Slo-Tech - Spletni vmesniki za dostop do elektronske pošte, družabnih omrežij in podobno nas že sedaj dodatno povprašajo o identiteti, če zaznajo prijavo z IP-naslova, ki pripada geografsko zelo oddaljeni lokaciji od sicer za nas običajne. Ker so zlorabe plačilnih kartic enako problematične, bi lahko nekaj podobnega storili tudi tu, je ugotovil ameriški operater AT&T.
Nekatere banke oziroma kartični centri že sedaj ob uporabi kartice v oddaljeni državi pokličejo in vprašajo, ali smo res tam. Druge gredo celo tako daleč, da transakcijo preventivno zavrnejo. Slednji problem je zlasti pogost v ZDA, kjer so plačilne kartice še vedno brez čipov, kar pomeni, da je zloraba res zelo enostavna - potrebujemo le magnetni zapis. Da bi ublažili prepad med varnostjo in enostavnostjo uporabe, AT&T predlaga uporabo podatka o lokaciji telefona. Problem je namreč to, da je med 50 in 80 odstotki zavrnjenih transakcij legitimnih.
Še letos poleti bodo začeli preizkusni program. Imetniki kartic, ki se bodo vanj prijavili, bodo deležni dodatnega varovanja. Ob vsaki transakciji izven države bo AT&T preveril, v katerem omrežju je prijavljen telefon imetnika kartice. Če je kartica uporabljena v isti državi, bo transakcija uspela, sicer pa ne. Podobno je že februarja napovedal tudi Mastercard v sodelovanju s podjetjem Syniverse; povprečna zakasnitev transakcije znaša 300 milisekund.
Sliši se precej uporabno, čeprav vzbuja slabe občutke zaradi možnosti sledenja. A po drugi strani - ob uporabi kreditne kartice v tujini se moramo tako ali tako zavedati, da puščamo zelo jasno in enostavno določljivo sled o svoji lokaciji. Poleg tega pa NSA tako ali tako že sledi lokaciji telefonov.
Vseeno pa je treba na tem mestu poudariti, da je evropski bančni sistem za potrošnike svetlobna leta pred ameriškim. Pri tem ne gre le za kartice s čipi, ki so tu že standard, v ZDA pa obvezno prihajajo šele oktobra prihodnje leto. V Evropi je elektronsko bančništvo nekaj običajnega, v ZDA še vedno sodi med nadstandardne storitve. Nakazila po Evropi so hitra in poceni, v ZDA se še vedno ukvarjajo s čeki ter ročnim vodenjem čekov in stanja, česar evropski potrošnik že nekaj let ne počne več.
v ZDA se še vedno ukvarjajo s čeki ter ročnim vodenjem čekov in stanja, česar evropski potrošnik že nekaj let ne počne več.
Ni vse tako primitivno :) Skoraj vsaka spodobna banka ima online "pisanje" čekov. Če je možno je denar dostavljen elektronsko sicer pa prejemnik dobi ček po pošti. Pri marsikateri banki lahko ček poslikaš s telefonom in denar je na računu v par urah...
Meni je včasih precej tečno, k naredim več kot dve mikro transakcije, pa me že kličejo iz banke (ali pa iz nekega transakcijskega centra). Enkrat je nekdo imel tako avtoritativen glas, da sem bil prepričan, da me nečesa obtožuje.
Mene pa zanima kako lahko en Mastercard pridobi od Mobitela (recimo za primer) podatke kje se nahaja moj telefon? Mislim ali imajo pri Mobitelu kar obrazce in lahko vsak, ki ima preveč časa pride do teh podatkov? Bi si mislil, da te podatke nebi smeli kar oglaševati naokoli? Kaj potem preprečuje recimo Merkatorju ali pa komurkuli drugemu, da ne izvaja takšnih poizvedb? Recimo vlomilcem ali komu podobnemu...
Never trust a computer you can't throw out a window
Mene pa zanima kako lahko en Mastercard pridobi od Mobitela (recimo za primer) podatke kje se nahaja moj telefon? Mislim ali imajo pri Mobitelu kar obrazce in lahko vsak, ki ima preveč časa pride do teh podatkov? Bi si mislil, da te podatke nebi smeli kar oglaševati naokoli? Kaj potem preprečuje recimo Merkatorju ali pa komurkuli drugemu, da ne izvaja takšnih poizvedb? Recimo vlomilcem ali komu podobnemu...
Se pravi raje reskiraš da ti nekdo ukrade denar s kartice ali raje omogočiš njim da vejo kje si. Pomisli malo, oni že itak vejo kje si ker tam kupuješ s kartico.
Slednji problem je zlasti pogost v ZDA, kjer so plačilne kartice še vedno brez čipov, kar pomeni, da je zloraba res zelo enostavna...
A niso ravn pri MythBusters in še več člankih ugotovili, da je kartico s čipom veliko lažje ponarediti, kot pa je bilo prej? Sedaj je dovolj, da ti kartico poskenirajo, kar je dovolj, da se dotaknejo tvoje denarnice, prej pa so jo morali imeti v roki, da so lahko prekopirali magnetni zapis. Zgodba z MythBusters se je končala tako, da so jih poklical iz Mastercarda in zagrozil, da če to objavijo na TV, da bodo poskrbeli, da ne bodo dobili nobenega sponzorja za oddajo, oni pa živijo samo od tega denarja. Da slučajno nebi kdo podvomil v njihovo moč, če ti izklopijo kartico, imamo še k sreči banke in gotovino.
Pri Mythbusters so se ukvarjali s kreditnimi karticami, ki imajo RFID čipe. Radio-frequency identification (RFID) kartice se pri nas uporabljajo za mestne avtobuse, smučarske karte in podobne zadeve, kjer ni potrebna vrhunska varnost. Kartico samo približaš čitalcu in že komunicira s čipom. Iz tega razloga se vsebino seveda da prebrati tudi s posebnimi ročnimi čitalci na daljavo. Takole izgleda to v praksi:
Vidiš, da kartica nima tistih zlatih konektorjev, ki jih imajo naše bančne kartice in deluje na daljavo.
S tistimi karticami, pri katerih pa se na površini vidijo tisti zlati konektorji pa ne moreš komunicirati drugače kot da jih fizično vtakneš v bralnik da se bralnik dotakne tistih konektorjev. Taka je večina bančnih kartic, pa kartice za mobitele in zdravstvene kartice so tudi take.
Takšne brezžične čitalce kartic je že opaziti v Intersparu. Ko sem prodajalko vprašal, če je že kdo kdaj plačal kaj brezžično je najprej debelo pogledala mene, nato čitalec, nato pa se je čudila nad payWave/payPass logotipom. Zlikovec bi jim lahko montiral nov terminal in ne bi ničesar posumili...
Mesec dni po tem, ko sem prišel iz Amerike, je nekdo na Floridi nekaj kupil z mojo kreditno, ki sem jo imel seveda pri sebi v Sloveniji. Banka je transakcijo preventivno zavrnila, če je ne bi, bi bil brez 800€ (oz. bi se načakal in napisal nekih papirjev, pa vprašanje koliko bi dobil nazaj). Če bi povezali še z lokacijo, bi bilo pa že v osnovi zavrnjeno. Čisto ok rešitev...
Slednji problem je zlasti pogost v ZDA, kjer so plačilne kartice še vedno brez čipov, kar pomeni, da je zloraba res zelo enostavna...
A niso ravn pri MythBusters in še več člankih ugotovili, da je kartico s čipom veliko lažje ponarediti, kot pa je bilo prej? Sedaj je dovolj, da ti kartico poskenirajo, kar je dovolj, da se dotaknejo tvoje denarnice, prej pa so jo morali imeti v roki, da so lahko prekopirali magnetni zapis. Zgodba z MythBusters se je končala tako, da so jih poklical iz Mastercarda in zagrozil, da če to objavijo na TV, da bodo poskrbeli, da ne bodo dobili nobenega sponzorja za oddajo, oni pa živijo samo od tega denarja. Da slučajno nebi kdo podvomil v njihovo moč, če ti izklopijo kartico, imamo še k sreči banke in gotovino.
Ce ni videa, ljudje ne bodo verjeli in kljub videu eni ljudje se zemraj ZANIKAJO REALNOST!!!!!
(\__/) This is Bunny. Copy and paste bunny
(='.'=) into your signature to help him gain
(")_(") world domination.
Zanimivo da nimajo kaksne two-factor avtentikacije v smislu kreditne kartice + telefon. Ko prodajalec swipe-ne kartico preko terminala bi se ti na telefonu pokazal popup Visa/MasterCard aplikacije kjer pise kje in kaj kupujes, ti pa imas moznost potrditi ali zavrniti placilo.
Pac terminal pri prodajalcu je potrebno jemati kot ne-varnega in urediti se dodatno avtentikacijo.
Mene je v ameriki recimo najbolj strah za kreditno kartico ... Jz vam povem, da v 3/4 primerih prodajalci SPLOH ne zahtevajo ID-ja (Podpis je dovolj, pa še to ne elektronski) ... Tudi za nakupe nad 500$. Na drugi strani, pa nekateri žnarajo za ID tudi za debetne kartice (logika? Če vem PIN - NE ŽNARI).
Poleg tega, me še nikoli niso klicali z banke, (NLB) tudi ko sem s kraditno opravil nakup v vrednosti ~1k€.
"Everybody is a genius. But if you judge a fish by its ability to climb a tree
it will live its whole life believing that it is stupid."
-Albert Einstein
Če dosti kupuješ preko neta te lahko kar hitro zagnjavijo. Meni so ko sem dve neuspešni transakciji izvedel pa potem eno uspešno na kitajsko, prec nasledni dan klicali iz bankarta. Ko so mi pa zlorabili kartico so pa tut prec, sploh k so vidli da večinoma je bilo samo paypal nakazilo potem pa kr ena tretja transakcija uspešna ter neuspešna. Oboje je bilo iz Amerike.
Zanimivo da nimajo kaksne two-factor avtentikacije v smislu kreditne kartice + telefon. Ko prodajalec swipe-ne kartico preko terminala bi se ti na telefonu pokazal popup Visa/MasterCard aplikacije kjer pise kje in kaj kupujes, ti pa imas moznost potrditi ali zavrniti placilo.
No... hypo pošlje sms. Res da ni avtentikacija... ampak če ti nisi kartice uporabil lahko transakcijo pač prekličeš. Piše pa točno to, kje in kaj (pa kolko, pa zadnje 4 cifre kartice - se mi zdi).
