4 stycznia 2018

eSkarbonka: oto nowy pomysł, by zbierać kasę na Wielką Orkiestrę Owsiaka. Bardzo ucieszy e-złodziei

Wielka Orkiestra Świątecznej Pomocy wspólnie z MasterCardem w tym roku zaproponuje innowacyjny sposób wpłat – eSkarbonki. Kłopot w tym, że najbardziej z jego wprowadzenia mogą ucieszyć się… internetowi złodzieje. Może się okazać, że ten pomysł napędzi im „interes” jak nigdy dotąd

 

Wielkimi krokami nadchodzi kolejny finał Wielkiej Orkiestry Świątecznej Pomocy – jednej z największych w Polsce, a na pewno najbardziej spektakularnej akcji charytatywno-wychowawczej. Z roku na rok to pomaganie jest łatwiejsze. Kiedyś można było wrzucić pieniądze do puszki, wysłać przelew albo SMS-a premium. A teraz?

Część wolontariuszy chodzi z terminalami do płatności zbliżeniowych, w bankomatach można – przy okazji wyciągania pieniędzy – zrobić przelew do owsiakowej fundacji, a mBank, nowy partner bankowy Orkiestry, już zapowiedział nowe możliwości zasilania Wielkiego Finału za pomocą aplikacji mobilnej. Na Owsiaka będzie można wpłacać pieniądze przez PayU, czy PayPala. Można nawet wpłacać bitcoiny via system BitPay.

Czytaj też: Jak w zeszłym roku można było dorzucić się do Wielkiej Orkiestry

eSkarbonka nowym sposobem pomagania. Wirusowego

W tym roku finansiści zaproponują wolontariuszom też inną, tyleż ciekawą, co kontrowersyjną formę pomagania – eSkarbonki. Każdy zarejestrowany przez Fundację wolontariusz poza pobraniem ze sztabu fizycznej skarbonki będzie mógł mieć drugą – wirtualną. Będzie nią przypisany do danej osoby link, który będzie można pobrać za pomocą platformy iWolontariusz.pl. O tej nowej formie zbierania datków poinformował właśnie jej współorganizator – MasterCard.

Kliknięcie w link pozwoli przeprowadzić płatność online, prawdopodobnie przelewem online, kartą oraz za pomocą portfela MasterPass (czyli bezpieczniejszej formy płacenia kartą, dostępnej dla tych, którzy mają zapisaną kartę w „sejfie” MasterCarda o nazwie MasterPass właśnie). To oznacza, że każdy wolontariusz może rozesłać link wśród znajomych albo wkleić w swoich mediach społecznościowych i tym samym zachęcać do łatwego pomagania. MasterCard jest dumny:

„Środki zebrane przez wolontariusza, zarówno za pomocą fizycznej skarbonki, jak i tej elektronicznej, zostaną przekazane WOŚP jako zgromadzone przez konkretną osobę. W ten sposób, po raz pierwszy, wolontariusze otrzymają możliwość sumarycznego kwestowania również online, dzięki czemu zbiórka pieniędzy w sieci nabierze nowego wigoru”

– pisze w komunikacie MasterCard. Wszystko pięknie: zamiast wchodzić na stronę Orkiestry Jurka Owsiaka, na strony partnerów akcji – mBanku, czy Allegro – lub współpracujących z nią serwisów płatnościowych (PayU, czy PayPal) o link umożliwiający zapłacenie online będzie się można dosłownie potknąć.

Linki do płatności? To ulubiona broń oszustów

Jest tylko jedno „ale”: podsyłane w sieci linki do płatności to ostatnio popularny sposób oszustów, którzy wyłudzają od nas pieniądze. Patent jest modny zwłaszcza na platformach takich jak OLX, gdzie ludzie wystawiają przedmioty na sprzedaż. Opisywałem na „Subiektywnie o finansach” przykłady okradzionych klientów, którzy dali się nabrać na kliknięcie w podesłany link, który miał zapewnić szybką płatność i przyspieszać transakcję.

Czytaj o tym: Kupiła kosmetyki na OLX, a straciła wszystkie pieniądze z konta. Wszystko przez ten link

Link przekierowywał na fałszywą stronę płatności. Ofiara, nieświadoma, że jest na „podstawionej” stronie, podawała login i hasło do swojego konta, a potem hasło SMS do autoryzacji przelewu. Tyle tylko, że złodzieje równolegle logowali się w banku na dane klienta i zlecali „swój” przelew. I to ten przelew klient autoryzował, a nie żadną płatność za przedmiot kupiony na aukcji.

Obawiam się, że pomysł z linkami i eSkarbonkami to ta sama, lecz zmultiplikowana po tysiąckroć dzięki przekazowi marketingowemu, okazja dla złodziei. Wśród setek tysięcy i milionów prawdziwych linków „należących” do wolontariuszy Wielkiej Orkiestry będą tysiące linków kolportowanych przez złodziei, które będą przekierowywały na strony łudząco podobne do „orkiestrowych”. A tam już złodzieje będą czekali na nasze loginy i hasła do kont bankowych.

Nawet jeśli uda się tak skalibrować działanie prawdziwej eSkarbonki, by użytkownicy mogli łatwo „potwierdzić jej tożsamość”, to po pierwsze informacja o tym jak odróżnić prawdziwą eSkarbonkę od „fałszywki” nigdy nie dotrze do wszystkich, a po drugie już sam fakt, że ludzie są zachęcani do klikania w jakieś podsyłane przez internet linki po to, żeby dokonywać jakichś płatności, może być tragiczny w skutkach.

Linki do płatności? To ryzykowne

Od wielu miesięcy proszę Was, byście nie odpowiadali na żadne prośby o płatność podsyłane za pomocą linków (co innego jeśli sami jesteście na stronie sklepu i klikacie ikonkę „zapłać”, po czym system przekierowuje Was do zakładki płatności). Ba, odradzam nawet klikanie w linki z Google’a z nazwą Waszego banku! Zdarzyło się, że na pierwszym miejscu Google wyświetlił mojej czytelniczce link do fałszywej strony banku. Starsza pani straciła w ten sposób 20.000 zł tylko dlatego, że na stronę swojego banku wchodziła „z Google’a”, a nie własnoręcznie wpisując nazwę strony do wyszukiwarki.

Czytaj o tym: Stracila 20.000 zł z konta w BZ WBK, bo weszła na stronę banku z wyszukiwarki Google

Oby przy okazji „nowego rozpędu” w zbieraniu pieniędzy przez Orkiestrę Jurka Owsiaka nie pojawiły się przypadki okradzionych metodą „na fałszywy link” ludzi. Szkoda ludzi, którzy zostaliby ukarani za chęć pomagania i szkoda Owsiaka, bo nieprzychylni mu politycy i dziennikarze na pewno wykorzystaliby taki fakt do dyskredytowania całej, godnej poparcia akcji.

MasterCard odpowiada: „będziemy edukowali”

W dniu, w którym przygotowywałem ten tekst nie udało mi się uzyskać komentarza organizacji płatniczej MasterCard do tej sprawy, ale nadszedł po upływie kolejnej doby. W ospowiedzi na publikację czytam, że „w zbiórce za pośrednictwem eSkarbonek zakładanych przez wolontariuszy zastosowano rozwiązania technologiczne, które gwarantują bezpieczeństwo”. A także, że…

„Wszystkie eSkarbonki wolontariuszy będą dostępne tylko pod linkami zaczynającymi się od https://zrzutka.pl… Działają one na podstawie współpracy ze zrzutka.pl, organizatorem zbiórek o uznanej reputacji (…). Kluczowe jest, żeby darczyńca upewnił się, czy strona internetowa ze zbiórką, którą otwiera w przeglądarce, rzeczywiście zaczyna się od https://zrzutka.pl. Strona zrzutka.pl jest chroniona certyfikatem bezpieczeństwa, który każdy internauta może rozpoznać po zielonej kłódce wyświetlającej się obok paska adresu w przeglądarce internetowej”

MasterCard przekonuje, że jeśli darczyńca dochowa elementarnych zasad bezpieczeństwa, jego pieniądzom nic nie grozi. W porządku, ale wiemy w praktyce, że nie każdy dochowuje zasad bezpieczeństwa, a fruwające po internecie linki do serwisów płatności na pewno nie budują dobrych nawyków w tej kwestii.

W dalszej części wywodu MasterCard namawia, by sprawdzać dokładnie SMS-y autoryzacyjne przy przelewaniu pieniędzy na WOŚP po kliknięciu w link. To, niestety, potwierdza, że organizacja płatnicza też bierze pod uwagę, że znajdą się oszuści, którzy zechcą podszyć się pod eSkarbonki.

„Po wybraniu metody płatności i jej zatwierdzeniu darczyńca jest przekierowywany do operatora płatności, którego strona jest zabezpieczona w analogiczny sposób. Nazwa „zrzutka.pl” będzie widoczna też w trakcie potwierdzania transakcji, np. w treści SMS-a z jednorazowym kodem do potwierdzenia płatności. (…) W najbliższych dniach będziemy prowadzić intensywne działania informacyjne, które pomogą darczyńcom rozpoznać prawdziwą eSkarbonkę”

Cóż, dobre i to. Wolałbym, żeby nie trzeba było działaniami informacyjnymi naprawiać budowania wśród Polaków ryzykownych nawyków.

źródło zdjęcia: SuperExpress

 

2
Dodaj komentarz

avatar
2 Comment threads
0 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
2 Comment authors
Ekspert PKO Banku PolskiegoMariusz Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
Mariusz
Gość
Mariusz

Bardzo dobre podsumowanie. Niestety liczy się kasa zamiast bezpieczeństwa. Podobną kwestię widzę w PKO BP. Otóż bank reklamuje nową kartę naklejkę https://www.pkobp.pl/klienci-indywidualni/karty/karty-do-konta/karta-pko-ekspres-w-formie-gadzetu-lub-naklejki/ Napisałem do PKO BP czy aby na pewno wiedzą co robią od strony bezpieczeństwa i zamiast promować różnego rodzaju bezpieczne rozwiązania (protectory) i wyjaśniać jak chronić swoje dane dostępne poprzez protokoły RFID/NFC to wystawiają taki pomysł na powszechnym rynku. Niestety spora część klientów zupełnie nie będzie świadoma zagrożenia. Jeżeli więc karta która ma antenkę i jest w portfelu gdzieś w torebce i która może być osłonięta czymś lub jakoś, i którą to uważamy za średnio bezpieczną, to co… Czytaj więcej »

Ekspert PKO Banku Polskiego
Gość

Panie Mariuszu, chcielibyśmy zapewnić, że płatności zbliżeniowe, w tym także płatności z wykorzystaniem naszych „naklejek” są bezpieczne. Aby płatność zbliżeniowa doszła do skutku, musi być bowiem spełnionych kilka warunków:
• sprzedawca musi aktywować na terminalu płatniczym czytnik dla płatności zbliżeniowej – sygnał wysyłany jest z czytnika jedynie w momencie dokonywania konkretnej płatności,
• karta musi znajdować się bardzo blisko czytnika – ok. 5 cm
Po przyjęciu płatności czytnik od razu dezaktywuje się. Nie ma możliwości dokonania „przypadkowej” płatności zbliżeniowej ani zapłacenia za cudze zakupy.

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Zamknij

Gratulacje! Jesteś zapisany