Vlákno názorů k článku
Ve Francii odhalili podvod s čipovými kartami za 600 tisíc eur
od Jarda_P - Uzasne. Tak na jednu stranu zlodeji jsou tezci...
-
Ondra Satai NekolaZlatý podporovatelNapsal jsem "dedivost" (heritability).
A netusim, co myslis "zlymi" geny, ale na gonosomech a v mDNA toho zas takova kvanta nenajdes.
-
Ondra Satai NekolaZlatý podporovatel
ciwe, ciwe, clovek si da semestralni genetiku a hned je z nej politicky korektni slunickar, kdyz nekomu rekne, ze a proc placa.
-
afggh (neregistrovaný)
No nadával bych, ale vždyť se na to podívejte. To není jen o PINu. Karty mají pořád magnetický proužek a NFC je pro smích - žádné šifrování. A placení netu s CVV to taky nezachrání. Vítejte v iluzi bezpečí. Jediné co vám před vybílením konta pomůže je
1) Nízký limit
2) Okamžitá blokace (ale ne vždy si uvědomíte, že vám právě zkopírovali kartu)Bankám, MasterCardu a VISA - těm je to jedno. Těm jde jen o prachy a když Vás okradou, tak je to Váš problém nebo problém obchodníka.
-
Ogar (neregistrovaný)
Add NFC - no a co, krome 'cisla karty' tam nejsou zadne citlive informace :-).
A navic i CVC je na Mag/Chip/Cless pokazde jine ...Jedine, co dokazete vylakat jsou 'kryptogramy' slouzici k overeni dane transakce (u issuera), ale:
a) karta ma interne nejaky 'limit' (pocet transakci, castka, mena, ..) a po jeho vycerpani uz neda offline kryptogram, ale chce jit online
b) kryptogram je vam sam o sobe nanic, pokud ho 'neprozenete' pres nejaky registrovany bankovni terminalTakze ANO, dokazate si udelat SUPER antenu a nachytat 'kryptogramy' z karet lidi na Vaclavaku, ale zaroven potrebujete:
a) bileho kone
b) ten si musi zalozit zivnostak
c) musi si zalozit ucet u banky
d) jako obchodnik si u banky zaridit terminal
e) penize (za kryptogramy) skonci na jeho ucte
f) vy je musite prevezt nekam jinam
g) zivotnost tohoto bileho kone/terminalu bude v jednotkach hodin/dni, nez si toho nejaky zakaznik co ma internet banking a informace o pohybu na uctu vsimne a bude to reklamovatNo nevim, mne to jako nejaky super business plan nevychazi :-(
A s tim placenim na internetu - zaregistrujte si kartu do 3D Secure a mate vystarano - bez autentizace pres SMS nic nezaplatite ....
A pokud jo, je to jasny chargeback a
1) vase banka vam penize vrati
2) vase banka je dostane od banky obchodnika
3) banka obchodnika si penize zebere z jeho uctu -
Add NFC - no a co, krome 'cisla karty' tam nejsou zadne citlive informace
Tot otazka. jestli je to zabezpecene tak uzasne, jako pasy s NFC, tak tu uz lze kopirovat. BTW, neni nutno zrizovat terminl a vykradat penize na konto, muzete jit do kramu a koupit si trimetrovou televizi. BTW, kdyz vam lohnou kartu s NFC, je to v zakonceni zazivaciho traktu. Tou se plati zamavanim okolo terminalu. PIN to nechce.
-
j (neregistrovaný)
A ty ses velmi naivni, klidne ti predvedu, jak obehnu 10 kramu a v KAZDYM calnu stejnou kartou bez ptani. Neco takovyho mi nesmi domu. Nez se proberes ty, a nez se proberou obchodnici a sosnou si revokaci, tak ses o pat tisicovek lehci.
Ostatne, myslis si ze limit na vyber z bankomatu se neda prelizt? Funguje to presne stejne, staci vybrat z nekolika ruznych bank.
-
Lemming (neregistrovaný)
Koukám ty budeš asi véééélký odborník na bankovnictví :D :D :D
Bezkontaktní limit si hlídá sama karta, takže můžeš obíhat jak chceš, ale po limitu prostě začne chtít pin.
A s limity pro výběr jsi stejně vedle. Všechny bankomaty v ČR ověřují limity online proti kartovému centru.
(V exotickém zahraničí sem tam existují exotické offline bankomaty, přes které ten limit přešvihnout jde, ale rozhodně to není tak jednoduché. Četl jsem o případu kdy klientovi zkopírovali kartu a právě přes takovéhle bankomaty vybrali víc než limit a mám dojem, že na bance vysoudil ty peníze nad limit zpět.)
-
ptr (neregistrovaný)
U toho hotelu to bylo na zacatku nebo na konci? Na pocatku si jen rezervuji/zablokuji danou castku na uctu majitele karty. Jinak predpokladam, ze tam bude hrat roli neco ve smyslu hotel asi nebude falesnej / snadno premistitelnej / zrusenej. Jinak se mi uz x krat stalo, ze pri placeni pres chip karty nebyl treba PIN. Jo a nejspis ten hotel mel i podpis majitele karty? (Nejen nutne pri platbe, treba uz z check in formulare s overenim je/neni stejny jako ten na karte.)
-
j (neregistrovaný)
Jak rikam, ted tu o hurvinkovi jeden priklad za vsechny http://www.mesec.cz/clanky/limity-na-karte-bezpecnost-banka-prohrala-soud/
-
j (neregistrovaný)
Ne, to je ty ses naivni trouba, kterej si mysli, ze jeho banku/karetni spolecnost/obchodniky nejaky limity zajimaj.
Kdyby totiz nebyl negramot, tak by sis v tom odkazovanym clanku precet, ze ten clovek limity samozrejme nastavene mel, a presto z jeho karty bylo vybrano mnohonasobne vic, a musel dojit az k NS, coz je klidne na 10+let.
-
al (neregistrovaný)
Jedinou spolehlivou obranou proti karetním podvodům je nemít na účtě, ke kterému je karta vydána příliš mnoho peněz. Je sice otrava, že si ho musíte "dobíjet" z účtu druhého, ke kterému žádnou kartu nemáte(!) a kam si necháváte peníze posílat, ale jinak to nejde.
Rozhodně bych se bál nechat si vydat kartu k účtu, kde mám všechny úspory a to bez ohledu na typ karty a jakékoliv pohádky o dokonalém zabezpečení.
-
Ogar (neregistrovaný)
NFC rozlisuje dva limity (oba indikuje terminal karte):
a) CVM Limit - do teto castky se NIKDY neoveruje uzivatel (500,- Kc, 20,- EUR)
b) Floor Limit - do teto castky muze byt OFFLINE (500,- Kc, 15,- EUR)A navic:
c) karta ma interni 'risk management' a tim muze i v b) pripade vynutit ONLINE (vetsinou treba max 5 offline transakci po sobe, v celkove sume 2000,- Kc a podobne)
d) terminal muze taky v ramci sveho 'risk managementu' vynutit online i v b) pripadeZamavanim se plati pouze jenom do vyse MIN(CVM Limit, Floor Limit), tedy u nas 500,- Kc, za coz si tu 3metrovou plazmu asi nekoupite :-(
V online issuer overuje
a) 'sekvenci' kryptogramu (podle ATC), takze pokud uz mezitim uzivatel neco nakoupil a issuer uz ma transakci s vyssim ATC, tak tu vasi online zamitne
b) pracuje se stoplisty hlasenych karetA ohledne pasu s NFC - ano, okopirujete (pres BAC autentizaci bud brute-force a/nebo socialni inzenyrstvi) maximalne tak DG1 (MRZ co je natisknute na PASu) a DG2 (fotku, kupodivu barevnou).
Pro pristup k biometrikam (DG3 - prst a DG4 - oko) uz potrebujete TRUSTED certifikat, tj.:
a) certifikat, ktery vede pres chain (typicky 3 urovne) k CA, ktery ten pas uznava (a jejichz certifikaty ma v sobe)
b) ma specifikovane, ke kterym udajum ma pristup
c) ma vetsinou platnost v radech dnu (musi se periodicky obnovovat).Toz tak
-
pjoter (neregistrovaný)
> Add NFC - no a co, krome 'cisla karty' tam nejsou zadne citlive informace :-)
Zalezi co znamena citlive, kazdopadne bych se na sve karty podival https://play.google.com/store/apps/details?id=com.github.devnied.emvnfccard&hl=en
-
ogar (neregistrovaný)
Je tam (zajimave):
a) AID -tj. VISA, MC, AMEX, ...
b) PAN - cele cislo kary
c) Expirace
d) Servisni kod
e) 'virtualni' Track2 (druha stopa) s 'dynamickym' CVV3 (meni se pri kazde transakci)
f) ATC - tj. kolik uz transakci karta udelala
g) volitelne log poslednich (vetsinou 10-16 transakci) - typicky: datum, castka, mena, vysledek; volitelne jmeno obchodnikaVase jmeno tam neni, i kdyz karta muze obsahovat Track1, tak jmeno je doporuceno vyplnovat pouze jako '/ '.
A predpokladam, ze veci jako Issuer Action Code(s) a podobne nikoho nezajimaji :-)
-
ogar (neregistrovaný)
Nevim, nevidim (tu stranku jsem nevidel, ten program neznam), ja mam zkusenosti :-)
e) zavisi na typu/technologii karty:
e1) Track2 equivalent (EMV Tag 57) je tam bud primo a nebo
e2) u 'chip' ekvivalentu jako 'slozenina' z jinych EMV Tagu (5A + 5F24 + 5F30 + 9F07)
e3) u 'stripe ekvivalentu' jako 'mustr' do ktereho se na dane mista vlozi casti RND, UN, ...f) Tag 9F36 (ATC) - inkrementuje se z kazdou transakci (kazdy GPO command)
:-)
-
ogar (neregistrovaný)
Tak zaprve - ta druha stopa je 'virtualni' - meni se s kazdou transakci a NENI stejna mezi magnet/kontakt/cless !!!
A jinak nejlepe emvco.com :-)
Nejdrive contact - book 1-4 - to je zaklad (APDU, Tagy, principy, kryptografie - SDA/DDA/CDA, .....).
A potom contactless, pro kazdy kernel - VISA, MC, zvlast: stavi na contact, pouze ty procesy ruzne 'optimalizuje' (tj ruzne 'zjednodusuje'/'zrychluje' transakcni process).Ale neni to pekne cteni - je to horsi nez skripta :-(
Hlavne ty contact Book1-4 - jejich casti jsou mezi sebou dost provazane, takze clovek pak pri cteni skace jak chobot mezi jednotlivymi dokumenty ......
