Bzdury, mity i kłamstwa na temat płatności zbliżeniowych
Masz w kieszeni kartę z funkcją płatności zbliżeniowych? Chcesz wiedzieć, co naprawdę z taką kartą da się zrobić i czy można z niej ukraść Twoje pieniądze? Przeczytaj artykuł, bo w internet zalewają fale bzdur na ten temat.
Jak każda nowa technologia, od kotła parowego począwszy, także płatności zbliżeniowe obrastają mitami i przesądami, a niestety wielu internautów napędza atmosferę strachu i zagrożenia, nie zastawiając się nad tym, jak to wszystko tak naprawdę działa. Nie będziemy głęboko wnikać w technologię, ale odpowiemy na kilka bardzo ważnych pytań.
Do napisania tego artykułu najbardziej zmotywował nas film pana Janusza Limanowskiego, który ma ponad 300 tysięcy odsłon na Facebooku i 7000 udostępnień. Autor informuje, że przestępcy okradają karty zbliżeniowe z dystansu 10 metrów (antenę mają pod ubraniem), a podczas Wszystkich Świętych na jednym z cmentarzy doszło do kradzieży łącznie na kwotę 230 000 PLN. Boże.
Czy z karty zbliżeniowej można ukraść pieniądze
Tak.
Czy kradzieże z kart zbliżeniowych zdarzają się w rzeczywistości
Nie. Z wyjątkiem kart skradzionych lub zgubionych.
Dlaczego???
To wymaga trochę dłuższej odpowiedzi niż jedno słowo – ale bądźcie z nami.
Przy płatności kartą zbliżeniową nie trzeba jej wyciągać z kieszeni i nie trzeba – najogólniej rzecz ujmując do kwoty 50 PLN – podawać kodu PIN. Czy to znaczy, że mając wzmacniacz sygnału (bo wiemy, że sygnały można wzmacniać mając wzmacniacz) i antenę (bo wiemy, że sygnał idzie dalej jak mamy antenę) oraz przenośny terminal możemy okraść cały autobus (lub cmentarz)? Nie.
Pomińmy fizykę, bo zawsze można użyć większego wzmacniacza (i anteny). Załóżmy, że da się przeprowadzić transakcję zbliżeniową z dystansu 10 metrów. Dlaczego przestępcy nie kradną tak na potęgę w metrze, autobusach i w kolejkach po karpia? Problem leży gdzie indziej – mianowicie w systemie rozliczeniowym i bankowym oraz w opłacalności tego przedsięwzięcia. Aby okraść ludzi, przestępca musi (w tej kolejności):
- zarejestrować firmę / działalność gospodarczą,
- przejść proces weryfikacji i podpisać umowę z firmą pośredniczącą w płatnościach,
- fizycznie znaleźć się w okolicy swoich ofiar (akceptując ryzyko utrwalenia na kamerze),
- przeprowadzić atak przyjmując płatności,
- poczekać kilka – kilkanaście dni aż płatności spłyną na jego konto,
- licząc na to, że żadna z ofiar nie zauważyła ataku i nie zgłosiła reklamacji,
- i to wszystko dla 50 PLN / ofiara (minus prowizja pośrednika).
Żaden rozsądnie myślący przestępca nie bierze się za ten biznes. Dlaczego? Bo to się zwyczajnie nie opłaca. Niewielkie zyski, duże ryzyko identyfikacji oraz duże ryzyko że zysków nie będzie wcale, bo po fali reklamacji pośrednik może zablokować konto. Im więcej osób okradzionych, tym większa szansa, że ktoś zgłosi reklamację. Można liczyć na to, że 1 czy 2 osoby nie zauważą, ze zniknęło im 50 PLN z karty. Ale wtedy zysk wynosi 50 lub 100 PLN, podczas kiedy same koszty operacji (potrzebne wzmacniacze i anteny) może iść w tysiące.
Pytania i odpowiedzi
Ale Janusz Limanowski mówi, że na cmentarzu ukradli 230 000 PLN, czyli się opłaca
Policzmy. 230 000 / 50 = 4600 osób okradzionych jednego dnia (a zapewne jednego wieczoru) na cmentarzu. Jaka jest szansa, że w ciągu paru dni kilkaset osób nie zgłosi reklamacji swojemu bankowi, a ten operatorowi płatności i złodziej zobaczy chociaż grosz z tej akcji? Szansa jest podobna jak to, że z 4600 ofiar nikt nie opowiedział o tym zdarzeniu gazetom, kolegom i telewizji (bo tylko Janusz Limanowski o tym do tej pory słyszał).
Ale na konferencjach pokazują że atak się udaje
Tak. Na konferencjach się udaje. Technicznie jest do przeprowadzenia, w wariancie ze wzmacniaczem czy „przedłużaczem” sygnału przesyłanego inną drogą. Ale z powodów opisanych powyżej w świecie istniejącym poza salą konferencyjną jest nieopłacalny.
A co z klonowaniem kart zbliżeniowych?
Nie da się. Można je tylko na żywo „przedłużać” – ktoś z urządzeniem A stoi przy terminalu w sklepie, ktoś z urządzeniem B stoi przy Twojej kieszeni w autobusie, urządzenia A i B się komunikują i terminal w sklepie myśli, że to Twoja karta z nim rozmawia. Udaje się na konferencjach. Nie ma możliwości sklonowania karty zbliżeniowej w trakcie jej odczytywania. Nie da się z karty odczytać danych niezbędnych do jej sklonowania. No, może pod mikroskopem elektronowym w laboratorium. Ale na pewno nie czytnikiem zbliżeniowym.
Ale można przeczytać moje dane!
Tak, najczęściej z karty można odczytać takie dane jak nr karty, datę ważności oraz – czasem – historię transakcji (daty + kwoty ostatnich 10 transakcji) a w niektórych przypadkach podobno imię i nazwisko. To prawda. Trzeba tylko być kilka milimetrów (zwykłym sprzętem) lub centymetrów (lepszym sprzętem) od karty. Z takiej odległości da się te dane także przeczytać oczami lub aparatem fotograficznym. Co więcej, oczami można odczytać imię i nazwisko – a na testowanych kartach kilkunastu polskich banków nie natrafiliśmy na możliwość ich odczytu. Jeśli z tego powodu rezygnujecie z płatności zbliżeniowych lub trzymacie kartę zawiniętą w folię aluminiową, to nie zapomnijcie zakleić napisów umieszczonych na samej karcie.
Przy okazji warto zauważyć, że pan Limanowski, na filmie, na którym omawia zagrożenia dla kart zbliżeniowych, pokazuje swoją kartę do kamery w taki sposób, że widać jej numery.
Ale historia transakcji!
Proszę, tu historia transakcji karty autora artykułu odczytana przed chwilą z karty używanej codziennie. Nie musicie biegać za mną z czytnikiem.
Nie mam pojęcia dlaczego w historii nie było setek niedawnych transakcji, tylko te z obrazka. Historia nie wskazuje na miejsca zakupów – choć można wywnioskować kraj z waluty.
Ale numer i data!
No, w końcu dobre pytanie. Mając numer karty i datę ważności faktycznie można (przy odrobinie sprytu) narobić trochę problemów. Tu jednak wracamy do fizyki. Tak naprawdę jeśli nie chcecie wyglądać jak bohaterzy akcji Pogromców Duchów, to realny dystans, z którego odczytacie dane (zakładając, że po drodze jest tylko powietrze lub inne łatwo przenikalne elementy i macie naprawdę dobry czytnik) to ok. czterech centymetrów (karta nie ma nadajnika, energię do komunikacji dostarcza czytnik za pomocą pola elektromagnetycznego, zatem jeśli chcecie zwiększać dystans to przygotujcie ciężkie akumulatory). Sporo umiejętności kieszonkowca trzeba, by z takiej odległości czytać dane cudzych kart bez zwracania na siebie uwagi posiadacza. Co więcej, jeśli kart w portfelu jest więcej niż jedna, to na pytania czytnika reagują wszystkie, uniemożliwiając poprawny odczyt (choć jak donoszą Czytelnicy da się ten problem rozwiązać). Naprawdę prościej sprawdzić zdjęcia nowych kart na Instagramie. Mniej zachodu.
Co na to banki
Zanim opublikowaliśmy ten artykuł, zapytaliśmy spore grono ludzi z branży, czy słyszeli kiedykolwiek o wykorzystaniu kart zbliżeniowych do jakichkolwiek ataków na użytkowników. Pytaliśmy w bankach, pytaliśmy u regulatorów, pytaliśmy w organach ścigania i wszędzie odpowiedź była taka sama – jedyny realny scenariusz ataku to zgubiona karta, którą ktoś płaci w sklepie (i wpada w ręce policji następnego dnia, bo nagrał się na czterech kamerach po drodze) a bank oddaje wszystkie pieniądze.
Wysłaliśmy także proste pytanie do kilku największych banków o skalę strat związanych z płatnościami zbliżeniowymi. W ciągu 1 dnia zdążył odpowiedzieć tylko PKO Bank Polski, który poinformował między innymi, że
Jeśli mBank, Millennium, Pekao oraz BZ WBK zaszczycą nas swoimi odpowiedziami, to dopiszemy do artykułu.
Aktualizacja 2018-02-09 15:30: dostaliśmy odpowiedzi mBanku i Millennium.
mBank:
Millennium:
Podsumowanie
Albert Einstein
Wbrew temu, co opowiadają różnej maści "eksperci", do kradzieży środków z kart zbliżeniowych bez ich zgubienia nie dochodzi. Ryzyko, że z karty stracicie pieniądze, jest praktycznie takie same dla karty zwykłej i zbliżeniowej. Po ulicach nie chodzą ludzie z mobilnymi terminalami by Was okraść. Nie da się Was tez okraść gdy używacie karty zbliżeniowej jako biletu autobusowego (pozdrawiamy Jaworzno, Łódź i Wrocław). Poza tym pamiętajcie, tylko gotówka albo Monero!
A jeśli chcecie nauczyć swoich pracowników (szczególnie tych obsługujących rachunki bankowe) jak wyglądają prawdziwe ataki na klientów banków, to w trakcie naszego szkolenia pokazujemy kilkanaście scenariuszy i omawiamy, jak je rozpoznać i zapobiec ich skutkom.
Podobne wpisy
- Zapraszamy na studia podyplomowe z cyberbezpieczeństwa w Krakowie
- Podstawy Bezpieczeństwa: Jak zadbać o bezpieczeństwo i prywatność na Discordzie
- 25 miejsc, gdzie warto czytać po polsku o bezpieczeństwie
- Nawet najlepszy administrator nie poradzi sobie bez odpowiednich narzędzi
- Podstawy Bezpieczeństwa: Prywatność i bezpieczeństwo na Instagramie
W mBanku na karcie można odczytać imię i nazwisko bez żadnego problemu ;)
Sprawdzaliśmy na 4 różnych mBanku (VISA, MC, PLN, EUR, biznesowa) i z żadnej się nie udało.
No to może jakaś konfrontacja? Bardziej wierzę autorowi, ale dam się przekonać dowodom ;)
Właśnie przed chwilą Cardpeekiem sprawdziłem jedną z kart z kolekcji – stara karta żony, Visa Electron mBanku, expiry date 05/16, Application Effective Date nie ustawiona.
Cardpeek nie „czuje” contactlessa, nawet na czytniku bezstykowym śle SELECT PSE (1PAY.SYS.DDF01) – karta nie ma nic przeciwko temu, że chcemy aktywować PSE na interfejsie bezstykowym – zamiast PPSE.
READ RECORD, file 1, record 2 i cóż mamy ? 5F20 – Cardholder name. Z prawidłową zawartością.
No dobrze, może to wina tego, że głupia karta po bezstyku dała się podejść tak, jakby to był interfejs stykowy ? Otóż nie, SELECT PPSE i dalej już normalnie – i co ? Znowu 5F20 się odczytało.
O ile pamiętam, nie udało mi się na tej karcie zrobić jedynie weryfikacji offline PIN po bezstyku – no, gdyby to przeszło, to bym chyba ze śmiechu spadł pod stół ;)
BTW – przestępstwa związane z kartami bezstykowymi były – nawet w Polsce. W naszym przypadku nie dotyczyło to (z oczywistych względów) „skimmerów bezstykowych” chodzących po autobusach czy metrze. Rekordzista ukradł bodajże 80 tysięcy zł. Wpadł. Było jeszcze paru śmiałków, ale gdzieżby się tam mogli równać z tym „bossem”. Też zresztą wpadli. Ale ile się napracowali – trzeba być bezrobotnym żeby mieć na to czas.
OBTW ;)
Tego co powyżej już od lat się nie da powtórzyć.
TLDR
A i tak wygląda na to, że niedługo wszystko contactlessowe będzie szło online – niezależnie od kwoty. Teraz jedynie HCE zawsze musi iść online, ale organizacje się przychylają do rozszerzenia tego na „plastiki”. Ktoś potwierdzi może, że Mastercard od 1 marca tego roku to nakazuje ? Takie info dostałem wczoraj.
Bo za contactlessa bank płaci organizacji tylko raz, w momencie rozliczania transakcji. A za online dwa razy – za autoryzację, i późniejsze rozliczenie. Tu bezpieczeństwo nie ma nic do rzeczy.
Co do tego, że „bezpieczeństwo nie ma nic do rzeczy” się pozwolę nie zgodzić. Ma i to wiele. Wprawdzie u nas o ile się nie mylę, niektórzy acquirerzy i tak już mieli zerowe floor limity na contactless od paru lat (właśnie ze względu na „pewne incydenty”) – ale info, które dostałem przyszło z UK i dotyczyło tamtejszego (tylko ?) rynku gdzie jak wiadomo, offline to idée fixe dla jednej z organizacji – a według tej notki, oni już są „fully online” na contactlessie.
Facet robi liva jakie to karty zbliżeniowe są „be”, a jednocześnie pokazuje do kamerki swoją kartę z widocznymi numerami.
Pogratulować…
> Nie da się Was tez okraść gdy używacie karty zbliżeniowej jako biletu autobusowego (pozdrawiamy Jaworzno, Łódź i Wrocław).
Nie był bym tego taki pewien. Potrafię sobie wyobrazić sytuację, w której osoba udająca kanara, dzierżąc urządzenie przypominające handhelda używanego przez tychże robi sobie zdjęcia kart, które ludzie mu grzecznie dają do kontroli.
Naprawdę zamiast budować „czytnik biletów” z wbudowaną kamerą plus fałszować legitymację kontrolera plus ryzykować złapanie w autobusie prościej wydać dolara na dane karty w hurcie w internecie :)
Ludzie się nie przyglądają, nie wiedzą jak ten czytnik powinien wyglądać, wystarczy smartfon w większej obudowie, a w razie wpadki zawsze można walić ściemę, że jesteśmy whitehatem i badamy jak łatwo ukraść dane kart dzięki nowemu systemowi. Dla uwiarygodnienia możemy się nagrywać że niby to na jutuba. No i ta metoda ma tę zaletę, że łapiemy świeżutkie karty, co do których mamy pewność że nie zostały sprzedane 10 innym oszustom.
Wciąż ten ktoś musi być zarejestrowany i musi nikt nie zgłosić zniknięcia pieniędzy. Nikt za 50zł nie będzie ryzykować pierdla.
W końcu ktoś się pochylił nad tym tematem!
„Sprawdzaliśmy na 4 różnych mBanku (VISA, MC, PLN, EUR, biznesowa) i z żadnej się nie udało.” – Rozumiem, że pracowałaś 6 lat w NASA i 4 w SpaceX w dziale łączności. Z faktu, że ty nie potrafisz wynika jedynie, że ty nie potrafisz, a nie, że jest to niemożliwe.
Na szybko:
https://niebezpiecznik.pl/post/uniwersalny-atak-na-karty-zblizeniowe/
https://www.tvn24.pl/wiadomosci-z-kraju,3/niebezpieczne-karty-zblizeniowe-zlodzieje-moga-skanowac-dane-telefonem,364859.html
Nie ma to jak amator i ignorant bierze się za obalanie mitów.
Autorze artykułu, przez wzgląd na Twe zdrowie psychiczne oraz wiarę w ludzkość, proszę nie czytaj komentarzy ludzi, którzy nawet nie zadali sobie trudu by ze zrozumieniem się z tym artykułem zapoznać. :D
Za późno :(
Wygraliście tydzień jak dla mnie ??
„Podsumowanie
Nie wierzcie we wszystko, co przeczytaliście i usłyszeliście w internecie
Albert Einstein”
Text tygodnia :)
„Nie wierzcie we wszystko, co przeczytaliście i usłyszeliście w internecie
Albert Einstein”
Zmarł 18 czerwca 1955 roku.
To się biedaka musiał naczytać inyernetu…
Geniu, z Twoja spostrzegawczoscia mysle, ze powinienes od razu podbijac do ABW!
A wiecie dlaczego Gieniu nie lubi ironii? Bo nie potrafi jej wyłapać, a jak już mu się zdarzy, to jej nie rozumie ;-)
Twoja wypowiedź to chyba pewna forma oporności na wiedzę i słowo pisane.
Obydwa zagadnienia, które podlinkowałeś (i najwyraźniej, których nie rozumiesz), zostały opisane w treści artykułu jako możliwe, ale niepraktyczne z wielu powodów. Nikt nie przeczy, że nie da się ich wykonać, co też jest opisane powyżej.
Najwyraźniej albo nie rozumiesz tekstu pisanego, albo wypierasz go ze świadomości bo dysonans poznawczy był zbyt duży.
Znalazł się profesjonalista cytujący blogi jako źródło :)
Nawet tam gdzie linkujesz napisano coś co jest meritum artykułu Adama: „I na koniec pamiętajcie, wciąż prościej jest przystawić komuś nóż do gardła i zabrać portfel, niż wykonywać tak skomplikowane technicznie ataki przedłużenia terminala, ryzykując uwiecznienie swojej facjaty na sklepowej kamerze CCTV ;)”
Po prostu. Da się, ale się nie opłaca – za duże ryzyko!
Koniec.
No ale przecież atak opisany w niebezpieczniku jest czysto teoretyczny, jaka jest szansa, że dwóm typom uda się zgrać zbliżenie do czytnika na kwotę 50zł i wymacanie karty delikwenta w autobusie? Przecież to ekwilibrystyka, jak sobie to wyobrażasz? Abstrahując od faktu, że goście musieliby być cały czas w kontakcie?
– Dobra mordo, podsuwam telefon, szybko szukaj frajera w autobusie, masz 30 s.
– Dobra mordo, zaczynam macać po torebkach i kieszeniach… 30 s… 20s… 10s… No nie udało się, cwane chytrusy, nie zeskanowałem mordo, musisz zapłacić te pięć dyszek ze swoich, ale spoko, następnym razem się uda’
:)
Dokładnie dobrze powiedziane. Sam sprawdzałem metodę z programem do obsługi NFC. I jeśli karta jest w portfelu a ten nawet na przedniej kieszeni spodni to smartfonem da się zeskanować dane NFC niezbędne do płatności zbliżeniowej. Można je sobie zapisać w smartfonie potem przenieść na czystą kartę NFC którą można kupić w internecie. Najbardziej przerażające jest to, że wiedzą o tym dzieciaki z Gimnazjów! Sam kiedyś widziałem jak jakiś dzieciak takie coś robił w autobusie koleżance. Następnego dnia zorientowała się, że ktoś sobie z jej konta kasę pociągnął na jakieś głupoty.
Widziałaś jak jakiś dzieciak robił to koleżance w autobusie i na następny dzień ta koleżanka się zorientowała? Po pierwsze z tego zdania wynika że ten dzieciak robił to swojej koleżance więc skąd miała byś wiedzieć co było następnego dnia. Po drugie jeśli to była twoja koleżanka i to widziałaś to świetna z ciebie koleżanka że nie zareagowałaś.
Bardzo zaciekawił mnie ten cytat z Einstein-a. Czy był jeszcze jeden Albert Einstein po tym który zmarł w 1955 ?
Czasem jak czytam artykuły na Z3S to się zastanawiam czy ten portal przypadkiem nie traci na jakości… I czy osoba zajmująca się tematem faktycznie wie co pisze…
Nie było. Te słowa wypowiedział stary poczciwy Albert Einstein przeglądając poranne newsy w intrenecie.
Informacje o rzekomej śmierci Alberta E. są mocno przesadzone.
pozdrawiam
Elvis P.
Nie, to ten sam, który zmarł :D
No właśnie to jest sarkazm z takich jak Ty :)
Artykuł trochę traci sens już na samym początku. Faktycznie istnieje limit do 50 PLN ale jest on tak samo skuteczny jak pin i inne limity we wszystkich kartach płatniczych. To oznacza, że złodziej wie gdzie iść z kartą, żeby dany limit nie obowiązywał. Jest sporo sklepów gdzie można dokonać zakupu na dowolną kwotę kartą zbliżeniową bez podawania pinu. Tak samo jak są sklepy, które nie będą wymagać pinu od „zwykłej” karty. A teraz moje pytanie. Po co rejestrować firmę, weryfikować się i robić wszystkie inne rzeczy, które wymieniliście w podpunktach, przy ataku przedłużenia terminala? Atak polega na przedłużeniu istniejącego już terminala a nie na tworzeniu nowego.
To problem tych sklepów że mają terminale offline, bo blokada na kwotę transakcji zbliżeniowej powyżej kwoty maksymalnej zostanie odrzucona prze bank.
Z jakiego źródła czerpiesz informacje? Ja wiem o nieprzestrzeganiu limitu karty zbliżeniowej z doświadczenia i bank niczego nie odrzucił.
Absolutnie nie ma takiej możliwości. Limit ten jest odgórnie zapisany w set-upie karty. Brak on-line nic tu nie zmienia, bo tak naprawdę istnieją dwa piny: off-line i on-line. Jedyne co zostało pominięte przez autora to fakt, że na jednej karcie można wykonać kilka transakcji po 50 zł, ale już nie kilkadziesiąt.
no nie, w każdym kraju masz inny limit
i Twoja karta „wyda” wiecej kasy za każdym razem
W UK zmieniono limit dwa razy dla platnosci bezprzewodowych.
Nie bylo wymian kart, mozna sobie nawet zmienic w niektorych bankach i instytucjach limit samemu (Revolut premium).
Nic odgornie nie bylo zapisane
To, że limit jest zapisany na karcie wcale nie znaczy, że nie da się go zdalnie zaktualizować. Podobnie jak zmieniasz PIN przez bankowość elektroniczną, nie musisz wymieniać karty.
Stare automaty biletowe w autobusach i tramwajach autoryzują płatności
98 zł (a może i więcej jeśli kupowałbym kilka biletów miesięcznych). Automaty na przystankach z kolei ZAWSZE wymagają PIN
„Nie wierzcie we wszystko, co przeczytaliście i usłyszeliście w internecie
Albert Einstein”
To powiedziała Maria Skłodowska-Curie, proszę poprawić !!!
p.s. tysiąc „pińcet” zł – kto bogatemu zabroni ;]
Einstein była kobietą!!1
Typowy pan Janusz z polskiego internetu. Co się dziwić. A clickbajty na jego stronie same się przecież nie zmonetyzują.
No rzeczywiście nagranie na kamery daje 100% pewność ujęcia sprawcy :D
Widać, że nie mieliście chyba do czynienia z Polską policją…
Ci wszyscy kradnący w sklepach strasznie się ich boją…hahaha
Spróbujcie sobie zgłosić kradzież na podstawie monitoringu (na którym czasem ledwo cokolwiek widać), jeśli gość nie będzie niósł przed sobą wielkiej tablicy z adresem gdzie można go znaleźć to życzę powodzenia.
Znane są też przypadki gdzie ktoś podaje wszystkie dane sprawcy, a i tak sprawa jest umarzana z powodu niewykrycia sprawcy lub niskiej szkodliwości… Zamiast pisać takie brednie lepiej sprawdzić jak to naprawdę wygląda.
Oszustwa karciane mają inną punktację w rankingu policyjnym, dużo wyższą od zwykłych kradzieży.
I nagranie z kamerki tak wiele zmienia, pewnie jak w CSI wyczytają na 100-krotnym zbliżeniu jego adres przebywania odbity na tęczówce oka i tam go spektakularnie dorwą… teoria sobie, a życie sobie.
Wydaje mi się że nie tyle w „rankingu policyjnym”, a w Kodeksie Karnym – kradziez pieniędzy z karty traktowana jest jako kradzież z włamaniem, więc zawsze jest przestępstwem niezależnie od ukradzionej kwoty. Jednak nie zgodzę się, że kamery w sklepie powodują, że policja sprawnie kogoś złapie. Dużo spraw jest umarzanych, a wpadają najczęściej płotki. Policjanci są przeciążeni sprawami (często drobnymi, a pracochłonnymi), licznymi obowiązkami biurokratyczno-sprawozdawczymi. Do tego dochodzi marnowanie sił policyjnych na tzw. prewencję, czyli najczęściej spacerowanie po mieście, dawanie mandatów za piwko pod chmurką i bezprawne spisywanie ludzi bez uzasadnionego powodu (tzn. powód jest: komendant zagroził odebraniem premii za niewyrobienie targetu).
A co do samych kart – to prawda, że dość trudno jest przestępcom tak zorganizować proceder, by „opłacało się” kraść z kart zbliżeniowych. Dlatego szansa bycia okradzionym jest mała.
Wszystkie RFID-y noszę w etui z folią aluminiową. Nie chodzi mi o kradzież, ale o śledzenie. Bardzo łatwo jest śledzić i zapisywać identyfikatory RFID przez czytniki na ścianach sklepów, centrów handlowych, itd. Takich czytników jest coraz więcej, a sczytywać potrafią nawet i z 8-10 metrów.
„Do tego dochodzi marnowanie sił policyjnych na tzw. prewencję, czyli najczęściej spacerowanie po mieście, dawanie mandatów za piwko pod chmurką i bezprawne spisywanie ludzi bez uzasadnionego powodu (tzn. powód jest: komendant zagroził odebraniem premii za niewyrobienie targetu).”
A zdajesz sobie sprawę z tego że od tego są inne komórki niż od zwalczania przestępstw takich jak kradzieże czy właśnie nieautoryzowane użycia kart?
A prewencja jest niezmiernie ważna. Właśnie dla tego że jest prewencją i obecność prewencji policji bardzo zmniejsza ilość głupich spraw które przeciążają piony śledcze.
chyba te w kasynach.
a co do „monitoringu”
użycie określenia: jakość nagrań to jest zabawna rzecz.
jeżeli są ..nagrania
jeżeli są …archiwizowane.
Ten cytat Einsteina nie mógł być jego, ponieważ Albert Einstein zmarł w latach 50-tych, kiedy nawet o ARPANecie nikt nie śnił.
No shit Sherlock!
a skąd wiesz że zmarł? byłeś przy jego śmierci? albo na pogrzebie?
Podobnie jak Elvis – tak samo Einstein żyje!
Nie wierz we wszystko co przeczytasz w internecie! ;)
Płaciłem kiedyś w NYC za taksówkę – kierowca wyciągnął smartfona i kazał go pomyziać kartą. Był Wietnamczykiem.
W EMPiKu łaża ludzie z iPadami. Im też można zapłacić kartą.
Co jeśli ten Wietnamczyk po pracy wsiądzie do metra linii A, przemłóci pasażerom na całej trasie karty, wysiądzie na JFK, poleci do Hanoi i po tygodniu wypłaci z bankomatu na ulicy Wujka Ho całą tę kaskę?
&
Nic. Nie wypłaci bo pośrednik zablokuje po reklamacjach.
Bo tak dużo ludzi codziennie przegląda szczegółowo wszelkie transakcje kartą, nawet te małe.
Dużo ludzi ma powiadomienia z banku, informujące o wpłacie i wypłacie.
Paweł dzieciaczku wiem, że masz ferie, ale jak widać strona z3s przerasta jeszcze twoje możliwości intelektualne. Przestań proszę umieszczać tu posty, idź popisać sobie na hakforums i nie denerwuj ludzi ;]] Tschuss
Dzieciaku ferie to ja ostatni raz miałem kilkanaście lat temu. Widać zresztą po komentarzu kto co sobą reprezentuje
Jakieś 2 lata temu zostałem okradziony zaraz po dokonaniu płatności bezstykowej. Robiłem zakupy w drogerii, wpisałem pin w terminal. Jak się okazalo niewiele później ktoś kupił za pomocą „mojej” karty bluzę w sklepie sportowym obok. Straciem 179 zł bank się wypiął chociaż przysłał mi kopię ze sklepu sportowego z adnotacją że operacja była bezstykową i podano pin.
Domyślam się że pracownicy lub ochrona drogerii maczała w tym palce- część kamer dokładnie obserwuje kasy i wtedy mogło dojść do odczytania mojego pinu.
Jak wiem teraz, taką operację można przeprowadzić tylko raz po odczytaniu karty przez złodzieja bo po każdorazowym zbliżeniu karty do terminalu zmieniają się w niej jakieś kody więc następna płatność klonem nie jest możliwa.
I takie rzeczy w Nowym Targu-kto by pomyślał…
A dodatkowo Wietnamczyk pójdzie siedzieć.
W zasadzie mógłbym się pod tym artykułem podpisać (a pracuję przy oprogramowaniu terminali płatniczych od 15 lat), poza jednym – to jest także mit, że noszenie kilku kart zbliżeniowych w portfelu uniemożliwia ich odczyt. Fakt, że standardowe czytniki w takiej sytuacji mają problem z odczytaniem kart, jednak po 1, nie jest to regułą, bo czasami zdarzy się odczytać którąś z tych kart (wystarczy, że jedna ma trochę „mocniejszą” antenę i wówczas przy większej odległości odpowie tylko ta jedna), a po 2, można tak zmodyfikować oprogramowanie czytnika, aby odczytąc każdą z nich po kolei.
Cenna informacja, aktualizuję.
Dodam, że mechanizm ten nazywa się „antykolizją” i jest standardowym elementem protokołów ISO 14443A i ISO 14443B.
W zasadzie każda karta RFID ma ten element zaimplementowany, w przeciwieństwie do czytników (ze względów praktycznych).
Czytniki zaimplementowany mechanizm też mają. Ze względów praktycznych w niektórych zastosowaniach wykorzystuje się wyłącznie Collission Detection, zabraniając Collission Resolution. Tak akurat jest w przypadku zastosowań płatniczych.
Może was to zaskoczy, ale widziałem gościa z terminalem sprytnie „skitranym” w ręcę, który jeździł w zatłoczonej linii i przeciskał się przez ludzi między czasem skanując im kieszenie. Od tego czasu mam kopertę ołowiową na kartę. Droga redakcjo, są podejmowane REALNE próby kradzieży za pomocą transakcji zbliżeniowych. Być może to są tylko próby, a być może już nawet dochodowy interes.
– Zanim ktoś odpisze „dlaczego nie złapałeś gościa”. Tak szybko jak wsiadł, tak szybko wysiadł przeciskając się między ludźmi. Zanim się połapałem co ten człowiek robi – już go nie było.
Pozdrawiam.
Może to kanar się przeciskał do wyjścia :)
Pracuję w usługach i jeździmy po całej Warszawie do klientów mając terminale ze sobą. Kiedyś często nosiło się go w ręku, zwłaszcza jak były te starsze modele, takie straszne grzmoty, bo się dziewczynom nie mieścił do torebki:)
Po falach tych fejkowych afer widać śmiać mi się chciało jak sobie myślałem w tramwaju, że właśnie potwierdzam istnienie złodziei z kart zbliżeniowych:)
W artykule masz napisane wyraźnie, że zawsze możesz reklamować płatność i po kilku zgloszeniach taki oszust byłby NATYCHMIAST zablokowany przez operatora. Pomijam techniczną stronę,że facet nic by nie robił tylko nabijał 50 zyla i odrywał paragony. No mógł by przerobić terminal,żeby sam automatycznie wypełniał co wymaga ingerencji w oprogramowanie i rzeźby dla niepewnego zysku.
Pieniądze z płatności trafiają do nas po kilku dniach. To nie jest tak, że facet może po wyjściu z metra leci do bankomatu i wypłaca zylion skasowanych 50 :)
Zamiast kupować pancerne portfele proponuję kupić sobie dużo rozsądku. Jest bardzo zdrowy.
Ten ołów bardziej Ci szkodzi niż jakiś koleś z czytnikiem kart hahaha. Co za bzdury.
Dobry artykuł. Jeszcze do mitów dorzuciłbym informację (bo widzę po komentarzach, że są wklejane linki do „ataków” przedłużenia terminala), że dotychczas praktycznie wszystkie ataki z wykorzystaniem telefonu jako formy przedłużenia terminala i drugiego atakującego przy czytniku POS, który czekał na stosowną komunikację karta-telefon-POS, były wykonywane w warunkach laboratoryjnych. Telefony posiadały zmodyfikowany soft i w przypadku niektórych ataków nawet POS-y były modyfikowane (wydłużano czas na odczyt danych, bo opóźnienia były tak duże, że nie dochodziło do transakcji). Oczywiście takie informacje są w materiałach udostępnianych przez badaczy, ale to długie PDY-y po angielsku i z dziwnymi wzorami, więc kto by czytał.
Podsumowując, obecnie POS-y i karty dążą do skrócenia czasu na odczyt, a nie jego wydłużenia i coraz ciężej udowodnić realny atak przedłużonego terminala. Po prostu jest to nieopłacalne.
A co to za problem zmodyfikować soft? Jeżeli ktoś się za to bierze to znaczy że potrafi. Mnie jednak zastanawia potrzeba zakładania firmy i weryfikacji i podpisania umowy z firmą pośredniczącą w płatnościach. Po Twoim wpisie widzę, że czytałeś o tym więc wypowiedz się czy spotkałeś się z takimi wymogami co do ataku. Owszem, atak był wykonywany w warunkach laboratoryjnych ale to głównie dla tego, że tego typu testy były prowadzone na długo przed rozpowszechnieniem się takich kart i w takich warunkach jest najprościej. Jednak nikt nigdzie nie wspomina że trzeba posiadać firmę i swój terminal. Więc z Twojej wypowiedzi wynika, że atak jest jak najbardziej realny.
No nie problem. Idziemy więc dziś, jutro za miesiąc jak już się przygotujesz na stację Centrum w W-wie (sporo ludzi) i kosimy kasę jak zboże :)
No właśnie nie jest realny (albo inaczej – ekstremalnie mało realny). Kwestia modyfikacji softu telefonu to pikuś, ale co z POS-em? Delay jest sztywno ustawiony i jak go przekroczysz to koniec (no chyba, że w niektórych POS-ach jest to uwarunkowane jakimiś innymi czynnikami, ale nie słyszałem o tym). Masz dosłownie chwilę na to by atakujący, który stoi już przy kasie i czeka na sygnał, otrzymał od Ciebie (drugiego atakującego) stosowne informacje. To musi być dokładnie skoordynowane. Nawet jak znajdziesz ofiarę w odpowiednim czasie, to miną wirtualne wieki, zanim sygnał dotrze do terminala. Tak jak napisałem wcześniej, te czasy na odczyta karty są skracane, a nie wydłużane.
I nie, te testy są przeprowadzane nawet obecnie i w każdym raporcie widzę informację, że tak – da się wykonać atak, ale oprócz PoC i laboratorium, jego użycie jest mało realne.
Tu masz cytat z jednego raportu:
„We should mention that by increasing the distance from the card, it is more difficult to get the proper reading, which is expected. This is similar to real life situations when clothes, wallets and bags are in the way between the two NFC communicating devices, so an attack of this type is possible but also highly unlikely.”
Realnie jak atakujący zacznie Ci dotykać telefonem kieszeń (pomijam fakt, że jak masz kilka kart NFC to może nie dojść do prawidłowego odczytu, a jak ustawisz odczyt jeden po drugim to wydłużasz czas transakcji), to chyba się zorientujesz. Ludzie myślą, że typ stoi metr od ciebie i skanuje ludzi w autobusie. Masz na dokładę jeszcze jeden cytat:
„On the other side, contactless transactions increase speed, do not require the customer to hand over the card to the merchant at any point and have other benefits for banking institutions and customers. Therefore we can conclude that, at this point in time, contactless payments offer many various benefits that outweigh a few drawbacks regarding security. If security is compromised, the banking institutions or the card providers should be accountable for financial damage to the users, although the risk of such compromise is, from our analysis, rather low.”
Takich raportów jest więcej i nigdzie nie widziałem by autorzy traktowali tego typu atak jako realne zagrożenie. Prędzej na kieszonkowca trafisz, niż na kogoś, kto będzie koordynował atak z drugą osobą w sklepie i mając kilka sekund na odczyt karty obmaca Cię telefonem. Come on!
W kwestii „delayów” to muszę Cię rozczarować. Tak na prawdę to jest kolejna „miejska legenda”, że terminal sprawdza. Wprawdzie Mastercard opublikował specyfikację do „relay resistance”, ale po pierwsze – terminale musiałyby to zacząć stosować (hehee… wymiana kernela MC Contactless, czyli recertyfikacje – i jeszcze tylko dla tego jednego powodu ktoś miałby przeładowywać swoich dziesiątki czy setki tysięcy terminali) no i trzeba mieć nowe karty – bo „do tanga trzeba dwojga” niestety.
Sprytnie zrobiony atak, z użyciem WTX (Waiting Time Extension) – będzie działał. Skąd wiem ? Walczyłem z laboratorium robiącym Type Approval, sprzęt który używa się do certyfikacji kerneli contactlessowych ma tą niemiłą przypadłość, że jest wyraźnie wolniejszy od fizycznych kart, testlab sumował nam te czasy do całkowitego czasu przetwarzania transakcji i twierdził, że się nie wyrabiamy – więc nici z approvala. Musieli się wycofać, gdy im pokazałem, że połowa tego czasu to WTX-y z – firmowanego zresztą przez nich – narzędzia :)
OK – do tego trzeba coś więcej niż smartfon. Swoją drogą – co jeszcze przemawia przeciw smartfonom ? Ich tor „contactless”. Znaleźć taki telefon, który będzie miał charakterystykę przestrzenną choć trochę zbliżoną do „zwykłego terminala” – no, to wyzwanie. Gdzie dla terminali przyjmuje się parę cm to dla smartfona karta już prawie musi stykać się z telefonem, żeby dało się ją odczytać. „Level 1 Analog Test Bench Test Cases” opublikowane przez EMVCo przewidują testy na max 4 cm odległości.
Podsumowując: relay attack to czysto akademickie rozważania. Kasę łatwiej kraść w inny sposób (systemy kasowe na PC, gdzie można pozyskać tysiące PANów/ścieżek 2 + ataki na amerykańskie PSP) – i na tym się przestępcy skupiają, bo tam jest realny zwrot z inwestycji.
Odnośnie WTX, nie trzeba nawet schodzić do Level2. VpTT też korzysta bardzo chętnie i w dodatku jest test na cancele pomiędzy komendami, który bazuje na WTX, o ile dobrze pamiętam. I tak, poza specyfikacją odnośnie time bounding, same akceptowalne wartości są (przynajmniej do tej pory) dosyć duże.
Inna sprawa to już odległości i moce potrzebne do zasilania karty. Tutaj naprawdę powyżej tych nieszczęsnych kilku centymetrów robi się katastrofalnie ciężko, bo near field bazuje na nieco innych podstawach fizycznych niż większość RFID, o czym wszyscy z tymi teoriami o wielometrowych odczytach zdają się zapominać.
Już sama tolerancja na komponentach rzędu 5% może spowodować, że spadek mocy jest rzędu 50%.
Co do terminala to zastanów się:
– skąd atakujący miąłby go wziąć ?
Ukradnie go ? No to pieniążki będą szły na konto do którego nie ma dostępu (pomijając już fakt, że właściciel zgłosi kradzież i terminal będzie zablokowany).
Zostaje opcja założenia firmy i podpisania umowy. Trzeba więc zaopatrzyć się w fałszywe dokumenty, na nie założyć firmę, konto w banku i podpisać umowę z dostawcą terminala …. Trochę trudne do wykonania i mało opłacalne ….
A co z atakami typu NFC relay? Nie trzeba wcale zakładać firmy, tylko drugi janusz czeka z paletą czegoś tam w sklepiej przy terminalu :)
No i jak sobie to wyobrażasz? Że stoi facet w sklepie przez 30 sekund i czeka aż jego kumpel znajdzie kogoś z kartą? Przecież to farsa. Same kamery w sklepie spalą złodzieja. Dla 50zł nikt tego nie zrobi tak jak to opisano w artykule!
Dlaczego miały tego nie zrobić za 50 pln? Zrobi, gorsze rzeczy ludzie robią za 12 pln (jak w tej piosence – można zabyć miłość w człowieku ^^) Kwestia wyłącznie organizacji.
1) Można na przykład wynająć bezdomnych do tego aby w takim TESCO uruchamiali w odpowiednim momencie NFC relay.
2) Można dogadać się z jakimś pizzaboyem który jeździ z terminalem. (jbc. To się wykręci że nie widział co się dzieje)
Myśle że takich scenariuszy można jeszcze mnożyć
Ta jasne … pizzaboy pożyczy Ci terminal a potem będzie grał głupa, że nie wpadł na to że wykorzystasz go w celach przestępczych.
Przecież to normalne, że ludzie pożyczają terminale płatnicze prawda ??
I co niby dałoby Ci pożyczenie terminala od pizzaboya – przecież kasa szła by na konto firmy tegoż pizza boya ….
Coś ogarniasz tematu….
Proponuję poczytać na smartcardalliance.org (teraz się zmienia się na securetechalliance.org) w linku „contactless payments” różne dokumenty dotyczące zarówno płatności bezstykowych jak i technik bezstykowych. Jest sporo odpowiedzi na prezentowane wyżej wątpliwości. Taka uwaga: gdyby tak prosto można by płacić z cudzej karty, to codziennie powinniśmy mieć komunikaty typu „dzisiaj okradziono 5 000 osób …” itp. Może ktoś zna link z wiarygodną informacją udowodnionego pełnego (skutecznego) ataku na kartę zbliżeniową (ale nie ukradzioną) tj. przez zdalne odczytanie danych i ich użycie w terminalu.
1) Dane osobowe takie jak imię i nazwisko można spotkać na starszych kartach zbliżeniowych – dopiero później uznano, że to nadmiarowa informacja, która może jedynie zaszkodzić. Odczytanie jej dawało praktycznie wszystkie informacje (poza CVV), które aktualnie na czarnym rynku kosztują aż 1,5$ za rekord – pamiętajmy, że tam idzie się na ilość a nie na jakość.
2) Co do kwestii zasięgu – te „bramki”, które widuje się przy wyjściu z większych sklepów myślę, że pomogą zrozumieć cały proces – jest to inny standard ISO ale zasada działania taka sama. Znaczniki NFC mogą być przy takich rozmiarach detektorów wykryte z odległości około 1,5m – 10m wspomniane w fimie jest irracjonalne. Wracając do kart. Przy odpowiednio mocnym czytniku NFC odczyt z odległości 10 cm jest trudny aczkolwiek możliwy. Realnym zagrożeniem jest więc ocieranie się o ofiarę w zatłoczonych miejscach typu komunikacja miejska, kolejki w sklepach itp.
3) Kilka kart w portfelu z pewnością uniemożliwi ich odczytanie smartphonowi – pamiętajmy jednak, że telefony nie były projektowane jako przenośne skimmery:) Urządzenia, które się w tym specjalizują są w stanie „odizolować” odpowiedź od kilku kart.
4) Wnioski: przechowywanie kart zbliżeniowych w klatkach Faradaya jest jak najbardziej zalecane. Ponadto zaklejenie kilku cyfr na karcie oraz numeru CVV jest również niegłupim pomysłem. Case study z rzeczywistymi przykładami zajęło by kawałek.
PS. Teoretyzując: odczytanie karty w momencie płacenia – skimmer na terminal – daje obiecujące”rezultaty sklonowania karty zbliżeniowej.
Pozdrawiam!
Fajnie, że ktoś w końcu o tym sensownie napisał. Adamie, samcikowi może podeślij?
Autorom odpowiedzi „atak jest praktyczny” lecących kupić ołowiany portfel polecam się zastanowić. Transakcja jest bez PIN. Bank bierze za nią odpowiedzialność. Czy gdyby takie ataki były realne, banki chętnie akceptowałyby ryzyko i wypuściły technologię, jak to mówią w Krakowie, na pole?
U nas każda ładna dziewczyna chodzi z telefonem w tylnej kieszeni spodni. Nie psuje figury, a nawet ładnie podkreśla ;) Wyciągnąć telefon potrafi kieszonkowiec po kursie „pickpocketing 101”. Niech sprzeda za 30% ceny. Nie mówiąć o portfelach w wiecznie rozpiętych plecakach, torebkach.
Już widzę, jak Wiesiu czeka w castoramie z paletą płytek łazienkowych ostrożnie tajmingująć przyłożenie karty do terminala, żeby jego partner (biznesowy) zczytał kartę dżesice w 35. Partner mógłby iść siedzieć (lub dostać w ryło od Seby), i to wcale nie za karty ;-)
Ciekawostka – w USA karty American Express (i nie tylko one) nie mają pinu. Kupuje się przesuwając kartę (jeśli ma czip – odczytująć tenże) i podpisując. Nikt nie sprawdza wzoru podpisu, bo i po co? W porównaniu z tym contactless to forteca.
Zamiast portfela z ołowiu proponuje kupić fajną książkę
http://www.cl.cam.ac.uk/~rja14/book.html
Z tym, że bank zwraca to byłbym ostrożny. Niektóre z banków mają zapis, że w przypadku nieautoryzowanych transakcji kartą do kwoty 150 ojro, bank nie zwraca kwoty. Dopiero powyżej. Dlatego jak ktoś Ci kartę ukradnie i zrobi kilka zakupów zbliżeniowo za 30 zł, to możesz nie odzyskać pieniędzy (o ile nie ubezpieczyłeś karty).
W praktyce jednak PR chyba ważniejszy i nie słyszałem, żeby bank z kimś się kłócił o takie niskie (jak na bank) kwoty jak 150 euro.
Co do reszty się zgadzam, odsyłam do mojego wpisu wyżej.
Co do USA to widzę, że nie odwiedzałeś tego kraju bo wiedziałbyś o takich i innych ciekawostkach.
Standardowe pytanie gdy płacisz w sklepie kartą to pytanie o typ karty (kredytowa/debetowa). Jaka jest różnica? W zależności od typu karty będziesz albo musiał podpisać paragon albo podać pin a obsługa musi wybrać wcześniej odpowiednią opcję w terminalu lub czasami używa 2 różnych …
Inna ciekawostka: płacąc kartą np. na stacji paliw czy w metrze musisz podać …kod pocztowy. W rezultacie nie byłem w stanie zapłacić polską kartą za paliwo przy dystrybutorze (wymagało to udania się do terminala obsługiwanego przez obsługę stacji).
Kolejna: 3 dni temu płaciłem kartą w hotelu, i troszkę się zdziwiłem gdy gość użył imprintera. Czyli takiego „żelazka” co wykonuje w papierze odcisk numerów na karcie. Wydawało by się, że ta technologia wymarła wraz z dinozaurami a tu proszę – niespodzianka nadal działa. Mając więc płaską debetówkę płatność byłaby niemożliwa. I to nie wydarzyło się na jakimś „zadup*iu” (co jeszcze można by jakoś zrozumieć) tylko w centrum Miami.
Stany i ich podejście do płacenia to generalnie długi temat, pełen dziwactw. Żelazko tam nie dziwi.
Ale z 5 lat temu „żelazkiem” płaciłem A taksówkę w Genewie… To było dziwne…
To może cię zaskoczyć – „żelazka” są i będą obsługiwane jeszcze długo. Głównie dlatego, że nie wymagają połączenia z centrum rozliczeniowym (ewentualnie telefonicznego paszczowego), więc można nimi skasować klienta nawet jak padnie sieć.
W Polsce 3 lata temu znajomy taryfiarz tak pobierał opłaty od amerykańskiej firmy, dla której robił różne zlecenia, potem zawoził kwitek do FirstData (d. Polcard).
Nie wiem jak obecnie, ale parę lat temu, jak jeszcze w PL Statoil był Statoilem a nie Statoil Partner i dalej aż do Circle K, mieliśmy na zapleczu każdej stacji imprinter, bo gdyby padły systemy kartowe, albo co częściej się zdarza, przyjechałby ktoś z AmEx’em, to można było go jedynie imprinterem obsłużyć, ale mówimy o czasach pre 2007.
btw. rozśmieszyło mnie to, że w manualu do obsługi klientów AmEx oprócz numeru infolinii i kodu stacji znajdowało się też „hasło bezpieczeństwa”, tekst, który należało wypowiedzieć, jeśli ktoś groził nam bronią podczas realizacji karty, lub nie byliśmy pewni tożsamości właściciela karty.
Mieszkam w USA od paru lat ;) Wygląda to tak:
1. karta do bankomatu (ATM) ma pin którego używam w ATM. W sklepie wybieram 'debit’ i nie muszę wpisywać pinu w terminalu
2. karty kredytowa i charge nie mają pinu. Wcale.
3. Opcję się wybiera najczęściej samemu, czasami pytają. I tak się podpisuję. A czasami nie! Spożywkę w Safeway na >50 USD robię czytając kartę w terminalu (ma chip) bez podpisu i pinu.
Więc to nie tak, że jeśli karta ATM wymagają pinu, bo Schwab, Citi, Chase nie wymagają.
4. Czasami obsługa zapyta o ID. Rzadko. Raczej jak kupujesz iphone za 1000 USD. Ale też nie zawsze.
5. pan w okienku stacji benzynowej każe podpisać tłusty świstek lub nic nie każe
6. Imprinterem płaciłem kiedyś w wawie za taxi ;)
Jedyne światelko w tunelu – jeśli klient przyszedł z kartą z chip a sprzedawca nie ma jak czipa odczytać i skanuje pasek, to bierze na siebie odpowiedzialność za fraud.
Małe sklepy wolą powiedzieć, że cash only, duże wolą nie stracić klienta i ryzykować pokrycie fraudu.
Perełka!
Dziękuję za podjęcie konkretnego działania i wypowiedzenie się w tym temacie.
Cytat „Einsteina” pójdzie do tekstu o cywilizacji łacińskiej, takiej okazji nie można przegapić. Dajcie tylko znać czy wymyślony przez Was i należą się cytowania czy to domena publiczna… w polskich internetach jest tylko tutaj http://m.demotywatory.pl/4523596 (brawo – wasz tekst na 2 miejscu – wyszukiwania!)
Ten cytat ma „wieki”. Poszukaj w angielskich internetach :-)
Ja go pamiętam z czasów świetności grup dyskusyjnych a to było kilkanaście lat temu.
Ale taka transakcja nawet na 10 zł „na walizkę” zostawi ślad, jak coś się w tym miejscu wydarzy i będą szukać świadków czy podejrzanych to już jest rejestr z terminala. I tłumacz się teraz że cię tam nie było….
Jak zwykle konkretny artykuł. Albo może artykuł pełen konkretów? :) Pamiętam poradniki z netu gdzie wiercić dziury w karcie, żeby uszkodzić antenę i pozbawić kartę funkcji płacenia zbliżeniowo. Było też chyba o owijaniu w sreberko :).
Aha, jeszcze jedno. Duża część wypowiadających się czytelników pominęła fragment, że atak na taką kartę jest możliwy i pieniądze można ukraść. Ale się nie opłaca bo trudne, kiepski stosunek zysk/wysiłek i jest duże ryzyko złapania (kamery, kamery są wszędzie, ludzie!).
Pominęła, bo usilnie stara się udowodnić, że da się ukraść i kropka. Niepotrzebnie, bo to już jest wspomniane na wstępie :).
kluczem jest wspomniana opłacalność.
wiadomo, że z czasem pojawią się apki i inne możliwości,
z którego będą korzystały kids…
po drugie 50 pln to raczej wykroczenie, a nie przestępstwo,
wieć na pomoc „z zewnątrz” bym nie liczył
50zł to wykroczenie, ale to nie będzie detalista tylko hurtownik. Poza tym liczyłbym tu jednak na pomoc banku, bo dla nich nie ma 50zł w tę czy w tamtą. Za te 50zł wykopią bandziora nawet spod ziemi nawet jeśli policja Cię oleje, a za 500x50zł rozłożą Ziemię na atomy :).
„Dzieci” z super inteligentnymi smartfonami też bym nie demonizował. Skoro doświadczone bandziory dysponujący dużymi środkami i doświadczeniem świadomie zlewają temat to dzieci i aplikacje z Google Play tym bardziej mogę pominąć. Generalnie zgadzam się w 100% z treścią artykułu. Epidemii kradzieży z kart zbliżeniowych nie było, nie ma i nie będzie.
To akurat świstak…
a ja slyszalem historie o gosciach co niby kradna po to 50 pln kupujac rozne gowienka bezgotowkowo. myk polegal na tym, ze je zwracali i inkasowali realna gotowke na konto. ale to pewnie historia jakich wiele…
byla taka historia ze ludzie robili zakupy zblizeniowe i transakcja byla offkine a na karcie nic nie bylo.
potem szli do sklepu oddawali towar ibprosili o zweot na inna karte
to chyba dzialalo w rossman przez okolo miesiaca. potem rosman skubnal sie ze lepiej robic zweoty tylko na te karty z ktorych kupiono :)
Dobry trop. Ale tam był online ;)
Ta ścieżka już jest zabetonowana.
Ok, ale chyba jednak nie trzeba zakładać działalności. Wystarczy znajomy sprzedawca z terminalem.
50zł to trochę mit, bo jednak mogę wykonać więcej transakcji.
Mogę sobie wyobrazić kradzież karty przez szatniarza w restauracji lub teatrze, który po skorzystaniu z karty, wkłada ją z powrotem do portfela. Że nie powinno się zostawiać portfela w szatni? Oczywiście, ale przeciętny człowiek myśli, że karta jest jakoś magicznie zabezpieczona i nie zdaje sobie sprawy z ryzyka. I jeszcze przeczyta, że bank twierdzi, że „karta jest bezpieczna”. Jeżeli jest bezpieczna, to może w szatni zostać… Czy warto się narażać dla tych kilku stówek? Być może dla eksperta security jest to żadna kwota, ale dla przypadkowego złodziejaszka, może być pokusą nie do odrzucenia.
Dlatego, mimo, że zgadzam się z konkluzją artykułu, to i tak wie, że będę pierwszy który się przekona, że można być jednak okradzionym ;)
Racja. Nie przeceniałbym bezpieczeństwa kart zbliżeniowych ze względu na przypadek wspomniany w artykule – kradzieży. Mojej żonie skradziono swego czasu kartę i złodziej wyciągnął ok 340 zł przez transakcje zbliżeniowe poniżej 50 zł (bez pin – brak możliwości zmiany w tym banku). Limitu na ilość transakcji tez nie było – brak możliwości ustawienia. Transakcje przeprowadzono w biletomacie – doładowanie karty na okaziciela (wtedy w Warszawie była taka możliwość).
Reklamacja w banku nic nie dała – została odrzucona. Nie chciało nam się ciągnąć tematu ze względu na kwotę, ale od tamtej pory we wszystkich kartach „wyłączam” NFC przez przecięcie anteny.
Słysząc w komunikatach banków że „karty zbliżeniowe są bezpieczne” przeciętny użytkownik rzeczywiście może uwierzyć że są równie bezpieczne jak chip+pin
@Adamie, fajnie że poruszasz ten temat ale i Ty nie uniknąłeś błędów lub przemilczeń:
– nie wziąłeś pod uwagę komunikacji miejskiej (tłok);
– w ogóle pominąłeś temat możliwości wykonania skradzioną/zagubioną kartą płatności w najbliższej Stonce/ReReKumKum więcej niż raz. Miałem taki przypadek, że w rodzinie ktoś pozbył się karty w zatłoczonym tramwaju i najbliższa placówka mimo monitoringu zezwoliła na kilka transakcji w odstępie paru minut – a Misie umorzyły sprawę (mimo filmów ze sklepu). A Bank może nie uznać reklamacji gdy zrobisz blokadę po pewnym czasie od tych transakcji (bo dopiero w domu zauważysz brak, a już dawno po zakupach – dla złodziejaszków liczy się czas);
Rozumiem także, że masz pełne prawo umieścić tu czyjeś zdjęcie wraz z kartą (nie widzę podpisu że to z darmowej bazy fotek) oraz imię i nazwisko kogoś, kogo profil na FB nie jest publiczny?
1) O co ci chodzi z tym tłokiem? Co za różnica ile osób będzie w danym miejscu. Niech sobie będą – i tak szybko transakcje zostaną zablokowane, a firma odbierająca płatności otrzyma nalot policji. Takie rzeczy zostawia się czytelnikom do wymyślenia. Czy trzeba wszystko pisać?
2) Jak zgubisz 100zł na ulicy to też je stracisz. Artykuł traktuje o atakach, w których karta pozostaje w portfelu. (Chociaż akurat w wypadku kart płatniczych możesz je sobie ubezpieczyć na wypadek utraty, a ze zgubioną stówą tego nie zrobisz.) Podpisywałeś konkretny regulamin na kartę – blokada konta następuje w momencie zgłoszenia straty. Jak ci nie pasuje to płać drobniakami i nie używaj plastika.
3) A co to za nowy termin „niepubliczny profil na FB”? Skoro ktoś postanowił umieścić w internecie swój wizerunek na publicznym profilu (ja tam mam dostęp do filmu, nie wiem jak ty), to znaczy, że nie przeszkadza mu to.
Ad.1. jak już artykuł ma prostować wszystkie fakty i mity to powinien opisywać całe spektrum a nie wycinek
Ad.2. Fraud kilka razy po 50 to historia z życia a nie przeczytana w sieci. Poza tym nie masz wyboru biorąc kartę żeby tej funkcji nie było. Do tego banki istniejące funkcje obniżania sobie limitu zbliżeniówek wycięły ze swoich interfejsów transakcyjnych.
Ad.3. Najwidoczniej nie masz racji skoro kliknięcie w link do strony osoby powołanej tu z imienia i nazwiska każe się zalogować do FB nie pozwalając na wyświetlenie czegokolwiek o tej osobie bez logowania. Jak napiszę coś na blogu i ograniczę dostęp tylko dla wybranego IP też uznasz to za dane publiczne?
1) Co do pierwszego punktu – nie wiem o co dalej chodzi, skoro ilość okradzionych osób nie gra roli, gdy zostanie zgłoszony fakt kradzieży i nalot policji na operatora terminala to kwestia czasu.
2) Historią z życia jest też wypadek na pasach. Artykuł mówi o płatnościach bez rozboju. Kradzież z rozbojem fizycznego nośnika płatniczego to zupełnie inna liga. Nie zapominaj, że kradzież portfela z gotówką też nie ma limitów.
Jeśli przeszkadza ci funkcja zbliżeniowa, a bank nie pozwala zamówić karty bez tej funkcji, to natnij kartę i przetnij pętlę indukcyjną. Albo utnij cały narożnik karty. Będzie wyglądała inaczej, ale wyłączysz w niej funkcję zbliżeniową.
3) Jeśli usługa będzie filtrowana po adresie IP, to dalej jest to usługa publiczna, ale zabezpieczona na poziomie adresacji. Jeśli ktoś spapra sprawę i źle zwhitelistuje usługę, to może mieć pretensje tylko do siebie, bo wystawiając coś do interentu – staje się to natychmiast puibliczne. Lepiej więc wykonywać swoją robotę jak należy. Ja nie będę się domyślał jakie ktoś miał intencje upubliczniając coś w internecie.
Na FB zabezpieczenia usługi były takie, że wpuściły mnie do środka. Klikając po zdjęciach ludzi nie wyświetlają mi się prośby o hasło. Ba, ja tego człowieka nie znam, a widzę jego filmy, zatem co tam o nim znajdę jest dość mocno publiczne.
Przecież można od jakiegoś czasu wyłączyć funkcję płatności zbliżeniowych.
teoretycznie …
w praktyce przechodzi i zależy to od konfiguracji terminala
odp z Citi (dla mojego przypadku poniżej)
—-
W odpowiedzi na przekazaną reklamację uprzejmie wyjaśniam, że Bank nie ma wpływu na sposób autentykacji transakcji. Terminal tego usługodawcy został ustawiony w taki sposób, aby płatności były finalizowane bez potwierdzenia kodem PIN.
Ustawienia terminala są regulowane umowami między usługodawcą, jego centrum rozliczeniowym i organizacjami płatniczymi Visa i Mastercard. Rzeczone organizacje płatnicze w pewnych przypadkach dopuszczają autoryzacje transakcji bez potwierdzenia podpisem bądź czterocyfrowym kodem PIN.
Informuję również, że Bank korzysta z systemu wczesnego ostrzegania, monitorującego transakcje na kartach płatniczych. Ma on na celu ochronę środków Klientów przed transakcjami oszukańczymi.
Ktoś robi zdjęcie naszej karcie w sklepie, uzyskując jej numer, później śledzi nas i poznaje imię nazwisko i adres. Następnie kupuje coś przez internet, do paczkomatu lub paczki w ruchu. Realne zagrożenie?
tak. dlatego lepiej zaklej na karcie kod cvv (wczesniej go zapamietaj) do tego wlacz 3dsecure
Tylko, że jak kupuję na zagranicznym portalu i płacę kartą nie jest wymagany ani CVV, ani nie działa 3dSecure. Wymagany jest numer karty, imię, nazwisko i adres. Przy zakupach w Polsce wymagają podania CVV i uwierzytelnienia 3dSecure, przy czym nie wymagają danych osobowych. Także jeśli można obejść to 3dSecure i kod CVV (przynajmniej w przypadku kart VISA) to po co te zamieszanie?
nie, nie wystarczy znajomy zterminalem bo po 1 jaki znajomy zaryzykowal bo problemy z tego powodu ?
2 kazdy posrednik platniczy szybko wykryje anomalie i fraud. jak nagle zaczniesz czesac na terminal zblizeniowki po okragle 50 zl to juz jest do zablokowania do wyjasnienja zwlaszcza ze np wczesniej transakcje wygladaly ze platnosc byla raz na 30 min zblizeniowo….
systemy sie 'ucza’ jak dany terminal przyjmuje platnosci i szybko wychwyca probe fraudow…. a przy podejrzeniu fraudow platnosc dla najemxy terminala moze byc wstrzymana nawet do 30 dni.
Chciałbym wierzyć w te systemy…
Nigdy nikt nie zadzwonił, pomimo tego, że raz w Polsce, następnego dnia we Włoszech, kilka dni później w Anglii itp. A potem rok przerwy i Dania. I nic, ani razu.
Swego czasu sprawdzałem – wykorzystując fakt, że karta kończyła ważność tego dnia – czy jej wystawca zauważy dziwne luki w ATC, takie rzędu 500-1000 w ciągu godziny. Bankomat karty nie zatrzymał, terminale nie protestowały.
Mam pomysł na kolejny test ;)
daty i kwoty na zrzucie z konta pozwalają na identyfikację właściela w banku w którym jest konto. Oraz pozwala wykuczyć posiadanie tego rachunku w innych. 3 daty i 3 kwoty, przedział czasu. Ja bym znalazł.
Nazywa się Adam Haertle, konto jest w mBanku. Pomogłem?
A czy przypadkiem nie masz nad literą „e” ostrego akcentu? Jak sobie w instytucjach z tym radzą? xD
Mam. Teraz już lepiej, ale bywały listy z kwadracikiem albo instruowanie pani w okienku jak wpisać „ten śmieszny znaczek”.
Jak należy wymawiać Twoje nazwisko?
Czy w polskich dokumentach tożsamości wpisują Ci tę literę z niepolskim znakiem diakrytycznym (dowód, paszport, akt urodzenia)?
Czy wszędzie gdzie jest Twoje nazwisko na dyplomach, zaświadczeniach, itp, jest ten akcent?
W Polsce jakbyś czytał „hertle”. We Francji „ertlie” z akcentem na ostatnie e. Tak, we wszystkich dokumentach urzędowych mam akcent, czasem ręcznie, czasem z systemu ale mam. Wiele godzin to zajęło, szczególnie dawniej, by było poprawnie. Ojciec zadbał przy akcie urodzenia i teraz już nie mają wyjścia, muszą się tego trzymać. Oczywiście nie wszędzie o to się kłócę, ale w urzędowych dokumentach musi być, bo inaczej się w systemie nie zgadza i są problemy.
Adam we wpisie „spowiedź bezpieczeństwa” napisał gdzie ma konto, jakiego MFA używa i nawet była kłotnia które palce mu trzeba odciąć ;-)
„Pytaliśmy w bankach, pytaliśmy u regulatorów, pytaliśmy w organach ścigania i wszędzie odpowiedź była taka sama – jedyny realny scenariusz ataku to zgubiona karta, którą ktoś płaci w sklepie (i wpada w ręce policji następnego dnia, bo nagrał się na czterech kamerach po drodze) a bank oddaje wszystkie pieniądze.”
Guzik prawda!!! Skradziono mi portfel. Karta po ok. 15 minutach zastrzeżona. Sprawa tego samego dnia zgłoszona w komisariacie i to z problemami. Dwa dni później zauważyłem dwie nieautoryzowane transakcje zbliżeniowe.
I… Nikogo nie złapano, niczego nie zwrócono!
Po trzech miesiącach umorzono śledztwo. Transakcji dokonano w galerii handlowej dużego miasta i w sklepiku w przejściu podziemnym w okolicy. Kamer pewnie od groma…
Bank też się wypiął oboma pośladkami. Jak twierdzi (Na piśmie!), transakcje dokonano przed zastrzeżeniem karty i to w odstępie 1 minuty! Przypominam, że w dwóch różnych sklepach, oddalonych od siebie o jakieś 200-250 metrów. Sprawdziłem. Fizycznie nie możliwe!!!
Dlatego śmiem powtórzyć: Guzik prawda.
Naucz się czytać ze zrozumieniem albo oducz się pisać.
Co się tak rzucasz? Czego ty nie zrozumiałeś z jego wypowiedzi? Odniósł się do zdania o fizycznie skradzionej karcie i temu, że BANK ZWRACA PIENIĄDZE. W jego przypadku NIE ZWRÓCIŁ. Więc chyba ma prawo zakwestionować prawdziwość tego zdania?
Zgłosiłeś sprawę do visy czy mastera?
Jak bank odrzucił reklamację to albo tanzakcje były dokonane przed kradzieżą (zastrzeżeniem) albo leci w kulki. (który to bank?)
Jak nie da to rady to idziesz do UOKiK i oni szybciutko pomogą.
Banki z zasady mają w D klienta. Ale zazwyczaj pod dobrym pismem miękną. Tak samo jak telekomy.
Osobne konto, zasilane co miesiąc z stałego zlecenia przelewu.
Wiem że miesięcznie na zbliżeniowo nie wydam więcej niż X zł.
Więc nawet jak by wszystko co z wyżej wymienionych się ziściło to majątku nie stracę.
Tak poza tym co niewłaściwego robią ludzie którzy „paranoicznie” dbają o to by nie stracić pieniędzy w starciu z wyimaginowanym technologicznym Fantomasem. Komu szkodzą karty w sreberku, ołowiane portfele itp.
Ktoś widzi tu szkodliwość społeczną w działaniu takich krzykaczy, poza clickbaitem i podcinaniu kampanii niwelujących obrót gotówkowy.
Do Monero dorzucam Zcash. Zk-SNARKs rządi.
Niech zgadnę: pan L. jest aktywnym członkiem uniwersytetu trzeciego wieku?
Nieco grubych rzeczy nasłuchałem się od osób powołujących się na tenże. Robią ostrą papkę z mózgu ludziom najbardziej na to podatnym, żeby później sprzedawać im łatwiej garnki i pościel, czy co tam mają.
Na czarnym rynku są gotowe urządzenia do takiej kradzieży (jeden w kasie + drugi np. w autobusie) przedłużacz NFG na 5GHZ + antena plecakowa. Do kupienia w Nowej Soli i Zielonej Górze. Te systemy są budowane na tej samej zasadzie co przedłużki do RFID kluczyków samochodowych.
Na białym rynku są wszystoleczące poduszki z wełną z lamy za 5000 PLN za komplet, leki homeopatyczne i inne bzdury.
To, że ktoś coś sprzedaje, nie znaczy, że działa. Tomasz coś o tym wie ;)
Zakladam, ze wszystko co napisane to prawda.
Ale lepiej zawsze być przezornym :)
Zwłaszcza jeśli zabezpieczenia zawiodą lub zgubi nas własna głupota.
230 000 / (3 x 50) = ~1533,33
http://di.com.pl/klienci-zaskoczeni-limitami-transakcji-zblizeniowych-w-alior-banku-sprawy-czytelnikow-51260
http://di.com.pl/zastrzegles-skradziona-zblizeniowke-uwazaj-zlodziej-moze-jej-jeszcze-uzyc-51497
https://prnews.pl/zlodziej-nie-wyczysci-juz-konta-karta-zblizeniowa-4208
I tam pisze …
” Okazało się bowiem, że nie wszystkie banki przestrzegały zaleceń organizacji płatniczych i w dowolny sposób definiowały limity w ramach kart. W rzeczywistości skradziona karta mogła więc posłużyć do wykonania nawet kilkudziesięciu transakcji zbliżeniowych pod rząd. Media nagłośniły takie przypadki, a banki mało elegancko próbowały zamieść problem pod dywan. Ostatecznie jednak uszczelniły procedury. ”
Oby :)
Jakieś 2 lata temu zostałem okradziony zaraz po dokonaniu płatności bezstykowej. Robiłem zakupy w drogerii, wpisałem pin w terminal. Jak się okazalo niewiele później ktoś kupił za pomocą „mojej” karty bluzę w sklepie sportowym obok. Straciem 179 zł bank się wypiął chociaż przysłał mi kopię ze sklepu sportowego z adnotacją że operacja była bezstykową i podano pin.
Domyślam się że pracownicy lub ochrona drogerii maczała w tym palce- część kamer dokładnie obserwuje kasy i wtedy mogło dojść do odczytania mojego pinu.
Jak wiem teraz, taką operację można przeprowadzić tylko raz po odczytaniu karty przez złodzieja bo po każdorazowym zbliżeniu karty do terminalu zmieniają się w niej jakieś kody więc następna płatność klonem nie jest możliwa.
I jak to by miało być zrobione ?
W drogerii przechwycono komunikację karta-terminal dla transakcji na inną kwotę, po czym w sklepie sportowym zrobiono transakcję (czym ? kartą nagraną na kupiony na Allegro czysty „plastik” ??? tam się kupuje Mifare, który nie pójdzie jako bezstykowa karta płatnicza), issuer się nie zorientował, że kryptogram całkowicie się rozjechał (chociażby ze względu na inną kwotę), o takiej drobnostce jak nieudane Offline Data Authentication nie będę wspominał (choć to, że nie wszyscy to sprawdzają jest całkiem możliwe – sam widziałem wdrożenie mPOSów z wgranymi tylko i wyłącznie testowymi CAPK… na produkcji; i to już było długo całkiem od wypuszczenia na rynek, tak to sobie chodziło miesiącami czy może i latami nawet).
Grubymi nićmi to szyte, oj, grubymi.
https://www.youtube.com/watch?v=034HKZFVWPc&feature=youtu.be&t=79
Jeśli wspomina o tym Administrator Bezpieczeństwa Informacji UMK,
to może było coś na rzeczy. Aczkolwiek przed kamerą i świadkiem w sklepie się nikt nie schowa i może wcześniej, czy później wpaść.
https://youtu.be/Orn_zMWUuB8?t=45
A odzyskanie pieniędzy to podejrzewam, że to zależy bardziej od banku i od umowy.
” realny dystans, z którego odczytacie dane (zakładając, że po drodze jest tylko powietrze lub inne łatwo przenikalne elementy i macie naprawdę dobry czytnik) to ok. czterech centymetrów ”
To może warto sprawdzić.
https://pl.wikipedia.org/wiki/Komunikacja_bliskiego_zasi%C4%99gu
„odległość do 20 centymetrów … Standard ISO/IEC 14443 … 13,56 MHz.”
https://www.rfidpolska.pl/standardy-rfid/
” większość systemów RFID HF pracuje przy 13,56 MHz z pasmem odczytu do 1 metra, przy czym najpopularniejsze czytniki biurkowe mają zasięg 5-10cm. ”
To znaczy że któreś dane mijają się z prawdą.
Jak już się podpierać Wikipedią to anglojęzyczna wersja precyzuje: „Theoretical working distance with compact standard antennas: up to 20 cm (practical working distance of about 10 cm).” Biorąc pod uwagę charakterystykę anteny w karcie płatniczej i moc typowego czytnika mówimy własnie o ok. 4 cm. Przy bardzo mocnym czytniku, pewnie po specjalnych modyfikacjach, może i 10. Dalej dużo mniej niż 10 metrów.
Dobra rada, dziękuję :)
Zgaduję, że
1. albo NFC nie obsługuje odległości powyżej 20 cm, ale bez NFC wysłanie sygnału 13,56 MHz do 1 metra jest możliwe
2. albo to jest kwestia modyfikacji sprzętu i warunków środowiska.
13MHz- to nie jest jakaś kosmiczna częstotliwość. Pod tym linkiem masz artykuł, gdzie (strona 17) dość chaupniczą anteną (z rury miedzianej) osiągnięto 25cm (dla 200mA) i obliczono maks zasięg ok 40cm dla 3-4A https://eprint.iacr.org/2006/054.pdf
Przy lepszej antenie – dało by się pewnie i więcej.
Jest jedno małe „ale”…
Otóż – i ta publikacja, jak i również późniejsze prace pod przewodnictwem Consult Hyperion’a – analizują ISO 14443-A.
Karty płatnicze prędzej będą „gadać” w ISO 14443-B (nie mam żadnej płatniczej, która by używała A, ten standard był zrobiony pod proste karty pamięciowe, B z kolei w zamyśle miał być do kart mikroprocesorowych, potrzebujących więcej energii – i zasilanych _ciągle_; później trochę się to pomieszało).
Jaka jest różnica ? Kto podpiął się kiedykolwiek z oscyloskopem pod antenę od NFC ten wie o co chodzi ;)
OK, to nie jest przeszkoda nie do przejścia – tyle, że często w „badaniach” nad kartami itp. wychodzi brak podstawowej wiedzy u „badaczy”. No tak, jest karta – jest. Zbliżeniowa – tak. No to musi być to samo – czy ten przysłowiowy „PayPass” (nazwa się już zresztą zdezaktualizowała), czy karnet na basen (dobrze, że chociaż tagów na 125kHz nie mylą) ;)
Gdzieś mi się przewinęły obliczenia określające promień anteny wynikający z oczekiwanego zasięgu i było to oszacowane jako
r = sqrt(2) * l – czyli dla operowania z 10m potrzebowalibyśmy anteny wielkości wieżowca…
Domowy Detektor NFC
https://www.youtube.com/watch?v=dTv4U5fotM0
Chociaż może układ elektroniczny z membrana piezoelektryczną,
taki jak w kartkach elektronicznych z życzeniami może byłby bardziej wygodny. :)
Z tym bezpieczeństwem transakcji zbliżeniowych to tak różowo nie jest. Popatrzmy jak wygląda całość.
1. Klient z kartą (funkcja zbliżeniowa)
2. Sklep z terminalem.
3. Terminal należy do firmy rozliczającej transakcje.
4. Bank (lub kolejny pośrednik).
Teraz tak co może pójść nie tak.
Karta i płacenie.
Przechwycenie danych widocznych na karcie (poza CVV/CVV2/CSC). I wykorzystanie do płatności w internecie.
Ciągle są miejsca gdzie autoryzacja karty odbywa się poprzez telefon/internet bez sprawdzania kodu CVV. Bez korzystania z 3DSecure.
Uwaga: W Banku chwalą się wydając kartę, że dzięki 3DSecure nie ma ryzyka. Tylko nigdzie nie dodają, że transakcje mogą być wykonane bez udziału 3DSecure.
Ba, mamy coś takiego jak transakcje offline, gdzie informacja o
faktycznej transakcji spływa z opóźnieniem.
Atak przedłużenia terminala – wbrew pozorom można to spokojnie zrobić w wielu miejscach (wystarczy dobre zgranie kilku osób).
Miejsc gdzie można spokojnie stać z czytnikiem w torbie obok innej osoby przez kilkadziesiąt sekund jest wbrew pozorom wiele.
Metro, komunikacja zbiorowa, windy w większych budynkach.
Przykładowy scenariusz:
Jak mi dyskretnie zawibruje zegarek, znaczy się, że dobrze stoję – jest dostępna karta w portfelu tego gościa obok, lub torebce tej pani obok. Teraz tylko wystarczy dyskretnie nacisnąć ukryty przełącznik (np. kilka razy w zależności od przewidywanej dostępności czasowej połączenia), aby mój wspólnik zrobił zakupy. Z drugiej strony jego płacenie telefonem już nikogo nie zdziwi – prawda?
Terminal. W różnych opracowaniach podają, że transakcja online trwa 12 sekund, a offline 2 sek.
Pytanie retoryczne – Czy sklep wybierze dostawcę terminali które łączą się online i będzie ryzykował że klienci pójdą do konkurencji za rogiem, bo tam szybciej się płaci?
Jak się ma do tego limit x transakcji bez pinu? (gdzie X typowo jest równe 3)?
Odpowiedź – nijak, bo Bank nam mówi 3 transakcje bez pina, później obowiązkowo pin, ale to firma od terminali decyduje ile transakcji bez pinu.
Dalej – teoretycznie można dodać schowany w pobliżu terminala czytnik zbliżeniowy. Z tego co pamiętam jedno z opracowań, to antena o wielkości kilkadziesiąt x kilkadziesiąt cm pozwala odczytać dane z kilkudziesięciu centymetrów. (co można później użyć do transakcji offline).
Co można z tym zrobić? Zarządzać ryzykiem poprzez:
1. Redukcję ryzyka.
Banki ograniczają kwotę na transakcje zbliżeniowe bez pinu oraz ich ilość, ale:
Bank nie ma realnego 100%wego wpływu na limit oraz ilość transakcji bez pinu. Ilość transakcji to rola firmy „od terminali” a limit kwotowy jest już inny za granicą (tak, można się zdziwić – ale sprawdźcie czy w waszej umowie jest mowa tylko o limicie w Polsce).
2. Akceptację ryzyka – Bank je akceptuje, bo kwoty są małe dla całości rynku. Klienci i sklepy zadowoleni – bo szybciej płacą.
3. Przekazanie ryzyka – Bank przekazuje ryzyko na klienta poprzez:
– kwotę fraudu powyżej której Bank zwróci pieniądze (poniżej – ryzyko jest klienta)
– ograniczenie ilości transakcji bez pinu – co niestety nie działa, bo to nie Bank to ogranicza:
http://samcik.blox.pl/2013/02/Zblizeniowa-zalamka-78-zlodziejskich-transakcji.html
4. Unikanie ryzyka.
Migracja z kart tylko z paskiem do kart z chipem jako bardziej odpornych na kradzież.
Teraz pytanie – a gdzie w tym wszystkim jest klient Banku?
Jeśli klient chce uniknąć ryzyka posiadania kart zbliżeniowych to najczęściej nie ma możliwości posiadania karty bez takiej funkcjonalności.
Redukcja ryzyka? Jak chce wyłączenia i uda mu się to wymusić na Banku, to najczęściej dotyczy to tylko Polski (co z zagranicą)?
Przekazanie ryzyka – jest na klienta.
Akceptacja ryzyka? No to chyba jedyna część która została klientowi. :]
Do tego proszę dodać cała masę miejsc, gdzie płatność akceptowana jest tylko zbliżeniowo (już byłem w sytuacji, gdzie nie miałem jak kupić biletu za granicą na autobus, bo nie akceptowało kart kredytowych, dobrze że miałem gotówkę w drobnych i znalazłem automat kilkaset metrów dalej).
Osobiście nie zgadzam się z autorem artykułu, bo ryzyko istnieje.
Teoretyczne (bo praktycznie mało komu się chce wkładać tyle wysiłku w tak mały zysk), ale istnieje.
I nie życzę nikomu aby stał się wyjątkiem od reguły/anomalią statystyczną, bo to jest przerąbane.
P.S.
Mógłbym wiele poopowiadać na temat jak wygląda załatwianie czegokolwiek w Banku jak chce się stosować do tego co się podpisuje.
Sprawdźcie proszę co się będzie działo w Banku jak każą wam podpisać dokument, że zapoznaliście się z …. i poprosicie o to z czym macie się zapoznać. To często istny cyrk. :)
Ale napiszę o innej historii która miała miejsce wiele lat temu w mojej rodzinie. W skrócie zamówiono kartę kredytową, która nigdy nie opuściła Banku, ale została użyta do zakupów.
Saga z odzyskaniem pieniędzy trwała kilka miesięcy (zamiast zostać rozwiązana w ciągu pierwszych 5 minut po sprawdzeniu, że użytkownik nigdy karty nie odebrał).
To nie są Stany, że najpierw nam oddadzą pieniądze, przeproszą a później zaczną wyjaśniać.
W Polsce najpierw trzeba często udowodnić, że nie jest się wielbłądem aby wo wielu miesiącach straconego czasu odzyskać pieniądze.
Co do zabezpieczeń, systemów antyfraudowych, itp.
To nie jest tak, że się nie da. Ale póki fraud na zbliżeniówkach nie przekroczy fraudu z innych źródeł nikt nie ma ochoty nic z tym robić.
Dopóki nie zmieni się podejście do klienta uważam, że transakcje zbliżeniowe są niebezpieczne.
To Bank zarabia na tym, że klient chętniej skorzysta z plastiku, do płacenia, podczas gdy prawie całe ryzyko jest przeniesione na tego klienta.
dokładnie tak, ja złożyłem skargę o wprowadzenie mnie w błąd.
nie liczę na wiele, ale może coś się ruszy w temacie.
może jakaś zrzutka na prawnika pro publico bono, pozew zbiorowy, …
albo coś takiego, aby wyplenić w bankach przerzucanie ryzyka na klientów w przypatku zbliżeniówek i 3Dsecure?
Jaką niewiedzę ma autor powyższego to widać z informacji o 50 zł za osobę. Skoro płatności zbliżeniowe są offline to warto się zastanowić skąd to teoretyczne ograniczenie do 50 zł. Z banku? A niby jak skoro jest offline. No a jak nie z banku to z …. a to znaczy, że jednorazowa płatność może być na dowolną kwotę.
Z 10m pewnie by się dało, ale to lekko bez sensu. Z 1m jest to banalne, co potrzeba? Lekko przerobiony terminal (nie, znowu terminal? nie możliwe, terminal jest zaplombowany nikt takiego nie otworzy).
PS: Kto jest tą zaufaną trzecią stroną? Autor?
„ktoś z urządzeniem A stoi przy terminalu w sklepie, ktoś z urządzeniem B stoi przy Twojej kieszeni w autobusie, urządzenia A i B się komunikują i terminal w sklepie myśli, że to Twoja karta z nim rozmawia. Udaje się na konferencjach. Nie ma możliwości sklonowania karty zbliżeniowej w trakcie jej odczytywania.”
Znam historię z Niemiec, akcja j.w. prowadzona na lotnisku. Złodzieje złapani i skazani. Czyli jednak da się.
Sygnatura sprawy? Artykuły prasowe? Cokolwiek udokumentowanego że było jak mówisz?
No ładnie okłamujecie ludzi – przemilczając wazna kwestię.
„Mając numer karty i datę ważności faktycznie można (przy odrobinie sprytu) narobić trochę problemów.” I co? Tylko tyle na ten temat?
Otóż to jest clue. WIELE, naprawde wiele stron nie wymaga CVV/CVC. Masz te dane i zamówisz cos na koszt innej osoby. Każesz wysłać do paczkomatu, na fikcyjne dane, odbierzesz w okularach i tyle. Z użyciem wlasnych środków testowałem tę metodę. Mozna zamawiać na jana Kowalskiego, z podaniem fikcyjnego adresu zamieszkania (np. adresu paczkomatu) i wszystko zrobić anonimowo. Niestety sklepy, inpost, maja w nosie kto kupuje i za czyje pieniądze.
Jest jeden drobny problem z Twoim oburzeniem – otóż poprawność numeru i daty ważności nie jest jedynym elementem weryfikowanym przez sklepy i akceptantów płatności. Proces oceny ryzyka transakcji może składać się z wielu elementów, na przykład tego z jakiego IP łączy się osoba zlecająca transakcję, z jakiej przeglądarki korzysta, jak ma się adres dostawy do adresu skojarzonego z kartą itd. itp. Jeśli testowałeś na własnej karcie, mogło tak być, że zgadzało się wystarczająco wiele czynników by transakcja przeszła mimo iż nie zgadzała się część danych.
Panie Adamie. Chciałbym zwrócić pana uwagę na fakt, że pierwsze kradzieże bezstykowe odbywały się poprzez wykonanie transakcji na rzecz firmy w innym kraju. Wtedy sytuacja wygląda zupełnie inaczej od strony prawnej, bo któż zabroni w kraju trzeciego świata terminalów bezstykowych?
Limit pojedynczej transakcji zblizeniowej na karcie VISA Contactless w Irlandii to €30.00, przy czy mozna takich transakcji nabic nawet klikanascie dziennie, cytat: „Is there a limit to the number of transactions I can make?
No, however, you will occasionally be asked to undertake a Chip & PIN / signature transaction as an extra security feature.”
Ciekawe czy ktos juz na to wpadl w Krakowie, przy okradaniu turystów z Wysp. Nie jeden pijany Irlandczy nie pamiéta gdzie i ile wydal na alkohole w Polsce, a nawet gdyby, to i tak im to przewaznie wisi…
Pozdrawiam wyjadaków co sié czepiajá o 50.00PLNów…
Witam,
dlaczego podpisujecie cytat, że to powiedział Albert Einstein,m.in. wzmianka o internecie, jeśli za jego życia nie było internetu. Co za głupota. Zostawcie w spokoju biednego Alberta.
Ja od paru lat nie nosze portfela, dowodu ani kart. Używam tylko smartfonu i czuje sie bezpieczniej. Co prawda telefon tez mozna ukraść i zgubić – życzę przestępcom powodzenia z jego szyfrowaniem i zabezpieczeniami. Z chęcią pozwole im przeprowadzić na nim pentesty patrzac sledzac jakich IP sie loguje moj telefon;)))
Lepiej nosić tez kartę bo obecnie Pegaus potrafi zablokowac Apple Pay jak i kartę zbliżeniową ale nie potrafi juz tego cofnąć i wtedy masz mozliwosc platnosci z pinem ktora dziala wowczas I co wtedy robić np na drugim koncu Polski bedąc bez gotowki i mozliwosci wyplaty telefonem poprzez ApplePay Doświadczylem tego Bank wtedy kaze wymienic kartę ale nie trzeba jesli wie sie ze zostalo się poczęstowanym Pegausem
firma na słupa i wio…
Pierwsza reklamacja i po wio.
Pod koniec sierpnia byłem w Pradze. Jakież było moje zdziwienie gdy okazało się, że przy płatnościach zbliżeniowych przekraczających wartość 50zł nie musiałem podawać pinu!
Przekroczyłem następujące limity:
– kwota 50zł
– kwota 50EUR
– 3 transakcje bez pinu jednego dnia
Wygląda na to, że nie potrzeba żadnych wyrafinowanych działań żeby wyczyścić konto, wystarczy ukraść kartę, włos się na głowie jeży :/
Karta debetowa Mastercard, Inteligo.
To ja posłucham rady z tego artykułu pisanego w Internecie i nie będę wierzył artykułom pisanym w Inernecie.
Gratuluję . Wiedziałem że Albert Einstein to łebski facet ….ale że przed rokiem 1955 odkrył internet to od was się dowiedziałem . Naprawdę geniusz.
Nie trzeba złodziejowi prowadzić działalności żeby okradać innych. Wsytarczy że zrobi zakupy na cudzy rachunek. Apropos Einstein dostępu do internetu nie miał. Ta sama szata graficzna, a wiadomo że ktos się mija z prawdą. Aparat panstwowy nas okrada i chroni faktycznych zlodzei.
Przeczytałem cały artykuł i połowę komentarzy, ponieważ dalej już nie byłem w stanie :-). Po prostu śmiać mi się chce z tych, którzy są przekonani, że skoro używa się kart paypass to trzeba żyć w ciągłym strachu. Nie jestem w stanie dokładnie powiedzieć od kiedy używam takiej karty, ale na pewno było to od początku wprowadzenia ich przez mBank, czyli już dość długo. Poruszałem się w tym czasie różnymi środkami komunikacji zbiorowej, bywałem na w miejsca o bardzo dużych skupiskach ludzi tj. koncerty, cmentarz :-), płaciłem kartą w taksówkach i jakoś nigdy! nie zniknęła mi z konta ani złotówka. Co więcej, uważam że płatności zbliżeniowe to rewelacyjne rozwiązanie do czasu, gdy nie zgubi się karty. Chociaż był taki przypadek, że ktoś zgubił kart paypass nie wiedząc o tym. Kobieta, która ją znalazła przez kilka miesięcy dokonywała tą kartą płatności zbliżeniowych 771 razy. Jednak proceder trwał do czasu, kiedy to osoba, która ją zgubiła stwierdziła utratę swojej karty i ją zastrzegla. Kobietę złapano po paru dniach. Wystarczy w Google wpisać: Znalazła kartę płatniczą i użyła jej 771 razy. Teraz stanie przed sądem.
Także nie wiem, po co się nakręcać, rwac włosy z głowy i nosić karty w ołowianej kopercie hahaha w obawie przed tym, że ktoś z karty paypass ukradnie nam pieniądze. Tu niektórzy mają sraczkę, ale sraczki już nie mają, obnażając swoje życie prywatne na portalach społecznościowych. Proponuję rezygnację z internetu, z kart płatniczych i smartphona oraz telewizorów smart i lodówek :-).
To nie karty paypass są dla nas zagrożeniem tylko my sami.