Веселая история про то как я решил купить фортепиано на Озоне и остался и без фортепиано и без денег.
Меня зовут Юра, мне 30 лет, я с 5 лет я фанат компьютеров и уже 10 лет руковожу бутиковой студией разработки в Екатеринбурге.
Ситуация
Моя жена круто играет на фортепиано и давно просила купить его нам домой. Я решил, что пришло время порадовать человека. В пианино я ничего не понимаю, поэтому отталкивался от характеристик и цены. Нафильтровал себе на Озоне подходящий вариант и впервые захотел оформить Озон карту.
Больше 15 тысяч скидки, выглядело странно. Но продавец только вышел на маркетплейс, и у него не было ни одного отзыва, плюс вроде Озон пиарит этот счёт. В общем я решил, что это мне так повезло, Озону круто что у меня их карта, продавец получит восторженный отзыв, а я пианино с хорошей скидкой.
Оформил карту, закинул на неё денег, оформил заказ, сижу довольный, и внезапно звонок:
— Юрий, здравствуйте это Озон. Вы купили пианино Касио, я хочу подтвердить ваш заказ.
— Да, конечно
— Назовите номер телефона с которого совершили заказ?
— Такой
— Отлично, когда вам удобнее получить доставку 30 или 31 января?
— 30
— В первой или второй половине дня?
— Во второй
— Хорошо, чтобы подтвердить заказ, вам нужно назвать последние 4 цифры номеров телефона, который сейчас позвонит.
— Зачем это вам?
— Скидка по Озон кард проходит больше 25%, по нашим правилам, мы должны подтверждать такие заказы в ручном режиме.
— Окей
— На ваш телефон пришла СМС с подтверждением, назовите код подтверждения.
— Да нет, это бред какой-то, зачем вам ещё и смс.
— Юрий к сожалению мы вынуждены подтверждать заказы с такой большой скидкой.
[Пришла очередная смска, каких уже пришло 10 за вечер, при регистрации. Прикидываю, что можно сделать. Данных карты у них нет. О моём заказе они все знают. Заказ уже оплачен, деньги у Озона, ничем не рискую вроде, видимо какие то дебильные бюрократические правила. ]
— Хорошо, 4785
— Отлично, Юрий, идентификация прошла успешно. Давайте подытожим вы заказали пианино Касио с курьерской доставкой на ..., во второй половине дня. Курьер будет у вас с 15 до 21 часа.
— Да, все верно.
— Спасибо за заказ, всего хорошего
Я захожу на Озон и в личном кабинете вижу картину:
Заказ отменен.
Вроде начинаю что-то робко понимать. Процесс не из приятных чего-то в пазле не хватает явно, будто отсутствует центральная часть. Хожу кругами, и тут я понимаю. Дрожащими пальцами захожу в ozon.card.
Чуваки с помощью данных обо мне, которые отдал им Озон, получили из меня код авторизации, и с помощью всех этих данных без проблем получили доступ к личному кабинету. Отменили заказ и вывели деньги на дропа через СБП.
Разбирательства
Деньги улетели на Сбербанк на имя Илья Андреевич М. по номеру телефона. Но номер телефона принадлежит уже Новоселовой Марии Павловне. Продавец вообще ИП Палюх Ольга Николаевна.
Понимаю что уже ничего уже не вернуть, деньги уже в даркнете, перепродаются следующему мамонту, который хочет что-то купить со скидкой, через телеграм канал.
Пишу в поддержку Озон — отписка по скрипту, ещё раз — то же самое, ещё раз — снова отписка. Получив четвертую отписку, я понял, что инструмент не рабочий. Высадился, рассказал о случае в своей инсте.
В инсту быстро пришел кто-то живой из Озона, посопереживали мне, пообещали, что обратятся в органы, и мне того же пожелали. Завершился диалог довольно однозначно.
В общем ответ: «Сам дурак, ничего с этим сделать мы не можем». Может быть, мне повезет и они на самом деле передадут дело в органы. Да и я тоже подам. Но мы с вами и, конечно, Озон прекрасно понимаем, что это не закончится вообще ничем.
Резюме по ситуации
Озон не особо проверяет своих партнеров и никак не отвечает за их действия
Эти партнеры легко могут быть мошенниками или злоумышленниками.
С этими умыслами легко получить доступ к вашему личному кабинету и украсть все деньги.
Я ещё не знаю что было бы с привязанными картами, потому что как мы знаем, озон не подтверждает покупки смсками.
НИКОМУ НИКОГДА ничего не называйте по телефону, даже если вы не понимаете как вас кинут — вас кинут, а потом вы узнаете как.
Я очевидно олень в этой ситуации, я поддался классной цене и был слишком самоуверен в своём понимании процесса.
Жена временно осталась без фортепиано.
Я постараюсь максимально, как смогу, масштабировать опыт, который я получил за 38 тысяч рублей. Если тоже офигели со схемы, лайкайте, чтобы как можно больше людей не попались. Берегите себя и свои деньги.
Уважаемые читатели и Юрий, простите, что сразу не рассказали подробнее о том, как такое в принципе могло произойти.
Мы не передаём нашим продавцам контактные данные покупателей. Продавцы, которые доставляют заказы своими силами видят только подменённый номер телефона покупателя. То есть продавец не знает ваш настоящий телефон, он звонит по подменному номеру и далее происходит переадресация.
Что касается авторизации на сайте, то для входа в аккаунт Ozon необходим номер телефона и код, который может прийти, как в Push-уведомлении, так и в формате звонка. Но этого недостаточно, чтобы вывести деньги с Ozon Карты. В Ozon Банк своя авторизация, отдельная от Ozon и чтобы попасть в аккаунт банка, нужен также отдельный пароль.
Мы переслушали звонок мошенника на телефон Юрия и услышали, что были названы все данные - настоящий номер телефона, код из звонка для авторизации в Ozon, а также код из СМС для восстановления доступа к аккаунту в банке.
К сожалению, мошенники идут на разные уловки и с помощью социальной инженерии "вытаскивают" из жертв все данные, даже если это 2 или 3 фактора безопасности. Как произошло и в конкретном случае, который описан в статье.
Тем не менее мы не стоим на месте и дополняем наши меры безопасности - в ближайшее время мы поменяем все тексты в СМС и Push-уведомлениях по авторизации или смене пароля, чтобы они прямо сообщали о том, для чего нужен тот или иной цифровой код. Надеемся, что это поможет снизить количество случаев, когда уникальные коды передаются третьим лицам.
Вот это поворот. Юрий решил хайпануть или озон саппорт тут врет ?
Юрий - Ваш выход будет или хайп уже удался ?
В чем хайп, меня кинули на деньги, я сам сдал все пароли и явки. Я этого абсолютно не скрываю. Написал статью чтобы люди узнали что так бывает и не попались. Многие написали спасибо, и что тоже бы попались.
Я хочу чтобы мои потерянные 38 тысяч, не пропали зря. Вы о чем вообще? Мне выгода какая с этого?
Заголовок статьи кликбейтный и хайповый. Вы сам дали право ОЗОНУ часть своих данных отдавать продавцу, а именно адрес доставки и номер заказа. ФИО возможно. Телефон и адрес проживания не дается, как и дата рождения и номера карт.
Далее : Читаем каждый пункт
1. Озон не особо проверяет своих партнеров и никак не отвечает за их действия - Возможно, но поступил сигнал они его удалили.
2. Озон отдаст все ваши персональные данные этим непроверенным партнерам - НЕ факт, он стал непроверенным с Вашей точки зрения после факта сдачи им всех паролей
3. Эти партнеры легко могут быть мошенниками или злоумышленниками - Могут.Озон причем тут?
4. С этими данными и умыслами легко получить доступ к вашему личному кабинету и украсть все деньги - Не правда. Вы сами все сдали. Докажите что не говорили паролей и кодом восстановления
5. Я ещё не знаю что было бы с привязанными картами, потому что как мы знаем, озон не подтверждает покупки смсками- 3DES это обязанность БАНКА а не продавца.
Так что Юрий - бизнесмен из Вас наверное хороший как и человек - но Вот хайпить в тексте что Озон Все слил - как то некрасиво.
Вот кстати 3DSecure - это право и защита продавца, а не обязанность банка и уж тем более - пользователя.
Да, только это услуга подключается у банке на карте :)))
И тем не менее, она защищает продавца. Если с вашей карты без 3DS что-то купили, а вы против - это проблемы продавца, с 3DS - целиком ваши.
Комментарий удален модератором
Комментарий недоступен
Хм, а откуда у вас такая информация, что пострадавшие именно внутри приложения Озон общались? Есть скриншоты?
Комментарий недоступен
Комментарий недоступен
Комментарий недоступен
Комментарий недоступен
В Вашей статье ни слова что Вы сказали СМС код от Озон Банка.
Комментарий недоступен
Вопрос не в том, надо или не надо обычно, вопрос в том, что озон прямо говорит: "Юрий назвал в т.ч. код из смс". Либо озон тут нагло врёт, либо Юрий нагло тасует факты и забывает о тех, которые ставят его в невыгодном свете. Вот общественности и интересно.
Юра получил запись своего разговора и по идеи как мужик должен был в статье описать своб неправоту а не ОЗОНа, да и заголовок явно лживый. Юра пока ушел в молчанку :(
ДУмаю что Юра успешно сделал рекламу своего бутика на таком хайпе за счет ОЗОНа. Не красиво - че.
Комментарий удален модератором
Комментарий недоступен
Комментарий удален модератором
В своём посте вы говорили, что называли только последние цифры звонящего номера. Это я готов не ставить пользователям в вину:
1. При использовании этого метода нельзя рядом с авторизационными цифрами разместить пояснение о том, для какой цели они пришли и напоминание никому их не передавать, а в тексте СМС можно.
2. Сам переход на авторизацию по последним цифрам телефона никак не улучшает безопасность пользователя, единственная цель - экономия, потому что несостоявшийся звонок стоит около ноля, а смс часто больше рубля.
Но вот озон выше говорит, что вы и цифры из смс назвали. А вот это непростительно:
1. вы, получается, проигнорировали предупреждение не передавать цифры
2. вы забыли упомянуть об этом в статье, оставили только менее стыдный слив номера телефона, при этом комментарии о своём вроде как высоком уровне компьютерной грамотности добавить не забыли.
Или Озон нагло врёт.
Итак, где же правда?
Комментарий удален модератором
Хайп, как минимум в заголовке. Все пидо%"№сы, только вы Д`Артаньян.
Сами же говорите, что именно вы слили все данные. Да, Озон хреново проверяет продавцов - это факт, но все пароли и коды не передает.
Да всё равно, сколько данных он слил и что там кому передаёт ОЗОН. Пост будет многим полезен. Т.к. я лично не ожидал такой угрозы на ОЗОН и, возможно, повёлся бы (хотя умею отличать мошенников) и таких как я немало.
Не думаю, что организация, (любой маркетплейс или банк) будет врать в спорной ситуации. При необходимости они предоставят материалы следователям, в суд и т.п.
А вот авторы часто умалчивают, как на самом деле было дело, выдавая удобную для себя правду.
Комментарий недоступен
Озон не врет :( сейчас связаться с клиентом целая проблема. Даже личные сообщения убрали. Бутиковый программист сам все слил.