Już widzę, jak naklejany jest tam "własny" kod QR, kierujący do łudząco podobnej strony
@vipe "W celu zabezpieczenia przed próbą przekierowania smatfona do niepożądanego adresu, kody QR są drukowane w technologii 3D, a każda transakcja jest szyfrowana technologią 3D Secure, uniemożliwiającą pobranie płatności bez autoryzacji."
@zuchtomek a, to spoko xD
Przecież jak ktoś naklei swój kod QR, to żadne szyfrowania nie pomogą, bo użytkownik trafi w inne miejsce, gdzie zapłaci oszustowi, a nie miastu.
@slawek-borowy Kod jest w 3D czyli wypukły, a nie płaską naklejką. Jak ktoś naklei swój to będzie to widać...
Oczywiście możesz powiedzieć, że co to za problem wydrukować taki kod na domowej drukarce, zerwać stary i nakleić w jego miejsce nowy - nie wiem tylko czy się będzie opłacało za te szalone 5zł od auta.
@zuchtomek o, to ciekawy myk! nie było tego dobrze widać na ilustracji z tekstu, nie do końca wiedziałem co rozumieją przez "druk 3d", ale faktycznie, jest to ciekawe zabezpieczenie, niepotrzebnie się zesrałem
@slawek-borowy No sprytne przyznaje również
Natomiast ten bełkot o szyfrowaniu połączenia to faktycznie mogli sobie darować bo głównym wektorem ataku mogłoby tu być przekierowanie kodu właśnie
@zuchtomek To bardzo słabe zabezpieczenie. Na allegro można sobie zamówić tabliczkę z dowolnym nadrukiem za 30-50zł. Tak, będzie to 2D, ale będzie to tabliczka, którą możesz nakleić na to i obstawiam, że 90% ludzi nie zauważy, że pod spodem jest coś innego.
@vipe No mając ludzi za idiotów skończonych dochodzimy do etapu, że trzeba im pisać na kubkach, że kawa jest gorąca..
To nie jest jedyna opcja opłacenia jeżeli ktoś się boi..
Domyślam się, że mandaty jednak wystawiają i ktoś to weryfikuje więc ludzie od razu by zgłosili, to nie wiem czy jakiś groźny przestępca zdążyłby się nachapać i czy to w ogóle warte zachodu i ryzyka..
@zuchtomek Dokładnie przez ignorancję (tj. "ludzie przecież nie są tacy głupi") udaje się przeprowadzać takie akcje. Przecież ludzie nie są tacy głupi, żeby otwierać załącznik do emaila od nieznanego nadawcy, prawda? Część ludzi się zorientuje, natomiast jak pokazują doświadczenia - pełno ludzi się nabiera, zwłaszcza jeśli wektor ataku jest innowacyjny (a poniekąd można tu o takim mówić, bo przy płatności za parking to jednak nowość).
Zgadza się, że parkingowy powinien to wyłapać w miarę szybko, o ile ktoś mu zleci taki obowiązek, oraz gdy będzie się on z tego obowiązku regularnie wywiązywał.
Natomiast ja mam w głowie już kilka innych pomysłów, jak można wykorzystać tą sytuację w celu wyłudzenia, ale nie będę pomagał przestępcom.
Myślę, że w niedługiej perspektywie coś tutaj usprawnią, aby utrudnić takie oszustwa, albo ta metoda opłacania zniknie. A stanie się to albo względnie szybko, gdy ktoś decyzyjny pójdzie po rozum do głowy, albo (co bardziej prawdopodobne) z opóźnieniem, kiedy zaczną spływać reklamacje o oszustwach.
@vipe W tych Twoich wektorach ataku i biznesplanie - jaki przewidujesz zysk z takiego procederu?
Bo ja nigdzie nie twierdzę, że się nie da - twierdzę, że się nie opłaca.
Ludzi trzeba edukować, a nie zakładać, że są debilami (chociaż czasem są). Czasem musi ich dotknąć odpowiedzialność za własne błędy.
Bo to tak jak piszesz - podobna sytuacja jak "Przecież ludzie nie są tacy głupi, żeby otwierać załącznik do emaila od nieznanego nadawcy, prawda?" - tylko co z tym zrobić? Zakazać maili? Listy też podrabiali nie martw się..
@vipe No i parkometry też można oczywiście podstawić swoje, pozakładać skimmery na 'klasyczne' parkometry czy nawet przebrać się za parkingowego i pobierać opłaty ¯\_( ͡° ͜ʖ ͡°)_/¯
@zuchtomek Nie robiłem żadnego biznesplanu, żeby liczyć jakie będą zyski. Sęk w tym, że obecne rozwiązanie stwarza wachlarz potencjalnych nadużyć, które są do zaimplementowania za grosze, a przy tym ryzyko odpowiedzialności jest bardzo małe. Dlatego jest to złe. Dla porównania weźmy Twój przykład z podmianą parkometru - jest to niewspółmiernie drogie (delikatnie ujmując) i w związku z tym niesie duże ryzyko, że się nawet nie zwróci, nie mówiąc o zyskach. Podszywanie się pod parkingowego niesie ze sobą z kolei duże ryzyko złapania i odpowiedzialności karnej.
Wysyłanie emaili ze złośliwymi załącznikami było i jest praktykowane dlatego, że jest a) tanie, b) praktycznie bezkarne, c) zysk się nieźle skaluje.
W tym przypadku z QR kodami łatwo spełnić a i b. Kwestia dyskusyjna to punkt c, ale przecież podmieniony adres wcale nie musi mieć na celu okradanie z 5zł za jednorazowe parkowanie, ale może służyć do wykradania nr kart płatniczych, itp.
I zgadzam się, że ludzi należy edukować, ale jednocześnie nie należy ułatwiać życia oszustom. No bo skoro ludzie nie dadzą się nabrać na podrobiony QR, to po co w ogóle robiono ten QR w 3D? Ano żeby utrudnić życie oszustom. Niestety w mojej ocenie to utrudnienie jest znikome.
@zuchtomek ...i jeszcze odnośnie skimmerów - na parkometrach ich nie robią, bo tam płacisz - jest to klasyczna, autoryzowana jednorazowo operacja kartą. W bankomatach wpisujesz PIN (choć już nie zawsze, dzięki blikowi), co czyni skimmery użyteczne.
Jeśli ktoś chciałby używać skimmera na parkometrze w celu przechwytywania tych 5zł, to znowu kłania się kiepski stosunek kosztu do zysku. Natomiast kiedy klient wejdzie na złośliwą stronę, to zyski mogą drastycznie wzrosnąć.
Koszty w dół (tabliczka z QR kodem vs skimmer), zyski w górę (przejęcie danych karty vs przejęcie 5zł z opłaty jednorazowej).
@vipe Różnica z podstawionym parkometrem jest taka, że nikt nie wie gdzie trafiają pieniądze o ile nie złapie Cię na gorącym uczynku i takie przypadki były, albo np. celowo uszkodzone wrzutniki monet, czy nawet głupie lornetki do patrzenia, które z założenia nie działają tylko zbierają drobniaki - zero ryzyka.
Nawet nie trzeba podmieniać tylko postawić obok swój.
Przy płatności kartą przestępcy również stosują skimmery lub fizycznie 'uszkadzają' parkometr tak aby zablokował kartę.
Nie wszystkie płatności w internecie wymagają potwierdzenia PINem - to już zależy od banku i poziomu zabezpieczeń.
Wysyłanie maili jest przede wszystkim anonimowe i takich też wpłat wymaga - w kryptowalutach.
W przypadku podmiany ich strony należałoby wskazać jakieś istniejące i zarejestrowane w banku konto (oczywiście można się posłużyć słupem i rozmyć odpowidzialność) i blokada takiego myślę, że by zadziałała dość szybko.
Kod jest 3d bo ja nie twierdzę nigdzie, że oszuści ich nie podmieniają ani, że nikt nie da się nabrać - jest to adekwatny 'koszt' do zabezpieczenia i pozostałego ryzyka.
Kodem QR też ukradniesz 5zł, chyba, że bardzo nieogarnięta osoba potwierdzi w banku przelew na więcej.
Danych karty zdobędziesz tyle co skimmerem - bez PINu i bez hasła do konta - bo te jest obfuskowane chyba już wszędzie i podaje się tylko poszczególne znaki, a sama transakcja i tak musi być potwierdzona kodem z sms bądź aplikacji.
Pomijając zupełnie, że akurat na tej ich stronie szczecińskiej będzie można płacić też blikiem, który żadnych danych nie ujawnia.
i jeszcze - szczecińskie parkomaty jak najbardziej mają pinpady do płatności kartą bo tu nawet nie chodzi o kwotę (ta też może być wyższa gdy płacisz nie wiem, za dobę na przykład), ale nawet kupując czasem chleb w sklepie bank pyta o PIN co ileś tam transkacji, albo jak płacisz jedna po drugiej.
https://www.youtube.com/watch?v=dHHFfHvXzNY&t=32s
p0lak wszędzie widzi oszustwo.
Dzisiaj chyba każdy bank ma w swojej aplikacji możliwość zakupu biletu parkingowego, często z dokładnością płacenia za każdą minutę postoju, bez konieczności wyliczania z góry ile zajmie ten postój, także dziwię się tym, którzy korzystają jeszcze z tradycyjnej formy kupowania biletów w parkometrze. Oczywiście mam tu na myśli głownie większe i średnie miasta, bo rozumiem, że w tych małych jedyną opcją pozostają parkometry i wtedy taki kod QR mógłby być pomocny, ale jednocześnie ryzyko nadużyć istnieje. I raczej takie udogodnienia powstają w dużych miastach, nie małych.
@Yarecky Panie, jak ja z prowincji pojadę do dużego miasta to ile tych aplikacji mam mieć żeby w każdym mieście w Polsce mi to działało?
Zaloguj się aby komentować