Platobné karty sa stali neoddeliteľnou súčasťou nášho života a do života mnohých ešte len prenikajú. Väčšina majiteľov kariet sa o podvodoch s kartami dozvedia až v dobe, keď sa sami stanú obeťami. Čo sa stane s kartou po jej odcudzení?
Pre všetkých, ktorí chcú poznať odpoveď na túto otázku je táto prednáška. A vďaka organizátorom Vsetínskeho Barcampu si môžete pozrieť aj video, kde som tieto slidy prezentoval.
Do budúcnosti plánujem napísať rozsiahly článok venujúci sa tejto problematike, ale kvôli časovej vyťaženosti si nedovolím odhadnúť čas jeho publikovania.
Krasota.
vynikajúca prezentácia :)
Naprosto perfektní, jen mě udivuje, jak dlouho dokážeš povídat, aniž by ti vyschlo v krku :-P
A samozřejmě mě zarmoutila situace s bankomaty zejména. Nějaký generátor údajů karet taky existuje? To by se nemusely ani krást…
#3 Accuphose: dnes uz generator nema zmysel, kedze su k overeniu potrebne dalsie udaje. generator existuje kvoli tomu co je na slide o cisle platobnej karty. je to overovane na zaklade algoritmu a teda aj vygenerovatelne a overitelne na jeho zaklade.
Zaujalo ma: :)
Slide 10 na konci: ‘concrete card & concrete issuer’
concrete sa viac pouziva vo vyzname beton, ako konkretny. v tomto pripade si to oprav na factual, alebo specific
sorry, ze offtopic
#5 yano: dakujem za upozornenie, som rad, ze si aspon niekto da namahu a napise mi, co je zle. urcite coskoro opravim
Paraaadicka…
#4 oooo: No pokud mám program na generování karet a k němu ten program za 50 dolarů, co mi řekne veškerý údaje o majiteli, včetně dne narození matky, tak potom není co řešit, nebo mi něco uniklo? Samozřejmě ještě ten telefon, ale to se řeklo, že též není problém…. Tím pádem k tomu nikoho dalšího nepotřebuji…
Vyborne, som sa pobavil …
#9 Accuphose: no v podstate ti unikla ta najdolezitejsia cast. generator vie vygenerovat len cislo karty ale nie expiraciu karty a pre urcite krajiny ako napr. uk ani issued date, teda datum vydania karty. to su momentalne tie najdolezitejsie udaje spolu s cislom karty
Super ako vzdy!
Nechystas sa to nahodou prednasat aj v anglictine? Par kolegov sa kvoli tomu (a celemu tvojmu blogu) uz zacina skoro ucit po slovensky :)
Rasto, neviem ci som spravne pochopil Tvoju poznamku k slidu 11, teda ze okrem Europy sa chip inde nepouziva. Len cisto pre informaciu – Kanada to v podstate dost vo velkom v tomto case zavadza tiez.
tak na toto sa da povedat iba.. ty vole. tento svet je asi vazne umyselne robeny deravo
Slide 25 – kanadske banky to zvyknu preplacat majitelom uctu. Samozrejme najskor Fraud Department banky robi vysetrovanie, ale v podstate Ti peniaze vratia vo velmi kratkom case. Poznam minimalne 2 ludi z okolia, ktori sa stali obetou takehoto fraudu a peniaze im banka vratila.
Slide 36 – firefighters a nie firemen :)
@TL: dakujem za poznamky. zavadzanie nie je to iste ako pouzivanie. v us je to pozavadzane niekolko poslednych mesiacov az rokov, ale ak sa to raz zacne aj pouzivat, tak to potrva este velmi dlho. taketo veci vsak systemu nijak nepomahhaju
http://www.bbc.co.uk/blogs/newsnight/susanwatts/2010/02/new_flaws_in_chip_and_pin_syst.html
co sa tyka preplacanie, us, ca, au, uk a dalsi primarne prenasaju dokazne bremeno na banky, nie na ludi. ja som hovoril len o nas, teda lokalne podmienky.
Dakujem za perfektnu prednasku. Na konci chybala jedna kapitala, ako sa moze bezny uzivatel branit, pripadne prehlasenie ze nema sancu;-)
Vynikajuca prednaska, paci sa mi taky ten profesionalny cierny humor s nadhladom :-). Jedna vec by vsak bola hodna humornej vlozky a nebola spomenuta a to strasna mania tlacit cisla kreditiek na kazdy car papiera co cloveku banka posle ohladne KK. Teda niektore iba cast, ale nejake IIN uz je hracka domyslet. A jeho cpanie do vsetkych platobnych prikazov. Ktore zas generuju kopu dalsich papierov (a ukladaju sa v systemoch ktore povodne pracu s KK ani nepredpokladali). Postari musia byt zlata bana.
@oooo: Nuz hej, tu sa to tiez uz pouziva nejakych tych par mesiacov a postupne to zavadzaju na viacej kariet. Tie nove uz vydavaju len tak, ale co pocujem, tak s tym ludia maju len problemy, lebo castokrat im platba neprejde a potom sa snazia ist do banky a vymenit si kartu za tu obycajnu. System ako taky tu este asi poriadne nebezi a to situacii velmi nepomaha. Inak tie moje komentare ber len ako nejake doplnujuce info, alebo pohlad zpoza velkej mlaky. Prednaska aj slides sa mi pacili.
#ooo: excelentna prednaska. takmer si to cele povedal na jedno nadychnutie :-)… ak uvazime, ze sa jedna o technologie v spektre 50 rokov, nic ine ako bezpecnostne problemy cakat nemozno. chcelo by to urobit “velky skok”, riadeny direktivne napr. z urovne eu. jednoducho legislativou by sa osetrilo, ze poskytovatel bankovych sluzieb na uzemi eu odo dna SKOKU musi pouzivat bezpecnu technologiu. nevidim sice do tohoto sektora, ale neverim, ze by neexistoval aspon draft nejakej bezpecnej alternativy.
#natman
Myslim si, ze urcite existuje bezpecny draft. Jednak by to malo zamedzit pouzitiu platobnej karty v roznych situaciach s roznymi bezpecnostnymi prvkami (preco napr. mozete platit niekde napr. na internete len pomocou CC number + expiry date + CVC) a napr u obchodnika (POS, fyzicky) na to treba aj pin (t.j. k dispozici tie iste informacie + nieco navyse).
Co sa tyka samotneho draftu, ani si nemyslim, ze by to slo neak gradientovo (priebezne). Musela by to jednoznacnie (aj ked trocha volnejsie) nariadit, napr legislativa EU. Z mojho (amaterskeho) pohladu by sa dali platby elektronicke riesit napr. systemom typu tatrapay,sporopay a pod. Tieto systemy by samozrejme museli byt vyladene proti viac nasobnym re-submitom a podobnym hrackam. Bud by to bolo riesene na urovni bank, ale mozno lepsie by to bolo na urovni najvyssej, teda priamo visa/mastercard/amex a pod. Uz teraz som vsak videl neaky preview technology draft, v ktorom bola na karte (visa) integrovana (Bez zvacsenia hrubky) klavesnica, pravdepodobne to bolo nieco ako jednosmerny token generator (tu vsak mozu byt rozne prakticke problemy – napajanie,…)
@legoxx: aj k tomu sa raz dostanem, ale tato tema ma potencial stoviek hodin, nie jedinej. bol som rad, ze som stihol hento v ohranicenom case s odretymi usami. chystam sa o tom napisat, aj ked este neviem kedy a akou formou
@akira: ano, to je z mojho pohladu hodne velky a nechutny problem. s tym vsak moc nenarobime. cislo je ta najdolezitejsia vec, i ked sa o nemusi zdat. mat cislo znamena byt celkom blizko k peniazom
@TL: ja si velmi cenim, ze ma informujes. ak sa to nezda z mojich komentarov, ospravedlnujem sa za primarne ofenzivny postoj, mam to tak nejak vzite. kazdopadne, o niektorych veciach viem, chip sa na americkom kontinente siri len pozvolna a po udalostiach, ktore som sem pastoval ani nie je iste, ci sa mu podari nejak zasadne prerazit. ta technologia ma primarne zlu logiku a spolieha na to, ze sa neda zneuzit, co je vlastne uplna hlupost.
@natman: keby prisla taka direktiva, tak to mozu kartove spolocnosti a vlastne vsetci ostatni zabalit. vydane su doslova miliardy kariet a akakolvek zmena je velmi, velmi pomala zalezitost. vysledkom by bolo, ze by jednoducho museli opustit trh, pretoze by neboli spolocnosti schopne sa takejto zmene prisposobit. system je neskutocne komplexny, len pri vydavani kariet hraju rolu 4 rozne spolocnosti, pri jej verifikacii dalsie tri, spracovanie dalsie tri, atd. vysledkom by bolo, ze by museli vsetci nasadit system, ktory by sa musel nanovo vymysliet a zrazu by sa prislo na to, ze je to opat obiditelne a bolo by to tam kde je to dnes
@peki: ako som pisal uz natmanovi vyssie, toto mozne urobit nie je. napriklad napad platit len cez urcite systemy je sice pekna idea, ale tieto systemy su priamo napojene na ucty (btw su pekne derave). pre karty je tu napr. cardpay, co je rovnaky kram, ako vsetky ostatne. dovod je jednoduchy. banky vacsinou nemaju sancu spracovavat platby, preto tuto cast celu outsourcuju na spolocnosti ako firstdata. tieto spolocnosti potom kazdy den deleguju stovky milionov platieb po celom svete medzi bankami, obchodnikmi, spracovatelmi kariet, atd. ten proces je komplikovany a akykolvek zasah je beh maratonu.
ak sa aj raz zavedie karta s aktivnym tokenom, tak napajanie je ten najmensi problem. ludia to nevedia pouzivat, nechcu to pouzivat, zavadzia im to, zneprijemnuje im to jednoduchost pouzivania kariet. preto bude potrebne najst taky system, ktory na strane spracovatela bude zabranovat podvodom a nie na strane uzivatela. ten uz svoje urobil, jeho treba nechat na pokoji
Najskor pochvalim prednasku, je vynikajuca a profesionalna, je vidiet ze autor vie o com hovori. Aspon nieco dobre na dsl.sk, ze obcas daju nejaky dobry link ako napr na tuto stranku. :)
Ja len uvediem aky system pouzivam ja, mozno to niekomu pomoze. Mam v mBank 3 karty, len debetne samozrejme, nie som blazon. 1. karta je na vybery z bankomatov, 2. karta je na platby v obchode, 3. karta je na platby na nete, primarne cez PayPal. Vsetky limity su na minime a ostatne limity su na 0, cize napr kartou na vyber z bankomatu v obchode nezaplatim. Sumy su takisto na minime alebo na 0, pre prevod medzi uctami alebo zmenu limitov je potrebny SMS potvrdzovaci kod. Vetsia suma je len na uctoch bez kariet.
Co mi ale vadi, ze mBank teraz zacal vydavat k mKontu embosovane karty, ktore sa daju zneuzit, kedze vlastne vyuzivaju offline citacku, tam ziadny limit neexistuje, a jedine co staci je nahrat taku kartu napr mobilom v obchode, a potom uz len podat reklamaciu pri pripadnom zneuziti.
Inak som zvedavy ako sa budu riesit platby cez chip, tzv drobne platby napr za listok v autobuse a pod. Urcite to bude prakticke, ale velmi lahko zneuzitelne, aj ked pojde len o male sumy. :/
http://bins.bankinfo.sk/ niak nefunguje dal som tam cisla svojich kariet a nic
@ajan: ale funguje, len nesmies vypisovat 5, ale az 6 miest z karty. inak to nenajde. ostatne ti to pise aj chybova hlaska, ktoru si tam videl
Zdravim. Ani po odsledovani celej prednasky som nepochopil jednu vec. Mam debetnu kartu a pri vybere z bankomatu alebo pri platbe v kamennom obchode musim zadavat pin. V ktorej casti prednasky si hovoril o tom ako sa clovek dostane k tomuto pinu? Lebo bez neho nic nespravi, je to tak? Este pouzivam grid kartu. Diky za odpoved
@peto: nie je pravda, ze bez pinu nic nespravis. bez pinu spravis vela veci, lahko sa dostanes k peniazom, horsie sa uz dostavaju do vlsatnych ruk, ale da sa to celkom pohodlne. samotny PIN kod sa da ziskat vacsinou len pri MITM utokoch, alebo potom priamom utoku na databazu spracovatela kariet. Grid karta nema nic spolocne so samotnou kartou.
Dik za odpoved. Idem sa podla toho zariadit. Pre istotu….
paradna prezentacia…
kedysi si mal aj clanok starsi o tomto velmi ma to zaujalo vtedy ale nebolo to tam az takto “podrobne” vysvetlene
je to velmi zaujiamva tema a necakal som ze az takto “lahko” sa da dostat k peniazom z uctu
ale prave mna by zaujimalo co sa vlastne da s tymi peniazmi robit ked sa v podstate nedaju vybrat realne kedze tam hrozi velka sanca chytenia policiou…
respektive ako sa daju vybrat, urcite ako si pisal su niektore banky popripade sluzby ale napriklad z toho menovaneho egoldu ale aj z inych sluzieb ako ich dostanem
este raz fakt paradna prezentacia
mohlo by podonych byt viac :)
tie peniaze su proste v…zmiznu :-D pobavila som sa aj vela naucila a asi uz budem peniaze schovavat iba pod vankus… Fakt neexistuje poriadne zabezpecenie? Vsetky bankove spolocnosti sa totiz ohanaju, ake uzasne vypracovane a sofistikovane systemy pouzivaju proti podvodnym aktivitym s platobnymi kartami…A potom daj “zidovi” korunu :-)
Prave citam ze doslo v Povazskej Bystrici k Skimmingu. To je sila…
Ahoj
moc pekna prezentace!
Na strane 15 je “bran” asi jsi chtel napsat “brand”. Videl jsem behem cteni jeste jednu, ale tu ted nemuzu najit :(
Mik
prednaska bola super diky.
mam velkosklad a ked mi zakaznik zo zahranicia zaplati takouto kartou a vyjdu dva listky z pos terminalu, moze za tym stat hacker , ktory sposobi len vyjdenie listkov. pritom ziadna platba za 24 hodin nepride?
@slavo: spracovanie transakcii chvilku trva, vzdy zalezi od toho aka banka, aka krajina, atd. zahranicne platby vzdy prichadzaju neskor, ale viac informacii zistis v banke, od ktorej mas POS terminal. Je minimalna sanca, ze by niekto zneuzil priamo tvoj POS terminal, skor sa stane, ze pouzije cudziu kartu a od teba bude neskor jej skutocny majitel ziadat refundaciu.
Ak niekto zaplatí s cudzou kartou a je zadaný správny PIN, tak sa takáto transakcia berie ako autorizovaná a žiadná reklamácia o tom, že majiteľ karty nič neplatil neobstojí. Iné to je už bez vyžiadania PIN, ale to je na obchodníkovi aby si overil, či je to skutočne ten majiteľ karty.
Ten “velký krok” k zabezpečení je připraven už dávno, jen na něj ještě nejsou patřičně zmasírovaní ovčani, aby si nechali dávat čipy pod kůži.