Luka w płatnościach Allegro. Problemem PayU i przelew tradycyjny

Sprzedawcy na Allegro mogą niespodziewanie paść ofiarami oszustów, którzy wykorzystują niedoskonałość systemu płatności PayU. Jak się okazuje, możliwość zapłaty za zamówienie przelewem tradycyjnym otwiera drogę do stosunkowo prostego przekrętu.

Problem z systemem płatności na Allegro opisali w swoim materiale twórcy kanału Łowcy Okazji na YouTubie. Zwrócił się do nich jeden z widzów opisując własny przypadek licznych wezwań na policję i do sądów z tytułu rzekomo niezrealizowanych wysyłek ubrań oferowanych w serwisie Vinted. Widz posiada sklep z elektronicznymi kluczami na Allegro, ale o istnieniu Vinted wcześniej nawet nie słyszał.

Okazuje się, że ktoś opracował stosunkowo prostą metodę oszustwa, która wykorzystuje lukę w systemie płatności PayU. Scenariusz jest następujący:

  1. Oszust zamawia na Allegro produkt i decyduje się zapłacić za niego przelewem tradycyjnym przez PayU. Zapisuje wygenerowany numer konta i kwotę.
  2. Oszust wystawia w serwisie Vinted ubranie na sprzedaż w okazyjnej cenie (min. w wysokości zamówienia na Allegro, najczęściej w nieco wyższej – zaokrąglonej do równej kwoty) i znajduje chętnego na zakup.
  3. Klient w serwisie Vinted przelewa kwotę za ubranie na podany numer konta, w praktyce opłacając zakup oszusta na Allegro. Okazuje się, że system płatności PayU – wbrew zapewnieniom – nie sprawdza danych poza numerem konta. Wyższa kwota, inne dane zamawiającego czy tytuł przelewu nie mają znaczenia.
  4. Rusza realizacja zamówienia na Allegro. Sprzedawca widzi tylko informację, że zamówienie zostało opłacone. Docelowo oszust otrzymuje zamówiony produkt.
  5. Oszukany klient z serwisu Vinted, który nie otrzymał zamówionego ubrania, zgłasza sprawę na policję, a ta po numerze konta, za pośrednictwem PayU, dochodzi do sprzedawcy na Allegro, który zostaje oskarżony o niewysłanie rzekomo wystawionych ubrań w serwisie Vinted.

Co ciekawe, czego dowodzi opisywany przykład, rozwiązanie takich spraw nie jest szczególnie proste. W trakcie śledztwa wychodzi bowiem na jaw, że kupujący-oszust zakładał konta na Allegro na fałszywe dane i dojście do właściwej osoby jest, jeśli nie niemożliwe, to w krótkim czasie bardzo trudne. Zdaniem poszkodowanego, jedyną metodą uniknięcia w przyszłości podobnych przypadków jest dezaktywacja przelewów tradycyjnych w PayU, ale Allegro nie zamierza tego robić.

Lukę można jednak „załatać” łatwiej, wymuszając weryfikację wszystkich danych na etapie przelewu. Obecnie bowiem komunikat czytelnie zabraniający zmiany tytułu i kwoty przelewu tradycyjnego w PayU nie ma umocowania w sposobie, w jaki działa cały system. Przelanie wyższej kwoty skutkuje tylko mało widocznym komunikatem o wyższej kwocie w systemie sprzedawcy na Allegro, ale główny przekaz jest jasny – zamówienie jest opłacone i to bez względu na tytuł przelewu.

Podziel się postem :)

Share on facebook
Share on linkedin
Share on twitter
Share on email

Najnowsze:

Bezpieczeństwo

Najlepszy antywirus 2021, który wybrać?

Jak działają antywirusy? Który pakiet ochronny jest niezawodny? Z tym pytaniem zmierzyło się laboratorium AV-TEST, które przez dwamiesiące badało pakiety zabezpieczające dla użytkowników domowych. Programy zbadano pod kątem ochrony,

Bezpieczeństwo

Twój smartfon był szpiegowany? MVT pozwoli to sprawdzić!

Serwis Computerworld przypomniał o aplikacji Mobile Verification Toolkit (MVT), która została opracowana przez Amnesty International, organizację zajmującą się wszelkimi naruszeniami praw człowieka. Aplikacja w formie

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.