Fórum Root.cz
Ostatní => Odkladiště => Téma založeno: Phokz 31. 01. 2018, 13:25:10
-
Ahoj,
banka mi vyměnila kartu Visa Classic za novou, s nfc. Údajně již kontaktní neumí. Nevíte někdo, zda třeba jiné banky vydávají stále karty bez nfc?
-
Nůžkama prostřihněte ten "wifi" roh.
-
Sberbank naopak neumí bezkontaktní karty (jenom debetní, kreditní dělá bezkontaktní)
-
mam bezkontaktni, ale v bance (CS) zazadano specialne o vypnuti NFC, ktere pak opravdu nefunguje. Netreba strihat, i kdyz to je reseni (ale ne 100% legalni, protoze karta neni vase, ale majetkem banky)
-
Fio na pozadani.
-
Fio na pozadani.
Možno v ČR, na Slovensku mi vo FIO tvrdili, že sa to nedá.
-
Česká spořitelna - karta NFC má ale je opravdu vypnuté. Taky toho teď docela lituji když platím 15 Kč a musím strkat kartu do terminálu a za mnou je fronta. Co mě ale zaráží je fakt že je na kartě pořád ten magnetický proužek.
-
V Tatrabanka na svk sa to da vypnut cez IB.
-
Může mi někdo vysvětlit, jaký je racionální důvod nechtít bezkontaktní kartu? Někteří lidi to s těmi spikleneckými teoriemi přehání.
Nejen, že bezkontaktní karta má (kromě teoretických nevýhod) i některé bezpečnostní výhody, ale seriozní banka garantuje náhradu škody při jejím zneužití.
Odpověď na otázku: Česká Spořitelna umí na vyžádání vydat kartu s vypnutou bezkontaktní funkcní. Chtít to je ovšem nesmysl.
-
A ty znas nejakou seriozni banku v CR? A cet si nekdy aspon zhruba nejaky smluvni podminky? Tzn predpokladam ze nejmin denne kontrolujes pohyby na uctu?
...Co mě ale zaráží je fakt že je na kartě pořád ten magnetický proužek.
lol ... a ze vydavaj karty dokonce embosovany to sis nevsim? By me zajimalo, jak bys tou kartou chtel jako platit.
-
A ty znas nejakou seriozni banku v CR? A cet si nekdy aspon zhruba nejaky smluvni podminky? Tzn predpokladam ze nejmin denne kontrolujes pohyby na uctu?
Tak jistě. Pokud je někdo debil, a používá fio žumpu, kde je třeba kartu 1 denně fyzicky kontrolovat, tak samozřejmě dobře mu tak. Ale to lidi co čtou obchodní podmínky nemlže překvapit, protože takových sviňáren mají v podmínkách víc, např. souhlas se započtení nesplatných, promlčených, sporných a nejasných pohledávek.
ANO. svéprávný jedinex šte smluvní podmínkya tyto věco pak nemusí řešit.
-
To jiste, ona tam trebas RB nema totez ... pripadny fraud musis nahlasit do 24 hodin ... a je na libovuli banky, jestli ti to uzna. Samo na to muzes jit od lesa ... neboli pres pravidla asociace, tema se banky prevazne moc nechlubej. Takze prakticky nikdo nevi, ze kazdou platbu muze revertnout hooodne dlouho po te.
-
To jiste, ona tam trebas RB nema totez ... pripadny fraud musis nahlasit do 24 hodin ...
A přoč si místo stěžovaní nezřídíte kartu tam, kde mají podmínky vstřícné? V RB mají solidní bordel, dokonce i na poměry, na které byli zvyklí značně otrlí klienti Citibank a jejích kreditních karet a to už je fakt co říct. :-D
-
V Tatrabanka na svk sa to da vypnut cez IB.
Cez internet vypneš RFID na karte?
Může mi někdo vysvětlit, jaký je racionální důvod nechtít bezkontaktní kartu?
Napríklad keď nechcem aby moje unikátne ID po ceste odskenoval každý vykuk so skenerom?
-
Tak jedinci trpící paranoiou si jistě mohou bezkontaktní kartu strčit do příslušného pouzdra jim určeného ;)
jinak samozřejmě pro účely platby se generuje jednorázový token, takže ten bude útočníkovi jaksi úplně k h0vnu. Kromě toho, čtení funguje standardně na tak malou vzdálenost, že je docela problém tu kartu třeba v autobuse přečíst a nějaké custom čtečky, s kterýma to dokázalo hackovat na vzálenost kolem půl metru zase budou mít problém s množstvím karet okolo. Zkuste si dát 2 karty do peněžěnky a pak zkusit zaplatit přiložením - nedá se to číst.
-
...Co mě ale zaráží je fakt že je na kartě pořád ten magnetický proužek.
lol ... a ze vydavaj karty dokonce embosovany to sis nevsim? By me zajimalo, jak bys tou kartou chtel jako platit.
Snad je dneska na kartach chip, ne? Ten magneticky prouzek je tam leda kvuli zaostalym zemim a uz davno tam byt nemel.
-
Kromě toho, čtení funguje standardně na tak malou vzdálenost, že je docela problém tu kartu třeba v autobuse přečíst a nějaké custom čtečky, s kterýma to dokázalo hackovat na vzálenost kolem půl metru zase budou mít problém s množstvím karet okolo.
Tak o BT se rikalo, ze ma dosah par metru. Az nekdo prisel s Blue Sniper. Jinak nekdo delal pokusy s kradenim z RFID karet na placeni benzinu, tusim v USA. Fungovalo ta na vzdalenost dost velkou, aby toho majitel karty nevsiml. ze se kolem deje neco divneho.
A pokud ty karty jsou udelany porad tak blbe, jako zde: https://mods-n-hacks.gadgethacks.com/how-to/hack-rfid-enabled-credit-card-steal-money-for-cheap-287775/ , tak lze na dalku ziskat jmeno a cisla z karty a jednoduse s tim platit on-line.
-
Argumentovat tady trhem v USA, kde jsou s bankovnictvim 100 let za opicema a platebni karty v době kamenne asi nebude moc konstruktivni. Chcete-li bezkontakt kritizovat, řešte karty vydavane v ČR, protože jsme na tom poněkud jinak (VISA a MC tu vzhledem k pozitivnimu přístupu zákazníků nasazuje nejnovější technologie).
Mě zajímá prakticky, kde jsou ty záplavy zneužitých karet, když jich mají češi prakticky nejvíc na obyvatele na světě a jsou jedničky v jejich nasazování?
Dále mě zajímá teoreticky, jak lze ta karta zneužít, když je nasazena tokenizace (jednorázový token), transakce bez přítomnosti karty (Internet+MO/TO) lze u většiny bank vypnout, na internetu používají 3D secure (ano tato technologie sice chrání především obchodníka, jenže podle pravidel karetních asociací má smolíka ta strana s nižším zabezpečením, takže fraud u obchodníka bez 3D jde nakonec za ním), a nakonec i když všechno selže, minimálně některé banky veřejně garantují pokrytí zneužití bezkontaktní technologií.
-
Pri navsteve Talianska asi 1.5 roka dozadu som cumel, ze v obchode nejde platit bezkontaktne. Taka krajina ako Taliansko, dokonca sever, by sa ocakavalo, ze nieco taketo tam bude samozrejmost. U nas sme to pouzivali uz bezne
-
Snad je dneska na kartach chip, ne? Ten magneticky prouzek je tam leda kvuli zaostalym zemim a uz davno tam byt nemel.
Myslis ty zaostaly zeme jako trebas USA?
...čtení funguje standardně na tak malou vzdálenost, ...
jasne, nekomu par metru prijde malo ...
-
Pri navsteve Talianska asi 1.5 roka dozadu som cumel, ze v obchode nejde platit bezkontaktne. Taka krajina ako Taliansko, dokonca sever, by sa ocakavalo, ze nieco taketo tam bude samozrejmost. U nas sme to pouzivali uz bezne
V Nemecku ve spouste i pomerne velkych obchodech normalni katou jednoduse nezaplatis vubec, berou jen nejaky lokalni zakaznicky karticky.
-
Myslis ty zaostaly zeme jako trebas USA?
USA jsou co do bankovnictví extrémně zaostalé.
V Nemecku ve spouste i pomerne velkych obchodech normalni katou jednoduse nezaplatis vubec, berou jen nejaky lokalni zakaznicky karticky.
EC karte je německý kartový trucstandard kvůli poplatkům, které obchodníci nechtěli platit karetním asociacím. Navíc ty karty byly vydávány jako kombinované s Maestro. Po regulaci poplatků začali němci VISA/MC přijímat i v obchodech.
-
Myslis ty zaostaly zeme jako trebas USA?
Napriklad. Francie je mozna dalsi kandidat, jak tam funguji banky je na humoristickou povidku.
-
... tak lze na dalku ziskat jmeno a cisla z karty a jednoduse s tim platit on-line.
Pro vás bude evidentně překvapením, že údaje jako číslo karty a platnost karty má prakticky každý obchodník u kterého jste kdy zaplatil kartou včetně té poslední pokladní v tescu. Tyhle údaje se totiž tisknou na kopii účtenky pro obchodníka (kopie pro zákazníka ma většinu čísel nahrazenu XXX)
-
VISA a MC tu vzhledem k pozitivnimu přístupu zákazníků nasazuje nejnovější technologie
Jestli by to neslo vykladat tak, ze konecne nasli baliky, na kterych to otestuji.
-
...čtení funguje standardně na tak malou vzdálenost, že je docela problém tu kartu třeba v autobuse přečíst a nějaké custom čtečky, s kterýma to dokázalo hackovat na vzálenost kolem půl metru zase budou mít problém s množstvím karet okolo. Zkuste si dát 2 karty do peněžěnky a pak zkusit zaplatit přiložením - nedá se to číst.
O směrových anténách jste neslyšel? Vzdálenost je jen otázkou antény a vysílače/přijímače. Takže ne že by to bylo jednoduché, ale není to nic neřešitelného.
-
O směrových anténách jste neslyšel? Vzdálenost je jen otázkou antény a vysílače/přijímače. Takže ne že by to bylo jednoduché, ale není to nic neřešitelného.
Slyšel, ale dosud se mi to nikdo neobtěžoval vysvětlit v praxi, kdy řekněme v tom autobuse je karet spousta na malém prostoru, dokonce i v peněžence můžete mít několik karet najednou (takové karty vám terminál nepřečte).
No a následně je tu druhý problém, přečtení jednorázového tokenu je úplně k ničemu, a i kdyby šly stáhnout údaje jako číslo karty, tento údaj stejně není "důvěrný", protože ho vytrousíte při každém placení v obchodě (tiskne se na účtenku).
-
Více karet na jednom místě je problém, jen pokud jsou přímo u sebe. Rozladí se charakteristika jejich antén.
Přečtení více karet se řeší přes antikolizní algoritmy [1] a HALT příkaz, karta nesmí dál odpovídat dokud nedojde k resetu. Některé čínské kopie tuhle zásadní (a povinnou) funkci ovšem neumí...
[1] http://nfc-tools.org/index.php?title=Libnfc:nfc-anticol
-
V Tatrabanka na svk sa to da vypnut cez IB.
Cez internet vypneš RFID na karte?
Může mi někdo vysvětlit, jaký je racionální důvod nechtít bezkontaktní kartu?
Napríklad keď nechcem aby moje unikátne ID po ceste odskenoval každý vykuk so skenerom?
Ano, mam to odskusane vypol som si to a bezkontaktne s tou kartou nikde nezaplatim.
-
RB mi dala bezkontaktni visu na vyzadani, uz ji mam docela dlouho, nevim jak ted
pekne me v posledni dobe serou, premejslim kam jinam, ale prijde mi to jak tel operatorama z blata do louze...
-
Vadila mi myšlenka magnetického proužku na mojí kartě, tak jsem se rozhodl ho ošmudlat magnetem (z HDD). No, tímto způsobem jsem zjistil, že bankomaty sice fungují na čip, ale odmítají "sát" kartu, pokud nevidí právě ten magnetický proužek.
-
... v tom autobuse je karet spousta ...
No a? Ta karta = rfid. A to je samozrejme koncipovany tak, aby se dalo precist N chipu pomerne blizko sebe. Jedinej a neresitelnej problem je ten, ze neumi nijak garantovat, ze budou precteny vsechny. Ale to pri cteni bezkontaktnich karet nikomu nevadi. Kdyby sis u silnice kudy jezdi ten bus postavil ram s antenou, tak tech chipu prectes trebas 90%. Tech 10% ktery neprectes dneska, si prectes zejtra.
Navic cist chipy konkretnim lidem je naprosto primitivni ... kde asi tak tu kartu budes mit .. chlap v naprsni kapse nebo nazadeki, zenska v kabelce. Specielne v socce nikomu neprijde divny, ze se natlacis az na nej, a mas kolem sebe nejmin 5-8 lidi ktery prectes cimkoli nekde v kapse. Za odpoledne muzes mit par tisic ks.
A to nemluvim o takovych vecech, ze si proste v krame dam ram na dvere, a uz jen tim ze vejdes vim kdo ses, cos kdy u me kupoval, a hnedle k tobe muzu poslat pikolika, kterej ti k tem poutum co sis je koupil minule doporuci jeste bicik. A protoze kramky kolem sou kamosi, tak se o info podelime ... takze zelinar ti k biciku nabidne jahudky.
-
Pro vás bude evidentně překvapením, že údaje jako číslo karty a platnost karty má prakticky každý obchodník u kterého jste kdy zaplatil kartou včetně té poslední pokladní v tescu. Tyhle údaje se totiž tisknou na kopii účtenky pro obchodníka (kopie pro zákazníka ma většinu čísel nahrazenu XXX)
Jo, ale ten obchodnik je nepouzije na to, aby si za ne neco on-line nakoupil. Zato zlodej cisel a dalsich udaju ano.
-
Fio na pozadani.
Možno v ČR, na Slovensku mi vo FIO tvrdili, že sa to nedá.
Na Slovensku maji platební karty? Co tam s nima dělaji když nemaji elektriku?
-
No a? Ta karta = rfid.
To jejak u blbejch. Vedete tady diskuzi nebo monolog? Odpovedi na x-krát polozene otazky jsou kde?
Jo, ale ten obchodnik je nepouzije na to, aby si za ne neco on-line nakoupil. Zato zlodej cisel a dalsich udaju ano.
Jo vy tak vite co ty stovky pokladnich udelaji s tema uctenkama.... ;D
(mimochodem priklady, kdy zamestnanec obchodnika zneuzil udaje o karte, jsou relativne bezne a velmi dobre zname, na rozdil od techto spikleneckych teorii s bezkontaktnimi kartami)
-
Jo vy tak vite co ty stovky pokladnich udelaji s tema uctenkama.... ;D
(mimochodem priklady, kdy zamestnanec obchodnika zneuzil udaje o karte, jsou relativne bezne a velmi dobre zname, na rozdil od techto spikleneckych teorii s bezkontaktnimi kartami)
Pripady zneuziti obchodnikem jsou asi mene "relativne bezne" nez pripady zneuziti zlodejem, ktery nekde vyluxuje databazi e-shopu. Proc jinak by se ti lide namahali, ze jo.
Jestli RFID karta je tak blba, ze vykeca potrebne udaje, otvira to jen dalsi vektor utoku. Staci si nekde pobliz stanice tramvaje nebo vychodu metra zaparkovat auto s potrebnym vybaveni a jit domu. Druhy den si vyzvedne ulovek.
Ostatne si dovedu predstavit i to, jak nekdo nakupuje tak, ze jeden chyti nekde postavajiciho majitele bezkontakni karty, navaze spojeni a pres radio dela relay mezi tou kartou a platebnim terminalem, kde nekdo plati nakup.
-
Pripady zneuziti obchodnikem jsou asi mene "relativne bezne" nez pripady zneuziti zlodejem, ktery nekde vyluxuje databazi e-shopu. Proc jinak by se ti lide namahali, ze jo.
To je jak u blbejch. Kdyz si opisete z moji karty cislo karty a platnost karty, bude vam to uplne k hovnu. Totalne. Nezaplatite s tim nikde nic. Po dvacáté vám to vysvětlovat nebudu.
Jestli RFID karta je tak blba, ze vykeca potrebne udaje, otvira to jen dalsi vektor utoku. Staci si nekde pobliz stanice tramvaje nebo vychodu metra zaparkovat auto s potrebnym vybaveni a jit domu. Druhy den si vyzvedne ulovek.
K cemu vam to prakticky bude? Jak to kde pouzijete? Po zavedeni tokenizace s timto zpusobem platit neda, a ID karty (coz nikdo z vas nevi, jestli jde u ceskych bank precist) vam prakticky neni k nicemu.
-
To je jak u blbejch. Kdyz si opisete z moji karty cislo karty a platnost karty, bude vam to uplne k hovnu. Totalne. Nezaplatite s tim nikde nic. Po dvacáté vám to vysvětlovat nebudu.
Proc by ne? Kdyz je to Visa, nakoupim nekde v e-shopu a necham to poslat nekam do tramtarie a vy si to pak vymahejte.
K cemu vam to prakticky bude? Jak to kde pouzijete? Po zavedeni tokenizace s timto zpusobem platit neda, a ID karty (coz nikdo z vas nevi, jestli jde u ceskych bank precist) vam prakticky neni k nicemu.
Praveze jsem sem dal odkaz, podle ktereho po prolomeni sifrovani karta vyzvani vsechny udaje, nejen id. Takze opakuji: jestli jsou ceske karty stale jeste tak blbe, jako v tom videu.....
-
Proc by ne? Kdyz je to Visa, nakoupim nekde v e-shopu a necham to poslat nekam do tramtarie a vy si to pak vymahejte.
1) neznáte CVC kód (poněkud úsměvně na rozdíl od té pokladní, která konktaktní kartu často dostávala do ruky)
2) transakční limit pro tento typ transakcí je 0 CZK
3) nemáte mobil (3D secure)
Jak jsem již několikrát uvedl. Je vám to vlastně úplně k hovnu.
BTW jako klient nic vymáhat nebudu. Podle zákona o platebním mi stačí prohlásit, že jsem tuto transakci neprovedl, a banka je povinna účet neprodleně uvést do původního stavu. Pak ať si to řeší banka jak chce, je to její problém.
Praveze jsem sem dal odkaz, podle ktereho po prolomeni sifrovani karta vyzvani vsechny udaje, nejen id. Takze opakuji: jestli jsou ceske karty stale jeste tak blbe, jako v tom videu.....
Jak jsem rekl. Diskuze jak s idiotem. Uz jsem vas nekolikrat upozornoval, ze US karty jsou 100 let za opicema, a nema smysl jimi v ČR vubec argumentovat. Ale vy si budete porad mlit svoje jak rozbity gramofon.
https://www.mesec.cz/clanky/myty-a-fakta-o-bezkontaktnim-placeni/
-
Tohle je zas paranoia, platím běžně bezdotykově tak 3x denně, několikrát měsíčně na internetu a nejsem ani nijak extra opatrnej, jedu tak už několik let, nemám ani nízké limity, nikdy v životě mi kartu nezneužili. A až se to stane, tak mám od mBank pojištění proti zneužití karty, takže to budu řešit s nima.
A to jsem člověk, který je schopný kreditkou platit přístup na porno stránku, zakliknout kdejaké předplatné atd. Ano, nervu kreditku do jasných scamů, když je to míň věrohodný web, rozkliknu si SSL certifikát, ale jinak pohoda.
Pokud z něčeho mám strach, tak jít se na koupáku v létě do vody vykoupat a nechat věci na břehu, proto mám vodotěsnou tašku na klíče a tak. Naposled mé kamarády okradli tak, že jsme nechali pootevřené okénko v autě, a zloděj prošel baťohy, já jsem opatrný, tak jsem měl baťoh sebou.
Netřeba být paranoidní, stačí být opatrný a jak říkám já "nebýt debil". Až vás na policejní stanici vyslečou do naha a nechají vás čekat v čekárně, dokud se nepřiznáte, poznáte, že osobní bezpečnost netkví v limitu 500 Kč pro bezkontaktní placení na kartě.
-
Česká spořitelna - karta NFC má ale je opravdu vypnuté. Taky toho teď docela lituji když platím 15 Kč a musím strkat kartu do terminálu a za mnou je fronta. Co mě ale zaráží je fakt že je na kartě pořád ten magnetický proužek.
Na karte je magneticky prouzek kvuli zpetne kompatibilite a take mozna pokud na nem zadne informace nejsou kvuli logisticko-ekonomickym duvodum. Rada terminalu nebo platebnich systemu proste nema a nejakou dobu mit nebude jiny interface. To je vyhodne pro cestovani mimo CR. Stejne jako jeste existuji embosky protoze v nekterych zemich je pouzivani tzv. "zehlicek" rozsirene.
-
Netřeba být paranoidní, stačí být opatrný a jak říkám já "nebýt debil". Až vás na policejní stanici vyslečou do naha a nechají vás čekat v čekárně, dokud se nepřiznáte, poznáte, že osobní bezpečnost netkví v limitu 500 Kč pro bezkontaktní placení na kartě.
Osobní zkušenost?
-
V Tatrabanka na svk sa to da vypnut cez IB.
Cez internet vypneš RFID na karte?
Ano, mam to odskusane vypol som si to a bezkontaktne s tou kartou nikde nezaplatim.
Ono to není tak přímočaré. Vydavatel musí kartu nastavit předem. Důležité jsou dvě volby: zda povolit bezkontaktní platbu a zda povolit offline platbu. Pokud vydavatel zakázal offline platby, tak pak může nabízet služby typu "nastavení limitu" nebo "blokování bezkontaktní plateb" v internetovám bankovnictví. V tomhle režimu totiž ve skutečnosti karta vůbec nic neblokuje (protože neví, že by měla) a vše si řeší banka až ve chvíli, kdy ji kontaktuje platební terminál.
Pokud máte kartu, která dovoluje offline platbu, pak se jde tou druhou cestu, tedy že není možné naprosto nic dodatečně měnit. Vy byste si sice mohl něco v IB změnit, ale ta karta to netuší a platební terminál se banky na nic neptá.
Pokud by nějaký vydavatel nabízel "nastavení v IB" pro karty, které nemají blokovaný offline režim a zároveň mají povolené bezkontaktní platby, pak se vám bude stávat, že sice v IB bezkontaktní platbu zablokujete, ale stejně se vám tou kartou někde zaplatit podaří - ve chvíli, kdy se terminál rozhodne platbu udělat offline.
Kdysi se někde diskutovalo, že by teoreticky bankomaty mohly nahrávat do karty nové nastavení. Takže byste si v IB něco naklikal, což by platilo ihned jen pro online platby. Po první návštěvě bankomatu by se to nahrálo do karty a začalo by to platit i pro offline platby. Ale teď o tom nemůžu nic dohledat.
PS: Offline platba nesouvisí s bezkontaktní platbou. I platba s čipem/magnetem/žehličkou může být offline. S žehličkou to vlastně ani jinak nejde - a i na tohle je tam nastavení vydavatele, zda takovou platbu povolí (vyrobí kartu embossovanou).
-
Jak jsem rekl. Diskuze jak s idiotem. Uz jsem vas nekolikrat upozornoval, ze US karty jsou 100 let za opicema, a nema smysl jimi v ČR vubec argumentovat. Ale vy si budete porad mlit svoje jak rozbity gramofon.
https://www.mesec.cz/clanky/myty-a-fakta-o-bezkontaktnim-placeni/
Ano, to je od vas hezke. Nicmene clanky o slabinach RFID technologii a jejich ruznych aplikaci by vydaly prinejmensim na Bibli. To, ze podle vas v CR soudruzi nasazuji posledni vykrik RFID technologii, je mozne. Ze zatim nedoslo k masivnimu zneuzit, znamena pouze to, ze zatim nikdo nenasel vhodnou slabinu, coz muze byt tim, ze je v CR malo hackeru, kteri by se tim zabyvali.
Oni porad vsude nasazuji nove technologie, ktere tentokrat jsou jiz totalne bezpecne. Takze pocitace s TPM chipem jsou nyni uplne bezpecne, WPA, totiz WPA2, vlastne WPA3 nam totalne zabezpeci wifi, certifikaty a https nam zabezpeci komunikaci, SSH je bezpecne.... Presne do okamziku, kdy se zjisti, ze nekdo neco nedomyslel nebo blbe implementoval, ci nejaka sifra se da louskat uz i na telefonu.
Takze si vemte prasky, aby se vam z toho rozcilovani neco neprihodilo, protoze ac treba supermoderni, muzeme ty bezkontatktni karty povazovat jen za zatim bezpecne.
-
Takže si to shrňme. Podle vás na základě jakéhosi videa jde z US karty přečíst údaje jako čislo karty a platnost karty. Sice vůbec nevíte, jestli nejsou tyto údaje v česku uloženy šifrovaně, ale podle vás je to bezpečnostní problém, přestože ty údajně ani bez toho nejsou důvěrné, zná je kde kdo, nedá se s nimi zaplatit ani na internetu. Vy vůbec nevíte, jestli jdou z karty přečíst, a odmítáte pochopit, že k platbě nejsou dostatečné, ale to vám nebrání tvrdit, že je to méně bezpečné, než kontaktní karty. A tenhle myšlenkový postup vám přijde normální?
Bezpečnostní výhody českých bezkontaktních karet jsou zřejmé:
1) k platbě se používá jednorázový token (sice ho teoreticky v laboratorních podmínkách ukradnete, lae po platbu se pak už nedá použít)
2) kartu nikde nedáváte z ruky - pokladní si nemůže opsat číslo, platnost karty (nevím zda se tyto údaje tisknou i při bezkontaktní platbě, pokud ne. je to další výhoda) a hlavně CVC, který se nikdy na účtenku při žádném scénáři netiskne
Ale vy tady budete tvrdit, že sice nic nevíte, ale stejně tomu nevěříte a podle vás je to prostě nebezpečné a basta.
-
Kdysi se někde diskutovalo, že by teoreticky bankomaty mohly nahrávat do karty nové nastavení. Takže byste si v IB něco naklikal, což by platilo ihned jen pro online platby. Po první návštěvě bankomatu by se to nahrálo do karty a začalo by to platit i pro offline platby. Ale teď o tom nemůžu nic dohledat.
Ale takhle přesně to v praxi funguje. Pokud máte banku, která umožňuje nastavit PIN v internetovém bankovnictví (např. mBank) po provedení akce logicky zůstane na chipu uložen PIN původní, dokud neprovedene kontaktní transakci na terminálu nebo v bankomatu (při té dojde k nahrání nových dat z banky). A proto nakteré banky u bezkntaktních karet požadují provedení první transakce kontaktním způsobem.
-
Takze si vemte prasky, aby se vam z toho rozcilovani neco neprihodilo, protoze ac treba supermoderni, muzeme ty bezkontatktni karty povazovat jen za zatim bezpecne.
Stejne jako vas muzeme povazovat jen za 'zatim' ziveho ;-)
-
Stejne jako vas muzeme povazovat jen za 'zatim' ziveho ;-)
Ano, uplne stejne, jako vas. Jsme zatim zivi, protoze zatim nikdo a nic neprolomili nase zabezpeceni.
-
Stejne jako vas muzeme povazovat jen za 'zatim' ziveho ;-)
Ano, uplne stejne, jako vas. Jsme zatim zivi, protoze zatim nikdo a nic neprolomili nase zabezpeceni.
A proto je zbytecne predrazovat pri hodnoceni zabezpeceni sluvko 'zatim'. Dokud se neobjevi zranitelnost tak je to bezpecne, stejne jako my: Dokud nezemrem, jsme zivi...
-
A proto je zbytecne predrazovat pri hodnoceni zabezpeceni sluvko 'zatim'.
S ohledem na neustalou zaplavu bezpecnostnich pruseru mi tam to slovo "zatim" tak uplne zbytecne nepripada. To "zatim" by tam kazdy mel jaksi defaultne cist mezi radky.
-
... nedá se s nimi zaplatit ani na internetu....
Takze si to zhrnme, TY nemas ani nejmensi paru o tom, jak se kartou da nebo neda zaplatit.
-
Takze si to zhrnme, TY nemas ani nejmensi paru o tom, jak se kartou da nebo neda zaplatit.
Bezobsažným blábolením zcela jistě argumentačně všechny přesvědčíte ;D
Nebudu vám po x-té vysvětlovat zákon o platebním styku, co to jsou limity na kartě ani existující judikáty, protože je to evidentně mimo vaše mentální schopnosti.
-
.... protože je to evidentně mimo vaše mentální schopnosti.
Wow, nechtel byste venovat mozek lidstvu, do muzea? ;-)
-
Co kdyby jste místo agrumentace ad hominem konkrétně popsali vektor útoku na českou bezkontaktní kartu?
Zatím jsm se toho na 4 stranách bohužel nedočkali
-
Co kdyby jste místo agrumentace ad hominem konkrétně popsali vektor útoku na českou bezkontaktní kartu?
Utok 1: niekto si zaobstara antenu a precita z karty na dialku verejne udaje ako je cislo, platnost a niekedy posledne transakcie. Neprecita CVV2 kod, ale ten nie je vzdy treba pri platbe online. Posledne transakcie ohrozuju sukromie.
Na Androide toto zvlada Credit Card Reader NFC (EMV).
Utok 2: predavacka v obchode si zapamata CVV2 pri kontrole podpisu, citacka z utoku 1 si zapise ostatne cisla. Cele za sekundu.
Utok 3: stratis penazenku alebo ti ju niekto ukradne a spravi si nakupy po 20eur bez overovania a pinu.
-
Utok 1: niekto si zaobstara antenu a precita z karty na dialku verejne udaje ako je cislo, platnost a niekedy posledne transakcie. Neprecita CVV2 kod, ale ten nie je vzdy treba pri platbe online. Posledne transakcie ohrozuju sukromie. Na Androide toto zvlada Credit Card Reader NFC (EMV).
Konečně konkrétní popis nad kterým se dá diskutovat. Sice jste se neobtěžoval své tvrzení a nešifrovaném přenosu čísla karty a její platnosti podložit např. odkazem na standard Mastercard nebo VISA, ale můžeme se pro účely diskuze chvíli tvářit, že máte pravdu (já to nevím). Nějak nerozumím tomu, proč by to mělo držitele karty jakkoli trápit:
Podle zákona o platebním styku §181 , dojde-li k neautorizované transakci, vydavatel karty uvede účet do původního do konce pracovního dne od nahlášení, přičemž podle §182 za ni vydavatel nese odpovědnost v plné výši. I kdyby jste měl pravdu, v čem to vadí držiteli karty?
České karty prakticky všechy vydavatelů používají 3D secure. Jestliže útočník záískaná data použije k platbě v eshopu, v drtivě většině případů nezaplatí, protože nemá jednorázový kód. Pokud náhodou argumentujete provedením podvodné transakce bez CVC a 3D secure v nějakém eshopu někde v banánové republice (ano možné to je), smolíka má automaticky majitel eshopu či jeho banka, protože podle pravidel karetních asociací nese automaticky odpovědnost ta strana, která se rozhodla použít nižší zabezpečení. Opět nějak nerozumím tomu, v čem je tento scénář pro držitele karty nevýhodný nebo problematický.
Utok 2: predavacka v obchode si zapamata CVV2 pri kontrole podpisu, citacka z utoku 1 si zapise ostatne cisla. Cele za sekundu.
Tento příklad je naprostý nesmysl a naopak skvělou ukázkou toho, kdy bezkontaktní platby bezpečnost zvyšují. Prodavačka má na kopii účtenky pro prodejce číslo karty a platnost karty vytištěno. Proč by se měla krkolomně snažit tyto údaje snažit přečíst bezdrátově, když jí vyjedou vytištěné z terminálu? ;D Naopak při bezkontatní platbě nedáváte kartu z ruky, tzn. prodavačky CVC nikdy nezjistí.
Utok 3: stratis penazenku alebo ti ju niekto ukradne a spravi si nakupy po 20eur bez overovania a pinu.
Ano. Toto je jediné reálné riziko a podle zákona o platebním styku §182 nese držitel karty v takovém případě ztrátu do výše 50EUR. Všechno nad hradí banka. V česku některé banky tuto odpovědnost hradí plně (např. můj vydavatel karet). Měl bych se v takovém případě vzdát komfortu bezkontaktního placení, kterž je pro mě možná ztráta rovna nule?
-
Konečně konkrétní popis nad kterým se dá diskutovat. Sice jste se neobtěžoval své tvrzení a nešifrovaném přenosu čísla karty a její platnosti podložit např. odkazem na standard Mastercard nebo VISA, ale můžeme se pro účely diskuze chvíli tvářit, že máte pravdu (já to nevím).
Specifikacia nie je ani Mastercard, ani VISA, ale EMV:
http://legacy.emvco.com/specifications.aspx?id=223
Zvlada to aj Android za 50 eur a priemerna predavacka schopna obsluhovat kasu. Naozaj netreba nic krkolomne.
vydavatel nese odpovědnost v plné výši. I kdyby jste měl pravdu, v čem to vadí držiteli karty?
V tom, ze mu zablokuju kartu. To je zvlast neprijemne, ked sa to stretne s Murphyho zakonami. Vtedy on prave cestuje do zahranicia a mal tam hotel zarezervovany na tu kartu. Rezervaciu zrusia, dalsia rezervacia je na nervy a treba si so sebou nosit 2000 USD v hotovosti na hotel, keby banka zablokovala kartu. Nehovoriac o tom, ze sa niektore hotely zdrahaju ti dat izbu, ked chces vsetko platit v cashi.
Sukromie si zamlcal a to je tiez dolezite. Prikladam cast vypisu z nejakej ceskej CSOB karty precitanej cez penazenku. Vdaka mene to ukazuje aj kde sa majitel nachadzal a da sa odhadnut, co robil.
(https://preview.ibb.co/coOGeR/Screenshot_20180203_211315.png)
-
Specifikacia nie je ani Mastercard, ani VISA, ale EMV:
http://legacy.emvco.com/specifications.aspx?id=223
Zvlada to aj Android za 50 eur a priemerna predavacka schopna obsluhovat kasu. Naozaj netreba nic krkolomne.
Takže znova. Prodavačka má tyto údaje vytištěny na účtence!!! Proč by šaškovala z nějakým mobilem a NFC? V tomto scénáři bezkontaktní placení bezpečnost zvyšuje, protože kartu nikdy nedáte z ruky a prodavačka si nemůže přečíst CVC. Číslo karty a platnost karty zná vždy, bez ohledu na to jakým způsobem jste zaplatil.
V tom, ze mu zablokuju kartu. To je zvlast neprijemne, ked sa to stretne s Murphyho zakonami. Vtedy on prave cestuje do zahranicia a mal tam hotel zarezervovany na tu kartu. Rezervaciu zrusia, dalsia rezervacia je na nervy a treba si so sebou nosit 2000 USD v hotovosti na hotel, keby banka zablokovala kartu. Nehovoriac o tom, ze sa niektore hotely zdrahaju ti dat izbu, ked chces vsetko platit v cashi.
Pokud cestujete s jednou kartou, o tento průser si koledujete bez ohledu na bezkontaktní platby.
Sukromie si zamlcal a to je tiez dolezite. Prikladam cast vypisu z nejakej ceskej CSOB karty precitanej cez penazenku. Vdaka mene to ukazuje aj kde sa majitel nachadzal a da sa odhadnut, co robil.
To je problém hloupého vydavatele karty nikoliv bezkontaktního placení. Transakce se na kartu ukládat nemusí (ostatně máte to v u té aplikace napsáno) a např. karty ČS transakce neukládají. ČSOB je kartami technologicky v pravěku, dodnes neumí minimálně u kreditek blokovat transakce bez přítomnosti karty (Internet, MO/TO) v internetovém bakovnictví, ani nastavovat jednotlivé limity.
-
Paci sa mi ako sa tu vsetci ohanate s CVC, prip. 3D Secure, ale to su len nastroje na ochranu predajcu pred poplatkami za storno.., na vykonanie platby staci cislo karty.., vsetky ostatne prvky (meno, expiration date, cvc/cvv/cvv2, adresa, 3D secure) su len volitelna verifikacia karty.., skuste si napr. nakupit na amazone, cvc nikde nezadavate...
ano, je pravda, ze platbu viete z vasej strany stornovat.., ale je vela ludi, co si vypis z uctu dokladne necita a chybajucich 5/10 eur si nevsimne :D
-
ano, je pravda, ze platbu viete z vasej strany stornovat.., ale je vela ludi, co si vypis z uctu dokladne necita a chybajucich 5/10 eur si nevsimne :D
Takže celá tahle šaškárna je kvůli tomu, že by ti možná jednou někdy mohli ukrást CELÝCH 10 EUR? :D Není lepší věnovat čas nějakým podstatnějším věcem?
-
Paci sa mi ako sa tu vsetci ohanate s CVC, prip. 3D Secure, ale to su len nastroje na ochranu predajcu pred poplatkami za storno.., na vykonanie platby staci cislo karty..,
To jsme tu již probrali. Jasně, že v obchodě s nejnižším zabezpečením, zaplatíte jen s číslem karty. Jenže číslo karty teoreticky ochráníte pouze tak, že kartou nikdy nezaplatíte a rovnou ji zablokujete. Při první platbě zcela ztrátíce kontrolu nad tím, kdo se k vašemu číslu karty dostane. A to platilo dávno před tím, než byly zavedeny bezkontaktní platby.
-
To jsme tu již probrali. Jasně, že v obchodě s nejnižším zabezpečením, zaplatíte jen s číslem karty. Jenže číslo karty teoreticky ochráníte pouze tak, že kartou nikdy nezaplatíte a rovnou ji zablokujete. Při první platbě zcela ztrátíce kontrolu nad tím, kdo se k vašemu číslu karty dostane. A to platilo dávno před tím, než byly zavedeny bezkontaktní platby.
Takže celá tahle šaškárna je kvůli tomu, že by ti možná jednou někdy mohli ukrást CELÝCH 10 EUR? :D Není lepší věnovat čas nějakým podstatnějším věcem?
pre tych co nepochopili moj komentar, tiez si myslim, ze blokovat nfc je absurdita :D akurat si tiez myslim, ze povazovat nfc za bezpecnejsie ako emv je este vacsia absurdita :D
"rozumna" bezpecnost na nfc karte sa da dosiahnut zakazanim online platieb (rozumne Internet Bankingy to umoznuju) a strazenim svojho PINu.., v pripade akehokolvek zneuzitia sa z nej potom da vycucat relativne mala ciastka (na slovensku napr. NFC karty vyzaduju PIN ked sa z nich bez pouzitia PIN-u vyberie 60 eur alebo transakcia sama prekroci 20 eur)....,
na pripadne online platby sa potom da vyuzivat druha karta, ktoru clovek necha doma v skrinke/trezore (podla stupna paranoie) a zapamata si jej udaje (23 cisiel nie je tak vela)
-
Pre vsetkych paranoikov:
Staci si na ebay dat vyhladat "RFID blocking wallet". Realne to blokuje RFID komunikaciu (testoval som s NFC citackou na telefone) a pokial kartu z penazenky nevytiahnem, nikto ju nedokaze precitat.
-
CCV2 / CVC2 se da sekrabat..
-
Pre vsetkych paranoikov:
Staci si na ebay dat vyhladat "RFID blocking wallet". Realne to blokuje RFID komunikaciu ...
Uzasne. Ale kdyz uz to vytahnu z prkenice, tak to uz rovnou muzu vrazit do ctecky a zadat PIN. To uz vyjde na stejno.
-
Uzasne. Ale kdyz uz to vytahnu z prkenice, tak to uz rovnou muzu vrazit do ctecky a zadat PIN. To uz vyjde na stejno.
To ovšem prozradíte pokladní své číslo karty. ;D Ve vašem případě bude vůbec nejlepší, když budete platit hotově.
-
Takze si to zhrnme, TY nemas ani nejmensi paru o tom, jak se kartou da nebo neda zaplatit.
Bezobsažným blábolením zcela jistě argumentačně všechny přesvědčíte ;D
Nebudu vám po x-té vysvětlovat zákon o platebním styku, co to jsou limity na kartě ani existující judikáty, protože je to evidentně mimo vaše mentální schopnosti.
Tak jiste, kdyz mas v mozku nasrano a netusis, ze na zaplaceni staci cislo karty, tak vazne neni o cem diskutovat, protoze takovy debilem se diskutovat neda.
-
Takze si to zhrnme, TY nemas ani nejmensi paru o tom, jak se kartou da nebo neda zaplatit.
Bezobsažným blábolením zcela jistě argumentačně všechny přesvědčíte ;D
Nebudu vám po x-té vysvětlovat zákon o platebním styku, co to jsou limity na kartě ani existující judikáty, protože je to evidentně mimo vaše mentální schopnosti.
Tak jiste, kdyz mas v mozku nasrano a netusis, ze na zaplaceni staci cislo karty, tak vazne neni o cem diskutovat, protoze takovy debilem se diskutovat neda.
Tiez pozeram, ze to tu je jeden bankovy "expert" za druhym. Ja osobne zvazujem, ze na karte prevrtam antennu niekde pri samotnom chipe. Na YT je uz okolo toho dost videii ... a dovody ...
1) limity su nastavene ("dodrziavane") terminalom. Co znamena, ze ak v terminali nie je nastaveny limit, tak prejde bezkontaktna pladba v akejkolvek hodnote (ano, bez zadania pinu a ano, mam to overene).
2) staci ist na oblubenu cinsku stranku a pohladat "long range nfc reader". Povodna idea bola, ze v apartmanovych komplexoch sa budu otvarat brany / dvere, bez toho aby clovek musel vytiahnut kartu z vrecka / tasky ... funguje to dobre, ale aj na firemne badge a karty (badge ide bez problemov klonovat aj do 5 - 10 metrov)
3) argument, ze ak je vela kariet na jednom mieste, tak ich citacka neprecita su scestne. Toto je len dohodnute spravanie terminalov, ze namiesto "ktorou kartou chces platit ?", napise "priloz len jednu". Komunikacia s viac kartami naraz nie je problem.
4) vypnutie bezkontaktnych tranzakcii v IB neriesi nic s kartou. Je to len zase raz flag, ze ak sa na to terminal spyta (ak!), tak poziada zakaznika aby zalozil kartu. Samotna karta nadalej komunikuje bezdratovo a ...
Su banky, co vydavaju karty s vypnutou bezkontaktnou pladbou. Bohuzial je to takmer vzdy pripad 4).
Uznavam, ze bezkontaktna pladba je pohodlna a navykova, akurat to ide na ukor bezpecnosti ...
-
Uznavam, ze bezkontaktna pladba je pohodlna a navykova, akurat to ide na ukor bezpecnosti ...
Platební karty nikdy neoplývaly promylšeným zabezpečením a vždy to byl jistý kompromis s tím, že odpovědnost nese hlavně banka. Každý, kdo si stěžuje na bezkontaktní placení jen objevil ameriku, protože karty nebyly "úžasně bezpečné" ani před tím, a vaše číslo karty je bez něj naprosto nezabezpečený a poloveřejný údaj. Přestava, že NFC vypnete a číslo karty tak ochráníte, je naprostá iluze. O tom to je.
-
... a vaše číslo karty je bez něj naprosto nezabezpečený a poloveřejný údaj. Přestava, že NFC vypnete a číslo karty tak ochráníte, je naprostá iluze ...
Jedna vec je ochrana cisla karty a druha track1/2 + autorizacny token ... ak ma niekto fotku karty (cislo + expiracia), tak sice dokaze spravit transakciu, ale ide o najklasickejsiu s najmensiou bezpecnostou. To banky vo vypise vidia a ak by sa niekto stazoval, tak daju skorsie za pravdu klientovi. Ak dojde k autorizacii transakcie akoukolvek novsiou "featurov", tak davaju castejsie za pravdu predajcovi (tomu, co pozbieral $$$). Uz boli aj pripady, ked na modifikovanom terminali vytiahli peniaze z karty a do systemu sa to zaznacilo ako "chip + pin". Nestastnikovi, co sa toto stalo banka odmietla akukolvek reklamaciu, lebo "ved pouzil pin". To ze bol pouzity mitm system medzi bankou a kartou uz nikto neriesil ...
... ono asi najlepsie je mat kartu, ktora nema pristup k velkemu obnosu prostriedkov (aj ked o vselijakych "hidden" rezervach na kartach, by sa dalo tiez diskutovat).
-
Ve Francii se mi parkrat stalo, ze kartou Maestro se zaplatilo bez zadani PINu. Napriklad platba na dalnici, kde se jedna o male castky, ale i platba hotelu, kde ta castka uz je vetsi. Tak nevim, co si o takovem zabezpeceni mam myslet.
-
Já si na kartu spešl pouzdro a nějak to neřeším dokud jí z pouzdra nevindám nfc se nechytá
-
Uz boli aj pripady, ked na modifikovanom terminali vytiahli peniaze z karty a do systemu sa to zaznacilo ako "chip + pin". Nestastnikovi, co sa toto stalo banka odmietla akukolvek reklamaciu, lebo "ved pouzil pin". To ze bol pouzity mitm system medzi bankou a kartou uz nikto neriesil ...
Máte k tomu nějaké bližší info?
... ono asi najlepsie je mat kartu, ktora nema pristup k velkemu obnosu prostriedkov (aj ked o vselijakych "hidden" rezervach na kartach, by sa dalo tiez diskutovat).
Nejlepší je používat transakční limity, protože bez ohledu na technologické aspekty problému, po právní stránce je za zneužití nad rámec nastavených limitů vždy zodpovědná banka, i kdyby byl třeba použit PIN. A právní pohled bude nakonec ten jediný, který vás zajímá.
https://www.mesec.cz/clanky/limity-na-karte-bezpecnost-banka-prohrala-soud/
-
Ve Francii se mi parkrat stalo, ze kartou Maestro se zaplatilo bez zadani PINu. Napriklad platba na dalnici, kde se jedna o male castky, ale i platba hotelu, kde ta castka uz je vetsi. Tak nevim, co si o takovem zabezpeceni mam myslet.
V hotelich se bez PINu plati zcela bezne ... specielne v US. Staci jim cislo karty a pripadne datum expirace. Celej system karet je odjaziva postavenej predevsim na tom, ze se vyplati bankam, a to vcetne toho, ze daj klientum penize ktery jim nekdo vybere. Porad to vyjde radove levnejs nez fyzicky operace s penezma.
Jenze v US tohle funguje - zavolas ze tohle si neplatil, a obratem mas prachy zpet. V CR tohle nefunguje, viz ten odkaz vejs, ze se budes 10let soudit. V US by to, ze se banka soudi se svym klientem, vedlo k tomu, ze by zitra uz zadny dalsi klienty nemela.
...
2) staci ist na oblubenu cinsku stranku a pohladat "long range nfc reader". ...
Existujou ramy pod kterejma projede kamion, a nacita to rfid (= totez) produktu v nem. Potiz je v tom co sem psal - nelze garantovat ze se nactou vsechny. Proto se to nepouziva v obchodech(na tema ze nahazes zbozi do vozejku projedes a zaplatis), protoze problem je stejnej. V pripade toho kamionu prevazne vis, co by v nem byt melo, a kdyz se nenacte, prekontrolujes to.
Tu kartu vpohode prectes tak, ze si na dvere/vchod nalepis antenu.
-
Uz boli aj pripady, ked na modifikovanom terminali vytiahli peniaze z karty a do systemu sa to zaznacilo ako "chip + pin". Nestastnikovi, co sa toto stalo banka odmietla akukolvek reklamaciu, lebo "ved pouzil pin". To ze bol pouzity mitm system medzi bankou a kartou uz nikto neriesil ...
Máte k tomu nějaké bližší info?
Ich bolo tolko, ze neviem, co mysli.
Shell 2006
http://news.bbc.co.uk/2/hi/uk_news/england/4980190.stm
Cinsky dodavatel 2008
http://www.telegraph.co.uk/news/uknews/law-and-order/3173346/Chip-and-pin-scam-has-netted-millions-from-British-shoppers.html
Pin bypass 2010
http://www.cl.cam.ac.uk/research/security/banking/nopin/
Chip & Pin downgrade 2011
http://dev.inversepath.com/download/emv/blackhat_df-whitepaper.txt
-
V hotelich se bez PINu plati zcela bezne ... specielne v US. Staci jim cislo karty a pripadne datum expirace.
Jo, jenze nez jsem tohle videl, tak jsem zil v presvedceni, ze Maestrem se plati jen po zadani PINu. Nikdy, nikde me nikdo nevaroval, ze tomu tak neni. A Maestro neni Visa, kde staci cislo karty, datum expirace a cislicko zezadu. Dokonce i pri online platbach clovek musi mit po ruce nejaky ten digipass a spocitat konfirmacni kod.
-
Uz boli aj pripady, ked na modifikovanom terminali vytiahli peniaze z karty a do systemu sa to zaznacilo ako "chip + pin". Nestastnikovi, co sa toto stalo banka odmietla akukolvek reklamaciu, lebo "ved pouzil pin". To ze bol pouzity mitm system medzi bankou a kartou uz nikto neriesil ...
Stejný způsob používaly skimmery a kamery na bankomatech. Jenže dnes je tento typ útoku známý a banka by musela prokázat trošku důslednější prevenci (statistické metody, kontrola lokace, ..). Banka totiž souhlasit nemusí, stačí, když tu platbu zablokuje přímo karetní asociace (což může).
3) argument, ze ak je vela kariet na jednom mieste, tak ich citacka neprecita su scestne. Toto je len dohodnute spravanie terminalov, ze namiesto "ktorou kartou chces platit ?", napise "priloz len jednu". Komunikacia s viac kartami naraz nie je problem.
Tady se mýlíte. Jde o fyziku.. příliš karet blízko u sebe způsobí dvě věci: rozladění antén v kartách a kdyby to samo o sobě nestačilo, tak nemusí být pole dost silné na napájení všech karet. Typicky bankovní karty nebo třeba DESfire potřebují hodně silné pole (složitý čip, povinné šifrování, atd.).
Útočník se pak chová stejně jako terminál, přečte jednu, pošle HALT a zkusí přečíst další. Jinak to nejde, odpovídat může vždy jen jedna karta. Jakákoliv karta co neumí HALT a má vhodné ID to zablokuje celé.. a že jich takových mezi NFC přístupovými systémy (typicky ve stejné peněžence) není málo. Mám těch karet desítky a zkoušel jsem to včetně implementace příslušných antikolizních mechanizmů.
-
Jo, jo, to jsem videl v americe na vlastni oci:
1) pingl prinesl talerek s ubrouskem a v nem uctenku
2) zakaznik na zadni strane tuzkou vypoctal presne 7% castky !!!
3) zakaznik to prepsal na predni stranu jako spropitne, podepsal a prilozil kartu
4) pingl odesel s kartou dozadu za bar a nejak zprocesoval platbu
5) pingl prinesl nazpet kartu a finalni uctenku pro zakaznika
Pingl si klidne vzadu mohl kartu vyfotit (i CVC/CVV), prejet magnet i cip (contactless tehdy jeste v US nefungoval) ....
-
Sice to sem patří tak napůl, ale potřebuju si odplivnout.
Must-have appky jsou hlavně ty, co nepoužívají GTK3. Že jsou vývojáři GNOME poněkud z jiné planety (marně hledánm dostatečně vulgární označení) se tak nějak ví. Ale poté co na mě vyskočil GTK3 file save dialog o upgradu na poslední LibreOffice (Qt dialog zatím chybí), dostal jsem chuť dát někomu přes hubu.
V horním řádku je klasicky filename a je označen, aby šlo defaultní jméno souboru při ukládání přepsat. Jenže když začnete psát, nepřepíše se jméno souboru, ale píšete do úplně jiného políčka "search". která píča zas tohle vymyslela...... Co budu dělat, až tohle postihne GIMP fakt nevím.
-
kurna, spatné vlákno ;D
https://forum.root.cz/index.php?topic=17544.msg248742;topicseen#new
-
V hotelich se bez PINu plati zcela bezne ... specielne v US. Staci jim cislo karty a pripadne datum expirace.
Jo, jenze nez jsem tohle videl, tak jsem zil v presvedceni, ze Maestrem se plati jen po zadani PINu. Nikdy, nikde me nikdo nevaroval, ze tomu tak neni. A Maestro neni Visa, kde staci cislo karty, datum expirace a cislicko zezadu. Dokonce i pri online platbach clovek musi mit po ruce nejaky ten digipass a spocitat konfirmacni kod.
Ono je to jeste legracnejsi ... je trebas platba pres paypal "platba po internetu"? Mno z pohledu beznyho franty zcela jiste je. Ale z pohledu banky neni. Uplne stejne to pak funguje trebas s tema hotelama. Po netu jim das cislo karty, a oni si bloknou trebas ten dolar, aby si overili, ze karta je OK. Zadny dalsi overeni.
-
Jo, jo, to jsem videl v americe na vlastni oci:
1) pingl prinesl talerek s ubrouskem a v nem uctenku
2) zakaznik na zadni strane tuzkou vypoctal presne 7% castky !!!
3) zakaznik to prepsal na predni stranu jako spropitne, podepsal a prilozil kartu
4) pingl odesel s kartou dozadu za bar a nejak zprocesoval platbu
5) pingl prinesl nazpet kartu a finalni uctenku pro zakaznika
Pingl si klidne vzadu mohl kartu vyfotit (i CVC/CVV), prejet magnet i cip (contactless tehdy jeste v US nefungoval) ....
Za 7% sprepitneho si to zakaznik zasluzil. Ked nechutilo, tak sa dava 15% a ked chutilo, tak podla typu reatauracie 20-25%.
A mimochodom, finalna uctenka s vyslednou sumou je v US zriedkaa. Obycajne sa zaplati kartou a az potom dostanes uctenku, kde napises sprepitne a podpises to. Oni si to tam upravia a ty im musis verit.
-
Za 7% sprepitneho si to zakaznik zasluzil. Ked nechutilo, tak sa dava 15% a ked chutilo, tak podla typu reatauracie 20-25%.
Nevim, jake dysko je v USA obvykle a podeziram, ze to bude zaviset na tom, kde restaurace je. Ale pri kulinarni urovni vetsiny tamnich restauraci je 7 % vic, nez si zaslouzi.
-
Uz boli aj pripady, ked na modifikovanom terminali vytiahli peniaze z karty a do systemu sa to zaznacilo ako "chip + pin". Nestastnikovi, co sa toto stalo banka odmietla akukolvek reklamaciu, lebo "ved pouzil pin". To ze bol pouzity mitm system medzi bankou a kartou uz nikto neriesil ...
Máte k tomu nějaké bližší info?
Chip & PIN Fraud Explained - Computerphile
https://www.youtube.com/watch?v=Ks0SOn8hjG8
-
Ve Francii se mi parkrat stalo, ze kartou Maestro se zaplatilo bez zadani PINu. Napriklad platba na dalnici, kde se jedna o male castky, ale i platba hotelu, kde ta castka uz je vetsi. Tak nevim, co si o takovem zabezpeceni mam myslet.
V hotelich se bez PINu plati zcela bezne ... specielne v US. Staci jim cislo karty a pripadne datum expirace. Celej system karet je odjaziva postavenej predevsim na tom, ze se vyplati bankam, a to vcetne toho, ze daj klientum penize ktery jim nekdo vybere. Porad to vyjde radove levnejs nez fyzicky operace s penezma.
Jenze v US tohle funguje - zavolas ze tohle si neplatil, a obratem mas prachy zpet. V CR tohle nefunguje, viz ten odkaz vejs, ze se budes 10let soudit. V US by to, ze se banka soudi se svym klientem, vedlo k tomu, ze by zitra uz zadny dalsi klienty nemela.
Kdyby jen na hotelech, lidi bezne objednavaj zbozi zavolanim a do tlf nadiktujou cislo karty +expiracku..... To samy sem videl v UK, kdyz sem se jich ptal jestli se nebojej zneuziti tak ze prej "banka to zamazne, zablokuje kartu a posle mi novou"
V USA se casem propracovali k celkem efektivnimu rozpoznavani "podezrelych vzorcu chovani" =1 z nejlepsich zpusobu jak si zablokovat kartu je prej natankovat plnou a vzapeti si koupit 2 pary novych sneakers ;D pripadne pouzit tu "samou kartu" na 2 geograficky vzdalenych mistech soucasne ci tesne po sobe......atd.
"...system karet je odjakziva postavenej predevsim na tom, ze se vyplati bankam..."
To je pravda ale jen proto ze banky stejne prenesou a rozprostrou svy ztraty na zakazniky vcetne obchodniku co karty prijimaj, kteri odvadeji 1-2% z kazdy transakce (proto taky spousta z nich nadsene privitala koncept bitcoinu a "gratis terminal v kazdem mobilu" alias "poslem banku do (_!_) "
...
2) staci ist na oblubenu cinsku stranku a pohladat "long range nfc reader". ...
Existujou ramy pod kterejma projede kamion, a nacita to rfid (= totez) produktu v nem. Potiz je v tom co sem psal - nelze garantovat ze se nactou vsechny. Proto se to nepouziva v obchodech(na tema ze nahazes zbozi do vozejku projedes a zaplatis), protoze problem je stejnej. V pripade toho kamionu prevazne vis, co by v nem byt melo, a kdyz se nenacte, prekontrolujes to.
Tu kartu vpohode prectes tak, ze si na dvere/vchod nalepis antenu.
[/quote]
"nelze garantovat ze se nactou vsechny"
To je presne ten duvod proc napr. ve Francii kde s tim hodne experimentovali nakonec upustili od konceptu "projedes vozejkem skrz ram a nakup je zaplacenej" - chybovost byla prilis vysoka, ono je to logicky, staci koupit neco opravdu drahyho malyho a oblozit to kartonama mlika anebo zeleznejma konzervama.....
V UK zas meli pred lety opacnej problem, zenska nez u kasy stacila vyndat kartu z kabelky tak kasa pipla ze "je zaplaceno" ;D a pak horko tezko zjistovali podle cisla na uctence kterej z tech chudaku co stali ve fronte u kasy to zacaloval.....
Zrejme pak stahli citlivost/dosah terminalu aby to nefungovalo jako "ruska ruleta", coz ale nezabrani aby si nekdo jinej nekoupil v Cine podobnej terminal a nesoupnul ho pod pult s uplne jinym nastavenim.
"Existujou ramy pod kterejma projede kamion, a nacita to rfid"
tyhle ramy jsou v mnoha fabrikach a rfid se pouziva k rizeni skladoveho hospodarstvi a expedici, obzvlaste kdyz pomer cena RFID chipu vs cena vyrobku je zanedbatelna napr. udajne vsechny pneumatiky vyrobeny v USA maj v sobe zatavenej RFID chip prave z tohoto duvodu......coz s vyhodou zneuziva FBI k detekci ci elektronickemu sledovani vozidel "of interest"........
-
[quote author=Peto link=topic=17501.msg248778#msg248778 date=1517999708
Za 7% sprepitneho si to zakaznik zasluzil. Ked nechutilo, tak sa dava 15% a ked chutilo, tak podla typu reatauracie 20-25%.
[/quote]
Pokud vim tak pravidlo bejvalo 10% at uz "chutilo ci nechutilo" a kdyz to clovek nedal tak riskoval ze mu pingl nebo jak Amici rikaj "runner" rozbije hubu...........duvod je prosty, casto je pingl placen VYHRADNE z dysek a neni vubec veden jako kmenovej zamestnanec, takze zakaznik kterej "nedal" protoze mu nechutnalo pingla vlastne okrad' o vejplatu protoze pingl svou praci odvedl......
BTW co sem slysel v Praze jsou/byly podniky (vetsinou hudebni kluby apod) kde pingl/barman musel "zaplatit vlezny" aby tam tu noc moh' obsluhovat (vlastne tak spolunesl riziko kdyby byla mala navstevnost)..... je logicky ze se pak snazil o 106 aby se mu jeho "investice" vratila a to stylem ucel sveti prostredky :)
...coz muze bejt 1 z duvodu proc se Praha muze pysnit titulem mesto zlodeju............samozrejme ze nejhlavnejsim duvodem je ale verbez provozujici TAXI o ktere jdou po svete uz cele skazky......
-
Pokud vim tak pravidlo bejvalo 10% at uz "chutilo ci nechutilo" a kdyz to clovek nedal tak riskoval ze mu pingl nebo jak Amici rikaj "runner" rozbije hubu...........duvod je prosty, casto je pingl placen VYHRADNE z dysek a neni vubec veden jako kmenovej zamestnanec, takze zakaznik kterej "nedal" protoze mu nechutnalo pingla vlastne okrad' o vejplatu protoze pingl svou praci odvedl......
Jo, kdyz si hovada nechali mozky vymyt tak, ze tam uz prakticky uplne vymizely odbory, tak ted holt pracuji akorat za zpropitny. By me zajimalo, jak se na tohle tvari IRS, ktery te jinak kvuli dolaru sedre z kuze a proda do psich konzerv.
-
Pri navsteve Talianska asi 1.5 roka dozadu som cumel, ze v obchode nejde platit bezkontaktne. Taka krajina ako Taliansko, dokonca sever, by sa ocakavalo, ze nieco taketo tam bude samozrejmost. U nas sme to pouzivali uz bezne
V Nemecku ve spouste i pomerne velkych obchodech normalni katou jednoduse nezaplatis vubec, berou jen nejaky lokalni zakaznicky karticky.
To je blbost. V Německu normálně zaplatíš normální německou kartou, kterou dostaneš od německé banky. To, že to nejde ani přes Master ani přes Viza spočívá v tom, že se německým bankám nechtělo platit američanům drahý poplatky a tak si zavedli systém vlastní. Navíc spousta obchodníků nejede přes platbu kartou, ale zařízení si z karty jenom zjistí číslo účtu a provede se inkaso (to znamená, že z pokladny vyjede doklad, který zákazník podepíše a tím dovolí obchodníkovi strhnout platbu přímo z účtu - při normální platbě kartou se musí zadávat PIN).
Nicméně už asi 2roky jsou poplatky od Vizy/Master nižší, takže se to obchdníkům začalo vyplácet.
-
Fio na pozadani.
Byl jsem na pobočce a FIO mi to odmítla. Dokonce jsem žádal, jestli nejde vynutit použití PINu při jakékoliv částce a že prý to nepodporují. Přemýšlím, kam jinam, ale potřeboval bych banku, s nízkými poplatky do/z eurozóny...
-
Pri navsteve Talianska asi 1.5 roka dozadu som cumel, ze v obchode nejde platit bezkontaktne. Taka krajina ako Taliansko, dokonca sever, by sa ocakavalo, ze nieco taketo tam bude samozrejmost. U nas sme to pouzivali uz bezne
V Nemecku ve spouste i pomerne velkych obchodech normalni katou jednoduse nezaplatis vubec, berou jen nejaky lokalni zakaznicky karticky.
To je blbost. V Německu normálně zaplatíš normální německou kartou, kterou dostaneš od německé banky. To, že to nejde ani přes Master ani přes Viza spočívá v tom, že se německým bankám nechtělo platit američanům drahý poplatky a tak si zavedli systém vlastní. Navíc spousta obchodníků nejede přes platbu kartou, ale zařízení si z karty jenom zjistí číslo účtu a provede se inkaso (to znamená, že z pokladny vyjede doklad, který zákazník podepíše a tím dovolí obchodníkovi strhnout platbu přímo z účtu - při normální platbě kartou se musí zadávat PIN).
Nicméně už asi 2roky jsou poplatky od Vizy/Master nižší, takže se to obchdníkům začalo vyplácet.
No aspon ze v tomhle si Nemci nenechali od Americanu nasrat na hlavu.....
V DK uz pres 20 let funguje taky "narodni" system = Dankort https://en.wikipedia.org/wiki/Dankort
Podobny pristup Danu k VISA &spol jako v Nemecku neni nahodny :)
"Due to the higher fees charged by banks for the use of non-Danish issued cards ....... many Danish merchants only accept Dankort and Danish-issued credit cards, but not foreign cards.....
Co-branded Dankort-Visa cards are very common in Denmark and do not carry the bigger fee, as Danish merchants treat them as regular Dankort cards within Denmark"
Cili ciste US corp karty se v DK nikdy nechytly, musely se nechat zaclenit do narodniho systemu s tim ze poplatky jsou jine nez si predstavovaly.... Takze vetsina lidi ma nyni ve srajtofli combo-kartu ktera ale pri pouziti v DK uzivatele NIC NESTOJI, poplatky nastupuji az pri platbach v cizine, pak je to klasicka zlodejina.
Pro dokresleni, puvodni narodni system vznikl z popudu samotnych bank kterym kazily ucetnictvi znacne ztraty z loupeznych prepadeni bank a transportu penez, takze lobovaly u vlady aby jim povolila zavest elektronicky system plateb.
Vlada to povolila pod podminkou ze koncove uzivatele nebude provoz toho systemu nic stat, na coz banky kyvly ba co vic PODEPSALY TENTO ZAVAZEK.
Nasledne se system velmi rychle rozjel a ziskal oblibu u obyvatelstva......uplynulo par let a od bank se zaclo ozyvat ze jak k tomu prijdou ze zakaznici za tak dokonaly system nic neplati a ze udrzovani infrastruktury stoji banky nemale $ rocne a ze by bylo solidarni aby zakaznici take platili jakysi "symbolicky" poplatek za transakci..........
Nacez vlada vytahla ten canc co bankovni verbez svyho casu podepsala a omlatila jim ho o hlavu s dovetkem ze "banky jaksi zapomely vycislit kolik $ rocne usetri na ztratach z manipulaci cashe a kam se teda ty uspory podely"?
A bylo opet na par let ticho. Nez se do zeme zacly tlacit US karty a napadat narodni system jako "branici zdrave konkurenci" apod zvasty.
Zatim ale dostaly moznost se pouze zaclenit do narodniho systemu a to za pomerne striktnich podminek.
Jak dlouho to vydrzi je ve hvezdach, nastesti je DK prilis maly trh na to aby se do toho vlozila US vlada a zacla tlacit na pilu, coz by byl problem protoze zdejsi -zejmena pravicova- vlada ma jiz tradicne hlavu hluboko zasunutou v US (_!_)
-
Němci mají taky svůj trucstandard (EC karte), a kdysi existoval i Eurocard, než ho Mastercard sežral.
Tady je div, že ta přeregulovaná EU dávno nepřišla e svým platebníém standardem. I když co se vlastně divím, oni na to šli typicky po Evropsku, zastropovali poplatky za Interchange fee na 0.2/0.3%. US společnosti sice brblaly, ale evropský trh neopustily.
-
I když co se vlastně divím, oni na to šli typicky po Evropsku, zastropovali poplatky za Interchange fee na 0.2/0.3%. US společnosti sice brblaly, ale evropský trh neopustily.
Zastropovali to, protoze zretelne v teto oblasti trh nehraje ve prospech zakaznika. Trh, co podle Ivanka vzdy najde optimalni reseni, zde zretelne selhava.
Ono treba nebyt EU a jejiho typicky evropskeho pristupu, tak dodnes platite na mobilu roaming, nehorazne poplatky v ramci jednoho operatora, jeste nehoraznejsi pri volani ze site do site a radsi se neptejte, jak nehorazne poplatky by byly pri zahranicnim volani, coz je obzvlast vypecene tim, ze to ti sulini stejne urcite rvou skrz Internet kde se da, takze neni duvodu, aby to stalo vic jen proto, ze je v ceste hranicni cara.
Krome tohoto by na trhu pusobili celi 2 operatori a ti by si tarify dohodli nekde u piva. Nevim, jestli pamatujete, jak kdysi clovek platil 1 € za minutu pricemz se zcela bezduvodne uctovalo ne podle vterin, ale podle nacatych minut, coz mozna davalo smysl na releove ustredne, ale ne na ciste digitalnim zarizeni, takze to byl jen dalsi ojeb vymysleny na zakaznika.
-
Uz boli aj pripady, ked na modifikovanom terminali vytiahli peniaze z karty a do systemu sa to zaznacilo ako "chip + pin". Nestastnikovi, co sa toto stalo banka odmietla akukolvek reklamaciu, lebo "ved pouzil pin". To ze bol pouzity mitm system medzi bankou a kartou uz nikto neriesil ...
Máte k tomu nějaké bližší info?
Chip & PIN Fraud Explained - Computerphile
https://www.youtube.com/watch?v=Ks0SOn8hjG8
Krasne video :) Ja som to cital (uz neviem kde presne), ale v tom videu je to presne.
tl;dr;1 -> mimt, kedy sa karte posle "chip + signature" a utorizacnym tokenom sa potvrdi "chip + pin" transakcia
tl;dr;2 -> display na terminali ukaze ine cislo, ako sa na pozadi potvrdi v transakcii
-
Když už jsme u toho, sice neplatební karta, ale fakt pobavilo: BMW za 3,5 milionu korun s genitálním bezklíčovým systémem
CarKeyless ukradnete do dvou minut (https://hradec.idnes.cz/kradez-auto-keyless-hradec-kralove-ctecka-klice-zlodej-p1p-/hradec-zpravy.aspx?c=A180208_112928_hradec-zpravy_tuu). ;D ;D ;D
-
tl;dr;2 -> display na terminali ukaze ine cislo, ako sa na pozadi potvrdi v transakcii
Jedině, když je útočníkem samotný obchodník. A dneska už to spousta lidí zjistí přímo na místě, protože jim přijde notifikace na mobil. Navíc všechny terminály u nás tisknou účtenku, takže máte v takovém případě šanci.
Ale je to zajímavý útok.
-
Když už jsme u toho, sice neplatební karta, ale fakt pobavilo: BMW za 3,5 milionu korun s genitálním bezklíčovým systémem CarKeyless ukradnete do dvou minut (https://hradec.idnes.cz/kradez-auto-keyless-hradec-kralove-ctecka-klice-zlodej-p1p-/hradec-zpravy.aspx?c=A180208_112928_hradec-zpravy_tuu). ;D ;D ;D
Jo, o moznosti tohoto utoku jsem nekde cetl snad uz pred lety. A nyni jiz mame i praktickou realizaci. Tady by skodu melo platit BMW, protoze do auta cpou uplne zhovadily system, ktery navic vydavaji za uzasnou vifikundaci.
Jinak chci videt, jak toho zlodeje chytaji. Predpokladam, ze to auto je uz v Rusku s uplne legalnimi papiry.
-
Trh, co podle Ivanka vzdy najde optimalni reseni, zde zretelne selhava.
Trh zpravidla najde optimalni reseni-ovsem jen malokdy je tohle resen optimalni i pro zakaznika......
[quote
a radsi se neptejte, jak nehorazne poplatky by byly pri zahranicnim volani, coz je obzvlast vypecene tim, ze to ti sulini stejne urcite rvou skrz Internet kde se da, takze neni duvodu, aby to stalo vic jen proto, ze je v ceste hranicni cara.
[/quote]
Tohle byl presne pripad nemeckyho T-mobilu = Cesi i Nemci volali v uplne stejny siti=byla to jedna a ta sama sit pokryvajici 2 staty, ovsem kdyz volal Nemec do Ceska tak byla sazba nizsi nez kdyz volal Cech do Nemecka, a pokud oba vyzuzili "roaming" tak byl podojenej taky hlavne Cech -mozna pak T-mobile tou ceskou overprice dotoval levny nemecky tarify?? U vychcanych Germanu by me to vubec neprekvapilo, co me ale prekvapuje je naivita nekterych EUrohujeru ktery si furt mysli ze kdyz sedi Cesi a Nemci u spolecnyho stolu v Bruselu, ze se s nima zachazi jinak.....
BTW T-mobile mel i dalsi laskominy, napr tim jejich slavnym tarifem "volejte neomezene" ;D Tak lidi zacli holt volat neomezene, ale dlouho jim to nevydrzelo protoze T-mobile je kontaktoval a vysvetlil jim ze neomezene sice ano ale nee az zas TAK neomezene...........Pamatuju si ze Kraus v ty svy talkshow jim to dal sezrat, ze prej "kdyz si to neumite spocitat tak proc nejdete delat neco jinyho"??
Tato dama https://en.wikipedia.org/wiki/Neelie_Kroes ale soudruhum
-
Tato dama https://en.wikipedia.org/wiki/Neelie_Kroes ale soudruhum pristrihla jako "European Commissioner for Digital Agenda" kridylka.