Poglej enojno objavo
  #8  
Staro 07.06.2011, 07:02
nagy Uporabnik nagy ni prijavljen
Novinec
Član od: May 2011
Sporočila: 10
Privzeto Re: Nove bančne zlorabe.

Pozdravljeni AlbertIUM,

da razčistimo- ne delam v banki, delal sem v procesnem centru, sedaj pa za uvoznika bankomatov. Prav tako ne hvalim tehnoloških rešitev, ker bi lahko bile boljše, ampak glede na raven varnosti so ustrezne. Žal je tako, da banke (ok, da ne bom nepravičen, za eno lahko to zatrdim, za druge zgolj špekuliram) uveljavljajo višje stopnje varnosti v smislu PCI standardov le takrat, ko se približujejo skrajni roki, ob poteku katerih se liability shift nagne k njim, kar pomeni plačevanje penalov na vsako transakcijo. Pa še takrat se jim občasno bolj splača podpisati liability waiver (od MasterCarda ali Vise, recimo), ker imajo še zmeraj več dobička od transakcij, da jim ostane lep kup denarja. Vem iz prve roke.

Okoli skimminga pa ti sam v enem stavku povem, da mešaš hruške in jabolke. Oziroma naše (domestic) in tuje (foreign) kartice iz tujine (ok, čeprav imamo ON-US in OFF-US tudi v internem slovenskem prometu, pač odvisno od tega, ali si issuer in acquirer ali samo acquirer). Če ima neka X kartica samo magnetni zapis, potem je skimming možen. Če pa ti nekdo "sune" PIN, potem ti mora ukrasti še kartico. Je to možno? Šure. Ampak o tem ne teče beseda, kajne da ne?

Če bankomat nima omogočenega fallbacka, torej branja magnetne steze v primeru okvare čipa, potem skimminga ne more biti. In čipa se ne da skopirati, vkolikor mi lahko dokažeš drugače, ti zrihtam vso potrebno opremo, torej čitalec komunikacije med čipom in terminalom oziroma bankomatom, pa mi ti pokaži. S tem se namreč delajo Visa in MasterCard EMV certifikacije, ker se spremlja pogovor med kartico in terminalom. V specifike rešitev kriptiranja podatkov na čipu se ne nameravam spučati, ker so to poslovne skrivnosti. In Youtube postopke si lahko ogledaš še parkrat, vkolikor misliš, da gre tako enostavno. Ti prilimam en tak pogovor, pa mi poveš, kaj boš naredil z njim? Natanko nič, ker so gor samo podatki, ki ti neposredno ne koristijo. Ne, ne vidiš PIN-a v čisti obliki.

Če pa govoriš o skimmingu tujih, ne-EMV kartic, pa to ni stvar te diskusije, ker tu teče debata v smeri EMV in PCI standardov, ki zahteva uporabo čipa, online PIN-a (v skrajni sili tudi offline PIN-a) in tako dalje.

Tudi okoli kamer na bankomatih je tako, da so jih banke dolžne priskrbeti in one škrtarijo. So konkretni premiki v tej smeri, saj se bankomati opremljajo z njim (naši in tudi drugi). Vem iz prve roke.

Drugo vprašanje pa je, ali ti takšna slika romuna kaj pomaga. Okoli tega imaš pa dovolj člankov na internetu. Morda misliš, da boš videl soseda, kako ti bo sunil 300€ iz kartice?

Kako pa ljudje ravnajo s karticami in PIN-i pa ne bi izgubljal besed. Še dobro da obstajajo standardi za generiranje PIN-ov, saj 1234 ali 4321 niso ravno varni, tako da jih že ob generiranju izločijo iz procesa. Tudi ob menjavi PIN-a se (če seveda procesni center to podpira) unsafe PIN-i zavrnejo.

Da ne bo kakšne pomote, nimam kakšne hude želje opravičevati bank pri svojem početju, ker so predatorji. Ampak če mislite, da so zgolj banke krive, da se dogajajo zlorabe, pa se hudo motite. Če nekdo s skimmingom pobere iz računa komitenta, ki je doma nevem, v Skandinaviji, ker tam pač nimajo čip kartic, potem to oškoduje banko, oziroma zavarovalnico. V večini primerov pa višanje nivoja varnosti kartičnega plačevanja nosijo komitenti, ker se s tem opravičuje dvig cen bančnih storitev (se spomnite dviga uporabnine NLB Klika?)

lp

PS: AlbertIUS, vkolikor ne misliteuporabljati manj obdolžujočega tona, se na vaše pisanje ne nameravam več odzivati. Napisal sem tehnična dejstva, ki do določene mere delujejo v realnem svetu. Nekih buč pa mi prosim ne prodajajte. Če bi začel govoriti, kako potegajo stvari v kakšni Afriški državi ali pa kar konkretno v Ameriki, pa kakšni sistemi se ob tem uporabljajo, pa kakšne poslovne prakse, potem bi morda videli kontrast med nami in njimi. Ampak v to smer pa ne grem, navsezadnje nisem na zatožni klopi, samo obrazložiti sem želel, da verižni email nima nobenih konkretnih dejstev v sebi.

Morda pa je AlbertIUS vseeno vpisal PIN v napačni smeri, pa je prišla policija

EDIT: pod tušem sem se spomnil, da sem pozabil dopisati dva stavka

Nazadnje uredil nagy : 07.06.2011 ob 07:47.