ALLEGRO: jesteście kompletnym zaprzeczeniem marki 5.0

W kultowej scenie filmu “Vabank” Henryk Kwinto dobiera się do sejfu. Kiedy go po chwili otwiera, słyszy: – Jak pan to zrobił? – Trzeba było uważać – pada odpowiedź. 

To właśnie usłyszałem dziś od swojej małżonki, kiedy marka Allegro koncertowo zostawiła mnie z problemem i potraktowała jak numerek w cyfrowej poczekalni. Na którego nie ma się ani czasu, ani ochoty, ani … empatii konsumenckiej. Cechy, która jest kluczową dla marek 5.0. Niestety, Allegro dołącza do klubu marek cyfrowych, w których zrozumienie customer experience jest pustosłowiem. W tym klubie mamy Metę, Wizzair [zobacz wpis na ten temat] i wiele innych. Mają jedną cechę: zbudowały wielkie procesy cyfrowej automatyzacji obsługi oraz stały się wielkimi firmami międzynarodowymi. Zapomniały o jednym – ich klientami są żywi ludzie, a nie boty. To od początku. 

Lubię markę Allegro. A w zasadzie lubiłem. Za to, że polska firma doskonale się rozwinęła, że nawet E-Bay i Amazon muszą się z nią liczyć, jak i za fantastyczny projekt Legend Allegro. Nigdy nie sprzedawałem niczego na Allegro ani nie miałem takiej potrzeby. Zawsze kupowałem i były to wyłącznie książki. 

Pracownicy przychodzą do firmy ze względu na markę, a odchodzą ze względu na szefa. Klienci cyfrowi podobnie, tylko powodem odejść jest beznadziejna obsługa klienta.

Akt 1: Moja pierwsza sprzedaż

Dziś stałem się sprzedawcą Allegro i po raz pierwszy wystawiłem “Toporowo” do sprzedaży. To forma poszukiwania różnorodnych kanałów dystrybucji do swojej książki. Oferta się pojawiła, a za chwilę – pierwszy zakup. Cytując Michała Sadowskiego, jaram się jak kuna w agreście. 

Dostaję mail ze skrzynki powiadomienia@allegro.pl o tym, że mam nową wiadomość od użytkownika, który dokonał zakupu. Mail kieruje mnie do linku https://t.allegro.pl który jest stroną https://allegro.pl/. Wszystko w bezpiecznych domenach. Żadnych podejrzanych linków. Przechodzę do centrum wiadomości Allegro – wszystko w domenie https://allegro.pl/moje-allegro/moje-konto/centrum-wiadomosci/wiadomosci/ i zastaję tam wiadomość o treści:

“Dzień dobry Pan/i przepraszam, że przeszkadzam, ale udało mi się zapłacić Toporowo. Opowiadania dla miłośników czarnego humoru i otrzymałem tę instrukcję, proszę spojrzeć”.

Do wiadomości dołączony jest plik jpg z informacją, że zamówienie jest opłacone i aby potwierdzić zamówienie, muszę zeskanować QR kod. W sumie wydało mi się to dość dziwne, ale nie na tyle dziwne, żeby włączyć lampkę bezpieczeństwa. Ostatecznie wydawało mi się, że funkcjonuję w super-hiper-cyberbezpiecznym ekosystemie Allegro i firma, która działa od 1999 roku, nie takie rzeczy widziała. Okazuje się, że się myliłem. 

– Trzeba było uważać – zasmiały się w tym momencie trolle za wschodnią granicą, które uprawiają QRshing.

Co to jest QRshing? To technika oszustwa internetowego, która wykorzystuje kody QR do wyłudzania informacji od użytkowników. Nazwa “QRshing” pochodzi od połączenia skrótu “QR” (Quick Response) i słowa “phishing” (od angielskiego “fishing” – łowienie, tutaj w kontekście “łowienia” danych osobowych i finansowych). Oszuści tworzą fałszywe kody QR, które po zeskanowaniu przez ofiarę kierują ją na strony internetowe wyglądające na autentyczne, ale w rzeczywistości są to strony służące do kradzieży danych. Może to być np. fałszywa strona logowania do banku, portalu społecznościowego czy sklepu internetowego, gdzie użytkownik wpisuje swoje dane logowania, które następnie trafiają w ręce oszustów. Pierwsze wzmianki o tego typu atakach pojawiły się około 2011-2012 roku. Wraz z rosnącą popularnością kodów QR, zwłaszcza w marketingu i płatnościach mobilnych, oszuści zaczęli wykorzystywać tę technologię do swoich celów. W miarę jak coraz więcej osób korzystało z urządzeń mobilnych do skanowania kodów QR, zwiększała się liczba ataków QRshingowych.

Poczytasz o tym procederze na Niebezpieczniku. 

Teraz już jestem mądrzejszy o tę wiedzę. Niemniej nie wyczułem zagrożenia i kliknąłem w QR kod. Pewnie za chwilę bym o tym zapomniał, ale w statusie zakupów nie pojawiła się żadna zmiana. Dlatego nawiązałem kontakt z Allegro i tutaj zaczęła się cała zabawa. 

Akt 2: Ale o co chodzi? 

Jak się można uchronić przez QRshingiem? Po pierwsze, skanuj kody z zaufanych źródeł. Brak podejrzeń – przecież jestem w wewnętrznym systemie cyfrowym Allegro. Po drugie, sprawdź adres URL, na który przekierowuje kod QR, zanim wprowadzisz jakiekolwiek dane. OK, tego nie zrobiłem, przecież jestem w superbezpiecznym systemie Allegro, który obsługuje tak gigantyczne projekty, jak Wielka Orkiestra Świątecznej Pomocy. To nie jest osiedlowy marketplace, który sprzedaje pokątnie śrubki do luftklemp. Po trzecie, upewnij się, że masz aktualne oprogramowanie zabezpieczające na swoim urządzeniu. Mam, ostatecznie za każdym razem w nocy Tim Cook szarpie mnie za ramię i mówi, że właśnie zaktualizował mój system. Co jeszcze miałem zrobić? Zatańczyć? Zaśpiewać? 

– Trzeba było uważać!!! – powtórzy genialny Jan Machulski (1928-2008) z moją żoną. 

Fakt. Nie uważałem.  

Akt 3: Allegro, czyli zgłoś Pan to na policję

W sumie nie wiem nic. Allegro nie ma infolinii, mało która korporacja cyfrowa ją posiada. Obsługa ludzka po prostu zbyt dużo kosztuje, jak i digital biznes, który wyrósł na programistach, nie uznaje tej formy. Zamiast zastosować tradycyjnej formy zgłoszenia przez e-mail, wybieram czat. O 12:35 łączy się ze mną konsultant ML (anonimizacja na prośbę Allegro). Nie mam pojęcia, czy to prawdziwe imię i nazwisko, korporacyjny pseudonim czy inna forma identyfikacji.

Po przekazaniu informacji otrzymuję wiadomość:

“Dana wiadomość nie była wysłana z naszej strony i nasz dział bezpieczeństwa już zajął się tą sprawą :)” 

Ten uśmieszek na końcu mnie jednak wkurzył. Za chwilę:

“Zostało to wysłane przez innego użytkowania za pośrednictwem Centrum Wiadomości, dana wiadomość nie wypłynęła ze strony Allegro. Nasze centrum wiadomości, na którym każdy inny użytkownik może wysłać Panu wiadomość. w tym przypadku sugeruję zgłoszenie się na policje. Nie wymagamy wchodzenia w żadne linki i skanownia kodów QR.”.

Moi stali czytelnicy zapewne pamiętają wpis Jak brzmi “ić stont” w języku korporacji? [tylko dla dorosłych] z lutego 2024 oraz wcześniejszą wersję Kulturalni inaczej z kwietnia 2013. Nie ma trafniejszego sposobu opisania podejścia konsultanta ML. To po prostu pełna metafora kultowej frazy – nie mamy pańskiego płaszcza i co nam pan zrobisz?

Niestety, cyfrowej policji nie ma, a wyłudzanie danych można zgłaszać do NASK. Robiłem to wielokrotnie, otrzymując wszelkiej maści SMSy o dopłatach do paczek czy dziwacznych ofertach. 

Akt 4: Podsumowanie

W Polsce przychody Allegro to prawie 8 mld zł. EBITDA to wzrost o 28% do prawie 3 mld zł. Plan inwestycyjny na 2024 rok to 110-120 mln zł. Allegro nie jest osiedlowym, marnym warzywniakiem. Mam taką nadzieję. Dlaczego w takim razie customer experience w kontekście cyberbezpieczeństwa jest na takim poziomie?  

Nie potrzebuję usprawiedliwień Allegro. Doskonale wiem, że ludziom od reakcji na takie wpisy, płaci się ciężkie pieniądze za odwracanie kota ogonem. 

Mogę tylko dać marce trzy, proste, darmowe rekomendacje, dotyczące takich sytuacji:

  1. Zapewnijcie w takich historiach, bezpośrednią, telefoniczną rozmowę z kimś od cyberbezpieczeństwa w Allegro. Człowiek, który dokładnie wypyta, wytłumaczy, powie, co można zrobić np. zmienić hasła itp. To nie musi być pracownik firmy, ale wynajęta do tego organizacja, która nie będzie używać programistycznego żargonu. 
  2. Zainicjujcie lub włącznie się w programy masowej edukacji w zakresie cyberbezpieczeństwa. Nie chodzi o ISTNIEJĄCYCH klientów Allegro. Ale o tych przyszłych. Dziś STAŁEM się PIERWSZY RAZ sprzedawcą Allegro. O swoich wrażeniach z tego pierwszego razu już napisałem …Mbank uczy masowo klientów jak się chronić przed cyberoszustami, może kolej na Allegro? 
  3. Zamiast wypisywać masy treści na swoich stronach, może warto stworzyć filmik trwający jedną minutę, który będzie musiał obejrzeć KAŻDY nowy sprzedawca. W tym filmiku w prosty sposób można pokazać, na co powinno się uważać przy realizacji transakcji.  

Empatia konsumencka jest czymś, co rozumieją doskonale właściciele małych firm, szczególnie ci, którzy spotykają się z klientami twarzą w twarz. Firmy cyfrowe, dla których klienci są tylko zapisem w CRM czy e-commerce, wydają się tego kompletnie nie rozumieć. Reguła jest prosta – im więcej optymalizacji zarządzania w ramach procesów cyfrowych, tym człowiek staje się ważniejszy. Nawet jeżeli będzie to doskonale przygotowana do tego AI. 

PS. Wielkie dzięki dla Piotrka Koniecznego, NiebezpiecznikArtura Kurasińskiego za pomoc w tym tekście i przypadku.

26 komentarzy

    1. Szkoda, że nie podał Pan adresu strony internetowej na jaką przekierował Pana ten kod QR. Zapewne po jego przeczytaniu można się zorientować, że coś jest nie tak i nie należy podawać danych logowania….

      Mikrus
  1. Panie Jacku “kradnę” historię, żeby podzielić się nią ze współpracowanikiami. 🙂 Na pewno bardzi ważne jest, aby budować świadomość tego typu zagrożeń. Akurat niedawno nasza centrala przygotowała elearning dotyczący QRshing, więc jest to temat na czasie.

    Agnieszka
      1. Komentarze na poziomie gorszym niż obsługa allegro. Jeżeli ktoś nie potrafi jeździć autem to nie powinien tego robić. Jeżeli ktoś “nie umie w internetu” to powinien ograniczyć swoją aktywność do prowadzenia bloga albo zagłębić się w lekturę przed dokonaniem sprzedaży w internecie. Nie wiem dlaczego cały artykuł zawiera pretensje do allegro, jeżeli jedyną wspólną rzeczą jest to, że wiadomość została wysłana przez centrum wiadomości allegro. Dalsza część historii odbywała się na jakiejś lewej stronie, do której doprowadziło naiwne zeskanowanie kodu QR. Następnym razem podasz komuś kod BLIK i też będziesz miał pretensje do Bliska, że nie ochronił przed kradzieżą?

        Karol
        1. Typowy hejterski komentarz, z jakiegoś anonimowego konta. Ale skomentuję. Nie wymagam od czytelników mojego bloga znajomości UX, procesów i procedur bezpieczeństwa i takich takich. Ale od krytykantów i trolli wymagałbym chociaż czytania ze zrozumieniem, chyba że tego już się nie wymaga. A historia NIE ODBYWAŁA SIĘ NA LEWEJ STRONIE, ani gdziekolwiek POZA logowaniem się na Allegro. Nawet mail był wysłany Z SERWERA Allegro i wszystko się działo WEWNĄTRZ ekosystemu firmy. To tak jak zalogować się do banku i otrzymać wiadomość Z SERWERA BANKU, że żeby coś potwierdzić, trzeba coś kliknąć. Proszę przeczytać ze zrozumieniem ten wpis i obejrzeć sobie film “Żądło”. Bardzo dobry. https://kotarbinski.com/blogomarketingu/komu-zagraza-cyberzboj-i-co-z-tego-wynika/

          Jacek Kotarbiński
          1. Nie żebym się chciał specjalnie czepiać czy bronić Allegro. Sam Pan napisał, cyt. “nową wiadomość od użytkownika, który dokonał zakupu.” – od _użytkownika_. Ekosystem Allegro tylko tę wiadomość do Pana dostarczył, nie wysłał. Wysłał użytkownik. Tak jak by Pan chciał mieć pretensje do Poczty Polskiej, że doręczyła Panu list z wąglikiem, zapewne był bezpieczny, bo przecież listonosz z PP przyniósł. Szczerze wątpię, a wręcz mam pewność, że Allegro nie ma prawa przekazać Panu danych owego użytkownika. Może to zrobić co najwyżej na wniosek uprawnionego organu. I tędy droga, a nie spychologia Allegro. Oni co najwyżej mogą (jeśli mają podstawy i prawo), zablokować konto owego użytkownika. A na marginesie innej wypowiedzi o nastolatce sprzedającej sukienkę – nie potrafię sobie wyobrazić, jak jakakolwiek platforma cyfrowa byłaby w stanie zmusić nastolatka do zapoznania się ze zrozumieniem z podsuwaną mu treścią. Pozdrawiam!

            Adam
          2. Analizujesz to na poziomie “co by było gdyby”, a ja to robię na poziomie bezpieczeństwa procesu online w marketplace. Szerzej będzie pewnie w książce, oczywiście z anonimizacją marki. Allegro analizuje proces i mam nadzieję – dokona modyfikacji pewnych procedur. Pozdrawiam / JK

            Jacek Kotarbiński
  2. A szukał Pan na pewno wystarczająco dokładnie?

    “W sumie nie wiem nic. Allegro nie ma infolinii, mało która korporacja cyfrowa ją posiada. Obsługa ludzka po prostu zbyt dużo kosztuje, jak i digital biznes, który wyrósł na programistach, nie uznaje tej formy.”

    Wszystkie tak bardzo poszukiwane i pożadane przez Pana formy kontaktu istnieją na Allegro, zarówno telefoniczna jak i pisemna, co jak również zdążył Pan zauważyć niejako wyróżnia ich dzisiaj na rynku firm technologicznych.

    Ale cóż, “artykuł’ pisany mocno pod własną tezę to i “fakty” są odpowiednio naciągane. 😉

    Serdecznie pozdrawiam.

    M
    1. jestem naukowcem i nie zajmuję się pisaniem tekstów “pod tezę”. Case Allegro jest analizą procesu UX w kontekście bezpieczeństwa usera i o tym jest m.in. kolejny wpis na ten temat. Treści mojego bloga są kierowane do profesjonalistów marketingu i ekspertów, stąd nie zawsze mogą być w pełni komunikatywne dla czytelników spoza branży lub amatorów. Zapewniam, że Allegro doskonale rozumie problem i wprowadzi zmiany dotyczące usprawnienia tego procesu biznesowego.

      Jacek Kotarbiński
  3. Szkoda, że nie można odnieść się do odpowiedzi (albo nie potrafię znaleźć), więc tu. Nie, nie “co by było gdyby”. Podpieram się tylko tym co Pan sam napisał. Sprzedał Pan książkę. Ten kto kupił wysłał Panu wiadomość z kodem QR. Allegro pośredniczyło tylko w przekazaniu tej wiadomości, a z ekosystemu przyszło jedynie powiadomienie, że Pan wiadomość otrzymał. Może Pan złożyć zawiadomienie na Policji, oni wystąpią do Allegro i podejmą dalsze działania. Tyle w temacie. Nie będę gdybał czy Allegro analizuje treści wiadomości pomiędzy użytkownikami. Jeśli ktoś nie dochowa ostrożności przy otwieraniu linków z QR, nikt inny tego za niego nie zrobi. A kwestia edukowania wymaga niestety chęci po obu stronach… Jakieś ćwierć wieku temu krążył po internetach “wirus honorowy” – “Wyślij tego maila do swoich znajomych a następnie wykasuj wszystkie swoje pliki”. Bądźmy poważni, ne obwiniajmy dostawcy za to co wysyła nadawca (a nie wysłał złośliwego kodu – nie mylić z kodem QR, który nadal jest tylko wiadomością która sama z siebie krzywdy nie zrobi), i działajmy ścieżkami przewidzianymi przez prawo. Będzie skuteczniej.

    Adam
    1. Nie wiem jak długo Pan/Pani używa internetu. U mnie to już 28 rok. Naprawdę wiem co robię w sieci i jakie są zasady bezpieczenstwa. Nieustannie polecam film “Żądło”. Warto. Argument z policją traktuję w kategoriach żartu ponieważ doskonale znam realia. EOT.

      Jacek Kotarbiński
      1. Wychodzi, że tyle samo, od uruchomienia pierwszego węzła na UW. I wygląda, że nie do końca, skoro przy QR kodzie wysłanym przez nieznanego Panu użytkownika nie zapaliła się Panu lampka… A Policja w kontekście ewentualnego ścigania sprawcy – Allegro z pewnością nie udostępni Panu jako osobie prywatnej danych użytkownika. Dlatego tam Pana odesłali i nie ma co na nich za to psów wieszać…

        Adam
        1. To nie był “nieznany użytkownik” ani obce konto. Mail przychodzi z oficjalnego konta Allegro i powiadomienie jest w wewnętrznym systemie. To tak jakby Pan logował się do banku i w wewnętrznej korespondencji, bank napisze Panu, żeby kliknąć coś, żeby potwierdzić. Jest to wyjaśnione wyraźnie w tekście, kwestia uważności w czytaniu.

          Jacek Kotarbiński
      2. To żenujące że po 28 latach używania internetu ‚takie kwiatki’ Pan wyczynia. Czyżby brak slotów czasowych, jak Pan to nazwał, na rozumienie? A na bzdurne odpowiedzi na rzeczową krytykę artykuliku pod teżę sloty są? Pozdrawiam, Piotr.

        PB
        1. cyt. “A na bzdurne odpowiedzi na rzeczową krytykę artykuliku pod teżę sloty są?”. Zastanawiałem się czy to jakoś skomentować. Anonimowy, hejterski komentarz, typowy sofizmat argumentum ad personam. Za Wikipedią – “pozamerytoryczny sposób argumentowania, w którym dyskutant porzuca właściwy spór i zaczyna opisywać faktyczne lub rzekome cechy swego przeciwnika bądź jego dokonania”. Maść na stosowny ból bym wysłał, ale paczkomatu odbiorcy nie znam. Nawet nie sparfrazuję Michała Rusinka, załączając stosowne wyrazy. Szkoda czasu na polemikę z trollem.

          Jacek Kotarbiński

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *