История о том, как Озон отдал все мои персональные данные мошеннику, который украл у меня 38 000 ₽
Веселая история про то как я решил купить фортепиано на Озоне и остался и без фортепиано и без денег.
Меня зовут Юра, мне 30 лет, я с 5 лет я фанат компьютеров и уже 10 лет руковожу бутиковой студией разработки в Екатеринбурге.
Ситуация
Моя жена круто играет на фортепиано и давно просила купить его нам домой. Я решил, что пришло время порадовать человека. В пианино я ничего не понимаю, поэтому отталкивался от характеристик и цены. Нафильтровал себе на Озоне подходящий вариант и впервые захотел оформить Озон карту.
Больше 15 тысяч скидки, выглядело странно. Но продавец только вышел на маркетплейс, и у него не было ни одного отзыва, плюс вроде Озон пиарит этот счёт. В общем я решил, что это мне так повезло, Озону круто что у меня их карта, продавец получит восторженный отзыв, а я пианино с хорошей скидкой.
Оформил карту, закинул на неё денег, оформил заказ, сижу довольный, и внезапно звонок:
— Юрий, здравствуйте это Озон. Вы купили пианино Касио, я хочу подтвердить ваш заказ.
— Да, конечно
— Назовите номер телефона с которого совершили заказ?
— Такой
— Отлично, когда вам удобнее получить доставку 30 или 31 января?
— 30
— В первой или второй половине дня?
— Во второй
— Хорошо, чтобы подтвердить заказ, вам нужно назвать последние 4 цифры номеров телефона, который сейчас позвонит.
— Зачем это вам?
— Скидка по Озон кард проходит больше 25%, по нашим правилам, мы должны подтверждать такие заказы в ручном режиме.
— Окей
— На ваш телефон пришла СМС с подтверждением, назовите код подтверждения.
— Да нет, это бред какой-то, зачем вам ещё и смс.
— Юрий к сожалению мы вынуждены подтверждать заказы с такой большой скидкой.
[Пришла очередная смска, каких уже пришло 10 за вечер, при регистрации. Прикидываю, что можно сделать. Данных карты у них нет. О моём заказе они все знают. Заказ уже оплачен, деньги у Озона, ничем не рискую вроде, видимо какие то дебильные бюрократические правила. ]
— Хорошо, 4785
— Отлично, Юрий, идентификация прошла успешно. Давайте подытожим вы заказали пианино Касио с курьерской доставкой на ..., во второй половине дня. Курьер будет у вас с 15 до 21 часа.
— Да, все верно.
— Спасибо за заказ, всего хорошего
Я захожу на Озон и в личном кабинете вижу картину:
Заказ отменен.
Вроде начинаю что-то робко понимать. Процесс не из приятных чего-то в пазле не хватает явно, будто отсутствует центральная часть. Хожу кругами, и тут я понимаю. Дрожащими пальцами захожу в ozon.card.
Чуваки с помощью данных обо мне, которые отдал им Озон, получили из меня код авторизации, и с помощью всех этих данных без проблем получили доступ к личному кабинету. Отменили заказ и вывели деньги на дропа через СБП.
Разбирательства
Деньги улетели на Сбербанк на имя Илья Андреевич М. по номеру телефона. Но номер телефона принадлежит уже Новоселовой Марии Павловне. Продавец вообще ИП Палюх Ольга Николаевна.
Понимаю что уже ничего уже не вернуть, деньги уже в даркнете, перепродаются следующему мамонту, который хочет что-то купить со скидкой, через телеграм канал.
Пишу в поддержку Озон — отписка по скрипту, ещё раз — то же самое, ещё раз — снова отписка. Получив четвертую отписку, я понял, что инструмент не рабочий. Высадился, рассказал о случае в своей инсте.
В инсту быстро пришел кто-то живой из Озона, посопереживали мне, пообещали, что обратятся в органы, и мне того же пожелали. Завершился диалог довольно однозначно.
В общем ответ: «Сам дурак, ничего с этим сделать мы не можем». Может быть, мне повезет и они на самом деле передадут дело в органы. Да и я тоже подам. Но мы с вами и, конечно, Озон прекрасно понимаем, что это не закончится вообще ничем.
Резюме по ситуации
Озон не особо проверяет своих партнеров и никак не отвечает за их действия
Эти партнеры легко могут быть мошенниками или злоумышленниками.
С этими умыслами легко получить доступ к вашему личному кабинету и украсть все деньги.
Я ещё не знаю что было бы с привязанными картами, потому что как мы знаем, озон не подтверждает покупки смсками.
НИКОМУ НИКОГДА ничего не называйте по телефону, даже если вы не понимаете как вас кинут — вас кинут, а потом вы узнаете как.
Я очевидно олень в этой ситуации, я поддался классной цене и был слишком самоуверен в своём понимании процесса.
Жена временно осталась без фортепиано.
Я постараюсь максимально, как смогу, масштабировать опыт, который я получил за 38 тысяч рублей. Если тоже офигели со схемы, лайкайте, чтобы как можно больше людей не попались. Берегите себя и свои деньги.
Ну судя по звонку, озон им номер телефона передал и адрес доставки. Код восстановления пароля, или от подключения к карте нового номера вы им сами сказали.
Кто виноват?
Очевидно, я. Факт. Последние ворота я открыл сам.
Статья про то, что самоуверенность может привести к потере денег. А я был прямо уверен что меня таким не взять.
Чтобы люди представляли, что так бывает. 100% людей которым я рассказал эту историю офигели.
Цель: вскрыть схему, и спасти чьи то деньги.
Было бы странно не открывать ворота, когда перед ними "стоит газель с грузом, который вы ждете".
Вина целиком и полностью на Озоне, который допускает подобные дыры в безопасности.
Я раньше очень много покупал на этой площадке, но в последнее время они окончательно скурвились. Буквально сегодня хотел купить одну вещь, а у меня в Озоне "персональный ценник" на 600р дороже.
Никакой дыры в безопасности нет, они обязаны продавцу предоставлять телефон, ФИО и адрес в случае, если продавец сам доставляет (модель realFBS, у Яндекса это DBS называется), у всех маркетплейсов так.
А то, что все мои деньги защищены 4 цифрами какого-то номера телефона, вы дырой не считаете?
И чего ради у них должен быть мой телефон, такого бреда сейчас даже на Авито нет.
Предлагаете банкинг отменить, чтобы все по классике, в каком отделении карту получали туда и идите?
У них был его телефон и ФИО, код назвал он сам, чего еще надо для входа в ЛК?
Предлагаю не раздавать мои деньги кому попало по 4 цифрам через сомнительную процедуру. Если вам так удобно, то флаг в руки, а мне не в падлу и в офис заглянуть, если речь идет о безопасности.
Почему всех надо заставлять делать так, как вы хотите?
Есть банки где доступ проще, есть где сложнее, на любой вкус и цвет, но для этого надо почитать условия и подумать, но это так скучно...
Но ведь правда непонятно с чем ты соглашаешься, когда называешь последние 4 цифры телефона. Ozon мог сделать нормально и отправить смс:
"Используйте код XXXX для входа в личный кабинет Ozon. Никому не называйте этот код."
И также можно подтверждать вывод средств с карты
Если не понятно, зачем называете? Как вариант, попросить ФИО, телефон и добавочный номер сотрудника, чтобы перезвонить ему, сам номер пробить в интернете.
Да, можно пробивать номер в интернете и перезванивать, но 99% людей этого делать не будет.
Есть нормальные и безопасные механизмы авторизации пользователя, которые Ozon мог бы использовать
Эти нормальные механизмы точно также обходятся, когда жертва даже к банкомату подходит и сама перевод делает.
Еще есть регулятор, который много чего другого «заставляет» делать банки. Вопрос авторизации по одной смске уже кажется давно назрел.
К Озону же очевидная претензия, что они оставили очень вкусную для мошенников схему. Наличие денег известно, повод поднять трубку у жертвы есть — вперед, не надо даже ничего взламывать/покупать/подделывать.
Лидер по разводам это клиенты сбера, где цб все зарегулировал от и до, значит эффективность закручивания гаек не большая
Потому что их дыры приводят к краже моих денег.
Не пользуйтесь банком, где по вашему есть "дыры" вроде есть выбор пока
Комментарий удален модератором
Комментарий недоступен
Предлагаю ввести стандартный 2FA.
Комментарий недоступен
Лучше D2S.
А вы не из озона часом с такой риторикой?
Пусть оставят флэш колы для некртиичных операций, вроде регистрации новых пользователей.
А для операций связанных с финансовой безопасностью везде давно уже используются смс и пуш, в отделение при этом не нужно ходить
Тут многие еще игнорируют момент, деньги должны возвращаться от куда пришли. Мошенничество не вчера появилось и базовые правила защиты от него это как раз о чем я написал. У всех это давно по умолчанию, но Озон же хочет с деньгами расставаться и кидает их в свой ручной банк и тем способом делает лишнюю дыру, вторая что экономит на смс, и не понятно назначение звонка... По хорошему ТС без товара и денег, пойти и оформить чарджбек.
А я уже смотрю как эту озон карту нафиг закрыть.
Евгений, здравствуйте. Мы всегда возвращаем деньги тем же способом, каким и происходила оплата. Кроме оплаты с расчётного счёта юр. лица или оплаты подарочным сертификатом. Подробнее о способах возврата мы пишем здесь: https://ozon.ru/t/R3P4ljp. Чуть выше написали о том, что одного звонка для кражи денег с Ozon Карты недостаточно. Помимо этого, злоумышленник должен знать как минимум ваш не подменный номер телефона и пароль от вашего личного кабинета или код из смс для восстановления пароля. Если вы самостоятельно не сообщите эти данные мошеннику, то все попытки взлома будут тщетны.
*Нервный кашель*. Когда вы отправляете Авито посылку, то на Почте России вы получаете номер клиента, а в Boxberry номер телефона + email.
Чтобы злоумышленник смог добраться до ваших денег, ему нужно совершить немало действий. Для начала вы должны самостоятельно продиктовать мошеннику ваш настоящий номер телефона (так как все номера наших клиентов мы подменяем для продавцов на ненастоящие). Далее - сообщить код из звонка. Но и этого будет недостаточно. Последнее, без чего мошенники не смогут попасть в ваш личный кабинет Ozon Bank, это код-пароль от этого кабинета или же пароль из смс для восстановления доступа к нему. Без этих данных все попытки мошенника будут безуспешными.
Комментарий недоступен
Знаю, кто это сделал.
Соседи, узнав от довольной жены о предстоящей доставке пианино, предприняли все мыслимые и немыслимые шаги для самоспасения.
Комментарий недоступен
но код же он один назвал? два же в таком случае должно быть.. или нет? с озон-карты без подтверждения можно переводить?
Комментарий недоступен
главное правило: никогда не недооценивай соперника😀
меня самого так чуть не обманули только диалог неемного другой был. В этой схеме подкупает то, что ты веришь, что тебе звонят с ОЗОНа тк ты буквально только что сделал заказ, и тут же тебе поступает звонок с описанием твоего заказа и тебе сообщают о проблеме с этим заказом (в моём случае так было), в итоге там начинают описывать какие-то проблемы и методы решения.
Ну и дальше пользуются тем что ты доверяешь самой площадке начинают тебя втягивать в свои схемы.
Всё правильно сделал, ибо схема действительно хитрая.
Это вам не служба безопасности сбербанка, о которой все уже наслышаны.
Поставила лайк, нужно, чтобы периодично ваша статья попадалась на глаза, иначе из-за доверчивости можешь попасть на очередной лохотрон.
Комментарий недоступен
Комментарий недоступен
Братец, к сожалению озону в принципе похрену, что происходит вокруг. Их волнуют исключительно деньги. Спасибо за то, что раскрыли схему и не обращайте внимания на идиотов в комментах. Правда на Вашей стороне
Нет, не вы. Почему вы виноваты? В чем?
В том, что на платформу пустили мошенников?
Они в сговоре или нет?
Комментарий недоступен
Опубликуйте, пожалуйста, расшифровку звонка. Естественно со звёздочками вместо персональных данных или адреса.
Интересно посмотреть как обрабатывают людей.
Озон виноват.
Код восстановления пароля/подключения к карте нового пользователя должен приходить в смс/пуше и там должно быть написано, что это блин код восстановления пароля и никому его говорить нельзя.
Золотые слова.
Озон, кто сценарии прорабатывает? Вы там совсем??
Вот только в прошлом году был скандал, когда за покупателя товар получали.
Цифры из номера телефона со звонка для подтверждения - абсолютный антипаттерн, вообще не знаю кому такое в голову приходит. Каждый раз, когда с таким сталкиваюсь, удивляюсь. И да, это ломает выстроенную психологию - люди привыкли, что коды из смс и пушей никому нельзя говорить, а вот звонок это что вообще такое - подвисают
Потому что в разы дешевле себестоимость....
https://vc.ru/marketing/545420-v-10-raz-deshevle-chem-sms-razbiraem-plyusy-i-minusy-flash-call
Не когда касается денег
Ну для верификации в каком публичном Wi-Fi еще подойдет.
Вы готовы платить за смс или пуш?
Пуши тоже платные? Разве они не бесплатны сами по себе?
ну там тоже какой то провайдер есть. Цена конечно дешевле смс, но при большом количестве кусается .
Думаю когда речь идет о безопасности денег и их транзакций стоимость пушей нивелируется.
Какой там провайдер?) это твоя прилка. Сервак только и все
пуши беслпатны
Нет, пуши бесплатны. Ни эппл, ни гугл не берет за них деньги
Кажется, это не те места, где компания должна экономить. Речь ведь идёт о деньгах и доступе к платежной карте, а не о простых уведомлениях. Но да, я готов доплатить, если компания жмотится на моей безопасности. Правда перед этим я трижды подумаю стоит ли нести деньги в такую компанию или поискать варианты где-то еще :)
Комментарий удален модератором
Озон обозвал себя банком - пусть и платит. Другие банки шлют смс по любому чиху хоть немного связанному с безопасностью
ну лучше заплатить за смс чем потом отдать 38к
А че эти петрушки смски по заказу не рассылают? А навоз. Карта тоже о балансе не информирует?
Комментарий удален модератором
Не знаю кто виноват, но то что вы душнила - вне всяких сомнений. Автор вроде и не называет особо никого виноватым, кроме себя.
Да ладно?
Так именно это и произошло.
так вы уж там определитесь - автор никого кроме себя не обвиняет или обвиняет Озон
Чувак обвиняет Озон в том, что Озон передал личные данные людям, которые оказались мошенниками, а затем, обули чувака на 38к.
Заголовок четко описывает происходящее.
ты веточку комментов перечитай, прежде чем впрягаться капитаном Очевидностью
Так ты сначала статью прочитай.
Автор вполне здраво признал, что лопухнулся когда назвал код. Это единственное на что он мог повлиять.
А проверять продавцов, перед передачей личных данных покупателей, это обязанность Озона. И это полностью их вина.
И какое это имеет отношение к моему комментарию?
Некто Aleks Cloud заявил, что " автор вроде и не называет особо никого виноватым, кроме себя". Очевидно, что это не так, потому что автор обвиняет Озон начиная с заголовка и всю статью. Именно на это я указал.
А вы всем заголовкам верите? В 2012 наверно кредиты набирали, в надежде на конец света? Автор в заголовке указывает, что Озон передал персональные данные, и это же есть в тексте. Но научитесь читать хоть немного дальше заголовка - по всему тексту автор пишет что виноват в первую очередь именно он, а не Озон! И никаких требований к Озону не предъявляет. С чего вы взяли что он ОБВИНЯЕТ Озон? Он лишь пишет, что Озон передал данные мошеннику (заметьте, при этом он не требует ничего назад, что было бы в случае обвинения, а здраво понимает, что виноват полностью сам).
Комментарий недоступен
А что не так?
В Озоне (читай - ЕКОМ-банк) вскрылась огромная дыра по безопасности.
Антифрод озон не антифрод
Комментарий недоступен
Комментарий недоступен
Извините, не увидел обвинения. Там все по факту - Озон передал данные, и об этом написано в заголовке. Если бы он обвинял, то требовал бы Озон вернуть эти деньги. Покажите, пожалуйста, по тексту, где эти требования (сам не нашел). И да, общение с техподдержкой, где он пишет что и заказ то ему не доставили - это ирония по поводу того, что данные передаются продавцам, но не передаются покупателям, даже если продавец мошенник (чтобы покупатель мог самостоятельно обратиться в правоохранительные органы).
Так не понятно же, для чего код. В момент звонка не передаётся никаких данных о том что должен верифицировать звонок.
Кто виноват?
Комментарий удален модератором
Кстати, правда. На самом Озоне есть рекомендации по безопасности, @Юрий Глазков, почитайте их
Озон, как и любая площадка для третьих продавцов, не застрахован от появления на ней продавцов-мошенников. Ранее было много таких продавцов в основном на Авито. Будем знать и про Озон.
Если доставка силами продавца rFBS, то Озон должен предоставить телефон для доставки силами продавца (в карточке указано, кто будет доставлять, продавец или озон), у того же алиэкспресса или яндекс (DBS) с WB все тоже самое, продавец получает ФИО, телефон и адрес.
Тут Озон максимум может заблокировать продавца если у него нет истории продаж и передать его данные в полицию при соответственном запросе от неё.
Это банальное мошенничество.
Комментарий удален модератором