15:18
12/2/2010

Od wczoraj płatność kartą bez znajomości jej PIN-u jest możliwa. Wystarczy tyko odpowiednie urządzenie, które podpięte do oryginalnej karty będzie pośredniczyć w komunikacji z terminalem płatniczym i kartą.

Atak na karty kredytowe (i debetowe)

Naukowcy z Cambridge przeprowadzili następujący eksperyment:

Oryginalną kartę podpięli poprzez zwykły czytnik kart (Alcor Micro) do laptopa wyposażonego w odpowiedni skrypt w pythonie. Laptop dodatkowo podpięli przez układ FPGA (Spartan-3E Starter Kit) i chip Maxim 1740 do drugiej, specjalnie przygotowanej, fałszywej karty, którą atakujący wkłada do terminala płatniczego w sklepie (POS).

Schemat pokazujący różnicę pomiędzy prawdziwą transakcją a atakiem MITM.

Podczas normalnej transakcji, terminal komunikuje się z kartą, użytkownikiem i bankiem w kilku krokach:

  1. [Terminal -> Karta] Odczyt typu karty (kredytowa, debetowa, bankomatowa)
  2. [Terminal -> Karta] Odczyt rekordów (numer konta, data ważności, wspierane metody uwierzytelnienia, certyfikat)
  3. [Terminal -> Karta] Odczyt licznika PIN-u (ile prób wprowadzenia PIN-u pozostało)
  4. [Człowiek -> Terminal] Wprowadzenie PIN-u
  5. [Terminal -> Karta] Przesłanie PIN-u celem weryfikacji
  6. [Karta -> Terminal] Wynik weryfikacji Udana/Nieudana
  7. [Terminal -> Karta] Przesłanie ceny, waluty, rodzaju zakupu i daty
  8. [Karta -> Terminal] Odesłanie wygenerowanego MAC-a (message authentication code)
  9. [Terminal -> Bank] Przekazanie MAC-a bankowi celem akceptacji

W trakcie ataku, oprogramowanie na laptopie odbiera od terminala poprzez fałszywą kartę dane transakcji, która ma być uwierzytelniona PIN-em. Transakcja jest podsuwana do przetworzenia na oryginalnej karcie, ale oprogramowanie na laptopie zmienia sposób uwierzytelnienia z PIN-u na podpis (blokując krok 5.). Dzięki temu fałszywa karta w sklepowym terminalu może przyjąć dowolny PIN, bo i tak nie ma on znaczenia, gdyż nigdzie nie trafia, a terminal otrzymuje odpowiedź “PIN JEST OK” czyli kod 0x9000, który jest generowany przez oprogramowanie złodzieja.

Zobaczcie video z symulacją ataku, które nakręciła BBC.

Atak działa na transakcje o dowolnej kwocie, uwierzytelniane przy pomocy protokołu EMV, zarówno offline i online, czyli wtedy, kiedy terminal płatniczy potwierdza transakcję w systemach bankowych w czasie rzeczywistym. Dorzucenie online’u jest nowością, gdyż atak na offline za pomocą tzw. yes-card znany jest już od dawna.

Zainteresowany problemami bezpieczeństwa bezstykowych kart kredytowych? Przeczytaj o atakach na karty płatnicze z RFID-ami

Konsekwencje ataku na karty kredytowe

Atak nie działa w bankomatach i przy płatnościach internetowych oraz telefonicznych.

Po takiej fałszywej transakcji, na sklepowym rachunku widnieć będzie informacja, iż zakup został zatwierdzony PIN-em. A więc bank ma możliwość odmowy odszkodowania, zakładając, że to my podaliśmy PIN złodziejowi — co w tym przypadku jednak nie jest prawdą. Atak dotyka nie tylko klientów ale i banki — w większości z nich procedurę reklamacji właśnie szlag trafił.

Warto wspomnieć, że atak nie działa w bankomatach, bo tam nie da się wymusić autoryzacji transakcji przez podpis, a same bankomaty weryfikują PIN w systemach bankowych, a nie na karcie. Tak, tak, też żałujemy, że nie ma bankomatów, które byłyby w stanie weryfikować podpisy :> Atak nie zadziała również z oczywistych względów przy płatnościach internetowych lub telefonicznych. Jeśli ktoś nie wie dlaczego, to jesteśmy szczerze przerażeni, że nie rozróżniacie transakcji autoryzowanych PIN-em od tych autoryzowanych przy pomocy kodu CVV2.

Zobacz jak wygląda prześwietlona X-RAY-em “bezstykowa” karta kredytowa z technologią RFID

W Polsce mniejsze szanse na atak niż w UK?

W Polsce atak i tak nie wszędzie się uda. Fałszywa karta może zostać łatwo zauważona, gdyż na kasie w większości sklepów to nie my, a kasierka “zabawia się” naszą kartą, przeciągając ja najpierw bezmyślnie przez terminal odczytujący pasek magnetyczny, żeby za chwilę się zreflektować i zauważyć, że jednak karta wyposażona jest w CHIP i przeciągnięcie to jednak nie bardzo… (Na marginesie, czy ktoś kto pracuje na kasie i codziennie ma po kilkaset transakcji kartą nie jest się w stanie nauczyć zauważać chipu na karcie, żeby nie tracić czasu na przeciąganie?)

Wszystko zależy od bystrości kasjerki

Istnieje tańsza metoda ataku na karty kredytowe

Warto wspomnieć, że niektóre sieci hipermarketów w Polsce ciągle wymuszają uwierzytelenienie przez podpis, nawet jeśli użyje się karty, która posiada możliwości uwierzytelnienia transakcji PIN-em. Zapewne wynika to z jakiś dziwnych umów z centrami obsługi płatności…

Tak więc złodziej wcale nie musi się uciekać do ataku opisanego powyżej, wystarczy że wie, w którym sklepie ma zrobić zakupy i nauczy się podrabiać wasz podpis z tyłu karty. Podobnie z wyjazdem za granicę. Np. polskie karty mBanku z chipem są wszędzie w USA uwierzytelniane przez podpis…

Przeczytaj także:



76 komentarzy

Dodaj komentarz
  1. a w hiszpanii karty są autoryzowane przez 2-gi dokument ze zdjęciem. chyba lepiej to działa niż podpis :)

  2. Taka dygresja do pani w kasie bawiącej się w przeciąganie: posiadam kartę na PIN, jendak bez chipu.

    • @Okhy: i co to zmienia?

    • lol ]:->

  3. @Piotr Konieczny
    “(…) przeciągając ja najpierw bezmyślnie przez terminal odczytujący pasek magnetyczny, żeby za chwilę się zreflektować i zauważyć, że jednak karta wyposażona jest w PIN i przeciągnięcie to jednak nie bardzo… (…)”

    Artykuł sugeruje, że karty z paskiem magnetycznym nie wymagają podania PINu ;) A tak jest tylko z kredytowymi AFAIK ;P Zawsze pozostają debetówki, które mają pasek, a wymagają pinu ;)

    • Oczywiście chodziło mi o CHIP a nie PIN ;-)

  4. Na rysunku jest napisane, że karta odpowiada terminalowi czy PIN jest poprawny.
    Hę?

  5. @Maku
    Karta debetowa w Inteligo nie wymaga pin’u przy transakcji w sklepie.

  6. z tego, co sie orientuje – podpisywany rachunek jest rozliczany jako kredyt, a pin – jako debet. jest to roznica w ksiegowaniu (kredyt po trzech dniach) i w koszcie dla sklepu.

  7. @Piotr: afaik o to chodzi w kartach z chipem. Chip zna PIN, ale go nie powie – może tylko powiedzieć czy podany PIN jest ok czy nie (i powiedzmy pozwala się kilka razy z rzędu pomylić). Dzięki temu PINu z karty nie da się programowo wyciągnąć i da się przeprowadzać transakcje offline.

  8. Przez 3 lata miałem kartę(w mBanku) na “podpis” (po skończeniu się jej ważności dostałem kartę “na PIN”) i NIGDY nie zdarzyło mi się żeby ktoś sprawdzał czy mój podpis zgadzał się z tym na karcie. A mówiąc dokładniej, moja karta nawet nie była podpisana ;].

    • Ta sama sytuacja. Karta z mBanku, stara, na podpis. Kilkukrotnie podpisywałem się jako Donald Tusk, Jan Maria Rokita, raz jako John Wayne i wszystko było w porządku, sprzedawca nawet nie rzucił okiem na druczek i nie podpisaną nigdy kartę…

  9. a może kiedyś pojawią się takie podróbki bezprzewodowe :) albo z drugiej strony :) w hipermarkecie zainstalować fake czytnika :) można skopiować karty i poznać piny :)

  10. Niezupełnie rozumiem, dlaczego metoda nie działa na bankomaty. Przecież to karta jest okłamywana że “podpis będzie!”, z punktu widzenia terminala wygląda to cały czas jak transakcja PIN. Chyba że w nagłówku komunikacji idą jakieś niepodrabialne informacje na ten temat…

    A bankomaty które nie połykają całej karty – przecież są liczne.

    To niesłychane, że komunikacja między terminalem a czipem nie jest jakoś elementarnie zabezpieczona. Jakimś rozwiązaniem byloby całkowite zablokowanie na karcie możliwości autoryzowania podpisem (tj. karta MUSI dostać poprawny PIN żeby w ogóle chciała dalej rozmawiać)…

    @”czy ktoś kto pracuje na kasie (…) nie jest się w stanie nauczyć zauważać”
    Nie. Inaczej pracowałby gdzie indziej, prawda?

    • Pracowałem na kasie w Realu, każdą kartę trzeba przeciągnąć.

  11. Niezupełnie rozumiem, dlaczego metoda nie działa na bankomaty. Przecież to karta jest okłamywana że “podpis będzie!”, z punktu widzenia terminala wygląda to cały czas jak transakcja PIN. Chyba że w nagłówku komunikacji idą jakieś informacje które można podmienić przy terminalu, a nie da rady – przy bankomacie…

    A bankomaty które nie połykają całej karty – przecież są liczne.

    To niesłychane, że komunikacja między terminalem a czipem nie jest jakoś elementarnie zabezpieczona. Jakimś rozwiązaniem byłoby całkowite zablokowanie na karcie możliwości autoryzowania podpisem (tj. karta MUSI dostać poprawny PIN żeby w ogóle chciała dalej rozmawiać)…

    @”czy ktoś kto pracuje na kasie (…) nie jest się w stanie nauczyć zauważać”
    Nie. Inaczej pracowałby gdzie indziej, prawda? :-)

  12. Jak to jest że w sklepach mogę kupować bez podawania PINU ? Nie mam aktywnej żadnej usługi szybkich zakupów itp , nie dalej jak tydzień temu w aptece zapłaciłem bez podawania pinu . ( nie wybierałem tą karta bankomatową przez dwa tygodnie co najmniej ) .

    Wystarczy ktoś znajomy w takim sklepie i już można zakupy robić na samą znalezioną kartę ; )

  13. Ale czy karta przechowuje pin? Karty paskowe na pewno nie, bo wówczas po co złodziejowi byłby podgląd pinu przez kamerę, wystarczy żeby zeskanował kartę. A chipowe? Bo tego nie wiem. Wydawało mi się że PIN wprowadzony jest porównywany z tym otrzymywanym z banku, a karta służy do wygenerowania MAC-a.

  14. @Piotr. Na karcie zapisany jest PIN terminal kasjerki gdzie wstukujesz PIN pyta się karty czy wstukano poprawny PIN i to karta mówi, czy poprawny lub nie. Druga karta jest tak zaprogramowana, że ma wszystkie dane oryginału tylko zawsze odpowiada poprawny.

    Uwierzytelnienie przez podpis jest dla mnie nierozsądne złodziej nie musi znać PINu. Wystarczy, że wie, w którym sklepie taka płatność jest możliwa i już zakupy za darmo. Podpis do sfałszowania ma na odwrocie karty.

    “kasjerka “zabawia się” kartą”. W Zakopanem w jednym ze sklepów nieładnie zabawiała się moją kartą w jednym ze sklepów. Robiąc zakupy nie zauważyłem terminala i pytam czy można płacić kartą. -Tak oczywiście można. Ja jej podaje patrze a ona z moja kartą spaceruje przez klientów do innej. W trakcie spaceru śmiało mogła sczytać dane z karty. Po zwróceniu uwagi miała jeszcze pretensję: “będę robiła co mi się podoba” dopiero groźba policji troszkę ją uciszyła.

    Pozdrawiam
    P.S. Kasjerka

  15. @Piotr: tak, z oryginalnej publikacji również wynika, że PIN siedzi na karcie.

    Co do podpisów, z karty takiej korzystam od dawna, ale wydaję mi się, że łącznie 3 razy ktoś poprosił o dokument aby zweryfikować tożsamość. Część kasjerów nawet nie zwraca uwagi na podpisy.

    Nie rozumiem też trochę idei CVV2, który jak byk widoczny jest na karcie, a kartę tę muszę podać kasjerce… przecież skopiować ten numer to nie problem? Chyba, że przy płatnościach online wymagane było jeszcze jakieś inne potwierdzenie, o którym nie pamiętam.

  16. Dostałem e-mailem powiadomienie o nowych komentarzach, których tu nie widzę. Co jest?

    Odpowiadam dla czego nie wydaje mi się, żeby PIN był w chipie – przez internet czy telefon mogę zmienić PIN…

  17. Atak jest prosty, skuteczny i jednocześnie trudny w realizacji, bo i gdzie się wpiąć…
    Na szczęście dzisiaj nie padłem ofiarą tego ataku, ale njus nieźle się zgrał w czasie z sytuacją z jaką się dzisiaj spotkałem w sklepie link

  18. dokładnie Piotr, poza tym gdyby pin był w chipie to czemu nie można by po prostu zrobić brute force’a odpytująć chip o kolejne możliwe piny

  19. hmm, może chip dostaje odpowiedz o poprawności pinu z serwera, interpretuje ją i odpowiada terminalowi

  20. Karty mBanku z chipem nie tylko w USA, ale też w UK – mieszkam, mam kartę mBanku i robię zakupy – co ciekawe, kiedy terminal sklepu nie obsługuje podpisu, tylko wymusza PIN, otrzymujemy komunikat “PIN Locked”, tak jakby nasza karta była zablokowana.

    • @NIXin w UK przeciez uwierzytelnienie przez podpis zostalo zabronione w 2006 roku. Zaden sprzedawca nie moze (albo stanowczo nie powinien, bo w Sainsburrym przymykali oko) w ten sposob uwierzytelniac transakcji. Szkocja pozdrawia ;-)

  21. Jakby ktos szukal wiecej informacji to polecam: http://www.cl.cam.ac.uk/research/security/banking/

  22. Karta kredytowa w Multibanku ma nadrukowane zdjęcie właściciela. Pomysł dobry, tylko zastanawiam się jaki procent obsługi kas w ogóle na nie patrzyło.

  23. @kravietz ja zostałem przyjemnie zaskoczony w ę-SSMAN-ie — kasjerka od razu zauważyła, że płacę kartą żony (buszującej jeszcze wśród sklepowych półek). Tłumaczę sobie to tym, że tak jej się spodobałem, że chciała sprawdzić jak mam na imię i tak odkryła moje drobne oszustwo ;-)

  24. Przeciąganie karty przed zreflektowaniem się, że to jednak karta chipowa jest wymogiem formalnym który kasjerka MUSI wykonać przed wsunięciem karty do czytnika chipowego.

    Wystarczy się zapytać w każdym sklepie – ja się spytałem, autor zdaje się nie.

  25. odnosnie kobiety przesuwającej bezmyślnie kartę:
    Moja dziewczyna mając kartę z ING zwróciła kobiecie uwagę, że może przestać przesuwać kartę bo jest tam chip. Kasjerka powiedziała że tak też działa.. (żadnego czarnego paska na tej karcie nie ma) parę tygodni później moja kobieta powiedziała mi, że żeczywiście tak ta karta też może działać.

    może ktoś to potwierdzić w 100% ?

  26. Punkt 5: [Terminal -> Karta] Przesłanie PIN-u celem weryfikacji, ostatnio się nad zastanawiałem, bo zauważyłem, że jak płacę kartą (z chipem) podaje PIN to na terminalu wyskakuje komunikat PIN OK a dopiero potem następuje połączenie terminalu z bankiem. Czyli PIN musi być weryfikowany przez połączeniem, czyli de facto off line. Czyli możliwe, że PIN jest jest zakodowany na karcie, a to oznacza, że jednak można go wyciągnąć z karty. Chyba, że co wydaje mi się całkiem rozsądne na karcie zakodowania jest tylko suma kontrolna wygenerowana na podstawie PIN -u i terminal tylko sprawdza czy wbity PIN jest poprawny na podstawie sumy kontrolnej jeszcze przed połączeniem z bankiem (chociażby po to by nie generować zbędnych połączeń terminal – bank) a po połączeniu z bankiem jeszcze raz sprawdza poprawność PIN-u już na podstawie informacji zawartej w banku.

  27. No to jak ja mogę zmienić PIN bez dotykania karty programatorem?

  28. Ej, może pora na jakiś artykulik o tym, co to jest PIN-online, PIN-offline, dlaczego karty mBanku nie działają dobrze w UK, jak karta komunikuje się z bankiem (w tym: aktualizacja kwot i PINu) oraz dlaczego umawianie się z “zaprzyjaźnionym” sklepikarzem na fraudy nie jest dobrą metodą, i będzie miało bardzo, bardzo krótkie nogi? ;-)

  29. @pd: jeszcze chwilę z tym poczekamy, zobaczmy, czy czytelnicy sami do tego dojdą ;> Aktywizować trzeba, zwłaszcza w weekendy ;)

  30. Z tym PINem zapisywanym na karcie coś jest nie halo – moj bank (i nie tylko moj) pozwala na zmiane PINu przez serwis internetowy, wiec na pewno nie jest on przechowywany na karcie, tylko weryfikowany on-line.

  31. Przeciez tradycyjna karta CHIPowa posiada również pasek magnetyczny, więc po co ten pojazd po kasjerkach skoro CHIPowymi również można przejechać przez terminal.

    http://www.karty.unicard.pl/a/Image/kartawymiary450px.jpg

  32. Oczywiście protokół jest do bani, ale z drugiej strony, nie ma się czym przejmować, bo aby przeprowadzić taki atak to trzeba mieć dostęp do konta bankowego właściciela terminala…

    http://www.e-klapa.org/index.php/2010/02/zlamano_zabezpieczenia_kart_platniczych_z_chipem/

    Ponadto:
    – wcale nie trzeba przejeżdżać paskiem magnetycznym, gdy karta ma chip (ktoś w powyższych komentarzach coś takiego sugerował) – vide: stacnje benzynowe Orlen
    – są stacje benzynowe, na których nie chcą ani podpisu ani PINu – przynajmniej na Statoil (w Bolkowie na Dolnym Śląsku mnie coś takiego spotkało) – rozumiem, że właściciel bierze odpowiedzialność za późniejsze reklamacje (nie zapominajmy, że mają to wszystko nagrane w telewizji przemysłowej).

    Ten ostatni przypadek pokazuje, że własność protokołu EMV była od dawna znana i wykorzystywana przez niektóre instytucje.

  33. cały problem w temacie kart to nie to, czy ktoś może moją zeskanowaną kartą zapłacić gdzieś i tym samym ukraść mi kasę, tylko to, czy bank uzna moją reklamację. to, co podnoszą przede wszystkim autorzy artykułu to właśnie przesunięcie odpowiedzialności z banków na posiadaczy kart w oparciu o dziurawy protokół. tak samo było kiedyś z bankomatami.
    a jako ciekawostka – w Norwegii, gdzie ostatnio byłem przez chwilę wiele transakcji kartowych nie wymaga autoryzacji. Np. zakup biletów komunikacji miejskiej w automacie, czy opłata za parking. Przy czym np. 2 takie bilety kosztowały jak na nasze 200zł, więc nie chodzi tylko o drobne kwoty.

  34. Co do bezmyślnego przejeżdżania kartą chipową najpierw przez czytnik magnetyczny, to np. w większości hipermarketów czytnik chip jest uruchamiany dopiero po takim właśnie przejechaniu paskiem magnetycznym. Tak więc nie jest to spowodowane bezmyślnością przyjmującego płatność. Inną sprawą jest oczywista bezmyślność osoby projektującej system płatności, ale to już inna historia…

  35. No to opiszę jak zachowała się moja karta payPass AliorBanku po zmianie PINu przez Bankowość Internetową: daję kartę, pani w Kasie prosi o PIN; wpisuję nowy PIN; od razu komunikat od pani, że PIN niepoprawny; wpisuję znowu ten sam PIN; mija znacznie dłuższa chwila niż przedtem i dopiero słyszę: już jest ok. Wniosek:
    PIN zapisany jest na karcie i aktualizowany przy połączeniu z terminalem mającym dostęp do sieci będącym w stanie online. Jeśli terminal jest offline (lub weryfikacja PINu z karty powiedzie się), nie sprawdzane są dane przez sieć.

  36. […] panelu poruszono m.in. temat niedawnych ataków na karty kredytowe i atakach typu 0day. Niech zachętą do obejrzenia tego 40 minutowego klipu będą następujące […]

  37. @ Zby […] Co do bezmyślnego przejeżdżania kartą chipową najpierw przez czytnik magnetyczny, to np. w większości hipermarketów czytnik chip jest uruchamiany dopiero po takim właśnie przejechaniu paskiem magnetycznym. […]

    Wyjąłeś mi to z ust, bo sam na takin terminalu pracowałem jako sprzedawca w sklepie “Euro Time” (grupa ZIBI) – kartę z chipem mozna dopiero włożyć po przejechaniu najpierw paskiem w czytniku z boku bo dopiero wtedy terminal na to pozwoli. Bezmyślność ? jeśli bym się znał na zasadności lub bezzasadności używania takiego mechanizmu to być może skrytykował bym twórcę / projektanta tego systemu ale ” bezmyślnej, leniwej czy zaspanej ” kasjerki bym w to nie mieszał.

  38. Często płacę kartą kredytową w internecie i coraz częstszym dodatkowym zabezpieczeniem (BZ WBK) jest oprócz podania oczywistych danych (w tym CVV) jest przekierowanie na stronę banku i podanie Numeru Identyfikacyjnego Klienta i hasła, używanego podczas korzystania z bankowości elektronicznej. Mało tego – żądają do tego tymczasowego hasła wysyłanego sms/token. Uważam takie zabezpieczenie, że jest skuteczne…

  39. […] że istnieje praktyczny atak, który pozwala nam płacić kartą płatniczą (z chipem), nawet jeśli nie znamy jej PIN-u. Tego typu wiedza może się przydać, jeśli po kradzieży/zgubieniu karty bank niesłusznie […]

  40. mialem bardzo dziwna sytuacje kiedys w mcdonaldzie. placilem karta z chipem z mbanku. kasjerka wlozyla ja do terminalu, po chwili podala mi klawiature z numerkami abym wprowadzil pin. na wyswietlaczu tej klawiatury bylo cos w stulu fffffffffffx0 czy cos takiego. po czym odebrala mi go (nie wprowadzailem pinu) wyjela karte a terminal wydrukowal oba potwierdzenia zaplaty. oddala mi karte i miejsce z chipem bylo BARDZO gorace. sprawdzialem pozniej wyciag i mialem normalnie ta transakcje.

  41. Nie wiem jak w Polsce ale w UK (tak, na zmywaku jadę ;)) w przypadku kart posiadających chip przy próbie użycia paska magnetycznego termin wyskoczy z tekstem “must use chip”, także to nie jest wybór ani sprzedawcy ani klienta czy użyć paska czy chipu. Chip jeśli jest to jest domyślny. Zatem w pasku musi być zakodowane również info, że karta ma chip. Z tego co zauważyłem jednak, terminal pozwala na użycie paska w karcie chipowej gdy zablokuje się chip poprzez trzykrotne podanie złego pinu. Miałem kiedyś w sklepie awarię czytnika chipów w terminalu i przy każdej próbie użycia chipa czytnik sypał errorami. Jeśli jednak trzy razy włożyło się i wyjęło kartę, wtedy transakcja przechodziła na pasek i podpis.

    Nie wiem co to za bzdura z tym zakazem autoryzowania przez podpis w UK. Jest cała masa kart kredytowych tylko z paskiem i autoryzowanych tylko podpisem i to jak najbardziej funkcjonuje. Plus przypadki takie jak wyżej opisany (blokada chipu, walnięty terminal) plus oczywiście genialne karty mBanku, które wywalają error “pin blocked” przy próbie użycia chipu przez co sprzedawcy patrzą na mnie jak na jakiegoś oszusta. Sam pracuję prawie codziennie na kasie i nikt mi nigdy nie powiedział o takim zakazie o jakim Piotr wspomina. Albo to jakiś urban legend albo dotyczy jakichśtam dziwnych/starych kart, których nikt już nie używa (może kiedyś był wybór w UK między paskiem a chipem?) albo funkcjonuje to tylko w Szkocji (pozdrowienia z Londynu ;)).

    Z tego co wiem, to na karcie nie jest zapisany PIN tylko jego suma kontrolna. Terminal ma zaprogramowany ten sam algorytm jej obliczania i po wklepaniu pinu przez klienta oblicza sumę kontrolną i porównuje ją z tym co jest w chipie, a nie pin z pinem.

    Co do podpisu i panikowania, że ktoś może podrobić… to nie chodzi o to, że ktoś mi buchnie kartę, autoryzuje podpisem i ja za to zapłacę. Jak wyczaję jakąś transakcję, której jestem pewien, że nie przeprowadzałem i zgłoszę reklamację to bank zwróci się do sprzedawcy o świstek z podpisem. Podpis może wyglądać podobnie ale grafolog zawsze się kapnie, że to podróbka. Nie wiem jakie banki mają na to procedury, czy mają dyżurnych grafologów ;) czy co, pewnie o 1,50 PLN nie wysyłają kart i rachunków do analizy ale prawda jest taka, że w przypadku podrobionego podpisu przy płatności sprawę w sądzie mamy nomen omen bankowo wygraną.

  42. Z linku, który podałeś wcale nie wynika, że karty nie mogą być autoryzowane podpisem. Jak najbardziej mogą w przypadku gdy:
    a) karta ma tylko taką opcję (sam pasek)
    b) karta zagraniczna
    c) osoba niepełnosprawna (w sumie to nie wyobrażam sobie jak trzeba być niepełnosprawnym żeby łatwiej było podpisać niż wklepać pin ale niech im będzie)
    d) sprzedawca z jakiegoś powodu nie jest w stanie przeprowadzić transakcji z autoryzacją pinem.

    Zwróć uwagę na ostatni akapit, wszystko jest tam wyszczególnione:
    Will I ever have to sign another receipt?
    There are a number of important exceptions in which cardholders can continue to sign: • Cardholders with an old-style card, waiting for an upgrade. • Cardholders from overseas with an old-style card. • Disabled cardholders with a chip and signature card. And for cardholders who have a chip and PIN card, you will still occasionally be required to sign instead if the retailer you are visiting isn’t able to process a PIN transaction.

    Dodam, że w kioskach (newsagents) można kupić pseudo karty płatnicze tylko z paskiem. To anonimowa karta, którą doładowujesz jak prepaid w jednym sklepie, a w innym płacisz – nie ma wtedy żadnej autoryzacji poza przeciągnięciem karty z paskiem przez czytnik. I to jest jak najbardziej honorowane.

    • medevacs: ja wiem co wynika z linku i dlatego Ci go wkleilem. Jak widzisz, tylko w specjalnych przypadkach mozna korzystac z auth via podpis, zalecana jest via PIN. Dodatkowo, wiem jak to wyglada od strony banku i procedur reklamacji, takze jesli z jakiegos powodu ciagle uwierzytelniasz ludzi przez podpis, radze zweryfikowac swoja politykę ;-)

  43. Ależ ja uwierzytelniam z takich powodów jakie są wymienione w dokumencie, na który się powołujesz. Nie ma klientów, którzy przychodzą z kartą chipową i proszą o autoryzację podpisem i ja im na to “no problem” albo z drugiej strony ja od nikogo nie domagam się podpisu zamiast PINu bo taki mam kaprys. Zwracam uwagę na to jednak, że autoryzacja podpisem w kilku przypadkach jest jak najbardziej dopuszczalna czy wręcz wymagana, bo Twój wcześniejszy komentarz zabrzmiał dla mnie tak jakbyś twierdził, że w ogóle nigdy, pod żadnym pozorem podpisem nie można w UK żadnej transakcji zatwierdzić.

  44. Widzę pewne wyjście jakim jest zasadnicza odmowa autoryzacji podpisem, a w przypadku konieczności takowej wymóg pokazania dowodu tożsamości, prawa jazdy itp.

  45. Dzisiaj miałam sytuację w Tesco, w którym transakcję kartą chipową pani nakazała potwierdzić podpisem. Na mój zestaw pytań dlaczego wezwała przełożoną, którą poradziła telefon do banku. Inteligencja nie pozwoliła włożyć karty do gniazda z czytnikiem chipów. Może należałoby zrobić na jakimś forum listę sklepów/instytucji nie przestrzegających bezpieczeństwa kart i “wspomagających” złodziei jedynie wymogiem podpisu?

  46. @SJUNDE: Spokojnie, to nie do końca tak. Wymagania dotyczące PINu/Podpisu w 90% przypadków ustala nie konkretny sklep tylko firma rozliczająca płatności. I domyślnie jest ustawiona kolejność 1. Transakcja z użyciem chip-a (u mnie w firmie nawet po przeciągnięciu kartą chipową przez czytnik magnetyczny wyskakuje komunikat: Użyj czytnika kart chipowych), a dopiero jeśli ta jest niemożliwa (karta nie ma chip-a bądź chip uszkodzony) – 2.Transakcja z użyciem paska. W przypadku drugim metoda potwierdzenia transakcji (pin/podpis) zależy od danych zapisanych na pasku – czyli od banku (w pierwszym jest to PIN). Tak więc wzywanie przełożonych ma znikomy sens, bo kasjer (czy nawet kierownik sklepu) ma praktycznie zerowy wpływ na metodę potwierdzenia transakcji.
    Ale wracając do najważniejszego: jeśli twoja karta z chip-em jest w jakimś punkcie używana do transakcji z paska, na 99% transakcję tę rozlicza Pekao SA, które jako jedyna w Polsce zostało “troszkę” z tyłu i transakcji z chipa po prostu nie obsługuje (pomimo, że ich terminale mają czytniki chip). I z tym nie da się nic zrobić :).

  47. Byłem w USA kilka miesięcy temu i nie miałem problemu z kartą mBanku. Działa PayPass (monopolowy ;) w NY) i autoryzacja PIN-em (zakupy w CVS)

  48. Skoro skrót pinu zapisany jest na karcie to czemu nie ma na to jeszcze tęczowych tablic. Zmieniam pin na 0000 i czytam kartę, zmieniam na 0001 i znowu czytam. A może wiedząc gdzie na karcie zapisany jest ten skrót możnaby nadpisać go swoim skrótem ;]

  49. Ten ostatni przypadek odpada – digest PIN-u jest zaszyfrowany kluczem prywatnym organizacji płatniczej umieszczonym na karcie w magazynie kluczy prowatnych, przy próbie włamania materiał krypto musi ulec zniszczeniu (FIPS 140-2), więc nie da się też podpisać lewymi kluczami, gdyby jednak komuś się udało to terminal tego nie przyjmie, bo nie będzie w stanie zdekodować zaszyfrowanych informacji.

  50. nadeszła era pay pass i będzie szał – mozna placic majac 1g na koncie od piatku az do w wtorku tranz. do 50 zl i nikt nic nie wie przez pare dni bo nic nie figuruje w systemie jako srodki zablokowane

  51. @szymon jak się ciesze że inteligo przysyła mi od razu SMS, maila i wiadomość na jabber.

  52. Czy aby na pewno terminal wysyła zapytanie o poprawność PINu do karty? W tych gdzie PIN jest nadawany odgórnie przez bank – może tak.
    Ale przecież np. w mBanku mogę sobie w każdej chwili zmienić PIN na stronie banku. Nie ma więc opcji, aby PIN był gdzieś zapisany na karcie… (na pewno idzie zapytanie do banku)

  53. A to ciekawe. Bo ja objechałem w czerwcu Kalifornię, Nevadę i Arizonę i NIGDZIE się nie podpisywałem.

  54. A tekście napisano kasierka zamiast kasjerka; )

  55. Witam,
    W kasach samoobsługowych w TESCO, przy kartach wydanych w 2012roku podobno zawsze będzie transakcja na podpis.

  56. To że Pani kasjerka bawi się w przeciąganie karty, nie zawsze znaczy że nie wie jak obsługiwać karty. W niektórych hipermarketach terminale kasowe (np. IBM) są tak zaprogramowane, że aby dokonać płatności kartą, trzeba ją sczytać przy pomocy paska magnetycznego, a dopiero później można użyć jej w terminalu płatniczym. I to jest niezmienione, aż do teraz czyli 2012r.

  57. A teraz proszę mi powiedzieć, jak chcecie technicznie wprowadzić tego man in the middle? Wkładkę do podanego przez sprzedawcę posa będziecie na miejscu montować, czy jak? A nawet jeśli, to pamiętajmy, że zakładamy, że oszust ma naszą oryginalną kartę. Jakby wam buchnął gotówkę z porftela zamiast karty, to czulibyście się lepiej? Powiecie że na karcie macie więcej niż nosicie w portfelu – ustawcie sobie limit transakcji dziennych i tyle. Tyle byście mieli w portfelu, i tyle mogliby wam ukraść. A przecież w wypadku kradzieży karty zawsze możecie ją zastrzec, bywa że złodziej nie zdąży nic ukraść, a jak buchnie gotówkę, to po ptakach…

  58. „kasierka “zabawia się” naszą kartą, przeciągając ja najpierw bezmyślnie przez terminal odczytujący pasek magnetyczny, żeby za chwilę się zreflektować i zauważyć, że jednak karta wyposażona jest w CHIP i przeciągnięcie to jednak nie bardzo…”

    Ostatnio byłem świadkiem tego jak kasjerka informowała jednego z klientów, że ona musi przeciągnąć kartę przez terminal odczytujący pasek magnetyczny. Z tłumaczeń wynikało, że inaczej nie jest wstanie zainicjować płatności kartą z tego terminala gdzie wkłada się kartę z chipem.

  59. ja jeszcze dodam, że jak kupowałem w niemczech bilet na pociąg w automacie DB, to korzystając z karty kredytowej Citibank nie zostałem nawet zapytany o pin!!! Nie sądziłem, że w ogóle jest możliwe wykonanie transakcji bez jakiegokolwiek potwierdzenia. Jednak tak właśnie jest – wybrałem bilet, włożyłem kartę, automat kazał wyjąć i odebrać wydrukowany bilet… Tak więc jak ktoś znajdzie taką kartę, to może na nasz koszt nieźle się napodróżować…

    • Na części stacji benzynowych w usa da się jeszcze tak zatankować – przejeżdżasz kartą pezez czytnik na dystrybutorze, czekasz, ok, lejesz…. odjeżdżasz.

  60. […] dwa lata temu opisywaliśmy, jak złodzieje mogą płacić znalezioną kartą płatniczą z chipem, nie znając jej PIN-u. Teraz na horyzoncie pojawił się nowy atak na karty chipowe, umożliwiający złodziejowi […]

  61. “Np. polskie karty mBanku z chipem są wszędzie w USA uwierzytelniane przez podpis”

    A widziałeś kiedykolwiek w tamtym kraju PINPAD przy terminalu? Bo ja nie. Zwykle samemu się przejeżdża kartą przez terminal, po czym rtsikiem na dotykowym ekranie smaruje się bohomaz, który nawet nie ma prawa przypominać tego co z tyłu karty. Ale to nie ma znaczenia bo karta dawno już w portfelu – sprzedawca ani nawet jej nie dotyka, co dopiero, żeby weryfikować podpis. Powyższe na podstawie kart mbanku i nie tylko.

  62. Prawdopodobnie bankomat w jednym miejscu w Poznaniu, z którego korzystała znajoma, padł ofiarą skimmingu. Normalnie wklęsła szpara na kartę, widać było jakąś nakładkę. Dziwne było zachowanie bankomatu tuż przed nami (koleś przed nami poszedł zmulony i w tym momencie jeszcze bankomat pracował, wyświetlił proszę pobrać pieniądze, po czym wyjście na banknoty rozchyliło się i od razu zamknęło) i kolesia za nami, nie miałem jednak pewności co do tego, czy bankomat faktycznie ma nakładkę, i czy koleś za mną faktycznie ma niecne plany, więc nie robiłem scen.
    Potem zmieniliśmy PIN na wypadek, gdyby ktoś zarejestrował go podczas wpisywania.
    Na razie nie było podejrzanych płatności kartą.

    Zastanawia mnie, czy w takim przypadku jest konieczna blokada karty? Czy sczytana zawartość chipu zawiera także łatwo dekodowalny albo jawny CVV2, na wypadek planowanych przez skimmera płatności przez Internet? Czy jest prawdopodobne, żeby posiadał sprzęt pozwalający na znalezienie nowego PINu metodą brute force?

    Pozdrawiam.

    • Do skasowania rażąca niewiedza moja, sam sobie odpowiedziałem w świątyni dumania. :>
      Pozdrawiam.

  63. Raczej nie do końca PIN jest na karcie zapisany, np w mbanku mogę zmienić pin przez stronę www. W jaki sposób zmieni się on na karcie? Bankomat go przeprogramuje albo terminal? wtedy złodzieje by mieli z górki. Jak to jest w końcu z tym pinem?

  64. A przy okazji, karty z USA (PNC Bank) są w Polsce też uwierzytelniane przez podpis :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: