Visan tunnusluku tuli muttei korttia ??

kiitos :)

alottaja kirjoitti:

kiitos :)

on turvallisuussyyt, yleensä vielä on muutama päivä väliäkin etteivät tule ihan peräkkäisinä päivinä.

PIN koodit osataan laskea korttinumeron perusteella. MasterCard, Visa, Diners / Discover, Amex. Vaadi pankkia tutkimaan asiaa, tee rikosilmoitus niin on pakko oikeasti tehdä jotain. Mafialla on tämä tietotaito hankittu mafiamaisin konstein.
Krakkerit vohkineet korttitiedot jossain lentoyhtiön / varauspalvelun koneilta
ja tehneet kopiokortit.

Freola9 kirjoitti:

PIN koodit osataan laskea korttinumeron perusteella. MasterCard, Visa, Diners / Discover, Amex. Vaadi pankkia tutkimaan asiaa, tee rikosilmoitus niin on pakko oikeasti tehdä jotain. Mafialla on tämä tietotaito hankittu mafiamaisin konstein.
Krakkerit vohkineet korttitiedot jossain lentoyhtiön / varauspalvelun koneilta
ja tehneet kopiokortit.

Lue lisää

Ihmettelin itse vuosia sitten, että miten ihmeessä tieto ei ole vuotanut. Mutta onko se nyt siis virallisesti vuotanut? Eli menetelmä jolla PIN koodi saadaan kaivettua kortilta.

Olettaisin että yksi tapa tämän hoitamiseen on tarkistuksen hoitavan blackboxin haaliminen ja tarvittava modifiointi. On voitu varmasti yrittää tehdä vaikeaksi, mutta tuskin se mahdotonta on jos on ammattilaiset asialla.

Mutta ei toi ihan joka kaverilta onnistu. Tietysti jos on oikeasti mafia asialla, niin sitten on sekä osaamista, että resursseja. Monesti olenkin ihmetellyt esim sellaisen rikollisuuden puuttumista johon tarvitaan pitkällinen tuotekehitys.

Ihmettelin itsekkin... kirjoitti:

Ihmettelin itse vuosia sitten, että miten ihmeessä tieto ei ole vuotanut. Mutta onko se nyt siis virallisesti vuotanut? Eli menetelmä jolla PIN koodi saadaan kaivettua kortilta.

Olettaisin että yksi tapa tämän hoitamiseen on tarkistuksen hoitavan blackboxin haaliminen ja tarvittava modifiointi. On voitu varmasti yrittää tehdä vaikeaksi, mutta tuskin se mahdotonta on jos on ammattilaiset asialla.

Mutta ei toi ihan joka kaverilta onnistu. Tietysti jos on oikeasti mafia asialla, niin sitten on sekä osaamista, että resursseja. Monesti olenkin ihmetellyt esim sellaisen rikollisuuden puuttumista johon tarvitaan pitkällinen tuotekehitys.

Lue lisää

"Ihmettelin itse vuosia sitten, että miten ihmeessä tieto ei ole vuotanut. Mutta onko se nyt siis virallisesti vuotanut? Eli menetelmä jolla PIN koodi saadaan kaivettua kortilta.
Olettaisin että yksi tapa tämän hoitamiseen on tarkistuksen hoitavan blackboxin haaliminen ja tarvittava modifiointi. On voitu varmasti yrittää tehdä vaikeaksi, mutta tuskin se mahdotonta on jos on ammattilaiset asialla.
Mutta ei toi ihan joka kaverilta onnistu. Tietysti jos on oikeasti mafia asialla, niin sitten on sekä osaamista, että resursseja. Monesti olenkin ihmetellyt esim sellaisen rikollisuuden puuttumista johon tarvitaan pitkällinen tuotekehitys."


Aivan, onhan tämä aikapäivät sitten vuotanut mutta mitään virallista tietoa ei tietenkään koskaan kerrota julki. Loppuisi välittömästi tavisten korttikäyttö
sekä alkaisivat mankua mukamas oikeudessa allekirjoittaa kuitti.

Miksi luottokorttifirmoilla on kiire EMV kantaan, on
koko luottokorttien perusolemuksen muuttaminen, käsite ' kortin numero' tullaan häivyttämään vähitellen, ensin pistoitus poistetaan mitä on tapahtunut
ulkomaisille korteille sekä käsite 'Electronic use only" Visa / MasterCard sarjan
korteille joita jotkut pässipää suomikaupat naputtelee maksupäätteille itsepintaisesti.

Visa sekä osin MasterCard puolella ulkomaisilla korteilla on "EMV Only & PIN only" päällä sekä MG raita vain banaanivaltioiden ATM käyttöä varten kuten USA.
Esimerkkinä Visa V-Pay, Mastercardilla tämä osin Maestro korteilla osin ihan MasterCard sarjan korteilla MasterCard Electronic ja muilla MC brändeillä.

Itsekkin olen nähnyt VISA PIN kuvauksen vaeltamassa verkossa, testannut en ole mutta aivan varmasti C /C sorsakirjasto jossakin löytyy joka toimii vähintään
osallla korteissa. Ainakin DinersClub:illa on useampia versioita PIN avaimessa
jotka eivät täysin toimi ristiin alueiden välillä, tämä Case tosin Suomalainen kortti
Ranskassa mutta en ollut paikanpäällä muuta en tiedä kuin kuulin jutun että ei
hyväksynyt PIN koodia (MGPIN). EMV kyllä hoitaa PIN ongelmat kun tarkistus
tavalla tai toisella tapahtuu sirulla, tosin EMV 'juuriavaimiakin' on Visalla 3 - 6 KPL
jotka menee mantereiden mukaan. Silti korttien pitäisi toimia ristiin paremmin kuin aiemmin. Tulevaisuuden korttikäyttö on certificaateilla pelaamista.

Esimerkkejä Visa Europelta, MasterCardilta löytyy vastaavat millaista on tulevaisuuden verkkokauppa maksukorteilla.


http://www.visaeurope.com/aboutvisa/products/dynamicpasscode.jsp

Freola9 kirjoitti:

PIN koodit osataan laskea korttinumeron perusteella. MasterCard, Visa, Diners / Discover, Amex. Vaadi pankkia tutkimaan asiaa, tee rikosilmoitus niin on pakko oikeasti tehdä jotain. Mafialla on tämä tietotaito hankittu mafiamaisin konstein.
Krakkerit vohkineet korttitiedot jossain lentoyhtiön / varauspalvelun koneilta
ja tehneet kopiokortit.

Lue lisää

Olen pyytänyt pankilta selvittämään miten tunnusluvut ovat vuotaneet ulkopuolisille. Olen tehnyt täysin selväksi, että tunnusluvut eivät ole lähteneet minulta. Seuraavassa pankin vastaukset:

"Tunnusluvut ovat voineet joutua varkaan käsiin ainoastaan siten, että ne on säilytetty korttien kanssa varastetussa lompakossa tunnistettavassa muodossa."
"Tässä tapauksessa, kortteja ja tunnuslukuja on säilytetty Nordea Pankin korttiehtojen vastaisesti yhdessä, ei valitettavasti ole mitään tehtävissä."

Mitäpä tässä on enää pankin kanssa tehtävissä. Lisäksi pankki ilmoitaa, että asian käsittely on lopettu.

Varastettu kirjoitti:

Olen pyytänyt pankilta selvittämään miten tunnusluvut ovat vuotaneet ulkopuolisille. Olen tehnyt täysin selväksi, että tunnusluvut eivät ole lähteneet minulta. Seuraavassa pankin vastaukset:

"Tunnusluvut ovat voineet joutua varkaan käsiin ainoastaan siten, että ne on säilytetty korttien kanssa varastetussa lompakossa tunnistettavassa muodossa."
"Tässä tapauksessa, kortteja ja tunnuslukuja on säilytetty Nordea Pankin korttiehtojen vastaisesti yhdessä, ei valitettavasti ole mitään tehtävissä."

Mitäpä tässä on enää pankin kanssa tehtävissä. Lisäksi pankki ilmoitaa, että asian käsittely on lopettu.

Lue lisää

"Olen tehnyt täysin selväksi, että tunnusluvut eivät ole lähteneet minulta."

jos sitenkin, joku on nähnyt lukusi kun näpytät ja sitten varastaneet korttisi,
taitavat näkevät sen hyvin helposti, vaikka hieman peitteletkin.

uskoisin että näin on käynyt, kun kyseessä on varkaus,
kortin lukusysteemit eivät varasta korttia, ne saavat muutenkin riittävästi tietoa.

(juuri tuon, jos epäileekin varkautta, kannattaa olla useita kortteja matkoilla ja eri paikoissa, jota voi herkästi sulkea kortin, ettei tarvitse epäillä.

Freola9 kirjoitti:

PIN koodit osataan laskea korttinumeron perusteella. MasterCard, Visa, Diners / Discover, Amex. Vaadi pankkia tutkimaan asiaa, tee rikosilmoitus niin on pakko oikeasti tehdä jotain. Mafialla on tämä tietotaito hankittu mafiamaisin konstein.
Krakkerit vohkineet korttitiedot jossain lentoyhtiön / varauspalvelun koneilta
ja tehneet kopiokortit.

Lue lisää

Kun varkaus oli havaittu, suljin kortit välittömästi. Tein rikosilmoituksen Lontoon poliisille, joka halusi varastettujen nostojen tiedot. Kun mieheni oli pankissa pyytämässä, että Lontoon poliisille pitäisi saada varstettujen nostojen tiedot. Pankkissa sanottiin, pankilla on pankkisalaisuus ja tietoja ei voi antaa. Siihen kaatui rikollisten jäljittäminen.
Vasta sitten, kun pankilta tuli kuukauden reklamaatiotiedot, lähetin Suomen poliisin kautta varastetuista nostoista tiedot.

Varastettu kirjoitti:

Kun varkaus oli havaittu, suljin kortit välittömästi. Tein rikosilmoituksen Lontoon poliisille, joka halusi varastettujen nostojen tiedot. Kun mieheni oli pankissa pyytämässä, että Lontoon poliisille pitäisi saada varstettujen nostojen tiedot. Pankkissa sanottiin, pankilla on pankkisalaisuus ja tietoja ei voi antaa. Siihen kaatui rikollisten jäljittäminen.
Vasta sitten, kun pankilta tuli kuukauden reklamaatiotiedot, lähetin Suomen poliisin kautta varastetuista nostoista tiedot.

Lue lisää

Suomalaispankit kusessa ulkomaisten liigojen kanssa, eivät itsekkään tiedä
kaikkia tapoja joilla tietoja vohkitaan ja osin velvoittetaan kauppoja säilyttämään
korttinumeroita (TOSIN PCI kieltää tämän kohta täysin) osin Kuluttajavirasto
"kaupalla on korttitiedot, kuittia ei tarvita.....".

Itsepintainen poliisin käyttö, POLIISI saa murtaa PANKKISALAISUUDEN sekä tutkia
maksupäätteet yhdessä valmistajan kanssa. Itsekkin tiedän aiheuttaneeni
suurille Pankeille (Nordea & Sampo Pankki kamalat ajojahdit kuka näitä tietoja
vuotaa). Pankkien tapahtuma-aineisto on hyvin kiintoisaa luettavaa minkä vuoksi
pankit eivät halua siitä kertoa mitään. Visa / MasterCard velvoittaa pankit tekemään asioita joissa Tietosuojavaltuutettu ei todellakaan pitäisi sekä kieltäisi
jos tietäisi mitä pankkien ohjelmat puuhaa maksuverkoissa.

Jahka itäeurooppalaiset tyhjentelee Siwojen & Valintatalojen kautta tarpeeksi
paljon ulkomaisia kortteja ketjulta joko loppuu korttien hyväksyntä täysin tai
ottavat PINPAD laitteet käyttöön, viellä ei ole ollut kiinostusta kuin
myymälähenkilökunnan vähentämiseen & hintanostoihin. Valvonta tuolla NOLLA,
nauhoja ei säilytetä jos niitä edes on sekä kassat täynnä rahaa minkävuoksi
ketjua ryöstellään jatkuvasti kun vartijoitakaan ei ole lähimaillakaan.

Freola9 kirjoitti:

PIN koodit osataan laskea korttinumeron perusteella. MasterCard, Visa, Diners / Discover, Amex. Vaadi pankkia tutkimaan asiaa, tee rikosilmoitus niin on pakko oikeasti tehdä jotain. Mafialla on tämä tietotaito hankittu mafiamaisin konstein.
Krakkerit vohkineet korttitiedot jossain lentoyhtiön / varauspalvelun koneilta
ja tehneet kopiokortit.

Lue lisää

kun sitä pyytää pankilta. Eli ei sen tarvitse olla kytköksissä kortin numeroon.

Riittää että sanoo että tarvitsee uuden pin-koodin korttiinsa. Kortin numero pysyy samana mutta pin-koodi muuttuu.

Tosin en ole kyllä kuullut aiemmin että kortin numero ja pin-koodi olisi jotenkin niin kytköksissä toisiinsa että kortin numeron perusteella voisi päätellä pin-koodin...mistähän tietosi mahtaa olla peräisin?

käsittääkseni muuttaa kirjoitti:

kun sitä pyytää pankilta. Eli ei sen tarvitse olla kytköksissä kortin numeroon.

Riittää että sanoo että tarvitsee uuden pin-koodin korttiinsa. Kortin numero pysyy samana mutta pin-koodi muuttuu.

Tosin en ole kyllä kuullut aiemmin että kortin numero ja pin-koodi olisi jotenkin niin kytköksissä toisiinsa että kortin numeron perusteella voisi päätellä pin-koodin...mistähän tietosi mahtaa olla peräisin?

Lue lisää

"kun sitä pyytää pankilta. Eli ei sen tarvitse olla kytköksissä kortin numeroon.
Riittää että sanoo että tarvitsee uuden pin-koodin korttiinsa. Kortin numero pysyy samana mutta pin-koodi muuttuu.
Tosin en ole kyllä kuullut aiemmin että kortin numero ja pin-koodi olisi jotenkin niin kytköksissä toisiinsa että kortin numeron perusteella voisi päätellä pin-koodin...mistähän tietosi mahtaa olla peräisin?"

Kyllä ja ei..... Vähän korttiohjelmassa riippuen voi olla 'vara PIN' joka paljastetaan
joissakin tilanteissa eli korttinumerossa voi olla useampia kelpaavia tunnuslukuja.
Tilanteessa jossa kortilla rötöstelty suljetaan koko kortti eikä luoda mitään.
Tilanteessa luodaan kokonaan uusi kortti sekä sille siiretään edellisen
kortin ostohistoriaprofiili kommentilla kuoleman kommelluksessa sekä uuden
kortin siirto aktiivitarkkailuun aluksi.


Jenkkilä on oma maailmansa ja siellä tosiaan voi tunnuslukuja vaihdella mutta
PIN tarkistus tuolla voi tapahtua korttiyhtiöiden palvelinpuolella eikä välttämättä
POS terminaalissa lainkaan. Mutta kuten totesit on useampaa tapaa tehdä asiat
eikä kaikki tiedä kaikkea. Jos tulee kriittisiä vuotoja suljetaan vuotanut kohta
hiljaisesti sekä korvataan se toisella tavalla. Kukaan alapäässä ei huomaa mitään, Gemalto / GI&DE / XPondCard huomaa tosin chippitilauksessa muutoksen
mutta eipä tonne ihan noin vain tallustella. Gemaltolle pääsee viikonloppuisinkin
rotanloukkuun mutta 3 Rotanloukkua on ohitettava vähintään että pääsee edes
'tilaan'.

Freola9 kirjoitti:

"kun sitä pyytää pankilta. Eli ei sen tarvitse olla kytköksissä kortin numeroon.
Riittää että sanoo että tarvitsee uuden pin-koodin korttiinsa. Kortin numero pysyy samana mutta pin-koodi muuttuu.
Tosin en ole kyllä kuullut aiemmin että kortin numero ja pin-koodi olisi jotenkin niin kytköksissä toisiinsa että kortin numeron perusteella voisi päätellä pin-koodin...mistähän tietosi mahtaa olla peräisin?"

Kyllä ja ei..... Vähän korttiohjelmassa riippuen voi olla 'vara PIN' joka paljastetaan
joissakin tilanteissa eli korttinumerossa voi olla useampia kelpaavia tunnuslukuja.
Tilanteessa jossa kortilla rötöstelty suljetaan koko kortti eikä luoda mitään.
Tilanteessa luodaan kokonaan uusi kortti sekä sille siiretään edellisen
kortin ostohistoriaprofiili kommentilla kuoleman kommelluksessa sekä uuden
kortin siirto aktiivitarkkailuun aluksi.


Jenkkilä on oma maailmansa ja siellä tosiaan voi tunnuslukuja vaihdella mutta
PIN tarkistus tuolla voi tapahtua korttiyhtiöiden palvelinpuolella eikä välttämättä
POS terminaalissa lainkaan. Mutta kuten totesit on useampaa tapaa tehdä asiat
eikä kaikki tiedä kaikkea. Jos tulee kriittisiä vuotoja suljetaan vuotanut kohta
hiljaisesti sekä korvataan se toisella tavalla. Kukaan alapäässä ei huomaa mitään, Gemalto / GI&DE / XPondCard huomaa tosin chippitilauksessa muutoksen
mutta eipä tonne ihan noin vain tallustella. Gemaltolle pääsee viikonloppuisinkin
rotanloukkuun mutta 3 Rotanloukkua on ohitettava vähintään että pääsee edes
'tilaan'.

Lue lisää

Asiaa sivuten kiintoisa löydös:

http://www.itviikko.fi/ratkaisut/2009/07/08/lentoyhtio-parantaa-asiakastietojen-suojausta/200915928/7
IT Viikko 08072009:
"
Lentoyhtiö parantaa asiakastietojen suojausta
Outi Järvinen/Lehtikuva
Lentoyhtiö parantaa asiakastietojen suojausta
EMC:n tietoturvahaara RSA toimittaa SAS:lle tietoturvaratkaisun luottamuksellisten asiakastietojen suojaamiseen lentoyhtiön laajassa it-ympäristössä.
Tuomas Linnake
8.7.2009 13:15
Kommentit 0

SAS prosessoi ja varastoi valtavan määrän arkaluontoista asiakastietoa liittyen henkilön tunnistetietoihin, matkustajalistoihin sekä maksu- ja yritystietoihin.

Hankittu RSA Data Loss Prevention on integroitu tietoturvaratkaisujen kokonaisuus, joka auttaa jäljittämään ja suojaamaan luottamuksellisen tiedon katoamiselta, tietovuodoilta ja väärinkäytöksiltä datakeskuksissa, verkossa ja työasemilla.

– Ratkaisun avulla pystymme tehokkaasti luotaamaan koko it-ympäristömme ja tunnistamaan haavoittuvan tiedon, määrittelemään sille riittävän suojaustason ja siten vähentämään katoamisriskiä, SAS-konsernin tietoturvajohtaja Göran Ostberg luottaa tiedotteessa. Hänen mukaansa haasteena oli määritellä mitkä tiedoista ovat arkaluontoisia ja turvata ne.

Tietoturvakonsultti Jon Estlander Suomen RSA:lta muistuttaa myös pienempiä yrityksiä tietosuojasta.

– Jokaisella yrityksellä tulisi olla edes karkean tason tietoturvaohjeistus, joka ohjaa työntekijöitä päivittäisessä tekemisessä.

Lisää Aiheesta
UutinenSisältö määrää kenellä siihen on pääsy (16.12.2008 09:19)
UutinenRSA:n tietosuoja kättelee Windows Serveriä (9.12.2008 11:55)
UutinenSAS lukee sormenjälkiä lentokentällä (30.1.2008 15:47)
"

Visa & MasterCard nettisivuilta löytää kiintoisia PDF kansioita jotka ovat olevinaan
huippusalaisia sekä ovat viellä https linkin päässä. Etsivät löytää näitä vaikka
osoitteet ovat joidenkin sisältöjärjestelmien sisällä mitään tunnuksia ei kysellä.

Freola9 kirjoitti:

"kun sitä pyytää pankilta. Eli ei sen tarvitse olla kytköksissä kortin numeroon.
Riittää että sanoo että tarvitsee uuden pin-koodin korttiinsa. Kortin numero pysyy samana mutta pin-koodi muuttuu.
Tosin en ole kyllä kuullut aiemmin että kortin numero ja pin-koodi olisi jotenkin niin kytköksissä toisiinsa että kortin numeron perusteella voisi päätellä pin-koodin...mistähän tietosi mahtaa olla peräisin?"

Kyllä ja ei..... Vähän korttiohjelmassa riippuen voi olla 'vara PIN' joka paljastetaan
joissakin tilanteissa eli korttinumerossa voi olla useampia kelpaavia tunnuslukuja.
Tilanteessa jossa kortilla rötöstelty suljetaan koko kortti eikä luoda mitään.
Tilanteessa luodaan kokonaan uusi kortti sekä sille siiretään edellisen
kortin ostohistoriaprofiili kommentilla kuoleman kommelluksessa sekä uuden
kortin siirto aktiivitarkkailuun aluksi.


Jenkkilä on oma maailmansa ja siellä tosiaan voi tunnuslukuja vaihdella mutta
PIN tarkistus tuolla voi tapahtua korttiyhtiöiden palvelinpuolella eikä välttämättä
POS terminaalissa lainkaan. Mutta kuten totesit on useampaa tapaa tehdä asiat
eikä kaikki tiedä kaikkea. Jos tulee kriittisiä vuotoja suljetaan vuotanut kohta
hiljaisesti sekä korvataan se toisella tavalla. Kukaan alapäässä ei huomaa mitään, Gemalto / GI&DE / XPondCard huomaa tosin chippitilauksessa muutoksen
mutta eipä tonne ihan noin vain tallustella. Gemaltolle pääsee viikonloppuisinkin
rotanloukkuun mutta 3 Rotanloukkua on ohitettava vähintään että pääsee edes
'tilaan'.

Lue lisää

Asiaa sivuten kiintoisa löydös:

http://www.itviikko.fi/ratkaisut/2009/07/08/lentoyhtio-parantaa-asiakastietojen-suojausta/200915928/7
IT Viikko 08072009:
"
Lentoyhtiö parantaa asiakastietojen suojausta
Outi Järvinen/Lehtikuva
Lentoyhtiö parantaa asiakastietojen suojausta
EMC:n tietoturvahaara RSA toimittaa SAS:lle tietoturvaratkaisun luottamuksellisten asiakastietojen suojaamiseen lentoyhtiön laajassa it-ympäristössä.
Tuomas Linnake
8.7.2009 13:15
Kommentit 0

SAS prosessoi ja varastoi valtavan määrän arkaluontoista asiakastietoa liittyen henkilön tunnistetietoihin, matkustajalistoihin sekä maksu- ja yritystietoihin.

Hankittu RSA Data Loss Prevention on integroitu tietoturvaratkaisujen kokonaisuus, joka auttaa jäljittämään ja suojaamaan luottamuksellisen tiedon katoamiselta, tietovuodoilta ja väärinkäytöksiltä datakeskuksissa, verkossa ja työasemilla.

– Ratkaisun avulla pystymme tehokkaasti luotaamaan koko it-ympäristömme ja tunnistamaan haavoittuvan tiedon, määrittelemään sille riittävän suojaustason ja siten vähentämään katoamisriskiä, SAS-konsernin tietoturvajohtaja Göran Ostberg luottaa tiedotteessa. Hänen mukaansa haasteena oli määritellä mitkä tiedoista ovat arkaluontoisia ja turvata ne.

Tietoturvakonsultti Jon Estlander Suomen RSA:lta muistuttaa myös pienempiä yrityksiä tietosuojasta.

– Jokaisella yrityksellä tulisi olla edes karkean tason tietoturvaohjeistus, joka ohjaa työntekijöitä päivittäisessä tekemisessä.

Lisää Aiheesta
UutinenSisältö määrää kenellä siihen on pääsy (16.12.2008 09:19)
UutinenRSA:n tietosuoja kättelee Windows Serveriä (9.12.2008 11:55)
UutinenSAS lukee sormenjälkiä lentokentällä (30.1.2008 15:47)
"

Visa & MasterCard nettisivuilta löytää kiintoisia PDF kansioita jotka ovat olevinaan
huippusalaisia sekä ovat viellä https linkin päässä. Etsivät löytää näitä vaikka
osoitteet ovat joidenkin sisältöjärjestelmien sisällä mitään tunnuksia ei kysellä.

j kirjoitti:

"Olen tehnyt täysin selväksi, että tunnusluvut eivät ole lähteneet minulta."

jos sitenkin, joku on nähnyt lukusi kun näpytät ja sitten varastaneet korttisi,
taitavat näkevät sen hyvin helposti, vaikka hieman peitteletkin.

uskoisin että näin on käynyt, kun kyseessä on varkaus,
kortin lukusysteemit eivät varasta korttia, ne saavat muutenkin riittävästi tietoa.

(juuri tuon, jos epäileekin varkautta, kannattaa olla useita kortteja matkoilla ja eri paikoissa, jota voi herkästi sulkea kortin, ettei tarvitse epäillä.

Lue lisää

Kuule "Mutta"

Tunnusluvut ovat olleet päässäni ja matkan aikana en näpytellyt tunnuslukuja, koska kortti oli vain lennon tunnistusvälineenä. Ne on jotenkin muuten saatu ulkopuolisille. EI MINUN KAUTTA!

Freola9 kirjoitti:

PIN koodit osataan laskea korttinumeron perusteella. MasterCard, Visa, Diners / Discover, Amex. Vaadi pankkia tutkimaan asiaa, tee rikosilmoitus niin on pakko oikeasti tehdä jotain. Mafialla on tämä tietotaito hankittu mafiamaisin konstein.
Krakkerit vohkineet korttitiedot jossain lentoyhtiön / varauspalvelun koneilta
ja tehneet kopiokortit.

Lue lisää

Kyllä taas kirjoitellaan satuja. Vai että muka PIN-koodit voitaisiin laskea korttinumerosta. No jos näin todella olisi, riittäisi varkaille pelkän kortin varastaminen eikä tarvitsisi monimutkaisia kameroita sun muita systeemejä PIN-koodin varastamiseen.

Varastettu kirjoitti:

Kun varkaus oli havaittu, suljin kortit välittömästi. Tein rikosilmoituksen Lontoon poliisille, joka halusi varastettujen nostojen tiedot. Kun mieheni oli pankissa pyytämässä, että Lontoon poliisille pitäisi saada varstettujen nostojen tiedot. Pankkissa sanottiin, pankilla on pankkisalaisuus ja tietoja ei voi antaa. Siihen kaatui rikollisten jäljittäminen.
Vasta sitten, kun pankilta tuli kuukauden reklamaatiotiedot, lähetin Suomen poliisin kautta varastetuista nostoista tiedot.

Lue lisää

Oisko mahdollista, että miehesi on ottanut lompakkosi sekä korttisi ja nostanut rahaa korteilla? Tietääkö hän tunnuslukusi? Jotenkinhan joku on saanut tunnuslukusi tietoonsa, joten kun mahdottomat vaihtoehdot sulkee pois, jäljelle jää valitettavasti epätodennäköiset, epämiellyttävät vaihtoehdot.

... kirjoitti:

Kyllä taas kirjoitellaan satuja. Vai että muka PIN-koodit voitaisiin laskea korttinumerosta. No jos näin todella olisi, riittäisi varkaille pelkän kortin varastaminen eikä tarvitsisi monimutkaisia kameroita sun muita systeemejä PIN-koodin varastamiseen.

Lue lisää

"Kyllä taas kirjoitellaan satuja. Vai että muka PIN-koodit voitaisiin laskea korttinumerosta. No jos näin todella olisi, riittäisi varkaille pelkän kortin varastaminen eikä tarvitsisi monimutkaisia kameroita sun muita systeemejä PIN-koodin varastamiseen."

Jos tämä olisi totta, niin mitään 'BlackBoxeja' ei olisi olemassakaan ympäri
huoltamoita & VR:n automaatteja jos kerran PIN tarkistus tehtäisiin aina 'pankin
koneelta'. Tuo salaisuus on sen verran korkea että avoimena avaimia ei ole
ympäriinsä. Helpompaa on kuitenkin urkkia PIN kamera / valenäppiksiltä kuin
ostaa arvokkaaseen hintaan rikollispiirien näitä vehkeitä / ohjelmia. PIN tarkistus
pitää pystyä tekemään off-line joten se tehdään korttinumeron perusteella MG
korteilta, EMV puolella siru tekee temppunsa.


Lisäksi kun kortti on omistajallaan se on avoimena eikä suljettuna väärinkäytösten kanssa. Vasta kun sama kortti alkaa useammalta mantereelta samanaikaisesti suoltamana veloituksia lähtee pillit soimaan.

Maksupäätteitä varastellaan, siinä lähtee yhtä sun toista tietoa vääriin käsiin, korttitapahtumat (korttinumeroita myytäväksi !!). Maksupäätteen softa
jossa salaisia avaimia sekä muuta.

... kirjoitti:

Kyllä taas kirjoitellaan satuja. Vai että muka PIN-koodit voitaisiin laskea korttinumerosta. No jos näin todella olisi, riittäisi varkaille pelkän kortin varastaminen eikä tarvitsisi monimutkaisia kameroita sun muita systeemejä PIN-koodin varastamiseen.

Lue lisää

Satuja on todella aivan muut asiat. Uskomukset ettei PIN-tunnusluvut voi vuotaa muualta kuin kortin omistajalta on täyttä satua. Kokemusta omaavana tiedän sen. Pankkien päätelmät ovat omaa satua varmistaakseen omaa mainetaan.

Freola9 kirjoitti:

"Kyllä taas kirjoitellaan satuja. Vai että muka PIN-koodit voitaisiin laskea korttinumerosta. No jos näin todella olisi, riittäisi varkaille pelkän kortin varastaminen eikä tarvitsisi monimutkaisia kameroita sun muita systeemejä PIN-koodin varastamiseen."

Jos tämä olisi totta, niin mitään 'BlackBoxeja' ei olisi olemassakaan ympäri
huoltamoita & VR:n automaatteja jos kerran PIN tarkistus tehtäisiin aina 'pankin
koneelta'. Tuo salaisuus on sen verran korkea että avoimena avaimia ei ole
ympäriinsä. Helpompaa on kuitenkin urkkia PIN kamera / valenäppiksiltä kuin
ostaa arvokkaaseen hintaan rikollispiirien näitä vehkeitä / ohjelmia. PIN tarkistus
pitää pystyä tekemään off-line joten se tehdään korttinumeron perusteella MG
korteilta, EMV puolella siru tekee temppunsa.


Lisäksi kun kortti on omistajallaan se on avoimena eikä suljettuna väärinkäytösten kanssa. Vasta kun sama kortti alkaa useammalta mantereelta samanaikaisesti suoltamana veloituksia lähtee pillit soimaan.

Maksupäätteitä varastellaan, siinä lähtee yhtä sun toista tietoa vääriin käsiin, korttitapahtumat (korttinumeroita myytäväksi !!). Maksupäätteen softa
jossa salaisia avaimia sekä muuta.

Lue lisää

Freola9!
Kysymys
Voiko todella rikollisilla olla jokin off-line BlackBox, jolla rikolliset voivat saada tietoon sirukortin PIN-tunnusluvun? Onko se mahdollista vai mahdoton?

Toinen kysymys
Onko kaikissa maissa samanlaiset varmennuskäytännöt BlackBox:ssa?

Äimistynyt kirjoitti:

Freola9!
Kysymys
Voiko todella rikollisilla olla jokin off-line BlackBox, jolla rikolliset voivat saada tietoon sirukortin PIN-tunnusluvun? Onko se mahdollista vai mahdoton?

Toinen kysymys
Onko kaikissa maissa samanlaiset varmennuskäytännöt BlackBox:ssa?

Lue lisää

"Freola9!
Kysymys
Voiko todella rikollisilla olla jokin off-line BlackBox, jolla rikolliset voivat saada tietoon sirukortin PIN-tunnusluvun? Onko se mahdollista vai mahdoton?"

No noi kaavat pitäisi olla boolean mutoisia eli TRUE / FALSE kun POS lähettää
varmennettavaksi, saa sitten vastauksen että hyväksyttiin tai hylättiin, näin
siis BlackBoxseilla. Noita kadonnut bensaautomaattimurtojen yhteydessä
ympäriinsä. Kun tuollainen saatu avattua sekä siirettyä "salaisuus" ohjelmatasolle
se on äärimmäisen arvokas eikä siitä pidellä ääntä. Myydään hiljakseen ympäriinsä
ja pankit syyttelee asiakkaita vastuuttomiksi kun ihmettelee outoja ostoksia.
Ylimenokaudella Debit korttien numerossa voidaan laskea myös MGPIN
eikä siinä ole sirun kanssa mitään tekemissä. Esimerkkinä Shell jolle kelpaa
MC Debit & PIN kuittaus MGPIN vehkeellä menee läpi, sama kuin Visa Electronilla
ilman mitään sirulukuja.



Matematiikka on kiintoisaa koska asiat voidaan tehdä monella tapaa sekä
kortin numerossa saadaan laskettua myös validit PIN koodit. 2003 tienoilla
vaihdettiin _kaikkien_ suomalaisten korttien numerot & PIN koodit syynä kansainvälistyminen, suomalaiset kortit siirettiin Visa / MasterCard kantaan.
Korttifirmoilla on miljoona ohjelmaa jossa suomalaispankeille annettiin
tietämystä kuinka tehdä kortteja. Uudempien EMV sirukorttien cloonaaminen
on hankalampaa kuin MG puolella pelaaminen, ensinnäkin pitää saada EMV
kortteja käsiinsä, se on helppoa viellä SDK ohjelmien kautta mutta pääseminen
käsiksi sovellustasolle on jo huomattavan hankalaa. SDA korteilla teoreettinen
mahdollisuus, DDA lähes mahdottomuus. EMV kortit toimii certificaatein joiden
nykyinen avainpituus on n. 2048KBit kokoluokkaa, suomalaiset henkilökortit 1024KBit. Sirukorttien PIN voidaan napata helposti vaikka valenäppiksellä joka on kevyt muovitaso sirukortin lukijassa, cräkattu PINPAD. Eräs EMV huijaus on
että maksaa 'muiden ostokset', PINPAD näyttää summaa ostostilanteessa
katso että se täsmää oikeasti ostos summaan, huijauksessa sinulle syötetään jonkun muun ostokset maksettavaksi. Toinen sirukorttihuijaus on että 'suomalaispankin korttikehikkoon" on istutettu ulkomaisen kortin MG raita
sekä mahdollinen siru rikottu lämpöhalvauksella, edellisiä harrastetaan syrjäkujien
Siwoissa.

BlackBox variaatioita on useampia jossa johtuen joskus ei onnistu PIN kuittaaminen ulkomailla. EMV puolella ongelma on jo vähäisempi.

Freola9 kirjoitti:

"Freola9!
Kysymys
Voiko todella rikollisilla olla jokin off-line BlackBox, jolla rikolliset voivat saada tietoon sirukortin PIN-tunnusluvun? Onko se mahdollista vai mahdoton?"

No noi kaavat pitäisi olla boolean mutoisia eli TRUE / FALSE kun POS lähettää
varmennettavaksi, saa sitten vastauksen että hyväksyttiin tai hylättiin, näin
siis BlackBoxseilla. Noita kadonnut bensaautomaattimurtojen yhteydessä
ympäriinsä. Kun tuollainen saatu avattua sekä siirettyä "salaisuus" ohjelmatasolle
se on äärimmäisen arvokas eikä siitä pidellä ääntä. Myydään hiljakseen ympäriinsä
ja pankit syyttelee asiakkaita vastuuttomiksi kun ihmettelee outoja ostoksia.
Ylimenokaudella Debit korttien numerossa voidaan laskea myös MGPIN
eikä siinä ole sirun kanssa mitään tekemissä. Esimerkkinä Shell jolle kelpaa
MC Debit & PIN kuittaus MGPIN vehkeellä menee läpi, sama kuin Visa Electronilla
ilman mitään sirulukuja.



Matematiikka on kiintoisaa koska asiat voidaan tehdä monella tapaa sekä
kortin numerossa saadaan laskettua myös validit PIN koodit. 2003 tienoilla
vaihdettiin _kaikkien_ suomalaisten korttien numerot & PIN koodit syynä kansainvälistyminen, suomalaiset kortit siirettiin Visa / MasterCard kantaan.
Korttifirmoilla on miljoona ohjelmaa jossa suomalaispankeille annettiin
tietämystä kuinka tehdä kortteja. Uudempien EMV sirukorttien cloonaaminen
on hankalampaa kuin MG puolella pelaaminen, ensinnäkin pitää saada EMV
kortteja käsiinsä, se on helppoa viellä SDK ohjelmien kautta mutta pääseminen
käsiksi sovellustasolle on jo huomattavan hankalaa. SDA korteilla teoreettinen
mahdollisuus, DDA lähes mahdottomuus. EMV kortit toimii certificaatein joiden
nykyinen avainpituus on n. 2048KBit kokoluokkaa, suomalaiset henkilökortit 1024KBit. Sirukorttien PIN voidaan napata helposti vaikka valenäppiksellä joka on kevyt muovitaso sirukortin lukijassa, cräkattu PINPAD. Eräs EMV huijaus on
että maksaa 'muiden ostokset', PINPAD näyttää summaa ostostilanteessa
katso että se täsmää oikeasti ostos summaan, huijauksessa sinulle syötetään jonkun muun ostokset maksettavaksi. Toinen sirukorttihuijaus on että 'suomalaispankin korttikehikkoon" on istutettu ulkomaisen kortin MG raita
sekä mahdollinen siru rikottu lämpöhalvauksella, edellisiä harrastetaan syrjäkujien
Siwoissa.

BlackBox variaatioita on useampia jossa johtuen joskus ei onnistu PIN kuittaaminen ulkomailla. EMV puolella ongelma on jo vähäisempi.

Lue lisää

Huomaa selvästi, että et tiedä asiasta mitään. Kirjoitat esimerkiksi avaimen pituuksiksi 2048 KBit ja 1024 KBit. Jos ymmärtäisit mitään asiasta, tietäisit, että avaimien pituudet voivat olla 2048 Bit ja 1024 Bit (ei siis missään tapauksessa KBit). Kirjoitat jotain satuja, mitä olet netistä lukenut, mutta et kunnolla ymmärtänyt.

... kirjoitti:

Oisko mahdollista, että miehesi on ottanut lompakkosi sekä korttisi ja nostanut rahaa korteilla? Tietääkö hän tunnuslukusi? Jotenkinhan joku on saanut tunnuslukusi tietoonsa, joten kun mahdottomat vaihtoehdot sulkee pois, jäljelle jää valitettavasti epätodennäköiset, epämiellyttävät vaihtoehdot.

Lue lisää

Mieheni ei ole se varas. Lontoossa, kun huomasin kortit varastetuksi, kuoletin ne. Samalla soitin miehelleni, että varmistaa korttien kuoletuksen. Mieheni totesi verkkopankkitunniksilla, että nyt on varkaat liikkeellä ja tein heti Lontoossa rikosilmoituksen. Mieheni teki rikosilmoituksen seuraavana aamuna Suomessa ja ilmoitti Nordea pankissa varastuksesta. Lontoon poliisi pyysi pankilta varastettujen nostojen nosotietoja heille. Lontoon poliisi antoi puhelinnumeron ja refernssitiedot. Pankkisalaisuus kuulema kielsi antamasta Lontoon poliisin pyyntöä. En tiedä onko pankilta mennyt tiedot Lontoon poliisille. Itse lähetin tiedot, kun sain pankilta reklamaatiovastauksen.

... kirjoitti:

Huomaa selvästi, että et tiedä asiasta mitään. Kirjoitat esimerkiksi avaimen pituuksiksi 2048 KBit ja 1024 KBit. Jos ymmärtäisit mitään asiasta, tietäisit, että avaimien pituudet voivat olla 2048 Bit ja 1024 Bit (ei siis missään tapauksessa KBit). Kirjoitat jotain satuja, mitä olet netistä lukenut, mutta et kunnolla ymmärtänyt.

Lue lisää

En voi muuta todeta sinusta "Huomaa, että", että oletko jossain pankissa harjoittelijana

Freola9 kirjoitti:

"Kyllä taas kirjoitellaan satuja. Vai että muka PIN-koodit voitaisiin laskea korttinumerosta. No jos näin todella olisi, riittäisi varkaille pelkän kortin varastaminen eikä tarvitsisi monimutkaisia kameroita sun muita systeemejä PIN-koodin varastamiseen."

Jos tämä olisi totta, niin mitään 'BlackBoxeja' ei olisi olemassakaan ympäri
huoltamoita & VR:n automaatteja jos kerran PIN tarkistus tehtäisiin aina 'pankin
koneelta'. Tuo salaisuus on sen verran korkea että avoimena avaimia ei ole
ympäriinsä. Helpompaa on kuitenkin urkkia PIN kamera / valenäppiksiltä kuin
ostaa arvokkaaseen hintaan rikollispiirien näitä vehkeitä / ohjelmia. PIN tarkistus
pitää pystyä tekemään off-line joten se tehdään korttinumeron perusteella MG
korteilta, EMV puolella siru tekee temppunsa.


Lisäksi kun kortti on omistajallaan se on avoimena eikä suljettuna väärinkäytösten kanssa. Vasta kun sama kortti alkaa useammalta mantereelta samanaikaisesti suoltamana veloituksia lähtee pillit soimaan.

Maksupäätteitä varastellaan, siinä lähtee yhtä sun toista tietoa vääriin käsiin, korttitapahtumat (korttinumeroita myytäväksi !!). Maksupäätteen softa
jossa salaisia avaimia sekä muuta.

Lue lisää

Freola 9 kiitos kirjoituksesta.
Satujen kirjoittaja todella kirjoittaa satuja.
Olen monta kertaa käyttänyt Visa-Electron korttia ostaessani.
Toiminta on tämä:
1) syötä kortti 2)anna tunnusluku 3)sirupääte hyväksyy kortin 4) sirukorttipääte muodostaayhteyden.
Taviskin ajattelemalla todella toteaa, että tunnusluku lasketaan kortin tietojen perusteella ja lasketatapa on sirukorttipäätteessä. Todellakaan tunnistus ei ole pankin tietojärjestelmissä.
Näitä päätelaitteita on todella ilmestynyt kuin sieniä sateella. Että varastaminen on helppoa tutkimuksia varten. Korttien nopea yleistyminen on saanut varkaat panostamaan tunnuslukjen selville saamiseksi tavalla tai toisella. On kokeilua, on matematiikkaa (matematiikkaahan se tunnuslukujen salaus korttitietoihin), on sirujen tekoa ja kokeilua. Varkaillehan on tunnuslukujen selvittäjä miljoonien arvoinen laite/taito. Kyllä siihen on panostettu.
Terkkuja vain satujen kertojalle!

Freola9 kirjoitti:

"Ihmettelin itse vuosia sitten, että miten ihmeessä tieto ei ole vuotanut. Mutta onko se nyt siis virallisesti vuotanut? Eli menetelmä jolla PIN koodi saadaan kaivettua kortilta.
Olettaisin että yksi tapa tämän hoitamiseen on tarkistuksen hoitavan blackboxin haaliminen ja tarvittava modifiointi. On voitu varmasti yrittää tehdä vaikeaksi, mutta tuskin se mahdotonta on jos on ammattilaiset asialla.
Mutta ei toi ihan joka kaverilta onnistu. Tietysti jos on oikeasti mafia asialla, niin sitten on sekä osaamista, että resursseja. Monesti olenkin ihmetellyt esim sellaisen rikollisuuden puuttumista johon tarvitaan pitkällinen tuotekehitys."


Aivan, onhan tämä aikapäivät sitten vuotanut mutta mitään virallista tietoa ei tietenkään koskaan kerrota julki. Loppuisi välittömästi tavisten korttikäyttö
sekä alkaisivat mankua mukamas oikeudessa allekirjoittaa kuitti.

Miksi luottokorttifirmoilla on kiire EMV kantaan, on
koko luottokorttien perusolemuksen muuttaminen, käsite ' kortin numero' tullaan häivyttämään vähitellen, ensin pistoitus poistetaan mitä on tapahtunut
ulkomaisille korteille sekä käsite 'Electronic use only" Visa / MasterCard sarjan
korteille joita jotkut pässipää suomikaupat naputtelee maksupäätteille itsepintaisesti.

Visa sekä osin MasterCard puolella ulkomaisilla korteilla on "EMV Only & PIN only" päällä sekä MG raita vain banaanivaltioiden ATM käyttöä varten kuten USA.
Esimerkkinä Visa V-Pay, Mastercardilla tämä osin Maestro korteilla osin ihan MasterCard sarjan korteilla MasterCard Electronic ja muilla MC brändeillä.

Itsekkin olen nähnyt VISA PIN kuvauksen vaeltamassa verkossa, testannut en ole mutta aivan varmasti C /C sorsakirjasto jossakin löytyy joka toimii vähintään
osallla korteissa. Ainakin DinersClub:illa on useampia versioita PIN avaimessa
jotka eivät täysin toimi ristiin alueiden välillä, tämä Case tosin Suomalainen kortti
Ranskassa mutta en ollut paikanpäällä muuta en tiedä kuin kuulin jutun että ei
hyväksynyt PIN koodia (MGPIN). EMV kyllä hoitaa PIN ongelmat kun tarkistus
tavalla tai toisella tapahtuu sirulla, tosin EMV 'juuriavaimiakin' on Visalla 3 - 6 KPL
jotka menee mantereiden mukaan. Silti korttien pitäisi toimia ristiin paremmin kuin aiemmin. Tulevaisuuden korttikäyttö on certificaateilla pelaamista.

Esimerkkejä Visa Europelta, MasterCardilta löytyy vastaavat millaista on tulevaisuuden verkkokauppa maksukorteilla.


http://www.visaeurope.com/aboutvisa/products/dynamicpasscode.jsp

Lue lisää

Ongelma on juuri siinä, että kun mankkuraidan perusteella saadaan PIN selville, voidaan silti tehdä nostot sirulla jos kortti on hallussa ilman PIN koodia.

Tuossa onkin sitten aika ikävää koittaa selittää, että ei ole PIN koodia muille luovuttanut. Kun pankki pitää varmana että on luovuttanut. Mielestäni kyseessä on em. tapauksessa oikeusmurha, kun totuutta eli PIN koodien selvittämis mahdollisuutta magneettiraidalta ei myönnetä julkisesti.

Niin kauan kun magneettiraita on olemassa, ei PIN koodi ole turvassa vaikka tapahtumat olisi siru tapahtumia. Ikävintä tuossa on se, että kun kortista saa kopioitua koko kakkosuran. Niin sen jälkeen voi luoda kortin kopioin ja selvittää PINin ilman sitä että on saanut pin koodia haltuunsa.

Lähinnä tuosta syystä kai kielsivät koko kakkosraidan sisällön tallentamisen nykyisissä järjestelmissä. Mutta esim, jos koneessa on lukija ja spyware softa, niin silloin se että tietoa ei tallenneta järjestelmän omaan kantaan ei auta yhtään. Kun spyware ottaa sen silti talteen.

Lisäksi olen ihmetellyt miksi tyhmät väittää että kortti pitäisi lukea jostain erillisestä lukijasta sen kopioimiseksi. Kopiointi voidaan hoitaa ihan sillä samalla lukijalla ja täysin huomaamattomasti jolla suoritus muutenkin tehdään. Aika hölmöjä noi puheet, että pitää katsoa ettei korttia kopioida.

Joskus eikä niin harvoinkaan, tuntuu siltä että pankkien ihmiset on joko tyhmiä tai kusettajia.

... kirjoitti:

Kyllä taas kirjoitellaan satuja. Vai että muka PIN-koodit voitaisiin laskea korttinumerosta. No jos näin todella olisi, riittäisi varkaille pelkän kortin varastaminen eikä tarvitsisi monimutkaisia kameroita sun muita systeemejä PIN-koodin varastamiseen.

Lue lisää

PIN koodin tarkistus onnistuu, ilman yhteyttä mihinkään. Mitä se kertoo? Se kertoo että PIN koodi selvitetään juuri siinä laitteessa joka sen tarkistuksen tekee. Jolloin siinä laitteessa on sisällä laite/ohjelmisto joka tuon pin koodin kykenee selvittämään.

Aika selkeää vai mitä?

Ihan kuten avaat lukon avaimella. Lukossa on oltava tieto siitä millä avaimella se aukeaa. Purkamalla lukon voit selvittää millaisella avaimella se aukeaa, ilman että olet koskaan saanut em. avainta käsiisi.

Äimistynyt kirjoitti:

Freola9!
Kysymys
Voiko todella rikollisilla olla jokin off-line BlackBox, jolla rikolliset voivat saada tietoon sirukortin PIN-tunnusluvun? Onko se mahdollista vai mahdoton?

Toinen kysymys
Onko kaikissa maissa samanlaiset varmennuskäytännöt BlackBox:ssa?

Lue lisää

Toki heillä voi olla. Tämä on ihan sama asia kuin muidenkin salaisuuksien purkaminen. Ne joilla siihen on kyky, eivät halua asiaa tuoda esille. Näin ollen todellinen kyky jää julkisuudessa piiloon.

EI ole samanlaiset käytännöt.

Ja on täysin mahdollista että rikollisilla on kyky murtaa PINit.

Kysymys on samaa laatua kuin se, että onko AES256 salaus turvallinen. Virallisesti se on. Toisaalta, olisiko standardiksi julistettu sellainen salausmenetelmä joka sokaisisi täysin tiedustelupalvelut kuiten NSA:n? Tuskin, ainakaan minä en olisi tehnyt niin, enkä usko myöskään yhdysvaltojen tehneen niin.

Joten virallisen totuuden mukaan menetelmä on täysin murtamaton ja aukoton, mutta mitä suurimmalla todennäköisyydellä se on murrettavissa kun siihen on todellinen tarve ja oikeat tahot.

Etkö ole huomannut? kirjoitti:

PIN koodin tarkistus onnistuu, ilman yhteyttä mihinkään. Mitä se kertoo? Se kertoo että PIN koodi selvitetään juuri siinä laitteessa joka sen tarkistuksen tekee. Jolloin siinä laitteessa on sisällä laite/ohjelmisto joka tuon pin koodin kykenee selvittämään.

Aika selkeää vai mitä?

Ihan kuten avaat lukon avaimella. Lukossa on oltava tieto siitä millä avaimella se aukeaa. Purkamalla lukon voit selvittää millaisella avaimella se aukeaa, ilman että olet koskaan saanut em. avainta käsiisi.

Lue lisää

Itse en ole ainakaan sellaista laitetta nähnyt, jossa magneettijuovakortin PIN-koodi tarkistettaisiin off line.

... kirjoitti:

Itse en ole ainakaan sellaista laitetta nähnyt, jossa magneettijuovakortin PIN-koodi tarkistettaisiin off line.

Bensa-asemalla käyttäessäni Electro-Visa-korttia on samanlainen käytäntö.
Ensin automaatti "syö kortin". Sitten kysyy pin-koodia. Seuraavaksi ilmoitaa tarkistavansa tiedot.

... kirjoitti:

Itse en ole ainakaan sellaista laitetta nähnyt, jossa magneettijuovakortin PIN-koodi tarkistettaisiin off line.

Et ole koskaan asioinut pankkiautomaatilla?

Ovat sellaisia laitteita kirjoitti:

Et ole koskaan asioinut pankkiautomaatilla?

Pankkiautomaateissa ei saa niin tarkkaa kuvaa.
Ensin kortti
Sitten kysyy tunnuslukua
Sitten antaa vakionäytön (automaatin prosessoima)
Sitten näytösta valinnat
Sen jälkeen laitteen operointi

Tästä ei ulkoapäin tarkastellen saa tarkkaa kuvaa yhteyden luomishetkeä. Voi olla monessa kohdin.

Ovat sellaisia laitteita kirjoitti:

Et ole koskaan asioinut pankkiautomaatilla?

Pankkiautomaatit ovat pysyvästi on-line, miten ne muuten tietäisivät tilisi saldon? Vai lukeeko ne senkin kortiltasi?

... kirjoitti:

Pankkiautomaatit ovat pysyvästi on-line, miten ne muuten tietäisivät tilisi saldon? Vai lukeeko ne senkin kortiltasi?

Kun automaatti on linjat aukaissut, niin yhteys tällöin on luotu ja voi automaatin ehdoilla olla yhteydessä omiin tilitietoihin. Sitä ennen kuitenkin on tehty kortin tunnusluvun tarkastus. Eli kun yhteys on avattu, niin tietyt kyselyt on mahdollisia. Esim saldo, tapahtumat jne.

Äimistynyt kirjoitti:

Kun automaatti on linjat aukaissut, niin yhteys tällöin on luotu ja voi automaatin ehdoilla olla yhteydessä omiin tilitietoihin. Sitä ennen kuitenkin on tehty kortin tunnusluvun tarkastus. Eli kun yhteys on avattu, niin tietyt kyselyt on mahdollisia. Esim saldo, tapahtumat jne.

Lue lisää

Esität siis, että tunnusluku tarkistetaan off line ja sitten vasta tehdään yhteys. Eihän tuossa ole mitään järkeä. Sitä paitsi muistan itsekin, kun olen MG-kortilla nostanut rahaa pankkiautomaatista ja näppäillyt väärän tunnusluvun, niin ilmoitus väärästä tunnusluvusta tulee vasta sitten kun on jo syöttänyt rahasumman ja pankkiautomaatti muodostanut yhteyden pankkiin.

... kirjoitti:

Esität siis, että tunnusluku tarkistetaan off line ja sitten vasta tehdään yhteys. Eihän tuossa ole mitään järkeä. Sitä paitsi muistan itsekin, kun olen MG-kortilla nostanut rahaa pankkiautomaatista ja näppäillyt väärän tunnusluvun, niin ilmoitus väärästä tunnusluvusta tulee vasta sitten kun on jo syöttänyt rahasumman ja pankkiautomaatti muodostanut yhteyden pankkiin.

Lue lisää

Edellisissä viesteissä kerroin, että automaateissa ulkonaisesta käytöksestä ei voi päätellä on-line ja off-line tiloja. En ota kantaa. En tunne automaattien toimintaa.

Äimistynyt kirjoitti:

Pankkiautomaateissa ei saa niin tarkkaa kuvaa.
Ensin kortti
Sitten kysyy tunnuslukua
Sitten antaa vakionäytön (automaatin prosessoima)
Sitten näytösta valinnat
Sen jälkeen laitteen operointi

Tästä ei ulkoapäin tarkastellen saa tarkkaa kuvaa yhteyden luomishetkeä. Voi olla monessa kohdin.

Lue lisää

Toimittaa näitä järjestelmiä, eikä vaan käytä niitä? Silloin toiminnasta saa aika paljon tarkemman kuvan.

... kirjoitti:

Pankkiautomaatit ovat pysyvästi on-line, miten ne muuten tietäisivät tilisi saldon? Vai lukeeko ne senkin kortiltasi?

Tietenkin ovat on-line, silloin kun ovat. Mutta silloin kun EIVÄT ole, niin toimivat edelleen, eivätkä tietenkään pysty tarkistamaan saldoa.

Sirukorteissa on kyllä käsittääkseni myös tieto siitä paljonko on ostovaraa jäljellä. Mutta sen asian yksityiskohtiin en todellakaan voi valitettavasti mennä.

Freola9 kirjoitti:

"Freola9!
Kysymys
Voiko todella rikollisilla olla jokin off-line BlackBox, jolla rikolliset voivat saada tietoon sirukortin PIN-tunnusluvun? Onko se mahdollista vai mahdoton?"

No noi kaavat pitäisi olla boolean mutoisia eli TRUE / FALSE kun POS lähettää
varmennettavaksi, saa sitten vastauksen että hyväksyttiin tai hylättiin, näin
siis BlackBoxseilla. Noita kadonnut bensaautomaattimurtojen yhteydessä
ympäriinsä. Kun tuollainen saatu avattua sekä siirettyä "salaisuus" ohjelmatasolle
se on äärimmäisen arvokas eikä siitä pidellä ääntä. Myydään hiljakseen ympäriinsä
ja pankit syyttelee asiakkaita vastuuttomiksi kun ihmettelee outoja ostoksia.
Ylimenokaudella Debit korttien numerossa voidaan laskea myös MGPIN
eikä siinä ole sirun kanssa mitään tekemissä. Esimerkkinä Shell jolle kelpaa
MC Debit & PIN kuittaus MGPIN vehkeellä menee läpi, sama kuin Visa Electronilla
ilman mitään sirulukuja.



Matematiikka on kiintoisaa koska asiat voidaan tehdä monella tapaa sekä
kortin numerossa saadaan laskettua myös validit PIN koodit. 2003 tienoilla
vaihdettiin _kaikkien_ suomalaisten korttien numerot & PIN koodit syynä kansainvälistyminen, suomalaiset kortit siirettiin Visa / MasterCard kantaan.
Korttifirmoilla on miljoona ohjelmaa jossa suomalaispankeille annettiin
tietämystä kuinka tehdä kortteja. Uudempien EMV sirukorttien cloonaaminen
on hankalampaa kuin MG puolella pelaaminen, ensinnäkin pitää saada EMV
kortteja käsiinsä, se on helppoa viellä SDK ohjelmien kautta mutta pääseminen
käsiksi sovellustasolle on jo huomattavan hankalaa. SDA korteilla teoreettinen
mahdollisuus, DDA lähes mahdottomuus. EMV kortit toimii certificaatein joiden
nykyinen avainpituus on n. 2048KBit kokoluokkaa, suomalaiset henkilökortit 1024KBit. Sirukorttien PIN voidaan napata helposti vaikka valenäppiksellä joka on kevyt muovitaso sirukortin lukijassa, cräkattu PINPAD. Eräs EMV huijaus on
että maksaa 'muiden ostokset', PINPAD näyttää summaa ostostilanteessa
katso että se täsmää oikeasti ostos summaan, huijauksessa sinulle syötetään jonkun muun ostokset maksettavaksi. Toinen sirukorttihuijaus on että 'suomalaispankin korttikehikkoon" on istutettu ulkomaisen kortin MG raita
sekä mahdollinen siru rikottu lämpöhalvauksella, edellisiä harrastetaan syrjäkujien
Siwoissa.

BlackBox variaatioita on useampia jossa johtuen joskus ei onnistu PIN kuittaaminen ulkomailla. EMV puolella ongelma on jo vähäisempi.

Lue lisää

Tarkemmin ajateltuna magneettikortin lukulaite on eri kuin sirukortin. Magneettikortissa tiedot luetaan nauhalta ja laitteessa (BlackBox) on sisällä tunnusluvun laskentatapa jolla tunnistus tehdään (Ainakin hyvin suuri osa laitteista on tällaisia). Sirukorttilaitteen lukija taas saatuaan tunnusluvun tekee sirun avulla kortin tunnistuksen. Varsinaista tunnusluvun laskentatapaa ei ole sirukortinlukijassa.
On hyvin tunnettua magneettikortin tunnistetietojenkopiointi nauhasta. Turvariski näissä on ollut magneettinauhan kopiointilaitteen asennus näkymättömästi laitteeseen ja tunnusluvun laskentatavan selvitys (tunnusluvun saaminen kortinhaltijalta on oma asiansa).
Sirukorteissa turvariskiä on, että siru voi olla ”tietyn käsittelyn” kohde (lämpöhalvaus y.m.). Toiseksi itse lukutapahtumassa kortti ei ole suljetussa tilassa. Se on myös turvariski. Lontoossa puhutaan laitteen ”huijaamisesta” eli jollain tavoin voidaan ohittaa tunnusluku. Voisiko olla esimerkiksi, että varastetun sirun päällä on rikollisen tunnistesiru kortin tunnistetta tehtäessä ja sirun pankkitietojenlukuvaiheessa laitteessa olisi toiminnassa varastettu siru (tunnistesiru vedetty pois).
Mitkähän ovat todennäköisimmät tavat varastetun tapauksessa, jota rikolliset ovat käyttäneet. Mitkä mahdollisuudet vähiten mahdollisia. Varastus oli Lontoossa ja varastetullahan oli suomalainen Nordean Visa Elctron kortti ja Mastercard kortti. Mastercard´n käyttö oli sellaista, että tunnusluvut eivät olleet voineet lähteä rikollisille varstetulta. Nordeallahan nuo kortit ovat nauhallisia sirukortteja, joissa tunnuslukua voi käyttää sekä sirun kanssa että nauhan kanssa

Freola9 kirjoitti:

PIN koodit osataan laskea korttinumeron perusteella. MasterCard, Visa, Diners / Discover, Amex. Vaadi pankkia tutkimaan asiaa, tee rikosilmoitus niin on pakko oikeasti tehdä jotain. Mafialla on tämä tietotaito hankittu mafiamaisin konstein.
Krakkerit vohkineet korttitiedot jossain lentoyhtiön / varauspalvelun koneilta
ja tehneet kopiokortit.

Lue lisää

"Vaadi pankkia tutkimaan asiaa, tee rikosilmoitus niin on pakko oikeasti tehdä jotain."

Rikosilmoitukset on tehty, reklammatiot saatu. Reklamaatio on sanottu olevan lopullinen ja tyytymättömässä tapauksessa oltava yhteydessä Vakuutus ja rahoitusneuvonnan kuluttajanevontaan ja mahdollisen valituksen tekemiseen kuluttajariitalautakunnalle.
Olin yhteudessä vakuutus ja rahoitusneuvonnan kuluttajaneuvojaan Sasu Heinoon. Keskustelussa tuli heti ilmi, vakuutus ja rahoitusneuvonta otaa sellaisen kannan, että tunnusluvut on oleet korttien mukanana varastetussa lomapakossa. Kertomukseni ei vaikuta mitään ja mitään todistajia tällaisissa tapauksissa ei kuulla. Lisäksi hän antoi ymmärtää, että kuluttajariitalautakunta samanlaisen päätöksen.
Reklamaation selvityksen tekijä antoi seuraavan kuluttajariitalutakunnan ennakkopäätöksen:
"Lautakunta toteaa, että korrtinhaltija ei ole osoittanut, että tunnusluvun joutuminen sivullisen haltuun olisi johtunut tapahtumasta, jota ei kohtuudella voida katsoa hänen syyksen. Näin ollen lautakunta katsoo selvitetyksi, että kortinhaltija on korttisopimuksen ehtojen vastaisesti säilyttänyt tunnuslukua yhdessä kortin kanssa."

Miten Poliisin saa tutkimaan tätä asiaa?

Freola9 kirjoitti:

"Freola9!
Kysymys
Voiko todella rikollisilla olla jokin off-line BlackBox, jolla rikolliset voivat saada tietoon sirukortin PIN-tunnusluvun? Onko se mahdollista vai mahdoton?"

No noi kaavat pitäisi olla boolean mutoisia eli TRUE / FALSE kun POS lähettää
varmennettavaksi, saa sitten vastauksen että hyväksyttiin tai hylättiin, näin
siis BlackBoxseilla. Noita kadonnut bensaautomaattimurtojen yhteydessä
ympäriinsä. Kun tuollainen saatu avattua sekä siirettyä "salaisuus" ohjelmatasolle
se on äärimmäisen arvokas eikä siitä pidellä ääntä. Myydään hiljakseen ympäriinsä
ja pankit syyttelee asiakkaita vastuuttomiksi kun ihmettelee outoja ostoksia.
Ylimenokaudella Debit korttien numerossa voidaan laskea myös MGPIN
eikä siinä ole sirun kanssa mitään tekemissä. Esimerkkinä Shell jolle kelpaa
MC Debit & PIN kuittaus MGPIN vehkeellä menee läpi, sama kuin Visa Electronilla
ilman mitään sirulukuja.



Matematiikka on kiintoisaa koska asiat voidaan tehdä monella tapaa sekä
kortin numerossa saadaan laskettua myös validit PIN koodit. 2003 tienoilla
vaihdettiin _kaikkien_ suomalaisten korttien numerot & PIN koodit syynä kansainvälistyminen, suomalaiset kortit siirettiin Visa / MasterCard kantaan.
Korttifirmoilla on miljoona ohjelmaa jossa suomalaispankeille annettiin
tietämystä kuinka tehdä kortteja. Uudempien EMV sirukorttien cloonaaminen
on hankalampaa kuin MG puolella pelaaminen, ensinnäkin pitää saada EMV
kortteja käsiinsä, se on helppoa viellä SDK ohjelmien kautta mutta pääseminen
käsiksi sovellustasolle on jo huomattavan hankalaa. SDA korteilla teoreettinen
mahdollisuus, DDA lähes mahdottomuus. EMV kortit toimii certificaatein joiden
nykyinen avainpituus on n. 2048KBit kokoluokkaa, suomalaiset henkilökortit 1024KBit. Sirukorttien PIN voidaan napata helposti vaikka valenäppiksellä joka on kevyt muovitaso sirukortin lukijassa, cräkattu PINPAD. Eräs EMV huijaus on
että maksaa 'muiden ostokset', PINPAD näyttää summaa ostostilanteessa
katso että se täsmää oikeasti ostos summaan, huijauksessa sinulle syötetään jonkun muun ostokset maksettavaksi. Toinen sirukorttihuijaus on että 'suomalaispankin korttikehikkoon" on istutettu ulkomaisen kortin MG raita
sekä mahdollinen siru rikottu lämpöhalvauksella, edellisiä harrastetaan syrjäkujien
Siwoissa.

BlackBox variaatioita on useampia jossa johtuen joskus ei onnistu PIN kuittaaminen ulkomailla. EMV puolella ongelma on jo vähäisempi.

Lue lisää

Kysyin sinulta Freola

"Freola9!
Kysymys
Voiko todella rikollisilla olla jokin off-line BlackBox, jolla rikolliset voivat saada tietoon sirukortin PIN-tunnusluvun? Onko se mahdollista vai mahdoton?"


Vastauksesi ja muu kommentoitisi on ollut niin hyvää, että sen perusteela tehty työ tuotti tuloksen. Varastettu on saanut oikaistua asian. Ratkasieva asia oli, kun paikallinen konttori toimi ylimpään korttiosaston johtoon. Sen yhteyden oton tuloksena päätös muuttui.

Että kiitoksia paljon!