28 kwietnia 2021

Kupujesz na Allegro? Już dostałeś albo wkrótce dostaniesz limit Allegro Pay. I staniesz się łakomym kąskiem dla złodziei. Jak się zabezpieczyć?

Kupujesz na Allegro? Już dostałeś albo wkrótce dostaniesz limit Allegro Pay. I staniesz się łakomym kąskiem dla złodziei. Jak się zabezpieczyć?

Allegro przyznało ci limit kredytowy w ramach swojej usługi Allegro Pay? Jeśli aktywnie działasz na Allegro, to najprawdopodobniej w tym roku to się wydarzy. I staniesz się atrakcyjnym „kąskiem” dla internetowych przestępców. Dla własnego bezpieczeństwa powinieneś włączyć dwuskładnikowe uwierzytelnianie przy logowaniu do konta na Allegro

Allegro Pay to genialny w swej prostocie sposób na ułatwianie zakupów w internecie. Ta usługa rozwiązuje największy problem związany z internetowymi zakupami – ból płacenia. Wiadomo, że w sieci to płacenie zawsze jest trudniejsze, bardziej skomplikowane i złożone, niż w realu. Wydawało się, że nie ma na to sposobu, ale wynaleziono odroczoną płatność w sieci.

Zobacz również:

Allegro Pay jest jedną z usług w ramach tego trendu (niejedyną, ale zapewne szybko stanie się najpopularniejszą). Polega na tym, że po zweryfikowaniu twojej wiarygodności jako kupującego Allegro zdejmuje z ciebie konieczność zapłacenia za zakupy od razu. Na kilka tygodni platforma sfinansuje cię ze swoich pieniędzy, a dopiero potem zgłosi się po zwrot kasy.

Limit Allegro Pay, czyli kupowanie bez płacenia. W tym roku skorzystają z tego miliony

Najważniejszą korzyścią tego sposobu finansowania zakupów jest to, że spontanicznych zakupów nie zakłóca żaden problem z ustaleniem dostępnych sposobów płatności, z nadmiarem wyboru przy bramce płatniczej, z wpisywaniem danych karty lub logowaniem się do banku… tego wszystkiego po prostu nie ma. Znika. Nic nie zakłóca przyjemności zakupów. Po pieniądze platforma zgłosi się za kilka tygodni. Jeśli ich nie będziesz miał – udzieli ci kredytu.

Więcej o tej usłudze pisałem na „Subiektywnie o finansach”, a także na stronie Homodigital.pl, czyli subiektywnie o technologii. Udało mi się dostąpić zaszczytu testowania usługi. Ba, nawet ostatnio podnieśli mi limit… Myślałem, ze się rozpłaczę ze wzruszenia.

Allegro zapowiada, że w 2021 r. zaproponuje tę usługę większości aktywnych kupujących na tej platformie.

Allegro Pay
Allegro Pay: tak usługa ma się rozwijać w tym roku

Może sobie pozwolić na takie ryzyko, bo o swoich klientach wie sporo z historii ich zakupów. I zapewne potrafi oszacować ich wiarygodność, uczciwość – słowem wystawić taki „prywatny scoring”.

O zagrożeniach związanych z możliwością wpadnięcia z powodu tej usługi w zadłużenie pisałem już niedawno, bo sam dałem się ponieść – teraz chciałbym dodać jeszcze jedną rzecz. Jeśli już otrzymałeś limit wydatków w ramach Allegro Pay – albo podobnej usługi w innych miejscach – to musisz zdać sobie sprawę, że skończyły się dla ciebie beztroskie czasy.

Od tej chwili każdy, kto włamie się na twoje konto na Allegro – co, umówmy się, nie jest jakoś specjalnie trudne, bo całe zasieki ograniczają się do loginu i hasła – to uzyska bieżący dostęp do przyznanego przez Allegro limitu. I będzie mógł zrobić zakupy „na jeden klik”. A ty za nie zapłacisz.

To teoretycznie jest możliwe również w takiej sytuacji, gdy do konta Allegro masz przypiętą kartę płatniczą. Tyle, że w przypadku większości kart działa system 3D Secure, czyli dodatkowa autoryzacja płatności. Bank, który wydał kartę, przesyła specjalny kod SMS na twój numer telefonu i musisz go wpisać na ekranie komputera. Złodziej, nawet jeśli włamie się na konto w Allegro, to nie przeskoczy autoryzacji 3D Secure, bo nie ma dostępu do twojego telefonu.

W przypadku Allegro Pay jest inaczej. Co prawda transakcje zatwierdza się SMS-em autoryzacyjnym, jest też system antyfraudowy platformy, który w przypadku próby kradzieży być może „zorientuje się”, że coś nie gra i przyblokuje transakcję. Ale jestem przeciwny zdawaniu się wyłącznie na systemy antyfraudowe. Warto działać samemu.

Łatwy dostęp do konta na Allegro może oznaczać, że nawet jeśli złodziej nie ukradnie nam pieniędzy od razu – bo nie będzie umiał „przeskoczyć” kwestii SMS-a autoryzującego samą transakcję – uzyska wystarczającą wiedzę na temat naszych finansów oraz profilu konsumenckiego, by skuteczniej zaatakować nas w przyszłości. Na przykład w taki sposób, który opisałem tutaj.

Dwuskładnikowe uwierzytelnianie, czyli powrót do bezpieczeństwa

A jak? Po prostu: włączyć dwuskładniowe uwierzytelnienie. Każde logowanie do konta również będzie wymagało wpisania kodu wysłanego przez Allegro SMS-em na nasz numer telefonu. Nawet jeśli ktoś pozna twoje hasło do Allegro, to nie przebrnie przez dwuetapowe logowanie. No, chyba, że przejmie też kontrolę nad twoim smartfonem, ale to już wymaga kolejnych starań.

O tym, jak włącza się dwuskładnikowe uwierzytelnianie przy logowaniu do Allegro jest pod tym linkiem. W przypadku Allegro Pay albo jakiegokolwiek systemu finansowania transakcji „kredytowym” pieniądzem warto pamiętać, żeby dodatkowo zabezpieczyć swoje konto na platformie, która udostępnia takie „pieszczoty”.

Wiadomo, że dwuskładnikowe uwierzytelnianie nie jest jakoś szczególnie wygodne, bo każde zalogowanie wymaga przepisania dodatkowego kodu ze smartfona. Ale bezpieczeństwo rzadko kiedy jest wygodne. Nie pisałbym tego tekstu, gdyby jeden z czytelników nie opowiedział mi przygody, która – właśnie z powodu braku dwuskładnikowego uwierzytelniania na jego koncie – dobrze się nie skończyła.

zdjęcie tytułowe: Allegro

Subscribe
Powiadom o
33 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
Klient_Allegro
1 rok temu

Powinno działać to tak, że do aktywacji Allegro Pay wymagane jest wcześniejsze aktywowanie uwierzytelnienia dwuskładnikowego.

hdhfbc
1 rok temu
Reply to  Maciej Samcik

O ile Alle będzie w stanie zapchnąć koszty fraudów na klienta

Patryk
1 rok temu

Najbardziej ubolewam że Allegro Pay nie ma dla kont firmowych.

Odroczone płatności dla firm które zaproponowało Allegro to żart, wolałbym zdecydowanie Allegro Pay, ale moje główne konto z historią i Smartem to właśnie te firmowe…

Olek
1 rok temu

Dwuskładnikowe uwierzytelnianie to podstawa, ale Allegro Pay trzeba najpierw aktywować, a w tym podać PESEL, nr dowodu i numer telefonu. Jest to też jakieś zabezpieczenie – Allegro to weryfikuje w bazach zewnętrznych (tak piszą). Przypadkowy włam na konto nie oznacza jeszcze tragedii.

Dominik
1 rok temu
Reply to  Olek

To słabe to. Numer jak mają zweryfikować w zewnętrznej bazie. Operator im udostepnia ? Na jakiej podstawie. Jak ktoś opłaca rodzicą starszym to co wtedy ? Error, wątpie. Prędzej uwierzę w Pesel i numer dowodu. Ale to każdy szeregowy pracownik banku ma dostęp do takich danych. Regularnie są takie dane w internecie niestety. Coś słabe te zabezpieczenia.

Michal
1 rok temu

No ale nalezy dodac, ze to grozi tylko tym, ktorzy nieopacznie wlaczyli AllegroPay 😉
Osobiscie odpialem z Allegro i innych serwisow swoje karty i rozne ulatwiacze zakupow, uznalem, ze to najlepszy sposob na zabezpieczenie sie przed „niechcianymi” zakupami.

Szymon
1 rok temu
Reply to  Michal

dokładnie, wygodniej przy zakupach dokonać płatności, niż za każdym razem logując się do Allegro wpisywać hasło SMS

gosc
1 rok temu

Moim zdaniem aby bezpiecznie korzystać z Allegro: 1) Należy zabezpieczyć konto silnym hasłem, którego nie używamy do zabezpieczenia innego konta. 2) Należy włączyć dwuskładnikowe uwierzytelnienie. Warto zauważyć, że oprócz kodów sms jest jeszcze możliwość korzystania z kodów generowanych przez aplikacje TOTP (np. Google Authenticator, Microsoft Authenticator, Yubico Authenticator itp.). Nie wiem dlaczego Allegro nie informuje o tej opcji na stronie o 2FA. Jeśli ktoś ma problemy z otrzymywaniem kodów sms to jest to opcja dla niego. Ponieważ korzystam z yubikey używam Yubico Authenticator (wersja desktop). Dzięki temu mogę użyć funkcję kopiuj i wklej do wpisania kodu na stronie Allegro. 2FA… Czytaj więcej »

Joe
1 rok temu
Reply to  gosc

To czy jest 3D Secure zależy głównie od sposobu implementacji bramki płatności ewentualnie sparametryzowania jej wołania. To, że ktoś ma na karcie włączone 3D Secure absolutnie nie daje żadnego bezpieczeństwa.

Last edited 1 rok temu by Joe
Eustachy
1 rok temu

Zamiast kodów sms, można uaktywnić weryfikację poprzez google authenticator i zaznaczyć zaufane urządzenie z którego logowanie nie wiąże się z dodatkową weryfikacją.

Rafał
1 rok temu

A czy przy płatności Allegro Pay, nie trzeba przypadkiem podać kodu z sms-a jaki przychodzi na telefon?
To jest bardzo podobne do tego co robimy przy płatności kartą.
Przynajmniej tak było w moim przypadku, przy próbie płatności przez Allegro Pay, musiałem podać kod z sms-a, (Twój kod sms: xxxxxx) dopiero potem płatność została zaakceptowana. Czyli nie jest to aż tak proste, nie wystarczy tylko login i hasło do konta, aby robić zakupy. Na szczęście.
Co nie zmienia faktu, że z dwuskładniowego uwierzytelnienia powinniśmy korzystać wszędzie tam gdzie ono jest dostępne.

Przemo
1 rok temu
Reply to  Maciej Samcik

Ja już od dawna nie dostaję kodu SMS gdy używam Allegro Pay.
Podobnie, płacąc tam kartą nie pamiętam kiedy ostatnio 3D Secure wołało o kod…

Paweł
1 rok temu

Hmmm… Nie wiem jak u Was, ale u mnie Allegro Pay ZAWSZE wysyła SMS z kodem do autoryzacji. Wy tak nie macie?

Michał Kałuża
1 rok temu
Reply to  Maciej Samcik

Panie Macieju trochę na siłę chyba napisany news. Korzystam z Allegro Pay i jedyna opcja w kwestii żeby coś wyłudzić to przejęcie równocześnie dostępu do maila z Allegro i do samego telefonu żeby odebrać SMS do autoryzacji zaciągnięcia kredytu. Tak więc prawdopodobieństwo jest znikome jeżeli obracamy się przy kwotach 1000-2000. Jak w grę wchodziłby kwoty 100-200k to wtedy pewne osoby mogłyby podjąć działania.

Robert
1 rok temu

Każdą transakcję w AllegroPay trzeba potwierdzić kodem otrzymanym w SMS – więc jest bezpiecznie tak samo jak 3DES – artykuł na click? Coś SoF mocno obniża poprzeczkę merytoryczną 🙁

PancernyManiek
1 rok temu
Reply to  Robert

Po przeczytaniu w komentarzach, że trzeba to aktywować i potwierdzać smsem zaczynam odnosić podobne wrażenie.

Przemo
1 rok temu
Reply to  Robert

Już od pewnego czasu nie trzeba…

Sylwester
1 rok temu

2FA jest możliwe w Allegro na kilka sposobów, niekoniecznie związanych ze smartfonem.

krzysztof
1 rok temu

nie wlaczę tego czegos i problemu nie ma…

emka
1 rok temu
Reply to  krzysztof

Brawo Ty! Jak ktoś się włamie to sam sobie włączy i zrobi zakupy na Twój koszt.

krzysztof
1 rok temu
Reply to  emka

chyba jakas weryfikacja owego wlaczenia uslugi jest, wiec bez paniki..poza tym wtedy to problem allegro a nie moj

Kamil
1 rok temu

Ale każdy zakup przez Allegro Pay trzeba potwierdzić przez przepisanie kodu otrzymanego SMSem… takie 3d Secure

Jędrzej
1 rok temu

Coś autor wpisu lekko popłynął…
1) W allegro mam włączone dwuskładnikowe logowanie i każdy może sobie takie sam ustawić (ja nie chcę by ktokolwiek mi narzucał jak mam się logować)
2) W allegro pay transakcje potwierdzane są smsem – paradoksalnie w moim odczuciu to karty są mniej bezpieczne bo od kiedy zapisalem kartę w koncie to jeszcze ani razu nie zostałem zapytany o potwierdzenie zakupu w banku

Szymon
1 rok temu

wiadomo że Allegro ma historie i dobrze może ocenić klienta. Ale czy takie Allegro Pay w zasadzie jako usługa kredytowa nie wymaga prawnie dodatkowej umowy? Już nie mówiąc o weryfikacji kto kryje się pod danym kontem.

Maciej
1 rok temu

„To teoretycznie jest możliwe również w takiej sytuacji, gdy do konta Allegro masz przypiętą kartę płatniczą. Tyle, że w przypadku większości kart działa system 3D Secure, czyli dodatkowa autoryzacja płatności. Bank, który wydał kartę, przesyła specjalny kod SMS na twój numer telefonu i musisz go wpisać na ekranie komputera. Złodziej, nawet jeśli włamie się na konto w Allegro, to nie przeskoczy autoryzacji 3D Secure, bo nie ma dostępu do twojego telefonu.” No nie wiem, może się coś zmieniło ale jak ja podpinałem kartę do allegro to tylko za pierwszym razem robiło 3D Secure, potem już nie. I zrobiłem z tym… Czytaj więcej »

Last edited 1 rok temu by Maciej
Piotr
2 miesięcy temu

Kiedy kara odcięcia ręki za kradzież czy to gotówki, czy wyłudzanie? Humanitaryzm? Czy pozbawienie środków innej osoby nie jest sprzeniewierzeniem się zasadzie humanitaryzmu? Czyli sprawcy nie dotyczy, więc… dłoń na pieniek, zastrzyk znieczulający i nie potrzeba zabezpieczeń bankowych.

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!