10:30
6/9/2011

Od kilku dni na Allegro wystawiane są aukcje na przejętych kontach. Złodziej prosi o wpłaty na rachunek bankowy należący do właściciela Bitomat.pl — polskiego kantora waluty Bitcoin. Środki trafiające na ten rachunek automatycznie zasilają konto złodzieja w serwisie umożliwiającym wymianę złotówek na Bitcoiny, czyli teoretycznie anonimową, kryptograficzną, wirtualną walutę internetową.

Na czym polega przekręt?

Historię oszukanych w szczegółach opisuje elektroda.pl. My chcielibyśmy tylko uczulić na proces “prania” pieniędzy i opisać przepływ gotówki.

BitCoin

BitCoin

W skrócie:

  1. X przejmuje konto Allegro należące do Y (np. przy pomocy trojana lub phishingu)
  2. X wystawia na koncie Y “atrakcyjną” aukcje (ostatnio głównie vouchery, ale to może się zmienić)
  3. X prosi wygranych o zapłatę przelewem na rachunek bankowy, który należy do właściciela serwisu Bitomat.pl i pełni rolę “wpłatomatu” — numer rachunku: 56 1140 2004 0000 3902 2021 9372. W tytule przelewu trzeba koniecznie podać identyfikator postaci: MTG84138X.
    Nadmieńmy tu, że Bitomat.pl po “awarii” ciągle nie działa (por. Awaria Bitomat.pl – Polacy stracili swoje bitcoiny), został jednak przejęty przez MtGox i trwają prace nad połączeniem obu serwisów. Przelew wykonany na powyższe konto sprawi, że środki zostaną automatycznie przetransferowane na konto użytkownika MtGox o identyfikatorze MTG84138X. Konto zapewne jest założone z zachowaniem anonimowości (TOR, etc.)
  4. X widząc złotówki na swoim koncie, kupuje za nie BitCoiny
  5. X transferuje BitCoiny z serwisu na do swojego portfela.
  6. X pierze BitCoiny. Ze swojego portfela przemieszcza gotówkę (w częściach) na inne adresy BitCoinowe należące do niego, a następnie za pomocą nowej tożsamości może je z powrotem wprowadzić na Bitomat.pl i już oficjalnie wymienić na złotówki.

Co zrobić, żeby uchronić się przed atakiem?

Sprawdzenie historii konta na Allegro nie zda się na wiele — złodzieje, co oczywiste, do przekrętów wykorzystują konta należące do użytkowników Allegro cieszących się dobrą opinią. Najlepszą ochroną na dzień dzisiejszy jest upewnienie się, że prośba o przelanie pieniędzy za wylicytowany/kupiony towar nie dotyczy poniższych rachunków bankowych (należących do polskich kantorów BitCoina)

56 1140 2004 0000 3902 2021 9372
46 1140 2004 0000 3502 7397 7536
15 1020 1811 0000 0502 0134 0694

Tylko pierwszy z nich należy do właściciela Bitomat.pl

Aktualizacja 14:30
Dawny Bitomat.pl, dziś przejęty przez MtGox.com powrócił do żywych. Użytkownicy Bitomat.pl właśnie otrzymali e-maila z informacją o starcie nowej wersji serwisu. Dodatkowo, w odpowiedzi na opisane powyższej oszustwa na Allegro, MtGox przy wpłacie PLN wprowadził dodatkowe zabezpieczenie — od teraz, aby środki zostały dodane do konta w tytule przelewu musi znaleźć się następujące sformułowanie:

Numer konta: 95 1090 1522 0000 0001 1687 9275
Tytuł przelewu: MTGXXXXX Na zakup BTC przez MtGox.com, gdzie jestem zalogowany jako ‘NICK’

Wydaje się, że teraz oszukani mogą zostać tylko bardzo nieuważni (delikatnie mówiąc) Allegrowicze.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

84 komentarzy

Dodaj komentarz
  1. A mnie interesuje inne podejście do sprawy – legalność operacji przeprowadzanych przez kantory bitcoina na gruncie prawa podatkowego.

  2. Należy mieć tylko nadzieję, że ludzie po takiej akcji troszkę się opamiętają i uświadomią sobie, że anonimowość w sieci ma pewne niezbyt fajne aspekty. No, ale wiadomo nie od dziś, że za możliwość bezkarnego zbluzgania kogoś w sieci co po niektórzy są wstanie ryzykować realne pieniądze…

    • Srsly? Chcesz winę za cały powższy scam zrzucić na barki “anonimowości w sieci”? Brak mi słów…

    • Koziołek Matołek:)

    • @Piotr Konieczny, nie cały, ale na pewno duże zasługi ma tu właśnie anonimowość. W obecnym modelu działania zarówno BitCoina jak i Allegro nie będzie można namierzyć sprawcy.

      Przypomina to trochę kradzież fizycznej gotówki w postaci monet (nomen omen). Jak ci je ukradną to nie będziesz wstanie powiedzieć, które zostały skradzione (brak numerów seryjnych). Będziesz wstanie określić kwotę, ale tylko tyle. Nawet jeżeli będziesz miał pewien zbiór podejrzanych to odnalezienie winnego będzie w praktyce niemożliwe.

      Dążenie do pełnej anonimowości w sieci będzie powodowało kolejne jeszcze ciekawsze ataki (niestety).

    • Ja to stwierdzę tak:
      Typowe lewackie myślenie, zakazać czegoś bo istnieje prawdopodobieństwo, że ktoś może nadużyć system. To może zabrońmy używania noży kuchennych bo ktoś może je wykorzystać do zabicia innej osoby.

    • Drogi Koziołku,
      Prawo do pseudonimowości jest czymś jak prawo do wolności słowa i wolności zgromadzeń – rozumiem, że możesz nie czuć potrzeby korzystania z niego, ale w przeszłości (w tym w powojennej przeszłości Polski) przydało sie to wiele razy.

      KAŻDE prawo/przywilej może zostać nadużyte, ale to nie powód, by to prawo natychmiast zabierać/ograniczać.

      Ustawa o swobodzie działalności gospodarczej w ogólności mówi, że co nie jest zabronione (koncesja) jest dozwolone. Czy z faktu iż ktoś założy lewy interes by “kręcić lody”, oszukiwać państwo lub obywateli należy wyciągac wniosek taki, że na KAŻDY interes musi być koncesja wydana po zweryfikowaniu tożsamości (i historii) kandydata?

      Czy dlatego, że po ulicach chodzą złodzieje należy zabronić wolności przemieszczania się?

      Pozdrowienia

    • A zastanawiałeś się do czego może prowadzić brak tej anonimowości? Same plusy? Dobrze się zastanów – i może jeszcze dodatkowo jak doszło do przejęcia tych kont…

    • @Jarek: ni przecież już jest taki projekt (nie koncentruje się na kuchennych), nawet pisałem o tym jakiś czas temu na WRonX.net… Politycy są fajni…

    • @Koziołek: po co ograniczać się do internetu? Stwórzmy prawo, wg którego *każdy* kto idzie ulicą będzie musiał mieć na koszulce podane swoje dane osobowe wielką czcionką. Skończy się problem napaści przez dresy w ciemnych zaułkach, rabunków z bronią palną, wypadków samochodowych, nastanie pokój na świecie, zniknie problem głodu, zwierzęta które miały wyginąć nie wyginą, etc…

      Już bez ironii: takie genialne pomysły z ograniczaniem anonimowości już były. Miały raczej fatalny skutek. Śmiem twierdzić, że jednym z wymogów demokracji jest anonimowość. Śmiem też twierdzić, że… Hm, czy prawo Godwina dotyczy też Józefów i innych osób na Hu?

    • @Olgierd, w przypadku firmy ograniczeniem jest chociażby konieczność jej rejestracji oraz późniejszej rejestracji przepływu gotówki. Z tego co wiem to na firmy narzucono wymóg rozliczania się bezgotówkowego i to od jakiejś śmiesznej kwoty. Anonimowość w obrocie gospodarczym jest świetnym narzędziem do ukrywania różnego typu przekrętów.

      @Berion, i tak nie jesteś anonimowy. Poza tym wszystko zależy od tego jak będą traktowane wrażliwe dane.

      @Konrad G.: z drugiej strony każdy zżyma się na samą myśl, że musi wypełnić górę papierów w urzędzie i podawać po dwadzieścia razy te same dane. Przecież łatwiej było by podać je raz.

      Rozwój społeczeństwa wymusza powoli ograniczanie anonimowości. Dlaczego? Ponieważ tylko w ten sposób można wprowadzać nowe rozwiązania. Dziś idąc do nowej pracy podajesz m.n. numer swojego konta (a prosząc o zaświadczenie o zarobkach mówisz, że bierzesz kredyt), dostajesz “firmową” opiekę zdrowotną (a firma może się dowiedzieć jako strona umowy kilku ciekawostek o tym jak się prowadzisz), sprzedajesz w CV historię swojej kariery, a podając imię i nazwisko dajesz ogromne możliwości wyszukiwania w sieci informacji o sobie.

    • @Koziolek,
      – firmę można założyć na “słupa”
      – co do gotówki – limit wynosi AFAIR 15 tysięcy euro
      – co do rejestracji przepływu środków pieniężnych – nie ma teraz w wielu przypadkach obowiązku posiadania rachunku firmowego, więc nie ma jak śledzić każdej transakcji
      – cd powyżej: kasę fiskalną nie potrzebujesz jeśli nie sprzedajesz osobom fizycznym (a nikt Cię do rego nie zmusi)

      “Anonimowość w obrocie gospodarczym jest świetnym narzędziem do ukrywania różnego typu przekrętów” – przecież sam napisałeś wyżej, że zachodzi konieczność rejestracji? Czyli skoro firmy są rejestrowane to nie ma możliwości wystąpienia nieprawidłowości w obrocie gospodarczym (np. zapłata części nalezności “pod stołem”, tj. gotówką do ręki, żeby zmniejszyć przychód i należny VAT), czy też postulujesz obowiązkową rejestrację wszystkich stron obrotu transakcji (czyli obowiązek okazywania dokumentu tożsamości i imiennego rejestrowania transakcji)?

      “z drugiej strony każdy zżyma się na samą myśl, że musi wypełnić górę papierów w urzędzie i podawać po dwadzieścia razy te same dane. Przecież łatwiej było by podać je raz. ” a co to ma wspólnego z hipotetyczną koniecznością noszenia na wierzchu urzędowego dokumentu tożsamości (koszulki z nazwiskiem)? Przeciez konieczność podawania pińcet razy tych samych danych wygląda z bezmyślności (złego zaprojektowania formularzy i/lub interfejsu papier->baza_danych), a nie z “anonimowości”.

      “Rozwój społeczeństwa wymusza powoli ograniczanie anonimowości” – owszem, NIESTETY, ale dzieje się to głównie poprzez osiągnięcia technologiczne (evercookie, logi z przemieszczania się komórek, rfid w dokumentach), nie musimy sztucznie sami ograniczać sobie pola do swobodnej, niezagrożonej ekspresji (z zastrzeżeniem, że wolność osobista kończy sie tam, gdzie zaczyna się taka innych osób).

      “Dziś idąc do nowej pracy podajesz m.n. numer swojego konta (a prosząc o zaświadczenie o zarobkach mówisz, że bierzesz kredyt)”
      Podanie numer konta nie jest obowiązkowe, nikt nie może Cię zmusić do otrzymywania wynagrodzenia na konto (a prosząc o zaświadczenie o zarobkach proszę o zaświadczenie o zarobkach i tylko mówię jakie mnie interesuje (netto/brutto, za jaki okres), a zresztą dobrej klasy TV, lodówkę czy używany samochód da się kupic za odłożoną gotówkę (5-6 k€)).
      “dostajesz “firmową” opiekę zdrowotną (a firma może się dowiedzieć jako strona umowy kilku ciekawostek o tym jak się prowadzisz), ” – niezupełnie prawda – _możesz_ wykupić firmową opiekę zdrowotną (ze względu na pewne sztuczki MinFin opieka zdrowotna jest świadczeniem podlegającym opodatkowaniu, bo przynoszącym korzyść, wskutek czego pracodawca od kwoty korzyści musi odprowadzić podatek, wskutek czego ty MUSISZ wcześniej się zgodzić na potrącanie tego z wynagrodzenia, więc nie, nikt bez Twojej zgody tego nie zrobi (przecież zawsze możesz mieć takie świadczenia z innego źródła i nie chcesz kolejnego), a poza tym firma jest o tyle stroną umowy, że płaci za świadczenia, natomiast nie zna szczegółów (gdyby poznała, to jest to poważne złamanie tajemnicy lekarskiej i ustawy o ochronie danych osobowych).
      “sprzedajesz w CV historię swojej kariery” – nope. W CV (tylko ze względu na to, że byłoby zbyt długie) nie umieściłem wszystkich miejsc pracy, nie podaję w nim swojego adresu zamieszkania, a poza tym umieszczam je tam z własnej woli, ponieważ jest to w MOIM interesie. Czym innym byłby PRZYMUS podawania historii zatrudnienia, czym innym jest prawo do tego (z łatwością jestem sobie w stanie wyobrazić umowę z pracodawcą, który zobowiązuje pod groźbą kary umownej do niewyjawiania faktu pracy dla niego).

      “a podając imię i nazwisko dajesz ogromne możliwości wyszukiwania w sieci informacji o sobie” – czy właśnie dlatego postulujesz uniemożliwienie anonimowej/pseudonimowej egzystencji? Pracujesz dla rządu? ;) Jak na razie nie ma OBOWIĄZKU podawania swojego imienia i nazwiska (za wyj. rzeczy takich jak bycie członkiem zarządu, etc), a przynamjmniej wypowiadania się pod prawdziwym nazwiskiem. Zauważ, jak “śledzik” dowiódł, że podpisywanie się imieniem i nazwiskiem w niczym nie zmienia zachowania ludzi – są równie chamscy i ograniczeni jak występując pod pseudonimami… tyle tylko, że ci wrażliwsi (mniejszości seksualne, ofiary prześladowań (także bullyingu)) nie mogliby się ochronić nie podając wrażliwych informacji.

      Na koniec cytat mocno w temacie: “Any society that would give up a little liberty to gain a little security will deserve neither and lose both”.

      Pozdrowienia,
      O.

    • @Olgierd, pracowałem i wiem, że dzisiaj anonimowość to mit. Lepiej jest udostępniać na jasnych zasadach niż olewać problem w imię wolności i nie móc kontrolować co dzieje się z danymi. Co do słupa to pan słup jest już całkiem namacalnym świadkiem. Adres IP z sieci TOR nie za bardzo. Co do cytatu, to pan, który to mówił był, w swoich czasach, chyba jedną z lepiej strzeżonych osób prywatnych na świecie. W dodatku dla niego pojęcie niebezpieczeństwa było bardzo ograniczone.

    • @Koziołek Nikt nie postulował olewania problemu w imię wolności, a raczej deklarowano przywiązanie do kurczącego sie obszaru tejże http://prawo.vagla.pl/prywatnosc jest mi szczególnie bliski – jeśli nie miałeś przyjemności, polecam – niespotykanie rzetelny serwis. Podsumuję krótko, bo zrobił się mocny offtopic* – moim zdaniem rzecz nie w tym, że trudno dziś o anonimowość, a w tym, że rezygnując z niej poddajesz się coraz ściślejszej kontroli w imię fałszywego poczucia bezpieczeństwa – pamiętaj, że ktoś może wykorzystać te informację przeciwko Tobie w najmniej spodziewanym momencie. Pomyślności i powodzenia, O. (w razie gdyby czytał ten komentarz któryś z czytelników VaGli, nie jestem tym Olgierdem R. :) ) * Piotrze, przydałoby się chyba takie podforum ciąg dalszy nastąpił gdzie bez obawy zirytowania czytelnika, który przyszedł tylko po artykuł plus merytoryczne komentarze dyskutanci mogliby dalej wymieniać się argumentami. Dla ułatwienia mógłbyś przy komentarzach osób korzystających z któregoś exit nodea (http://proxy.org/tor.shtml) wyświetlać jakąś gustowną ikonkę :)

    • Zamiast zakazywać anonimowości lepiej skończyć z penalizowaniem jakichkolwiek czynów w Internecie.

      W końcu to tylko bity ;)

      Niestety na to nie zanosi się, czego osobiście żałuję – jako człowiek, który radzi sobie w tej przestrzeni ciut lepiej od większości. A ta większość ma na mnie sposób w postaci policyjnej pały….

    • Nie mam niczego do dodania do dyskusji oprócz tego, że całkowicie zgadzam się z Koziołkiem, a argumenty o nożach są zgrane i infantylne.

  3. Głupie pytanie, ale… czy Allegro (dbając o bezpieczeństwo swoich użytkowników) nie może zablokować tych numerów kont ? Także w wiadomościach wysyłanych do kupujących ?
    Tak, wiem – da się to obejść wysyłając takie maile ‘ręcznie’ – ale mail do wszystkich userów z opisem scamu byłby dobrym ruchem…

    • Ale allegro nie dba o bezpieczeństwo swoich użytkowników, jeśli wiąże się to ze zbyt dużymi kosztami. Generalnie liczy się to, czy opłaciłeś w terminie prowizje, cała reszta ich za bardzo nie obchodzi

    • Ja tam spamu nie potrzebuję i wszelkie maile tego typu mnie denerwują. Jeżeli ja zapłaciłem osobie Y (która okazała się być osobą X) za jakiś przedmiot, to ja problemu mieć nie powinienem, tylko Y, więc jak już jakieś maile to tylko do sprzedających.

    • @ zzz1986@o2.pl :
      Przyszedł koleś podający się za hydraulika, wpuściłeś go a on Cię pobił i okradł. Podasz prawdziwego hydraulika do sądu?

      Ja rozumiem — najprościej jest zwalić na kogoś innego, równie niewinnego i też poszkodowanego. Choć nie, jednak nie rozumiem.

    • Allegro może sobie blokować a sprzedawca podaje numery kont innymi drogami, np. przez e-mail.

    • @Konrad G.
      Jeżeli kupię coś u X, to on ma mi to dostarczyć, albo zwrócić pieniądze.
      To, że Y mu się włamał na konto to jego(X) problem, bo to on ma wybrać sobie dobre hasło i nie trzymać go w przeglądarce, mieć antywira, nie otwierać załączników od nieznajomych, nie ściągać podejrzanych programów lub nie pracować na koncie administratora.
      Zawsze może też skorzystać z maszyny wirtualnej na bardzo ograniczonych uprawnieniach.

      Jeżeli X nie zadbał o bezpieczeństwo swojego konta na allegro, to dlaczego niby ja jako nabywca niemający z tym nic wspólnego mam za to odpowiadać?
      To X powinien teraz czekać na złapanie Y a nie ja.
      Poza tym wyklucza to pomysły o udawaniu włamania.

  4. Allegro chyba nigdy jeszcze nie wysyłało informacji na temat scamu, boją się zaprzestania użytkowania serwisu przez nieświadomych przestraszonych użytkowników.

  5. Pierwsze sensowne zastosowanie dla bitcoin.

  6. ehh, jedyne na czym zależy allegro to prowizje od sprzedaży – wszytko inne mają w mniejszym lub większym poważaniu :/

  7. Ocho, to teraz właściciele bitomatu mają zdaje się problem. Zdaje się, że jak ich konto było wykorzystane w taki sposób to powinni zwracać poszkodowanym pieniądze których pewnie już de facto nie posiadają, zgadza się?

    • Z jakiej racji? W pełni współpracowali pewnie. Udostępnili dane IP. Więcej nic nie mogli.

  8. A mnie zastanawia dlaczego allegro nie wprowadzi opcji zabezpieczenia konta np. przez powiązanie go z adresem IP – dla użytkowników stałego IP to byłoby dobre zabezpieczenie.

    • A co z osobami, które mają zmienne IP?
      jednocześnie chciałbyś zablokować korzystanie z Alle na innych lokalizacjach. Nikt na to nie pójdzie.

    • Pebro, przecież chodzi tylko o opcję, a nie o obowiązek. masz stałe IP i wchodzisz tylko z tego adresu – to czemu nie?

    • 2-factor authentication – kiedy pojawia się login z nietypowego IP (bądź np. przeglądarki z innego systemu operacyjnego) “system” pytałby o hasło jednorazowe wysłane na komórkę (bądź zamiast hasła po prostu o token z aplikacji zainstalowanej w komórce).

  9. @koziolek

    Bitcoin nie jest anonimowy, możesz BlockExplorerem śledzić transakcje, tu forsa jest prana tak jakby przeszła przez WU czy łańcuszek kont „słupów”.

  10. sprytne. naprawde niezly pomysl z wykorzystaniem kont biednego juz bylego wlasciciela bitomatu

  11. Czyli reasumując, jeżeli dobrze zrozumiałem artykuł i komentarze, proceder polega na tym że pieniądze przesyła się na serwis który jednakże jeszcze nie działa, oraz pierze się je w pralniach, które jednakże są mało popularne – a więc nie działają.

    Musiałem coś źle zrozumieć, inaczej nie byłoby artykułu. Jeżeli jednak dobrze – to gdzie tu doskonałość tej zbrodni?

    • Serwis w momencie artykułu nie działał, ale działał ;) Można było korzystać z waluty PLN w MtGox za pośrednictwem rachunku właściciela Bitomat.pl
      Obecnie serwis działa, właśnie otrzymałem takiego e-maila:
      ————————–
      Szanowny użytkowniku Bitomatu,
      W związku z przejęciem Bitomatu przez MtGox, Twoje konto zostało przeniesione do systemu MtGox.
      Dziękujemy za cierpliwość w trakcie przerwy w działaniu serwisu związanej z migracją Bitomatu do Mt.Gox.
      Możesz teraz zalogować się na https://mtgox.com/?Locale=pl_PL&Currency=PLN przy pomocy Twojego loginu i hasła z Bitomatu.
      Twoje salda zostały przeniesione. Możesz teraz kontynuować handel Bitcoinami.
      Pozdrawiamy,
      Zespół Mt.Gox
      ————————–
      Co do pralni, to one też działają, ale z racji małej popularności istnieje ryzyko niecałkowitego wyprania środków. To w sumie dobrze :)

  12. Normalnie robi się takie przekręty na słupy, raz wykorzystano kantor. Dopóki nas wszystkich nie zachipują zawsze znajdzie się metoda na zwinięcie komuś forsy. A ja już wolę być od czasu do czasu okradany, niż absolutnie inwigilowany i przy okazji dojony podatkami (bo inwigilacja i kontrola kosztują).

    • @Mix:

      “Normalnie robi się takie przekręty na słupy, raz wykorzystano kantor.”

      O nie, nie. Tutaj mamy CAŁKOWICIE nową jakość. W metodzie ze słupem przestępca zostawia ślad w świecie fizycznym. W przekręcie z Allegro i kantorem BTC może działać zdalnie zostawiając wyłącznie ślady w logach. Swoja drogą współczuję operatorowi kantoru tłumaczenia prokuraturze o co biega i dlaczego nie jest beneficjentem oszustwa :)

  13. Z tego co widze mtgox, juz zabezpieczył się przez takimi wałkami:

    Tytuł przelewu: MTGxxxxxx Na zakup BTC przez MtGox.com, gdzie jestem zalogowany jako xxxxxxx

    (WAZNE: Skopiuj *w całości* tytuł przelewu. Jeśli tego nie zrobisz środki *NIE* zostaną zdeponowane na twoim koncie)

    • Szkoda, że dłuższego tytułu nie wymyślili. IMO powinien wystarczyć tylko numer transakcji. Zresztą to ich zabezpieczenie to żadne zabezpieczenie.

  14. Pewnie niedługo Allegro wprowadzi tokeny via fizyczne urządzenie oraz aplikacje na smartphony (jak robi to na przykład firma Blizzard np. w grach World of Warcraft) i będzie gram trudniej. Allegro zapewne już sprawdza, na których aukcjach ustawiono felerne numery kont, ale może wykorzystywane są też maile do powiadamiania użytkowników i wtedy już nie będzie tak łatwo.

    • Tokeny i aplikację do uwierzytelniania (do wyboru) Allegro powinno wprowadzić już dawno. Kolejny krok to ban na numery kont kantorów bitcoin i wszelkich kantorów walut wirtualnych, kart prepaid. Czyli ogólnie rachunków powiązanych z produktami bez umów imiennych (jak wiadomo kartę prepaid można komuś przekazać a jej konto to jedynie rachunek techniczny).

    • @Paweł Nyczaj:
      Niby dlaczego ban kantorów? Może ktoś trzyma oszczędności w BC i powtórne przelewanie do kantora to strata 24h w otrzymaniu pieniędzy?

    • Jaki ban? Przecież sprzedawca może swój numer konta podawać kupującym różnymi drogami, np. przez e-mail!

  15. Allegro przy zakładaniu konta powinien wymagać tak jak banki dowodu tożsamości i wszystkie dane PESEL, numer dowodu itp. W jakimś stopniu przyczyniło by się to do powiększenia bezpieczeństwa.

    • W jaki sposob zwiekszy to twoje bezpieczenstwo, jesli bede mial twoje haslo?

    • nie ma to zadnego zwiazku z ta sprawa. przeczytaj jeszcze raz artykul

  16. czemu Allegro nie może wyłapywać osoby podające te numery kont?

  17. Już od dawna zapomniałem o przelewach na konto kupującego na Allegro. Stosuję jedynie system Płacę z Allegro i sam dopuszczam płacenie tylko w ten sposób. Poza tym, że można było pomylić się wpisując numer konta, tytuł, adres itp. (łatwiej było to kopiować) to jeszcze istniała możliwość podania kupującemu przez atakującego fałszywych danych. Poza tym Płacę z Allegro daje mozliwość kupowania kartą kredytową.

    Swoją drogą już najwyższy czas na dwuskładnikowe uwierzytelnianie na Allegro. Nawet mimo mozliwości przejmowania haseł sms jest to już duże utrudnienie, bo trzeba byłoby skłonić usera do wgrania aplikacji przejmującej kod sms. PayPal już od jakiegoś czasu oferuje token formatu karty kredytowej, ale tylko w USA.

    • Dodatkowe potwierdzenie kodem z sms przy wejściu w ustawienia konta (zmiana email, adresu, hasła, itp) to bardzo dobry pomysł. Uważasz że Allegro na to nie wpadło? Ależ wpadło, ale przecież to są koszta, nikomu to nie potrzebne, no i jakiegoś takiego szumu nie ma jak ktoś przejmie 100 kont miesięcznie. Panowie z Allegro skupiają się nad wpłatami prowizji, nie w głowie im jakieś tam smski :)

  18. … i po raz kolejny wirtualna waluta pokazuje się w złym świetle. Z punktu widzenia laika bitcoin to nic innego jak kryptowaluta hakerów, tajnych organizacji, ciemnych interesów a niedługo pewnie dojdą wojny gangów :-).

    Choć moim zdaniem to dobrze, bo to rzeczywiście nie służy do niczego więcej, a kto na tym miał wzbogacić to wzbogacił a obecnie zostały ochłapy i w miarę dobry sposób na przekręty.

    • A ja właśnie byłbym uszczęśliwiony, gdyby przeciętni laicy porzucili oficjalne waluty na rzecz Bitcoina lub czegoś jeszcze bardziej sprytnego. Partyjne pasożyty nie miały by możliwości ściągania z nas podatków i pozdychały by z głodu. Od razu by spadła ilość debilnych wpisów na forach. :)

  19. Tą całą sytuację można łatwo wykorzystać: nikt nie przejął konta allegro prawowity właściciel konta wystawia bardzo atrakcyjny towar ktoś kupuje i po namowie sprzedawcy wysyła pieniądze na konto bitomatu sprzedawcy sprzedawca nie wysyła towaru po interwencji policji mówi że to nie on to zrobił, tylko włamano się na jego konto/skradziono jego hasło Co w takiej sytuacji? ;] Co prawda ta metoda wymagałaby trochę dodatkowego zaangażowania ze strony sprzedawcy, ale moim zdaniem wykonalne :P

    • Twój sposób jest o tyle dobry, że mamy cały czas informacje na temat śledztwa więc jeżeli je umorzą to możemy się już czuć spokojni :)

    • Czy ktoś się włamał na twoje konto czy nie, to ty musisz dotrzymać warunków umowy jaką zawarłeś sprzedając coś, czyli albo to wysyłasz kupującemu, albo oddajesz mu kasę.

      Ty wtedy jesteś poszkodowanym(nie klient, bo niby czemu on), i możesz zgłosić włamanie i czekać na złapanie kogoś przez policję i oddanie pieniędzy, a w tym przypadku nie doczekałbyś się, co najwyżej za oszustwo byś jeszcze dostał karę.

    • @zzz1986@o2.pl .. nie obraz sie ale Ty bajki pleciesz …

  20. To dobra wiadomość. Oznacza to, że bitcoin spełnia swoje założenia. Teraz tylko czekać kiedy tajne służby zaczną z tego korzystać i mafie. Będzie to gwarant bezpieczeństwa tej waluty. Będzie ona jak złoto :).

  21. Bitcoin w moim mniemaniu to kolos na glinianych nogach. Trąbi się o bezpieczeństwie, anonimowości, wolnym rynku, regułach gospodarki a jestem bardziej niż przekonany iż 99,99% nie ma zielonego pojęcia o czym mówi.

    I pewnie okaże się, iż “partyjne pasożyty” i inne władze bez większych problemów mogą monitorować ruch bitcoinami przez Tora. Na razie traktowane jest to jako nieszkodliwa ciekawostka, ale jak obrót walutą się rozkręci, to dla fiskusa może być solą w oku. A czytelnicy niebezpiecznika chyba najlepiej wiedzą ile prawdy stoi za zapewnieniami, iż coś jest super bezpieczne, nie do złamania lub całkowicie anonimowe :-) Bogowie, jak FBI jest podejrzane z gmeranie w kodzie BSD to ile bezpieczeństwa jest w klientach/kopaczach bitcoin. I w całym ichniejszym standardzie?

  22. @Piotr Konieczny Jedno rzuca mi się w oczy. Mianowicie zdanie: “Konto zapewne jest założone z zachowaniem anonimowości (TOR, etc.)”. Proszę mnie poprawić jeżeli się mylę ale żeby połączyć się z TOR’em trzeba wysłać zapytanie DNS? Czyli zostawia się ślad. Oczywiście jest kilka rozwiązań aby się przed tym “zabezpieczyć”. W moim mniemaniu jeżeli się nie zna to nie uzyska się anonimowości. Dlatego chyba lepiej jest wziąć swój sprzęt, internet przez komórkę (kupioną specjalnie na tą okazje) + ustronne miasto -> odwalenie swojej roboty i znikniecie jak najszybciej.

    • TOR potrafi tunelowac zapytania DNS. Co do komórki/prepaida — ok, pod warunkiem, że nie weźmiesz ze sobą swojej i nie trafisz po drodze na kamerę, oraz masz jakieś alibi.

    • JanusVM

  23. Zapomniałem dodać, że zawsze można podczepić się pod niezabezpieczoną sieć osiedlową albo hotspot. Byle dalej od swojego miejsca zamieszkania aby nie było podejrzeń ;)

  24. Niektórzy oszuści na Allegro przyjmują wpłaty na konta techniczne kart pre-paid. Po pierwsze są anonimowi bo karty są na okaziciela. Po drugie, bank zaksięguje na karcie KAŻDY przekaz, bez względu na to jaką nazwę beneficjenta i referencje podał wpłacający (w przekazach na zwykłe konta a’vista dane beneficjenta muszą się zgadzać z kartoteką w banku). W związku z powyższsym oszust może zwyczajnie napisać “prosimy o wpłatę na konto firmy XYZ sp. z o.o.; nasz numer IBAN: PLXXXX…” i tym samym nie wzbudzi podejrzeń u kupujących (wpłata na konto Bitomat/MTGox może się wydawać conajmniej dziwna). Numery kart pre-paid można rozpoznać bo mają swoje specjalne numery kierunkowe (np. PLxx10900075xxxx… dla kart pre-paid BZWBK) dlatego widząc taki numer trzeba zachować ostrożność.

    • Dane nie muszą się zgadzać z kartoteką banku. W większości wypadków przelew zostanie zaksięgowany na koncie wyłącznie na podstawie numeru rachunku. Trochę to bardziej skomplikowane w związku z wyrokami sądowymi w tym zakresie, ale w większości wypadków wystarcza numer rachunku, a ewentualne reklamacje/odszkodowania/kary są uznawane za “ryzyko akceptowalne”. Po prostu kosztują mniej, niż weryfikowanie danych każdego przetwarzanego przelewu.

    • To co piszesz dotyczy właśnie kart pre-paid, które są na okaziciela. Pisząc o weryfikacji danych miałem na myśli zwykłe (czyli IMIENNE) konta a’vista! Proszę nie mylić tych produktów gdyż funkcjonują na nieco innych zasadach. Przekazy wysłane na zwykłe konto (nie karty pre-paid) ze złą nazwą odbiorcy są odrzucane a zleceniodawca może zostać obciążony dodatkowymi kosztami. W instrukcji przekazu zawarty jest też adres siedziby beneficjenta ale ten przeważnie nie jest sprawdzany.

    • Niestety, to co piszesz nie jest prawdą. Albo raczej nie jest prawdą dla każdego banku i każdego przelewu. Była kiedyś już tutaj dyskusja na ten temat, zresztą z Twoim udziałem. Można też sprawdzić dyskusje dotyczące tego, co stanie się z przelewem w przypadku niezgodnych danych, można też zrobić testy empiryczne.

      To, czy konkretny przelew w przypadku niezgodności danych zostanie zrealizowany, czy cofnięty, zależy od kwoty przelewu i wewnętrznych procedur banku.

    • Już od ostatniej dyskusji zastanawiałem się jak owe testy empiryczne przeprowadzić (przecież nie posiadam wielu kont) i wygląda na to, że przez moją nieuwagę sam sobie owe testy zorganizowałem. :) Przypomniałem sobie, że kilka dni temu wysłałem przekaz do firmy “Polska Telefonia Cyfrowa S.A.” ale jako beneficjenta podałem starą nazwę “Polska Telefonia Cyfrowa sp. z o.o.”. Pieniążki wyszły z konta, zwrotów nie było a pod koniec miesiąca, jak przyjdzie następna faktura, zobaczę czy przekaz doszedł do celu.

    • Cóż, ja sam sobie kiedyś w trakcie innych testów wysłałem przelew do “testa testowego”, doszedł bez problemów :)

    • Niektóre banki sprawdzają nazwy właściciela konta. Ja przelewam żonie trochę kasy regularnie co miesiąc. Po oficjalnej wymianie dowodu i zmianie nazwiska w banku przelewy zaczęły nagle wracać bo nazwisko inne. Bank znał nazwisko panieńskie żony, ja jestem współwłaścicielem konta, przelewy wcześniejsze były zaksięgowane, a uparcie odrzucali przelewy.

  25. no to a swoja droga powinno wymagac i wprowadzic uwierzytelnianie tokenami lub jakakolwiek inne z podwojna metoda u… tylko kogo to tam obchodzi :(

    • Tutaj tokeny nie pomogą. Po prostu serwis MtGox jest wykorzystywany przez oszustów jako bank a profil jako rachunek bieżący i w ten oto sposób przyjmują i piorą pieniądze. Tutaj pomogłaby raczej weryfikacja tożsamości posiadacza profilu lub chociaż weryfikacja skąd pochodzi przekaz zasilający.

  26. Bitomat/MtGox powinien jeszcze sprawdzać, czy nazwa zleceniodawcy przekazu jest zgodnia z danymi zapisanymi w profilu. Inaczej mówiąc, zasilenie konta w serwisie powinno być możliwe tylko z własnego konta bankowego. Aż dziwne, że czegoś tak prostego jeszcze nie wdrożyli!

    • Moneybooker i inne tego typu serwisy stosują dokładnie taką politykę pod pretekstem zapobiegania prania pieniędzmi.

  27. Panowie! A możeby tak od innej strony? Wystarczą współrzędne…

  28. Nie rozumiem o co tyle krzyku, przecież ten atak wcale nie daje nowej jakości ani tym bardziej anonimowości. Wszystkie tranzakcje w sieci Bitcoin są publicznie dostępne. Opisany punkt 6: “X pierze BitCoiny. Ze swojego portfela przemieszcza gotówkę (w częściach) na inne adresy BitCoinowe należące do niego, a następnie za pomocą nowej tożsamości może je z powrotem wprowadzić na Bitomat.pl i już oficjalnie wymienić na złotówki” nie ma sensu, ponieważ każdy node w sieci Bitcoin ma pełną bazę o wszystkich tranzakcjach więc każdy wie że userX przelał kasę userowiY. Kantor bitomat przy współpracy z policją natomiast ujawnia dane usera który wypłacał PLN (numer jego konta) i po sprawie. Atak ten nie różni się niczym od tradycyjnych przelewów internetowych ze słupami. Kantor bitcoina nie różni się niczym od tradycyjnego internetowego banku. I oczywiście pralnie bitcoina nie różnią się niczym od tradycyjnych internetowych pralni (np: przelewów anonimowych western union itd.).

    • poczytaj o bitcoin laundy i zobacz jak obchodzą to, że wszystkie transakcje są rejestrowane.

  29. Bank odbiorcy przelewu ma obowiązek weryfikować zgodność numeru konta z pozostałymi danymi odbiorcy przelewu. Jeśli zaakceptuje przelew, w którym nie zgadzają się dane z numerem – można od banku dochodzić zwrotu pieniędzy. Był kiedyś taki wyrok, oszukanym polecam poszukać.

    Niedawno getinonline zablokował przychodzący do mnie przelew SEPA z uwagi na drobną niezgodność: zamiast mojego pierwszego imienia, było podane wyłącznie drugie imię. Wszystkie inne dane jak moje nazwisko i adres zgadzały się, dodatkowo nie był to pierwszy przelew od tego nadawcy, wręcz tego samego dnia wysłał mi drugi przelew a miesiąc wcześniej kilka przelewów na większe kwoty, co świadczyło o ciągłości transakcji mojej z nadawcą, braku przypadku w naszych kontaktach.

    Zaproponowano mi dość złożoną procedurę potwierdzenia, polegającą na złożeniu oświadczeń przez zagranicznego nadawcę i przeze mnie – prościej było cofnąć przelew do nadawcy i wysłać go jeszcze raz. Nieco się wkurzyłem, ale przyznałem rację bankowi i doceniam jego działanie.
    Sam konsultant getinonline przyznał mi kiedyś, że są bankiem raczej dla drobnych transakcji, a nie np. międzynarodowych przelewów na duże kwoty – ale mimo wszystko mają profesjonalne procedury.

  30. @Piotr Konieczny – zgadzam się, pralnie bitcoin działają jak każde inne pralnie internetowe. Zapewniają anonimowość pod warunkiem, że ktoś ich nie zmusi do tego aby ujawnić tożsamość, tak samo jak banki i inne instytucje zajmujące się przelewami pieniężnymi.

    @Smok – banki oczywiście weryfikują te dane, ale np: przelewy anonimowe western union czy money gram nie. Do odbioru kasy z takich przelewów wystarczy numer tranzakcji MTCN. Nie masz szans namierzyć odbiorcy.

    Podsumowując: przekręt z bitcoinem niczym nie różni się od tradycyjnych przekrętów z przelewami internetowymi. Anonimowość zapewniana jest jedynie przez pralnie bitcoin które są odpowiednikiem przelewów anonimowych western union czy money gram. Którą “pralnię” łatwiej zmusić do ujawnienia tożsamości ? to już oddzielne pytanie (moim zdaniem każdą jak się postarać).

  31. @higland

    przejrzałem teraz formatki polskich banków, w których mam konta i każdy z nich (5 sztuk) wymaga podania minimum imienia i nazwiska odbiorcy przelewu. Adres jest chyba nieobowiązkowy, a przynajmniej w niektórych bankach formatki na adres są dość “luźne”.

    Złodziej z Allegro, o którym jest ten news, podawał nr konta w mbank należący do B. Szabata, a dane osobowe inne, np. jakiejś Aleksandry.

    Czytałem gdzieś kiedyś, że jeśli bank zrealizuje taki przelew, to nadawca może domagać się od banku naprawienia błędu. Niestety nie jestem w stanie w tej chwili podać źródła.

    Z mojego doświadczenia wynika, że banki przy małych kwotach nie dokonują weryfikacji tych danych i można jako odbiorcę przelewu wpisać “Kocham cię skarbie” (autentyk).

    Być może ktoś rozszerzy ten temat, ciekawe tu są kwestie prawne oraz kwestia czy tej weryfikacji dokonują same banki czy np. ELIXIR lub SEPA.

    • Formatki to fikcja. Liczy sie tylko nr konta i NIC wiecej.

  32. To polecam poczytać:
    Wyrok SN z 19 marca 2004 r., IV CK 158/03
    Wyrok SN z 17 grudnia 2008 r., I CSK 205/08

    Oba wyroki i ich omówienia dostępne są w Internecie. Nie będę streszczać, bo nie jestem prawnikiem; powiem tylko, że z treści tych wyroków nie wynika, że możemy swawolnie i złośliwie podawać błędne dane celem uzyskania korzyści, ale jeśli dochowamy należytej staranności, będziemy działać w dobrej wierze, obdarzając bank szczególnym zaufaniem, to mamy duże szanse na odzyskanie przelewu z błędnymi danymi, czy to od beneficjenta przelewu, czy solidarnie od wszystkich banków pośredniczących.

  33. Skoro nr konta jednoznacznie wskazuje bank i konkretnego klienta tegoż banku, to po jakiego grzyba formularz zawiera jeszcze nazwę i adres beneficjenta??? Miałoby to sens gdyby te dane były zawsze sprawdzane – wpłacający musi być świadomy komu wysyła pieniądze i jest chroniony przed ewentualną pomyłką. W zasadzie numer IBAN jest tak długi (max. 34 znaki), że dlaczego nie mógłby w sobie zawierać choć kilku cyfr będących wynikiem funkcji skrótu imienia i nazwiska posiadacza lub nazwy firmy? Wtedy każdy mógłby sobie sam zweryfikować beneficjenta off-line przed wysłaniem przekazu. Analogicznie jak seriale w wielu shareware muszą “pasować” do nazwy posiadacza licencji. Oczywiście wspólny algorytm musiałyby wdrożyć wszystkie banki…

  34. proponuję odwiedzić stronkę http://bitcoin.pl
    tam dowiecie się wszystkiego o bitcoin

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: