28 kwietnia 2021

Kupujesz na Allegro? Już dostałeś albo wkrótce dostaniesz limit Allegro Pay. I staniesz się łakomym kąskiem dla złodziei. Jak się zabezpieczyć?

Kupujesz na Allegro? Już dostałeś albo wkrótce dostaniesz limit Allegro Pay. I staniesz się łakomym kąskiem dla złodziei. Jak się zabezpieczyć?

Allegro przyznało ci limit kredytowy w ramach swojej usługi Allegro Pay? Jeśli aktywnie działasz na Allegro, to najprawdopodobniej w tym roku to się wydarzy. I staniesz się atrakcyjnym „kąskiem” dla internetowych przestępców. Dla własnego bezpieczeństwa powinieneś włączyć dwuskładnikowe uwierzytelnianie przy logowaniu do konta na Allegro

Allegro Pay to genialny w swej prostocie sposób na ułatwianie zakupów w internecie. Ta usługa rozwiązuje największy problem związany z internetowymi zakupami – ból płacenia. Wiadomo, że w sieci to płacenie zawsze jest trudniejsze, bardziej skomplikowane i złożone, niż w realu. Wydawało się, że nie ma na to sposobu, ale wynaleziono odroczoną płatność w sieci.

Zobacz również:

Allegro Pay jest jedną z usług w ramach tego trendu (niejedyną, ale zapewne szybko stanie się najpopularniejszą). Polega na tym, że po zweryfikowaniu twojej wiarygodności jako kupującego Allegro zdejmuje z ciebie konieczność zapłacenia za zakupy od razu. Na kilka tygodni platforma sfinansuje cię ze swoich pieniędzy, a dopiero potem zgłosi się po zwrot kasy.

Limit Allegro Pay, czyli kupowanie bez płacenia. W tym roku skorzystają z tego miliony

Najważniejszą korzyścią tego sposobu finansowania zakupów jest to, że spontanicznych zakupów nie zakłóca żaden problem z ustaleniem dostępnych sposobów płatności, z nadmiarem wyboru przy bramce płatniczej, z wpisywaniem danych karty lub logowaniem się do banku… tego wszystkiego po prostu nie ma. Znika. Nic nie zakłóca przyjemności zakupów. Po pieniądze platforma zgłosi się za kilka tygodni. Jeśli ich nie będziesz miał – udzieli ci kredytu.

Więcej o tej usłudze pisałem na „Subiektywnie o finansach”, a także na stronie Homodigital.pl, czyli subiektywnie o technologii. Udało mi się dostąpić zaszczytu testowania usługi. Ba, nawet ostatnio podnieśli mi limit… Myślałem, ze się rozpłaczę ze wzruszenia.

Allegro zapowiada, że w 2021 r. zaproponuje tę usługę większości aktywnych kupujących na tej platformie.

Allegro Pay
Allegro Pay: tak usługa ma się rozwijać w tym roku

Może sobie pozwolić na takie ryzyko, bo o swoich klientach wie sporo z historii ich zakupów. I zapewne potrafi oszacować ich wiarygodność, uczciwość – słowem wystawić taki „prywatny scoring”.

O zagrożeniach związanych z możliwością wpadnięcia z powodu tej usługi w zadłużenie pisałem już niedawno, bo sam dałem się ponieść – teraz chciałbym dodać jeszcze jedną rzecz. Jeśli już otrzymałeś limit wydatków w ramach Allegro Pay – albo podobnej usługi w innych miejscach – to musisz zdać sobie sprawę, że skończyły się dla ciebie beztroskie czasy.

Od tej chwili każdy, kto włamie się na twoje konto na Allegro – co, umówmy się, nie jest jakoś specjalnie trudne, bo całe zasieki ograniczają się do loginu i hasła – to uzyska bieżący dostęp do przyznanego przez Allegro limitu. I będzie mógł zrobić zakupy „na jeden klik”. A ty za nie zapłacisz.

To teoretycznie jest możliwe również w takiej sytuacji, gdy do konta Allegro masz przypiętą kartę płatniczą. Tyle, że w przypadku większości kart działa system 3D Secure, czyli dodatkowa autoryzacja płatności. Bank, który wydał kartę, przesyła specjalny kod SMS na twój numer telefonu i musisz go wpisać na ekranie komputera. Złodziej, nawet jeśli włamie się na konto w Allegro, to nie przeskoczy autoryzacji 3D Secure, bo nie ma dostępu do twojego telefonu.

W przypadku Allegro Pay jest inaczej. Co prawda transakcje zatwierdza się SMS-em autoryzacyjnym, jest też system antyfraudowy platformy, który w przypadku próby kradzieży być może „zorientuje się”, że coś nie gra i przyblokuje transakcję. Ale jestem przeciwny zdawaniu się wyłącznie na systemy antyfraudowe. Warto działać samemu.

Łatwy dostęp do konta na Allegro może oznaczać, że nawet jeśli złodziej nie ukradnie nam pieniędzy od razu – bo nie będzie umiał „przeskoczyć” kwestii SMS-a autoryzującego samą transakcję – uzyska wystarczającą wiedzę na temat naszych finansów oraz profilu konsumenckiego, by skuteczniej zaatakować nas w przyszłości. Na przykład w taki sposób, który opisałem tutaj.

Dwuskładnikowe uwierzytelnianie, czyli powrót do bezpieczeństwa

A jak? Po prostu: włączyć dwuskładniowe uwierzytelnienie. Każde logowanie do konta również będzie wymagało wpisania kodu wysłanego przez Allegro SMS-em na nasz numer telefonu. Nawet jeśli ktoś pozna twoje hasło do Allegro, to nie przebrnie przez dwuetapowe logowanie. No, chyba, że przejmie też kontrolę nad twoim smartfonem, ale to już wymaga kolejnych starań.

O tym, jak włącza się dwuskładnikowe uwierzytelnianie przy logowaniu do Allegro jest pod tym linkiem. W przypadku Allegro Pay albo jakiegokolwiek systemu finansowania transakcji „kredytowym” pieniądzem warto pamiętać, żeby dodatkowo zabezpieczyć swoje konto na platformie, która udostępnia takie „pieszczoty”.

Wiadomo, że dwuskładnikowe uwierzytelnianie nie jest jakoś szczególnie wygodne, bo każde zalogowanie wymaga przepisania dodatkowego kodu ze smartfona. Ale bezpieczeństwo rzadko kiedy jest wygodne. Nie pisałbym tego tekstu, gdyby jeden z czytelników nie opowiedział mi przygody, która – właśnie z powodu braku dwuskładnikowego uwierzytelniania na jego koncie – dobrze się nie skończyła.

zdjęcie tytułowe: Allegro

Subscribe
Powiadom o
29 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
Klient_Allegro
17 dni temu

Powinno działać to tak, że do aktywacji Allegro Pay wymagane jest wcześniejsze aktywowanie uwierzytelnienia dwuskładnikowego.

hdhfbc
17 dni temu
Reply to  Maciej Samcik

O ile Alle będzie w stanie zapchnąć koszty fraudów na klienta

Patryk
17 dni temu

Najbardziej ubolewam że Allegro Pay nie ma dla kont firmowych.

Odroczone płatności dla firm które zaproponowało Allegro to żart, wolałbym zdecydowanie Allegro Pay, ale moje główne konto z historią i Smartem to właśnie te firmowe…

Olek
17 dni temu

Dwuskładnikowe uwierzytelnianie to podstawa, ale Allegro Pay trzeba najpierw aktywować, a w tym podać PESEL, nr dowodu i numer telefonu. Jest to też jakieś zabezpieczenie – Allegro to weryfikuje w bazach zewnętrznych (tak piszą). Przypadkowy włam na konto nie oznacza jeszcze tragedii.

Dominik
17 dni temu
Reply to  Olek

To słabe to. Numer jak mają zweryfikować w zewnętrznej bazie. Operator im udostepnia ? Na jakiej podstawie. Jak ktoś opłaca rodzicą starszym to co wtedy ? Error, wątpie. Prędzej uwierzę w Pesel i numer dowodu. Ale to każdy szeregowy pracownik banku ma dostęp do takich danych. Regularnie są takie dane w internecie niestety. Coś słabe te zabezpieczenia.

Michal
17 dni temu

No ale nalezy dodac, ze to grozi tylko tym, ktorzy nieopacznie wlaczyli AllegroPay 😉
Osobiscie odpialem z Allegro i innych serwisow swoje karty i rozne ulatwiacze zakupow, uznalem, ze to najlepszy sposob na zabezpieczenie sie przed „niechcianymi” zakupami.

Szymon
15 dni temu
Reply to  Michal

dokładnie, wygodniej przy zakupach dokonać płatności, niż za każdym razem logując się do Allegro wpisywać hasło SMS

gosc
17 dni temu

Moim zdaniem aby bezpiecznie korzystać z Allegro: 1) Należy zabezpieczyć konto silnym hasłem, którego nie używamy do zabezpieczenia innego konta. 2) Należy włączyć dwuskładnikowe uwierzytelnienie. Warto zauważyć, że oprócz kodów sms jest jeszcze możliwość korzystania z kodów generowanych przez aplikacje TOTP (np. Google Authenticator, Microsoft Authenticator, Yubico Authenticator itp.). Nie wiem dlaczego Allegro nie informuje o tej opcji na stronie o 2FA. Jeśli ktoś ma problemy z otrzymywaniem kodów sms to jest to opcja dla niego. Ponieważ korzystam z yubikey używam Yubico Authenticator (wersja desktop). Dzięki temu mogę użyć funkcję kopiuj i wklej do wpisania kodu na stronie Allegro. 2FA… Czytaj więcej »

Joe
15 dni temu
Reply to  gosc

To czy jest 3D Secure zależy głównie od sposobu implementacji bramki płatności ewentualnie sparametryzowania jej wołania. To, że ktoś ma na karcie włączone 3D Secure absolutnie nie daje żadnego bezpieczeństwa.

Last edited 15 dni temu by Joe
Eustachy
17 dni temu

Zamiast kodów sms, można uaktywnić weryfikację poprzez google authenticator i zaznaczyć zaufane urządzenie z którego logowanie nie wiąże się z dodatkową weryfikacją.

Rafał
17 dni temu

A czy przy płatności Allegro Pay, nie trzeba przypadkiem podać kodu z sms-a jaki przychodzi na telefon?
To jest bardzo podobne do tego co robimy przy płatności kartą.
Przynajmniej tak było w moim przypadku, przy próbie płatności przez Allegro Pay, musiałem podać kod z sms-a, (Twój kod sms: xxxxxx) dopiero potem płatność została zaakceptowana. Czyli nie jest to aż tak proste, nie wystarczy tylko login i hasło do konta, aby robić zakupy. Na szczęście.
Co nie zmienia faktu, że z dwuskładniowego uwierzytelnienia powinniśmy korzystać wszędzie tam gdzie ono jest dostępne.

Paweł
17 dni temu

Hmmm… Nie wiem jak u Was, ale u mnie Allegro Pay ZAWSZE wysyła SMS z kodem do autoryzacji. Wy tak nie macie?

Michał Kałuża
16 dni temu
Reply to  Maciej Samcik

Panie Macieju trochę na siłę chyba napisany news. Korzystam z Allegro Pay i jedyna opcja w kwestii żeby coś wyłudzić to przejęcie równocześnie dostępu do maila z Allegro i do samego telefonu żeby odebrać SMS do autoryzacji zaciągnięcia kredytu. Tak więc prawdopodobieństwo jest znikome jeżeli obracamy się przy kwotach 1000-2000. Jak w grę wchodziłby kwoty 100-200k to wtedy pewne osoby mogłyby podjąć działania.

Robert
17 dni temu

Każdą transakcję w AllegroPay trzeba potwierdzić kodem otrzymanym w SMS – więc jest bezpiecznie tak samo jak 3DES – artykuł na click? Coś SoF mocno obniża poprzeczkę merytoryczną 🙁

PancernyManiek
16 dni temu
Reply to  Robert

Po przeczytaniu w komentarzach, że trzeba to aktywować i potwierdzać smsem zaczynam odnosić podobne wrażenie.

Sylwester
17 dni temu

2FA jest możliwe w Allegro na kilka sposobów, niekoniecznie związanych ze smartfonem.

krzysztof
17 dni temu

nie wlaczę tego czegos i problemu nie ma…

emka
16 dni temu
Reply to  krzysztof

Brawo Ty! Jak ktoś się włamie to sam sobie włączy i zrobi zakupy na Twój koszt.

krzysztof
16 dni temu
Reply to  emka

chyba jakas weryfikacja owego wlaczenia uslugi jest, wiec bez paniki..poza tym wtedy to problem allegro a nie moj

Kamil
16 dni temu

Ale każdy zakup przez Allegro Pay trzeba potwierdzić przez przepisanie kodu otrzymanego SMSem… takie 3d Secure

Jędrzej
16 dni temu

Coś autor wpisu lekko popłynął…
1) W allegro mam włączone dwuskładnikowe logowanie i każdy może sobie takie sam ustawić (ja nie chcę by ktokolwiek mi narzucał jak mam się logować)
2) W allegro pay transakcje potwierdzane są smsem – paradoksalnie w moim odczuciu to karty są mniej bezpieczne bo od kiedy zapisalem kartę w koncie to jeszcze ani razu nie zostałem zapytany o potwierdzenie zakupu w banku

Szymon
15 dni temu

wiadomo że Allegro ma historie i dobrze może ocenić klienta. Ale czy takie Allegro Pay w zasadzie jako usługa kredytowa nie wymaga prawnie dodatkowej umowy? Już nie mówiąc o weryfikacji kto kryje się pod danym kontem.

Maciej
15 dni temu

„To teoretycznie jest możliwe również w takiej sytuacji, gdy do konta Allegro masz przypiętą kartę płatniczą. Tyle, że w przypadku większości kart działa system 3D Secure, czyli dodatkowa autoryzacja płatności. Bank, który wydał kartę, przesyła specjalny kod SMS na twój numer telefonu i musisz go wpisać na ekranie komputera. Złodziej, nawet jeśli włamie się na konto w Allegro, to nie przeskoczy autoryzacji 3D Secure, bo nie ma dostępu do twojego telefonu.” No nie wiem, może się coś zmieniło ale jak ja podpinałem kartę do allegro to tylko za pierwszym razem robiło 3D Secure, potem już nie. I zrobiłem z tym… Czytaj więcej »

Last edited 15 dni temu by Maciej

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!