7/8/2017
Przed Wami drugi odcinek naszego niebezpiecznikowego podcastu pt. Na Podsłuchu. Marcin Maj, Kuba Mrugalski i Piotr Konieczny rozmawiają o bezpieczeństwie kart płatniczych. Poza opisem ataków i fraudów jest sporo porad, jak bezpiecznie posługiwać się tym środkiem płatniczym i co robić, kiedy ktoś pozyska numer naszej karty i ukradnie nam pieniądze z powiązanego z nią rachunku bankowego.
Posłuchaj tego odcinka
Listen to “NP #002 – ten o bezpieczeństwie kart” on Spreaker.
Jeśli masz jakieś pytania, zostaw je w komentarzach poniżej. Niebawem zrobimy odcinek podcastu będący Q&A, w którym postaramy się odpowiedzieć na pytania dotyczące kilku pierwszych odcinków.
Linki do omawianych zagadnień
- Przykładowe normy i dokumenty opisujące działanie kart płatniczych: ISO/IEC 7812-1:1993 oraz ANSI X4.13
- Algorymt Luhna wykorzystywany do walidacji numerów kart płatniczych i demonstracja jego użycia w praktyce, czyli o tym jak podrobiliśmy lewą kartę lojalnościąwą IKEA Family, żeby wypić darmową kawę :D
- Opis tego, co zawierać może pasek magentyczny karty płatniczej oraz tego jak można klonować i spoofować paski. I że takie numery potrafią spowodować wypłatę ponad 45 milionów dolarów jednocześnie ze skardzionych kart.
- O tym, ze PIN-y do karty wcale nie muszą być 4-cyfrowe, a mogą być 6 lub nawet 8 cyfrowe (i co wtedy robić).
- Żelazko, czyli imprinter — urządzenie do autoryzacji kart kredytowych przez ich “odciśnięcie“.
- Różne typy transakcji, czyli card present i card not present (m.in. MOTO)
- Ataki na płatności zbliżeniowe.
- O tym, że limity na zbliżeniówce są guzik warte, czyli wyjebka zbliżeniówką na prawie 500PLN ale niekiedy można kartami zrobić kogoś nawet na 60k PLN. Jednym z wektorów ataku była dziura w kartach zbliżeniowych od VISA. I że pomagają biletomaty we Wrocławiu.
- Tak wygląda prześwietlona przez nas promieniami X karta zbliżeniowa.
- Uniwersalny atak na karty zbliżeniowe, czyli atak przedłużenia terminala, który zawsze zadziała. I inne ataki na zbliżeniówki.
- Aplikacje, które pozwalają odczytać dane z karty zbliżeniowej (m.in. numer, nazwisko, historię zakupów)
- Karta jako zagrożenie dla prywatności.
- O tym że w mBank można załatwić sobie debetówkę bez anteny, RFID i funkcji zbliżeniowej.
- Obchodzenie limitów i mechanizmu 3DSecure na kartach płatniczych
- Co robić, jak hotel chce spisać Twoją kartę. Albo wypożyczalnia chciałaby ją w zastaw.
- Co to jest CHARGEBACK i o tym, że CHARGEBACK działa.
- Wykorzystywanie podobnego mechanizmy na PayPal do oszustw.
- O tym jak ludzie bezmyślnie ujawniają dane swoich kart. Przez webcama. Przez ustawienie PIN-u jako daty urodzenia. Przez kupowanie czegoś w samolocie. Przez instagrama. Przez Twittera. Przez głupi konkurs T-Mobile usług bankowych cośtam-cośtam Alior.
- O największym wycieku kart (110 milionów) z sieci supermarketów TARGET.
- Gdzie są sprzedawane skradzione numery kart płatniczych? Między innymi tutaj. Można też kupić lewe hologramy VISA na fałszywki.
- Karta dynamiczna, ze zmieniającym się numerem.
- Ultracienki skimmer, skimmer w lusterku. Skimmer na karty z chipem. I jeszcze jeden. Ale nie tylko skimmerów należy się obawiać.
- Głupio zainstalowana kamera.
- I ataki na terminale sklepowe. Sposobów jest bardzo dużo. Same terminale mają dziury. Ale można je podmienić. Można też socjotechniką. Folią aluminiową.
- …i oczywiście tagi zbierające wszystkie opublikowane na niebezpieczniku artykuły z tego tematu: karty kredytowe, karty płatnicze, skimmery, bankomaty
I na koniec, tutaj możecie sprawdzić, czy Wasz numer karty płatniczej nie wyciekł z jakiegoś sklepu.
Zasubskrybuj nas, aby nie przegapić nowych odcinków
Najwygodniej jest nas zasubskrybować poprzez dowolną aplikację do słuchania podcastów. Po prostu wpiszcie “niebezpiecznik” w wyszukiwarce, a Waszym oczom ukaże się:
Kliknięcie w “Subscribe” sprawi, że będziecie automatycznie informowani o kolejnych odcinkach. Możecie też kliknąć w poniższy przycisk, aby zapisać się na podcast przez iTunes:
Lub słuchać nas na YouTube:
Wszystkie odcinki w jednym miejscu
“Na Podsłuchu” ma także swoją stałą stronę na Niebezpieczniku:
https://niebezpiecznik.pl/podcast/
Tam znajdziecie player pozwalajacy odsłuchać wszystkie odcinki, oraz listę linków do postów z dodatkowymi informacjami dla każdego z poprzednich odcinków (m.in. ze spisem omawianych artykułów oraz narzędzi).
Do usłyszenia!
P.S. Jeśli masz jakieś pytania, zostaw je w komentarzach poniżej. Niebawem zrobimy odcinek podcastu będący Q&A, w którym postaramy się odpowiedzieć na pytania dotyczące kilku pierwszych odcinków.
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
mBank umożliwia wyłączenie płatności zbliżeniowej, nie trzeba zamawiać nowej karty.
Llimit płatności zbliżeniowej to 50 EURO (powyżej tej kwoty należy podać PIN) – narzucony jest odgórnie dla banków, oczywiście jest on fikcją w wielu bankach, ale wszystko powyżej jest do odzyskania bez problemów.
To sprawdz czy z “wylaczonej” karty zblizeniowej nie odczytasz danych. No wlasnie :)
oczywiście że odczyta dane po zablokowaniu, ale nie zapłaci już zbliżeniowo :)
Niestety. Chciałem zmienić limit na autoryzację bez PIN na 0 zł. Nie ma takiej opcji. Można tylko wyłączyć płatności.
@bzyk333 – obyś się nie zdziwił tak, jak ja: http://monter.techlog.pl/fail-inteligo-pko-bp-nie-wie-jakie-karty-klientom-wydaje/amp/
Monter – pisałem o mBanku. W innych zawsze może być inaczej, swoją drogą w tym e-mailu Pani bzdury napisała wiec można było by podciągnąć pod reklamacje płatności. W mBank dostałem informacje, że na nowej karcie płatności bez PIN-u będą odblokowane i należy je ponownie zablokować (jeśli będę chciał je znowu wyłączyć)
Jeszcze ciekawostka dotycząca PKO BP – tam mają chyba limit płatności zbliżeniowo 300 zł bez podawania PIN. Znajomej bez problemu udaje się dociągnąć do 500 zł bez podawania numeru PIN – dopiero po tej kwocie podczas następnej płatności prosi o numer PIN (nie mam pojecia czym to idzie)
Z tym wkladaniem karty do mikrofali to może po prostu chodzi i to że w srodku jest klatka faradaya?
A czy jest jakaś wersja artykułu dla wzrokowców? Zdecydowanie wolę czytać niż słuchać.
Nie ma. Tylko linki. Wlasnie dlatego robimy podcast, ze spisanie tego to byloby zdecydowanie wiecej czasu niz “przegadanie”. Moze w przyszlosci jakiegos przepisywacza zatrudnimy.
A przy użyciu oprogramowania do rozpoznawania mowy nie dałoby rady?
Zgadza się, przepisywanie to mnóstwo czasu, niemniej jednak czasem warto, jeśli temat jest ciekawy, a i taki przepisywacz mógłby okazać się zdolnym redaktorem do popełnienia pełnoprawnego artykułu na ten temat ;).
A ja mam pytanie, czy dałoby radę treść podcastów udostępniać również w formie pisemnej. Chętnie bym się zaznajomił z tematami poruszanymi przez redaktorów, ale na przeczesywanie źródeł nie mam czasu, a format dźwiękowy nie współgra z moim zmysłem poznawczym.
a spotkaliście się kiedyś z czymś, co spotkało nas przy płaceniu za hotel w trybie card not present – podaliśmy na stronie booking.com dane bez kodu CVV, a pracownicy hotelu I tak byli w stanie obciążyć służbową kartę (nie moja karta, ale sprawdzano kilkukrotnie I karta została obciążona). Czy to jest możliwe czy oni brute force’owali CVV?
Też tak miałem. Nic nie muszą – mają taką umowę z wydawcą karty/bankiem/… i tyle. Delikatnie mówiąc wkurzyło mnie to … :/
Za “enforsują” należy się pała.
Moglibyście też poruszyć temat płatności telefonem (Android Pay)? Czy jest to bezpieczne? prywatne? Ile danych ma google, jako pośrednik w takiej płatności?
na tak postawione pytanie jest tylko jedna odpowiedź, to zależy od świadomości użytkownika, podobnie zresztą jak przy kartach. Moim zdaniem Android nie jest i nie będzie dobrym narzędziem do płatności (wszystko również zależy od ‘apetytu na ryzyko’).
Można kupić również portfel z blokerem RFID
Starczy owinąć kartę folią alu, lub wszyć folię alu w portfel. Można też przeciąć antenę nożykiem. gdy się wie, gdzie ona przebiega.
Z tym przecinaniem karty to proponuje uważać, punkty powinny takie karty traktować jako nieważne, zwrócone do banku przez posiadacza.
Świetny pomysł z tym Podcastem teraz mogę coś tam sobie robić na kompie a w tle słuchać was :-)
Witam. Na serwerze w banku X, mój znajomy, który jest tamtejszym administratorem, zauważył w logach dziwny traffic z konta UpdatusUser, używanego przez, jak się okazało, kartę Nvidia. Ustaliłem, że atak RDP na to konto może być idiotycznie prosty, a fatalne w skutkach. Zalecam stosowanie radeonów i kart zintegrowanych.
P.S. Chodzi o kartę graficzną.
pytanie techniczne odnośnie podcastów. czy wasze nagrania to “jednolita” rozmowa, czy występują u was jakieś duble tego co mówicie albo czasem jakieś wycięcia w dźwięku?
Liczyłem, że wspomnicie o bliku, szczególnie przy temacie karty z dynamicznie zmieniającym się cvv :)
A powstała już aplikacja dedykowana tylko blikowi, czy cały czas aby z niego skorzystać trzeba ściągać aplikacje poszczególnych banków i zgadzać się na różne, niekoniecznie potrzebne, uprawnienia takich aplikacji i brać udział w bankowych zabawach z Big Data?
Ale co to ma do rzeczy? Technologia jest i warto o niej wspomnieć. Oczywiście podając również wady, ale chętnie posłuchałbym głosu ekspertów na temat bezpieczeństwa takich operacji.
A co do uprawnień – w iOS-ie nie ma takich problemów :P
Debetowa z delfinkiem można telefonicznie deakrywowax paypass. Dzwonimy, i później musimy 3ooeracje w różnych bankomatach wykonać. Deaktywuja paypass.
Ale jak, zdalnie antenę usuwają?
Na każdej karcie w mBanku można deaktywować telefonicznie transakcje zbliżeniowe. Działa to tak, że po przyłożeniu do terminala jest odmowa. Czyli mówiąc krótko, to limit jest ustawiany na zero a nie antena jest zdalnie wypruwana ;-)
Panowie,
Świetnie się Was słucha, tyle tylko, że za dużo w Waszych wypowiedziach “podobno”, słyszałem, że”, “miejska legenda”.
Traktuję p[ortal Niebezpiecznik jako miejsce gdzie wypowiadają się prawdziwi fachowcy, a od nich oczekiwałbym pewnych informacji a nie domysłow…
Nie “czerdżbak” tylko “czardżbek” na miłość boską.
Świetna audycja — skondensowana porcja wiedzy na temat kart płatniczych bez zbędnego pitolenia. Mam nadzieję, że następne odcinki co najmniej utrzymają poziom.
Najwyraźniej podcast “Cyber Cyber” umarł, ale ma godnego następcę :)
Trochę nudne i zbyt długie. Nie powinno trwać dłużej niż 40-50 min. Jak już ktoś pisał, irytują zwroty “podobno”, “słyszałem, że”, itp. Mówcie o faktach, a nie o ploteczkach.
Podcast 001 był dobry. Tytuł też jest dobry.
Pozdrawiam
Jeżeli chodzi o długość to mi zależy na jak najdłuższych podcastach.
“Klatce faraday’a” ?
To nie jest dobre określnie, bo taka klatka musi być uziemiona.
Chris/Kristin Paget pokazał, że pasywne shield’owanie karty nie jest zbyt skuteczne.
Guard Bunny jest dużo lepszy- taki jammer.
Charge-back to kwestia 60 dni minimum. 30 dni trzeba czekać, żeby wogole rozpocząć tą procedurę, a potem bank znowu ma czas na rozpatrzenie i to dużo czasu kosztuje.
SMS’y z powiadomieniami to stara metoda, teraz aplki banków mogą generować powiadomienia.
Mimo tego bardzo dobra pogadanka. ;-)
Pozdrawiam
W audycji jest mowa o zasłanianiu klawiatury ręką bądź portfelem podczas wpisywania kodu PIN w bankomacie, przy wypłacie środków z konta. A co jeśli potencjalny złodziej wykorzystałby kamerę termowizyjną do odczytania czterech wstukanych cyfr na podstawie mapy cieplnej? Jakie jest prawdopodobieństwo skuteczności takiego rozwiązania?
Kiedyś właśnie o tym czytałem artykuł, że tak wykorzystują i od tamtego czasu po wpisaniu kodu pin “rozgrzewam” wszystkie klawisze na klawiaturze czy to bankomatu czy pinpada w sklepie. Kilka dodatkowych ruchów ręką to zawsze większe bezpieczeństwo.
A jak odniesiecie się do do unieszkodliwiania płatności zbliżeniowych przez przecinanie anteny w karcie?
Karta jest własnością banku/wydawcy i teoretycznie nie wolno tego robić. W praktyce zaś to jedyna skuteczna metoda wyłączenia płatności zbliżeniowych.
Odnieśliśmy się w podcaście do tego ;)
Oficjalne stanowisko banków i organizacji płatniczych jest takie, że nawet eliminacja kodu CVC jest nieuprawnioną ingerencją w wizerunek karty, która jest w całości ich własnością.
W praktyce uważam, że nie jest to wielkie nadużycie, aczkolwiek zastanawiam się jak zrobić to trwale (np. naklejam małą nalepkę, co eliminuje problem zostawienia numeru na CCTV, ale gdy ktoś wejdzie w posiadanie karty, naklejkę po prostu odklei). Wypalić? Wodoodporny marker chyba nie wystarczy.
bardzo dobry odcinek, podcast zapowiada sie ciekawie, poprosze o wiecej !
Świetny podcast, na pewno nie będzie to mój ostatni odcinek.
Jednak mocno zdziwiłem się jednak, kiedy jeden z prowadzących powiedział, że płatności zbliżeniowo kartą opóźniają transakcje bądź są czasochłonne?
Słucham?
Nie rozumiem, w większości supermarketów jest to jeden przycisk na klawiaturze kasjera, lub szybkie przepisanie ceny do terminala. A ze strony użytkownika wyjęcie karty lub coraz częściej telefonu i przyłożenie do czytnika.
Zero papierowych pieniędzy i monet. Bez przeliczania ile trzeba wydać, bez wybierania monet z kasy jednym słowem oszczędność czasu.
Inna sprawa to nowoczesne systemy płatności takie jak “Revolut”. Właśnie odebrałem swoją kartę i zamierzam ją przetestować.
Myślę, że banki mimo wprowadzania dość dobrych aplikacji mobilnych mają jeszcze sporo do nadrobienia jeśli chodzi o technologię płatności.
Z CHARGEBACK skorzystałem kiedyś dość nieświadomie kiedy musiałem odzyskać pieniądze za koncert który się nie odbył. Zdziwiłem się jak szybko po złożeniu reklamacji dostałem zwrot pieniędzy.
Myślę że banki powinny uprościć język jakim się posługują, zmniejszyć ilość usług i tak na prawdę zająć się po prostu trzymaniem naszych pieniędzy, zabezpieczeniem ich przed utratą i jak najprostsze ich wydawanie.
Mnogość usług jakie oferują i ich reklama tak naprawdę sprawia że posiadanie konta w banku zamiast być coraz tańsze staje się coraz droższe.
Fajny podcast podsumowujący temat kart i zagadnień z nimi związanych.
Jeśli można, drobniutka uwaga do Piotra: sieć sklepów “target” a nie “tardżet” ;)
Pozdrawiam
odnośnie chargeback i biur podróży – proszę podajcie chociaż jedno duże biuro podróży w PL, które przyjmuje płatności kartą kredytową – próbowałem na przestrzeni otatnich kilku lat w kilku biurach podróży i nie udało mi się zapłacić z “karty kredytowej”
Itaka na Karmelickiej w Krakowie – bez problemu (nie wiem czy to reguła, stwierdzam jednostkowy fakt co do tej lokalizacji).
Piotr nie jest jedyną osobą z taką kartą (eMax podpięta do eKonta/innego bieżącego rachunku) – jest nas dwóch… Z doświadczenia jednak powiem, że cała operacja nie jest aż tak prosta, jak podany w rozmowie przepis ;-) Zresztą mBank za wszelką cenę stara się mnie nakłonić do rezygnacji z tej karty.
zauważyłem, że najlepszym sposobem na zabezpieczenie karty zbliżeniowej jest posiadanie w portfelu dwóch kart zbliżeniowych. nie da się tym zapłacić
Da sie
Apropos generatorów numerów kart, to dziś są mało przydatne ale 15 lat temu niektóre strony sprawdzały poprawność numeru i datę, po czym udostępniały download (np gołych bab XD) a autoryzację i obciążenie robiły później offline. Podając taki wygenerowany numer można było wyłudzić to i owo.
Oczywiście nigdy tak nie robiłem bo to straszna zbrodnia ;-) ale widziałem jak kolega…
PIN jest metodą autentykacji, nie autoryzacji jak jest to parokronie powtarzane. Zgodzę się, że są to bardzo blisko powiązane ze sobą terminy, ponieważ autoryzacja jest zawsze udzielana w kontekście autentykacji. Po autentykacji kodem PIN jestem zautoryzowany do zrealizowania procesu płatności.
Czy po skorzystaniu z płatności przez serwisy operatorów kart płatniczych, takie jak visa checkout czy masterpass – gdzie zapisujemy dane karty, również można skorzystać z chargebacku?
Witam. Zapłaciłam kartą za nocleg w hostelu zarezerwowany przez booking.com. Po tym jak wystawiłam hostelowi negatywną ocenę, otrzymałam maila, że mam zapłacić 250 zł. za “zniszczony materac”. Hostel ostrzegł, że jeśli nie zapłacę, sam ściągnie mi z konta tę kwotę. Czy to jest zgodne z prawem? Pozdrawiam
[…] płacić kartą w internecie (bo karty dają najlepsze dla konsumenta możliwości reklamacji, czyli procedurę chargeback) […]
[…] Niegłupim pomysłem będzie też przesłuchanie drugiego odcinka naszego podcastu Na Podsłuchu, który poświęciliśmy właśnie (nie)bezpieczeństwu kart płatniczych. […]
[…] kartami jest najbezpieczniejszą formą zakupów w internecie dla klienta końcowego — o czym wspominaliśmy już wielokrotnie — bo fraudy na kartach podlegają reklamacjom. Tak więc wyciek (lub […]
[…] — w przypadku braku kontaktu ze sklepem, wykonać reklamacje transakcji za pomocą procedury Chargeback, wskazując brak otrzymania produktu i brak kontaktu ze […]
[…] w internecie warto płacić — od zawsze do tego zachęcamy, bo tylko ta forma płatności daje Wam dodatkową ochronę w postaci procedury Chargeback (tak, […]