Больше 15 тысяч скидки, выглядело странно. Но продавец только вышел на маркетплейс, и у него не было ни одного отзыва, плюс вроде Озон пиарит этот счёт. В общем я решил, что это мне так повезло, Озону круто что у меня их карта, продавец получит восторженный отзыв, а я пианино с хорошей скидкой.
Уважаемые читатели и Юрий, простите, что сразу не рассказали подробнее о том, как такое в принципе могло произойти.
Мы не передаём нашим продавцам контактные данные покупателей. Продавцы, которые доставляют заказы своими силами видят только подменённый номер телефона покупателя. То есть продавец не знает ваш настоящий телефон, он звонит по подменному номеру и далее происходит переадресация.
Что касается авторизации на сайте, то для входа в аккаунт Ozon необходим номер телефона и код, который может прийти, как в Push-уведомлении, так и в формате звонка. Но этого недостаточно, чтобы вывести деньги с Ozon Карты. В Ozon Банк своя авторизация, отдельная от Ozon и чтобы попасть в аккаунт банка, нужен также отдельный пароль.
Мы переслушали звонок мошенника на телефон Юрия и услышали, что были названы все данные - настоящий номер телефона, код из звонка для авторизации в Ozon, а также код из СМС для восстановления доступа к аккаунту в банке.
К сожалению, мошенники идут на разные уловки и с помощью социальной инженерии "вытаскивают" из жертв все данные, даже если это 2 или 3 фактора безопасности. Как произошло и в конкретном случае, который описан в статье.
Тем не менее мы не стоим на месте и дополняем наши меры безопасности - в ближайшее время мы поменяем все тексты в СМС и Push-уведомлениях по авторизации или смене пароля, чтобы они прямо сообщали о том, для чего нужен тот или иной цифровой код. Надеемся, что это поможет снизить количество случаев, когда уникальные коды передаются третьим лицам.