Oszuści włamali się na konto Allegro pana Piotra i zrobili sobie zakupy jego kartą na 2000 zł. „Jakim cudem? Mam zabezpieczenie 3D-Secure, powinny przyjść SMS-y autoryzacyjne” – skarży się pan Piotr. Ale nie przyszły. A może wcale nie powinny? Czy ktoś znowu kopiuje nasze karty SIM? Niestety w tej historii jest drugie dno. To dowód na to, że największym zagrożeniem płatności jesteśmy my sami i nasze wygodnictwo. A może usługodawcy powinni się bardziej przyłożyć do zabezpieczenia transakcji?
Trwa gorączka zakupów. W tym roku rekordowo duża część z nas kupi prezenty przez internet. O skali zakupowego transu, w który wpadło wielu, świadczą dane Allegro. W tym roku w okolicach 27 listopada, czyli Black Friday, dzienna liczba transakcji była o 300% większa niż zwykle, a klienci kupili w tym czasie rekordową liczbę 3,5 mln produktów.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Niestety nie wszyscy kupili tylko to, co chcieli. Napisał do nas pan Piotr, któremu ktoś przy okazji zakupów przez internet wyczyścił kartę na 2000 zł. Nie uchroniły go przed tym żadne SMS-y autoryzacyjne ani token w aplikacji banku. Błąd banku czy raczej wielbłąd czytelnika?
Czytaj też: Płatność kartą za przesyłkę kurierską? Mission impossible. Zamiast terminala… oferta podwózki do bankomatu
Pan Piotr smacznie śpi, a oszuści kupują za jego pieniądze setki licencji „Windows 10”
Dyskusja o bezpieczeństwie transakcji trwa w najlepsze. Asumptem była niedawno opisana przez nas historia pana Kamila, któremu ktoś w lipcu tego roku, czyli stosunkowo niedawno, sklonował kartę SIM, przejął dostęp do konta i wyprowadził 200 000 zł. Piszemy „niedawno”, bo pierwsze takie zuchwałe „wałki” na klony karty SIM były trzy lata temu i można było sądzić, że problem udało się ogarnąć, a telekomy nie dają się zwieść oszustom i nie pozwalają już wyrabiać duplikatów na lewy dowód osobisty.
Puentę do tej historii napisał Citi, który chciał wstrzymać wysyłanie SMS-ów autoryzacyjnych dla części transakcji internetowych, na rzecz podania jednorazowego kodu generowanego w aplikacji na smartfon. Dzięki temu już nikt nigdy nie zostałby okradziony metodą na klonowaną kartę SIM, bo SMS-ów (przynajmniej w określonych sytuacjach) po prostu by nie było.
Jak opisaliśmy, podniosło się larum. Okazało się, że wielu klientów jest tak przyzwyczajonych do SMS-ów, że bank ustąpił i rewolucję odłożył na półkę. Oczywiście, jeśli ktoś chce, to może sam wprowadzić autoryzację poprzez aplikację. Teraz jednak zgłosił się do nas pan Piotr, użytkownik Allegro, który został okradziony na 2000 zł.
„Z mojego konta na Allegro dzisiejszej nocy zrealizowano szereg zakupów na Allegro za pomocą karty kredytowej tam dodanej. Mimo zabezpieczenia 3-D Secure żadne SMS-y autoryzacyjne nie zostały do mnie wysłane z mBanku, którego karta jest podpięta do konta Allegro. Od sprzedających otrzymuje informacje, że dzisiaj w tym samym czasie mają po kilka takich zakupów od różnych użytkowników. Zakupy dotyczyły licencji programów komputerowych. Od Allegro otrzymuję informację, że powinienem zgłosić reklamację do mBanku, a wtedy mBank zgłosi reklamację do Allegro i być może uda się otrzymać zwrot środków.”
W sumie oszuści kupili sobie blisko 1000 licencji (kluczy) do systemu operacyjnego Windows w cenie ok. 2 zł każdy (już sama oferta jest zagadkowa, bo w sklepie Microsoftu licencja kosztuje 199 zł, za nie 2 zł, zapytaliśmy firmę Billa Gatesa, co oni na to).
To było w sumie 10 transakcji przeprowadzonych o północy, w odstępie kilku minut. Żadna transakcja nie wymagała dodatkowej autoryzacji, na żadnym etapie algorytmy banku nie wykryły, że z karty kredytowej pana Piotra w dziwnym trybie uchodzą pieniądze: godzina 00:28 – minus 200 zł. Godzina 00:34 – minus 200 zł. Godzina 00:51 – minus 200 zł, i tak dalej… W sumie dobrze, że skończyło się na 2000 zł, bo przy bierności systemów zabezpieczeń oszuści mogliby wyczyścić kartę do zera. Jak to możliwe?
Gdzie się podział 3D Secure?
Sprawa jest oczywista. Pan Piotr padł ofiarą oszustów. Jak do tego doszło? Panu Piotrowi odpowiedziało Allegro:
„Na Pana koncie zalogowała się nieuprawniona osoba. Włamywacz zrobił zakupy w kilku aukcjach i zapłacił kartą płatniczą. Wysłaliśmy wiadomości do Sprzedających, aby nie wysyłali przedmiotów i zwrócili wpłaty. Jeżeli jednak przedmioty już zostały wysłane, to może Pan złożyć reklamację w banku – wydawcy karty w celu skorzystania z procedury chargeback.”
Wydaje się, że sprawa będzie miała swój happy-end. Pan Piotr opowiada, że prowadzi dyskusję ze sprzedającymi na temat zwrotu zakupionych produktów, a jeśli to nie pomoże to złoży reklamacje w banku albo skorzysta z programu ochrony kupujących Allegro. Chciałby jednak wiedzieć, dlaczego nie przyszły te przeklęte SMS-y autoryzacyjne i czy następnym razem przestępcy nie wyczyszczą mu karty do cna.
Czytelnik argumentuje, że ma aktywną usługę 3D Secure. To dostępna od kilku lat dodatkowa zapora przed niechcianymi transakcjami zawieranymi w internecie przy pomocy kart płatniczych. Idea jest taka, że nawet gdy płacę kartą i podaję cały niezbędny zestaw danych: numer, terminy ważności i kod zabezpieczający CVC, to bank – gdy zorientuje się, że chcę zapłacić kartą w sieci – wysyła na telefon kod SMS, który podaję w e-sklepie jako dodatkowe potwierdzenie, że to ja (otwiera się dodatkowe okno).
Nie jest to narzędzie bardzo ergonomiczne. Dodatkowy kod jest kłopotliwy. Niektórzy wolą przez to płacić bardziej wygodnym BLIKiem (tyle że nie mogą wtedy skorzystać z procedury chargeback). Dopiero ostatnio banki wprowadziły usługę na nowy poziom – oferują zamiast SMS-ów, autoryzację przy pomocy aplikacji bankowej, np. przy pomocy danych biometrycznych: odcisku palca albo skanu twarzy (Face ID). Takie opcje oferuje mBank czy Millennium oraz kilka innych banków.
Zapewne rozgorzeje dyskusja czy lepsze są SMS-y, czy aplikacje mobilne (które nas śledzą, zabierają pamięć w smartfonie, a do tego bywają zawodne). A SMS, to SMS – trudno w czymś tak prostym coś zepsuć. Ale pozostaje pytanie – po co te wszystkie zapory, skoro i tak nie zdały one egzaminu? Gdzie i kto popełnił błąd?
Zakupy w internecie jak subskrypcja Netfliksa. Nikt nie pyta o kody SMS, nikt nie chce hasła z aplikacji. Czy to tak ma działać?
Mimo wszystko przy tradycyjnym sposobie płacenia kartą wciąż niezawodnym patentem jest mieć osobną kartę tylko do płacenia w internecie i zasilanie jej tylko takimi pieniędzmi, które są nam potrzebne do dokonania konkretnej transakcji.
Niestety, wiele wskazuje na to, że błąd jest systemowy ze wskazaniem na zaniedbania czytelnika (żeby nie było – ja do tej pory robiłem to samo). W tym przypadku oszustom wystarczyło, że zdobyli dane do logowania do konta Allegro. Wycieki danych to nie taka rzadka sprawa, być może czytelnik coś zaniedbał, zalogował się do otwartej sieci wi-fi, ktoś zainfekował jego komputer oprogramowaniem szpiegującym. Gdy już byli na koncie Allegro, to tak jakby znaleźli się w skarbcu.
To z prostego powodu – pan Piotr miał na stałe podpiętą do zakupów swoją kartę. Wystarczyło, że raz kiedyś zapłacił nią za zakupy, a system ją zapamiętał (mógł też dodać samodzielnie). Podał numer i kod zabezpieczający CVC i karta stała się zupełnie bezbronna. Jak to możliwe? Gdzie był 3D Secure? Czy tak to powinno działać?
Niestety, w tym przypadku karta przypięta do konta, zadziała jak karta przypięta np. do aplikacji Uber, albo do subskrypcji Netfliksa czy Spotify. Raz wprowadzam komplet danych karty, a kolejne transakcje opłacają się automatycznie – nikt ode mnie nie chce kodu autoryzacyjnego po dojechaniu do celu.
Czy tak to powinno działać w przypadku zakupów przez internet? Czy karta przypięta do Allegro będzie się domagać w banku autoryzacji? Podania kodu CVC? SMS-a? Na ten temat przetoczyła się dyskusja pod tym tekstem: Czytelniczka ostrzega: trwa atak na kupujących na Allegro. „Nic nie zamawiali, a z kart znika kasa”. Allegro: „reagujemy, zanim dojdzie do ataku”. Jak się bronić?.
Wtedy Allegro odpisało tak:
„To zależy od banku/wystawcy karty/operatora płatności – czasem trzeba kod podawać, chociaż w większości przypadków nie ma takiej potrzeby. Często, jeżeli klient nie chce wpisywać dodatkowo kodu to powinien dodać Allegro do zaufanych serwisów w swojej bankowości elektronicznej – o ile ma taką możliwość.”
A jak to widzi bank, a dokładniej mBank?
„Z perspektywy kartowej podanie kodu CVV2/CVC2 nie jest wymagane i jego brak nie jest dla nas podstawą do odrzucenia transakcji. Dodatkowo dla transakcji cyklicznych (subskrypcji kartowych) i kart zapisanych w bazie dostawcy (np. Allegro) nie jest wymagana dodatkowa autentykacja 3-D Secure.”
Czyli mamy odpowiedź. Wystarczy, że ktoś ma przypiętą kartę do konta Allegro, to jest bardzo narażony na kradzież. Po tej historii sam zalogowałem się na konto Allegro. Konto założone przez kilkunastoma laty. Od razu zmieniłem hasło i odpiąłem przypiętą kartę, co nie było łatwe – długą chwilę trwało zanim znalazłem odpowiednią zakładkę. Dla ułatwienia: ściągawka, gdzie tego szukać:
Trzy proste wnioski, które pomogą ci nie stracić w głupi sposób pieniędzy
Podręcznik bezpiecznego kupowania w sieci pisany jest w oparciu o cudze błędy. Po historii pana Piotra należy dopisać i przypomnieć te 3 proste zasady:
Po pierwsze: unikajcie przypinania kart płatniczych do aplikacji zakupowych. Może być tak, że ich system informatyczny potraktuje transakcje jak subskrypcje i nie będzie wymagał żadnej dodatkowej autoryzacji. Szkoda, że Allegro nie ma systemu SMS-owego, który informuje każdego użytkownika o transakcji na jego koncie. Banki mają takie systemy (czasem tego rodzaju SMS-y są płatne).
Po drugie – korzystajcie z logowania dwuskładnikowego gdzie tylko można. Taką opcję oferuje też Allegro. Gdyby pan Piotr miał ją włączoną, prawdopodobnie oszuści nie zdołaliby się włamać na jego konto. W takiej sytuacji, nawet jeśli użytkownik ma ustawione takie samo hasło w różnych serwisach i wypłynie ono na zewnątrz, nikt nie zaloguje się na jego konto Allegro z niezaufanego urządzenia. Platforma zapewnia:
„Zawsze zachęcamy naszych klientów do włączenia dwuetapowego logowania, ponieważ wtedy mamy gwarancję bezpieczeństwa podłączonej karty. Dodatkowo należy pamiętać, aby w różnych serwisach ustawiać różne hasła i wtedy, jeśli zostanie ono ujawnione, nie będzie to miało wpływu na bezpieczeństwo na innych serwisach.”
Po trzecie – być może najlepszą obroną będzie „powołanie” oddzielnej karty do płatności w sieci. Kredytowej, z niewysokim limitem albo przypisanej do oddzielnego konta, które zasilamy w miarę zakupowych potrzeb. Albo karty stricte wirtualnej. Nie ma wtedy ryzyka, że oszuści wyczyszczą nasz ROR lub limit kredytowy do zera.
—————-
ZAPRASZAMY DO POSŁUCHANIA PODCASTU!
W świątecznym odcinku podcastu „Finansowe sensacje tygodnia” Ekipa Samcika zabawiła się w Świętych Mikołajów, Gwiazdorów oraz Dziadków Mrozów i… przyznała przedstawicielom świata finansów – bankowcom, ubezpieczycielom, pośrednikom finansowym, fintechom, firmom inwestycyjnym, biurom maklerskim – prezenty oraz… rózgi, a nawet batogi (tak, tacy jesteśmy okrutni ;-)). Każdy z nas – Maciek Bednarek, Irek Sudak i Maciek Samcik – najpierw przyznał po trzy rózgi, a potem po kilka prezentów. Tylko Maciek Samcik miał więcej niż trzy prezenty.
Zapraszamy do posłuchania! Żeby to zrobić, trzeba kliknąć ten link albo znaleźć „Finansowe sensacje tygodnia” na Spotify, Google Podcast, Apple Podcast lub innej platformie podcastowej (nasze podcasty są dostępne na ośmiu platformach).
—————-
