Мошенничество с М.Видео⁠⁠

Привет!

Хочу рассказать о попытке мошенничества, с которой столкнулся сегодня. Казалось бы, чем ещё могут удивить негодяи после "звонков из центробанка" и "майоров полиции" в вотсаппе, но сегодняшний кейс мне не встречался, и показался достаточно опасным, чтобы написать об этом. Заодно, быть может, получится как-то донести информацию о проблеме до М.Видео, потому что это реально какой-то треш.

В общем, я решил поменять себе газовую плиту. Долго смотрел, что выбрать, где купить, остановился на М.Видео и одной особо понравившейся модели. Сделал заказ, оплатил, и отправился по своим делам. Но на следующий день (сегодня) вдруг обнаружил у себя в телеграм сообщение от аккаунта "М.Видео" с синей галочкой (типа, подтверждённый аккаунт). В нём некий человек, представившись специалистом службы поддержки, писал мне о том, что при обработке заказа возникла проблема, и его нужно отменить и сделать заново. Им очень-очень жаль, что так получилось, и они готовы сделать 5% скидку за такое беспокойство.

В ходе разговора мне сообщили мои ФИО, номер телефона, номер и детали заказа. Я возмутился про себя, что опять у кого-то не получается просто нормально работать, но ок, что поделаешь. Отменил. Тут же увидел в телеграм сообщение, что спасибо, видим, что вы отменили заказ, зарезервировали для вас товар, как придут деньги и будете заказывать снова - напишите, мы тут же всё оформим и сделаем вам скидку.

Деньги за отменённый заказ вернулись довольно скоро, и я написал, что готов сделать заказ снова. На что человек на том конце сказал, что выслал мне письмо со скидкой. Нужно перейти по ссылке в письме, и скидка зачислится как бонусы. Окей. Смотрю почту, на которую получаю все уведомления от М.Видео - а там пусто. Пишу: так и так, нету от вас писем. На что оператор называет мне емейл, на который была отправлена почта. И это действительно мой емейл, но - другой. Причём вроде как особо нигде не использовавшийся. И уж точно не использовавшийся мной для М.Видео.

Окей, захожу в письмо, жму по ссылке. К чести Яндекса, на котором была заведена эта почта - тут же вылетает предупреждение, что возможен переход на фишинговый сайт. Я решаю посмотреть, что к чему, поэтому игнорирую предупреждение. И дальше вижу нормальный такой чекаут М.Видео, мой товар, применённую скидку, но - адрес сайта выглядит как mvideo.ru-что-то-тут-дальше.есть

Пишу обратно в чат - да, получил письмо, но там у вас фишинговая ссылка. После чего чат вдруг пропадает, как будто ничего и не было - видимо, был удалён его инициатором. Окей, ожидаемо. Звоню на линию М.Видео и описываю ситуацию. Чел на проводе явно не сильно хорошо понимает ситуацию, но в целом говорит то, что я ожидал услышать: никаких проблем с моим заказом не было, я отменил его сам, и я общался с мошенниками.

Из чего следует несколько весьма печальных выводов.

Во-первых, злоумышленники имеют доступ к базе данных М. Видео, содержащей довольно чувствительную информацию. Персональные данные пользователей, их заказы. Такая осведомлённость, причём судя по тому, что оператор среагировал на отмену - осведомлённость в реальном времени, - видится очень опасной.

И либо это утёкшая "налево" база, либо, что скорее (потому что другая сторона зафиксировала отмену заказа) - это непосредственно персонал М.Видео, который инициировал преступную схему пользуясь своим служебным положением. Ну или как вариант - где-то наружу торчит апишка, раздающая личные данные клиента магазина любому, кто туда стукнется.

И то, и другое, по идее должно стать поводом для расследования внутри компании М. Видео.

Во-вторых, при любом звонке или ином контакте с вами со стороны любой организации, где вам сообщают о некоей проблеме - нужно тут же позвонить им самостоятельно. Никуда не переходя, ничего не делая.

В целом было странно получить сообщение от крупного магазина в телеграм, но - это удобный способ связи, и не далее чем за пару часов до этого я так же, в телеграм, общался с поддержкой одного банка (нет, не по звонку "майора полиции", им я сам написал, через приложение). Поэтому сразу оно не насторожило, а о том, что это могут быть негодяи, я подумал, только не получив письмо на нужный адрес.

То есть, при любом контакте со стороны сервиса или организации касательно проблем связанных с доступами, покупками или деньгами - разрыв связи и звонок в саппорт по доступному публичному номеру.

В-третьих, был удивлён апатии сотрудника поддержки. Я им говорю - тут мошенники от вашего имени, зная мои персональные данные и что я купил, пытаются меня на левом сайте заставить оплатить не существующий заказ. А он посочувствовал, создал мне новый заказ, извинился... и, подозреваю, больше ничего не сделал.

PS. Первый пост, поэтому прошу прощения за возможные ошибки в оформлении.