Pojawiło się nowe oszustwo na Allegro. W systemie płatności PayU była luka, która umożliwiała jednoczesne oszukiwanie sprzedających na Allegro i kupujących w innych serwisach. Lukę podobno załatano, ale czy to rozwiązuje problemy sprzedawców w sieci? Jak nie dać się oszukać?
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Ostatnio jest coraz głośniej o oszustwach internetowych, a więc w rezultacie i my o nich częściej piszemy. Tutaj Maciek Samcik opisywał, jak sprzedawcy na OLXie są podpuszczani do kliknięcia w niebezpieczny link, tutaj Maciek Bednarek opisał przypadki pani Anny, którą aż trzykrotnie próbowano oszukać, a tutaj Irek Sudak krytykował lukę w systemie transakcji OLX.
Niestety metody ataków na użytkowników internetu stają się coraz doskonalsze, a więc musimy zachować czujność. Niedawno zrobiło się głośno o sposobie (nie można odmówić oszustom pomysłowości), za pomocą którego udało się za jednym razem oszukać kupującego na Vinted, sprzedającego na Allegro i jednocześnie wrobić tego drugiego w odpowiedzialność za całą sytuację.
Oszustwo na Allegro. Jak uczciwy sprzedawca został wzięty za złodzieja?
Proceder omówili w swoim filmie twórcy kanału Poszukiwacze Okazji. Pan Maciej jest jednym z wielu sprzedawców na Allegro. Wysyłał towar po otrzymaniu informacji, że kupujący opłacił przesyłkę, a więc można powiedzieć, że działał racjonalnie. I faktycznie wszystko wydawało się bezpieczne do momentu, w którym otrzymał wezwanie na policję. Pierwsze z wielu.
W pierwszej chwili pan Maciej w ogóle nie rozumiał o co chodzi. Nie tylko nikogo nie oszukał, ale nawet nie zajmuje się sprzedażą ubrań (a tego dotyczyło zgłoszenie). Dopiero z kolejnymi wezwaniami na policję (a było ich łącznie ponad 30, pojawiły się też sprawy w sądach) zrozumiał na czym polega takie oszustwo.
Przestępca wystawiał na Vinted (aczkolwiek możliwe jest to na każdym portalu z ogłoszeniami) jakieś produkty w bardzo niskich cenach. Po znalezieniu chętnego do zakupu umawiał się z nim na płatność za pomocą przelewu bankowego i podawał mu numer konta, który był numerem konta pana Macieja – sprzedającego z Allegro. Skąd go wziął?
Wykorzystał lukę w płatnościach wykonywanych za pośrednictwem PayU. Wystarczyło wybrać formę płatności „przelew”, a następnie na stronie PayU „przelew tradycyjny”. W rezultacie generowały się dane do przelewu, w tym numer rachunku, tytuł przelewu, kwota.
PayU wprawdzie ostrzegało poniższym komunikatem, że kwota i tytuł przelewu muszą się zgadzać, ale w ogóle to nie było respektowane. Tytuł, odbiorcę i kwotę można było wprowadzić zupełnie dowolnie, a przelew i tak trafiał do odbiorcy.
Oszust oczywiście wybierał oferty z identyczną lub minimalnie niższą kwotą od tej uzgodnionej z kupującym na Vinted. W rezultacie sprzedawca otrzymywał z Allegro informację, że zakup został opłacony. System w żaden sposób nie ostrzegał sprzedawcy, że ktoś podał inne dane przelewu (odbiorca, tytuł przelewu), a jedynie (analizując głębiej) można było zauważyć, że kupujący wpłacił wyższą kwotę:
Taka informacja nie wzbudza jednak większych podejrzeń, a dodatkowo nie musimy jej zauważyć (PayU informowało nas e-mailem, że płatność została zakończona) lub nie musi się w ogóle pojawić (oszust może wystawić przedmiot za dokładnie taką samą kwotę w innym serwisie).
W rezultacie sprzedawca na Allegro otrzymywał pieniądze i informację, że dana aukcja jest opłacona i wysyłał towar, który trafiał do oszusta. Przestępca działał oczywiście w pełni anonimowo. Mógł podać fikcyjne dane i zamówić przesyłkę do paczkomatu, a więc nie musiał ujawniać nawet swojego adresu zamieszkania.
Natomiast kupujący zapłacił za swoje zamówienie i go nie otrzymał, a jedyne co mu pozostało po tej transakcji, to numer konta, na który zlecił przelew. Ten niestety należał pośrednio (był rachunkiem technicznym PayU) do niewinnego sprzedawcy z Allegro – pana Macieja. I to tam swoje kroki skierowała policja.
Z relacji pana Macieja dowiadujemy się też, że policja kompletnie nie rozumie na czym polega takie oszustwo na Allegro i poinformowała go, że sprawy będą umorzone, jeżeli zwróci pieniądze. Miał też pobierane odciski palców, sprawdzane DNA i był wielokrotnie przesłuchiwany. Czeka też na pierwsze rozprawy sądowe. A to przecież on został w tej sprawie oszukany.
Oszustwo na Allegro? PayU interweniuje
W pierwszej chwili apele pana Macieja do Allegro pozostawały bez przychylnej odpowiedzi. Konsultanci odmawiali wyłączenia opcji przelewu tradycyjnego i też nie rozumieli, jak w ten sposób można okradać ludzi. Następnie zaczęli jedynie blokować konta kupujących, ale już po dokonaniu oszustwa, a więc niewiele to dawało.
O sprawie stało się jednak głośno. Pojawił się post na Wykopie, film na Youtube, napisały o niej media, ktoś założył wątek na forum Allegro. Nowe oszustwo na Allegro zyskało rozgłos i w końcu ktoś zdecydował się jednak zareagować. Pod filmem umieszczono oświadczenie:
„Bezpieczeństwo transakcji na Allegro jest dla nas priorytetem. Wraz z PayU jesteśmy w trakcie usprawniania rozwiązań, które uniemożliwiają wykorzystanie płatności w sposób przedstawiony w materiale. Przykro nam z powodu sytuacji, która spotkała Pana Macieja w naszym serwisie, skontaktujemy się z nim i sprawdzimy w jaki sposób możemy pomóc. W przypadku działań naruszających prawo, zawsze współpracujemy z organami ścigania”.
Pan Maciej potwierdził, że Allegro faktycznie zadzwoniło do niego z propozycją pomocy. Postanowiłem sprawdzić, czy udało się już uniemożliwić takie oszustwo i jakie środki zastosowano. Napisałem do Allegro i do PayU. Pan Marcin Gruszka (Head of Communications Corporate Communication Department w Allegro) odpisał mi, że:
„Problem całkowicie rozwiązany. Aktualnie wdrożyliśmy dodatkowe zabezpieczenia i pracujemy nad kolejnymi i dopóki nie zostaną wypracowane wyłączyliśmy w niektórych kategoriach możliwość płacenia przelewem tradycyjnym aby ograniczyć opisywane sytuacje”.
Dowiedziałem się też, że takie sytuacje były marginalne. Chociaż tutaj można by się zastanowić, o ilu sytuacjach po prostu się nikt nie dowiedział, bo kupującemu nie chciało się zgłosić na policję z powodu straconych 150 zł. Szczególnie, że policja w Polsce nie ma zbyt dobrej renomy odnośnie rozwiązywania takich oszustw. Z PayU mi nie odpisano do dnia publikacji artykułu.
Cieszę się, że udało się ograniczyć takie oszustwo na Allegro, ale mam jednak niedosyt podjętych działań. Zarówno policja, jak i Allegro w pierwszej chwili, delikatnie pisząc, zignorowali problem, przez który niektórzy sprzedawcy na Allegro jeszcze długo będą źle spać po nocach. Myślę, że można to było zrobić lepiej. Ciekawe, czy ktoś w ogóle szuka prawdziwych przestępców.
Sprzedajesz coś? Gotówka na koncie to nie wszystko
Nie będę ukrywał, że wyłapanie powyższego oszustwa jest niemal niemożliwe. Szczególnie dla kogoś, kto sprzedaje hurtowo i przyjmuje kilkanaście/kilkadziesiąt przelewów dziennie. Na szczęście PayU usprawniło ten system, ale to nie oznacza, że sprzedający mogą się czuć bezpiecznie.
Schemat oszukiwania dwóch osób za jednym razem jest znany i używany na różnych portalach z ogłoszeniami. Oszust może zupełnie anonimowo i bezkarnie wyłudzić pieniądze od potencjalnego kupca i towar od sprzedawcy, a Ci nawet nie będą wiedzieli, kto ich oszukał. Jak to działa?
Przestępca znajduje interesujący go przedmiot na jakimś portalu z ogłoszeniami. Informuje o zamiarze kupna i prosi o numer konta do przelewu z przesyłką do paczkomatu. Jednocześnie wystawia za taką samą kwotę swoją ofertę. Najczęściej na inny produkt (jakiś chodliwy i droższy, aby był w korzystnej cenie).
Otrzymany od sprzedawcy numer konta przesyła potencjalnemu kupującemu i prosi, aby w tytule przelewu wpisać „zakup” lub coś podobnego, co nie wskazuje na konkretny przedmiot. Dane właściciela rachunku może zostawić lub zmienić na fikcyjne, bo banki i tak ich nie weryfikują. Wielokrotnie już zwracaliśmy uwagę na ten problem – na przykład tutaj.
Po wszystkim oszust wysyła do sprzedającego prośbę o wysyłkę paczki do danego paczkomatu. Jeżeli założył w tym celu jednorazową kartę SIM, jednorazowy e-mail i czapkę z daszkiem oraz maseczkę przy odbiorze, to zlokalizowanie go będzie bardzo trudne (ale na szczęście możliwe – np. z wykorzystaniem metadanych).
Kupujący, który nie otrzyma towaru, ma do dyspozycji tylko e-mail do oszusta, a ten zapewne dosyć szybko przestanie być aktywny. W takiej sytuacji po prostu skieruje swoje kroki na komisariat (lub zrazi się do zakupów internetowych i zapomni o sprawie), a policja… znajdzie sprzedawcę po numerze konta.
W rezultacie sprzedawca straci masę czasu, nerwów i pieniędzy (adwokaci kosztują) na wyjaśnienie całej sprawy. I to tylko dlatego, że ktoś z niego zrobił „słupa” bez jego wiedzy.
Jak sprzedawać w Internecie?
Jak bezpiecznie sprzedawać w takiej sytuacji? Niestety nie ma tu jednej prostej rady, a opisywane oszustwo na Allegro nie było pierwszym ani ostatnim. Najlepiej się umówić na odbiór osobisty (to zabezpieczy też kupujących, którzy będą mogli obejrzeć towar przed zakupem), ale zdaję sobie sprawę, że nie zawsze jest to możliwe.
Kolejnym krokiem jest próba skorzystania z systemu płatności, który oferuje dany serwis z ogłoszeniami. Niestety, jak czytaliście wyżej, takie systemy nie są pozbawione wad, a zwiększają nasze poczucie bezpieczeństwa.
Jeżeli podajemy nasz numer konta, to zaznaczmy kupującemu, aby dokładnie napisał w tytule przelewu za co i komu płaci. Na przykład: „Przelew za spodnie z OLX, ID: 123456789, dla Michała Wachowskiego”.
Można też uzgodnić jakąś dziwną kwotę przelewu, czyli 140,02 zł zamiast 140 zł. Dla kupującego nie powinno to być problemem, a sprzedający będzie musiał namówić kogoś do wpłacenia dokładnie takiej kwoty.
Jeżeli tytuł przelewu będzie zły lub kwota nie będzie się zgadzać, to po prostu odsyłajcie przelew do nadawcy i nie wysyłajcie towaru. Oszust może próbować różnych wyjaśnień. Na przykład może napisać, że robił dwa przelewy i skopiował tytuł. Zignorujcie to. Będzie chciał kupić, to wykona nowy przelew.
Oczywiście nie wysyłamy też żadnych produktów na podstawie e-mailowego potwierdzenia wpłaty ani nie klikamy w żadne linki od kupujących, która mają rzekomo pozwolić nam odebrać płatność. Najlepiej się nie wdawać w żadną dyskusję z potencjalnym kupcem.
Zdjęcie główne: Jefferson Santos/Unsplash
