Czy można kupić płytę indukcyjną za złotówkę zamiast za 1999 PLN? Można, trzeba tylko najpierw włamać się na cudze konto IKEA Family i wykorzystać znaleziony tam kod rabatowy. Posłuchajcie historii ofiary takiej kradzieży.
Cztery dni temu opisaliśmy ciekawy atak na konta klientów sklepu IKEA. Ktoś wykorzystywał loginy i hasła wykradzione z innych serwisów, by zdobywać dostęp do kont w programie IKEA Family, a następnie wykradał stamtąd kody rabatowe. IKEA po pewnym czasie atak wykryła i konta zablokowała – jednak wygląda na to, że złodzieje działali już co najmniej od początku maja. Ale po kolei.
Ktoś był na moim koncie, ktoś używał moich kodów
Zgłosił się dzisiaj do nas Radek, który pokazał, jak stracił kod wart 2000 PLN. Nie mamy 100% dowodów, że historia Radka jest związana z tym samym incydentem, ale moment zdarzenia oraz jego przebieg pasują do historii włamań na konta IKEA Family ujawnionej 9 dni po kradzieży.
Radek jest regularnym klientem sklepów IKEA i użytkownikiem karty IKEA Family. Gdy 14 maja dostał powiadomienie o możliwym nieautoryzowanym dostępie do jego konta i konieczności zmiany hasła, zalogował się i hasło zmienił. Jak sam przyznaje, nie przejrzał wtedy historii transakcji. Gdy dwa dni później chciał zrobić zakupy, zauważył, że na koncie brakuje kodu rabatowego na 2000 PLN. W historii transakcji znalazł za to taką, której nie pamiętał.
Radek był pewien, że nie robił zakupów 4 maja za 1 PLN. Gdy zajrzał w szczegóły transakcji, znalazł tam taki oto widok:
Teraz nie miał już wątpliwości – płyta indukcyjna HÖGKLASSIG, standardowo kosztująca 1999 PLN, została przez kogoś kupiona za 1 PLN (opłacone gotówką w sklepie w Łodzi). W tym samym momencie jego kod rabatowy o wartości 2000 PLN został zredukowany do kwoty 2 PLN, co odpowiada różnicy po nieautoryzowanej transakcji.
Szybki zakup, szybka sprzedaż
Radek bez problemu odnalazł swój towar wystawiony na sprzedaż w internecie. Co ciekawe, ten sam sprzedawca oferuje także inne podobne towary produkowane przez IKEA, wystawione kilka dni po feralnej transakcji.
Radkowi pozostało zgłosić sprawę na policję i reklamację do sklepu IKEA. Niestety z żadnego z tych miejsc na razie nie otrzymał odpowiedzi.
Morał z tej historii
We wszystkich miejscach, gdzie przechowujecie coś stanowiącego instrument płatności lub jego równowartość (serwisy z podpiętą kartą płatniczą, kupony rabatowe czy nawet gry online z wartościowymi przedmiotami), używajcie unikatowych haseł. Unikatowe hasła przechowujcie w menedżerze haseł. A gdy dostajecie informacje o incydencie bezpieczeństwa, sprawdzajcie od razu historię transakcji.
Jak jeszcze zadbać o bezpieczeństwo swoich kont w sieci? Mówimy o tym podczas naszego kursu wideo Bezpieczeństwo Dla Każdego. W prostych słowach tłumaczymy, jak podnieść bezpieczeństwo swoich kont i unikać sytuacji stresowych towarzyszących ofiarom wycieków. Do tego kurs zawiera 23 inne tematy, ważne dla każdego użytkownika sieci – każdy znajdzie tam coś ciekawego.
Komentarze
Ofiary to głównie wygodni użytkownicy aplikacji IKEA z e-kartą na smartfony. Bezmyślność i nauka bezpieczeństwa kosztowała w tym przypadku 2000 zł.
W jaki sposób pan Radek „bez problemu odnalazł swój towar wystawiony na sprzedaż w internecie”.
Jaki? Sraki!
Przekop portale sprzedażowe takie jak OLX, gdzie aby założyć konto i żenić wszystko co popadnie, nie trzeba w żaden sposób się uwierzytelniać, np. numerem telefonu, dowodem osobistym, itp.
To żadna „wiedza tajemna”.
A po czym poznał, że wystawiony egzemplarz, to „jego” płyta?
Jeśli w całym internecie poza sklepem IKEA jest jedna oferta tego towaru, wystawiona kilka dni po tym, jak doszło do transakcji, to wnioskowanie nie zajmuje wiele czasu.
Na całym olx jest tylko jedna taka płyta. Z Łodzi za 500 mniej niż w sklepie.
„Ktoś wykorzystywał loginy i hasła wykradzione z innych serwisów, by zdobywać dostęp do kont w programie IKEA Family, a następnie wykradał stamtąd kody rabatowe.”
Panie Radku, no to teraz już Pan będzie wiedział :).
Co robimy? No?
„używajcie unikatowych haseł”
Taaak jest! :)
I dwa koła pooooszły… w świat. Ale nauka kosztuje, nie ma przebacz.
piszecie o jakiejś nauce a skąd ona ma się wziąć? przecież okradzeni ludzie myślą że zrobił to „wirus” przez „kliknięcie w linka”. skąd mają się dowiedzieć o menedżerach haseł?
Radkowi pozostało zgłosić sprawę na policję i reklamację do sklepu IKEA. Niestety z żadnego z tych miejsc na razie nie otrzymał odpowiedzi.
——-
I nie DOSTANIE… Taka prawda.
Nie no od pisarskich dostanie kwit że sprawcy nie udało się wykryć xD
Fake news. Na koncie IKEA FAMILY po użyciu vouchera nie zmienia się kwota vouchera widoczna na koncie klienta. Sprawdzić saldo mozna tylko w BOK lub w sklepie
Cała opisana sytuacja zdarzyła się i mnie. Feralnego dnia 04,05,2020 najprawdopodobniej ktoś wykorzystał mój kod rabatowy w sklepie Ikea Łódź- jak nie wiem. Na koncie Ikea Family widać wartość Vouchera ale już wyzerowanego. Ikea przyjęła reklamację i czekam na odpowiedź ale jak się zdarza w PL do momentu rozpatrzenia reklamacji towar zakupiony na mój kod będzie już służył nowemu właścicielowi. Jeśli komuś się zdarzyła taka sytuacja proszę poszukać na portalach sprzedażowych kupionego towaru na kod rabatowy.Jeśli macie pomysł na odnalezienie sprawcy proszę o wypowiedź.
Mieliśmy dokładnie ten sam problem – dostaliśmy rabat na kolejne zakuoy w wysokości 2.000 PLN, a ponieważ w czasie koronawirusa sklepy IKEA były zamknięte nie mogliśmy wcześniej zrealizować naszego kuponu. W połowie maja 2020 postanowiliśmy zrealizować bon podczas zakupów – niestety na miejscu, przy kasie okazało się, że ktoś wcześniej skorzystał już z naszego kodu promocyjnego (w CH. Janki pod Warszawą). Złożyliśmy na miejscu reklamację i czekaliśmy na odpowiedź – dzisiaj otrzymaliśmy oficjalne pismo z Ikea:
[…]
Dziękujemy za złożoną reklamację i szczegółowe opisanie okoliczności zdarzenia.
Wyrażamy ubolewanie z powodu niedogodności, których doznał Pan w związku z jego wystąpieniem.
Na podstawie wnikliwej analizy okoliczności faktycznych zgłoszonej przez Pana sprawy informujemy, że opisane przez Pana zdarzenie jest wynikiem ataku przeprowadzonego na konta IKEA Family przy użyciu zaawansowanych narzędzi i stanowiącego czyn o charakterze przestępczym, za który IKEA nie ponosi odpowiedzialności.
Niemniej jednak, chcąc zrekompensować Panu ewentualne niedogodności w związku z zaistniałym zdarzeniem, podjęliśmy decyzję o przyznaniu Panu nowego kodu rabatowego o wartości równej wartości kodu, który został wykorzystany w sposób nieuprawniony w efekcie ww. ataku o charakterze przestępczym.[…]
Na koniec chciałbym odnieść się do komentarzy mówiących o bezmyślności użytkowników i braku nauki z zakresu bezpieczeństwa IT – Użytkownicy zabezpieczają się tak jak umieją najlepiej – nie są bezmyślni i mają prawo żeby nie znać „dobrych praktyk z zakresu IT”. Natomiast firmy posiadające systemy IT powinny mocno inwestować w kwestie bezpieczeństwa, dzięki którym takie ataki po prostu by nie miały miejsca. Pozdrawiam