Описание новой схемы мошенничества на OZON, с использованием ОЗОН.КАРТЫ
Хочу рассказать мошеннической схеме, при молчаливом согласии OZON и банка OZON, в которую я попал по неосторожности.
Надеюсь, что подробный рассказ и описание схемы мошенничества поможет другим покупателям не попасть в подобную ситуацию, а также раскроет как можно большему кругу лиц "дыру" в системе безопасности банка OZON и самого Озона, которую по-видимому, компания не спешит заштопать.
Итак, сразу опишу “схему” мошенников по пунктам:
- Вы заказываете товар на ОЗОНЕ (маркетплейс OZON)
- Как обычно, оплата OZON Картой дает преимущества в цене, поэтому вы оформляете OZON карту (если она у вас не была оформлена ранее)
- Вы закидываете деньги на OZON Карту, которой вы расплачиваетесь за заказанный товар на маркет-плейсе OZON
- Через некоторое время с вами связывается “Оператор OZON” , который сообщает, что, увы, товара нет в наличии “на ближнем складе”
- Далее этот “Оператор Озона” сообщает, что он рад помочь с переоформлением заказа “на дальний склад”, и товар придет без задержек и спрашивает ваше согласие на отмену заказа и возврат денег.
- Жертва ничего не подозревая и думая, ну что же может произойти, если товар отменят, соглашается, тем более, что вам дают моментальное решение - заказ с другого склада.
- Затем Жертву просят сообщить номер телефона (вполне безобидная просьба, не номер карты или пин-код, а только лишь номер телефона)
- Пока вы общаетесь с “Оператором” раздается звонок, и Оператор Озона просит назвать последние 6 цифр номера, который ему позволит вас идентифицировать
- В этот момент “ОПЕРАТОР Озона” проникает в вашу учетную запись на OZON (внимание только на вашу учетную запись, зарегистрированную на Озоне, а не в Озон.Карту)
- “Оператор” отменяет заказ, указывая, что не устраивают сроки доставки (как выяснилось позже)
- Вам автоматически зачисляется обратно вся сумма покупки.
- Бинго: происходит то, что по идее не должно было произойти, “Оператор” каким-то образом получает доступ к вашей ОЗОН-КАРТЕ и быстрым переводом СБП переводит весь остаток на “свой счет” .
Ну вот вы лишились ваших денег :) Как, собственно и я.
Примечание №1
Те, кто когда-либо оформлял карту ОЗОН БАНКА, знают, что чтобы оформить карту, вам необходимо:
- ввести данные паспорта
- данные вашего ИНН
- придумать уникальный ПИН-КОД номер, который вы будете использовать, чтобы пользоваться данной картой (пополнять и/или переводить остаток на свой счет или любой другой).
Примечание №2
После проведения мошеннической схемы, ваш эккаунт в ОЗОН БАНКе блокируется (как я понял, злоумышленник меняет пин-код), то есть вы, вводя свой же пин-код, не можете зайти. Что немного странно.
Чтобы восстановить вход в вашу же учетную запись в Озон.Банке, вам необходимо ввести 1) паспортные данные 2) электронную почту 3) данные по дате вашей регистрации 4) последние 4 цифры номера карты, с которой вы пополняли баланс ОЗОН карты 5) даты последних 2-х операций 6) направить фотографию паспорта 7) направить фотографию вашего лица и паспорта.
То есть, как видно, чтобы вам зайти в кабинет ВАШЕЙ же КАРТЫ ОЗОН, недостаточно лишь использовать номер телефона и последние 6 цифр номера, который вам позвонил! Тогда как, злоумышленнику этого достаточно, чтобы украсть ваши деньги.
Примечание №3 ("лирика", для тех, кому было интересно дочитать до сюда)
- Увы, скорее всего, с деньгами, которые у вас украли, нужно распрощаться.
- Служба “ботов” маркет-плейса Озона вам никак не поможет, переписка с ним лишь вызовет у вас огорчение и досаду (пример из переписки - практически зацикливается и вы общаетесь сами с собой)
- Помощь ОЗОН.Банка по телефону (единственное место куда вы все еще можете позвонить и поговорить голосом ) запишет с ваших слов проблему, создаст заявку и предложит вам сообщить об этом случае в правоохранительные органы (при этом сроки рассмотрения вашей заявки вам не сообщают, о них операторы не знают)
- СБП (служба быстрых переводов) позволяет быстро отправить любую сумму на любую карточку банка, и вы, безусловно, когда уже получите доступ обратно в ваш эккаунт (я получил только спустя 6 часов!), увидите куда ушли деньги, но не спешите радоваться, что это хоть как-то вам поможет
- Большинство счетов , куда злоумышленники отправляют деньги, принадлежат либо тем, кто отсиживает срок в тюрьме, либо оформленные на недееспособных граждан, деклассированных элементов (алкоголики, наркоманы), дедушек , бабушек, которые даже не знают, что их счетами пользуются злоумышленники
- Полиция также, увы, ничего не сумеет сделать, кроме как направить запросы в банки, а также в сам Озон, которые в свою очередь им предоставят данные магазина, детали покупки и так далее, но ничего из этого не позволит вам вернуть украденные деньги
- Единственное, что вы можете надеяться, что магазин-призрак, который продает “несуществующие” товары будет закрыт на маркет-плейсе (но как вы понимаете, вместо него откроются другие)
Здравствуйте, уважаемый Армен.
Пока вы общаетесь с “Оператором” раздается звонок, и Оператор Озона просит назвать последние 6 цифр номера, который ему позволит вас идентифицироватьХотел бы обратить внимание, что последние цифры номер входящего звонка часто используются как альтернатива различным смс и пуш-кодам для подтверждения различных операций.
Сообщение данных последних цифр номера входящего звонка приравнивается к использованию простой электронной подписи и надлежащим образом идентифицирует волеизъявление стороны, если это предусмотрено соглашением сторон.
Искатель, благодарю за сообщение.
Понимаю, что я назвал цифры, которые не должен был назвать. Но и схема - не совсем обычная. Вам звонят из ОЗОН, "оператор-мошенник" знает ВСЕ ДЕТАЛИ заказа, что я купил, где и по какой цене. Злоумышленник звонит конкретно на мой номер, который привязан к эккаунту в ОЗОНе.
И самое главное - в ОЗОН. БАНКЕ я вводил ПИН-КОД, я его не сообщал.
Каким образом из личного кабинета ОЗОНА злоумышленник попал в личный кабинет ОЗОН БАНКА???
Это не настораживает?
Вы можете попасть из личного кабинета Сбер.Маркета в личный кабинет Сбербанка ???
Пожалуйста)
Я в данном случае не делал акцент на том, что вы сообщили кому-то что-то лишнее. Я обратил внимание как раз на то, что в данном случае скорее всего именно таким образом и попали в ваш личный кабинет Озон Карты, восстановив туда доступ с помощью сообщенных вами цифр входящего номера. Так как это обычно является альтернативой смс и пуш-кодам.
А всю остальную информацию скорее всего недобросовестный продавец получил просто от самого Озона, прикинувшись добросовестным продавцом.
В любом случае рекомендую подробно ознакомиться со всеми условиями по данной ссылке - там много чего интересного:
https://finance.ozon.ru/products
Самые важные два документа:
https://finance.ozon.ru/documents/rules
https://finance.ozon.ru/documents/usage
Скорее всего, но...
Попробуйте сами нажать на кнопку "Не помню пароль" на странице ОЗОН Банка (https://finance.ozon.ru/) под пин-кодом.
Вы попадете на форму, где вас попросят ввести ФИО, дату рождения и Серию с Номером паспорта, и это только первый шаг. (прикрепил скрин-шот)
По вашей логике, злоумышленник должен был ввести только номер телефона и 6 цифр поступившего на него звонка.
А как же остальные данные?
Более того, на втором и третьем шаге вам придется ввести еще больше данных, о которых я писал ранее и также показывал скрин-шоты, таких как: последние 4 цифры с карты, с которой пополнялся счет, дату последних двух операций и даже дату открытия счета.
Откуда столько "специфической информации" вдруг у мошенника?
Далее проверил в мобильном приложении Озона - для восстановления доступа к Озон карте достаточно указать НА ВЫБОР:
1. Кодовое слово.
2. Сумму последнего пополнения.
Сумма последнего пополнения мошеннику точно известна: это сумма, возвращенная на Озон Карту по отмененному заказу, который был отменен собственноручно мошенником, зашедшим в ваш аккаунт по последним цифрам.
Полагаю, что дело раскрыто 🙂
Также полагаю, что восстанавливать доступ в личный кабинет Озон Карты только по сумме последнего пополнения мягко говоря не очень безопасно 😇
Смотрим дальше и видим интересную вещь.
То есть, получается, паспортные данные хранятся непосредственно в самом Озон аккаунт. В который мы только что вошли с помощью последних цифр номера.
Да, очень странно, что архитектура безопасности Озон Банка позволяет восстанавливать вход через кабинет Озон маркет-плейса. То есть это два разных сервиса, но почему-то из одного можно попасть в другой вот таким вот коварным способом.
Подобная схема едва ли была возможна, воспользовавшись я оплатой картой любого банка, Сбера или ВТБ или Открытия.
Странно, что при создании эккаунта в Банке Озона мне приходилось придумывать "Секретное слово". Интересно для каких целей?
И самое обидное, что после того, как мой эккаунт был скомпроментирован, мне пришлось ждать более 5 часов на восстановление, предоставив фотографии паспорта, себя с паспортом, разве что трусы не попросили снять :))
Так кодовое слов используется. Наравне (!!!) с суммой последнего ПОПОЛНЕНИЯ (а не расходной операции, как это реализовано в большинстве банков).
Учитывая, что пополнение может быть легко сделано не самим человеком, подобная система восстановления доступа выглядит, мягко говоря, не совсем безопасной 😇
Вот кстати соответствующие скриншоты с восстановлением доступа:
Давайте разбираться дальше. К примеру, я обнаружил вот это. Проверил: реально был звонок, я ввел последние 6 цифр и меня пустило в личный кабинет.
То есть по последним цифрам номера как минимум можно зайти в аккаунт Озона.