DAJ CYNK
  • Aplikacje i usługi łączące świat finansów i technologii. Także dyskusje o tradycyjnych bankach jeśli są one nowoczesne i innowacyjne.
Aplikacje i usługi łączące świat finansów i technologii. Także dyskusje o tradycyjnych bankach jeśli są one nowoczesne i innowacyjne.

Moderator: Moderatorzy

Regulamin forum: 
Niech nie zmyli Was, że to dział Oprogramowanie.

Tutaj można dyskutować zarówno o aplikacjach związanych z finansami, ale też o usługach fitechów i tradycyjnych banków.

Uwaga! Nie akceptujemy żadnych reflinków, kodów polecających itp.
 #1107103  autor: forum_tg
 22 lis 2020, 22:54
Witam,

mógłby ktoś polecić możliwe cienkie, a zarazem dobre (w pełni działające) etui na kartę?
W sklepach internetowych i na allegro jest tego od groma, ale co do jakości większości z nich mam duże wątpliwości.

Co do ceny - rozsądek preferowany ;)
 #1107105  autor: Remington
 22 lis 2020, 23:14
Jeny, a po co? Oszustwo jest możliwe tylko w warunkach laboratoryjnych.

Sprawdzona metoda naciąć lekko kartę żyletką i straci swoją bezprzewodową moc. Alternatywa to blokada płatności zbliżeniowych w banku.
 #1107106  autor: forum_tg
 22 lis 2020, 23:23
Remington pisze:
22 lis 2020, 23:14
Jeny, a po co? Oszustwo jest możliwe tylko w warunkach laboratoryjnych.
Znane są mi autentyczne przypadki sczytania danych z karty przez niepowołane osoby - w życiu codziennym. Sczytanie z karty będącej w portfelu/kieszeni, a nie przez nakłady na bankomaty etc.
Alternatywa to blokada płatności zbliżeniowych w banku.
dobra metoda, szybka. Lepiej zabezpieczyć kartę, niż wyłączyć usługę. metoda płatności niezwykle popularna.
 #1107122  autor: f0ku5
 23 lis 2020, 11:37
forum_tg pisze:
22 lis 2020, 23:23
Znane są mi autentyczne przypadki sczytania danych z karty przez niepowołane osoby - w życiu codziennym. Sczytanie z karty będącej w portfelu/kieszeni, a nie przez nakłady na bankomaty etc.
Mógłbyś przybliżyć jakieś szczegóły? Taki "atak" jest praktycznie niemożliwy do wykonania.
 #1107149  autor: Remington
 23 lis 2020, 17:06
Zależy jaki.
forum_tg pisze:
22 lis 2020, 23:23
Znane są mi autentyczne przypadki sczytania danych z karty przez niepowołane osoby

Sczytanie karty jest proste, pozwala to poznać numer karty i datę ważności. Pewne ryzyko istnieje, ponieważ da się zapłacić w sklepach internetowych, które nie weryfikują CVC2/CVV2 ani 3D Secure. Czyli np. Booking, Amazon czy linie lotnicze, jednak ryzyko jest niewielkie, bo w takich przypadkach za fraudy odpowiada sprzedawca.
 #1107162  autor: forum_tg
 23 lis 2020, 18:57
Przykladow:
Płatność zbliżeniowa to też pewnego rodzaju sczytanie danych.
Wystarczy urzadzenie z mocniejszym sygnałem
Nie mówimy o standardowych ogólnodostępnych

@Rem
Sprzedawca odpowie jeżeli to dobry renomowany sklep
Jeżeli tylko "pośrednik"z końca świata to można szukać. ..
 #1107164  autor: Remington
 23 lis 2020, 19:01
Dalej nie rozumiem czego się obawiasz. Tego, że ktoś zapłaci za Ciebie w necie i będziesz musiał składać reklamację?

I tak ją wygrasz. Renoma sklepu nie ma nic do rzeczy, tylko decyzja organizacji płatniczej, a te od ponad 10 lat z defaultu wskazują jako winną stronę, która nie wdrożyła weryfikacji CVV2/CVC2/3DSecure.

Płatność zbliżeniowa to nie jest sczytanie danych, bez obaw. To dwustronna komunikacja dwóch urządzeń kryptograficznych.
 #1107177  autor: forum_tg
 23 lis 2020, 22:25
Remington pisze: Płatność zbliżeniowa to nie jest sczytanie danych, bez obaw. To dwustronna komunikacja dwóch urządzeń kryptograficznych.
to teoretyzując: przykładając czytnik kart, do torby w której jest karta płatnicza, pozwoli na "zapłacenie zbliżeniowe" bez wiedzy "płacącego"? standardowe czytniki (terminale) wraz z kartą potrzebują bardzo małego odstępu, żeby płatność została zaakceptowana. Ale niestandardowe terminale...??
 #1107178  autor: f0ku5
 23 lis 2020, 22:34
W mojej opinii nie pozwoli, ponieważ odległość będzie za duża, a poza tym w większości przypadków będzie konflikt z innymi kartami. Dodatkowo to nie jest tak, że każdy sobie może chodzić z terminalem w komunikacji miejskiej ;) One są wydawane i rejestrowane przez odpowiednie firmy.
Generalnie możesz mi zaufać, że bez jakiejkolwiek ochrony i tak nikt Cię nie okradnie.
 #1107181  autor: Remington
 23 lis 2020, 22:52
Nie ma „niestandardowych” terminali, wszystkie muszą być certyfikowane oraz dostarcza je operator współpracujący z organizacją.

Scenariusze ataków widzę trzy (od najbardziej prawdopodobnego):

1. Skaner kart i pozyskanie w ten sposób danych karty do płatności internetowej w sklepie pozbawionym zabezpieczeń. Prawdopodobne, ale reklamacja będzie uznana (od co najmniej 15 lat nie słyszałem o odrzuconej reklamacji w takiej sytuacji).

2. Ktoś z przenośnym terminalem przykłada go do czyjejś kieszeni, torebki itp. Ukradnie do 100 zł (czyli do wysokości płatności bez PIN). Znane są pełne dane firmy, do której pieniądze trafiły (a właściwie trafią, bo to trochę trwa). Otwieranie fikcyjnej firmy na słupa oraz konta w banku dla wielu fake’owych płatności do 100 zł każda przy konieczności każdorazowego fizycznego kontaktu z portfelami ofiar to duży zachód i względnie mały zarobek dla oszustów, więc można włożyć to między bajki - łatwiej i z mniejszym ryzykiem będzie im być tradycyjnymi kieszonkowcami. Gdyby nawet do tego doszło to reklamacja też wygrana, bo niska wartość sprawi, że poszkodowanych musiałoby być wielu i to w krótkim czasie, a na to zareagują banki i organizacje .

3. Tunel. Sklonować można było pasek magnetyczny, który działał jednokierunkowo, ale nie czip EMV. A wszystkie karty zbliżeniowe są wydawane w standardzie EMV.

- W Paryżu najlepsze kasztany są na placu Pigalle.
- Zuzanna lubi je tylko jesienią.
- Przesyła ci świeżą partię.

W ogromnym (mega mega) skrócie tak rozmawia terminal z kartą (a bez skrótu: jest to minimalnie okrojony przebieg płatności w standardzie EMV opisany w Wikipedii).

Kryptografia odpowiada za to, by za każdym razem terminal podał inne hasło i oczekiwał innego odzewu. Z tego powodu nie da się przewidzieć jakiego hasła użyje terminal przy następnej płatności, ani przewidzieć jakiego odzewu powinna udzielić karta.

To co się udaje zeskanować z karty zbliżeniowej to AID, czyli posługując się powyższym przykładem jedynie informacja w jakim języku terminal ma wypowiedzieć hasło.

Aby móc zapłacić, trzeba więc stworzyć tunel - po jednej stronie musi być karta i skaner, a po drugiej ktoś przykładający dokładnie w tym samym momencie połączone urządzenie do terminala. Nie ma inaczej i dlatego ta technologia jest bezpieczna.

Wiedzą o tym też oszuści i ograniczają się do płatności w internecie, a przede wszystkim do fizycznej kradzieży karty i płatności nią bez PIN.
 #1107184  autor: forum_tg
 24 lis 2020, 07:18
Remington pisze:
23 lis 2020, 22:52
Nie ma „niestandardowych” terminali, wszystkie muszą być certyfikowane oraz dostarcza je operator współpracujący z organizacją.
a co z przerobionymi urządzeniami? raczej nie są one zbyt często kontrolowane.

A to poruszę kwestię identyfikację osób poprzez sczytanie danych z karty - jak oceniasz możliwość?
 #1107185  autor: Remington
 24 lis 2020, 08:19
Przerobionymi? Ktoś musiałby rozebrać terminal i podmienić w nim antenę oraz moduł odpowiedzialny za zasilanie by uzyskać większą moc anteny. Nie wiadomo czy taki terminal w ogóle zadziała.

Hipotetycznie zakładając, że tak, to nadal oszust musiałby kradzieży dokonywać jako firma, a zaawansowana ingerencja w urządzenie plus rejestracja firmy plus otwieranie konta w banku plus zawarcie umowy na terminal to zbyt dużo zachodu dla kradzieży do maks. 100 zł sztuka, nawet gdyby tych sztuk było sporo. Kilka-kilkanaście reklamacji i po 3-4 dniach taki terminal zostanie zablokowany, a wypłata dalszych pieniędzy zablokowana. Zarobią więc tylko część tego co nakradli, o ile w ogóle cokolwiek. Dużo zachodu złodzieje sobie zadają dla konkretnego zysku, a nie ryzykując wpadkę na różnych etapach dla relatywnie niskich kwot. Więcej zarobią mniej ryzykując i mniej się napracowując jako zwykli kieszonkowcy. Ryzyko czysto hipotetyczne.

Identyfikacja osób? Imię i Nazwisko (dane nieunikalne) może być zapisane na karcie (choć nie musi), ale nie przypominam sobie bym przy płatności zbliżeniowej kiedykolwiek ujrzał je na ekranie terminala czy na wydruku. Wczoraj podczas skanowania moich kart, nazwisko ani razu nie pojawiło się wśród zebranych danych.