Недавно на vc.ru был опубликован рассказ Юрия Глазкова о том, как продавец с Ozon похитил у него 38 800 рублей. Если вкратце: Юрий купил пианино, продавец позвонил ему, попросил назвать четыре последние цифры из входящего звонка, после чего отменил заказ за пользователя, вошёл в его платёжный кабинет и вывел деньги на подставной счёт, с которого они были обналичены.
Из комментария Ozon:
Мы не передаём нашим продавцам контактные данные покупателей. Продавцы, которые доставляют заказы своими силами видят только подменённый номер телефона покупателя. То есть продавец не знает ваш настоящий телефон, он звонит по подменному номеру и далее происходит переадресация.
Что касается авторизации на сайте, то для входа в аккаунт Ozon необходим номер телефона и код, который может прийти, как в Push-уведомлении, так и в формате звонка. Но этого недостаточно, чтобы вывести деньги с Ozon Карты. В Ozon Банк своя авторизация, отдельная от Ozon и чтобы попасть в аккаунт банка, нужен также отдельный пароль.
Мы переслушали звонок мошенника на телефон Юрия и услышали, что были названы все данные — настоящий номер телефона, код из звонка для авторизации в Ozon, а также код из СМС для восстановления доступа к аккаунту в банке.
К сожалению, мошенники идут на разные уловки и с помощью социальной инженерии «вытаскивают» из жертв все данные, даже если это 2 или 3 фактора безопасности. Как произошло и в конкретном случае, который описан в статье.
Получается, что Юрий сам пренебрёг основами безопасности, излишне доверившись продавцу с Ozon (к тому же, тот представился представителем торговой площадки). Не будь он столь доверчивым, не попался бы на уловки мошенников.
