cwbe coordinatez:
101
792011
1366411
5175931
5176584

ABSOLUT
KYBERIA
permissions
you: r,
system: public
net: yes

neurons

stats|by_visit|by_K
source
tiamat
K|my_K|given_K
last
commanders
polls

total descendants::12
total children::5
show[ 2 | 3] flat
"Vytvorením zariadenia, ktorý realizuje útok typu Man in the Middle
je možné získať z Chip and PIN karty peniaze bez nutnosti zadať PIN."

tolko namahy. platil som v US/DE 20+ krat s visa electron (pin only) a zakazdym bez pinu, len na podpis :-/




000001010079201101366411051759310517658405179374
next
 next      16.02.2010 - 13:15:54 , level: 1, UP   NEW
Pri swipe (a)lebo podpise je zodpovednosť za transakcie na pleciach banky. Prečítaš si výpis, povieš banke, že v tejto krčme si ty veru nebol a neplatil, banka rieši s obchodníkom, nech dokáže, že si to bol ty. Ak nedokáže, banka ti vráti peniaze.

Pri Chip&PIN a zadaní PINu je zodpovednosť za transakcie na pleciach zákazníka. Vo výpise je "verified by PIN" a nevyreklamuješ nič.

00000101007920110136641105175931051765840517937405180200
mono
 mono      16.02.2010 - 20:11:43 , level: 2, UP   NEW
je mi jasne .)

dve pikosky k tomu:
1. transakcie do hodnoty 20usd (visa) nepotrebuju ziadnu autorizaciu (podpis).

2. realna skusenost (kolega z byvalej firmy): mierne sa opil v panskom podniku v mnichove, platil visou a na firemny amex (pravdepodobne 'pozicany' z bundy) mu prisiel ucet na ~8000dem. banke bolo povedane, banka povedala amexu, amex povedal obchodnikovi, obchodnik poslal ucty s podpisom (pravdpodobne vzor pouzity pri visa autorizacii), ktory bol nasledne amexom uznany (ziaden rozbor grafologom). na odporucanie firemneho pravnika bola cela vec uzavreta a suma uhradena (firmou).

:)

0000010100792011013664110517593105176584051793740518020005180450
next
 next      16.02.2010 - 22:30:28 , level: 3, UP   NEW
1. Áno, ale ak budeš dokola celý deň dávať transakcie do 20 USD, tak si to niekto všimne a bude riešiť. A opäť je otázka, na koho triko je zneužitie.

2. Anekdotu mám aj ja. UK, platba taxíku AMEXom (možno VISOu, je to 6-7 rokov dozadu). Ľudskou chybou zúčtovaná 2x. Statement, telefonát banke, reklamácia... AMEX/VISA ako prvú vec pozastavila všetky transakcie pre danú firmu. Do hodiny volal niekto z danej firmy, že čo mu to robia, že nemôže žiadne karty brať, vysvetlené, double platba stornovaná.

S tou nutnosťou podpisu na zadnej strany karty je to zvláštne, to je fakt.

000001010079201101366411051759310517658405179374051802000518045005180765
mono
 mono      17.02.2010 - 07:36:40 , level: 4, UP   NEW
US kolegovia par rokov dozadu to mali na firemnych kartach poriesene tak, ze miesto podpisu mali na zadnej strane nezmyvatelnou ciernou fixkou napisane: CHECK ID

000001010079201101366411051759310517658405177521
stamina
 stamina      15.02.2010 - 13:16:07 , level: 1, UP   NEW
tak tak, tiez velmi nechapem preco tolko rozruchu
cez tie pdq masinky staci udaje o karte zadat manualne /netreba ani swipe, tj netreba ani mat fyzicky tu kartu/

000001010079201101366411051759310517658405177139
berry
 berry      15.02.2010 - 09:21:05 , level: 1, UP   NEW
presne na to som myslela ! vsade vo svete nechceli odo mna ziadny PIN a dokonca mali v pazi aj porovnavanie podpisov ( mam nepodpisanu kartu doteraz a nikomu to ani len nevadilo ).

Ak ked som ten PIN potrebovala v zahr. tak mi v tatrabanke povedali, ze "to nie je mozne, ta karta je IBA na PIN, oni to musia mat pokazene !"

000001010079201101366411051759310517658405176768
juraj
 juraj      14.02.2010 - 22:18:28 , level: 1, UP   NEW
áno, o to ide. nemusíš falšovať podpis. prídeš k bankomatu a vyberieš prachy.

nemusíš si ani žuvačky kupovať.

00000101007920110136641105175931051765840517676805176847
Macarat
 Macarat      14.02.2010 - 23:24:26 [1K] , level: 2, UP   NEW
Takto to fungovať nebude, v tom článku riešia iba offline pin, t.j. keď pin overuje karta. ATM vyžaduje overenie u issuera. (Na Slovensku sa aj pri platbách na termináloch overuje pin u issuera)

0000010100792011013664110517593105176584051767680517684705177397
repelent
 repelent      15.02.2010 - 12:13:39 , level: 3, UP   NEW
Neoveruje sa iba samotna transakcia uz ci je platna? Ak nie.. tak ako prebieha take overenie pinu s bankou? Ved to sa ani zahashovat neda poriadne :)

000001010079201101366411051759310517658405176768051768470517739705177421
juraj
 juraj      15.02.2010 - 12:27:46 , level: 4, UP   NEW
ak to nejde cez asymetricke krypto, tak sa to da zlomit, to je pravda, ani challenge-response nefunguje.

a neoveruje sa to s bankou, ale s autorizacnou centralou, co nemusi byt a vacsinou pravdepodobne ani nie je banka.

0000010100792011013664110517593105176584051767680517684705177072
juraj
 juraj      15.02.2010 - 08:20:08 [1K] , level: 3, UP   NEW
Veľmi by si sa čudoval, aké bankomaty sa kde vo svete nachádzajú. Je jasné, že to môžeš kľudne vybrať z bankomatu v Laose (tá komunikácia s kartou môže byť remote).

Prípadne služba výberu cash cez POS terminál (konkrétne som to robil tiež v Laose).

Čierna ekonomika momentálne funguje tak, že existujú špecializovaní ľudia, ktorí sa zaoberajú vyberaním ukradnutých kreditiek. Kopec ľudí by mohlo rozprávať, ako 10 minút po tom, ako im ukradli v Bratislave peňaženku vyberali z bankomatu v Španielsku peniaze. Niektorých dokonca osobne poznám. Pri tomto útoku to nie je vôbec žiadny rozdiel, akurát na to nestačí skopírovať magnetický prúžok, ale treba online komunikovať s čipom karty. To ale ide aj cez Internet.

000001010079201101366411051759310517658405176623
repelent
 repelent      14.02.2010 - 20:57:54 , level: 1, UP   NEW
no, ale takto nebudu mat podpis :)