On 2 Mar, 17:02, orcio <or...@NOSPAMinteria.pl> wrote:

Witam
Zacząłem czytać w sieci ogólnie o RFID (ang. Radio frequency
identification) i dotarłem do takiego reportażuhttp://tiny.pl/hgxwm
Jak się do tego odnosicie, bo dla mnie najlepszym rozwiązaniem będziehttp://tiny.pl/hgxwt
tak samo jak przy hybrydowych (pasek + chip) uszkodzenie paska.

orcio

Tak ale jest to mozliwosc czysto teoretyczna dlatego zajmuja sie tym
jacyc studenci na konferencji, nie zas przestepcy na ulicy.

Koniecznosc poruszania sie z odpowiednim sprzetem, koniecznosc
fizycznego obcowania z "ofiara" oraz mozliwosc kradziezy jedynie na
jakis rachunek bankowy + limit 50 zl na operacje powoduja, ze
praktycznie nikt sie tego nie podejmie. Osobiscie sluszalem o 0
(slownie: zero) takich incydentow w Polsce. W krajach gdzie
technologia  jest dluzej i jest popularniejsza tez nie odnotowano tego
typu akcji.

Zlodzieje stawiaja na metody szybkie i anonimowe, najlepiej
pozwalajace ukrasc gotowke lub duza sume pieniedzy "na raz".

Natomiast chodzenie z czytnikiem w tlumie i "podbieranie" po 50 zl,
ktore trafia na okreslone konto bankowe za 3-4 dni to nie jest robota
dla przestepcow. Takim czyms moga sie zainteresowac jedynie amatorzy
chcacy wzbudzic zainteresowanie w internecie :)

On 3 Mar, 06:32, BK <bkapuscin...@gmail.com> wrote:

Natomiast chodzenie z czytnikiem w tlumie i "podbieranie" po 50 zl,
ktore trafia na okreslone konto bankowe za 3-4 dni to nie jest robota
dla przestepcow. Takim czyms moga sie zainteresowac jedynie amatorzy
chcacy wzbudzic zainteresowanie w internecie :)

Jednak gdyby takich osób z takimi kartami było dużo więcej, nawet w
krajach które teraz mają tą technologię nieźle rozwiniętą, to w
połaczeniu z faktem, że taka transakcja może być niewykrywalna przez
ofiarę (pojedyńcza transakcja na niewielka kwotę w sklepie w rejonie
którego ktoś przebywał)
może to zostac uznane za warte zachodu.

On 2010-03-03 06:32, BK wrote:

On 2 Mar, 17:02, orcio <or...@NOSPAMinteria.pl> wrote:

....

Tak ale jest to mozliwosc czysto teoretyczna dlatego zajmuja sie tym
jacyc studenci na konferencji, nie zas przestepcy na ulicy.

....

Zlodzieje stawiaja na metody szybkie i anonimowe, najlepiej
pozwalajace ukrasc gotowke lub duza sume pieniedzy "na raz".

Natomiast chodzenie z czytnikiem w tlumie i "podbieranie" po 50 zl,
ktore trafia na okreslone konto bankowe za 3-4 dni to nie jest robota
dla przestepcow. Takim czyms moga sie zainteresowac jedynie amatorzy
chcacy wzbudzic zainteresowanie w internecie :)

No, nieeee... Moim zdaniem orcio chciał raczej zaakcentować potrzebę stosowania domowych metod uzupełniania dziurawych technik zabezpieczania kart bankowych, skoro same banki nie kwapią się do profesjonalnego poprawiania tych technik.
Ty sugerujesz, że dlatego, iż piszą o tym amatorzy, to należy rzecz lekceważyć.
To ja zapytam: czy sądzisz, że napiszą o tym "zawodowcy" ? :-)

witrak()
PS. A szum w Internecie sprzyja rozprzestrzenianiu się wiedzy na te tematy, i to dobrze nawet jeśli zostaje ona przy tym spłycona...

BK pisze:

On 2 Mar, 17:02, orcio <or...@NOSPAMinteria.pl> wrote:

Witam
Zacząłem czytać w sieci ogólnie o RFID (ang. Radio frequency
identification) i dotarłem do takiego reportażuhttp://tiny.pl/hgxwm
Jak się do tego odnosicie, bo dla mnie najlepszym rozwiązaniem będziehttp://tiny.pl/hgxwt
tak samo jak przy hybrydowych (pasek + chip) uszkodzenie paska.

orcio

Tak ale jest to mozliwosc czysto teoretyczna dlatego zajmuja sie tym
jacyc studenci na konferencji, nie zas przestepcy na ulicy.

Koniecznosc poruszania sie z odpowiednim sprzetem, koniecznosc
fizycznego obcowania z "ofiara" oraz mozliwosc kradziezy jedynie na
jakis rachunek bankowy + limit 50 zl na operacje powoduja, ze
praktycznie nikt sie tego nie podejmie.

Ten sprzęt może mieć inna postać np. bramka w drzwiach RFID zasilane jest indukcyjnie wiec jeżeli wchodzi sie w odpowiednie pole wtedy chip zaczyna rozgłaszać do tego odpowiednio czuła antena i zamontowanie takiego sprzętu na jakimś przejściu np. do metra to tak teoretycznie. Według mnie najlepszym rozwiązaniem jest chip stykowy, taka karta może też mieć kwotę do 50zł bez autoryzacji a już właściciel jest świadomy jej obciążenia.

orcio

On 3 Mar, 10:16, orcio <or...@NOSPAMinteria.pl> wrote:

BK pisze:



> On 2 Mar, 17:02, orcio <or...@NOSPAMinteria.pl> wrote:
>> Witam
>> Zacząłem czytać w sieci ogólnie o RFID (ang. Radio frequency
>> identification) i dotarłem do takiego reportażuhttp://tiny.pl/hgxwm
>> Jak się do tego odnosicie, bo dla mnie najlepszym rozwiązaniem będziehttp://tiny.pl/hgxwt
>> tak samo jak przy hybrydowych (pasek + chip) uszkodzenie paska.

>> orcio

> Tak ale jest to mozliwosc czysto teoretyczna dlatego zajmuja sie tym
> jacyc studenci na konferencji, nie zas przestepcy na ulicy.

> Koniecznosc poruszania sie z odpowiednim sprzetem, koniecznosc
> fizycznego obcowania z "ofiara" oraz mozliwosc kradziezy jedynie na
> jakis rachunek bankowy + limit 50 zl na operacje powoduja, ze
> praktycznie nikt sie tego nie podejmie.

Ten sprzęt może mieć inna postać np. bramka w drzwiach RFID zasilane
jest indukcyjnie wiec jeżeli wchodzi sie w odpowiednie pole wtedy chip
zaczyna rozgłaszać do tego odpowiednio czuła antena i zamontowanie
takiego sprzętu na jakimś przejściu np. do metra to tak teoretycznie.
Według mnie najlepszym rozwiązaniem jest chip stykowy, taka karta może
też mieć kwotę do 50zł bez autoryzacji a już właściciel jest świadomy
jej obciążenia.

orcio

Mozna tez podpiac sie np. pod antene na PKiN i oskubac cala Warszawe
na raz.

Tylko warto zrozumiec, ze po prostu jest to praktycznie niemozliwe.

Obciazenia z transakcji paypass splywaja z opoznieniem bo jest to
transakcja off-line. Po tych 2-3 dniach kase z konta jeszcze trzeba
gdzies wybrac.

Zakladajac nawet, ze ktos zdobywa autentyczny terminal i na nim robi
taki walek - to jest on do wykrycia w kilkanascie minut - za duza
liczba transakcji pay-pass jednym czasie i miejscu.

Trzeba by zdobyc autentyczny terminal, symulowac rozne kwoty
transakcji, robic jedna, czekac jakis czas, robic kolejna ect. ect. -
bo wszystko co sie dzieje na kartach, a odbiega od statystycznych
zachowan system musi wylapac.

Model okradania paypassow bije po oczach swoja niepraktycznoscia i
techniczna niewykonalnoscia.

Okradac paypassy moglby tylko ten, kto zdecydowalby sie koniecznie
okrasc paypassy - nie interesowaloby go zarobienie kasy tylko
udowodnienie, ze praktyczne okradanie paypass jest mozliwe. I to on
moglby zrobic - jakby sie bardzo uparl i mial szczescie.

Zlodzieje, oszuci kartowi ect. zwykle wybieraja metode, ktora jest
skuteczna - a nie taka, ktora jest tylko teoretycznie mozliwa.

Dlatego nikt nie okrada pay-passow bo jest conajmniej "nascie" metod
na prostrze golenie ludzi korzystajacych z kart.

Kolejna rzecz - z calym szacunkiem dla grupy - awangarda oszustw
kartowych nie jestesmy. Skoro tu sie mowi o teorii okradania paypassow
- a nigdzie nie bylo praktycznego zastsowania tej metody to jednak o
czyms to swiadczy.

O metodach skutecznych i niebezpiecznych zwykle dowiadujemy sie po ich
skutecznym wykorzystaniu :)

BK pisze:

Mozna tez podpiac sie np. pod antene na PKiN i oskubac cala Warszawe
na raz.

Tylko warto zrozumiec, ze po prostu jest to praktycznie niemozliwe.

Obciazenia z transakcji paypass splywaja z opoznieniem bo jest to
transakcja off-line. Po tych 2-3 dniach kase z konta jeszcze trzeba
gdzies wybrac.

Zakladajac nawet, ze ktos zdobywa autentyczny terminal i na nim robi
taki walek - to jest on do wykrycia w kilkanascie minut - za duza
liczba transakcji pay-pass jednym czasie i miejscu.

Trzeba by zdobyc autentyczny terminal, symulowac rozne kwoty
transakcji, robic jedna, czekac jakis czas, robic kolejna ect. ect. -
bo wszystko co sie dzieje na kartach, a odbiega od statystycznych
zachowan system musi wylapac.

Model okradania paypassow bije po oczach swoja niepraktycznoscia i
techniczna niewykonalnoscia.

Okradac paypassy moglby tylko ten, kto zdecydowalby sie koniecznie
okrasc paypassy - nie interesowaloby go zarobienie kasy tylko
udowodnienie, ze praktyczne okradanie paypass jest mozliwe. I to on
moglby zrobic - jakby sie bardzo uparl i mial szczescie.

Zlodzieje, oszuci kartowi ect. zwykle wybieraja metode, ktora jest
skuteczna - a nie taka, ktora jest tylko teoretycznie mozliwa.

Dlatego nikt nie okrada pay-passow bo jest conajmniej "nascie" metod
na prostrze golenie ludzi korzystajacych z kart.

Kolejna rzecz - z calym szacunkiem dla grupy - awangarda oszustw
kartowych nie jestesmy. Skoro tu sie mowi o teorii okradania paypassow
- a nigdzie nie bylo praktycznego zastsowania tej metody to jednak o
czyms to swiadczy.

O metodach skutecznych i niebezpiecznych zwykle dowiadujemy sie po ich
skutecznym wykorzystaniu :)

W reportażu jest podane jakie dane można odczytać, jakimi RFID się przedstawia. Mnie to się kojarzy z nakładką na bankomat tylko w wersji bezstykowej i bezprzewodowej. Jeżeli karta nie ma autoryzacji kodem CVV/CVC przy płatnościach online to nie ma ograniczenia do 50zł, ale nie wiem jak oni tam mają w tej hameryce.

orcio

On 3 Mar, 17:39, orcio <or...@NOSPAMinteria.pl> wrote:

BK pisze:



> Mozna tez podpiac sie np. pod antene na PKiN i oskubac cala Warszawe
> na raz.

> Tylko warto zrozumiec, ze po prostu jest to praktycznie niemozliwe.

> Obciazenia z transakcji paypass splywaja z opoznieniem bo jest to
> transakcja off-line. Po tych 2-3 dniach kase z konta jeszcze trzeba
> gdzies wybrac.

> Zakladajac nawet, ze ktos zdobywa autentyczny terminal i na nim robi
> taki walek - to jest on do wykrycia w kilkanascie minut - za duza
> liczba transakcji pay-pass jednym czasie i miejscu.

> Trzeba by zdobyc autentyczny terminal, symulowac rozne kwoty
> transakcji, robic jedna, czekac jakis czas, robic kolejna ect. ect. -
> bo wszystko co sie dzieje na kartach, a odbiega od statystycznych
> zachowan system musi wylapac.

> Model okradania paypassow bije po oczach swoja niepraktycznoscia i
> techniczna niewykonalnoscia.

> Okradac paypassy moglby tylko ten, kto zdecydowalby sie koniecznie
> okrasc paypassy - nie interesowaloby go zarobienie kasy tylko
> udowodnienie, ze praktyczne okradanie paypass jest mozliwe. I to on
> moglby zrobic - jakby sie bardzo uparl i mial szczescie.

> Zlodzieje, oszuci kartowi ect. zwykle wybieraja metode, ktora jest
> skuteczna - a nie taka, ktora jest tylko teoretycznie mozliwa.

> Dlatego nikt nie okrada pay-passow bo jest conajmniej "nascie" metod
> na prostrze golenie ludzi korzystajacych z kart.

> Kolejna rzecz - z calym szacunkiem dla grupy - awangarda oszustw
> kartowych nie jestesmy. Skoro tu sie mowi o teorii okradania paypassow
> - a nigdzie nie bylo praktycznego zastsowania tej metody to jednak o
> czyms to swiadczy.

> O metodach skutecznych i niebezpiecznych zwykle dowiadujemy sie po ich
> skutecznym wykorzystaniu :)

W reporta u jest podane jakie dane mo na odczyta , jakimi RFID si
przedstawia. Mnie to si kojarzy z nak adk na bankomat tylko w wersji
bezstykowej i bezprzewodowej. Je eli karta nie ma autoryzacji kodem
CVV/CVC przy p atno ciach online to nie ma ograniczenia do 50z , ale nie
wiem jak oni tam maj w tej hameryce.

orcio

Numer karty mozna przeczytac przy kazdym jej uzyciu. Nie trzeba bawic
sie w skaner rifid - wystarczy komorka z aparatem fograficznym na
kasie w markecie zeby dziennie miec setki numerow kart i daty
waznosci, nawet CVV/CVC mozna sobie spisac.

Tylko ponownie - ryzyko wpadki przy takim procederze jest tak wielkie,
ze biora sie za to jedynie glupi amatorzy, ktorzy wpadaja od razu.

BK <bkapuscinski@gmail.com> writes:

Obciazenia z transakcji paypass splywaja z opoznieniem bo jest to
transakcja off-line. Po tych 2-3 dniach kase z konta jeszcze trzeba
gdzies wybrac.

Zakladajac nawet, ze ktos zdobywa autentyczny terminal i na nim robi
taki walek - to jest on do wykrycia w kilkanascie minut - za duza
liczba transakcji pay-pass jednym czasie i miejscu.

To jest bez sensu, ale to nie znaczy, ze wszystkie metody sa bez sensu.
Metoda z kupowaniem w normalnym sklepie (placac karta "zdalna") ma juz
sens. Jasne ze nie taki, jak podejrzenie PINu od electrona i skopiowanie
paska magnetycznego, a nastepnie wizyta przy bankomacie.

Zlodzieje, oszuci kartowi ect. zwykle wybieraja metode, ktora jest
skuteczna - a nie taka, ktora jest tylko teoretycznie mozliwa.

Ta jest skuteczna, choc mniej skuteczna od PINu + paska. Z tym, ze
metody skuteczne kiedys powoli staja sie nieskuteczne.
--
Krzysztof Halasa

Dnia Tue, 02 Mar 2010 21:32:44 -0800, BK napisał(a):

Natomiast chodzenie z czytnikiem w tlumie i "podbieranie" po 50 zl,
ktore trafia na okreslone konto bankowe za 3-4 dni to nie jest robota
dla przestepcow. Takim czyms moga sie zainteresowac jedynie amatorzy
chcacy wzbudzic zainteresowanie w internecie :)

Mnie zastanawia jednak kwestia techniczna. Wiadomo karty są z chipem RFID i można się ustawić w jakimś ruchliwym miejscu. Tylko teraz tak czytnik musi być chyba na kogoś wystawiony, no bo jakoś transakcja musi zostać na karcie zaksięgowana - typu gdzieś tam się czegoś dokonało. Teraz wiadomo, że ktoś będzie chciał zarobić szybko i dużo. Tylko takie multum operacji chyba może zostać łatwo wychwycone przez systemy wystawców kart albo właścicieli samego terminala, tym bardziej, że transakcja idzie off.



--
xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide

On 3 Mar, 11:16, xbartx <b...@hashzero.net> wrote:

Tylko teraz tak czytnik
musi być chyba na kogoś wystawiony, no bo jakoś transakcja musi zostać na
karcie zaksięgowana - typu gdzieś tam się czegoś dokonało.

IMHO należałoby podczepiać sie do innego terminala tak aby właściciel
o tym nie wiedział, może to być nawet wiele różnych terminali. Jesli
komus udałoby się opracować technikę podłączania do wielu kart
przechodniów, pasażerów autobusów itp to może znalazłby też sposób na
korzystanie
z większej ilości cudzych terminali. Złodziej byłby tylko pośrednikiem
między posiadaczem karty a właścicielem sklepu.

W praktyce złodziejem może być też pracownik sklepu, sprzedawca (na
pewno nie właściciel) co prawda może łatwo wpasć ale może się to dla
kogs wydać kuszące.
Ktoś płaci kartą paypass ale w sposób tradycyjny więc podaje kartę
sprzedawcy, ten niby wkłada kartę do czytnika kart, ale przy okazji
gdzieś podsuwa pod jakiś ukryty czytnik paypass i kasuje za coś
taniego co sobie zabierze. Pojedyńcza transakcja, niewielka kwota,
sklep znany posiadaczowi karty - duże szanse, że się nie zorientuje,
że takiej transakcji nie wykonał. Jest to możliwe?

Dnia Wed, 03 Mar 2010 02:31:17 -0800, Krzysiek napisał(a):

Ktoś płaci kartą paypass ale w sposób tradycyjny więc podaje kartę
sprzedawcy, ten niby wkłada kartę do czytnika kart, ale przy okazji
gdzieś podsuwa pod jakiś ukryty czytnik paypass i kasuje za coś taniego
co sobie zabierze. Pojedyńcza transakcja, niewielka kwota, sklep znany
posiadaczowi karty - duże szanse, że się nie zorientuje, że takiej
transakcji nie wykonał. Jest to możliwe?

No niby jest tylko teraz tak. Sklep musiałby mieć dwie kasy i na jednej musiałby już czekać na transakcja aby zapłacić, no i ukryty gdzieś jeszcze terminal paypass. Kas/czytników się raczej pod stół nie chowa, więc technicznie jak to zrobić.



--
xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide

On 3 Mar, 11:42, xbartx <b...@hashzero.net> wrote:

Kas/czytników się raczej pod stół nie chowa,
więc technicznie jak to zrobić.

Można miec jeden terminal paypass "odłożony" na bok, akurat w
odpowiednim miejscu.
Dwie kasy to chyba nie problem, czy terminal musi być sprzężony z
kasą?

Jeśli terminal by nie pikał przy autoryzacji to jest łatwiej.

Dnia Wed, 03 Mar 2010 03:04:33 -0800, Krzysiek napisał(a):

Można miec jeden terminal paypass "odłożony" na bok, akurat w
odpowiednim miejscu.
Dwie kasy to chyba nie problem, czy terminal musi być sprzężony z kasą?

Jeśli terminal by nie pikał przy autoryzacji to jest łatwiej.

Ja osobiście, jeżeli miałbym się już zasadzić, to w jakimś mega markowym sklepie gdzie jest mały ruch (nie chodzę o sklepach i nie wiem jaki podać przykład, ale na pewno się jakiś znajdzie, gdzie wszystko jest droższe o xxx%, bo za firmę się płaci). W takim sklepie jest mały ruch, więc łatwiej sobie wszystko przygotować a i pewnie klient może nie zauważyć tego na wyciąg.
Mimo wszystko to tak czy siak sprawa jest ryzykowana, bo na każdym wyciągu z każdego sklepu, punktu usługowego etc pojawią się, na 99%, dwa obciążenia tego samego dnia co może wzbudzić zaciekawienie przeglądającego wyciąg.



--
xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide

xbartx (<bart@hashzero.net>) ma odwage pisac:

Dnia Wed, 03 Mar 2010 03:04:33 -0800, Krzysiek napisał(a):

Można miec jeden terminal paypass "odłożony" na bok, akurat w
odpowiednim miejscu.
Dwie kasy to chyba nie problem, czy terminal musi być sprzężony z kasą?

Jeśli terminal by nie pikał przy autoryzacji to jest łatwiej.

Ja osobiście, jeżeli miałbym się już zasadzić, to w jakimś mega markowym
sklepie gdzie jest mały ruch (nie chodzę o sklepach i nie wiem jaki podać
przykład, ale na pewno się jakiś znajdzie, gdzie wszystko jest droższe o
xxx%, bo za firmę się płaci).

/ciach/

Do 50 zł w markowym sklepie?????

k.

Dnia Wed, 03 Mar 2010 16:05:11 +0400, kashmiri napisał(a):

Do 50 zł w markowym sklepie?????

No moĹźna i 500 jak przejdzie tyle przez paypassa ;)


--
xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide

Krzysiek (<kl1@o2.pl>) ma odwage pisac:

On 3 Mar, 11:42, xbartx <b...@hashzero.net> wrote:

Kas/czytników się raczej pod stół nie chowa,
więc technicznie jak to zrobić.

Można miec jeden terminal paypass "odłożony" na bok, akurat w
odpowiednim miejscu.
Dwie kasy to chyba nie problem, czy terminal musi być sprzężony z
kasą?

Jeśli terminal by nie pikał przy autoryzacji to jest łatwiej.

Nie rozumiem problemu.

Czytnik PayPass (podpięty do terminala GSM), zasilanie bateryjne - mieści się w torebce. Stać z torebką w przejściu (albo w zatłoczonym tramwaju) też nie sztuka.

Żeby było ciekawiej, czytnik może być z bardzo egzotycznego kraju (Nigeria, ....) - GPRS nie zna granic :)  Tam, gdzie tyle transakcji zagranicznych nie wzbudzi podejrzeń albo gdzie się ma krewniaka w banku.

k.

Dnia Wed, 03 Mar 2010 16:03:45 +0400, kashmiri napisał(a):

Nie rozumiem problemu.

Czytnik PayPass (podpięty do terminala GSM), zasilanie bateryjne -
mieści się w torebce. Stać z torebką w przejściu (albo w zatłoczonym
tramwaju) teĹź nie sztuka.

No to, ale ten czytnik chyba trzeba jakoś przerobić, bo jak on sam będzie sobie generowała opłaty na transakcję?

Żeby było ciekawiej, czytnik może być z bardzo egzotycznego kraju
(Nigeria, ...) - GPRS nie zna granic :)  Tam, gdzie tyle transakcji
zagranicznych nie wzbudzi podejrzeń albo gdzie się ma krewniaka w banku.

No tak, ale te transakcje, tak czy siak muszą się pojawić w banku właściciela karty i muszą zostać zaksięgowane/zaakceptowane. Raczej wzbudzi to podejrzenie, a przynajmniej powinno, jak nagle przyjdzie ileś tam drobnych transakcji z Nigerii lub okolic. --
xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide

On 3 Mar, 13:33, xbartx <b...@hashzero.net> wrote:

Dnia Wed, 03 Mar 2010 16:03:45 +0400, kashmiri napisał(a):

> Nie rozumiem problemu.

> Czytnik PayPass (podpięty do terminala GSM), zasilanie bateryjne -
> mieści się w torebce. Stać z torebką w przejściu (albo w zatłoczonym
> tramwaju) też nie sztuka.

No to, ale ten czytnik chyba trzeba jakoś przerobić, bo jak on sam będzie
sobie generowała opłaty na transakcję?

> Żeby było ciekawiej, czytnik może być z bardzo egzotycznego kraju
> (Nigeria, ...) - GPRS nie zna granic :)  Tam, gdzie tyle transakcji
> zagranicznych nie wzbudzi podejrzeń albo gdzie się ma krewniaka w banku.

No tak, ale te transakcje, tak czy siak muszą się pojawić w banku
właściciela karty i muszą zostać zaksięgowane/zaakceptowane. Raczej
wzbudzi to podejrzenie, a przynajmniej powinno, jak nagle przyjdzie ileś
tam drobnych transakcji z Nigerii lub okolic.

--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide

Przeciez gdy w jakimkolwiek banku pojawi sie tego samego dnia 2 razy
obciazenie paypass (zwlaszcza na jednakowa kwote) z banku
nigeryjskiego to komputery zrobia taki pokaz audiowizualny, ze w
promieniu 10km od centrali tego banku nie bedzie osoby, ktora nie
bedzie wiedziala, ze doszlo do oszustwa ;)

Dajcie spokoj, serio wierzycie, ze gdzies moze przejsc cos takiego jak
obciazenie paypass z nigerii? :)

Jakakolwiek nienormalna aktywnosc jest automatycznie wykrywana. Ktos
kto by okradal paypass musialby miec soft/sprzet przygotowany do
generowania w losowych okresach czasu losowych obciazen, i to nie
tylko paypass bo generowanie samych transakcji paypass wzbudzi
podejrzenia, bo nie ma terminali "paypass olny".

Dnia Wed, 03 Mar 2010 06:08:19 -0800, BK napisał(a):

Dajcie spokoj, serio wierzycie, ze gdzies moze przejsc cos takiego jak
obciazenie paypass z nigerii? :)

No jak zauważyłeś ja za bardzo właśnie w to nie wierzę ;)

--
xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide

BK <bkapuscinski@gmail.com> had the courage to write:

On 3 Mar, 13:33, xbartx <b...@hashzero.net> wrote:

Dnia Wed, 03 Mar 2010 16:03:45 +0400, kashmiri napisał(a):

Nie rozumiem problemu.

Czytnik PayPass (podpięty do terminala GSM), zasilanie bateryjne -
mieści się w torebce. Stać z torebką w przejściu (albo w zatłoczonym
tramwaju) też nie sztuka.

No to, ale ten czytnik chyba trzeba jakoś przerobić, bo jak on sam będzie
sobie generowała opłaty na transakcję?

Żeby było ciekawiej, czytnik może być z bardzo egzotycznego kraju
(Nigeria, ...) - GPRS nie zna granic :) Tam, gdzie tyle transakcji
zagranicznych nie wzbudzi podejrzeń albo gdzie się ma krewniaka w banku.

No tak, ale te transakcje, tak czy siak muszą się pojawić w banku
właściciela karty i muszą zostać zaksięgowane/zaakceptowane. Raczej
wzbudzi to podejrzenie, a przynajmniej powinno, jak nagle przyjdzie ileś
tam drobnych transakcji z Nigerii lub okolic.

--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide

Przeciez gdy w jakimkolwiek banku pojawi sie tego samego dnia 2 razy
obciazenie paypass (zwlaszcza na jednakowa kwote) z banku
nigeryjskiego to komputery zrobia taki pokaz audiowizualny, ze w
promieniu 10km od centrali tego banku nie bedzie osoby, ktora nie
bedzie wiedziala, ze doszlo do oszustwa ;)

No i co z tego? Niech nawet blokują karty klientom. Przecież (a) autoryzacja jest offline, i (b) zaraz nasunie się następny klient.

Dajcie spokoj, serio wierzycie, ze gdzies moze przejsc cos takiego jak
obciazenie paypass z nigerii? :)

Przejdzie. Dzięki autoryzacji offline. Poza tym kto mówi, że musi być z Nigerii? Może być z UK, też nie weryfikują tożsamości przy zakładaniu konta.

Jakakolwiek nienormalna aktywnosc jest automatycznie wykrywana. Ktos
kto by okradal paypass musialby miec soft/sprzet przygotowany do
generowania w losowych okresach czasu losowych obciazen, i to nie
tylko paypass bo generowanie samych transakcji paypass wzbudzi
podejrzenia, bo nie ma terminali "paypass olny".

Nie zauważasz, że całe obciążanie w ogóle nie przechodzi przez polski system bankowy??? Polskie banki mogą sobie co najwyżej tupać nóżką i blokować kolejne karty (ciekawe zresztą jak się blokuje kartę do tranakcji offline).

k.

On 3 Mar, 16:23, "kashmiri" <nie...@nigdzie.com> wrote:

Nie zauważasz, że całe obciążanie w ogóle nie przechodzi przez polski system
bankowy??? Polskie banki mogą sobie co najwyżej tupać nóżką i blokować
kolejne karty (ciekawe zresztą jak się blokuje kartę do tranakcji offline).

k.

Zauwaz, ze obciazenie przechodzi przez nasz system bankowy. Bank
dostaje polecenie przelania sumy X na rachunek Y.

Mozna po prostu nie uznac obciazenia. I co oszust pozwie bank ze mu
nie przeslali pieniedzy?

Jesli jednego dnia klient np. wybierze kase w bankomacie w Polsce, a
na ten sam dzien przyjdzie obciazenie paypass z UK, Nigerii czy
Barustanu kazdy system anty-fraudowy zakwestionuje taka transakcje.

Mi sie kiedys zdarzylo jednego dnia placic w Polsce, na Slowacji i na
Wegrzech (jakies kwoty rzedu 100 zl - 200 zl za paliwo) i dostalem od
razu telefon z prosba o weryfikacje.

Powaznie z praktycznego punktu widzenia dyskusja jest czysto
akademicka, a zagrozenie czysto teoretyczne.

"BK" news:e405e81d-e954-4002-987e-be6bab6fd2abq21g2000yqm.googlegroups.com

Jesli jednego dnia klient np. wybierze kase w bankomacie w Polsce, a
na ten sam dzien przyjdzie obciazenie paypass z UK, Nigerii [...]

Z Nigerią się zgadzam, ale UK? W dobie tanich połączeń lotniczych? :)

Mi sie kiedys zdarzylo jednego dnia placic w Polsce, na Slowacji i na
Wegrzech (jakies kwoty rzedu 100 zl - 200 zl za paliwo) i dostalem od
razu telefon z prosba o weryfikacje.

He he he to i tak jesteś szczęściarz. Pamiętam jak dziś kiedy wracałem ze
znajomymi z Włoch. W ciągu jednej doby po kilka transakcji:
1. Włochy
2. Austria
3. Słowacja
4. Polska

Nikt nie zadzwonił :( ;)

Powaznie z praktycznego punktu widzenia dyskusja jest czysto
akademicka, a zagrozenie czysto teoretyczne.

jaki z tego wniosek?
IMHO nie warto bawić się w coś takiego jak PP (pomijam już kwestię mizernej
sieci akceptacji). Szczególnie kiedy klient sam sobie nie może "podłubać"
przy limitach kwotowych oraz ilościowych.

BK <bkapuscinski@gmail.com> writes:

Mozna po prostu nie uznac obciazenia. I co oszust pozwie bank ze mu
nie przeslali pieniedzy?

Problem w tym, ze bank nie moze po prostu "nie uznac obciazenia". Bank
moze zrobic chargeback, ale tylko w okreslonych przypadkach.

Jesli jednego dnia klient np. wybierze kase w bankomacie w Polsce, a
na ten sam dzien przyjdzie obciazenie paypass z UK, Nigerii czy
Barustanu kazdy system anty-fraudowy zakwestionuje taka transakcje.

Ale bedzie musial ja wykonac. Nastepnych byc moze juz nie.

Mi sie kiedys zdarzylo jednego dnia placic w Polsce, na Slowacji i na
Wegrzech (jakies kwoty rzedu 100 zl - 200 zl za paliwo) i dostalem od
razu telefon z prosba o weryfikacje.

Niezaleznie od tego, taka transakcja to nie jest cos, co mozna cofnac.
Jedyne co mozna zrobic to blokada karty.
--
Krzysztof Halasa

Użytkownik "kashmiri" <nie.ma@nigdzie.com> napisał w wiadomości news:hmluu0$3av$1news.onet.pl...

Przejdzie. Dzięki autoryzacji offline. Poza tym kto mówi, że musi być z Nigerii? Może być z UK, też nie weryfikują tożsamości przy zakładaniu konta.

Jak blisko czytnika musi byc karta zeby dokonac transakcji? Z moich doswiadczen wynika, ze kilka milimetrow. A raczej nie wyobrazam sobie zeby kazdy dawal sie klepac po tylku bez konsekwencji...

MK

MK <macka@interia.pl> had the courage to write:

Użytkownik "kashmiri" <nie.ma@nigdzie.com> napisał w wiadomości news:hmluu0$3av$1news.onet.pl...

Przejdzie. Dzięki autoryzacji offline. Poza tym kto mówi, że musi być z Nigerii? Może być z UK, też nie weryfikują tożsamości przy zakładaniu konta.

Jak blisko czytnika musi byc karta zeby dokonac transakcji? Z moich doswiadczen wynika, ze kilka milimetrow. A raczej nie wyobrazam sobie
zeby  kazdy dawal sie klepac po tylku bez konsekwencji...

W UK robion próby ze zdalnym odczytywaniem kart Oyster (zbliżeniowe do metra). Przy odpowiedniej antenie i wzmaczniaczu (do kupienia na eBayu za 10 GBP) osiągnięto odczyt z odległości ok. 3 m.

Zresztą sam widzisz, z jakiej odległości tagi RFID potrafią aktywować bramki...

k.

BK <bkapuscinski@gmail.com> writes:

Przeciez gdy w jakimkolwiek banku pojawi sie tego samego dnia 2 razy
obciazenie paypass (zwlaszcza na jednakowa kwote) z banku
nigeryjskiego to komputery zrobia taki pokaz audiowizualny, ze w
promieniu 10km od centrali tego banku nie bedzie osoby, ktora nie
bedzie wiedziala, ze doszlo do oszustwa ;)

Bylbym bardzo zdziwiony.

Dajcie spokoj, serio wierzycie, ze gdzies moze przejsc cos takiego jak
obciazenie paypass z nigerii? :)

Raczej nie, ale gdyby juz przyszlo, to watpie by ktos na to zwrocil
uwage.

Jakakolwiek nienormalna aktywnosc jest automatycznie wykrywana.

A to juz jest inna sprawa, i to rzeczywiscie moze zwrocic uwage. Ale
raczej nie samo to, ze z Nigerii.

Ktos
kto by okradal paypass musialby miec soft/sprzet przygotowany do
generowania w losowych okresach czasu losowych obciazen, i to nie
tylko paypass bo generowanie samych transakcji paypass wzbudzi
podejrzenia, bo nie ma terminali "paypass olny".

Oczywiscie ze sa, przynajmniej w praktyce.
--
Krzysztof Halasa

On 3 Mar, 21:18, Krzysztof Halasa <k...@pm.waw.pl> wrote:

BK <bkapuscin...@gmail.com> writes:
> Przeciez gdy w jakimkolwiek banku pojawi sie tego samego dnia 2 razy
> obciazenie paypass (zwlaszcza na jednakowa kwote) z banku
> nigeryjskiego to komputery zrobia taki pokaz audiowizualny, ze w
> promieniu 10km od centrali tego banku nie bedzie osoby, ktora nie
> bedzie wiedziala, ze doszlo do oszustwa ;)

Bylbym bardzo zdziwiony.

> Dajcie spokoj, serio wierzycie, ze gdzies moze przejsc cos takiego jak
> obciazenie paypass z nigerii? :)

Raczej nie, ale gdyby juz przyszlo, to watpie by ktos na to zwrocil
uwage.

> Jakakolwiek nienormalna aktywnosc jest automatycznie wykrywana.

A to juz jest inna sprawa, i to rzeczywiscie moze zwrocic uwage. Ale
raczej nie samo to, ze z Nigerii.

Obciazenia z krajow egzotycznych sa traktowane jak anomalia (chyba, ze
akurat dany bank wydaje takie karty dla ktorych to nie jest anomalia)
to nie jest pewnie top priorytet ale na liste do sprawdzenia moze
trafiac.

A juz taka akcja jak aktywnosc karty w Polsce i nagle obciazenia
paypass z Nigerii to jest pewny strzal dla kazdego anti-fraud'a ;)

> Ktos
> kto by okradal paypass musialby miec soft/sprzet przygotowany do
> generowania w losowych okresach czasu losowych obciazen, i to nie
> tylko paypass bo generowanie samych transakcji paypass wzbudzi
> podejrzenia, bo nie ma terminali "paypass olny".

Oczywiscie ze sa, przynajmniej w praktyce.
--
Krzysztof Halasa

Ale mowimy o praktyce Polskiej czy swiatowej? Bo faktycznie na swiecie
sa, w Polsce nie ma. Odnosilem sie do realiow Polskich.

BK <bkapuscinski@gmail.com> writes:

Ale mowimy o praktyce Polskiej czy swiatowej? Bo faktycznie na swiecie
sa, w Polsce nie ma. Odnosilem sie do realiow Polskich.

No to beda. Teoria byla taka, ze tam, gdzie potrzebna jest szybkosc,
beda wlasnie czytniki tylko do paypassow.

Tzn. zapewne one beda obslugiwac rozne karty - tylko sprzedawca nie
bedzie przyjmowal innych.
--
Krzysztof Halasa

xbartx (<bart@hashzero.net>) ma odwage pisac:

Dnia Wed, 03 Mar 2010 16:03:45 +0400, kashmiri napisał(a):

Nie rozumiem problemu.

Czytnik PayPass (podpięty do terminala GSM), zasilanie bateryjne -
mieści się w torebce. Stać z torebką w przejściu (albo w zatłoczonym
tramwaju) teĹź nie sztuka.

No to, ale ten czytnik chyba trzeba jakoś przerobić, bo jak on sam będzie
sobie generowała opłaty na transakcję?

Żeby było ciekawiej, czytnik może być z bardzo egzotycznego kraju
(Nigeria, ...) - GPRS nie zna granic :)  Tam, gdzie tyle transakcji
zagranicznych nie wzbudzi podejrzeń albo gdzie się ma krewniaka w banku.

No tak, ale te transakcje, tak czy siak muszą się pojawić w banku
właściciela karty i muszą zostać zaksięgowane/zaakceptowane. Raczej
wzbudzi to podejrzenie, a przynajmniej powinno, jak nagle przyjdzie ileś
tam drobnych transakcji z Nigerii lub okolic.

Opłaty pobiera/księguje bank w Nigerii. A przelewy z Nigerii już nie chodzą?

Chyba nie dogadujemy się w jednej kwestii: w PL bank a acquirer to dwie różne firmy. W wielu krajach (ze znanych mi: cała Azja pd i pd-wsch.,, UK, Zakaukazie) terminal dostarcza bank, a środki z transakcji księguje bezpośrednio na rachunku (zazwyczaj jest to rach. firmowy). Z tego rach. też pobiera opłaty od obsługi transakcji, od terminala itd.

Czy robię gdzieś błąd?
k.

Krzysiek <kl1@o2.pl> writes:

W praktyce złodziejem może być też pracownik sklepu, sprzedawca (na
pewno nie właściciel) co prawda może łatwo wpasć ale może się to dla
kogs wydać kuszące.

Bylby glupi.
Co innego kopiowanie paskow i PINow, a co innego rozliczanie transakcji.

Ktoś płaci kartą paypass ale w sposób tradycyjny więc podaje kartę
sprzedawcy, ten niby wkłada kartę do czytnika kart, ale przy okazji
gdzieś podsuwa pod jakiś ukryty czytnik paypass i kasuje za coś
taniego co sobie zabierze. Pojedyńcza transakcja, niewielka kwota,
sklep znany posiadaczowi karty - duże szanse, że się nie zorientuje,
że takiej transakcji nie wykonał. Jest to możliwe?

Jasne, ale czym sie to rozni od transakcji normalna karta, nawet
w pojedynczym terminalu?

Zeby powyzsze bylo niemozliwe, karta musialaby miec wlasna klawiature
i wyswietlacz. Nie zeby to akurat bylo jakims glupim pomyslem - kwestia
kosztow niestety.
--
Krzysztof Halasa