Авто штрихи пятерочка законно
«Афера века». Кто виноват в пропаже бонусных баллов «Пятёрочки»
Лайф рассказывает, как злоумышленники воруют баллы с бонусных «Выручай-карт» от «Пятёрочки». Там весь сок: взломы, воровство, банальное мошенничество и не только. Узнайте об уловках крохоборов и не попадайтесь на них.
Фото © ТАСС / Евгений Разумный
«Пятёрочка» — одна из самых больших розничных сетей в России. Разумеется, у неё есть программа лояльности — пластик «Выручай-карта». При его использовании люди получают кешбэк в виде баллов. Последними можно оплачивать товары.
«Выручай-карта» точно не лишняя, но, увы, не самая надёжная. В Интернете описана масса случаев, когда мошенники крали у людей разными способами баллы. Лайф рассказывает о самых известных схемах.
Ловкость рук и ничего более
К сожалению, угроза исходит даже от кассиров «Пятёрочки». Первый признак того, что вас хотят обмануть прямо в магазине, — округлившиеся глаза сотрудника предприятия при виде баланса на карте. Чем больше баллов, тем шире распахиваются глаза алчных кассиров.
Фото © ТАСС / Евгений Разумный
Что может произойти дальше? Например, сотрудник либо может уронить карту покупателя, либо любым другим способом скрыть её от глаз клиента. Пока посетитель «Пятёрочки» занят укладкой товаров в пакет, кассир кладёт карту клиента в карман, а возвращает ему пустую карту. До тех пор, пока покупатель не решит расплатиться баллами, он не узнает, что его обманули. А на это может уйти много времени. Баллы на «Выручай-карте» копятся медленно.
Мы не утверждаем, что подобные случаи — обычное правило для всех магазинов. Однако героиня этого рассказа именно так и лишилась своего пластика. По её словам, в первую очередь остаться без своей карты рискуют пожилые люди. Во-первых, именно они чаще всего пользуются физическими картами «Пятёрочки», а не их цифровыми копиями. Во-вторых, в силу физиологических особенностей человека к старости внимательность ослабевает.
Классика жанра: «Касса что-то зависла»
Ещё одну любопытную историю рассказала пользовательница сервиса irecommend под ником kristinka_malinka94. В главной роли — снова ушлый сотрудник магазина.
Фото © ТАСС / Егор Алеев
Схема следующая. Видя перед собой клиента с «Выручай-картой» и наличными в руках, продавец проводит картой по считывающему устройству, молча списывает баллы, а потом торжественно объявляет о зависании кассы. Клиент расплачивается наличными, получает сдачу из кармана сотрудника и уходит без чека. А в личном кабинете на сайте «Пятёрочки» обнаруживает, что ушёл он ещё и без баллов.
Что происходит, когда обманутый покупатель уходит? Пользовательница предполагает, что касса резко «отвисает». Баллами гасится большая часть покупки. Кассир добавляет недостающую сумму из наличных покупателя, а оставшиеся деньги оставляет себе.
Баллы и купоны за опрос от «Пятёрочки»
В начале года по Сети прокатилась волна жалоб на мошенников, которые от лица «Пятёрочки» призывали пройти незатейливый опрос и получить взамен либо купон, либо баллы на «Выручай-карту». Призывали посредством спам-рассылки на электронную почту с ссылками на подозрительные сайты. Суммы вознаграждения варьировались от сотен рублей до сотен тысяч.
Фото © ТАСС / Максим Коротченко
Получил ли кто-нибудь обещанное, не знаем. Но отзывы дают понять, что многие от опросов не только ничего не получили, но и понесли расходы. Ведь после их прохождения сайт с доменным именем вроде 5ka-dr.com просил за ссылку на купон или активатор баллов заплатить онлайн 100−150 рублей.
Разумеется, «Пятёрочку» здесь обвинять не в чем. Ну разве только в том, что она популярна и не предупредила пользователей о новом способе мошенничества. Хотя справедливости ради отметим, что иногда компания X5 Retail Group всё же реагирует на массовые мошеннические акции. Например, весной прошлого года компания открестилась от СМС-рассылки, которая обещала купон на 5000 рублей в честь дня рождения бренда. Для получения заветного бонуса нужно было лишь пройти по ссылке, которая дарила пользователям не купоны, а вирус для смартфонов.
Было ваше, стало наше
Пришло время поговорить непосредственно о «дырах» в самой системе лояльности. Одна из самых популярных жалоб на «Выручай-карту» посвящена таинственному исчезновению баллов. Мы нашли десятки прецедентов обнуления пластика. Что интересно, баллы в таких случаях списываются в несколько заходов и из разных точек России. Сегодня карта засветилась в Москве, завтра — в Белгородской области, послезавтра — в Перми и т.д.
Фото © ТАСС / Артём Геодакян
Так, у пользовательницы irecommend с ником hotlena2009 за пару недель увели 7810 баллов, что эквивалентно 781 руб. Юзер ФёдорAt лишился 135 цифровых наклеек, которые можно менять на акционную кухонную утварь. У kate_dale украли баллы на 350 руб. Marina-koti по воле мошенников лишилась 899 руб. Деньги ушли в Смоленск, тогда как сама она живёт в Нижегородской области.
X5 Retail Group, судя по тем же отзывам, реагирует на подобные жалобы неохотно. Сначала служба поддержки просит пять дней на рассмотрение заявки. Затем отправляет обманутого клиента в ближайшую «Пятёрочку» за новой картой с восстановленными баллами. А там его, как правило, встречает администратор, который, разумеется, знать ничего не знает про замену и разворачивает недовольного клиента. Последние два шага могут повторяться несколько раз. Побеждает тот, кто упрямее.
В комментарии Лайфу начальник управления по связям с общественностью компании X5 Retail Group Денис Кузнецов ответил, что «Пятёрочка» в курсе исчезновения баллов с бонусных карт клиентов. Он подтвердил, что «какое-то время назад к ним обращались с подобными жалобами «.
— Мы рассматриваем каждое отдельное обращение клиентов и принимаем решения исходя из результатов проведённой проверки. С учётом постоянного развития мошеннических схем компетентные службы компании непрерывно работают для их предотвращения, внося соответствующие доработки в систему, а также в режиме реального времени обнаруживают и оперативно устраняют уязвимости, — объяснил Денис Кузнецов.
Почему так происходит?
Хакеры, в отличие от программистов компании X5 Retail Group, не дремлют. Например, в мае этого года telegram-канал «Денежный» опубликовал скрипт для сайта «Пятёрочки», позволяющий привязывать активированные карты лояльности к любым номерам. Даже временным. Приложение «Пятёрочки» позволяет визуализировать штрихкод номера украденной карты. А для списания баллов на кассе только он и нужен.
X5 Retail Group, конечно, проблему тогда решила оперативно. Но на месте одной отрубленной головы выросли две новые. Во всяком случае, даже сегодня в Интернете без труда находятся продающиеся штрихкоды украденных карт с баллами. Курс плюс-минус везде одинаковый: 1 рубль на карте продают за 50 копеек. То есть карту с 5000 баллами можно купить за 250 рублей.
Каким именно эксплоитом хакеры пользуются для добычи штрихкодов сегодня, мы не знаем. Да и, в сущности, острой необходимости в этом знании нет. Поскольку в тёмных закоулках Интернета продают программы, которые автоматизируют добычу чужих карт с баллами.
В начале года за подобную софтину просили копейки — две-три тысячи рублей. Ещё дешевле услугу автовзлома магазинного пластика можно купить у ботов в «Телеграме». «Пятёрочка», к слову, не единственная сеть супермаркетов, карты лояльности которой взламываются.
Разумеется, не стоит расценивать информацию о существовании подобных систем как призыв к их использованию. Как минимум потому, что есть вполне легальный способ разжиться чужой картой «Пятёрочки» с баллами. Подробнее о нём мы рассказывали в этом материале.
Майнинг еды или «Пятерочка» глазами хакера
Введение
Немного о безопасности личных кабинетов
Как мы видим войти в личный кабинет можно используя номер телефона и пароль, но не всё так просто. После ввода данных появляется окно для ввода смс кода, который был отправлен на телефон владельца.
Казалось бы, как взломать такое? Перебрать код невозможно, есть лишь 3 попытки, а код четырёхзначный. Сразу отбрасываем данный вариант, но хакерам же как-то удаётся, значит и у нас получится!
Приложение «Пятерочка»
Как и у любого другого магазина с программой лояльности у сети магазинов «Пятерочка» есть своё приложение. Только вот приложение не простое, а со своими тараканами в коде. Давайте же разберёмся, что не так с приложением.
Вход в личный кабинет осуществляется так же с помощью номера телефона и пароля, а ещё сверху приходит смс подтверждение, но вот есть один интересный момент. Приложение «запоминает» учётную запись и при следующей попытке входа вместо смс кода на телефон отправляет пуш уведомление напрямую в приложение. Сейчас объясню поподробнее. Войдя впервые на свою учётную запись вам предстоит ввести код из смс для входа. Если вы по какой-то причине решили выйти и зайти снова, то во второй и последующие разы смс код вам приходить не будет, а вместо него в приложении будет само заполняться поле смс кода. Во диво! Сделано это конечно красиво, но есть один огромный недостаток. Замечен баг был мной в приложении «Пятерочка» версии 2.12.1, возможно есть и в других версиях. Что за баг и как его повторить?
Ниже вы можете лицезреть два видео, сняты они были не мной, но они очень наглядно показывают всю проблемы пуш уведомлений и бага приложения.
В первом видео видно, как хакер вводит данные для входа, после чего принимает смс на телефон и заходит в свой аккаунт. После чего выходит и проходит авторизацию снова. Во второй раз нам прекрасно видно, что никакая смс на телефон не приходит и поле для ввода автоматически заполняется пуш уведомлением.»
Во втором видео злоумышленник уже пытается войти в аккаунт не принадлежащий ему. Он вводит данные, но кода из смс он не знает по понятным причинам. Потом он убирает приложение из процессов и запускает его снова. На этом моменте прекрасно виден баг приложения. Открывается совершенно белое окно, после чего злоумышленник выходит из аккаунта. После чего вводит данные для входа повторно и о чудо, ему приходит пуш уведомление! Почему же такое произошло? Спросить надо у разработчиков приложения…
Методы решения
Лично я могу посоветовать разработчикам отключить пуш уведомления, что злоумышленники не могли взламывать аккаунты. Отключить конечно же на время до решения проблемы. Сам я не силён в разработке приложений и ничего дельного посоветовать не могу, но пуш уведомления они до сих пор не отключили.
Последствия
Из-за ошибки в коде страдают обычные люди, а именно добросовестные покупатели. Почитать гневные отзывы о том, что у людей украли баллы можно по ссылке: vk.com/topic-19098821_24191218. Ниже оставлю пару постов, на самом деле их намного больше, но думаю сейчас уже не смогу найти некоторые.
Проблема с воровством баллов очень актуальна и процветает это дело минимум год. Даже на пикабу можно найти посты.
Выводы
Не бывает идеальных приложений, но этот баг ужасен. Я не призываю вас преступать закон и особенно воровать что-то у кого-то! Пост был создан с целью исправить баг и достучаться до разработчиков приложения (письмо отправлял им больше месяца назад и результата ноль).
Всем добра и не допускайте таких ошибок в коде!»
В Пятерочке мошенники научились подделывать баллы и скупают за них телеги с продуктами
В Пятерочках появились люди, которые скупают телегами продукты, а платят за них поддельными пятерочными баллами. По сети разослано руководство, что если человек пытается заплатить с «Выручайки» на сумму больше 1000 рублей, то необходимо срочно сообщить об этом службе безопасности компании. Это может оказаться мошенник.
Что происходит
По всей стране в магазины сети стали заходить прилично одетые люди и набирать телеги полные самых базовых продуктов — яйца, сахар, макароны. На кассе они достают Выручай-карту и расплачиваются строго баллами с нее. Никаких денег не предают.
Служба безопасности довольно быстро забила тревогу, потому что эти баллы оказались фальшивыми. И жулики фактически забирали все эти товары бесплатно.
Сейчас магазины предупреждены и если покупатель захочет расплатиться баллами на сумму больше 1000 рублей, то необходимо будет нажать тревожную кнопку и сообщить безопасникам сети.
Почему именно сахар
Откуда они берут эти баллы будет чуть ниже, а пока про странный продуктовый выбор этих товарищей. Почему не алкоголь, кофе или шампуни?
. неизвестным мне молодым человеком, накопительных баллов по Выручай-карте «Пятерочка» при покупке сахара 1 кг и 5 кг.
Дело в том, что фейковых баллов не просто много, их бесконечно много. Сами организаторы данной схемы не ходят в магазины, они только продают «заряженные» карты с баллами на форумах и в каналах телеграмма.
Пойманные «покупатели» бесплатной еды сообщили, что брали карты по цене в 20% от номинала. Заплатив 400 рублей получали «Выручайку» с 20000 баллов (эквивалентно 2000 руб).
Эти товарищи не профессиональные воришки, которые берут товар, чтоб быстро скинуть его на рынках за половину стоимости. Они реально покупают для собственных нужд. В холодильник, на дачу, родственникам, для производства самогона.
Более того, некоторые думают, что «покупая» базовые товары можно дольше оставаться незамеченный. Мол, на дорогое кофе и спиртное обязательно обратят внимание, а мои макароны никто не заметит. Заметят.
Откуда баллы
К сожалению, товарищ, которые идут в магазины обналичивать карточки не понимают, что именно они попадают на камеры и во всех заявлениях будут фигурировать их лица.
Огромный перечень с номерами карт по которым производилась «оплата»
Огромный перечень с номерами карт по которым производилась «оплата»
. приобрел сахара 1 кг 364 шт и сахара 5 кг 1 шт. На кассе расплачивался накопительными баллами (общая сумма 13449 рублей)
Страшна даже не сама кража сахара, а именно мошенничество. Это как рассчитаться фальшивой купюрой, которую сам нарисовал. Притягивать их будут именно за этот пункт.
Если коротко про происхождение баллов, то это бывшие IT работники компании утащили с собой разные ключи и коды. Тяжело отследить первоисточник, но чтоб создавать баллы из воздуха 100% нужна была помощь изнутри.
Это не первая проблема с баллами, но раньше это почти всегда были просто дубликаты уже существующих карт (если кто-то рассчитывался вашими баллами в другом городе), а сейчас это уже новый уровень — генерация и начисление баллов на уже существующую карту.
В любом случае, никогда не понимал терпимость к рискам на которые люди готовы пойти ради «халявных» продуктов. Это же чистосердечное признание в своей тотальной бесполезности, мол, даже на продукты не могу заработать, только украсть могу.
Безбашенность и желание адреналина у малолетних подростков еще как-то можно объяснить слабоумием и отвагой, но зачем в это лезут взрослые здоровые люди? Лишиться свободы из-за продуктов питания — очень сомнительный план.