Iz priče "Kako je EU uništio beskontaktno plaćanje

Ovo uopće nije retoričko pitanje.

Domagoj, zanimljivo je gledati kako se uvijek oduševljavaš novim tehnologijama. Nekad je to bio Surface, danas je Revolut... čovjek bi pomislio da si maneken nekih kompanija.

Iz članka:

Nije mi baš jasno kako bi nas limit od 150€ mogao spasiti od recimo krađe kartice i činjenice da netko u kratkom roku može naštancati puno malih (do 100 kn) transakcija bez da zna naš PIN. Puno efikasnije mjere bi bile mobilna notifikacija za svaku transakciju (koju online banke već imaju), mogućnost brzog zamrzavanja kartice kroz aplikaciju (pogodite tko to već ima) ili jednostavno detekcija velikog broja malih transakcija u kratkom vremenu.

Ajmo redom:

> Nije mi baš jasno kako bi nas limit od 150€ mogao spasiti od recimo krađe kartice i činjenice da netko u kratkom roku može naštancati puno malih (do 100 kn) transakcija bez da zna naš PIN. 

Po istoj logici, limit od 100kn ničemu ne služi. Ili da ridikuliziram do kraja: čemu blokada nakon 3 puta krivo upisanog pina/passworda, hoće li to zaustaviti brute force hack?

Promatrajući tvoj način razmišljanja, ne sagledavajući ukupne posljedice (širu sliku), postaje mi jasno kako su "zli bankari" uspjeli ne-sagledati posljedice preprodaje toksičnih vrijednosnica (derivatives) baziranih na neotplativim hipotekarskim kreditima (što je uzrokovalo zadnju globalnu financijsku krizu).

Pojednostavljeno: svaki dio za sebe funkcionira, ali kad ih spojiš, imaš generalno shranje.

Limit od 150€, izvan (sagledanog) konteksta doista zvuči birokratski glupo. Ali substitucija "Revolutom" nije instant riješenje.

3 "riješenja" zlouporabe koje si naveo:

1) mobilna notifikacija za svaku transakciju

2) mogućnost brzog zamrzavanja kartice kroz aplikaciju

3) detekcija velikog broja malih transakcija u kratkom vremenu

1) Glede samih notifikacija, kao (ex) WP fan, morao bi biti upoznat sa potencijalnim problem kašnjenja pa čak i neisporuke istih. I to bez potencijalne prednamjere (malicioznosti namjera).

Druga stvar koju ne uzimaš dovoljno u obzir, riječ je o mikrotransakcijama u vrlo kratkom vremenskom roku.

Najbrutalniji hipotetski primjer: trenutno, ukradenom karticom će ti na prodajnom mjestu skinuti 1000€ u <2 minute. Nemoj me pitati kako, riječ je o sigurnosnoj rupi i organiziranom kriminalu. Tvoje riješenje de facto iziskuje aktivno praćenje gro mikrotransakcija 24/7 (kroz notifikacije). Koliko to možeš pratiti dok spavaš ili dok je mobitel ispraženjen, ili si naprosto u vožnji, u bazenu... - privremeno okupiran nečim drugim?

Jbt, mene Google toliko maltretira sa security alertovima "nepoznato" (a moje) "Linux računalo pristupa vašem računu" da sam skoro previdio kad mi je jedan legalan (!) servis pokušao ownati main account. A ovdje govorimo o brzoj, učestaloj gomili mikrotransakcija. (to je ujedno i odgovor na ono pod 3)

Ergo:

2) ("brzo zamrzavanje") Trenutno, dovoljno je kašnjenje od 10 minuta za reakciju pa da si oštećen. Koliko je tvoje "brzo" - brzo? Sad trebamo, osim što smo robovi notifikacija twittera, fb... biti robovi i ovog, pa biti u stalnom stand-byu? 

Konačno:

3) ti sam sebe ovdje ograničavaš, odnosno ograničavaš ideju moderne brze mikrotransakcije. Hipotetska situacija: dogovoriš s prodajnim mjestom da ti pripreme 20 računa, sa uvjetom da ti niti jedan ne prelazi 100kn (iz bilo kojeg razloga želiš izbjeći utipkavanje pina - mind you - to je osnovni smisao nfc plaćanja; banalan primjer - uzeo si karticu od žene "jerbo nešto hitno" - uobičajena loša praksa). Tvoje riješenje jest - kontrola istog preko drugog uređaja (mobitela) i dopuštanje iste transkacije preko tog drugog uređaja. Koliko je to, realno, jednostavnije od - utipkavanja 4 broja (pina)? Shvaćaš li da - što je više karika u lancu, raste mogućnost greške i/ili maliciozne sigurnosne penetracije?

Beskontaktno plaćanje je grub, neprecizan fancy prijevod za nfc. Kad plaćaš preko weba, nije li i to beskontaktno plaćanje? :D
Sad razmisli zašto se to u originalu zove "near field". Near field je sigurnosni uvjet takve transakcije, koji bi ti indirektno zaobišao. "Jer je fizički kontakt zastario"?

I opet, "riješenje" o izbacivanju kartica uopće i prebacivanje sveg na npr mobitel je izgledno u nekoj budućnosti, ali danas je besmisleno. Da, u budućnosti će vjerojatno biti dovoljno otisak prsta i/ili scan šarenice oka, ali tada ti neće ni trebati "Revolut". Do tad ćemo još puno žganaca pojesti.

Kad izbacimo gotovinu uopće iz uporabe, otvorit ćemo pandorinu kutiju za koju sad nismo spremni (ne tehnološki, već civilizacijski): "balast" usporavanja "fizičke transakcije" postoji s razlogom; tehnološki, već danas je moguće da netko nekome "e-polupismenom" u trenu pokupi sve novce s računa i prebaci na Karibe, istodobno blokira sve uređaje za pristup (heh, btc?). Pretpostavka je da takva osoba neće koristiti napredne tehnologije već preferirati "fizičke" transakcije. S razlogom.  

Slažem se da je ovo brute-force "birokratska" sigurnosna mjera, ali ona je trenutno opravdana. Implementacija alternativa (i pristup + sagledavanje problema, uopće) na tvoj način je... big no-no.

Sama kartica prati broj transakcija i iznose te može ovisno o postavkama na njoj te natjerati da umetneš karticu ili tražiti PIN  prije nego odradi komunikaciju s bankom. ( napomena naravno ne govorim o online plaćanju preko web-a i magnetnoj traci,  nego standardno umetanje/prislanjanje  ) 

Sada se to prebacuje i na  MC/Visu da nakon primjerice 150 eura  vrijednosti transakcija (više transakcija ispod 100kn )  oni odbiju tu transakciju i traže te ponovno samo unos pin-a  (bez novog prislanjanja ) ili umetanje kartice  te novu komunikaciju prema banci. 

Nakon toga se vjerovatno counteri restiraju i idemo opet... 

Samo da li je itko ikad napravio 11  CTLS transakcija ispod 100kuna (ili više..) jer postoje i druge provjere već sad? 

Primjer jedan : jedna banka , ako drugačije ne postaviš u mobilnoj aplikaciji po default-u  ima dnevni limit od 10 transakcija bilo čip ili ctls, s unosom PIN-a / bez, i ukupni limit od 5k kuna... 

Tako da o ubojstvu mislim da nema govora. 

evo poravih ti text.

 to se odnosi na revolut kartice, mene zanima službena direkitva EU, što točno tamo piše.
ali i ovo sa revoluta je prilično jasno.
do 150€ možeš plaćati beskontakno, a iznad toga treba čip i pin.
sa time da revolut ima aplikaciju gdje si možeš sam resetirati tih 150€

Mislim da će se i kod nas to pojednostavniti sa plaćanjima preko mobilnih applikacija poput Keks pay i sličnih, a na blagajnama će biti samo qr kod kojeg se skenira i ciao. U kini se tako već radi godinama preko Alipay, Wechat, itd. Kartice postaju samo komplikacije i ne može svaki mali biznis podnijeti trošak od 4-5% po transakciji a nabaviti pos uređaj da ne govorim. 

Postoci idu do 7% za neke kartice i providere. 7% je BRDO LOVE za kvartovski ducan s marginama oko 10-15%, obiteljski lokal, fast food. Uvijek me nervirala bahatost ljudi koji masu karticama i postaju necija statistika, a kad zavrsimo u pubu koji nije u turistickom centru i za genericke praznoglave turiste, ja vadim novcanik (jer gospoda ima samo karticu i da koja je to fora da netko nema POS). Ali vise me ne nervira - navikao sam da su ljudi ovisnici o komfort zoni i ne vole precesto palit mozak. I da zaokruzim - imam 4 kartice iz 3 drzave (plus BE fuel card i EU Shell card koja vazi za cestarine i tunele), ali ne pada mi na pamet na ulicu bez kesa. 

Bekontaktno plaćanje 1 sekunda a pin 4 sekunde. Strašno velika ušteda u vremenu, 0,01% od ukupno provedenog vremena u dućanu. Ozbiljna ušteda, i ne samo u vremenu, bilo bi zakonsko rješenje o neobaveznom ispisu računa ispod 100 kn, osim na zahtjev - ako nekome treba račun za kupljeni sladoled ili 10 dag parizera i pecivo... Runda za sve, bez računa...

Bravo.

BraVO!!

 Kako placati uopce sa google pay. U zabi sam i kad idem dodati karticu visu ili maestro daje mi poruku da se ta kartica ne moze upotrijebiti za bezkontaktno placanje

 Buahahaha, nisi u toku.

Pa otkad postoji beskontaktno plaćanje, postoje i ljudi koji pokušavaju zloupotrijebiti.

Dakle, ne radi se samo o mobitelu već i o kartici u novčaniku. Nadamo se da bi mobitel barem zavibrirao na plaćanje.

Ti si u tramvaju sa novčanikom u džepu hlača, jakne u torbici i slično. Drugi čovjek ima bežični POS uređaj s baterijom i spojen na wifi od mobitela i gura se kroz gužvu pokušavajući na slijepo i nasumice nešto upecati. 5 sekundi? Toliko trebalo dok sam imao RBA na mobitelu. S revolutom često nisam ni došao da uređaja već je transakcija obavljena na nekih 5 cm. Izgleda da ovisi o uređaju. Zapravo nije još obavljena možda, ali s kartice su skinuti potrebni podaci. 

Tko kaže da se ne mogu malo pojačati POS uređaji da hvataju na 10 cm.

Idi po onu lisnicu sa zaštitom.

ako im je do kartične sigurnosti onda neka uvedu obvezu pokazivanja osobne karte (ili bilo kojeg drugog ID dokumenta ) prilikom kartičnog plaćanja,kao što je nekada bilo prije desetak godina(onako okvirno)

Evo update od frenda kojem je lova pocela nestajati sa racuna. Sinoc mu stigne SMS potvrda za autorizaciju transakcije od 75 eura. Ne moze se nista vise kupiti jer je kartica blokirana ali ekipa i dalje pokusava. Nevjerojatno.

1. Potrosili su mu 165 eura na dostavu hrane iz Tesca

2. Potrosili su 100 eura za topup leap carda (kartica za koristenje javnog prijevoza u Dublinu)

-- tu je kartica blokirana od strane banke

3. Narucili su dostavu hrane za 42 eura iz nekog fast fooda

4. Sinoc su jos nesto pokusali uzeti za 75 eura

Ocito je da bi se moglo uci u trag tima koji su to napravili. Dovoljno je samo pogledati gdje je stavka broj 1 zavrsila. Medjutim cijeli sustav je uzasno nakaradan i ne bi me uopce cudilo da Tesco ne zeli dati podatke o kupcu pod 1 jer bi se mozda na taj nacin izlozili nekoj tuzbi zbog povrede privatnosti ili tako nesto.

Iz banke su frendu rekli da ne mogu angazirati Gardu (Irsku policiju) jer je steta manja od 500 eura. Dakle ekipa moze "ladno" tisucama ljudi uzeti po parsto eura bez ikakve bojazni jer su stete pojedinacno manje od 500 eura. Bitno da mi imamo GDPR, novci nam ne trebaju...

BTW, isao sam malo precesljati svoje transakcije u zadnjih 2-3 tjedna. Nisam nasao nista neobicno.

Nemam faking pojma. Mozda su mu 2-step autorizaciju aktivirali nakon sto je on zvao i prijavio probleme. Covjek se vratio sa godisnjeg iz HR, ostavio si parsto eura da ima do place i ovi mu popalili. Uzas jebeni.

Uglavnom, tih 165 eura je jedna transakcija (kupljene pizdarije u Tescu za dostavu)

+ potvrda o nekažnjavanju ne starija od 3 mjeseca

+ uvjerenje da se ne vrši kazneni postupak