Pozor: Zloději získali přístup k uživatelským účtům Alzy.cz a vykrádají konta zákazníkům

Alza.cz již útok oficiálně potvrdila a uvedla, že všem zákazníkům již byly peníze vráceny na konta

19. března 2018 18:44 , aktualizace středa 21. března 16:28

Krádež

Partner článku – Mraknet

     Již několika desítkám zákazníků internetového obchodu s elektronikou Alza.cz přišla faktura za zboží, které si ani neobjednali, ani nevyzvedli, ale za které nevědomky svou platební kartou zaplatili.
     Zlodějům se totiž podle našich informací podařilo získat přístup k uživatelským účtům internetového obchodu, vybrat si ty, ve kterých byla přednastavená platební karta a jejich prostřednictvím si objednat jakékoli zboží. K úhradě zboží pak došlo právě z přednastavené platební karty zákazníka.
     Pro jeho vyzvednutí zloději neváhali v účtech okrádaných zákazníků změnit telefonní číslo určené pro potvrzení objednávky. 
     K doručení pak zloději používali expresní doručení do takzvaných Alzaboxů. Z těch lze totiž zboží vyzvednout kdykoli a zcela anonymně, stačí pouze číselný kód, který je formou sms zprávy po provedení platby zaslán na číslo telefonu nastavené v zákaznickém účtu.
     Okradený zákazník Alzy tak na krádež přijde až ve chvíli, kdy mu přijde faktura a výpis z účtu.

     Zloději zřejmě tento způsob krádeží praktikují již nějakou dobu, jen v Praze již škoda na odcizeném zboží činí podle našich informací téměř jeden milion korun a první případy se začínají objevovat i v Plzni.

     Policie nám potvrdila, že kriminální policie se tímto případem intenzivně zabývá a uvedla, že vzhledem k probíhajícímu vyšetřovaní není možné podávat další informace.

     Na naši žádost se k případu vyjádřil již i zástupce společnosti Alza.cz: "Interní systémy společnosti zaznamenaly zneužití účtů několika zákazníků neznámým uživatelem, a proto Alza.cz podala trestní oznámení na neznámého pachatele, Policie ČR případ intenzivně řeší.
     K úniku přihlašovacích údajů v žádném případě na straně Alzy nedošlo. Útočník získal k uživatelským účtům přístup mimo Alzu, pod jejich identitou následně objednal zboží.
     Všechny zákazníky, u kterých byla tato situaci detekována, informovala Alza.cz okamžitě telefonicky a důrazně doporučila nastavení dostatečně bezpečného hesla, které nikde jinde nevyužívá.
      Dále firma učinila všechny potřebné kroky, aby zajistila vrácení platby zákazníkovi obratem zpět na účet. Po dobu vyšetřování se blíže k události není možné vyjadřovat."
Zástupce Alzy.cz nám také uvedl, že:
     "D
le zásad bezpečnosti Alza.cz neukládá hesla uživatelů v jiné než zašifrované podobě, což brání jejich prolomení, stejně jako přímo nedisponuje čísly kreditních karet (ta jsou uložena pouze na straně banky).
      V rámci spolupráce s policií byly některé objednávky po dohodě s vyšetřovateli stornovány až po dopadení jednoho z pachatelů.
      Veškeré finanční prostředky byly následně neprodleně vráceny na konta zákazníků."
 

     Dle těchto vyjádření tedy nejde o bezpečnostní problém přímo v systému Alzy, ale o kompromitaci účtů několika jednotlivých zákazníků. Možných cest je několik:

  • prolomené slabé heslo účtu zákazníka na Alza.cz,
  • podvodné vylákání přístupových údajů přímo od uživatelů, tzv. phishing,
  • krádež přístupových údajů z jiné služby, kdy poškození zákazníci měli stejné heslo na Alze,
  • prolomené heslo k e-mailu, s přístupem k němu lze zjistit nebo změnit hesla na mnoha místech, včetně Alzy…

     O zásadách bezpečných hesel jsme psali několikrát. Pokud máte v účtu na e-shopu uloženou platební kartu, je důležité na zabezpečení opravdu myslet a tam kde to obchod umožňuje, pojistit přihlášení ověřením např. SMS zprávou. V případě Alzy stačí na stránce „Můj účet“ zaškrtnout „Dvoufázové ověření“ a opsat kód z SMS.


V krátké době jde již o druhý útok na Alzu, i když metoda prvního útoku na plzeňskou prodejnu byla asi o půl tisíciletí starší:

Útočník z Alzy dopaden! Přinášíme podrobnou zprávu Policie ČR

Útočník z Alzy dopaden! Přinášíme podrobnou zprávu Policie ČR

26. 03. 2018, 17:08, aktualizace 09. 04. 2018, 08:33

Za recidivistou zůstaly vydrancované firmy včetně plzeňské Alzy




Mraknet

Společnost zaměřená na montáž, servis a poskytování internetového připojení vč. mnoha dalších služeb jako je telefon, televize, kamerové systémy, servery. Prioritou společnosti je kvalita a špičková péče o zákazníka.