Wielka Orkiestra Świątecznej Pomocy wspólnie z MasterCardem w tym roku zaproponuje innowacyjny sposób wpłat – eSkarbonki. Kłopot w tym, że najbardziej z jego wprowadzenia mogą ucieszyć się… internetowi złodzieje. Może się okazać, że ten pomysł napędzi im „interes” jak nigdy dotąd
Wielkimi krokami nadchodzi kolejny finał Wielkiej Orkiestry Świątecznej Pomocy – jednej z największych w Polsce, a na pewno najbardziej spektakularnej akcji charytatywno-wychowawczej. Z roku na rok to pomaganie jest łatwiejsze. Kiedyś można było wrzucić pieniądze do puszki, wysłać przelew albo SMS-a premium. A teraz?
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Część wolontariuszy chodzi z terminalami do płatności zbliżeniowych, w bankomatach można – przy okazji wyciągania pieniędzy – zrobić przelew do owsiakowej fundacji, a mBank, nowy partner bankowy Orkiestry, już zapowiedział nowe możliwości zasilania Wielkiego Finału za pomocą aplikacji mobilnej. Na Owsiaka będzie można wpłacać pieniądze przez PayU, czy PayPala. Można nawet wpłacać bitcoiny via system BitPay.
Czytaj też: Jak w zeszłym roku można było dorzucić się do Wielkiej Orkiestry
eSkarbonka nowym sposobem pomagania. Wirusowego
W tym roku finansiści zaproponują wolontariuszom też inną, tyleż ciekawą, co kontrowersyjną formę pomagania – eSkarbonki. Każdy zarejestrowany przez Fundację wolontariusz poza pobraniem ze sztabu fizycznej skarbonki będzie mógł mieć drugą – wirtualną. Będzie nią przypisany do danej osoby link, który będzie można pobrać za pomocą platformy iWolontariusz.pl. O tej nowej formie zbierania datków poinformował właśnie jej współorganizator – MasterCard.
Kliknięcie w link pozwoli przeprowadzić płatność online, prawdopodobnie przelewem online, kartą oraz za pomocą portfela MasterPass (czyli bezpieczniejszej formy płacenia kartą, dostępnej dla tych, którzy mają zapisaną kartę w „sejfie” MasterCarda o nazwie MasterPass właśnie). To oznacza, że każdy wolontariusz może rozesłać link wśród znajomych albo wkleić w swoich mediach społecznościowych i tym samym zachęcać do łatwego pomagania. MasterCard jest dumny:
„Środki zebrane przez wolontariusza, zarówno za pomocą fizycznej skarbonki, jak i tej elektronicznej, zostaną przekazane WOŚP jako zgromadzone przez konkretną osobę. W ten sposób, po raz pierwszy, wolontariusze otrzymają możliwość sumarycznego kwestowania również online, dzięki czemu zbiórka pieniędzy w sieci nabierze nowego wigoru”
– pisze w komunikacie MasterCard. Wszystko pięknie: zamiast wchodzić na stronę Orkiestry Jurka Owsiaka, na strony partnerów akcji – mBanku, czy Allegro – lub współpracujących z nią serwisów płatnościowych (PayU, czy PayPal) o link umożliwiający zapłacenie online będzie się można dosłownie potknąć.
Linki do płatności? To ulubiona broń oszustów
Jest tylko jedno „ale”: podsyłane w sieci linki do płatności to ostatnio popularny sposób oszustów, którzy wyłudzają od nas pieniądze. Patent jest modny zwłaszcza na platformach takich jak OLX, gdzie ludzie wystawiają przedmioty na sprzedaż. Opisywałem na „Subiektywnie o finansach” przykłady okradzionych klientów, którzy dali się nabrać na kliknięcie w podesłany link, który miał zapewnić szybką płatność i przyspieszać transakcję.
Czytaj o tym: Kupiła kosmetyki na OLX, a straciła wszystkie pieniądze z konta. Wszystko przez ten link
Link przekierowywał na fałszywą stronę płatności. Ofiara, nieświadoma, że jest na „podstawionej” stronie, podawała login i hasło do swojego konta, a potem hasło SMS do autoryzacji przelewu. Tyle tylko, że złodzieje równolegle logowali się w banku na dane klienta i zlecali „swój” przelew. I to ten przelew klient autoryzował, a nie żadną płatność za przedmiot kupiony na aukcji.
Obawiam się, że pomysł z linkami i eSkarbonkami to ta sama, lecz zmultiplikowana po tysiąckroć dzięki przekazowi marketingowemu, okazja dla złodziei. Wśród setek tysięcy i milionów prawdziwych linków „należących” do wolontariuszy Wielkiej Orkiestry będą tysiące linków kolportowanych przez złodziei, które będą przekierowywały na strony łudząco podobne do „orkiestrowych”. A tam już złodzieje będą czekali na nasze loginy i hasła do kont bankowych.
Nawet jeśli uda się tak skalibrować działanie prawdziwej eSkarbonki, by użytkownicy mogli łatwo „potwierdzić jej tożsamość”, to po pierwsze informacja o tym jak odróżnić prawdziwą eSkarbonkę od „fałszywki” nigdy nie dotrze do wszystkich, a po drugie już sam fakt, że ludzie są zachęcani do klikania w jakieś podsyłane przez internet linki po to, żeby dokonywać jakichś płatności, może być tragiczny w skutkach.
Linki do płatności? To ryzykowne
Od wielu miesięcy proszę Was, byście nie odpowiadali na żadne prośby o płatność podsyłane za pomocą linków (co innego jeśli sami jesteście na stronie sklepu i klikacie ikonkę „zapłać”, po czym system przekierowuje Was do zakładki płatności). Ba, odradzam nawet klikanie w linki z Google’a z nazwą Waszego banku! Zdarzyło się, że na pierwszym miejscu Google wyświetlił mojej czytelniczce link do fałszywej strony banku. Starsza pani straciła w ten sposób 20.000 zł tylko dlatego, że na stronę swojego banku wchodziła „z Google’a”, a nie własnoręcznie wpisując nazwę strony do wyszukiwarki.
Czytaj o tym: Stracila 20.000 zł z konta w BZ WBK, bo weszła na stronę banku z wyszukiwarki Google
Oby przy okazji „nowego rozpędu” w zbieraniu pieniędzy przez Orkiestrę Jurka Owsiaka nie pojawiły się przypadki okradzionych metodą „na fałszywy link” ludzi. Szkoda ludzi, którzy zostaliby ukarani za chęć pomagania i szkoda Owsiaka, bo nieprzychylni mu politycy i dziennikarze na pewno wykorzystaliby taki fakt do dyskredytowania całej, godnej poparcia akcji.
MasterCard odpowiada: „będziemy edukowali”
W dniu, w którym przygotowywałem ten tekst nie udało mi się uzyskać komentarza organizacji płatniczej MasterCard do tej sprawy, ale nadszedł po upływie kolejnej doby. W ospowiedzi na publikację czytam, że „w zbiórce za pośrednictwem eSkarbonek zakładanych przez wolontariuszy zastosowano rozwiązania technologiczne, które gwarantują bezpieczeństwo”. A także, że…
„Wszystkie eSkarbonki wolontariuszy będą dostępne tylko pod linkami zaczynającymi się od https://zrzutka.pl… Działają one na podstawie współpracy ze zrzutka.pl, organizatorem zbiórek o uznanej reputacji (…). Kluczowe jest, żeby darczyńca upewnił się, czy strona internetowa ze zbiórką, którą otwiera w przeglądarce, rzeczywiście zaczyna się od https://zrzutka.pl. Strona zrzutka.pl jest chroniona certyfikatem bezpieczeństwa, który każdy internauta może rozpoznać po zielonej kłódce wyświetlającej się obok paska adresu w przeglądarce internetowej”
MasterCard przekonuje, że jeśli darczyńca dochowa elementarnych zasad bezpieczeństwa, jego pieniądzom nic nie grozi. W porządku, ale wiemy w praktyce, że nie każdy dochowuje zasad bezpieczeństwa, a fruwające po internecie linki do serwisów płatności na pewno nie budują dobrych nawyków w tej kwestii.
W dalszej części wywodu MasterCard namawia, by sprawdzać dokładnie SMS-y autoryzacyjne przy przelewaniu pieniędzy na WOŚP po kliknięciu w link. To, niestety, potwierdza, że organizacja płatnicza też bierze pod uwagę, że znajdą się oszuści, którzy zechcą podszyć się pod eSkarbonki.
„Po wybraniu metody płatności i jej zatwierdzeniu darczyńca jest przekierowywany do operatora płatności, którego strona jest zabezpieczona w analogiczny sposób. Nazwa „zrzutka.pl” będzie widoczna też w trakcie potwierdzania transakcji, np. w treści SMS-a z jednorazowym kodem do potwierdzenia płatności. (…) W najbliższych dniach będziemy prowadzić intensywne działania informacyjne, które pomogą darczyńcom rozpoznać prawdziwą eSkarbonkę”
Cóż, dobre i to. Wolałbym, żeby nie trzeba było działaniami informacyjnymi naprawiać budowania wśród Polaków ryzykownych nawyków.
źródło zdjęcia: SuperExpress
