Aktualność
Adrian Kotowski, Czwartek, 17 lipca 2014, 17:17

PayPal znany jest chyba każdemu użytkownikowi. System płatności reklamowany jako szybki i bezpieczny ma jednak wiele luk, które sprawny cyberprzestępca z łatwością wykorzysta. Gorzej, gdy ofiarą stajemy się my, a „rekompensatą” za bycie poszkodowanym jest wezwanie do uregulowania ujemnego salda na rachunku.

W sieci już od jakiegoś czasu pojawiają się informacje o dziwnych perypetiach użytkowników z systemem PayPal i firmą windykacyjną Bertelsmann Media Sp. z o.o., odziałem firmy avtaro services Polska. Wielu z nich otrzymało wezwania do uregulowania ujemnego salda na swoim koncie na kwoty rzędu około 2000 zł. Co ciekawe, większość z tych osób nie korzystała od jakiegoś czasu z usług amerykańskiego giganta płatności internetowych i nie wypłacała jakichkolwiek środków.

PayPal

Jeszcze ciekawszy wydaje się być fakt, że spora grupa użytkowników posiadała powiązane z PayPalem konta w banku Alior Sync (obecnie należącym do T-Mobile). Wielu pokrzywdzonych twierdzi, że właśnie to jest kluczem do wyjaśnienia zagadki dziwnych wpłat i wypłat z ich rachunków. PayPal i/lub Sync mogły zostać celem ataku cyberprzestępców, dzięki któremu ci ostatni uzyskali dostęp do kont klientów.

Cały proceder jest z perspektywy użytkownika mającego doświadczenie z PayPalem bajecznie prosty. Wykorzystywana jest luka dotycząca zwrotów płatności. Osoba pierwsza przesyła na konto A (wasze konto) powiedzmy 2000 zł z konta B. Następnie loguje się na Wasze konto i przelewa wcześniej przetransferowaną kwotę na swoje konto C. Wtedy tworzy spór z konta B o nieautoryzowaną transakcję lub niedostarczenie przedmiotu. Tym samym na koncie A, które jest już wyzerowane zostaje zablokowane 2000 zł (tworzy się więc debet), a saldo na koncie B powiększa się o przelaną na samym początku kwotę. Cyberprzestępca może cieszyć się dodatkowymi 2000 zł, a użytkownik zostaje z długami, które PayPal nakazuje mu spłacić.

Okazuje się, że osób, które padły ofiarą tego typu ataku jest naprawdę sporo. Wszystkie też mają problemy ze wspomnianą na początku firmą windykacyjną działającą z polecania PayPala. Użytkownicy skarżą się na podejście do sprawy obu podmiotów, ale przede wszystkim na bierność giganta rynku płatności elektronicznych. Co prawda są sprawy rozstrzygane na korzyść poszkodowanych, ale jest ich niewiele, bo PayPal ma bardzo specyficzne procedury. Dość powiedzieć, że aby oskarżyć kogoś o wyłudzenie lub nieotrzymanie towaru wystarczy złożyć taką deklarację. Nie musimy, tak jak jest to choćby w przypadku PayU, pójść na policję, złożyć zawiadomienie o popełnieniu przestępstwa i podać systemowi numer sprawy. Oszust chcący cofnąć nam wpłatę może to więc zrobić bez większego problemu. Dodatkowo PayPal bardzo często wysyła prawie automatyczne odpowiedzi, które niewiele tłumaczą użytkownikowi i w żaden sposób nie odpowiadają na jego zapytanie.

Polecamy zajrzeć od czasu do czasu na swoje konta PayPal, szczególnie te od dłuższego czasu nieużywane. Warto monitorować sprawę, by nie stać się jedną z osób pokrzywdzonych przez cyberprzestępców wykorzystujących luki w systemie płatności. Najbezpieczniejszym wyjściem jest przede wszystkim zmiana hasła i lepsze zabezpieczenie swoich kont.

Jak robić bezpiecznie zakupy w sieci? Poradnik

AKTUALIZACJA (17.07.2014 17:17)

Otrzymaliśmy oficjalne oświadczenie od polskiego biura prasowego firmy PayPal, które brzmi następująco:

W odpowiedzi na artykuł z 15 lipca 2014 pt. „PayPal - problemy tysięcy użytkowników z naliczaniem ujemnego salda za nieautoryzowane płatności”, który ukazał się na łamach portalu PCLab.pl, informujemy, że sytuacja, którą opisał autor jest próbą tzw. „phishingu”, w ramach którego oszuści, podając się za legalną firmę, starają się dokonać kradzieży poufnych danych osobowych Użytkowników systemu PayPal.

Zgodnie z postanowieniami Umowy z Użytkownikiem usługi PayPal, na mocy punktu 12.4, PayPal pomaga chronić Użytkowników przed nieautoryzowanymi transakcjami. Użytkownicy muszą zgłosić przypadek nieautoryzowanego dostępu do konta nie później niż w ciągu 13 miesięcy po zdarzeniu i po potwierdzeniu zaistniałego incydentu firma PayPal może pomóc im w odzyskaniu pełnej kwoty, na jaką opiewały nieautoryzowane transakcje wysłane z konta Użytkownika.

Firma PayPal oświadcza jednocześnie, że wszelkie trudności związane z obsługą Klienta wspomniane w  artykule stanowią subiektywną opinię autora i według wiedzy firmy nie mają odzwierciedlenia  w rzeczywistości.

PayPal zwraca się do wszystkich Użytkowników z prośbą o zgłaszanie prób „phishingu”, poprzez przesyłanie wszelkich podejrzanych adresów e-mail lub stron internetowych na adres spoof@paypal.com. Użytkownicy PayPal, którzy sądzą, że mogli paść ofiarą uzyskania nieautoryzowanego dostępu do ich kont, mogą skontaktować się z Biurem Obsługi Klienta w języku polskim pod numerem 801 38 66 86, a także zalogować się na swoje konto PayPal na www.paypal.pl w celu skorzystania z opcji otwarcia sporu. Jako że firma PayPal stawia na pierwszym miejscu bezpieczeństwo kont i danych Użytkowników, każde takie zgłoszenie jest traktowane bardzo poważnie.

Komentarz redakcji PCLab.pl: problem opisany w naszym materiale spotkał w ostatnich dniach jednego z naszych współpracowników. Okazało się, że wyłudzenie pieniędzy nastąpiło w sposób opisany również w innych mediach:

Interwencja w amerykańskim oddziale firmy PayPal odniosła skutek i saldo konta zostało wyzerowane.

Konkurs Palit Polska
Ocena aktualności:
Ocen: 3
Zaloguj się, by móc oceniać
maybach91 (2014.07.15, 11:39)
Ocena: 16

0%
Z zakupami na eBay było podobnie. Oszust kupił jakiś towar, zapłacił PayPal, kupujący wziął kasę i wysłał towar a potem kupujący zgłosił nieautoryzowana transakcje i sprzedający został bez towaru i z debetem na PayPal. Jak dla mnie to PayPal powinien pójść do sądu za pomaganie w oszustwach.
Edytowane przez autora (2014.07.15, 11:42)
Telvas (2014.07.15, 11:54)
Ocena: 9

0%
Ationx @ 2014.07.15 11:38  Post: 766696
Paypal to dziadostwo tak samo jak wiele innych serwisów pośredniczących w transakcjach online. Paypala założyłem tylko dlatego, że raz chciałem kupić paczkę gier na bundlestars, a nie było możliwości zapłacenia kartą :/ Teraz do niczego innego nie jest mi potrzebny.

A więc uważasz, że podawanie karty w kilkudziesięciu miejscach w sieci podczas robienia zakupów jest bezpieczniejsze?

Przykro mi, ale każde ułatwienie jest za jakąś cenę. Przeciwnicy kont bankowych też twierdzą, że to niebezpieczne. Bank padnie i masz problem. Lepiej trzymać w skarpecie. Albo w złocie, bo waluta też może paść.
Edytowane przez autora (2014.07.15, 11:55)
Marucins (2014.07.15, 12:24)
Ocena: 3

33%
Rezygnacja z usługi PayPal - ABSURD - czyżby został tworzony grunt pod kolejną usługę płatności elektronicznej?
Jestem ciekaw komu zależy na takim wizerunku firmy.

'PayPal i/lub Sync mogły zostać celem ataku cyberprzestępców, dzięki któremu ci ostatni uzyskali dostęp do kont klientów.'

Jeśli nastąpiło włamanie to pierwsze co powinniście zasugerować to zmiana hasła!
Telvas (2014.07.15, 12:44)
Ocena: 12

0%
Ationx @ 2014.07.15 12:34  Post: 766716
@Telvas
Kartę podaję tylko w paru miejscach i to jeszcze nie przypisuje jej do konta, za każdym razem wklepuje od nowa dane. Tylko skoro moje ewentualne dane do konta bankowego mogą wypłynąć jednakowo łatwo z paypala jak i z jakiegoś tam serwisu w jakim zapłaciłem kartą to po co mam im płacić dodatkowe opłaty za różnego rodzaju przewalutowania i inne pierdoły? W banku nawet za przewalutowanie przy płatności kartą zapłacę mniej niż u nich.

1. Poprosiłeś o nie zapisanie karty? To poproś też oszusta, żeby Cię nie okradał.
2. Nikt ci nie każe płacić PayPalowi za przewalutowanie. Przecież możesz obciążyć rachunek karty w oryginalnej walucie i wtedy przewalutowanie masz na zasadach wystawcy karty.
3. Podanie danych karty nawet w 'jedynie' kilku miejscach jest bardziej niebezpieczne, niż podanie w jednym jedynym.

PayPal nie jest idealny, ale jest narzędziem pozwalającym ogarniętemu użytkownikowi znacząco zredukować niebezpieczeństwa płatności w sieci. No i jest pstryczkiem w nos lobby bankowego, co niektórzy uważają za zaletę, inni za wadę.
Edytowane przez autora (2014.07.15, 12:45)
cdarek (2014.07.15, 13:34)
Ocena: 8

0%
Paypal wystawia na dodatkowe ryzyko - o czym można poczytać zarówno ze strony sprzedawców jak i kupujących. Nie ma jasnych zasad blokad kont, nie ma jasnych zasad ustalania odpowiedzialności przy chargebacku.

Także trudno mówić o redukcji tylko dlatego, że nie podaje się nr karty. Duże firmy muszą spełniać pewne standardy, żeby w ogóle przeprowadzać transakcje kartami i mało która z nich zapisuje dane karty lub w ogóle je przetwarza (np. Amazon zapisuje do celów zakupów po jednym kliknięciu), bo to są dodatkowe koszty. Także dopóki się kupuje tylko w dużych sklepach, nie ma większego ryzyka dla technicznie rozgarniętego użytkownika, bo dane karty nigdy nie wędrują do sklepu.
scooby (2014.07.15, 14:26)
Ocena: 7

0%
Podajesz dane karty i te dane moga byc wykorzystane nawet setke razy, nic absolutnie nie zablokuje tego chyba, ze zastrzezesz sobie karte ale nawet i wtedy niektore transakcje moga byc wykonane w okreslonych warunkach. O tyle o ile Visa czy MasterCard wprowadzili dodatkowa warstwe zabezpieczajaca do transakcji online ale to jest tylko statyczne haslo.

W przypadku PayPal'a kazda transakcja wymaga autoryzacji a gdy komus to nie wystarczy to jest tez dodatkowy generator hasel ktory mozna miec dopisany do konta (wyglada jak karta kredytowa) dzieki ktoremu nawet gdyby ktos znal haslo dostepu do konta to juz hasla generowanego nie obejdzie.
P.S. Ten sam generator hasel moze byc uzywany do eBay'a.

W przypadku karty i braku kazdorazowej autoryzacji nie wiesz czy ktos zrobil nawet glupim telefonem zdjecie twojej kredytowki (wszyskie dane do takiej transakcji sa widoczne na karcie) i wlasnie zamawia sobie nowe 50cali.
ext (2014.07.15, 15:36)
Ocena: 2

0%
W citi transakcje online kredytówką są zabezpieczane kodem sms.
liko (2014.07.15, 20:36)
Ocena: 3

33%
Visa ma zaś swój system Verified By Visa wiec tak źle nie jest - pod warunkiem, że w nim uczestniczymy :)
Zaloguj się, by móc komentować
Aktualności
Dużo tu rowów i dziurek. 9
Bitcoin upada... coraz wyżej. 30
Hybrydowy tablet ze Snapdragonem 835. 4
Szybciej, lepiej, z mniejszą mocą. 26
Drugie wejście do tej samej rzeki. 24
Montana wiosną ponoć też jest piękna. 19
Walec go przejechał. Zotac przedstawił swój najnowszy komputer dla gracza - MEK1. 7
Model do typowych zastosowań. 15
Facebook
Ostatnio komentowane