credit cards

[rax666]

Jak dziala karta kredytowa?


moje rozumienie:
karta ma zapisany jakis id
do id przypisane jest haslo

zeby przelac kase musisz wyslac do banku id, haslo, nr rachunku odbiorcy i kwote.

zakup z uzyciem karty:
skanujesz karte w maszynie i wpisujesz pin. Sklep sam okresla nr rachunku i kwote, wysyla zadanie do banku i czeka na potwioerdzenie. Jesli wszystko ok - puszczaja cie, jesli nie - ochrona bierze na przesluchanie.

Nigdy z karty nie kozystalem, ale widze ze wiele ludzi nie dzieli moich pogladow.
Najpierw wreczam sprzedawcy id + haslo na zlotej tacy, oni potem wysylaja to do innej firmy zajmujacej sie kartami albo odrazu do banku. Moga sprawdzic ile mam na koncie, i jesli sie okaze ze 10 milionow, przelac to na dowolne konto na kajmanach albo spieniezyc w taki czy inny sposob.

Dlaczego platnasc karta jest tak popularna?
Czy ominalem jakis punkt?
Czy to jest bezpieczne? Czy na zasadzie 'masz tu moj login i haslo zaloguj sie na moje konto, przelej ile potrzebujesz i sie ciesz bo te dane zostana w mojej bazie na bardzo dlugo'.


Jesli jednak mam racje, i ludzie maja to gdzies, to hmm.... ile kosztuje najtansze uzadzenie do zapisywania czystych kart? Ile z takiego biznesu mozna wyciagnac, wykonujac nocne wypady do bankomatow w innej dzielncy w kominiarce?

[TQM]

Ominales bardzo wiele...

Karta to cos co masz, PIN to cos co wiesz. Kiedys w ogole tego nie bylo, byla karta i podpis na kwitku, teraz jest "chip & pin" i to jest najpewniejsze rozwiazanie z wielu wzgledow.

Bez zaglebiania sie w detale techniczne (nie znam ich na tyle aby nie walnac wielkiej gafy gdzies albo nie napisac totalnych bzdur)...
Chip potrafi wykonywac operacje crypto, dziala to w pewnym sensie jak PKI, wiec terminal zna kwote i konto docelowe, karta ma uklad ktory umozliwia autoryzacje transakcji (czyli jesli karta nie trafi do czytnika to nie wiadomo z ktorego konta kasa ma zostac przelana). Karta laduje w czytniku, terminal podaje jej dane - jaka kwota na jakie konto... uklad na karcie dodaje do tego informacje od siebie - z jakiego konta (czyja to karta) i pyta o PIN ktory odblokowuje mechanizm crypto. Jesli wszystko sie zgadza uklad na karcie odpowiada do terminala "pin ok, podpisalem cyfrowo transakcje, przekaz to dalej do banku" i taka informacja trafia do banku. Ten moze zweryfikowac podpis transakcji i jesli wszystko sie zgadza to ksieguje transakcje.

Jesli karta zostaje skradziona to bank ja blokuje - poprzez zablokowanie numeru karty i uniewaznienie klucza przypisanego do chipu. Wtedy wszelkie transakcje podpisane tym kluczem sa automatycznie uniewazniane...
Gdy terminal przesyla dane do banku, ten od razu weryfikuje podpis. Jesli podpis jest uniewazniony bo karta byla anulowana, odsyla informacje do terminala a ten informuje sprzedawce ze transakcje odrzucono i po zakupach. Podobnie jest gdy na koncie nie ma wystarczajacych srodkow do dokonania transakcji. W przypadku bankomatow odbywa sie to teraz dokladnie tak samo - bankomaty sa on-line 24/7/365 i jesli nie moga polaczyc sie z bankiem nie wyplaca gotowki.

Jak widzisz nie jest to takie proste :-) bo poziom zastosowanej kryptografii jest dosc wysoki i uwierz mi, ze banki wydaja sporo kasy aby takie numery nie przechodzily tak latwo... a jesli nawet komus sie uda to wydadza jeszcze wiecej kasy aby taka osobe zlapac, bo dla nich to sprawa prestizu i dobrego imienia.

Kominiarka tak - na zime... ale nie do bankomatu :P

[rax666]

ok ale ja jestem w polsce i tu nie ma crypto
zwykle paski magnetyczne


i jak wyglada sprawa via internet? trzeba zawsze podac numer karty i haslo, nie?
i o to wlasnie mi chodzi, bo ukrasc karte to nie sztuka.

[TQM]

Masz numer karty i kod CVV, do tego nazwisko, adres na ktory jest karta zarejestrowana i jej data waznosci i to wystarcza do dokonania platnosci on-line.

Od pewnego czasu Visa wprowadzila nowy system autoryzacji on-line ktory doklada dodatkowy krok - pytaja o 3 litery z hasla (minimum 8 znakow). To haslo zna tylko Visa, nawet bank nie wie co to jest. Bez tego platnosci nie ma.

[Cwenu]

Visa wprowadziła dodatkowe hasło (visa verified) chociaz czytałem, że udało się to już komuś ominąć.

A co do kradniecia kart kredytowych to ok, jakieś dużej trudności też nie widze tym bardziej, że można wybierać najsłabsze ofiary wieszkosc osob karty posiada.
Większy problem jest z ich użyciem, po pierwsze, że zaraz po zorientowaniu się ze karta znikneła ktoś ją zablokuje, oczywiście można kraść używając keylogga lecz jest też druga sprawa musiał byś założyć jakiś własny sklep żeby w nim kupować, bo zrobienie zakupów w innym sklepie na swój adres nie będzie zbyt mądre.

[rax666]

zalozmy CZYSTO TEORETYCZNIE taka sytuacje:
jest firma X zajmujaca sie grami mmo, zarejestrowana w niemczech. Ich zrodlem dochodu jest platne konto w pewnej grze, umozliwiaja platnosc karta. Jest tez mozliwosc subskrypcji, oni co miesiac bez twojej ingerencji beda kosic kase i automatycznie utrzymywac platne konto.
Ja mam pelny dostep do danych kart klientow ktorzy sie tam zapisali. Jest tam ponad 120k klientow, z roznych krajow (brazylia, usa, europa, azja).
Co moge teraz zrobic? Moge to wrzucic na plastik i isc na zakupy? Moge zrobic zakupy przez net? Nie interesuje mnie konto w tej grze.
Oczywiscie czysto teoretycznie rozwazamy sytuacje :]
OSWIADCZAM ZE NIE POSIADAM DOSTEPU DO TAKICH DANYCH, POST NIE MA ZADNEGO ODZWIERCIEDLENIA W RZECZYWISCOSCI.

[TQM]

Na pasek magnetyczny tego nie zgrasz bo nie masz kompletu danych ktorych bys potrzebowal. To ze platnosc mozna wykonac ponownie jest zapisane gdzies w banku, ze zezwalasz tej firmie na pobieranie oplat w takiej i takiej wysokosci.

Banki wprowadzily poleceniza zaplaty - mozesz w ten sposob placic za komorke, itd. Jesli podpisujesz takie cos to bank dostaje pozwolenie na wyplacenie pieniedzy na kwote o ktora upomni sie firma telekomunikacyjna. Faktura idzie do Ciebie ale po pieniadze ida prosto do Twojego banku. Taki papier to odpowiednik cyklicznych subskrypcji na kartach platniczych, tylko ze wydanie zezwolenia odbywa sie minimalnie inaczej (bez papieru).

Dane karty sa na pewno gdzies przechowywane ale jesli firma nie jest na prawde duuuuza to nie bedzie tego robic sama, tylko bedzie uzywac zewnetrznych dostawcow do wykonywania tych transakcji i to oni trzymaja dane karty, nie firma w ktorej Ty kupujesz.

[rax666]

aha, czyli musze pierw dogadac sie z bankiem (w taki czy inny sposob) i upowaznic ich do regularnych wyplat na cudze konto.

ale dalej, przeciez nie upowazniam sklepu Auchan jak ide na zakupy a moga wziac kase.

[TQM]

Do regularnych tak, tzn informujesz bank ze masz umowe z taka firma i ze firma bedzie sie zglaszac do banku po kase.

Co do Auchan'a - jak placisz w kasie karta to albo podpisujesz kwitek albo podajesz pin. To jest wystarczajace upowaznienie.

[rax666]

Co do Auchan'a - jak placisz w kasie karta to albo podpisujesz kwitek albo podajesz pin.

ale nie mam wplywu na to ile kasy zedra z konta
i nic nie stoi na przeszkodzie zapisania id karty i hasla. A przeciez takich przypadkow bylo juz duzo.