Веселая история про то как я решил купить фортепиано на Озоне и остался и без фортепиано и без денег.
Меня зовут Юра, мне 30 лет, я с 5 лет я фанат компьютеров и уже 10 лет руковожу бутиковой студией разработки в Екатеринбурге.
Ситуация
Моя жена круто играет на фортепиано и давно просила купить его нам домой. Я решил, что пришло время порадовать человека. В пианино я ничего не понимаю, поэтому отталкивался от характеристик и цены. Нафильтровал себе на Озоне подходящий вариант и впервые захотел оформить Озон карту.
Больше 15 тысяч скидки, выглядело странно. Но продавец только вышел на маркетплейс, и у него не было ни одного отзыва, плюс вроде Озон пиарит этот счёт. В общем я решил, что это мне так повезло, Озону круто что у меня их карта, продавец получит восторженный отзыв, а я пианино с хорошей скидкой.
Оформил карту, закинул на неё денег, оформил заказ, сижу довольный, и внезапно звонок:
— Юрий, здравствуйте это Озон. Вы купили пианино Касио, я хочу подтвердить ваш заказ.
— Да, конечно
— Назовите номер телефона с которого совершили заказ?
— Такой
— Отлично, когда вам удобнее получить доставку 30 или 31 января?
— 30
— В первой или второй половине дня?
— Во второй
— Хорошо, чтобы подтвердить заказ, вам нужно назвать последние 4 цифры номеров телефона, который сейчас позвонит.
— Зачем это вам?
— Скидка по Озон кард проходит больше 25%, по нашим правилам, мы должны подтверждать такие заказы в ручном режиме.
— Окей
— На ваш телефон пришла СМС с подтверждением, назовите код подтверждения.
— Да нет, это бред какой-то, зачем вам ещё и смс.
— Юрий к сожалению мы вынуждены подтверждать заказы с такой большой скидкой.
[Пришла очередная смска, каких уже пришло 10 за вечер, при регистрации. Прикидываю, что можно сделать. Данных карты у них нет. О моём заказе они все знают. Заказ уже оплачен, деньги у Озона, ничем не рискую вроде, видимо какие то дебильные бюрократические правила. ]
— Хорошо, 4785
— Отлично, Юрий, идентификация прошла успешно. Давайте подытожим вы заказали пианино Касио с курьерской доставкой на ..., во второй половине дня. Курьер будет у вас с 15 до 21 часа.
— Да, все верно.
— Спасибо за заказ, всего хорошего
Я захожу на Озон и в личном кабинете вижу картину:
Заказ отменен.
Вроде начинаю что-то робко понимать. Процесс не из приятных чего-то в пазле не хватает явно, будто отсутствует центральная часть. Хожу кругами, и тут я понимаю. Дрожащими пальцами захожу в ozon.card.
Чуваки с помощью данных обо мне, которые отдал им Озон, получили из меня код авторизации, и с помощью всех этих данных без проблем получили доступ к личному кабинету. Отменили заказ и вывели деньги на дропа через СБП.
Разбирательства
Деньги улетели на Сбербанк на имя Илья Андреевич М. по номеру телефона. Но номер телефона принадлежит уже Новоселовой Марии Павловне. Продавец вообще ИП Палюх Ольга Николаевна.
Понимаю что уже ничего уже не вернуть, деньги уже в даркнете, перепродаются следующему мамонту, который хочет что-то купить со скидкой, через телеграм канал.
Пишу в поддержку Озон — отписка по скрипту, ещё раз — то же самое, ещё раз — снова отписка. Получив четвертую отписку, я понял, что инструмент не рабочий. Высадился, рассказал о случае в своей инсте.
В инсту быстро пришел кто-то живой из Озона, посопереживали мне, пообещали, что обратятся в органы, и мне того же пожелали. Завершился диалог довольно однозначно.
В общем ответ: «Сам дурак, ничего с этим сделать мы не можем». Может быть, мне повезет и они на самом деле передадут дело в органы. Да и я тоже подам. Но мы с вами и, конечно, Озон прекрасно понимаем, что это не закончится вообще ничем.
Резюме по ситуации
Озон не особо проверяет своих партнеров и никак не отвечает за их действия
Эти партнеры легко могут быть мошенниками или злоумышленниками.
С этими умыслами легко получить доступ к вашему личному кабинету и украсть все деньги.
Я ещё не знаю что было бы с привязанными картами, потому что как мы знаем, озон не подтверждает покупки смсками.
НИКОМУ НИКОГДА ничего не называйте по телефону, даже если вы не понимаете как вас кинут — вас кинут, а потом вы узнаете как.
Я очевидно олень в этой ситуации, я поддался классной цене и был слишком самоуверен в своём понимании процесса.
Жена временно осталась без фортепиано.
Я постараюсь максимально, как смогу, масштабировать опыт, который я получил за 38 тысяч рублей. Если тоже офигели со схемы, лайкайте, чтобы как можно больше людей не попались. Берегите себя и свои деньги.
Сочувствую вам. Озон пробивает очередное дно
как таковой - вины озона тут нет (ну разве что зарегистрироваться может любое ИП, и видимо без особого подтверждения данных). Данные клиента они передают продавцу, для возможности совершения доставки. Так что тут все по норме. Ситуация конечно неприятная с любой стороны, но надеюсь Озон в дальнейшем предпримут попытки по закрытию этой дыры
Есть вина. Нельзя делать так, чтобы любое третье лицо могло инициировать исходящий перевод с вашей карты. Нужно сделать перевод — вы должны сами открыть приложение, ввести сумму и получателя. Тогда не будет таких ситуаций.
Вы ни разу не видели, что во многих приложениях можно сделать смену номера? И для подтверждения вам приходи звонок, либо СМС (к примеру у ДНС такая же система). И такая система у большинства крупных ритейлеров. Потому как представьте - вы захотели купить себе красивый номер, а старый просто выкинуть (ну или чтобы лежал - пылился). Мошенники поменяли номер - и теперь, для системы, они это тот кто пополнил карту. Затем они заказывают перевод, и подтверждают, его путем ввода цифр, которые пришли на новый, смененный телефон... Или вы предлагаете сделать привязку к приложению? Без правы смены? Ой печалька будет, если вы случайно потеряете или поломаете свой телефон...
Вот тут немножко непонятно. Как они поменяли номер? Чтобы поменять номер, им нужно как-то войти в аккаунт пользователя. А чтобы в него войти — раз уж у нас тут операции с картами и финансами — должна быть процедура как в банковских приложениях, т.е. двухфакторная авторизация в обязательном порядке. Обязана быть. И второй фактор не по последним цифрам входящего звонка, а обязательно по СМС (в которой будет сказано — "код для входа такой-то, ничего не делайте если не запрашивали код" — чтобы сразу было ясно что происходит).
Да, вот в этом вы правы. Но ведь для обнаружения ошибки нужен был прецедент... К сожалению - автор стал первооткрывателем, а скорее всего, даже не первооткрывателем, но тем, кто вынес данную схему в широкие массы. Надеюсь Озон примут к сведению, и устранят эту дыру в безопасности пользователей.
У вас, наверное, нет аккаунта в Озоне. Когда меняешь номер на аккаунте (точнее, на ID озона), там приходит конкретная смс-ка, в которой написано, что идёт смена номера телефона. Тут они номер на аккаунте не меняли, иначе бы они сразу вышибли с аккаунта автора (там есть такая фича) и у автора всё бы было ещё грустнее (хотя, куда уж грустнее).
Тут основной и главный вопрос - какого фига Озон позволяет выводить деньги с банковского счёта БЕЗ ПОДТВЕРЖДЕНИЯ ?
так автор то подтвердил - он назвал код из смс... какие претензии к озон? Он как должен узнать кто именно вводит код? Ведь до этого они вошли в его учетную запись, и работали в ЕГО профиле. Вывод то они не со своего логина заказывали, а автора топика. Номер то может и не меняли, но звонок приходит для подтверждения входа в акк с другого устройства и/или смены пароля (или вы думаете что Озон вместе с телефоном и адресом доставки и пароли передал?)...
а как любой банк от этого защищает? когда также звонят мошенники представляясь сотрудниками МВД и просят зайти в личный кабинет, назвать цифры и смс и тд.
ну для ИП достаточно только вроде выписки из реестра. Какие могут там данные быть особенные. Все равно там фунтик на проводе.
Да, и это проблема как раз таки Озона (возможно они даже не проверяют личность, которая подает заявку о регистрации продавца на площадке, ну то есть ты можешь взять любую выписку, и не имея оригинала на руках - зарегистрироваться как продавец, иначе бы подобная схема не сработала, поскольку можно было бы подтянуть по официальным данным).
ну данные ип не секрет. Могут и их использовать. или какое то ооо солидное подключить.
В таком случае ООО будет нести ответственность за свои действия. С прокладного ИПшника без денег ничего не возьмешь.
Какие действия. Вы как владелец ооо и знать не будите, что кто то прилепил вас к озону. Хотя аферистам легче фунтиков найти.
Стоп, у них что даже договора никакого нет?
ну может какой и есть. но его наверное электронно может делают. печать сделать нынче нужную вообще не проблема.
да и скорей там озон по оферте деятельность введет.
Вот именно. Писала им по поводу странной (на мой взгляд) ситуации, когда у двух разных (!) продавцов были одинаковые логотип и название. Ответили, что проверили, у продавцов всё в порядке. Хм...
Самозанятый тоже может зарегиться на Озон, без всякого ИП даже...
А то что деньги с карты озон переводятся без подтверждения куда угодно, тоже норм?
Без какого подтверждения? Вы уверены что операция без подтверждения проходит? Только вот подтверждение приходит на номер, который указан в профиле Озон.
Верно. Так номер там как стоял автора топика, так и стоит. В том-то и дело, что они номер не меняли.
да, вы правы) они просто вошли по его номеру телефона, а код для операции он им сам назвал...