Faktura firmy Play przyprawiła naszego czytelnika o zawrót głowy. Pan Paweł przeżył niemały szok, gdy na fakturze za telefon znalazł usługi, których nie zamawiał, a za które trzeba teraz zapłacić czterocyfrową kwotę. Operator zarzeka się, że transakcje były autoryzowane i odrzuca kolejne reklamacje. Czy to możliwe, że obie strony… mają rację? Po raz kolejny okazuje się, że warto mieć oczy dookoła głowy
- Zastanawialiście się kiedyś, ile śladu węglowego generuje Wasza firma? Warto wiedzieć, bo coraz częściej mogą Was o to pytać. Jak policzyć swój ślad? [POWERED BY BANK PEKAO]
- Na jaki procent założyć lokatę, żeby ochronić swoje pieniądze przed inflacją? Trzy kroki [POWERED BY RAISIN]
- Polska na ścieżce inwestycji, Europa na ścieżce konfrontacji. Dr Ernest Pytlarczyk o deglobalizacji [POWERED BY BANK PEKAO]
Problem ze współczesnym światem jest taki, że nieustannie brakuje nam wolnego czasu. W rezultacie, gdzie tylko się da, oczekujemy szybkości i wygody (płatności na jeden klik, automaty paczkowe itd.), co nie zawsze idzie w parze z bezpieczeństwem (podobne dylematy dotyczą osób z niepełnosprawnościami). Dzisiaj chciałem – ku przestrodze – opisać historię pana Pawła, któremu telekom wystawił fakturę na dodatkowe 1300 zł za usługi, których nie zamawiał. O co chodzi?
Faktura z Play i ponad 1300 zł dodatkowych kosztów
Zgłosił się do nas pan Paweł, który posiada w firmie kilka numerów telefonów zarejestrowanych w sieci Play. Pewnego dnia na jeden z tych numerów przyszedł tajemniczy SMS, z którego treści wynikało, że firma została obciążona kwotą 61,50 zł za zakupy jakichś akcesoriów do gier. Poniżej screen.
Właściciel telefonu od razu skontaktował się z naszym czytelnikiem (osoba decyzyjna w firmie) z pytaniem, czy ten coś kupował. Pan Paweł jednak stanowczo zaprzeczył i po prostu uznał taki SMS za jakąś próbę wyłudzenia danych. Pełno tego teraz. Nie zbagatelizował jednak zupełnie sytuacji i podjął odpowiednie działania.
„Dostaję od razu informację o tym od współpracownika. Więc mówię mu, że prawdopodobnie to scam i ktoś chce, aby kliknąć link (bo żyję w świadomości, że przecież nie mam żadnej usługi w Play, która na to pozwala). Ale dla pewności proszę, aby zadzwonił do Playa i to wyjaśnił”
– informuje mnie czytelnik. Zanim przedstawicielom firmy udało skontaktować się z operatorem (dochodzi tutaj kwestia procedur, ale to osobny temat) i zmienić limit usługi płatności z Playa na 0 zł (podobno nie można jej w ogóle wyłączyć) na wszystkich numerach, to okazało się, że w sumie zrobiono zakupy za 763,40 zł.
Transakcje były dokonywane w różnych serwisach (sklep Play, sklep Microsoft, sklep RIOT), ale zawsze dotyczyły jakichś przedmiotów w grach online. To jednak nie był koniec niespodzianek. Okazało się, że na innym telefonie z tego samego abonamentu firmowego niemal w tym samym czasie także dokonywano zakupów. To o tyle dziwne, że to była karta SIM, która głównie służyła jako modem. W tym wypadku łączna kwota transakcji wyniosła 560,24 zł. Wróćmy do relacji czytelnika:
„Play wstawił fakturę i jakież było moje zdziwienie, kiedy na drugim telefonie, a właściwie numerze technicznym, który jest w większości czasu w modemie mobilnym, też były dokonywane zakupy”.
Pan Paweł dodaje, że użytkownicy telefonów nic nie zamawiali, nie klikali w podejrzane linki, nie otrzymywali żadnych SMS-ów autoryzacyjnych (ostatecznie doszedł tylko jeden, ale na kwotę, która nie została zafakturowana, bo nikt nie podał kodu z SMS-a) i otrzymali tylko jedno potwierdzenie płatności (widoczne na powyższym screenie i wtedy czytelnicy od razu zareagowali).
„Czy mógłbym uwierzyć, że ktoś niechcący kliknął jakąś reklamę czy fake’owy baner – tak, mógłbym. Natomiast nie mogę uwierzyć, że nagle dwie osoby z dwoma różnymi numerami robią taki sam błąd w praktycznie podobnym czasie”
– relacjonuje czytelnik, który oczywiście złożył reklamację w Play, którą operator odrzucił. Wymiana korespondencji była dosyć długa, bo czytelnik powoływał się nie tylko na nieistniejące transakcje, ale też na procedury w Playu (trudności z wyłączeniem usługi płatności) oraz na to, że nigdy nie wyrażał woli na aktywację „dobrowolnej” usługi „płatności z Play”.
„Transakcje były autoryzowane kodem PIN”
Poprosiłem o komentarz Biuro Prasowe sieci Play. Chciałem dowiedzieć się, czy te transakcje faktycznie miały miejsce, czy były autoryzowane i jak przestępcy mogli zorganizować takie oszustwo. Chciałem też wiedzieć, czy informacja o takiej usłudze („płatności z Play”) nie powinna znaleźć się w umowie i czy nie powinno być jakiejś szybkiej ścieżki reakcji analogicznej do zastrzegania kart w bankach.
„Transakcje dla numerów wymienionych przez Pana Redaktora były autoryzowane kodem PIN wysyłanym SMS-em na numer podany do realizacji transakcji. Co istotne, PIN ważny jest zaledwie 60 sekund, aby uniemożliwić nadużycia. Dodatkowo treść wiadomości z PIN zawiera ostrzeżenie przeciw wyłudzeniom. Zasady dotyczące zakupów za pośrednictwem operatora są opisane w naszym regulaminie usługi zapłać z Play”
– odpisał mi Filip Żyro, starszy specjalista ds. komunikacji korporacyjnej Playa. Dowiedziałem się też, że wszystko zostało dokładnie sprawdzone, nie ma mowy o żadnym błędzie technicznym, a faktura Playa została wystawiona prawidłowo.
„W każdej chwili obowiązywania umowy można włączyć blokadę zakupów mobilnych, co skutecznie ograniczy ryzyko niechcianych zakupów. Zachęcamy do sprawdzenia, w jaki sposób wykorzystywana jest karta. Bez autoryzacji zakupu nie byłoby możliwości wykonania transakcji. Pamiętajmy, że w każdym momencie kartę wykorzystywaną w routerze można przełożyć do urządzenia, które umożliwia taką autoryzację (telefon, tablet)”
– dodaje Filip Żyro. Pan Paweł reklamował zarówno nieautoryzowane transakcje, jak i same procedury w Playu (twierdzi, że nie mógł się zalogować i zmniejszyć limitu usługi „płatności z Play” oraz nigdy nie zgadzał się na tę usługę). Wszystkie reklamacje zostały jednak odrzucone, a faktura Playa podtrzymana.
Faktura Play: jak są zabezpieczone płatności?
Jeżeli robiliście jakieś zakupy w internecie, to bardzo prawdopodobne, że spotkaliście się z opcją płatności przez doliczenie kwoty do rachunku telefonicznego. Można tak płacić m.in. za telewizję internetową, bilety komunikacyjne, gry itd. W ten sposób zadziałają zarówno płatności jednorazowe, jak i subskrypcje. Tak możemy np. zapłacić za dostęp do serwisu Netflix ze wsparciem wspominanego Play:
Na pewno jest to bardzo wygodne, bo nie musimy podawać w takich serwisach chociażby danych karty płatniczej. Wystarczy tylko zmienić kwotę na i tak opłacanej co miesiąc fakturze telekomunikacyjnej. Ta funkcjonalność nie jest jednak wyłącznie wytworem informatyków Playa. Spokojnie możemy skorzystać z płatności z Orange (link), płatności z T-Mobile (link) czy płatności z Plusem (link). Tutaj natomiast link do usługi w Playu.
Taka opcja może być jednak problematyczna, bo jest stosunkowo słabo zabezpieczona. Niestety to częsty problem działów technologicznych – jak znaleźć kompromis pomiędzy wygodą a bezpieczeństwem. Niedawno Maciej Samcik popełnił tekst o tym, że UOKiK upomniał banki w sprawie bezpieczeństwa klientów. Tam też okazało się, że to, co jest wygodne dla klienta, szybko może stać się jego przekleństwem.
Pojawia się np. pytanie, czy operator telekomunikacyjny nie powinien informować o takiej usłudze i wymagać od nas jakiejś zgody na korzystanie z niej? Bo z relacji pana Pawła wynika, że w umowie nie ma o tym ani słowa. Po prostu pewnego dnia Play udostępnił taką usługę i jednostronnie ustawił limit na 800 zł.
Jeżeli dobrze pamiętam, to gdy w swoich bankach chciałem skorzystać z usługi Blik, to musiałem za pierwszym razem zaakceptować jakieś warunki. Każda płatność jest zabezpieczona kodem Blik oraz autoryzacją w bankowości mobilnej, ale banki życzyły sobie (i słusznie) akceptacji tej usługi.
Czytelnik twierdzi natomiast, że nawet nie wiedział, że posiada taką usługę. Play (i bardzo prawdopodobne, że inni operatorzy również, ale akurat opisujemy sprawę Playa) po prostu włączył taką usługę i ustawił limit na 800 zł. Z góry założono, że autoryzacja PIN-em z SMS-a jest wystarczająca. A – jak się okazuje – nie zawsze jest.
Moim zdaniem limity takich usług nie powinny być ustalane odgórnie. Jeżeli operator umożliwia takie płatności, to bardzo dobrze, ale powinno być wymagane aktywnie działanie użytkownika. To znaczy ręczne zwiększenie limitu z kwoty 0 zł. Jest też dobra wiadomość. Być może właśnie się coś zmienia w tej sprawie, bo niedawno pan Paweł otrzymał też poniższego SMS-a.
Wygląda na to, że Prawo Komunikacji Elektronicznej (o którym szerzej piałem tutaj) wymusi na operatorach uzyskiwanie zgody klientów przed świadczeniem usługi płatności. To dobra zmiana, bo pozwoli uniknąć albo przynajmniej ograniczyć oszustwa w stylu tego, na które nadział się nasz czytelnik.
Pan Paweł udostępnił swój ekran?
Zupełnie osobną kwestią jest to, jak w ogóle oszustom udało się okraść pana Pawła. Sprawa jest tajemnicza – czytelnik zapewnił mnie, że żadne przekazywanie kodu PIN z SMS-a nie miało miejsca, a nikt niepowołany (np. dziecko, które chciało sobie pograć w gry) nie miał dostępu do telefonu.
Z Playa natomiast mam zapewnienie, że dokładnie sprawdzili, iż zakupy były autoryzowane kodem z SMS-a. Jeżeli obie strony mówią prawdę, to mamy do czynienia z intrygującą, ale i bardzo niebezpieczną sytuacją. Sytuacją, która przecież może spotkać każdego z nas.
Poprosiłem o komentarz serwis Zaufana Trzecia Strona, który zajmuje się m.in. właśnie bezpieczeństwem. Odpisał mi Adam, który zwrócił uwagę na to, że każdy telefon można nieświadomie i bardzo prosto sparować z czyimś komputerem.
„Najbardziej prawdopodobne rozwiązanie to mirroring smsów z androida na cudzym komputerze po namówieniu ofiary do sparowania urządzeń pod dowolnym pretekstem”.
Szczegóły takiego ataku opisano m.in. na CERT, a wspomniana Zaufana Trzecia Strona dokonała nawet prowokacji związanej z tym atakiem. W skrócie chodzi o to, że aplikacje do wysyłania i odbierania SMS-ów (Wiadomości Google) można uruchomić również w przeglądarce internetowej na komputerze. A chyba mało osób zdaje sobie z tego sprawę.
Proces parowania telefonu z komputerem jest stosunkowo prosty. Tak naprawdę wystarczy włączyć parowanie i zeskanować kod QR, do czego oszuści mogą namówić nas pod byle pretekstem. Następnie nie musimy już nic zatwierdzać (nawet w przypadku dwuskładnikowego uwierzytelniania), a na telefonie pojawia się jedynie komunikat „Wszystko gotowe”. O tak to wygląda:
Taka osoba myśli, że po prostu zeskanowała niewinny kod QR, bo nie pojawiło się żadne ostrzeżenie, nie trzeba było nic zatwierdzać, nie było wymagane podanie żadnych haseł ani PIN-ów. Natomiast przestępcy w tym czasie zyskali dostęp do wszystkich SMS-ów i MMS-ów z naszego telefonu. Mogą je czytać (!), usuwać (!!) i tworzyć oraz wysyłać nowe (!!!).
To otwiera im drogę nie tylko do wcześniej opisanego oszustwa, które spotkało naszego czytelnika, ale też do masy innych oszustw, które polegają np. na wyłudzeniu kodów Blik od znajomych lub na zwykłym szantażu. W aplikacji wiadomości na telefonie nie ma żadnego oznaczenia, że została ona sparowana z komputerem. Możemy to sprawdzić (i rozparować swoje urządzenia) dopiero w menu „Parowanie urządzenia”. Proponuję Wam teraz to sprawdzić u siebie.
Czy takie coś spotkało pana Pawła? Nie mam pojęcia. Sam zainteresowany kategorycznie zaprzecza i twierdzi, że wszyscy użytkownicy telefonów są „ogarnięci i świadomi”. Ja się już jednak wielokrotnie przekonałem, że nawet ogarnięte osoby mogą dać się na coś złapać pod wpływem impulsu. A przecież na każdym kroku jesteśmy zachęcani do skanowania jakichś kodów QR.
Podejrzane jest też to, że czytelnik, jak twierdzi, nie otrzymał wszystkich SMS-ów. Na jednym numerze przyszło tylko pojedyncze potwierdzenie zakupów, a na drugim numerze jeden PIN. Wyglądało to tak, jakby ktoś nie zdążył skasować tych SMS-ów przez sparowane urządzenie.
Powyższa historia uczy nas dwóch rzeczy. Po pierwsze ataki przestępców są coraz bardziej przemyślane i bardzo łatwo się na nie nabrać. Nawet jeżeli czujecie, że akurat Was to na pewno nie spotka, to i tak polecam regularnie śledzić najnowsze zagrożenia i – co może nawet ważniejsze – samemu edukować innych (np. starszych i mniej „technicznych” członków rodziny).
Po drugie warto sprawdzić dostępność usług u swojego (lub firmowego) operatora telekomunikacyjnego. Szczególnie pod kątem usług Premium (SMS-y Premium, numery Premium, płatność za usługi zewnętrzne itd.). Jeżeli nie korzystacie z takich usług, to zablokujcie je i ustawcie limity na 0 zł. Profilaktycznie. Lepiej wszystko wyłączyć i aktywować w razie potrzeby niż się zdziwić, czytając fakturę. Jak widzicie, prawo się zmienia, ale z bardzo dużym opóźnieniem i nie nadąża za nowoczesnymi technologiami.
Zdjęcie główne: Freepik
