23 grudnia 2020

Włamanie na konto Allegro. W tej sytuacji nie pomogą ani SMS-y, ani tokeny w aplikacji, ani 3D Secure. Jak się bronić, by nie skończyć jak pan Piotr?

Włamanie na konto Allegro. W tej sytuacji nie pomogą ani SMS-y, ani tokeny w aplikacji, ani 3D Secure. Jak się bronić, by nie skończyć jak pan Piotr?

Oszuści włamali się na konto Allegro pana Piotra i zrobili sobie zakupy jego kartą na 2.000 zł. „Jakim cudem? Mam zabezpieczenie 3D-Secure, powinny przyjść SMS-y autoryzacyjne” – skarży się pan Piotr. Ale nie przyszły. A może wcale nie powinny? Czy ktoś znowu kopiuje nasze karty SIM? Niestety, w tej historii jest drugie dno. To dowód na to, że największym zagrożeniem płatności jesteśmy my sami i nasze wygodnictwo. A może usługodawcy powinni się bardziej przyłożyć do zabezpieczenia transakcji?

Trwa gorączka zakupów. W tym roku rekordowo duża część z nas kupi prezenty przez internet. O skali zakupowego transu, w który wpadło wielu, świadczą dane Allegro. W tym roku, w okolicach 27 listopada, czyli Black Friday, dzienna liczba transakcji była o 300% większa, niż zwykle, a klienci kupili w tym czasie rekordową liczbę 3,5 mln produktów.

Zobacz również:

Niestety, nie wszyscy kupili tylko to, co chcieli. Napisał do nas pan Piotr, któremu ktoś przy okazji zakupów przez internet wyczyścił kartę na 2.000 zł. Nie uchroniły go przed tym żadne SMS-y autoryzacyjne, ani token w aplikacji banku. Błąd banku, czy raczej wielbłąd czytelnika?

Czytaj też: Płatność kartą za przesyłkę kurierską? Mission impossible. Zamiast terminala… oferta podwózki do bankomatu

Czytaj też: Pan Kamil jest szczuplejszy o 200.000 zł. Wszystko przez „sklonowaną” kartę. Dlaczego banki i telekomy ciągle pozwalają na takie numery?

Czytaj też: Czy można zmienić login w banku? Czytelniczce chcieli się włamać na konto złodzieje, więc o to poprosiła. Ale bank… odmówił! Czy taka historia może mieć happy end?

Pan Piotr smacznie śpi, a oszuści kupują za jego pieniądze setki licencji „Windows 10”

Dyskusja o bezpieczeństwie transakcji trwa w najlepsze. Asumptem była niedawno opisana przez nas historia pana Kamila, któremu ktoś w lipcu tego roku, czyli stosunkowo niedawno, sklonował kartę SIM, przejął dostęp do konta i wyprowadził 200.000 zł. Piszemy „niedawno”, bo pierwsze takie zuchwałe „wałki” na klony karty SIM były trzy lata temu i można było sądzić, że problem udało się ogarnąć, a telekomy nie dają się zwieść oszustom i nie pozwalają już wyrabiać duplikatów na lewy dowód osobisty.

Puentę do tej historii napisał Citi, który chciał wstrzymać wysyłanie SMS-ów autoryzacyjnych dla części transakcji internetowych, na rzecz podania jednorazowego kodu generowanego w aplikacji na smartfona. Dzięki temu już nikt nigdy nie zostałby okradziony metodą na klonowaną kartę SIM, bo SMS-ów (przynajmniej w określonych sytuacjach) po prostu by nie było.

Jak opisaliśmy, podniosło się larum. Okazało się, że wielu klientów jest tak przyzwyczajonych do SMS-ów, że bank ustąpił i rewolucję odłożył na półkę. Oczywiście, jeśli ktoś chce, to może sam wprowadzić autoryzację poprzez aplikację. Teraz jednak zgłosił się do nas pan Piotr, użytkownik Allegro, który został okradziony na 2.000 zł.

„Z mojego konta na Allegro dzisiejszej nocy zrealizowano szereg zakupów na Allegro za pomocą karty kredytowej tam dodanej. Mimo zabezpieczenia 3-D Secure żadne SMS-y autoryzacyjne nie zostały do mnie wysłane z mBanku, którego karta jest podpięta do konta Allegro. Od sprzedających otrzymuje informacje, że dzisiaj w tym samym czasie mają po kilka takich zakupów od różnych użytkowników. Zakupy dotyczyły licencji programów komputerowych. Od Allegro otrzymuję informację, że powinienem zgłosić reklamację do mBanku, a wtedy mBank zgłosi reklamację do Allegro i być może uda się otrzymać zwrot środków”

W sumie oszuści kupili sobie blisko 1000 licencji (kluczy) do systemu operacyjnego Windows w cenie ok. 2 zł każdy (już sama oferta jest zagadkowa, bo w sklepie Microsoftu licencja kosztuje 199 zł, za nie 2 zł, zapytaliśmy firmę Billa Gatesa, co oni na to).

To było w sumie 10 transakcji przeprowadzonych o północy, w odstępie kilku minut. Żadna transakcja nie wymagała dodatkowej autoryzacji, na żadnym etapie algorytmy banku nie wykryły, że z karty kredytowej pana Piotra w dziwnym trybie uchodzą pieniądze: godzina 00:28 – minus 200 zł. Godzina 00:34 – minus 200 zł. Godzina 00:51 – minus 200 zł, i tak dalej… W sumie dobrze, że skończyło się na 2.000 zł, bo przy bierności systemów zabezpieczeń, oszuści mogliby wyczyścić kartę do zera. Jak to możliwe?

Czytaj też: Zapłacił za zakupy smartfonem na Allegro. I się dziwi: „400 zł, a nie było żadnej autoryzacji!”. To dla wygody

Gdzie się podział 3D Secure?

Sprawa jest oczywista. Pan Piotr padł ofiarą oszustów. Jak do tego doszło? Panu Piotrowi odpowiedziało Allegro:

„Na Pana koncie zalogowała się nieuprawniona osoba. Włamywacz zrobił zakupy w kilku aukcjach i zapłacił kartą płatniczą. Wysłaliśmy wiadomości do Sprzedających, aby nie wysyłali przedmiotów i zwrócili wpłaty. Jeżeli jednak przedmioty już zostały wysłane, to może Pan złożyć reklamację w banku – wydawcy karty w celu skorzystania z procedury chargeback.”

Wydaje się, że sprawa będzie miała swój happy-end. Pan Piotr opowiada, że prowadzi dyskusję ze sprzedającymi na temat zwrotu zakupionych produktów, a jeśli to nie pomoże to złoży reklamacje w banku albo skorzysta z programu ochrony kupujących Allegro. Chciałby jednak wiedzieć, dlaczego nie przyszły te przeklęte SMS-y autoryzacyjne i czy następnym razem przestępcy nie wyczyszczą mu karty do cna.

Czytelnik argumentuje, że ma aktywną usługę 3D Secure. To dostępna od kilku lat dodatkowa zapora przed niechcianymi transakcjami zawieranymi w internecie przy pomocy kart płatniczych. Idea jest taka, że nawet gdy płacę kartą i podaję cały niezbędny zestaw danych: numer, terminy ważności i kod zabezpieczający CVC, to bank – gdy zorientuje się, że chcę zapłacić kartą w sieci – wysyła na telefon kod SMS, który podaję w e-sklepie jako dodatkowe potwierdzenie, że to ja (otwiera się dodatkowe okno).

Nie jest to narzędzie bardzo ergonomiczne. Dodatkowy kod jest kłopotliwy. Niektórzy wolą przez to płacić bardziej wygodnym BLIK-iem (tyle, że nie mogą wtedy skorzystać z procedury chargeback). Dopiero ostatnio banki wprowadziły usługę na nowy poziom – oferują zamiast SMS-ów, autoryzację przy pomocy aplikacji bankowej, np. przy pomocy danych biometrycznych: odcisku palca, albo skanu twarzy (Face ID). Takie opcje oferuje mBank, czy Millennium oraz kilka innych banków.

Zapewne rozgorzeje dyskusja czy lepsze są SMS-y, czy aplikacje mobilne (które nas śledzą, zabierają pamięć w smartfonie, a do tego bywają zawodne). A SMS, to SMS – trudno w czymś tak prostym coś zepsuć. Ale pozostaje pytanie – po co te wszystkie zapory, skoro i tak nie zdały one egzaminu? Gdzie i kto popełnił błąd?

Czytaj też: To najbardziej „rentowny” sposób okradania klientów banków. Do złodziei płyną miliony. GIIF: „banki powinny bardziej się starać”

Czytaj też: Popularna usługa do bezpiecznego płacenia w sieci wreszcie ma wygodniejszą wersję. Jak działa „mobilne” 3D secure?

Zakupy w internecie jak subskrypcja Netfliksa. Nikt nie pyta o kody SMS, nikt nie chce hasła z aplikacji. Czy to tak ma działać?

Mimo wszystko przy tradycyjnym sposobie płacenia kartą wciąż niezawodnym patentem jest mieć osobną kartę tylko do płacenia w internecie i zasilanie jej tylko takimi pieniędzmi, które są nam potrzebne do dokonania konkretnej transakcji.

Niestety, wiele wskazuje na to, że błąd jest systemowy ze wskazaniem na zaniedbania czytelnika (żeby nie było – ja do tej pory robiłem to samo). W tym przypadku oszustom wystarczyło, że zdobyli dane do logowania do konta Allegro. Wycieki danych to nie taka rzadka sprawa, być może czytelnik coś zaniedbał, zalogował się do otwartej sieci wi-fi, ktoś zainfekował jego komputer oprogramowaniem szpiegującym. Gdy już byli na koncie Allegro, to tak jakby znaleźli się w skarbcu.

To z prostego powodu – pan Piotr miał na stałe podpiętą do zakupów swoją kartę. Wystarczyło, że raz, kiedyś zapłacił nią za zakupy, a system ją zapamiętał (mógł też dodać samodzielnie). Podał numer i kod zabezpieczający CVC i karta stała się zupełnie bezbronna. Jak to możliwe? Gdzie był 3D Secure? Czy tak to powinno działać?

Niestety, w tym przypadku karta przypięta do konta, zadziała jak karta przypięta np. do aplikacji Uber, albo do subskrypcji Netflixa, czy Spotify. Raz wprowadzam komplet danych karty, a kolejne transakcje opłacają się automatycznie – nikt ode mnie nie chce kodu autoryzacyjnego po dojechaniu do celu.

Czy tak to powinno działać w przypadku zakupów przez internet? Czy karta przypięta do Allegro będzie się domagać w banku autoryzacji? Podania kodu CVC? SMS-a? Na ten temat przetoczyła się dyskusja pod tym tekstem: Czytelniczka ostrzega: trwa atak na kupujących na Allegro. „Nic nie zamawiali, a z kart znika kasa”. Allegro: „reagujemy zanim dojdzie do ataku”. Jak się bronić?.

Wtedy Allegro odpisało tak:

„To zależy od banku/wystawcy karty/operatora płatności – czasem trzeba kod podawać, chociaż w większości przypadków nie ma takiej potrzeby. Często jeżeli klient nie chce wpisywać dodatkowo kodu to powinien dodać Allegro do zaufanych serwisów w swojej bankowości elektronicznej – o ile ma taką możliwość.”

A jak to widzi bank, a dokładniej mBank?

„Z perspektywy kartowej, podanie kodu CVV2/CVC2 nie jest wymagane i jego brak nie jest dla nas podstawą do odrzucenia transakcji. Dodatkowo dla transakcji cyklicznych (subskrypcji kartowych) i kart zapisanych w bazie dostawcy (np. Allegro) nie jest wymagana dodatkowa autentykacja 3-D Secure.”

Czyli mamy odpowiedź. Wystarczy, że ktoś ma przypiętą kartę do konta Allegro, to jest bardzo narażony na kradzież. Po tej historii sam zalogowałem się na konto Allegro. Konto założone przez kilkunastoma laty. Od razu zmieniłem hasło i odpiąłem przypiętą kartę, co nie było łatwe – długą chwilę trwało zanim znalazłem odpowiednią zakładkę. Dla ułatwienia: ściągawka, gdzie tego szukać:

 

Czytaj też: Dzięki temu trikowi złodzieje ukradli nam co najmniej 260 mln zł. A banki nie palą się do walki. Bo „przelewów jest za dużo”. To liczymy!

Czytaj też: Wyjątkowo podstępny phishing: e-mail wysłany z „prawdziwego” adresu banku. Jak to możliwe? Część banków… „zapomniała” o zabezpieczeniu

Trzy proste wnioski, które pomogą ci nie stracić w głupi sposób pieniędzy

Podręcznik bezpiecznego kupowania w sieci, pisany jest w oparciu o cudze błędy. Po historii pana Piotra należy dopisać i przypomnieć te 3 proste zasady:

Po pierwsze: unikajcie przypinania kart płatniczych do aplikacji zakupowych. Może być tak, że ich system informatyczny potraktuje transakcje jak subskrypcje i nie będzie wymagał żadnej dodatkowej autoryzacji. Szkoda, że Allegro nie ma systemu SMS-owego, który informuje każdego użytkownika o transakcji na jego koncie. Banki mają takie systemy (czasem tego rodzaju SMS-y są płatne).

Po drugie – korzystajcie z logowania dwuskładnikowego gdzie tylko można. Taką opcje oferuje też Allegro. Gdyby pan Piotr miał ją włączoną, prawdopodobnie oszuści nie zdołaliby się włamać na jego konto. W takiej sytuacji nawet, jeśli użytkownik ma ustawione takie samo hasło w różnych serwisach i wypłynie ono na zewnątrz, nikt nie zaloguje się na jego konto Allegro z niezaufanego urządzenia. Platforma zapewnia:

„Zawsze zachęcamy naszych klientów do włączenia dwuetapowego logowania, ponieważ wtedy mamy gwarancję bezpieczeństwa podłączonej karty. Dodatkowo należy pamiętać, aby w różnych serwisach ustawiać różne hasła i wtedy jeśli zostanie ono ujawnione, to nie będzie to miało wpływu na bezpieczeństwo na innych serwisach”

Po trzecie – być może najlepszą obroną będzie „powołanie” oddzielnej karty do płatności w sieci. Kredytowej, z niewysokim limitem albo przypisanej do oddzielnego konta, które zasilamy w miarę zakupowych potrzeb. Albo karty stricte wirtualnej. Nie ma wtedy ryzyka, że oszuści wyczyszczą nasz ROR lub limit kredytowy do zera.

—————-

ZAPRASZAMY DO POSŁUCHANIA PODCASTU!

podcast foto samcik
Podcast „Finansowe sensacje tygodnia” w każdą środę na „Subiektywnie o finansach”

W świątecznym odcinku podcastu „Finansowe sensacje tygodnia” Ekipa Samcika zabawiła się w Świętych Mikołajów, Gwiazdorów oraz Dziadków Mrozów i… przyznała przedstawicielom świata finansów – bankowcom, ubezpieczycielom, pośrednikom finansowym, fintechom, firmom inwestycyjnym, biurom maklerskim – prezenty oraz… rózgi, a nawet batogi (tak, tacy jesteśmy okrutni ;-)). Każdy z nas – Maciek Bednarek, Irek Sudak i Maciek Samcik – najpierw przyznał po trzy rózgi, a potem po kilka prezentów. Tylko Maciek Samcik miał więcej niż trzy prezenty.

Zapraszamy do posłuchania! Żeby to zrobić trzeba kliknąć ten link albo znaleźć „Finansowe sensacje tygodnia” na Spotify, Google Podcast, Apple Podcast lub innej platformie podcastowej (nasze podcasty są dostępne na ośmiu platformach).

—————-

 

Subscribe
Powiadom o
63 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
Jacek
29 dni temu

To jeszcze proszę o poszerzenie tematu o nową usługę czyli Allegro Pay. Czy ta jest w jakiś sposób zabezpieczona? Klient decyduje się z tego rozwiązania korzystać bo wygodne i odracza płatność, dostaje limit na wydatki do chyba max 4.000,00 złotych, gdy ktoś włamie się na takie konto to na bank do wysokości limitu, który klient otrzymał, będzie mógł sobie poszaleć.

Admin
29 dni temu
Reply to  Jacek

Przyjrzymy się także i temu. Zapewne nie zadziała tu chargeback, ale włam na konto „uwznioślone” przez Allegro Pay jest dość łatwy, o ile user nie używa dwuskładnikowego uwierzytelniania

BdB
29 dni temu
Reply to  Jacek

Dwustopniowe uwierzytelnienie jest na Allegro dostępne.

Jacek
29 dni temu
Reply to  BdB

Wiem, mam włączone ale i tak nie podpinam żadnej karty na stałe.

BdB
28 dni temu
Reply to  Jacek

Skoro masz i korzystasz to skąd pytanie sugerujące odpowiedź przeczącą czy jest jakoś zabezpieczona? No właśnie jest.

Jacek
28 dni temu
Reply to  BdB

To że ja mam, nie znaczy że nie znajdzie się ktoś kto nie ma – stąd pytanie.
Ja mogę sobie wyobrazić osobę nie korzystającą z weryfikacji dwuetapowej ale korzystającej z Allegro Pay. I dobrze, że jest tu kolejne zabezpieczenie, które jak wynika z artykułu nie zawsze działa z kartą podpiętą do Allegro.

Allegro
29 dni temu
Reply to  Jacek

Jacku, każda transakcja Allegro Pay musi być potwierdzona kodem SMS.

Jacek
29 dni temu
Reply to  Allegro

Czyli bezpieczniej niż podpięta do konta karta – dziękuję za wyjaśnienie.

Pibloq
29 dni temu

Pytanie zasadnicze, czy procedura ChargeBack zadziała? Czy klient odzyska pieniądze? Jeśli tak, spoko. Jeśli nie, wracam do opcji blik bez kodu – tu zawsze jest potwierdzanie kodu.
Co za bullshit, że podpięcie karty traktowane jest jako subskrybcja. Przeciez są kody MCC, można latwo rozpoznać, czy to prawdziwa subskrybcja, czy nie.
3D-Secure nigdy nie bedzie skutecznym narzedziem, jesli w 95 proc.przypadkow bedzie wymagany (czy nawet 99 proc.). Zlodzieje znajdą taki sklep, gdzie nie trzeba bedzie podawac kodu i tam zrobia zakupy.

Paski
28 dni temu
Reply to  Pibloq

Nie każda subskrypcja ma MCC wskazujące na subskrypcję. Nie każda subskrypcja ma nawet znacznik wskazujący na subskrypcję, mimo że subskrypcją jest.

Don Q.
28 dni temu
Reply to  Paski

„Nie każda subskrypcja ma nawet znacznik wskazujący na subskrypcję, mimo że subskrypcją jest” — no nie, tak nie powinno być, każda płatność umożliwiająca uzyskanie tokenu do powtarzalnych płatności (recurring payments) powinna być tak oznaczona. Tzn. do uzyskania tokenu umożliwiającego następne obciążenia karty trzeba właśnie taką transakcje zainicjować; inna rzecz, że obecnie poza nielicznymi wyjątkami dzieje się to na poziomie merchant–payment gateway, czyli bank tego nie widzi.

Don Q.
28 dni temu
Reply to  Pibloq

@Pibloq, kody kategorii sprzedawcy (MCC) nie mają nic wspólnego z subskrypcją, choćby z tego powodu, że subskrybować można nie tylko określone usługi, ale też towary z przeróżnych kategorii, w USA popularne są np. kosmetyki, suplementy diety, produkty dla dzieci i zwierząt… I właśnie o to chodzi w subskrypcji — ma być wygodnie i bezobsługowo. Tak samo o to (o wygodę płacenia) chodzi, gdy dodajemy kartę do jakiegoś sklepu internetowego (np. odzieżowego). W serwisach typu Allegro problemem jest sam rodzaj działalności, możliwość kupna przeróżnych towarów od przeróżnych dostawców (a nie od Allegro, w którym kartę się dodaje), do tego nawet produktów… Czytaj więcej »

Pibloq
29 dni temu

Poza tym prawdpopodobnie zlodzieje nieprzypadkowo kupili licencje na allegro w jednego konkretnego sprzedawcy. Patrząc na firmy sprzedajace licencje na allegro, mozna mieć podejrzenie, że to nielegalny produkt. Konto sprzedawcy na spolke w Londynie czy w USA. Licencje Win10 za 2 zl?? Prawdopodobnie zostaly wyslane lipne ciagi znaków, usluga zostala niby zrealizowana (dostarczenie zakupionego towaru – przesylka email), a calosc zorganizowana tylko po to, by sprzedawca (po odprowadzeniu wczesniej prowizji do Allegro) mogl wyplacic 2000 zl legalnie na swoje konto firmowe. Produkt zostal wystawiony na Allegro tylko po to, by wydrenowac pieniadze z karty. Sprzedawca wiedzial, ze za chwile bedzie zakup… Czytaj więcej »

anonymous
28 dni temu
Reply to  Pibloq

Jakich znowu nielegalnych? Nowy tablet w markecie kosztuje 200zł. Jak myślisz ile kosztuje zawarta w nim licencja na W10?

DawidK
25 dni temu
Reply to  anonymous

0, bo ten tablet ma Androida, a nie Windowsa.

Tomasz
29 dni temu

Nie wiem czy da się jeszcze tak założyć, ale ja mam w mbanku dwa konta, jedno oszczędnościowe gdzie trzymam pieniądze i drugie tylko do płacenia, do niego podpięta jest karta. Nigdy nie trzymam na tym drugim więcej niż 300zł. W każdej chwili mogę przelać z jednego konta na drugie za darmo, a w razie kradzieży karty stracę max te 300 zł. Polecam wszystkim.

BdB
29 dni temu
Reply to  Tomasz

W mBanku jest eKarta w sam raz do płatności w necie, ładuje się ją przed płatnością.

gosc
29 dni temu
Reply to  BdB

Na każdej karcie mBanku można ustawić limit płatności w Internecie 0 zł. Kiedy chcemy coś kupić w Internecie możemy przez aplikację, mLinię, serwis transakcyjny ustanowić limit tymczasowy aby dokonać płatności. Limit ten o północy wraca do punktu wyjścia np 0 zł.
W związku z tym, moim zdaniem nie ma sensu płacić za eKartę.

BdB
29 dni temu
Reply to  gosc

Wirtualna jest chyba darmowa.

gosc
29 dni temu
Reply to  BdB

Sprawdziłem:
eKarta wirtualna bez plastiku – Za wydanie i korzystanie z eKarty wirtualnej nie pobierzemy żadnej opłaty
eKarta z plastikiem – Za wydanie eKarty zapłacisz 25 zł. Dodatkowo, opłata roczna za korzystanie z karty wynosi także 25 zł.
Miałem kiedyś taką kartę i denerwowało mnie doładowywanie i rozładowywanie – może dlatego, że nie korzystam z aplikacji. Wolę niewielki limit na karcie debetowej, który wystarcza na większość transakcji. W przypadku większych transakcji robię limit tymczasowy.

Witek
29 dni temu

Jak opisaliśmy, podniosło się larum. Okazało się, że wielu klientów jest tak przyzwyczajonych do SMS-ów, że bank ustąpił i rewolucję odłożył na półkę.

Bo każdy posiadający konto w banku ma obowiązek posiadać smartfona, żeby bank nie ponosił kosztów SMS-ów.

już sama oferta jest zagadkowa, bo w sklepie Microsoftu licencja kosztuje 199 zł, a nie 2 zł

Odsprzedawane są używane klucze z komputerów poleasingowych itp., najczęściej MAK lub VL (wielostanowiskowe licencje) i stąd ta atrakcyjna cena

Admin
29 dni temu
Reply to  Witek

Dzięki za cenne uzupełnienie

BdB
29 dni temu
Reply to  Witek

To klient Citi? Bo mowa o nim, a inne banki włączają 3DS przez apkę odgórnie i nie przejmują się czy ktoś protestuje czy nie. Była w zeszłym tygodniu tabelka chyba na cashless.

Łukasz
29 dni temu

Moim zdaniem w tej sytuacji najlepszym zabezpieczeniem jest niezapamiętywanie danych karty na serwisach sprzedażowych. Usługi abonamentowe to co innego, bo tam i tak nie wyjdzie to poza nasze konto, no ale zakupy… Wolę ręcznie wklepać nr gdy coś kupuję.

BdB
29 dni temu
Reply to  Łukasz

Albo korzystać z dwustopniowego logowania. Btw. ciekawe ile osób nie wie, że np na koncie Groupon mają zapisaną kartę, którą tam kiedyś płacili.

DawidK
25 dni temu
Reply to  BdB

Dwustopniowe logowanie, no tak, teraz jesteśmy bezpieczni. 😀

BdB
29 dni temu

Tu jest błąd w tezie. Otóż karta podpięta w Allegro wcale nie działa jak w Uberze itp. Nie jest to też recurring payment (z zasady pomijający 3DS), lecz zwykła płatność i apka Allegro jak najbardziej wspiera 3DS na tak dodanych kartach. Błąd jest po stronie banku, bo to on nie skierował tych płatności do 3DS.

Natomiast sam użytkownik też jest sobie winien skoro zapisuje kartę na koncie Allegro, którego nie zabezpieczył dwustopniowym uwierzytelnieniem.

Don Q.
28 dni temu
Reply to  BdB

Nie, recurring payment z zasady działa na poziomie operatora płatności, więc nie ma powodu, by twierdzić, że błąd jest po stronie banku (inaczej by to wyglądało przy wykorzystaniu np. MDES, ale to jeszcze przyszłość). Widzę, że @Maxxx ru napisał: „Niestety gdy doda sie karte do allegro zapisywana jest dodatkowo na PayU dlatego usunięcie karty z Allegro nic ni daje. Aby w pelni usunac karte trzeba to zrobic w tych dwóch serwisach” — być może Allegro uzyskało tu jakieś „specjalne” recurring payment (przy dobrze zrobionym merchant nie trzyma danych karty, a tylko powiązany z nią token); tak czy inaczej błąd jest… Czytaj więcej »

gosc
29 dni temu

@ Ireneusz Sudak „Puentę do tej historii napisał Citi, (….) bo SMS-ów (przynajmniej w określonych sytuacjach) po prostu by nie było.” Ta puenta jest nietrafiona ponieważ „zuchwałe wałki na klony karty SIM” (czyli sim swap) dotyczyły przelewów zlecanych w bankowości internetowej. Wspomniana historia Citi dotyczyła autoryzacji transakcji kartami dokonanymi w Internecie. Nie słyszałem o ani jednym przypadku sim swap, który miałby służyć kradzieży pieniędzy z karty poprzez ominięcie 3DSecure. Sim swap aby ominąć 3DSecure (ukraść pieniądze z karty) się nie opłaca. Jeśli oszuści wyrabiają już fałszywy dowód, wyłudzają duplikat karty sim to chcą się dobrać do wszystkiego co klient ma… Czytaj więcej »

Maxxx
29 dni temu

Niestety gdy doda sie karte do allegro zapisywana jest dodatkowo na PayU dlatego usunięcie karty z Allegro nic ni daje. Aby w pelni usunac karte trzeba to zrobic w tych dwóch serwisach

Allegro
29 dni temu

Bardzo dziękujemy za sygnał! Bezpieczeństwo jest dla nas najważniejsze i robimy wiele, aby zapobiegać takim sytuacjom! Mamy rozwiązanie dwuetapowego logowania na Allegro i bardzo zachęcamy do niego. Zabezpiecza to dodatkowo transakcje za pomocą podpiętej karty. 
Mamy nadzieję, że sprawa zakończy się dla Pana Piotra pozytywnie. W razie wszelkich problemów będziemy do dyspozycji. 

Jacek
29 dni temu
Reply to  Allegro

Przydałoby się jeszcze rozbudowanie opcji „zaufane urządzenia”, bo sama informacja ile ich jest to trochę mało.
Fajnie by było aby również w opcji „powiązane aplikacje” była pełna nazwa, bo o ile opis „Allegro InPost Integration” jest dla mnie czytelny i wiem co mam podpięte, to już puste pole opisu i sam ID nic mi nie mówią jakąż to integrację zrobiłem z kontem Allegro.

gosc
29 dni temu
Reply to  Allegro

Moja sugestia do Allegro to wprowadzić U2F – czyli możliwość zabezpieczenia konta poprzez klucz bezpieczeństwa np Yubikey

anonymous
28 dni temu
Reply to  Allegro

Kiedy przyznacie monety za zapisanie nowej karty i zapłacenie za jej pomocą? Termin już dawno minął. Dlaczego monety znikają po kilku miesiącach skoro są ważne rok czasu od przyznania?

gosc
29 dni temu

Moim zdaniem, nie trzeba mieć dodatkowej karty do zakupów internetowych. Osobiście posługuję się tylko jedną kartą debetową (łatwiej jest mi upilnować jedną kartę niż kilka): – nie dodaje jej na stałe – pomimo, że Allegro i inne sklepy do tego zachęcają, czasami oferują za to jakieś bonusy – trzeba uważać co się klika podczas kupowania aby karta nie została dodana, – mam ustalony rozsądny dzienny limit transakcji – dla bankomatów, sklepów i Internetu – jeśli kupuje coś przekraczającego limit dzwonię do banku i ustanawiam limit tymczasowy ważny do północy (jeśli ktoś jest bardzo ostrożny to może mieć limit transakcji internetowych… Czytaj więcej »

Andy
29 dni temu

„w sklepie Microsoftu licencja kosztuje 199 zł, za nie 2 zł”
To nie jest prawda – w sklepie Microsoft licencja na najtańszy Windows 10 Home kosztuje 629 zł. Nieco taniej jest w sklepach z elektroniką – około 450-550 zł.

DawidK
29 dni temu

Tyle, że potwierdzenie transakcji powinno być domyślnym zachowaniem dla użytej karty. Każdy znany mi sklep internetowy tak działa. Tylko Allegro jest wybitne pod tym względem i domyślnie ólewa zabezpieczenia.
Jak dla mnie to jest współudział.

gosc
28 dni temu
Reply to  DawidK

10. Dlaczego płatność w sklepie obsługującym standard 3-D Secure nie wymagała potwierdzenia hasłem SMS lub w aplikacji mobilnej?
Dodatkowa weryfikacja 3-D Secure zależy od wielu czynników m.in. od sklepu internetowego. W niektórych przypadkach potwierdzenie hasłem SMS lub w aplikacji mobilnej nie będzie wymagane.
https://www.mbank.pl/pomoc/serwisy/3ds/
Z tego wynika, że autoryzacja w aplikacjach mobilnych nie rozwiąże problemu

Masz limit na karcie płatniczej albo 3-D Secure? Sorry, da się je obejść!
https://niebezpiecznik.pl/post/masz-limit-na-karcie-platniczej-albo-3-d-secure-sorry-da-sie-je-obejsc/

Z tego co wiem to Amazon nie korzysta z 3D Secure – sklep chce zapewnić wygodę podczas płacenia.

BdB
28 dni temu
Reply to  gosc

Allegro korzysta z 3DS od bardzo dawna (także w apkach), więc wina tu jest wyłącznie po stronie banku.

DawidK
28 dni temu
Reply to  BdB

Może i korzysta, ale ukrywa to przed użytkownikiem.
A jeżeli ta sama karta w sklepie X ma 3DS, a na Allegro nie, to średnio wierzę w winę banku.

someone
29 dni temu

W Allegro karta domyślnie chce się „zapamiętać”. Zapamiętana nie wysyła 3D secure. Z tego właśnie powodu permanentnie nie zapamiętuje karty w Allegro. A ewentualnie zapamiętaną usuwam. Uważam że nie powinno tak być. Nawet zapamiętana karta powinna wymagać 3D secure.

BdB
28 dni temu
Reply to  someone

Ja płaciłem zapamiętaną z 3DS jak była promocja Visy.

Dariusz
29 dni temu

Niestety również padłem ofiarą oszustów, którzy włamali się na konto Allegro i dokonali zakupów ubrań i kosmetyków. W ustawieniach konta dodany był nowy numer tel. i odbiór przesyłek w paczkomacie. Działo się to przy pierwszym lockdownie. Na „szczęście” w porę dostałem sms z banku o braku możliwości płatności z powodu braku środków na koncie. Oszust wyczyścił limit na karcie kredytowej i dzięki temu dowiedziałem się o problemie. Jedynie szybka reakcja i telefony do sprzedających pozwoliły na zwrot środków. Allegro nie ma infolinii na którą można zadzwonić, tylko przez formularz można poprosić o możliwie szybki kontakt. Do mnie oddzwonili po ok.… Czytaj więcej »

gosc
28 dni temu
Reply to  Dariusz

Czy w momencie włamania miałeś włączone dwustopniowe logowanie (2FA)?

Dariusz
28 dni temu
Reply to  gosc

nie miałem.

Stef
28 dni temu

# samcik To ja mam dobry materiał na artykuł. Zapłaćcie kartą visa na stronie pkp intercity.pl, opcja platnosc eservice i nie zadziałają zabezpieczenia autoryzacyjne, tzn ani sms, ani potwierdzenie w apce nie jest wymagane. Można płacić do wysokości limitu płatności internetowych na karcie. Wystarczy znać nr karty, datę ważności i nr cvc(wszystkie wybite na karcie). Płacąc w innych sklepach internet. pojawia się konieczność zatwierdzeniaplatnosci w apce.

BdB
28 dni temu
Reply to  Stef

Płaciłem tam ostatni raz w wakacje kartą Millennium i było 3DS. Pamiętaj, że o tym czy będzie 3DS decyduje też bank, może dla tej strony Twój ustawił wysoki scoring? Bilet PKP działa tylko z dowodem tożsamości, co minimalizuje ryzyko fraudów.

Stef
28 dni temu
Reply to  BdB

Mam oficjalną odpowiedź z banku ING, karta visa, że dla tych płatności nie działa 3DS.

Tomerr
28 dni temu

Karta do Allegro przypina się bardzo szybko ponieważ jak płacimy kartą bardzo wyeksponowane jest na pierwszym miejscu zapłać i zapisz dopiero pod spodem jest zapłać. Jest to bardzo mylące dla kogoś kto przyzwyczajony jest do tego że 1 opcja jest zapłać a druga zapłać i zapisz kartę. Taki przyciski jest specjalnie zrobimy żeby użyć tej opcji. Dlatego dużo osób ma zapisaną swoją kartę na Allegro.

Karol
28 dni temu

Nie mogę znaleźć miejsca gdzie są przypięte katy płatnicze. Gdzie to jest ?

someone
28 dni temu
Reply to  Karol
Forbes
28 dni temu

Three Reasons You Should Never Save Payment Information Online https://www.forbes.com/sites/lizfrazierpeck/2019/10/24/three-reasons-you-should-never-save-payment-information-online/ 1 – Safety: There is always some risk with saving payment information on a website or app. 2 – Impulse Purchases: Back to the merchants motivation for wanting that payment information saved – it makes it so much easier to spend money. It may sound minor, but the little bit of extra work necessary to 1) find your card and 2) enter your card information each time, creates an obstacle to impulse buys and overspending. 3 – Extended “Free” Trials: Oftentimes companies will request payment information in exchange for a… Czytaj więcej »

Alicja
28 dni temu

A u mnie Pekao zmieniło coś z 3dsecure przy karcie kredytowej i jakoś od miesiaca zadna transakcja nie wymaga potwierdzenia w aplikacji (rozpietosc kwot od kilku do tysiaca zlotych, w sklepach online w Polsce i za granicą – uzywam tej karty przy kazdych zakupach ze wzgledu na lepsze punktowanie w Bezcennych Chwilach). Poprzednio musialam zatwierdzac kazda transakcje za wyjatkiem tych cyklicznych i tych z zapamietanych danych karty, np. w appce zooplusa. Po swietach chyba przedzwonię do banku, bo nie podoba mi sie to.

Stef
28 dni temu
Reply to  Alicja

Pytanie kto jest wystawcą karty Visa czy mastercard? To może mieć znaczenie.

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

social-facebook social-feed social-google social-twitter social-instagram social-youtube social-linkedin social-rss top-search top-menu