W kultowej scenie filmu “Vabank” Henryk Kwinto dobiera się do sejfu. Kiedy go po chwili otwiera, słyszy: – Jak pan to zrobił? – Trzeba było uważać – pada odpowiedź.
To właśnie usłyszałem dziś od swojej małżonki, kiedy marka Allegro koncertowo zostawiła mnie z problemem i potraktowała jak numerek w cyfrowej poczekalni. Na którego nie ma się ani czasu, ani ochoty, ani … empatii konsumenckiej. Cechy, która jest kluczową dla marek 5.0. Niestety, Allegro dołącza do klubu marek cyfrowych, w których zrozumienie customer experience jest pustosłowiem. W tym klubie mamy Metę, Wizzair [zobacz wpis na ten temat] i wiele innych. Mają jedną cechę: zbudowały wielkie procesy cyfrowej automatyzacji obsługi oraz stały się wielkimi firmami międzynarodowymi. Zapomniały o jednym – ich klientami są żywi ludzie, a nie boty. To od początku.
Lubię markę Allegro. A w zasadzie lubiłem. Za to, że polska firma doskonale się rozwinęła, że nawet E-Bay i Amazon muszą się z nią liczyć, jak i za fantastyczny projekt Legend Allegro. Nigdy nie sprzedawałem niczego na Allegro ani nie miałem takiej potrzeby. Zawsze kupowałem i były to wyłącznie książki.
Pracownicy przychodzą do firmy ze względu na markę, a odchodzą ze względu na szefa. Klienci cyfrowi podobnie, tylko powodem odejść jest beznadziejna obsługa klienta.
Akt 1: Moja pierwsza sprzedaż
Dziś stałem się sprzedawcą Allegro i po raz pierwszy wystawiłem “Toporowo” do sprzedaży. To forma poszukiwania różnorodnych kanałów dystrybucji do swojej książki. Oferta się pojawiła, a za chwilę – pierwszy zakup. Cytując Michała Sadowskiego, jaram się jak kuna w agreście.
Dostaję mail ze skrzynki powiadomienia@allegro.pl o tym, że mam nową wiadomość od użytkownika, który dokonał zakupu. Mail kieruje mnie do linku https://t.allegro.pl który jest stroną https://allegro.pl/. Wszystko w bezpiecznych domenach. Żadnych podejrzanych linków. Przechodzę do centrum wiadomości Allegro – wszystko w domenie https://allegro.pl/moje-allegro/moje-konto/centrum-wiadomosci/wiadomosci/ i zastaję tam wiadomość o treści:
“Dzień dobry Pan/i przepraszam, że przeszkadzam, ale udało mi się zapłacić Toporowo. Opowiadania dla miłośników czarnego humoru i otrzymałem tę instrukcję, proszę spojrzeć”.
Do wiadomości dołączony jest plik jpg z informacją, że zamówienie jest opłacone i aby potwierdzić zamówienie, muszę zeskanować QR kod. W sumie wydało mi się to dość dziwne, ale nie na tyle dziwne, żeby włączyć lampkę bezpieczeństwa. Ostatecznie wydawało mi się, że funkcjonuję w super-hiper-cyberbezpiecznym ekosystemie Allegro i firma, która działa od 1999 roku, nie takie rzeczy widziała. Okazuje się, że się myliłem.
– Trzeba było uważać – zasmiały się w tym momencie trolle za wschodnią granicą, które uprawiają QRshing.
Co to jest QRshing? To technika oszustwa internetowego, która wykorzystuje kody QR do wyłudzania informacji od użytkowników. Nazwa “QRshing” pochodzi od połączenia skrótu “QR” (Quick Response) i słowa “phishing” (od angielskiego “fishing” – łowienie, tutaj w kontekście “łowienia” danych osobowych i finansowych). Oszuści tworzą fałszywe kody QR, które po zeskanowaniu przez ofiarę kierują ją na strony internetowe wyglądające na autentyczne, ale w rzeczywistości są to strony służące do kradzieży danych. Może to być np. fałszywa strona logowania do banku, portalu społecznościowego czy sklepu internetowego, gdzie użytkownik wpisuje swoje dane logowania, które następnie trafiają w ręce oszustów. Pierwsze wzmianki o tego typu atakach pojawiły się około 2011-2012 roku. Wraz z rosnącą popularnością kodów QR, zwłaszcza w marketingu i płatnościach mobilnych, oszuści zaczęli wykorzystywać tę technologię do swoich celów. W miarę jak coraz więcej osób korzystało z urządzeń mobilnych do skanowania kodów QR, zwiększała się liczba ataków QRshingowych.
Poczytasz o tym procederze na Niebezpieczniku.
Teraz już jestem mądrzejszy o tę wiedzę. Niemniej nie wyczułem zagrożenia i kliknąłem w QR kod. Pewnie za chwilę bym o tym zapomniał, ale w statusie zakupów nie pojawiła się żadna zmiana. Dlatego nawiązałem kontakt z Allegro i tutaj zaczęła się cała zabawa.
Akt 2: Ale o co chodzi?
Jak się można uchronić przez QRshingiem? Po pierwsze, skanuj kody z zaufanych źródeł. Brak podejrzeń – przecież jestem w wewnętrznym systemie cyfrowym Allegro. Po drugie, sprawdź adres URL, na który przekierowuje kod QR, zanim wprowadzisz jakiekolwiek dane. OK, tego nie zrobiłem, przecież jestem w superbezpiecznym systemie Allegro, który obsługuje tak gigantyczne projekty, jak Wielka Orkiestra Świątecznej Pomocy. To nie jest osiedlowy marketplace, który sprzedaje pokątnie śrubki do luftklemp. Po trzecie, upewnij się, że masz aktualne oprogramowanie zabezpieczające na swoim urządzeniu. Mam, ostatecznie za każdym razem w nocy Tim Cook szarpie mnie za ramię i mówi, że właśnie zaktualizował mój system. Co jeszcze miałem zrobić? Zatańczyć? Zaśpiewać?
– Trzeba było uważać!!! – powtórzy genialny Jan Machulski (1928-2008) z moją żoną.
Fakt. Nie uważałem.
Akt 3: Allegro, czyli zgłoś Pan to na policję
W sumie nie wiem nic. Allegro nie ma infolinii, mało która korporacja cyfrowa ją posiada. Obsługa ludzka po prostu zbyt dużo kosztuje, jak i digital biznes, który wyrósł na programistach, nie uznaje tej formy. Zamiast zastosować tradycyjnej formy zgłoszenia przez e-mail, wybieram czat. O 12:35 łączy się ze mną konsultant ML (anonimizacja na prośbę Allegro). Nie mam pojęcia, czy to prawdziwe imię i nazwisko, korporacyjny pseudonim czy inna forma identyfikacji.
Po przekazaniu informacji otrzymuję wiadomość:
“Dana wiadomość nie była wysłana z naszej strony i nasz dział bezpieczeństwa już zajął się tą sprawą :)”
Ten uśmieszek na końcu mnie jednak wkurzył. Za chwilę:
“Zostało to wysłane przez innego użytkowania za pośrednictwem Centrum Wiadomości, dana wiadomość nie wypłynęła ze strony Allegro. Nasze centrum wiadomości, na którym każdy inny użytkownik może wysłać Panu wiadomość. w tym przypadku sugeruję zgłoszenie się na policje. Nie wymagamy wchodzenia w żadne linki i skanownia kodów QR.”.
Moi stali czytelnicy zapewne pamiętają wpis Jak brzmi “ić stont” w języku korporacji? [tylko dla dorosłych] z lutego 2024 oraz wcześniejszą wersję Kulturalni inaczej z kwietnia 2013. Nie ma trafniejszego sposobu opisania podejścia konsultanta ML. To po prostu pełna metafora kultowej frazy – nie mamy pańskiego płaszcza i co nam pan zrobisz?
Niestety, cyfrowej policji nie ma, a wyłudzanie danych można zgłaszać do NASK. Robiłem to wielokrotnie, otrzymując wszelkiej maści SMSy o dopłatach do paczek czy dziwacznych ofertach.
Akt 4: Podsumowanie
W Polsce przychody Allegro to prawie 8 mld zł. EBITDA to wzrost o 28% do prawie 3 mld zł. Plan inwestycyjny na 2024 rok to 110-120 mln zł. Allegro nie jest osiedlowym, marnym warzywniakiem. Mam taką nadzieję. Dlaczego w takim razie customer experience w kontekście cyberbezpieczeństwa jest na takim poziomie?
Nie potrzebuję usprawiedliwień Allegro. Doskonale wiem, że ludziom od reakcji na takie wpisy, płaci się ciężkie pieniądze za odwracanie kota ogonem.
Mogę tylko dać marce trzy, proste, darmowe rekomendacje, dotyczące takich sytuacji:
- Zapewnijcie w takich historiach, bezpośrednią, telefoniczną rozmowę z kimś od cyberbezpieczeństwa w Allegro. Człowiek, który dokładnie wypyta, wytłumaczy, powie, co można zrobić np. zmienić hasła itp. To nie musi być pracownik firmy, ale wynajęta do tego organizacja, która nie będzie używać programistycznego żargonu.
- Zainicjujcie lub włącznie się w programy masowej edukacji w zakresie cyberbezpieczeństwa. Nie chodzi o ISTNIEJĄCYCH klientów Allegro. Ale o tych przyszłych. Dziś STAŁEM się PIERWSZY RAZ sprzedawcą Allegro. O swoich wrażeniach z tego pierwszego razu już napisałem …Mbank uczy masowo klientów jak się chronić przed cyberoszustami, może kolej na Allegro?
- Zamiast wypisywać masy treści na swoich stronach, może warto stworzyć filmik trwający jedną minutę, który będzie musiał obejrzeć KAŻDY nowy sprzedawca. W tym filmiku w prosty sposób można pokazać, na co powinno się uważać przy realizacji transakcji.
Empatia konsumencka jest czymś, co rozumieją doskonale właściciele małych firm, szczególnie ci, którzy spotykają się z klientami twarzą w twarz. Firmy cyfrowe, dla których klienci są tylko zapisem w CRM czy e-commerce, wydają się tego kompletnie nie rozumieć. Reguła jest prosta – im więcej optymalizacji zarządzania w ramach procesów cyfrowych, tym człowiek staje się ważniejszy. Nawet jeżeli będzie to doskonale przygotowana do tego AI.
PS. Wielkie dzięki dla Piotrka Koniecznego, Niebezpiecznik i Artura Kurasińskiego za pomoc w tym tekście i przypadku.
Od lat twierdzę, że małe rodzinne firmy są niebo lepsze i bardziej przyjazne klientom niż wszelkiej maści korporacje i molochy.
Hmm, w Allegro można zamówić rozmowę telefoniczną – na etapie wyboru sposobu kontaktu…
można, ale ze względów operacyjnych wybrałem chat. Nie miałem wolnych slotów czasowych, żeby czekać na połączenie
a wogole, to radzi pan zatrudniac fachowcow, .. od sprzedazy w inyernecie i technologii komputerowych tez sa.. coz koszt alternatywny.
Rekomenduję naprawdę czytać ze stosowną UWAŻNOŚCIĄ oraz patrzenie na proces oczami KLIENTA, a nie korpo. Próba fraudu następuje WEWNĄTRZ systemu. I to jest kwestia procesów zarządzania, a nie szukania winnego. To model stosowany od lat w lotnictwie – szukaj przyczyn i sposobów rozwiązania, a nie winnych. A co do klasy? Cóż, każdy ma swoją. Z uszanowaniem.
Allegro złe, ja niewinny. przecież dostał Pan wiadomość na temat procedury w takim wypadku. Nie zalecają klikać lub wchodzić na jakieś strony + zgłoszenie na policję. Co mają jeszcze zrobić? Przeprosić za to że nie mają systemu który będzie robił detekcję phishing w swoich wiadomościach? Nie rozumiem czego Pan oczekuje
napisze dużymi literami, bo może słabo to wybrzmiało. WEWNĄTRZ SYSTEMU ALLEGRO OCZEKUJĘ BEZPIECZEŃSTWA. Jak wejdzie Pan do systemu bankowego i otrzyma WIADOMOŚĆ Z BANKU – wewnątrz tego systemu, sygnowane podpisem banku – będzie Pan podejrzewał fraud? To o to chodzi. A nie o bezmyślne klikanie gdzie popadnie.
Gorszy support od Allegro ma już tylko Tauron. Jedna wielka spychologia i szablonowe odpowiedzi nie na temat.
Szkoda, że nie podał Pan adresu strony internetowej na jaką przekierował Pana ten kod QR. Zapewne po jego przeczytaniu można się zorientować, że coś jest nie tak i nie należy podawać danych logowania….
wysłałem te dane do bezpieczeństwa Allegro i Niebezpiecznika
Panie Jacku “kradnę” historię, żeby podzielić się nią ze współpracowanikiami. 🙂 Na pewno bardzi ważne jest, aby budować świadomość tego typu zagrożeń. Akurat niedawno nasza centrala przygotowała elearning dotyczący QRshing, więc jest to temat na czasie.
fajnie 🙂 dzięki i powodzenia 🙂 tu jest dalszy ciąg 🙂 https://kotarbinski.com/blogomarketingu/komu-zagraza-cyberzboj-i-co-z-tego-wynika/
Na głównej stronie Allegro.pl jest link “Bezpieczeństwo”, które prowadzi do strony: https://cert.allegro.com/, gdzie jest wszystko opisane i podane kontakty dla tego typu sytuacji.
pewnie. Szczególnie nastolatka sprzedająca sukienkę wgłębi się w tę lekturę …
Komentarze na poziomie gorszym niż obsługa allegro. Jeżeli ktoś nie potrafi jeździć autem to nie powinien tego robić. Jeżeli ktoś “nie umie w internetu” to powinien ograniczyć swoją aktywność do prowadzenia bloga albo zagłębić się w lekturę przed dokonaniem sprzedaży w internecie. Nie wiem dlaczego cały artykuł zawiera pretensje do allegro, jeżeli jedyną wspólną rzeczą jest to, że wiadomość została wysłana przez centrum wiadomości allegro. Dalsza część historii odbywała się na jakiejś lewej stronie, do której doprowadziło naiwne zeskanowanie kodu QR. Następnym razem podasz komuś kod BLIK i też będziesz miał pretensje do Bliska, że nie ochronił przed kradzieżą?
Typowy hejterski komentarz, z jakiegoś anonimowego konta. Ale skomentuję. Nie wymagam od czytelników mojego bloga znajomości UX, procesów i procedur bezpieczeństwa i takich takich. Ale od krytykantów i trolli wymagałbym chociaż czytania ze zrozumieniem, chyba że tego już się nie wymaga. A historia NIE ODBYWAŁA SIĘ NA LEWEJ STRONIE, ani gdziekolwiek POZA logowaniem się na Allegro. Nawet mail był wysłany Z SERWERA Allegro i wszystko się działo WEWNĄTRZ ekosystemu firmy. To tak jak zalogować się do banku i otrzymać wiadomość Z SERWERA BANKU, że żeby coś potwierdzić, trzeba coś kliknąć. Proszę przeczytać ze zrozumieniem ten wpis i obejrzeć sobie film “Żądło”. Bardzo dobry. https://kotarbinski.com/blogomarketingu/komu-zagraza-cyberzboj-i-co-z-tego-wynika/
Nie żebym się chciał specjalnie czepiać czy bronić Allegro. Sam Pan napisał, cyt. “nową wiadomość od użytkownika, który dokonał zakupu.” – od _użytkownika_. Ekosystem Allegro tylko tę wiadomość do Pana dostarczył, nie wysłał. Wysłał użytkownik. Tak jak by Pan chciał mieć pretensje do Poczty Polskiej, że doręczyła Panu list z wąglikiem, zapewne był bezpieczny, bo przecież listonosz z PP przyniósł. Szczerze wątpię, a wręcz mam pewność, że Allegro nie ma prawa przekazać Panu danych owego użytkownika. Może to zrobić co najwyżej na wniosek uprawnionego organu. I tędy droga, a nie spychologia Allegro. Oni co najwyżej mogą (jeśli mają podstawy i prawo), zablokować konto owego użytkownika. A na marginesie innej wypowiedzi o nastolatce sprzedającej sukienkę – nie potrafię sobie wyobrazić, jak jakakolwiek platforma cyfrowa byłaby w stanie zmusić nastolatka do zapoznania się ze zrozumieniem z podsuwaną mu treścią. Pozdrawiam!
Analizujesz to na poziomie “co by było gdyby”, a ja to robię na poziomie bezpieczeństwa procesu online w marketplace. Szerzej będzie pewnie w książce, oczywiście z anonimizacją marki. Allegro analizuje proces i mam nadzieję – dokona modyfikacji pewnych procedur. Pozdrawiam / JK
A szukał Pan na pewno wystarczająco dokładnie?
“W sumie nie wiem nic. Allegro nie ma infolinii, mało która korporacja cyfrowa ją posiada. Obsługa ludzka po prostu zbyt dużo kosztuje, jak i digital biznes, który wyrósł na programistach, nie uznaje tej formy.”
Wszystkie tak bardzo poszukiwane i pożadane przez Pana formy kontaktu istnieją na Allegro, zarówno telefoniczna jak i pisemna, co jak również zdążył Pan zauważyć niejako wyróżnia ich dzisiaj na rynku firm technologicznych.
Ale cóż, “artykuł’ pisany mocno pod własną tezę to i “fakty” są odpowiednio naciągane. 😉
Serdecznie pozdrawiam.
jestem naukowcem i nie zajmuję się pisaniem tekstów “pod tezę”. Case Allegro jest analizą procesu UX w kontekście bezpieczeństwa usera i o tym jest m.in. kolejny wpis na ten temat. Treści mojego bloga są kierowane do profesjonalistów marketingu i ekspertów, stąd nie zawsze mogą być w pełni komunikatywne dla czytelników spoza branży lub amatorów. Zapewniam, że Allegro doskonale rozumie problem i wprowadzi zmiany dotyczące usprawnienia tego procesu biznesowego.
Szkoda, że nie można odnieść się do odpowiedzi (albo nie potrafię znaleźć), więc tu. Nie, nie “co by było gdyby”. Podpieram się tylko tym co Pan sam napisał. Sprzedał Pan książkę. Ten kto kupił wysłał Panu wiadomość z kodem QR. Allegro pośredniczyło tylko w przekazaniu tej wiadomości, a z ekosystemu przyszło jedynie powiadomienie, że Pan wiadomość otrzymał. Może Pan złożyć zawiadomienie na Policji, oni wystąpią do Allegro i podejmą dalsze działania. Tyle w temacie. Nie będę gdybał czy Allegro analizuje treści wiadomości pomiędzy użytkownikami. Jeśli ktoś nie dochowa ostrożności przy otwieraniu linków z QR, nikt inny tego za niego nie zrobi. A kwestia edukowania wymaga niestety chęci po obu stronach… Jakieś ćwierć wieku temu krążył po internetach “wirus honorowy” – “Wyślij tego maila do swoich znajomych a następnie wykasuj wszystkie swoje pliki”. Bądźmy poważni, ne obwiniajmy dostawcy za to co wysyła nadawca (a nie wysłał złośliwego kodu – nie mylić z kodem QR, który nadal jest tylko wiadomością która sama z siebie krzywdy nie zrobi), i działajmy ścieżkami przewidzianymi przez prawo. Będzie skuteczniej.
Nie wiem jak długo Pan/Pani używa internetu. U mnie to już 28 rok. Naprawdę wiem co robię w sieci i jakie są zasady bezpieczenstwa. Nieustannie polecam film “Żądło”. Warto. Argument z policją traktuję w kategoriach żartu ponieważ doskonale znam realia. EOT.
Wychodzi, że tyle samo, od uruchomienia pierwszego węzła na UW. I wygląda, że nie do końca, skoro przy QR kodzie wysłanym przez nieznanego Panu użytkownika nie zapaliła się Panu lampka… A Policja w kontekście ewentualnego ścigania sprawcy – Allegro z pewnością nie udostępni Panu jako osobie prywatnej danych użytkownika. Dlatego tam Pana odesłali i nie ma co na nich za to psów wieszać…
To nie był “nieznany użytkownik” ani obce konto. Mail przychodzi z oficjalnego konta Allegro i powiadomienie jest w wewnętrznym systemie. To tak jakby Pan logował się do banku i w wewnętrznej korespondencji, bank napisze Panu, żeby kliknąć coś, żeby potwierdzić. Jest to wyjaśnione wyraźnie w tekście, kwestia uważności w czytaniu.
To żenujące że po 28 latach używania internetu ‚takie kwiatki’ Pan wyczynia. Czyżby brak slotów czasowych, jak Pan to nazwał, na rozumienie? A na bzdurne odpowiedzi na rzeczową krytykę artykuliku pod teżę sloty są? Pozdrawiam, Piotr.
cyt. “A na bzdurne odpowiedzi na rzeczową krytykę artykuliku pod teżę sloty są?”. Zastanawiałem się czy to jakoś skomentować. Anonimowy, hejterski komentarz, typowy sofizmat argumentum ad personam. Za Wikipedią – “pozamerytoryczny sposób argumentowania, w którym dyskutant porzuca właściwy spór i zaczyna opisywać faktyczne lub rzekome cechy swego przeciwnika bądź jego dokonania”. Maść na stosowny ból bym wysłał, ale paczkomatu odbiorcy nie znam. Nawet nie sparfrazuję Michała Rusinka, załączając stosowne wyrazy. Szkoda czasu na polemikę z trollem.