The researchers conducted an attack that succeeded in tricking a card reader into authenticating a transaction, even though no valid PIN was entered. In a later test, they managed to authenticate transactions, without the correct PIN, with valid cards from six different card issuers.
In particular, the terminal can record that a PIN verification has taken place, while the card itself receives a verification message that does not specify that a PIN has been used. The resultant authorization by the terminal is accepted by the bank, and the transaction goes ahead.

This means that while a PIN must be entered, any PIN code would be accepted by the terminal, the researchers said in a paper entitled Chip and PIN is Broken.

Asta înseamnă că atât pe acea chitanță cât și în jurnalele băncii va apărea faptul că a fost o tranzacție verificată cu PIN. Vedeți și demo cu tot cu explicații plus explicațiile stupide ale băncilor:

Acum mai demonstrează că nu tu ai scos banii.

Alții au afirmat că fără poliție nu poți face nimic, că mai întâi trebuie să faci o plângere la poliție. Mai mult sau mai puțin adevărat. Iată un răspuns venit chiar din partea BRD în care spune cum fac ei investigațiile, de aici:

Aici trebuie precizat ca notiunile de neglijenta, rea-credinta sau intentie de frauda sunt interpretate de banca, impreuna cu procesatorul de carduri (MasterCard, Visa), cu ajutorul politiei.

Legal, într-adevăr, banca este acoperită, conform normelor BNR în care se precizează următorul lucru:

Art. 26. – Prin derogare de la prevederile art. 25, detinatorul nu este raspunzator pentru tranzactiile executate, daca instrumentul de plata electronica a fost utilizat fara a fi prezentat fizic sau fara identificarea electronica a acestuia (PIN, coduri de acces).

… conform Regulament BNR nr. 6 din 11/10/2006 privind emiterea și utilizarea instrumentelor de plată electronică și relațiile dintre participanții la tranzacțiile cu aceste instrumente. Așadar, teoretic, chiar dacă ați face o tranzacție în țară iar după câteva minute o alta într-o altă țară, atâta timp cât aceste tranzacții au fost verificate cu PIN, singurul răspunzător ești tu! Consider că acest regulament ar trebui adaptat la noile tipuri de atacuri existente în acest moment.

Banca ar fi putut face mai multe investigații? Cu siguranță! Dar de ce să îți pese de client?

Bineînțeles că a făcut și o plângere către banca în cauza BRD și răspunsul primit a fost următorul:

Stimate Domn (Doamnă) (oare nu puteau oferi un răspuns personalizat?)

Referitor la avizul de refuz de plată întocmit pentru o operațiune de eliberare numerar din data de 30/12/2011 în valoare de 1000 RON efectuată la ATM BRD […]

vă facem cunoscut faptul că s-au întreprins măsurile necesare în vederea soluționării contestației Dvs., însă, pe baza jurnalului și a balanței ATM-ului mai sus menționat a rezultat faptul că această operațiune a fost finalizată. ATM-ul eliberând numerarul solicitat.

Menționăm faptul că această tranzacție a fost efectuată în mediu electronic (ATM) cu un card electronic. În această situație tranzacția nu putea fi efectuată decât prin utilizarea simultană a cardului și a codului PIN, care este unic și care trebuie cunoscut doar de Dvs.

În aceste condiții considerăm contestația Dvs. nejustificată și ca urmare contul Dvs. a fost debitat cu suma de 6 RON, reprezentând comisionul aferent pentru inițierea nejustificată a unui refuz de plată.

Bineînțeles că banca nu mai are imaginile de la ATM și nici nu s-a sinchisit măcar să facă investigații mai amănunțite. Știrea e mai jos:

Întâmplarea face să am și eu un card ca al doamnei în cauză. Cardul respectiv e cu chip EMV care, cu un reader banal poate fi citit și se pot vedea informațiile stocate pe el. Informațiile nu pot fi șterse sau modificate întrucât e necesar un certificat de securitate.

Așadar, dacă banca ar fi fost interesată să afle cu adevărat ce s-a întâmplat ar fi putut cere și cardul pentru a verifica ce s-a întâmplat. Pe acest chip sunt trecute câteva informații ajutătoare:

Application Transaction Counter (ATC) și Last Online ATC Register – prima informație arată câte citiri ale chip-ului au fost făcute, iar ultima câte tranzacții (inclusiv citiri) au fost sincronizate cu serverul. Cu alte cuvinte, eu daca citesc o singură dată acest chip, valoarea ATC va fi valoarea LOATC + 1. După ce merg și îl pun într-un bancomat, valorile vor fi egale.

Mai mult decât atât, pe chip există inclusiv un log cu ce tranzacții au fost făcute, valoarea, data și modalitatea de autentificare (dacă a fost folosit PIN-ul spre exemplu). Iată ce am eu:

Transaction Log:
Log Format:
Cryptogram Information Data (1 byte)
Amount, Authorised (Numeric) (6 bytes)
Transaction Currency Code (2 bytes)
Transaction Date (3 bytes)
Application Transaction Counter (ATC) (2 bytes)
Upper Cumulative Domestic Offline Transaction Amount (6 bytes)
Log Record(s):
Record:
Cryptogram Information Data: 40
Amount, Authorised (Numeric): 00 00 00 00 20 00
Transaction Currency Code: 09 46 (RON)
Transaction Date: 12 06 22
Application Transaction Counter (ATC): 01 17
Upper Cumulative Domestic Offline Transaction Amount: 60 10 03 22 00 00
Record:
Cryptogram Information Data: 40
Amount, Authorised (Numeric): 00 00 00 04 00 00
Transaction Currency Code: 09 46 (RON)
Transaction Date: 12 05 28
Application Transaction Counter (ATC): 01 14
Upper Cumulative Domestic Offline Transaction Amount: 60 10 03 22 00 00
Record:
Cryptogram Information Data: 40
Amount, Authorised (Numeric): 00 00 00 16 00 00
Transaction Currency Code: 09 46 (RON)
Transaction Date: 12 05 21
Application Transaction Counter (ATC): 01 13
Upper Cumulative Domestic Offline Transaction Amount: 60 10 03 22 00 00

Astea sunt doar câteva exemple, că logul e plin. Să luăm a2a înregistrare:

Record:
Cryptogram Information Data: 40
Amount, Authorised (Numeric): 00 00 00 04 00 00
Transaction Currency Code: 09 46 (RON)
Transaction Date: 12 05 28
Application Transaction Counter (ATC): 01 14
Upper Cumulative Domestic Offline Transaction Amount: 60 10 03 22 00 00

Am facut o tranzactie de valoare 400, în moneda RON, pe data de 28-05-2012, tranzactie cu codul 14. Ultima valoare indică cât mi se poate lua într-o tranzacție offline (de exemplu când plătesc la un POS din avion, în timpul zborului, când nu există conexiune directă cu serverul).

Upper Cumulative Domestic Offline Transaction Amount: Issuer specified data element indicating the required maximum cumulative offline amount allowed for the application before the transaction goes online.

Totodată mai observați că între prima și a2a tranzacție, contorul sare de la 14 la 17, ceea ce înseamnă că am avut câteva tranzacții de tipul Card Not Present, în cazul meu fiind vorba de tranzacții online. Dar chiar și acestea au fost înregistrate undeva, deci contorul nu a sărit de la 14 la 15.

Din păcate astea sunt băncile de la noi, iar BRD-ul dă încă odată dovadă de nepricepere, durere în fund, servicii proaste.

Chiar și în condițiile de mai sus e foarte posibil ca banca tot să nu-și fi recunoscut vinovăția întrucât câți știu că pe chip se scriu loguri?

Ca recomandări:

• folosiți o bancă mai serioasă – până acum cea mai sigură pentru mine e ING
• activați notificare prin mesaje scrise pentru tranzacțiile ce depășesc o anumită sumă
• setați pragul maxim așa cum considerați pentru tranzacțiile la POS, ATM, făcute atât la banca proprie cât și la alte bănci
• schimbați PIN-ul lunar
• țineți sumele mari într-un alt cont ce nu are atașat un card

BRD fură, BRD face fraudă, BRD înșeală clienții, BRD are comisioane mari, BRD are cele mai dotate fătuci la front-office.

UPDATE: câteva precizări noi găsți aici.

Instiintare @Antena1 Orange Romania v-a desemnat numarul castigatorul irevocabil a unui premiu in valoare de 20000€ Pentru mai multe detalii apelati operatorii nostrii 0751859055 0751840160
ATENTIE
Cod validare 62742
Va Multumim

Iată şi mesajul:

Trecând peste greselile de scriere, am încercat să aflu mai multe detalii. Pe net, e plin de astfel de mesaje (click me).

Primul gând la citirea mesajului a fost: „Guys, you chose the wrong person to f*** with!”. Am aflat că operează mai multe persoane, aflate în zone diferite: unul e în Târgovişte, celălalt prin alt judeţ din SE. Am zis să văd ce metodă au, aşa că am pregătit din timp următoarele informaţii, in caz că mi le cer:

Curca Stejarel
Strada Dimitrie Iov nr 284, bl 7, ap 69, oras Flamanzi, jud botosani, cod 717155
CNP: 1790122712601
RO40RNCB0315091156920001 bcr
62742

După vreo 20 de încercări de a suna (fie îmi tot respingeau apelul, fie intra direct mesageria vocală), am reuşit să prind legătura. Fără alte cuvinte, iată ce a ieşit:

Frauda mesaj SMS Orange Antena1

Din păcate ultimele 5 minute nu s-au înregistrat. În momentul în care spunea că înregistrez, ţineam mâna lânga microfon şi se auzea mai aiurea. Din fericire a înghiţit găluşca (iar mie nu mi s-a virusat telefonul ). Totodata pe telefon am dezactivat primirea unor mesaje speciale (teasing: voi vorbi la DefCamp despre ele, aşa că staţi aproape) tocmai pentru a preveni orice eventuală problemă. Ce m-a dat cel mai mult pe spate a fost că ei de fapt se foloseau de alte fraude ca să te liniştească, să pară cât mai real. Totodată nu ştiu cum ar fi reuşit ei să deschidă un cont bancar pe numele unei alte persoane! Apropo, contul „ro91rncb2010067284212100″ pe care mi l-au dat ei nu este valid, nu aparţine niciunei persoane (thanks BCR 24 banking).

În ultimele 5 minute mi-a mai explicat încă odată că nu e o fraudă. Totodată i-am întrebat cum fac să dau de ei iar să le comunic codurile de reîncărcare, iar răspunsul lor a fost că această convorbire se păstrează în arhivele Orange şi SRI („ştiţi da, SRI e Serviciul Român de Informaţii” mi-a zis) iar apelul nu se intrerupe. Aşadar eu trebuia să nu întrerup apelul şi ei stau cu mine în telefon cele 20 min cât aş fi fost să cumpăr voucherele Orange. Convorbirea s-a terminat astfel:

– Da da, acum mă pregătesc să plec
– Îmi spuneţi când aţi ieşit pe uşă
– Bineînţeles!
… call dropped

Numerele le-am raportat deja la Orange, iar de unul ştiau deja şi era în curs de închidere.  Culmea e că aceste faze încă mai merg.

UPDATE: alte numere de pe care se face fraudă cu SMS Orange Antena1 sunt 0751892148 , 0751762223 , 0756491486