Ja si myslim, ze kdyby to bylo tak nebezpecne, tak by to vubec banky nevydavaly... Takze verim ze moznosti jsou ale bude to zase nejake mizive promile... to uz bych mel vetsi strach vybirat z bankomatu...

NELDE: Jinak to "vykecavani" zahrnuje podrobny popis jak funguje bezdratova komunikace s kartou vcetne ukazky platby kartou B na ucet karty A, tedy presne to co se ted v tyhle diskusi resi.

NELDE: Efektivita pasivnich reseni (ala alobal) je resena v tom videu mezi 35 a 40 minutou.

AXTHEB: Díky, ale 50 minut vykecávání s cílem prodat nějaké řešení mě fakt nezajímá. Jak jsem psal, pokud to jde snadno falšovat, tak by to měly vědět banky a karetní vydavatelé, BFU s tím nic nenadělá.
PISKVOR: Otázka je, jestli se ti tohle cvičení vyplatí. Jak jsem psal, musíš trefit čtečku tam, co má kartu (pokud ji vůbec má a nemá ji ochráněnou nějakou fólii), musíš doufat, že to nebude chtít PIN a vyděláte si zboží v ceně do 500,- za cenu rizika, že to zaplatíš ze svého nebo tě chytnou (ta transakce je vystopovatelná, celá řada obchodů má kameru u pokladen a na parkovišti). Navíc pokud se budeš na někoho více tlačit, tak riskuješ odvetu.

Nevíte někdo o tom, jak funguje alobal kolem karty? Na dálniční mýto je to známý trik (strčím před OBU alobal na dobu projezdu bránou) - proto mají celníci právo dopočítat mýto, pokud se domnívají, žes použil dálnici bez placení. V tomhle případě by Faradayova klec měla možnost kopírování zamezit, ne?

AXTHEB: Zatím ne :( odtud mi to bohužel nejede.

PISKVOR: Ty si taky nevidel to video co?

NELDE: Nemělo by, pokud to čtu správně, tak jako u čipové kary i taky je to challenge-response, čili přes link *nejde* kompletní obsah karty, ale jen ověření, že to skutečně je tato karta etc. Ten MITM (nebo spíš "anténní opakovač") mi připadá proveditelný.

NELDE: Nepotrebujes pin. Podivej se na to video.

AXTHEB: Pokud jde přečíst bezkontaktně data, která stačí k výrobě plné kopie, tak je něco špatně. Navíc na kontaktní platbu potřebuješ PIN nebo podpis. Ten bezkontaktně nepřečteš.
Pokud si přečteš data z karty, tak to možná můžeš použít, ale trochu mě překvapuje, že nepoužívají el. podpis - ten už tam snadno není možné zkopírovat.

Ten utok je volne dostupnym hardwarem nactu data z karty, nahraju na jinou kartu, driv nez ten komu sem ji precetl bezkontaktne zaplati nekde jinde ji pouziju jako 'klasickou' kartu bez chipu.

NELDE: Koukni na to video z AXTHEB.

MRTVY_KENNY: Zajímavé, jsem si skoro jistý, že tam měli 2,5 cm. Buď mám špatnou paměť, nebo to změnili.
Ta technika zní jako překonstruovaná. Hlavně v tom, že 500 je malá částka, aby se to složité opatření vyplatilo (zejména, když získáš jen "zboží", nikoli peníze). Dále nevíš, jestli ten za tebou má opravdu platební kartu tohoto typu, takže u té pokladny pak platíš sám. To spíše to mít na dálku - ten middle man chodí po obchodě a snímá karty na danou cenu, až nějakou najde, tak jdeš k pokladně se zbožím za stejnou cenu.
Ten rám zní lépe, ale zase je fixní - pokud se sejde více stížností, tak ti seberou čtečku úplně. Asi nejzajímavější by bylo mít GSM čtečku, kterou užiješ v MHD. Opět to je ale o hubu díky tomu, že tě vystopují skrze ty transakce.

Existuje nějaké rušící pouzdro? Alobal?

AXTHEB: mBank se na svých stránkách dušuje, že fakt jen těch 2,5cm - je to základ bezpečnosti. Kdyby to šlo udělat tak snadno, tak už by byl průšvih na světě - bezkontaktní karty se užívají už několik let.
Mimochodem ta hlavní výhoda, že není třeba PIN, se dá řešit úplně stejně i pro klasické čipovky (-;

KOC256: http://www.youtube.com/watch?v=oAzHf8IIqyM
NELDE: 2.5 cm to opravdu neni, neni az takovy problem udelat mobilni ctecku na deset centimetru. A pokud muzes udelat tu antenu tak, aby ji dotycna osoba prosla (napr. upravis futra od dveri), tak to taky funguje.

SM3:
to je vetsinou to nejdulezitejsi co je napsane v podminkach... ;-)

ADAMM: no právě si říká, že těch 420kč za rok není zase tolik, abych to řešil jinde... Bejvalka se takhle jednorázově pojištovala na cca 3týdny, když jsme jeli do Fr a stálo jí to cca 1500kč, nevim jak moc se to lišilo podmínkama, ale počítám, že by mě v případě nouze ošetřili a v nejhorším převezli do ČR, což v tom tuším je... Jezdím takhle x let, ale je fakt, že jsem to naštěstí nikdy nemusel využít a doufam, že to tak i zůstane!

SM3: nejde to, já jsem to nakonec zrušil, protože mi přišlo, že bude výhodnější pojistit se vždycky jen nárazově, tohle má podle mě smysl jen pro lidi, co cestují nějak víc... nehledě na to, že - pokud mám věřit lidem, co se v tom vyznají líp než já - pojištění na kartě (a není to jen mBank) je většinou nic moc a má tolik výjimek (to ovšem i leckteré normální cestovní pojištění), že je lepší pořešit to nějak jinak...