E mai mult vina mea decât meritul lui. Am folosit o parolă simplă și mai veche pentru contul de Tazz, pe care o foloseam pe vremuri pe mai multe site-uri cărora nu le dădeam prea mare importanță. Doar că ulterior EuCeMănânc s-a transformat în Tazz, am început să dau comenzi, am adăugat cardul de credit și am lăsat așa parola. Așa că…
Ieri pe la ora 16:20 sună telefonul. Un număr de fix de Vodafone. De regulă nu răspund la d-astea că știu că ori sunt sondaje ori cineva care vrea să-mi propună cine știe ce colaborare pentru business. De data asta am răspuns.
- Bună ziua, vă sun în legătură cu o comandă de la Tazz! În primul rând trebuie să vă avertizez că acest apel este înregistrat. Este în regulă să continuăm?
- Ăăă… da, ok, e în regulă… nu știu despre ce comandă vorbiți… cred că este o greșeală. Nu am dat nicio comandă astăzi. N-am mai dat de ceva timp o comandă la Tazz.
- Îmi puteți spune email-ul dumneavoastră?
(Inițial am crezut că-i un curier care a greșit numărul, dar întrebarea asta m-a trigger-uit, că un curier n-avea de ce să-mi ceară email-ul. M-am prins că mă sună cineva “din centrală”, dar dacă ar fi cineva de la Tazz, cum de mă sună fără să-mi știe nici măcar mailul? Întâmplător eram în fața laptopului așa că deja deschideam tazz ca să văd despre ce este vorba)
- Cum de îmi cereți mailul? Adică la ce vă trebuie, din moment ce eu n-am dat nicio comandă și este o greșeală.
- Păi tocmai … ca să verificăm dacă este o greșeală.
Moment în care mi se încarcă site-ul tazz, mă duc la comenzile mele și bum, mă lovește:
Nu una, nu două, ci zece comenzi a câte un card cadou în valoare de 100 de lei cu livrare de la Decathlon Iași.
Prima dată când am văzut numele acolo sus, “Ursache”, am zis că probabil e vreo eroare. S-o fi făcut vreun la o bază de date și s-a suprapus numărul meu de telefon cu contul altcuiva. Doar că apoi am luat la verificat toate secțiunile contului și m-am prins că nu este așa. De fapt acesta chiar era contul meu. M-am prins rapid ce s-a întâmplat.
Cineva a găsit probabil acea parolă de doi lei pe vreun forum pe unde mai postează băieții dump-uri de parole și mailuri furate de la vreun site cu securitatea la pământ. Apoi acest “Ursache” s-a gândit să încerce combinația de mail + parolă și pe site-ul tazz și i-a mers. Următorul pas a fost să schimbe numele, să îmi deselecteze cardul virtual drept primary payment (deh, m-a dus capul la card virtual dar nu m-a dus la o parolă mai complexă), să-l seteze pe cel de la ING drept primary, să îmi dezactiveze notificările primite pe mail și să se pună pe comandat.
Strategia lui a fost să cumpere produse până în 100 de lei, ca să nu primesc notificare de la ING care să mă pună să aprob tranzacția. A ales un “produs” ce poate fi folosit sau revândut ușor. Un card cadou de la Decathlon.
Ok, dar cum ar fi intrat în posesia cardurilor? Numărul de telefon nu mi l-a putut schimba din cont. Dar mi-a schimbat adresa de livrare și a pus generic “Strada Conductelor” din Iași, iar la notă a scris “NU sunati la tel! Sunt afara”. Planul lui probabil era să aștepte undeva pe stradă să preia cardurile de la curier și să spere că acel curier nu va suna pe numărul meu de telefon.
Doar că celor de la Tazz li s-au părut suspecte aceste tranzacții și m-au sunat pe mine să mă întrebe despre ce e vorba.
Oricum, cine a făcut asta nu-i vreun hacker ci cel mai probabil vreun copilaș care a acționat cum l-a dus capul. Chiar dacă celor de la Tazz nu li s-ar fi aprins beculețele, oricum mi-ar fi cerut ING să aprob tranzacțiile, pentru că cei 19 lei pentru livrare ridicau valoarea comenzii la 119 lei. Și chiar dacă ar fi trecut una sau două tranzacții, la a treia probabil că mi-ar fi cerut să confirm. Și chiar dacă ar fi trecut de toate aceste sisteme… sunt absolut convins că oricum m-ar fi sunat curierul de la tazz cu “Bună ziua, de la tazz vă deranjez, am ajuns la adresă!!!”.
Când m-am uitat în ING, tranzacțiile erau în procesare. Probabil din cauza asta nici nu am primit notificare push. Dacă s-ar fi aprobat, aș fi primit și notificare pe telefon. D-asta zic că tipul e amator. N-ar fi funcționat niciodată planul lui Ursache.
În fine, cei de la tazz au dat rapid revert la tranzacții, banii sunt acolo unde ar trebui să fie. Iar eu mi-am schimbat parola cu una mai complicată (să-mi fie învățătură de minte). Singurul lucru de care-mi pare rău este că n-au vrut să sune la poliție și să trimită un agent cu geantă de tazz în spate la acea adresă pentru un flagrant, ca să-i livreze o vizită la secție lui Ursache.
P.S: Și iată de ce nu trebuie să folosiți aceeași parolă simplă pe mai multe site-uri, copii!
UPDATE: Cei de la Tazz au făcut un raport intern și m-au sunat și a doua zi, ca să îmi prezinte concluziile. Mi-au zis ce știam deja, că e din cauza parolei slabe folosită și pe alt site, că nu a fost compromis vreun sistem de-al lor de securitate care apoi să expună parola sau datele mele. Mi-au spus la ce date a avut acces Ursache și ce mă sfătuiesc ei în continuare (să raportez frauda la bancă, chiar dacă aceasta a fost stopată, să schimb cardul) șamd. Teoretic, sunt obligați să facă această informare conford GDPR, dar nu mă așteptam să fie așa profi. Bravo lor că au făcut chasing pe acest caz!
Wooow bie că întâmplarea are un happy end fericit …. și când ai crede (și în cazul meu) că unei simple aplicație de comandat mâncare etc nu trebuie să îi acorzi mare atenție și poti pune o parolă oarecare,eh ce sa vezi că nu e chiar așa.
Mă bucur cu banii au ajuns de unde plecase și da mi sa aprins un beculeț după citirea articolului.
Da, eu începusem deja să schimb parolele, că mă avertizează Google care sunt cele cu probleme, doar că am început în ordine alfabetică și Tazz este pe la finalul alfabetului, așa că nu ajunsesem la el.
Card virtual de Revolut peste tot online si sa faci top-up mereu.
Da, aveam și eu card virtual Revolut setat aici. Dar am uitat să-l scot pe cel de ING.
Bine că s-a terminat cu bine, însă cam nelalocul ei conotația pe care ai dat-o în articol și anume “planul moldoveanului”, just saying.
Am schimbat. Dar n-am vrut să-i dau nicio conotație, decât de “locuitor al regiunii geografice care este compusă din județele Iași, Vaslui, Galați, Vrancea, Botoșani, Neamț și Bacău.”. Și drept dovadă în titlu am scris din start “un băiat din Iași”. Am zis totuși să schimb, că trăim niște vremuri în care cu toții suntem mai încordați și nu vreau să se înțeleagă altceva.
De ce nu utilizezi un manager de parole? Ții minte o singură parolă, generezi parole sigure pentru orice serviciu, poți schimba parolele care nu îndeplinesc un anume standard de siguranță etc.
Folosesc LastPass. Dar nu mă înțeleg prea bine cu el, mereu mi se pare că mă încurcă. Ba uit parola la LastPass, ba nu găsesc acolo parola de la cine-știe-ce serviciu la care am făcut cont pe un smartphone pe care nu aveam LastPass instalat șamd. În ultimul timp însă Google a implementat o funcție foarte bună de management a parolelor și o folosesc pe aceea.
Ai scapat usor.
BitWarden pt parole, accesibil din WindowsApp (luat din store), pe Android inlocuieste managerul de parole din browser (care apropo nici ala nu e safe) iar pe Android te poti loga cu PIN/Amprenta. Se sincronizeaza intre ele si e free.
+ ca are si functie de generator de parole.
Sigur are si iOS.
Urmatorul pas e sa activezi MFA (multifactor authentication) peste tot unde exista. Per ansamblu poate parea bataie de cap, si poate e pana te obisnuiesti, insa numarul de hackuri/atacuri e in cresteri si oricum ne va afecta candva. Microsoft Authenticator vad ca a primit rol si de password manager (n-am testat) si unealta pt confirmat MFA.
Poți adăuga 100% la orice final de parolă pe care deja o folosești (ex: parolata100%) și e deja Army Standard de siguranță. 🙂
Eu merg pe urmatoarea schema, toate cardurile bancare au platile pe net dezactivate, mai putin unul pe care il am din facultate. Pe respectivul card tin mereu 100ron. Doar daca am o achizitie mai mare mut cand fac plata.
Pentru site-uri externe sau suspecte trec prin umbrela cardului virtual de pe Revolut.
Si cu astea esti acoperit, sau asa ar trebui.
Și eu am fost “fraudat” azi, 12 februarie 2023, in aplicația tazz. Doar că am fost mai ghinionist si mi-au luat banii de pe card.
Am avut toată noaptea telefonul la încărcat, cu internetul oprit (și cu bluetooth și nfc oprite, bineînțeles). Pe la 5 și jumătate nu aveam somn, am pornit internetul și am primit notificare de la aplicația băncii (BT, prin BTPay) în care mi se cerea să confirm o plată online la tazz, in valoare de 180 lei. Am inceput să mă agit mental și am deschis aplicația tazz. Culmea, eram delogat. M-am relogat și am descoperit 5 tranzacții între aproximativ ora 3 și 5 dimineața. O tranzacție de 180 lei era anulată, una livrată și 3 in curs de livrare. Cea livrată era de 80 lei, restul in curs de livrare de 80, 90 respectiv 120 lei. Am inceput să mă agit și fizic, să mă panichez (cu toate manifestările specifice), m-am uitat mai bine în aplicația tazz și apărea activă o adresă din București – Aleea Barajul Rovinari 17, cu mențiunea “sunati ma can ajungeti jos dorm copiii” și un număr de telefon străin, 0770317919.
Am deschis aplicația băncii și apăreau 4 tranzacții efectuate.
În tazz aveam salvat cardul BT de la niște comenzi anterioare.
Pe email primisem, pe la ora 3 dimineața, un mesaj de la tazz cu textul “Salut, Ne bucurăm că ai ales Tazz. Ți-am pregătit un cadou de bun-venit”.
Trag concluzia că cineva s-a logat în cont, probabil cu parola slabă pe care o setasem (și care mai mult ca sigur se regasea in te miri ce liste cu conturi și parole sparte/furate), a modificat numărul meu de telefon cu al lui, a adăugat și activat ca primară o adresă anume și a purces la cumpărături.
Ce a cumpărat? 3 shaorme și băuturi alcoolice.
Ceea ce mă miră e cum s-au autorizat tranzacțiile?! Prima comandă, de 180 lei, nu a fost autorizată deoarece nu am autorizat-o eu din BTPay (oricum dormeam) și a fost anulată. Dar restul? Nu mi-au apărut notificări cu ele in BTPay iar cei dea bancă mi-au transmis că totuși sunt autorizate.
Am început să schimb parole, să elimin carduri înrolate in te miri ce aplicații, am blocat cardul definitiv și, înainte de toate acestea, am reușit să transfer suma rămasă din contul BT în alt cont, la altă bancă. Sper să nu am probleme și cu acesta…
Salut. Mihai, in aceeasi situatie sunt si eu- mail de bun venit, nu ar schimbat in contul de tazz, platinfacute de pe card, neanuntat de aplicatia ing deloc…ce s-a mai intamplat cu situatia ta? Ai recuperat banii? Sau ai ramas pagubit?