Sklep dwukrotnie prosił o dane karty płatniczej. Oszustwo? Pomyłka? Co poszło nie tak?

homodigital.pl 7 miesięcy temu

Bezpieczeństwo w internecie w dużej mierze zależy od nas. Ale co zrobić, gdy dostrzeżemy zagrożenie, a sklep internetowy nas ignoruje? Prawie mnie oszukano – oto prawdziwa historia z prawdziwym dreszczykiem. Na co trzeba uważać podczas zakupów internetowych? Jakie są kompetencje informatyczne Polaków?

Spotkała mnie ostatnio (nie)ciekawa historia, która tak naprawdę mogła przytrafić się każdemu z naszych czytelników. W końcu już niemal czterech na pięciu Polaków kupuje w internecie, a ta liczba będzie tylko rosnąć z uwagi na zmiany demograficzne. Ponadto nasi czytelnicy najczęściej „coś tam” o komputerach wiedzą, więc pewnie robią zakupy w sieci.

Podaj dane karty, a potem… podaj dane karty

Zrobiłem zakupy w internecie i prawie zostałem oszukany, ale zacznijmy od początku. Obejrzałem produkty, dodałem je do koszyka, wybrałem sposób dostawy, podałem dane i przeszedłem do płatności. Zdecydowałem się na płatność kartą płatniczą, bo to najbezpieczniejsza forma płatności w internecie – w przypadku problemów możemy skorzystać z usługi chargeback. Na koniec złożyłem zamówienie.

Wszystko wyglądało tak samo, jak przy każdej innej transakcji internetowej. Następnie wyskoczyło mi okienko, w którym należało podać dane karty płatniczej, co też uczyniłem. Takie okienko widzicie na screenie poniżej. Zwrócicie pewnie uwagę, iż wygląda to tak, jakby ktoś wykorzystał tłumacza internetowego. Wzbudziło to moją czujność, ale to jeszcze nie oznacza oszustwa – zdarzają się zagraniczne bramki płatności, ktoś mógł po prostu coś źle skonfigurować.

Bezpieczeństwo w internecie? Bramka Paylike

Warto dodać, iż to nie był żaden podejrzany sklep internetowy. Był to średni, znany sklep, który miał dobre opinie w sieci, porządnie zrobiony regulamin, działające dane kontaktowe i możliwość zapłaty kartą płatniczą. Była też „kłódka”, ale pamiętajcie, iż akurat „kłódka” w żaden sposób nie gwarantuje bezpieczeństwa strony! Jasne – jej brak powinien wzbudzić naszą czujność, ale w żadnym wypadku nie powinniście ufać stronie internetowej tylko dlatego, iż posiada „kłódkę”.

Do tego wszystkiego składałem w tym sklepie już kilka zamówień w ciągu ostatnich lat i zawsze wszystko się zgadzało. Nie miałem więc większych wątpliwości i uznałem, iż o ile w treści autoryzacji mobilnej wszystko będzie się zgadzać, to nie mam się czym martwić.

Problem pojawił się, gdy nacisnąłem niefortunne „Płacić”. Nie było żadnej autoryzacji mobilnej, która zwykle pojawia się właśnie w tym momencie. Sklep nie pobrał też żadnych środków z karty. Strona przekierowała mnie do… kolejne bramki płatniczej. Tym razem miałem podać dane karty w GoPay. Przyznacie, iż ta bramka wygląda lepiej:

Bezpieczeństwo w internecie? Bramka GoPay

Ponownie wprowadziłem dane karty płatniczej. Tym razem musiałem zatwierdzić transakcję w aplikacji mobilnej banku – kwota i nazwa sklepu się zgadzała, więc to uczyniłem. Na e-mail przyszło potwierdzenie zamówienia, ale ciągle czułem się nieswojo.

Z jednej strony, byłem spokojny, bo niczego nie zatwierdzałem, więc bank zwróciłby mi ewentualną kwotę kradzieży. Mam też nawyk płacenia w internecie jakimiś dodatkowymi, wirtualnymi kartami, na których najczęściej nie trzymam innych środków. Z drugiej strony, dwukrotnie podałem dane karty w celu zrealizowania jednej transakcji. Te dane mogły wyciec i ktoś kiedyś mógłby je jakoś wykorzystać przeciwko mnie.

Sklep nie widzi problemu…

To mogło być oszustwo zewnętrzne (ktoś mógł włamać się do sklepu, pozmieniać coś w kodzie i przechwytywać dane kart płatniczych, które kiedyś wykorzysta do kradzieży). To mogło również być celowe działanie jakiegoś nieuczciwego pracownika sklepu, który miał dostęp do strony internetowej. Wreszcie, to mógł też być zwykły błąd (ktoś czegoś nie skasował podczas zmiany bramki i w rezultacie obie były aktywne, ale tylko jedna pobierała płatność).

Wszystkie te przypadki są niekorzystne dla sklepu (nawet zwykły błąd może odstraszyć klientów), więc od razu po zamówieniu skontaktowałem się z obsługą. Oto jak przebiegała korespondencja. Wszystkie cytaty poniżej są autentyczne – wyciąłem jedynie dane sklepu, bo nie chodzi o to, aby im dokopać, oraz frazesy w stylu „dzień dobry”, „pozdrawiam” itd. Do wiadomości dołączyłem też screen, aby potraktowano mnie poważnie.

„Złożyłem u Państwa zamówienie i je opłaciłem. Zdziwiło mnie, iż podczas transakcji zostałem dwukrotnie poproszony o podanie numeru karty płatniczej. Za pierwszym razem nie było żadnej autoryzacji i kwota nie została pobrana, więc zapłaciłem jeden raz. To może być przypadek, ale proszę sprawdzić, czy u Państwa w sklepie nic nie mieszali żadni hakerzy. Najpierw była to jakaś płatność Paylike (screen). A potem GoPay”.

Stosunkowo gwałtownie odpisała mi pani Karolina, która niestety kompletnie zignorowała główny przekaz mojej wiadomości i potwierdziła tylko to, co już sam wiedziałem.

„Dziękuję za wiadomość. Zamówienie jest w realizacji. Opłatę przyjęliśmy jeden raz”.

Sprawa odbijała się więc o ścianę obsługi klienta. Nie wiem, czy pani Karolina jest właścicielką sklepu czy pracownikiem, ale takie zgłoszenie powinna niezwłocznie przekazać do osoby odpowiedzialnej za stronę internetową (działu IT, informatyka itd.). Być może wcześniej źle się wyraziłem, więc napisałem ponownie, już trochę dosadniej.

„Wolałbym, aby Pani dokładnie przeczytała to, co napisałem. Przecież sam napisałem, iż opłata została pobrana jeden raz. Proponuję przekazać moją wiadomość razem ze screenem komuś z minimalnymi kompetencjami informatycznymi (nie wiem, czy mają Państwo informatyka, ale ktoś stronę internetową postawił). Bo jak się okaże (nie mówię, iż tak jest – po prostu sygnalizują dziwną sytuację), iż jacyś oszuści się Państwu włamali i kradną dane kart płatniczych, to będą mieli Państwo kiedyś poważny problem z prawem”.

Niestety dosadny ton, a choćby celowa nutka szyderstwa nie poskutkowały. Pani Karolina wytoczyła ciężkie działa – jestem jedyny, więc to na pewno nieprawda.

„Dziękuje za wiadomość. Rozumiem. Na chwilę obecną jest Pan jednym klientem, który do nas wysłał taką informację. Dlatego domyślamy się, iż nie chodzi o nasz system”.

Oczyma wyobraźni widziałem już siebie, piszącego ten artykuł. Zastanawiałem się, czy hipotetyczna sytuacja o konsultancie z firmy energetycznej, który nie przyjmuje zgłoszenia, bo jako jedyny zgłaszam brak prądu, będzie tutaj pasować.

Bądź na bieżąco! Zarejestruj się, by otrzymywać nasz newsletter!

… a potem o nim ostrzega

Nie poddałem się jednak i napisałem kolejną wiadomość. Tym razem też wytoczyłem ciężkie działa (emotikony, uogólnienie, straszenie policją).

„Mimo wszystko proszę o przekazanie tego. Klienci nie zwracają na to uwagi, dopóki nie stracą pieniędzy. A przez „domyślanie się” sporo osób już zostało oszukanych lub ich dane wyciekły z różnych instytucji. Screen pochodzi z Państwa strony, więc jak najbardziej to Państwa kod źródłowy. Mam tylko nadzieję, iż to jakiś błąd, a nie włamanie. Jak mi Pani nie wierzy, to niech Pani zrobi sobie testowe zamówienie 🙂 Czasem lepiej zareagować, niż potem regularnie odwiedzać komisariaty za nie swoje oszustwo 🙂 ”.

Powiem szczerze, iż gdyby ten e-mail nie zadziałał, to następnego bym wysłał do redakcji Niebezpiecznika. Może oni zdziałaliby więcej. Na szczęście pani Karolina chyba przeprowadziła sobie ten test, bo po kilku minutach otrzymałem następujący e-mail:

„Dziękuje za wiadomość. Informację przekazałam do IT działu. Płatność internetowa, opłata kartą jest u nas aktualnie nie możliwa. Może to Pan sprawdzić, dziękujemy za przekazane powiadomienie”.

I faktycznie płatność kartą została wyłączona. W końcu ktoś zareagował – uff. Następnego dnia otrzymałem wiadomość od pana Jana, która prawdopodobnie była wysłana do wszystkich klientów lub do klientów, którzy w ostatnim czasie składali zamówienia.

„W ciągu ostatnich dwóch dni zaobserwowaliśmy podejrzaną aktywność na naszej stronie internetowej. Pragniemy Państwa poinformować, iż jedyną bramką płatniczą z której korzystamy jest GoPay. o ile wyświetliło się Państwu okno innej bramki płatności i wpisali Państwo w to okno dane swojej karty płatniczej, dla bezpieczeństwa zalecamy jak najszybsze zablokowanie karty. Przepraszamy za powstałe komplikacje”.

Tak „zaobserwowali”. Musiałem im tym rzucić w twarz i to kilka razy, ale i tak bardzo się ucieszyłem, iż w końcu dotarłem z przekazem do odpowiedniej osoby. Niestety prawdopodobnie faktycznie było to jakieś oszustwo. Nie wiem, czy dane karty wypływały, ale była taka groźba. No i trochę zmartwiły mnie te „dwa dni” – albo jestem strasznym pechowcem i akurat trafiłem na początek oszustwa, albo sklep nie ma pojęcia, ile trwał atak. Na koniec otrzymałem jeszcze radę do pani Karoliny:

„Jeśli nie wpisał Pan danych karty w okno którego screen Pan wysłał, to nie musi mieć Pan obaw. o ile jednak dane Pan wpisał, to proszę kartę zablokować”.

Czyli wszystko dobrze się skończyło? Cóż – ja nie straciłem żadnych pieniędzy. Kartę zastrzegłem, a dodatkowo wcześniej zadbałem o to, aby nie było na niej żadnych środków. Nie mam jednak wiedzy, jak długo trwało to oszustwo i czy ktoś stracił jakieś pieniądze.

Brak kompetencji informatycznych a bezpieczeństwo w internecie

Cały problem wziął się z tego, iż zostałem kompletnie zignorowany. Każda firma może stać się celem ataku, ale działania, które wtedy podejmie, definiują jej bezpieczeństwo w internecie. Sytuacja, w której ktoś zgłasza dowolnemu pracownikowi naruszenie bezpieczeństwa, a ten to ignoruje, jest karygodna. Muszą istnieć i być respektowane procedury przekazywania takich zgłoszeń kompetentnym osobom.

Niestety Polacy mają niskie kompetencje cyfrowe. Słabo radzimy sobie z obsługą programów komputerowych. Oczywiście nie każdy musi od razu potrafić stworzyć makro w VBA czy programować w Pythonie, ale jakaś elementarna wiedza by się przydała. Nie znamy też narzędzi, które bronią nas przed zagrożeniami w sieci.

Więcej o kompetencjach cyfrowych pisał Łukasz Iwasiński w cyklu artykułów (tutaj link). Poniżej przeklejam wykres z jego artykułu. Zwróćcie uwagę, że kompetencje cyfrowe na poziomie podstawowym lub ponadpodstawowym ma zaledwie 43% Polaków. Daje nam to trzecią pozycję od końca w Unii Europejskiej!

Gdy słyszymy o jakimś ataku, to najczęściej reagujemy pogardliwie. Myślimy, iż „nas by w ten sposób oszukano”, a okradzionych traktujemy trochę jak „naiwniaków, którzy byli lekkomyślni”. A potem znowu słyszymy o kolejnych atakach. I nie – wbrew pozorom – na oszustwa nie łapią się tylko starzy, schorowani, po podwójnym udarze. Młodych jest równie łatwo okraść w internecie.

Nie wiemy, iż można podszyć się pod czyjś e-mail, numer telefonu, SMS, a choćby wizerunek. Nie rozumiemy, iż Robert Lewandowski, który nas zachęca do zainwestowania pieniędzy, to deepfake. Nie wiemy, iż reklamy na Facebooku (i nie tylko) mogą wykupić przestępcy. Nie przyjmujemy do wiadomości, iż kody QR też mogą być niebezpieczne. I tak dalej.

A choćby jeżeli coś o tym czytaliśmy, to ulegamy presji czasu („został tylko jeden laptop w tak niskiej cenie”), głośnym tematom („zapisz się na szczepienie COVID bez kolejki”) lub rutynie (wszyscy zamawiamy paczki, płacimy za prąd itd.). Wystarczy rzucić okiem na statystyki: według Raportu Antyfraudowego BIK 2022 (cały do przeczytania tutaj), co trzeci badany osobiście doświadczył prób wyłudzenia.

Najnowsza, jeszcze ciepła, wersja tego raportu (2023 – do pobrania tutaj) tylko utwierdza mnie w przekonaniu, iż nasza świadomość o bezpieczeństwie jest bardzo niska. Spójrzmy na dane z obu raportów. Co piąty badany nie wie, co może zrobić osoba, która skradnie dane osobowe. Co dziesiąty badany nie podjąłby żadnych działań w razie podejrzenia wycieku jego danych. Aż 75% badanych nie rozpoznało prawidłowo podejrzanego linku internetowego, który nie powinien być otwierany. To są trzy na cztery osoby – przerażające.

Bezpieczeństwo w internecie – kilka rad

Zdaję sobie sprawę, iż sam świata nie zmienię, ale wiem też, iż kropla draży skałę. Dlatego na koniec przygotowałem kilka rad, które dla wielu z Was będą trywialne, ale im częściej je powtórzymy, tym częściej zapobiegniemy jakiemuś oszustwu. To nie będą ogólne rady o bezpieczeństwie w sieci, a rady związane z tym artykułem.

Jeżeli robicie zakupy w internecie, to zweryfikujcie sklep internetowy. Sprawdźcie ogólny wygląd, poprawność języka polskiego, czy ma regulamin, dane kontaktowe, dobre opinie w internecie. Przy pierwszym zakupie warto zadzwonić z jakimś pytaniem i sprawdzić, czy dane kontaktowe są poprawne. Ważne są też metody płatności – możliwość płatności kartą dobrze świadczy o sklepie, bo oznacza, iż został już zweryfikowany przez organizację płatniczą.

Zdecydujcie się na płatność kartą płatniczą, bo to najbezpieczniejsza metoda płatności. Podczas autoryzacji czytajcie uważnie, co zatwierdzacie. To banał, ale znam masę osób, które po prostu z marszu wszystko autoryzują. A sprawdzenie kwoty i nazwy sklepu powinno być naszym nawykiem. Zgłaszajcie też wszystkie podejrzane zdarzenia (jak np. podwójną bramkę płatniczą) do sklepu. A o ile Was zignorują, to zgłoście się do nas (kontakt@homodigital.pl) – nagłośnimy temat.

Jeżeli macie firmę (niekoniecznie zajmującą się handlem w internecie), to stwórzcie procedury bezpieczeństwa. I nie ograniczajcie ich do „w przypadku otrzymania podejrzanej wiadomości mailowej…”. Przeanalizujcie z pracownikami potencjalne scenariusze ataków. Zwróćcie też uwagę, aby przekazywali „wyżej” zgłoszenia naruszenia bezpieczeństwa. Żaden pracownik obsługi klienta nie powinien sam oceniać, czy zgłoszenie jest zasadne.

Regularnie informujcie też pracowników o trwających atakach. Przestępcy udoskonalają swoje strategie, a więc i Wy musicie się dostosowywać. W miarę możliwości wysyłajcie pracowników na szkolenia informatyczne. Ich koszt się zwróci.

Natomiast my jako dziennikarze (ale też rząd, instytucje finansowe i inne autorytety) powinniśmy regularnie edukować obywateli w zakresie cyberbezpieczeństwa. Im częściej będziemy Wam, naszym Czytelnikom/Czytelniczkom – co tu dużo pisać – „truć” o zagrożeniach, tym więcej oszustw uda się powstrzymać.

Bądź na bieżąco! Zarejestruj się, by otrzymywać nasz newsletter!

Zdjęcie główne: Freepik

Idź do oryginalnego materiału