Come funzionano i meccanismi di sicurezza delle carte di credito?

[perfectpitch]

Da un po' sto leggendo in giro che uno dei temi che non possano mai di moda è la sicurezza dei pagamenti con carta di credito.
Ma nel 2016 ha ancora senso parlarne come una mezza fobia? "oddio non pago con carta perché me la clonano!"

[ionet]

purtroppo,a tutt'oggi,e' piu' facile clonare una carta di credito che falsare banconote

l'ultima poi ha dell'incredibile,le modernissime carte contactless sono nate proprio per farsi fregare,senza cacciare la carta dal portafoglio o essere toccati

basta che ti avvicinano uno smartphone,sara' stata valutata una eventualita' poco fattibile nelle grande metropoli dove si viaggia spiaccicati in metro,autobus etc

[monkey island]

Secondo me le contactless sono una pessima invenzione... c'è modo di averne una senza questa funzionalità o disabilitarla? Ovvero strisciare alla vecchia maniera.

[walter sampei]

mi sa che tocchera' imbustarle nell'alluminio

personalmente, trovo l'nfc e l'idea di passare alle monete elettroniche anche per transazioni minime due boiate immani.

[jumpjack]

Quote:

Originariamente inviato da walter sampei

mi sa che tocchera' imbustarle nell'alluminio

personalmente, trovo l'nfc e l'idea di passare alle monete elettroniche anche per transazioni minime due boiate immani.

La boiata più grossa è il cellulare-portafoglio, e il supporto nativo di Android 5 per clonare le carte NFC!

[walter sampei]

Quote:

Originariamente inviato da jumpjack

La boiata più grossa è il cellulare-portafoglio, e il supporto nativo di Android 5 per clonare le carte NFC!

non so come sia o non sia, so che a me pare stupido mettere le carte di credito nella custodia dello smartphone, che e' ad altissimo rischio di scippo.

e poi mi chiedono perche' mi tengo strettissimi i miei vecchi nokia...

[xenom]

non è che state semplificando un po' troppo?

Adesso mi pare strano che i protocolli di sicurezza facciano così schifo anche con le contactless...

[walter sampei]

Quote:

Originariamente inviato da xenom

non è che state semplificando un po' troppo?

Adesso mi pare strano che i protocolli di sicurezza facciano così schifo anche con le contactless...

appoggi e via. niente autenticazioni, niente pin. ok, e' comodissimo. ma in teoria non credo ci sia molto di sicuro.

[Maverick18]

Non c'e' il limite di 15 euro per le contactless ? (almeno in Irlanda era cosi')
Comunque Gente, il pagamento tramite carta e' il futuro, all'estero, il presente. Ormai non prelevo quasi mai, e pago tutto con la carta.

[walter sampei]

Quote:

Originariamente inviato da Maverick18

Non c'e' il limite di 15 euro per le contactless ? (almeno in Irlanda era cosi')
Comunque Gente, il pagamento tramite carta e' il futuro, all'estero, il presente. Ormai non prelevo quasi mai, e pago tutto con la carta.

ed e' una cosa che trovo una boiata immane per le piccole cifre.

se ho 1500 euro e devo fare una spesa da 25 e, perche' devo portarmi via tutti e 1500? se devo dare 10 e a mio fratello che vada a prendermi il pane, devo fare una transazione online magari con commissioni???

non solo, a me preoccupa il fatto che si possa sapere quanto ho effettivamente e quindi che io sia trattato di conseguenza. a fine anni '90, avevo un mio amico che studiava psicologia ed era interessato alle reazioni della gente. mi ha usato come cavia in una specie di esperimento sociale ante litteram sul potere d'acquisto percepito, e ho capito molte cose. soprattutto che gli umani non sono logici ne' giusti.

se la scusa e' l'evasione, tanto si sa che il grosso e' fatto tramite riciclaggio nei paradisi fiscali e che nessuno andra' mai a toccare quei sistemi.

edit: anche se il limite fosse 15 e, mi basta che tu entri in un supermercato, seguirti e incrociarti casualmente, e spillarti una decina di euro per 5 o 6 volte al colpo. quando ti trovi 50-100 e in meno senza motivo in un'ora, a meno che tu non sia bill gates, la cosa ti infastidisce.

[polteus]

Quote:

Originariamente inviato da monkey island

Secondo me le contactless sono una pessima invenzione... c'è modo di averne una senza questa funzionalità o disabilitarla? Ovvero strisciare alla vecchia maniera.

Strisciare, quello sì che è sicuro.

[walter sampei]

Quote:

Originariamente inviato da polteus

Strisciare, quello sì che è sicuro.

neppure quello, ma un codice o una sicurezza ci vuole.

a me non danno fiducia neppure le carte di credito con la firma, se e' per quello

[polteus]

Quote:

Originariamente inviato da walter sampei

neppure quello, ma un codice o una sicurezza ci vuole.

a me non danno fiducia neppure le carte di credito con la firma, se e' per quello

Come con il contactless, anche con la strisciata puo' non essere richiesto ne pin ne firma se la transazione è di pochi euro (ad esempio succede in autostrada se paghi con un Bancomat/Fastpay).

[walter sampei]

Quote:

Originariamente inviato da polteus

Come con il contactless, anche con la strisciata puo' non essere richiesto ne pin ne firma se la transazione è di pochi euro (ad esempio succede in autostrada se paghi con un Bancomat/Fastpay).

in autostrada credo che sia per motivi di tempo e per non fare colonna.

IMHO, ci vorrebbe una sicurezza indipendentemente dall'entita' della transazione.

[trecool]

ma che io sappia nessun pagamento può essere effettuato se il POS non viene attivato e la carta funziona solo se avvicinata al POS a meno di 4 centimetri di distanza, tra l'altro ogni transazione contactless genera un unico crittogramma di sicurezza quindi mi pare siano ben sicure.

[xpiuma]

Dai, non scherziamo...
Certe cose sono leggende metropolitane..

Il contactless è sicuro, non è possibile che uno ti tocchi e ti prelevi dei soldi.
Funziona su sistemi autorizzati, non puoi leggere una carta e via...
Questo perché ogni transazione deve passare da un sistema autorizzativo, nel senso che quando appoggi la carta sul POS contactless quello fa una richiesta online (indicando i suoi dati e quelli della carta) chiedendo l'autorizzazione.

Solo i POS legali possono farlo. Hanno dei certificati e delle chiavi private installate e viaggiano su una rete vpn dedicata. E il denaro finisce direttamente in banca, non in tasca di quello.
In ogni caso le cless hanno il limite massimo di pagamento senza pin di 15-25€ in base al prodotto.

Quindi anche se uno avesse un pos contraffatto e ve lo appoggiasse al deretano in metropolitana... Il giro è tracciato, quei soldi vanno a finire sul cono di un esercente, mica spariscono nella rete.

E di commissioni nessuno paga mai nulla. Al massimo l'esercente ha una fee da pagare, ma il cliente ci risparmia e basta.

[walter sampei]

Quote:

Originariamente inviato da xpiuma

Dai, non scherziamo...
Certe cose sono leggende metropolitane..

Il contactless è sicuro, non è possibile che uno ti tocchi e ti prelevi dei soldi.
Funziona su sistemi autorizzati, non puoi leggere una carta e via...
Questo perché ogni transazione deve passare da un sistema autorizzativo, nel senso che quando appoggi la carta sul POS contactless quello fa una richiesta online (indicando i suoi dati e quelli della carta) chiedendo l'autorizzazione.

Solo i POS legali possono farlo. Hanno dei certificati e delle chiavi private installate e viaggiano su una rete vpn dedicata. E il denaro finisce direttamente in banca, non in tasca di quello.
In ogni caso le cless hanno il limite massimo di pagamento senza pin di 15-25€ in base al prodotto.

Quindi anche se uno avesse un pos contraffatto e ve lo appoggiasse al deretano in metropolitana... Il giro è tracciato, quei soldi vanno a finire sul cono di un esercente, mica spariscono nella rete.

E di commissioni nessuno paga mai nulla. Al massimo l'esercente ha una fee da pagare, ma il cliente ci risparmia e basta.

ok, vorrei capire come stanno le cose. non mi piace l'idea che manchi un punto "di controllo dell'utente"

[polteus]

Quote:

Originariamente inviato da xpiuma

Dai, non scherziamo...
Certe cose sono leggende metropolitane..

Il contactless è sicuro, non è possibile che uno ti tocchi e ti prelevi dei soldi.
Funziona su sistemi autorizzati, non puoi leggere una carta e via...
Questo perché ogni transazione deve passare da un sistema autorizzativo, nel senso che quando appoggi la carta sul POS contactless quello fa una richiesta online (indicando i suoi dati e quelli della carta) chiedendo l'autorizzazione.

Solo i POS legali possono farlo. Hanno dei certificati e delle chiavi private installate e viaggiano su una rete vpn dedicata. E il denaro finisce direttamente in banca, non in tasca di quello.
In ogni caso le cless hanno il limite massimo di pagamento senza pin di 15-25€ in base al prodotto.

Quindi anche se uno avesse un pos contraffatto e ve lo appoggiasse al deretano in metropolitana... Il giro è tracciato, quei soldi vanno a finire sul cono di un esercente, mica spariscono nella rete.

E di commissioni nessuno paga mai nulla. Al massimo l'esercente ha una fee da pagare, ma il cliente ci risparmia e basta.

Appoggiando uno smartphone alla carta contactless si possono sottrarre numero di carta, data di scadenza, nome dell'intestatario, in alcuni casi i dati presenti nella banda magnetica ed utilizzare questi dati per effettuare acquisti fraudolenti online. Leggenda metropolitana? No, falla nota da tempo e non ancora tappata.

[_nick_]

Sono dicerie o robe messe in giro da chi deve vendere mirabolanti sistemi di sicurezza che non fanno nulla. Le carte con il chip non sono clonabili e il contact less è sempre un chip che trasmette dati con chiavi di cifratura non decrittabili. Oltretutto, ammesso che sia possibile bucare chiavi di cifratura di quel tipo (e non lo è) il costo sarebbe di parecchio superiore al guadagno ergo nessuno lo fa. Discorso diverso era la banda magnetica che non a caso è stata sostituita quasi dovunque dal chip.

Ma sono sicuro che cercando su internet trovi gente che millanta di aver bucato chiavi da millemila bit o gente che millanta di aver avuto la carta clonata in questi modi e poi magari banalmente ha risposto a una mail di phishing.

[polteus]

Quote:

Originariamente inviato da _nick_

Sono dicerie o robe messe in giro da chi deve vendere mirabolanti sistemi di sicurezza che non fanno nulla. Le carte con il chip non sono clonabili e il contact less è sempre un chip che trasmette dati con chiavi di cifratura non decrittabili. Oltretutto, ammesso che sia possibile bucare chiavi di cifratura di quel tipo (e non lo è) il costo sarebbe di parecchio superiore al guadagno ergo nessuno lo fa. Discorso diverso era la banda magnetica che non a caso è stata sostituita quasi dovunque dal chip.

Ma sono sicuro che cercando su internet trovi gente che millanta di aver bucato chiavi da millemila bit o gente che millanta di aver avuto la carta clonata in questi modi e poi magari banalmente ha risposto a una mail di phishing.

La falla consiste proprio nel fatto che la transazione non avviene completamente in modo criptato, ma trasmette in chiaro dati sensibili e lo fa senza controllare il dispositivo con cui dialoga, con il risultato che basta uno smartphone per sottrarre dati sensibili utilizzabili poi per effettuare acquisti fraudolenti online, senza bisogno di utilizzare un attacco di tipo phishing. Oltre alle pubblicazioni di rispettabili professionisti che si occupano di sicurezza, si trovano app nel Play Store che sfruttano questa falla con tanto di commenti in cui viene confermato che l'app funziona. E vogliamo ancora sostenere che sono dicerie o leggende metropolitane?