За прошедшую неделю мне встретились три истории про Озон Карту с крайне похожим сюжетом. Их концовки оказались разными. Но все три крайне поучительны.
Сначала расскажу суть, а потом немного пройдусь по одной детально. Потому что лейтмотив каментов такой, что типа Озон плохой и не защищает покупателей, а только потакает мошенникам. Это не так. Я не защищаю Озон, просто не люблю когда отрицают логику окружающей реальности.
Итак, суть можно передать довольно коротко. Некий покупатель ищет довольно дорогой товар на сайте Озон, стоимостью несколько десятков тысяч рублей. Находит искомое по приемлемой цене, но замечает, что при оплате Озон Картой можно получить ощутимую скидку. В историях фигурируют цифры в 25-30%. Покупатель её оформляет — это можно легко и быстро сделать — переводит на неё деньги и оплачивает заказ.
После этого поступает звонок, якобы от поддержки Озон. В ходе беседы ненавязчиво выясняют реальный номер покупателя — общение происходит через звонок средствами площадки на подменный номер — затем выманивают код подтверждения и ещё один. А потом покупатель узнаёт, что заказ отменён, а его деньги через СБП перевели на другой конец страны.
Тут начинаются попытки выяснить у реальной поддержки маркетплейса "човаще?" Требования найти, наказать виновных и вернуть деньги. На это следует отказ — покупатель сам скомпрометировал вообще все свои персональные данные. Какие претензии к площадке?
То есть некого человека с помощью социальной инженерии разводят на выдачу секретных кодов подтверждения. Но он винит не собственную доверчивость, а поддержку магазина. Довольно наивно, на мой взгляд. Тут дело даже не в том, что Озон не обязан как-то способствовать частному расследованию. Мошенник-то до последнего момента ничего не нарушает. А запретить делиться своими кодами с кем попало запретить невозможно — мы живем в свободной стране.
Ну и сама история, я её заскриншотил с vc.ru, чтобы не раздувать текст:
Похожий рассказ прочитал на канале "Свинкины финансы". Только закончилась история не так печально:
Молодой человек решил купить пылесос Dyson на Озоне. "Цена при оплате картой была примерно по рынку, а вот при оплате через Ozon банк скидка была около 30%", - рассказал читатель.
Он оплатил заказ через банк Ozon, а через полчаса поступил звонок. Собеседник представился сотрудником Озона и сообщил о трудностях. Мол, с текущего склада доставить не могут, заказ нужно переоформить и за неудобства клиенту сделают дополнительную скидку в 10%.
"Я параллельно работал и не очень внимателен был и назвал мошеннику коды для доступа к аккаунту Ozon, даже не думая", - пояснил подписчик. Отрезвило его письмо о том, что в аккаунт вошли с другого устройства. Так молодой человек понял, что его обманули.
"Бросил трубку, принудительно завершил все активные сессии на всех устройствах. Мошенник успел отменить заказ на пылесос и гигиеническое средство для рук, которое тоже было оплачено по карте озона. Дальше, я думаю, он планировал получить от меня код от Озон банка и вывести все средства со счета", - рассказал потенциальный пострадавший.
Возмущение автора первого рассказа понятно: я бы тоже сильно негодовал, потеряв 37К. Но если отбросить эмоции, то в сухом остатке мы увидим, что автор сам выдал: телефон который привязан к карте, а затем последовательно несколько кодов подтверждения.
С этими знаниями мошенник сначала зашёл в мобильное приложение Озон и отменил там заказ. Потом вошёл в личный кабинет Озон Карты из которого отправил перевод.
Об этом же пишет поддержка Озон. В условиях, когда клиент сам сообщает ПИН-код карты мошеннику, служба безопасности бессильна.
Да, Озон мог бы писать более содержательный текст при отправке кодов. Например, один банк начинает СМС примерно так: "Вы отправляете деньги по реквизитам..." Сразу понятно, что подтверждение перевода никакой "техподдержке" пересылать не надо.
С другой стороны, привязка аккаунта магазина и его карты к одному номеру телефона делает этот номер довольно уязвимым. И, как видим, мошенники придумали убедительное объяснение зачем им его знать. Просто представьте, если бы вы оплатили заказ обычной картой, а вам звонят и спрашивают: "Братан, а у тебя карта, с которой ты оплатил, к какому номеру привязана?" Бред какой-то. А с Озоном звучит правдоподобно.
В общем, что хотел сказать? Кроилово ведёт к попадалову — не надо прельщаться подозрительно низкими ценами у продавцов с минимальным рейтингом. Никому не сообщайте свой номер телефона. И уж тем более, никаких кодов никогда никто по телефону просить не будет. А если их просят — сразу шлите лесом и перезванивайте по официальным номерам или пишите в поддержку сами на сайте.
