•  

    pokaż komentarz

    Obie baby to geniusze. Jedna złodziejka druga to dzban, bo nie ogarnęła, że zgubiła kartę

  •  

    pokaż komentarz

    Grozi jej max 5 lat, a w praktyce 3 miesiące w zawieszeniu na rok.

    To zwykła kradzież - , nie było włamania, nie przełamywała żadnych zabezpieczeń - nie musiała bo nikt jej o pin nie pytał, nie zdobyła karty w wyniku rozboju.

    •  

      pokaż komentarz

      @mnlf:
      Wyrok Sądu Najwyższego – Izba Karna z 2017-03-22 III KK 349/16 (numer 1618180)
      „Przybliżenie karty płatniczej do terminalu skutkuje uzyskaniem dostępu do rachunku bankowego właściciela karty, dochodzi zatem do przełamania bariery elektronicznej w systemie bankowej płatności bezgotówkowej. Jeżeli czyni to osoba nieuprawniona, która weszła w posiadanie karty wbrew woli jej właściciela, w celu dokonania płatności za określony towar lub usługę, dokonuje kradzieży z włamaniem.”

      Polecam uzasadnienie jest dość ciekawe, które przychyla się do tego, że PIN jest zabezpieczeniem dodatkowym ale nie koniecznym i brak jego przełamania nie jest konieczną przesłanką do zakwalifikowania tego czynu jako kradzież z włamaniem.

    •  

      pokaż komentarz

      @dziara1429: Wyroki SN to material na niejedna telenowele. Rozrzut od totalnie merytorycznych do takich gdzie ktos musial byc na niezlych dragach zeby je wykoncepowac. Ten plasowal bym gdzies po srodku.

    •  

      pokaż komentarz

      @dziara1429: no w sumie trochę jakby zamki w drzwiach były pootwierane i nazwać kradzież bez włamania bo było otwarte bez sensu

    •  

      pokaż komentarz

      @dziara1429: ciekawe czy kradzież pieniędzy z portfela gdzie są zabezpieczone zamkiem błyskawicznym też jest włamaniem.

    •  

      pokaż komentarz

      no w sumie trochę jakby zamki w drzwiach były pootwierane

      @Jedenipol: Nie. Zamki są zamknięte, znajdujesz klucz i otwierasz drzwi. To jest właściwa alegoria. Jeden z filarów bezpieczeństwa - coś co masz (tu: karta, klucz), drugi - coś co znasz (tu: PIN, drzwi nie mają!), trzeci - coś czym jesteś (biometria - w obu brak, chociaż kasjer może poprosić o dowód)

    •  

      pokaż komentarz

      @doogroo2: płacenie cudzą kartą jest okradaniem sklepu (a nie banku czy posiadacza karty).

      Płatność kartą wygląda w ten sposób:
      Nazywam się Mirek Xisński numer mojej karty to 1234567890 proszę obciążyć mój rachunek.

      Jeśli podasz dane innej osoby sklep obciąży niewłaściwe konto a Xiński będzie się domagał zwrotu pieniędzy (bo on niczego nie kupował) i sklep będzie musiał te pieniądze oddać.

      W interesie kasjera jest poprosić o dokument ze zdjęciem, jeśli tego nie zrobi ponosi ryzyko tego, że ktoś może go oszukać.

      Zasadniczo w takim przypadku mamy do czynienia nie z kradzieżą a z oszustwem (podaniem się za posiadacza karty).

      Ale przy klasycznej płatności bez pinu nie ma żadnego klucza. Drzwi nie są zamknięte, w ogóle nie ma żadnych drzwi - na karcie jest tylko adres pod który należy się udać po pieniądze i pieniądze są wypłacane w dobrej wierze każdemu kto się pod ten adres zgłosi i powie Mirek robił u mnie zakupy i jest do zapłaty 5zł (biorę na słowo - ale jak by coś było nie tak to oddam).

      Ponieważ sprawdzanie dokumentów przy płaceniu jest kłopotliwe wymyślono inny rodzaj autoryzacji. Poprzez podanie tajnego kodu-klucza (zwanego PINem)

      PIN jest odpowiednikiem zamka w sejfie lub zamka szyfrowego w drzwiach, znasz kod to możesz drzwi/sejf otworzyć.

      Ktoś podał pin znaczy, że się włamał na konto w banku i w tym momencie sklep nie ponosi odpowiedzialności.

      Jeśli PIN został zgadnięty albo wykorzystano jakieś słabości techniczne do jego uzyskania (lub uznania za prawdziwy niepasującego pinu) to jest to kradzież w złamaniem a okradzionym jest bank (który miał nieskuteczne zabezpieczenia)

      Jeśli pin został znaleziony (np był zapisany na karteczce w portfelu w którym jest karta) albo wyłudzony podstępem należy to traktować jako użycie znalezionego klucza (czyli to też jest włamanie) ale stratny jest klient banku (bo to on nie dochował należytej staranności przy zabezpieczaniu swoich środków).

    •  

      pokaż komentarz

      Ale przy klasycznej płatności bez pinu nie ma żadnego klucza.

      @mnlf: Bez karty nie wypłacisz, więc jak nie ma, jak jest klucz? Fizyczny, namacalny.

      Dwa: nie wspomniałeś słowem o operatorze karty - nie wiesz w ogóle o czym piszesz.

    •  

      pokaż komentarz

      no w sumie trochę jakby zamki w drzwiach były pootwierane i nazwać kradzież bez włamania bo było otwarte bez sensu

      Drzwi nie są zamknięte,

      @Jedenipol: @mnlf : no nie. Są zamki otwierane kartą a nie kluczem (spotykane głównie w hotelach, ale nie zawsze). Jeżeli zgubisz kartę, ktoś nią otworzy drzwi i zabierze z pokoju laptopa to jest kradzież z włamaniem. Tak samo z kartą. Karta jest kluczem do konta. Jak ktoś ją zgubi, a ktoś inny jej użyje by do tego konta uzyskać dostęp i zabrać środki to też jest kradzież z włamaniem. Jest tu logika i pełna konsekwencja i absolutnie użycia karty bez pinu nie można porównywać do otwartych drzwi. To raczej użycie pinu jest dodatkowym zabezpieczeniem - trzymając się warunków hotelowych karta + pin to tak jakby drzwi do pokoju + pin do sejfu hotelowego.

    •  

      pokaż komentarz

      @doogroo2: zapłacisz bez karty - wystarczy w sklepie podać numer karty i swoje nazwisko.
      Kartę podajesz po to aby tego numeru i nazwiska nie trzeba było przepisywać ręcznie.
      Zauważ że płacąc przez internet - nie nigdy nie używasz karty fizycznie, zawsze podajesz tylko numer.

      @maniac777: w tym przypadku karta kredytowa jest tylko wizytówką z numerem pokoju - kluczem jest pin.

      Z karta hotelową jest odwrotnie tam nie ma numeru pokoju a jest na niej zapisany tylko klucz.
      Jeśli ją zgubisz to dodatkowo ktoś jeszcze musi ustalić który pokój ona otwiera.

    •  

      pokaż komentarz

      @mnlf: uzycie karty zblizeniowej to oczywista kradziez z wlamaniem bo wlamales sie do czyjejs karty , poszczescilo ci sie ze pin nie wyskoczyl a sprzedawca nie sprawdzil ci dowodu osobistego do czego ma prawo zaraz napiszesz aa to wtedy nie wlamanie to wina sprzedawcy otoz nie porownaj sobie to do tego ze zostawisz okno otwarte, to juz nie bedzie wlamania?

    •  

      pokaż komentarz

      @lubie_kiedy_mowisz_tak: A na co chcesz się powoływać? Na orędzia szczerbatego karła?

    •  

      pokaż komentarz

      @mnlf:
      Wyrok Sądu Najwyższego – Izba Karna z 2017-03-22 III KK 349/16 (numer 1618180)
      „Przybliżenie karty płatniczej do terminalu skutkuje uzyskaniem dostępu do rachunku bankowego właściciela karty, dochodzi zatem do przełamania bariery elektronicznej w systemie bankowej płatności bezgotówkowej. Jeżeli czyni to osoba nieuprawniona, która weszła w posiadanie karty wbrew woli jej właściciela, w celu dokonania płatności za określony towar lub usługę, dokonuje kradzieży z włamaniem.”


      Polecam uzasadnienie jest dość ciekawe, które przychyla się do tego, że PIN jest zabezpieczeniem dodatkowym ale nie koniecznym i brak jego przełamania nie jest konieczną przesłanką do zakwalifikowania tego czynu jako kradzież z włamaniem.

      @dziara1429: przecież ten wyrok to porażka systemu sądownictwa i edukacji sędziego, który go wydał. Dumanie sędziego w uzasadnieniu wyroku nie zawsze jest prawidłowe - po to są komentarze do wyroków, które bardzo często takie głupoty sprowadzają do ziemi. Sędzie też człowiek, może pofrunąć, tutaj poleciał nieco za daleko.

    •  

      pokaż komentarz

      @niko444: to jest oszustwo a nie kradzież - udało się sprzedawca cię nie przyłapał, oszukałeś go i wyłudziłeś ze sklepu towar bez płacenia.

    •  

      pokaż komentarz

      @niko444: włamanie się do karty? Czytasz co piszesz?

    •  

      pokaż komentarz

      w tym przypadku karta kredytowa jest tylko wizytówką z numerem pokoju - kluczem jest pin.

      @mnlf: No nie. Bez karty hotelowej nie otworzysz pokoju, bez karty nie dokonasz płatności w sklepie. Można by rozważać czy przepisanie z danych z karty i użycie ich do płatności przez internet to przełamanie zabezpieczeń - w mojej ocenie ten ostatni przypadek można to traktować jak dorobienie klucza (choć tu może wydawać się nieco naciągane), ale sama karta jest kluczem (czymś co masz). PIN jest tylko dodatkowym zabezpieczeniem (coś co wiesz).

      Nie wiem co piszesz w kontekście informacji na karcie hotelowej dot. numeru pokoju ponieważ spotykane są takie w których ta informacja jest, a samo znalezienie pokoju do którego pasuje karta na której nie ma numeru pokoju to też nie problem ponieważ zazwyczaj liczba możliwości do sprawdzenia idzie co najwyżej w dziesiątki.

    •  

      pokaż komentarz

      @corp_slave: Tak czytam, masz stare myslenie. Wlamac sie mozesz nawet do wirtualnej rzeczy np konta do tibii to czemu nie do karty i czyjegos konta de facto

    •  

      pokaż komentarz

      @Jedenipol: no ale jeżeli drzwi nie były zamknięte na klucz to wtedy jest to kradzież i ewentualnie naruszenie miru

    •  

      pokaż komentarz

      bez karty nie dokonasz płatności w sklepie
      @maniac777: przecież już tłumaczyłem - bez karty dokonasz płatności w sklepie - wystarczy podać swoje nazwisko i numer karty (który jest faktycznie numerem konta u operatora płatności które należy obciążyć) ale karty nie musisz fizycznie posiadać.

      Zabezpieczeniami są
      1 kontrola imienia i nazwiska (porównanie z dokumentami)
      2 odręczny podpis na rachunku/paragonie i kontrola czy podpis zgadza się z podpisem na karcie
      3 weryfikacja PIN za pomocą terminala banku
      4 podanie hasła jednorazowego przysłanego SMSem (tzw 3dsecure)

      Nie wiem co piszesz w kontekście informacji na karcie hotelowej dot. numeru pokoju ponieważ spotykane są takie w których ta informacja jest,

      To już jest błąd popełniony przez hotel. Dziura w ich zabezpieczeniach równoważna zapisaniu pinu mazakiem na karcie aby go nie zapomnieć.

    •  

      pokaż komentarz

      przecież już tłumaczyłem - bez karty dokonasz płatności w sklepie

      @mnlf: Pisałem o płatnościach zbliżeniowych i z użyciem czipa - zabezpieczeniem jest coś co masz (tak jak klucz). Ty piszesz o płatnościach przez internet. Tutaj zabezpieczeniem jest coś co wiesz. W obu wypadkach dochodzi do przełamania zabezpieczenia.

      To już jest błąd popełniony przez hotel.

      @mnlf: To nie jest żaden błąd. Na kluczach niemal zawsze masz breloczek z numerem pokoju. To też w Twojej ocenie błąd?

    •  

      pokaż komentarz

      @corp_slave: sędziów - ten wyrok został wydany przez skład 3-osobowy i jest doskonałym przykładem sytuacji w której to sędziowie są zmuszeni do interpretacji prawa w taki sposób, aby odpowiadało realiom życia codziennego, ponieważ nasz polski prawodawca zajęty jest wojenkami politycznymi a nie chęciom dostosowania litery prawa do współczesnego obrotu prawnego. W przeciwnym wypadku przytłaczająca większość kradzieży pieniędzy z konta za pomocą transakcji zbliżeniowych byłaby klasyfikowana jako wykroczenia.
      Poza tym polecam przeczytać uzasadnienie, które sporo wyjaśnia.

    •  

      pokaż komentarz

      Pisałem o płatnościach zbliżeniowych i z użyciem czipa - zabezpieczeniem jest coś co masz.
      @maniac777: odczytanie numeru karty i nazwiska po NFC niczym się to nie różni od: przepisania go ręcznie, odciśnięcia żelazkiem wypukłych liter na kalce, albo odczytania tych danych z paska magnetycznego.

      Za każdym razem sprzedawca tylko czyta dane takie jak: numer karty, imię, nazwisko, data ważności karty. A potem udaje się z tymi danymi do banku (operatora płatności) aby ten obciążył rachunek klienta i wypłacił mu pieniądze za zakupy.
      Tego typu płatność nazywa się płatnością offline (bez konieczności połączenia z bankiem w tym momencie a jedynie z przekazaniem danych później).

      Z jak to nazwałeś czipa (czyli secureelement na karcie) korzysta się tylko przy płatnościach online - tzn wtedy gdy mamy dwukierunkową łączność z bankiem, weryfikowany jest PIN, limity płatności i to czy karta nie została zastrzeżona.

      To nie jest żaden błąd. Na kluczach niemal zawsze masz breloczek z numerem pokoju. To też w Twojej ocenie błąd?
      Tak przechowywanie adresu razem z kluczem to duża dziura w zabezpieczeniach.

    •  

      pokaż komentarz

      zapłacisz bez karty - wystarczy w sklepie podać numer karty i swoje nazwisko

      @mnlf: I tak zapłacisz zbliżeniowo? Bo o tym rozmawiamy. Autentykacji z wykorzystaniem jedynie klucza przy płatności zbliżeniowej (zresztą przy kopiarce kart wypukłych jest dokładnie tak samo).

      Poza tym - nie wystarczy. Potrzebny jest jeszcze CVV i data ważności. Co stanowi komplet informacji zawartych na kluczu i jest odpowiednikiem ząbków w kluczu do zamka.

    •  

      pokaż komentarz

      Poza tym - nie wystarczy. Potrzebny jest jeszcze CVV i data ważności.
      @doogroo2: jest opcjonalny - nie jest potrzebny jeśli sprzedawca o niego nie poprosi (tak samo podpis na rachunku jest opcjonalny)

      Przykładowo amazon nawet o to nie prosi.

      Warto pamiętać o tym, że CVV nie jest traktowany jako skuteczne niezapieczenie a jedynie ułatwienie dla sprzedawcy, to tylko ciąg dalszy numeru karty którego sklepy internetowe zobowiązane są nieprzechowywać (tzn mogą zapamiętać numer karty klienta do następnej płatności tak aby nie musiał go podawać ponownie przy następnych zakupach ale nie wolno razem z tymi danymi trzymać CVV który klient powinien podawać ręcznie osobno dla każdej płatności - to na wypadek gdyby wyciekła im baza danych i ktoś chciał jej użyć przy płatności w następnym sklepie).

      I tak zapłacisz zbliżeniowo?
      tak - możesz te dane podać również zbliżeniowo (np zapisać je w telefonie i pozwolić aby czytnik NFC w kasie odczytał je z telefonu).

    •  

      pokaż komentarz

      odczytanie numeru karty i nazwiska po NFC niczym się to nie różni o

      @mnlf: Nie dokonasz płatności NFC na podstawie danych odczytanych po NFC - nie tak to działa.

      Za każdym razem sprzedawca tylko czyta dane takie jak: numer karty, imię, nazwisko, data ważności karty. A potem udaje się z tymi danymi do banku (operatora płatności) aby ten obciążył rachunek klienta i wypłacił mu pieniądze za zakupy.

      @mnlf: Tutaj też to nie tak działa. Jak uważasz inaczej to idź do banku z numerem karty żony (lub rodzica ;)) i wybierz pieniądze. Nie da się? A to zdziwienie, prawda? :) Ale nawet w Twojej koncepcji jeżeli powiesz komuś "masz tu klucz do mojego mieszkania (lub kod do zamka elektronicznego), tam leży banknot, weź go sobie" to nie ma włamania ponieważ nie doszło do przełamania zabezpieczeń. Jeżeli jednak ktoś to ukradnie klucz lub w nieautoryzowany przez właściciela sposób wejdzie w posiadanie "kodu" (np danych z karty) to jak najbardziej dojdzie do przełamania zabezpieczeń.

      Z jak to nazwałeś czipa (czyli secureelement na karcie) korzysta się tylko przy płatnościach online - tzn wtedy gdy mamy dwukierunkową łączność z bankiem, weryfikowany jest PIN, limity płatności i to czy karta nie została zastrzeżona.

      @mnlf: Nie jest to prawdą. Nie jest możliwe stworzenie duplikatu karty na podstawie tylko odpowiedzi od niej. Upraszczając... przy transakcjach NFC offline, terminal wysyła do karty niepowtarzalne pytanie, chip w oparciu o nie generuje niepowtarzalną odpowiedź, a ich zgodność jest potwierdza przed obciążeniem konta - tu zabezpieczeniem jest kryptografia czegoś co masz, ale to bez znaczenia. Nadal zabezpieczeniem jest coś co masz.

      Tak przechowywanie adresu razem z kluczem to duża dziura w zabezpieczeniach.

      @mnlf: To przekaż tę informację hotelarzom widać jesteś mądrzejszy ;)

    •  

      pokaż komentarz

      Nie dokonasz płatności NFC na podstawie danych odczytanych po NFC - nie tak to działa.
      @maniac777: dokonasz - w internecie masz masę filmów na których robione jest coś takiego, jakiś czas temu było nawet na niebepzieczniku w jaki sposób zrobić to samemu.

      Tutaj też to nie tak działa. Jak uważasz inaczej to idź do banku z numerem karty żony (lub rodzica ;)) i wybierz pieniądze. Nie da się?
      Nie ma z tym żadnego problemu (robiłem tak wielokrotnie) - przynajmniej póki osoba której dane zostały użyte nie zacznie protestować.
      W razie co bank wie kto wziął pieniądze i jeśli ktoś powie że wzięto pieniądze z jego konta bez pozwolenia trzeba będzie je oddać.
      Jeśli nie było weryfikacji PINu bank z zasady wierzy na słowo klientowi i każe sprzedawcy oddać pieniądze lub udowodnić że to klient kłamie bo w sklepie płacił on osobiście (właściwe sam zabiera pieniądze z konta sprzedawcy gdy klient o to poprosi)

      W tym momencie pomóc może odręczny podpis klienta na rachunku, ale jeśli sprzedawca takiego nie posiada to guzik może zrobić dał się oszukać i może iść najwyżej na policje aby ta szukała sprawcy.

      Nie jest to prawdą. Nie jest możliwe stworzenie duplikatu karty na podstawie tylko odpowiedzi od niej. Upraszczając... przy transakcjach NFC offline, terminal wysyła do karty niepowtarzalne pytanie
      Przy transakcjach offline nie ma niczego takiego (skąd terminal miał by wiedzieć że odpowiedź jest poprawna jeśli nie ma połączenia z bankiem?)

      To co opisałeś ma miejsce wyłącznie przy transakcjach online.

      Do płacenia offline wystarczy kopia karty odczytana telefonem (a bardziej precyzyjnie będzie można zapłacić nią 1 raz, za drugim może nie zadziałać ze względu na licznik który ma karta).

    •  

      pokaż komentarz

      dokonasz - w internecie masz masę filmów na których robione jest coś takiego, jakiś czas temu było nawet na nieprzepieczeniu w jaki sposób zrobić to samemu.

      @mnlf: Jest w internecie więc to musi być prawda, tak ;) No ale dawaj... pokaż jeden, może pośmiejemy się razem. :)

      Przy transakcjach offline nie ma niczego takiego

      @mnlf: Jest, to czego nie ma to nie ma przed akceptacją płatności weryfikacji stanu konta oraz tego czy karta nie jest zastrzeżona.

      Nie ma z tym żadnego problemu (robiłem tak wielokrotnie)

      @mnlf: Tak? W którym banku wypłacono Ci pieniądze gdy podałeś tylko numer karty jej posiadacza? ;) (abstrahuję tutaj od tego, że znajomość numeru karty to nadal zabezpieczenie - coś co wiesz).

    •  

      pokaż komentarz

      Jest w internecie więc to musi być prawda, tak ;)
      @maniac777: osobiście też się w to bawiłem.

      Jest,

      W jaki niby sposób bez kontaktu z bankiem będziesz wiedział jakie pytanie zadać?
      I skoro odpowiedź jest za każdym razem inna to jak stwierdzisz, że odpowiedź jest prawidłowa?

      W którym banku wypłacono Ci pieniądze gdy podałeś tylko numer karty jej posiadacza?
      W mbanku

    •  

      pokaż komentarz

      @Jedenipol: Jeżeli ubezpieczysz sobie dom od kradzieży i zrobisz właśnie tak, że zostawisz otwarte drzwi co pozwoli złodziejom na wejście, to firma ubezpieczycielska powie Ci abyś se poszedł bo to nie było włamanie tylko wtargnięcie, a oni od tego umywają ręcę. Muszą być ślady włamania aby Ci dali twoją dolę z ubezpieczenia. Co prawda to firmy prywatne więc nie wiem czy one działają pod prawem polskim czy po prostu pod swoimi przepisami.

    •  

      pokaż komentarz

      kradzieży z włamaniem

      @dziara1429: ech nasz kochany KK. Jak z kradzieżą pieniędzy z konta się zgadzam, tak tutaj aż mi krew się gotuje:

      Włamanie może nastąpić tylko do zamkniętego pomieszczenia (także pojazdu). Zwykłą kradzieżą będzie zatem zabór roweru przypiętego na łańcuch do parkanu.

      Czyli jak mi skroi ktoś 50zł z karty to idzie siedzieć, a jak zwinie rower za 5000zł to wtedy "o to tylko zwykła kradzież. szedł i się rower do niego uśmiechnął"

    •  

      pokaż komentarz

      osobiście też się w to bawiłem.

      @mnlf: No ale nie jesteś w stanie udowodnić pokazując... no coś niebywałego. ;) Gdybyś do czegoś związanego z faktycznymi płatnościami doszedł wiedziałbyś że płatność NFC (nawet offline) to nie to samo co RFID.

      W jaki niby sposób bez kontaktu z bankiem będziesz wiedział jakie pytanie zadać?
      I skoro odpowiedź jest za każdym razem inna to jak stwierdzisz, że odpowiedź jest prawidłowa?


      @mnlf: Pytanie jest niedeterministyczne. Wyobraź sobie że w kryptografii od dziesięcioleci znane są mechanizmy weryfikacji poprawności odpowiedzi opracowanej na podstawie niejawnych danych w oparciu o znajomość danych jawnych. Niezwiązany z kartami, ale za to powszechnie używany przez ludzi niezwiązanych z płatnościami przykład: https://pl.wikipedia.org/wiki/Infrastruktura_klucza_publicznego

      W mbanku

      @mnlf: Hehe :) Mogłeś się bardziej postarać w wymyślaniu nieistniejących procedur ;) Ale proszę... możesz nakręcić film pokazujący minę pracownika banku gdy mówisz że chcesz wypłacić pieniądze w oparciu o numer karty który mu zaraz podyktujesz? :)

    •  

      pokaż komentarz

      @maniac777: o widzę że nie masz pojęcia o czym piszesz, mylisz podstawowe pojęcia.

      NFC to szczególny przypadek RFID (tak jak kwadrat to szczególny przypadek prostokąta). RFID to ogólne określenie dużej grupy protokołów komunikacyjnych, NFC to jeden ze standardów komunikacyjnych zalecających się do tej grupy.

      Tak czy inaczej to tylko protokół komunikacyjny i nie mówi on nic na temat tego do czego ma on służyć. Po prostu ma on przesyłać dane między urządzeniami, podobnie jak Bluetooth czy Wifi.

      Pytanie jest niedeterministyczne. Wyobraź sobie że w kryptografii od dziesięcioleci znane są mechanizmy weryfikacji poprawności odpowiedzi opracowanej na podstawie niejawnych danych w oparciu o znajomość danych jawnych.

      A nie zapomniałeś o tym, że musisz znać dane jawne?

      Do weryfikacji podpisu konieczna jest znajomość klucza publicznego terminal nie może znać kluczy publicznych wszystkich kart jakie istnieją na świecie i wszystkich jakie powstaną w przyszłości (a z zasady nie może tego klucza odczytać z karty bo wtedy osoba podrabiająca karty mogła by sobie tam ustawić własną parę kluczy). Terminal musi połączyć się z tym kto kartę wystawił.
      Nawet gdyby zastosować hierarchiczną strukturę znaną z www (co ograniczyło by ilość kluczy - certyfikatów jaką trzeba znać) to i tak nie pozwoli przewidzieć tego co zostanie wygenerowane w przyszłości (tzn karta młodsza niż terminal).

    •  

      pokaż komentarz

      Nie dokonasz płatności NFC na podstawie danych odczytanych po NFC - nie tak to działa.

      @maniac777: Dokonasz ale tylko raz i tylko w niektórych warunkach:

      Jednorazowy kod CVV

      Ponieważ do autoryzacji transakcji bezstykowych używany jest jednorazowy kod CVV, sklonowaną kartą można wykonać tylko jedną transakcję (i zazwyczaj na niewielką kwotę — patrz limity danego banku).

      Warto również zauważyć, że jeśli przed wykonaniem fałszywej transakcji, ofiara przeprowadzi płatność swoją kartą (a więc wygeneruje kolejny jednorazowy kod CVV) centrum obsługi kart zauważy, że karta “pominęła” jeden kod lub próbuje drugi raz wykorzystać ten sam kod — efekt powinien być następujący: automatyczna blokada karty.

      Jak groźny jest ten atak?

      Na początek bądźmy fair i podkreślmy, że w przypadku bezstykowej kradzieży danych z karty, atakujący może wykonać tylko jedną transakcję naszymi pieniędzmi — do wysokości limitu transakcji. Druga się nie uda (jednorazowe CVV). Więc z jednej strony korzystanie z bezstykówek jest bardziej niebezpieczne (można bez naszej wiedzy sklonować kartę bezprzewodowo) a z drugiej strony bardziej bezpieczne (lewą transakcję można wykonać tylko raz — chyba, że atakujący stale/regularnie będzie odczytywał dane karty ofiary)…

      https://niebezpiecznik.pl/post/ataki-na-zblizeniowe-karty-kredytowe-rfid/

    •  

      pokaż komentarz

      Grozi jej max 5 lat, a w praktyce 3 miesiące w zawieszeniu na rok.

      @mnlf: Całkiem realnie grozi jej odsiadka w wiezieniu, za kradzież z włamaniem jest minimum rok pozbawienia wolności. A tutaj zrobiła to 111 razy, tak więc może dostać więcej, a powyżej roku już nie można zawiesić kary.

    •  

      pokaż komentarz

      @Camis: nie było włamania, a za zwykłą kradzież jest od 3 miesięcy do 5 lat.
      Ewentualnie jeśli potraktować to jako oszustwo to od 6 mies do 8 lat.

    •  

      pokaż komentarz

      @mnlf: Hehe, czytaj ze zrozumieniem. Ujmę terminy w cudzysłów by to zrozumienie było dla Ciebie łatwiejsze. "płatność NFC" to nie nie to samo co "RFID". Jeżeli uważasz że to stwierdzenie jest fałszywe, to udowodnij.

      Druga kwestia... dane jawne jak sama nazwa wskazuje są... jawne. Potwierdzenie autentyczności odpowiedzi zostanie potwierdzone przed obciążeniem konta.

      Podsumowując
      - nie da się od tak sklonować karty zbliżeniowej
      - nie da się od tak sklonować karty chipowej

      Powtarzasz wielokrotnie obalane bzdury. Poczytaj choćby tu:

      https://zaufanatrzeciastrona.pl/post/bzdury-mity-i-klamstwa-na-temat-platnosci-zblizeniowych/

    •  

      pokaż komentarz

      @Camis: zgadza się - tylko z jednym zastrzeżeniem, można odczytać kartę wielokrotnie robiąc sobie zapas jednorazowych CVV

      Oczywiście aby bank się nie zorientował i nie zablokował karty będziemy musieli je wykorzystać zanim zostanie użyta prawdziwa karta.

    •  

      pokaż komentarz

      Jednorazowy kod CVV

      @Camis: Bomba... artykuł z niebezpiecznika z czasów gdy wypuszczał clickbajty o atakach na przedłużony terminal... Pokaż mi gdzie dokładnie w dokumentacji EMV piszą o tym dynamicznym kodzie CVV, bo albo się komuś terminlogia pomyliła (CVV to styczny kod na tyle karty), albo coś mnie ominęło.

    •  

      pokaż komentarz

      @corp_slave prawo od jakiegoś czasu się zmieniło i jak zapłacisz kartą kogoś zbliżeniowo to jest to kradzież z włamaniem

    •  

      pokaż komentarz

      @Marcinowy: poka poka źródło, bo może przeoczyłem przepisy. Jeśli chodzi zaś o licznie orzeczniczą, to jeden wyrok, ani nawet 5 nie wystarczą, żeby można było powiedzieć "prawo się zmieniło".

    •  

      pokaż komentarz

      Do weryfikacji podpisu konieczna jest znajomość klucza publicznego terminal nie może znać kluczy publicznych wszystkich kart jakie istnieją na świecie i wszystkich

      @mnlf: W sumie to absurdalność tej rozmowy skłoniła mnie do odszukania dokumentacji i grafiki z niej która powinna wyjaśnić Ci jak bardzo jesteś w błędzie (nie powinienem tego robić już po twierdzeniu że można pójść do kasy mbanku podać z głowy numer karty i zażądać wypłaty):

      pokaż spoiler Są trzy klucze prywatne i odpowiadające im klucze publiczne. Prywatne są w posiadaniu odpowiednio organizacji kartowej, emitenta karty i jeden zapisany jest na karcie. Kluczem organizacji kartowej podpisany jest certyfikat emitenta zawierający jego klucz publiczny, kluczem emitenta podpisany jest zawierający klucz publiczny karty certyfikat zapisany razem z kluczem prywatnym na karcie. Terminal posiada klucz publiczny organizacji kartowej. Klucza prywatnego z karty nie da się ani odczytać ani go zmodyfikować ponieważ jest zabezpieczenie fizyczne w postaci bezpiecznika wewnątrz układu który jest przepalany po procesie personalizacji, ale karta jest w stanie go użyć do podpisywania danych.


      pokaż spoiler Terminal wysyła żądanie zawierające które oprócz kwoty, waluty i innych parametrów które mogą być powtarzalne również dane losowe o których wspominałem (4 bajty). Karta z tych danych oraz po dołączeniu swoich danych generuje podpisaną odpowiedź którą może zweryfikować już terminal.


      Ponieważ sprawiasz wrażenie poszukującego informacji to proszę:

      https://www.emvco.com/wp-content/plugins/pmpro-customizations/oy-getfile.php?u=/wp-content/uploads/documents/EMV_v4.3_Book_2_Security_and_Key_Management_20120607061923900.pdf

      Strony 51 do 80 oraz 153 do 154. Najbliżej pajonkowego jednorazowego CVV jest "Application Transaction Counter" ale to jest część podpisanego przez kartę szyfrogramu zawierającego dane losowe, kwotę, datę i kilka innych informacji więc nie da się karty sklonować ani nie da się uzyskać informacji na zapas.

      źródło: 2019-12-04_14-44.png

    •  

      pokaż komentarz

      @corp_slave z czym masz dziecko problem?

      @Marcinowy: Człowieku jako źródło prawa podajesz mi artykuł na RP, który przywołuje wyrok SN i stawia go pod znakiem zapytania? Myśl, bo się w życiu wyp%!!@$$isz na pierwszym zakręcie. Dla mnie koniec dyskusji.

  •  

    pokaż komentarz

    Ostatnio obok przystanku autobusowego znalazłem kartę, nawet przez myśl mi nie przyszło, aby z niej skorzystać.
    Zrobiłem to, co chciałbym, aby zrobiła osoba, która znajdzie moją kartę - zaniosłem ją do banku.

  •  

    pokaż komentarz

    Co ci ludzie mają we łbie, kobieta chyba ma intelekt karalucha jeżeli w dobie cyfryzacji korzysta ze skradzionej karty 111 razy xD

  •  

    pokaż komentarz

    Aż mi się dowcip przypomniał.
    "Rozmawia dwóch biznesmenów:
    -Wiesz, miesiąc temu ktoś ukradł moją kartę kredytową mojej żonie.
    -I co, zgłosiłeś to do banku i na policję.
    -Nie.
    -Dlaczego?
    -Bo złodziej wydaje mniej."