21 sierpnia 2019

Czytelniczka ostrzega: trwa atak na kupujących na Allegro. „Nic nie zamawiali, a z kart znika kasa”. Allegro: „reagujemy zanim dojdzie do ataku”. Jak się bronić?

Uwaga na kradzieże, których ofiarą padają użytkownicy Allegro. „Przerażeni klienci dzwonią do nas, że nic nie kupowali, ale z ich konta wyszły pieniądze – zaalarmowała nas właścicielka dużego sklepu internetowego. Przejęcie danych logowania do konta na Allegro, do którego przypięta jest np. karta płatnicza, to dla złodzieja łatwiejsze zadanie, niż próba kradzieży bezpośrednio z konta bankowego klienta. Allegro odpowiada: „zgłoszeń o przejmowaniu kont użytkowników przez złodziei mamy niewiele”

Niemal każdego dnia przybywa sposobów na oszustwa w internecie. Jest ich tyle, że wypadałoby odpiąć się od gniazdka i wyłączyć wi-fi, żeby się przed wszystkimi ochronić. Ale skoro to się nie stanie, trzeba nauczyć się prawidłowo reagować na próby oszustw. I stosować zasady ograniczonego zaufania do kontrahenta.

Najbardziej prymitywne sposoby oszustw to po prostu sprzedaż podróbek, albo oszukańcze oferty. Cena czyni cuda i wielu użytkowników daje się złapać na markowy sprzęt po „okazyjnej” cenie. Niemało jest prób kradzieży opartych na manipulacji – przekierowania płatności na złodziejskie konto – najczęściej poprzez podesłanie klientowi, który wygrał aukcję, linku do fałszywej strony płatności. Zdarzają się też fałszywe strony: szukasz towaru za pomocą wyszukiwarki (np. wpisując „adidasy, allegro”) i trafiasz na złodziejską stronę, która została przez przestępców wypromowana w Google’ach, żeby wyskakiwała wyżej, niż prawdziwa. 

Czytaj też: Dzięki temu trikowi złodzieje ukradli nam co najmniej 260 mln zł. A banki nie palą się do walki. Bo „przelewów jest za dużo”. To liczymy!

Czytaj też: Wyjątkowo podstępny phishing: e-mail wysłany z „prawdziwego” adresu banku. Jak to możliwe? Część banków… „zapomniała” o zabezpieczeniu

Czytaj też: To najbardziej „rentowny” sposób okradania klientów banków. Do złodziei płyną miliony. GIIF: „banki powinny bardziej się starać”

Kradzieże kont na Allegro: przychodzą falami?

Użytkownicy Allegro – największej w Polsce platformy zakupowej – są w zasadzie nieustannie na pierwszej linii frontu. Tutaj non stop odbywa się handel, wymiana danych, dóbr i pieniędzy. To idealne warunki dla oszustów i złodziei.

Oprócz wyżej wymienionych sposobów kradzieży pieniędzy zdarzają się też klasyczne przejęcia kont na Allegro. Przecież każde takie konto to „mały bank”. Użytkownicy często podpinają do konta np. karty płatnicze, konta bankowe, żeby móc płacić na Allegro jednym klikiem. A to oznacza, że login i hasło do konta na Allegro mogą być dla złodzieja kluczem do pieniędzy klienta (np. poprzez robienie zakupów na jego konto).

„Jesteśmy dużym sklepem internetowym, wystawiamy produkty m.in. na Allegro. Od kilku tygodni na Allegro dokonywane są włamania na konta klientów. Z kont tych wykonywane są i opłacane zakupy cennych towarów, które potem można upłynnić.. Moim zdaniem Allegro nie potrafi tego opanować”

Tak napisała do nas czytelniczka, pani Dorota, a na dowód przesłała screenshot z dyskusji na facebookowej grupie sprzedawców. Jak widać, problem przejmowania przez złodziei kont na Allegro jest tu bardzo gorący:

Pani Dorota relacjonuje, że Allegro zgłasza sprawy kradzieży na policję, ale to oczywiście nie odstrasza złodziei.

„Prawie każdego dnia mamy takie „fałszywe” zamówienia. Przerażeni klienci dzwonią do nas, że nic nie kupowali, a z ich konta wyszły pieniądze. Druga grupa klientów to ludzie, którzy mają informację, że z ich kart próbowano przelewać wpłaty, lecz transakcja nie została zawarta”

Jeśli zarówno bank, jak i sklep internetowy, stosują procedurę bezpieczeństwa zwaną 3D Secure, to przejęcie konta Allegro nic złodziejowi nie da – nawet jeśli do tego konta jest przypięta karta płatnicza. 3D sSecure wymusza bowiem dodatkowe potwierdzenie każdego zakupu poprzez podanie przesłanego na nasz smaertfon kodu SMS bądź poprzez zatwierdzenie zakupu w aplikacji mobilnej banku-wydawcy karty.

Jak 3D Secure wygląda od strony praktycznej? Było o tym podczas niedawnego webinarium. Na nagraniu znajdziecie także listę banków, które dla swoich kart stosują 3D Secure. Oczywiście, aby to dodatkowe zabezpieczenie zadziałało, także sklep internetowy musi go wymagać. Ale porządne sklepy już z reguły 3D Secure mają „włączone”.

Czytaj teżWyjątkowo podstępny wirus. Wymusi zmianę sposobu, w który banki dostarczają nam wyciągi z rachunków?

Czytaj też: Straciła 20.000 zł, bo weszła na fałszywą stronę banku. Czy banki powinny lepiej nas chronić?

Czytaj też: Kosztowna pomyłka na Allegro? Sprzedawca zapomniał dopisać jedno zero do ceny. Klient kliknął superokazję i… powstał megaproblem

Niewykluczone, że proceder dotyczy raczej osób, które płacą na Allegro przelewem. Po wybraniu takiej właśnie opcji płatności klient jest przekierowany na fałszywą stronę logowania do swojego banku. Jeśli się nie zorientuje, że coś tu nie gra – może stracić co najmniej wrażliwe dane. A jeśli złodziej zdąży „podłożyć” własną transakcję, którą nieuważny klient zatwierdzi SMS-em…

Allegro prostuje, że powyższy opis sytuacji może wprowadzać w błąd i wynika z niezrozumienia procedur: „co do zasady prowizji nie zwraca klient, tylko my jako Allegro zwracamy sprzedającemu prowizję wtedy, kiedy do transakcji nie doszło (a w takim przypadku przecież nie doszło). Prawdopodobnie klient dostał od nas prośbę o potwierdzenie, że faktycznie tak było”.

Co może zrobić użytkownik, który stwierdzi, że ktoś bez jego wiedzy dokonał zakupów na jego rachunek?

„Nie mamy zwiększonej liczby zgłoszeń takich przypadków, choć faktycznie sporadycznie zdarzały się. Z pewnością nie są one związane z problemami po stronie Allegro, a działaniem osób trzecich. Najprawdopodobniej klienci Allegro były ofiarami phishingu, albo konta zostały przejęte po instalacji szkodliwego oprogramowania na komputerach. Na bieżąco monitorujemy sytuację i zdecydowaną większość prób naruszenia bezpieczeństwa udaje nam się od razu samodzielnie wyłapać i udaremnić. Bardzo prosimy wszystkie osoby które podejrzewają, że na ich koncie mogło dojść do włamania o zgłoszenie tych prób bezpośrednio do nas. Każdy taki przypadek dokładnie wyjaśnimy”

Jak się bronić? Najważniejsze, to zachować zdrowy rozsądek. Warto też, niezależnie od tego, czy mamy do konta podpiętą kartę płatniczą, czy też nie, zabezpieczyć konto za pomocą dwustopniowego logowania. Wtedy oprócz hasła do konta Allegro wpisujemy dodatkowo kod z SMS-a, którego Allegro wysyła na smartfon użytkownika (kupującego).

To procedura podobna do 3D Secure. Użytkownik loguje się do konta za pomocą tego co wie (login, hasło) oraz czegoś, co ma (smartfon i SMS autoryzacyjny). Włączenie dwuskładnikowego logowania raczej wyklucza – albo przynajmniej bardzo utrudnia – przejęcie konta Allegro przez złodzieja. Połączenie dwuskładnikowego logowania z 3D Secure to już całkiem solidna porcja bezpieczeństwa.

A gdy stanie się nieszczęście? Allegro przypomina działania, które trzeba jak najszybciej podjąć:

  • zgłosić to do nas, najłatwiej zrobić poprzez stronę Allegro Pomoc
  • zgłosić sprawę organom ścigania
  • skontaktować się z bankiem i wystąpić o tzw. chargeback, jeśli płatność była dokonana za pomocą karty płatniczej 
  • należy również pamiętać o podstawowych zasadach bezpieczeństwa: regularne skanowanie komputera, regularne zmiany haseł, wystrzeganie się podejrzanych stron logowania oraz, bezwzględnie, posiadanie różnych haseł do kont (np. Allegro) i powiązanych z nimi skrzynek e-mailowych.

źródło zdjęcia: PixaBay

26
Dodaj komentarz

avatar
9 Comment threads
17 Thread replies
2 Followers
 
Most reacted comment
Hottest comment thread
21 Comment authors
TadekDarek M. W.DawidMaciej Śnieżek - AllegroIreneusz Sudak Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
Rafal
Gość
Rafal

Jest jeszcze kupno z niedokończona płatnością.

Coś co mi się zdarzyło, jeśli kupujący zainicjuje płatność ale jej nie dokończy z różnych powodów (błędny kod, brak środków na koncie), sprzedający dostaje i tak informacje o rozpoczęciu płatności i wyboru formy dostawy. Bardzo łatwo pomylić z potwierdzeniem płatności. Allegro generalnie wysyła sporo wiadomosci w których łatwo się pogubić.

Kupujący w moim przypadku miał podane dane adresowe w Szwecji, wybrał wysyłkę do paczkomatu w Białymstoku, nie odpowiadał na maile a telefon był oczywiście martwy.

Pibloq
Gość
Pibloq

Dokladnie, status płatności: „Rozpoczęta” i nigdy nie zakonczona to popularny sposób oszustwa. Jak masz zautomatyzowany proces obslugi zakupów, to system nie pozwoli Ci nadać przesylki. Ale mniejsi sprzedawcy mogą sie pomylić

someone
Gość
someone

A jeszcze lepiej nie dodawać karty do konta na stałe.

Ola
Gość
Ola

Co z tego, że Allegro ma 3D secure, jeżeli kod potwierdzający nie jest wymagany przy każdej transakcji? Dużo kupuje na allegro i kod sms wysyłany jest może raz na 30 zakupów.

Gosia
Gość
Gosia

Allegro sie dostosowalo, a o tym czy kod jest wymagany decyduje bank.

Ola
Gość
Ola

Nieprawda, pracuje w banku i wiem, że decyduje o tym sklep lub operator płatności.

Robert
Gość
Robert

Dokładnie tak, mam kartę w BNP i praktycznie wszystkie transakcje są weryfikowane przez 3DSecure, a w Allegro nigdy się to nie zdarzyło. Czy aby Allegro nie wspiera wyłudzeń?

Maciej Śnieżek - Allegro
Gość

Jednym z większych działów w ramach obsługi klienta w Allegro jest dział bezpieczeństwa, którego podstawowym zadaniem jest właśnie zapobieganie takim atakom, a gdy już się zdarzą – eliminowanie jego skutków. Pracownicy Allegro ściśle współpracują również z organami ścigania, a także szkolą policjantów, jak skutecznie ścigać przestępców w sieci. Natomiast zdecydowanej większości niefajnych sytuacji zapobiega opcja dwustopniowego logowania. Łatwo ją włączyć i łatwo z niej korzystać. Więcej informacji na ten temat znajdziecie tutaj: https://allegro.pl/pomoc/dla-kupujacych/logowanie-i-haslo/dwustopniowe-logowanie-najczesciej-zadawane-pytania-dykqg9nMKSZ.

Michał
Gość
Michał

Tu jest jakaś luka w zeznaniach. Przejęcie konta na Allegro z zapisaną kartą nie wystarczy. Żeby móc nią zapłacić trzeba jeszcze znać CVV2/CVC2, a o tym w artykule ani słowa.

Kusio
Gość
Kusio

Michał, w jakim banku masz kartę? Ja podawałem w Allegro (i nie tylko) wiele różnych kart. Jeśli ją dodaję to za pierwszym razem podaję komplet danych. Przy pierwszej transakcji jest jeszcze SMS z 3D Secure, a potem wszystko idzie automatem. Sam bym wolał by SMS przychodził zawsze lub by zawsze się podawało kod o którym mówisz. Może taką opcję włączyłeś dodatkowo?

Ola
Gość
Ola

Kupowałeś kiedyś na allegro i masz zapisaną kartę? Raz zapisana karta powoduje, że nie musisz przy kolejnych transakcjach podawać CVV/CVC. Kiedy przejmą Ci konto, to nie muszą już nic podawać chyba, że system wymusi podanie kodu w ramach 3D Secure, a zdarza się to rzadko.

Pibloq
Gość
Pibloq

A nie wygodniej dodac google pay i tak placic? U mnie google kazdorazowo, zanim obciazy karte podpieta do portfela google pay, prosi o autoryzacje kodem lub odciskiem palca w tel

Krzysztof
Gość
Krzysztof

Nie trzeba. Raz podpięta karta do konta zostaje zapamiętana i właściwie wystarczy tylko kliknąć dokończ transakcję.
Szczerze mówiąc jest to jakieś nieporozumienie w dzisiejszych czasach. Zrealizowałem może 2 transakcje w ten sposób i odpiąłem kartę w mig. W moim przypadku nie było nawet 3D Secure, a kartę mam z mBanku, który jako jeden z pierwszych to wprowadził.

Jarek
Gość
Jarek

Można dodać kartę w taki sposób, że płatność dokonuje się bez żadnej dodatkowej weryfikacji. Ja mam podpiętą kartę kredytową z PKO BP, a więc 3D Secure jest teoretycznie dostępne, ale z jakiegoś powodu nie jest używane gdy płacę na Allegro (CVV też nie jest).

Z 2FA na Allegro jest taki problem, że jako opcja zapasowa (wobec podstawowej np. Google Authenticator) są kody SMS, a więc niebezpieczne.

Arek
Gość
Arek

Nie trzeba znać kodu cvv2 ja mam podpięta kartę i ani razu nie podaje się kodu smsy 3D secure też nigdy na allegro nie przychodzą mimo iż karta ma 3d secure widocznie trafiam wyłącznie na sklepy które nie używają tego zabezpieczenia

Sparky
Gość
Sparky

No ale przecież zapisując kartę, również CVC zapisujesz… Więc przejmując konto, dostajesz pełen dostęp do karty.

msw
Gość
msw

CVV na Allegro nie jest zawsze wymagany przy zapamiętanej karcie w tamtejszym koncie. Allegro/PayU pyta o CVV tylko wtedy, jeśli wyłapie, że zakup i płatność są robione na urządzeniu i IP, które dotychczas nie było używane przez danego kupującego.

Maciej
Gość
Maciej

Możliwość zapamiętania karty jest przy każdej płatności, wtedy podaje się tylko raz numer karty, datę i CVV.
Przy następnej płatności już dane karty, podobnie jak 3D Secure, nie są potrzebne i wykorzystywane: przez brak 3D secure dla każdej kolejnej płatności robię wszystko żeby karty nie zapamiętywać.

Michał
Gość
Michał

O CVV2/CVC2 byłem pytany ZAWSZE bez wyjątku (kilka zakupów miesięcznie), a zapisane karty miałem z Aliora, mBanku, Millennium i DiPocket. Teraz płacę przez Apple Pay, więc skoro nikogo nie pytają o kod to może niedawno coś zmienili. Transakcje niepotwierdzone CVV2, CVC2 ani 3D Secure łatwo reklamować.

Jacek Maliszewski
Gość
Jacek Maliszewski

Potwierdzam. Od pewnego czasu po zakończeniu zakupu i wybraniu płatności przelewem, następuje przekierowanie na fałszywa stronę banku, w której w polu hasła trzeba podać wszystkie litery i cyfry. W moim banku w polu hasła wpisuje się tylko wybrane litery i cyfry. Kilka razy już musiałem przerwać proces płatności obawiając się, ze ktoś przechwyci całe hasło do mojego konta bankowego. Niestety to nie kończyło sprawę, gdyż Allegro nie przyjmował do wiadomości i żądał zwrotu prowizji jaka zapłacił sprzedawca – z którym to zawitałem transakcje te przerwana.

Sosna
Gość
Sosna

@Jacek – Przeskanuj swój sprzęt pod kątem wirusów.

Michał
Gość
Michał

Może by o tym napisać:
https://www.fly4free.pl/forum/viewtopic.php?p=1246641#p1246641
Niektórych Polaków to też może dotyczyć.

Dawid
Gość
Dawid

ale spuszczenie się… po 1 robi się limit! na takie transakcje, a najlepiej ustawić na 0 i tylko w momencie zakupów zmieniać limit. Tak wam teraz milion autoryzacji narobią i będzie katorga przez mękę, a tak tylko limitami operuję i nawet, to się przydaje, jak się pójdzie chlać do baru.

Tadek
Gość
Tadek

Jak robisz jedna transakcję na miesiąc to spoko, a jak często płacisz w necie karta to życzę powodzenia. Równie dobrze możesz sobie wyzerowac limit na sklepy czy bankomaty i przed każdą płatnością w sklepie albo wypłata w bankomacie go podnosić. Nie dajmy się zwariować.

Darek M. W.
Gość

Dodanie innego adresu do wysyłki też powinno być autoryzowane Smsem.

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Zamknij
social-facebook social-feed social-google social-twitter social-instagram social-youtube social-linkedin social-rss