> na karcie.

CVV mozna w bardzo prosty sposob "utajnic" na karcie
i jest to prosta metoda na ominiecie problemu
chocby przesuniecia karty przed kamerą nieuczciwego sprzedawcy
zas pozbycie sie peRFIDnej wlasciwosci juz bardziej skomplikowane.

IMO b.dobre rozwiazanie zaczyna pojawiac sie w czesci marketow
- stojak z czytnikiem gdzie klient sam wsuwa karte i wstukuje pin
a nie podaje ja sprzedawcy do reki

do góry

Użytkownik "Waldek" <j...@t...mam>

>
> IMO b.dobre rozwiazanie zaczyna pojawiac sie w czesci marketow
> - stojak z czytnikiem gdzie klient sam wsuwa karte i wstukuje pin
> a nie podaje ja sprzedawcy do reki
>

Co za różnica jak ten terminal jest w 100% kontrolowany przez sprzedawcę ?!

do góry