PayPal chce loginu i hasła do banku
Nowy sposób doładowania konta PayPal wymaga podania przez użytkownika loginu oraz hasła dostępu do rachunku bankowego. Jest to nie tylko niebezpieczne, ale i sprzeczne z regulaminami instytucji finansowych.
PayPal zdecydował się zmienić operatora płatności. Usługi świadczone przez Bluemedia zostały zastąpione przez Trustly. Zmienił się także diametralnie sposób przekazywania na swoje konto pieniędzy - zrezygnowano z bezpiecznego systemu pay-by-link (odsyłania do serwisu transakcyjnego banku).
Po wybraniu opcji „Szybkiego doładowania” użytkownik przenoszony jest na stronę nowego operatora, na której proszony jest o podanie identyfikatora (loginu) oraz hasła dostępu do internetowego serwisu bankowego. Wymagane jest także podanie hasła SMS do autoryzacji transakcji (operacje w naszym imieniu wykonują boty).
Przygotowana w taki sposób strona wygląda jak podręcznikowy przykład phishingu – próby wyłudzenia danych przez przestępców. Podejrzenia budzi nazwa witryny, na którą kierowani są użytkownicy (www.paypal-doladowania.pl), oraz fakt nadania certyfikatu bezpieczeństwa firmie o zbliżonej do prawidłowej nazwie.
Sam PayPal w rozsyłanych do użytkowników e-mailach ostrzegał do tej pory przed podawaniem wymaganych w tej chwili danych.
Nawet biorąc pod uwagę fakt, że Trustly działa legalnie i wywiązuje się ze zlecanych transferów, powierzenie komukolwiek informacji pozwalających na zalogowanie się do serwisu transakcyjnego jest wyjątkowo złym pomysłem. Pośrednik dostaje bowiem wgląd w historię rachunku – wie kiedy, gdzie i na jaka kwotę go obciążano.
Podanie danych logowania jest naruszeniem umowy z bankiem i powoduje utratę prawa do reklamacji – skoro na konto mógł się zalogować pośrednik, instytucja nie podejmie się gwarantowania bezpieczeństwa rachunku.
W świetle europejskiego prawa taki sposób obsługi wpłat jest jak najbardziej legalny – usługa Access to Account regulowana jest przez II Dyrektywę o Usługach Płatniczych (PSD2). Podawanie loginu i hasła do serwisu bankowego używane jest powszechnie między innymi w Niemczech i Wielkiej Brytanii ze względu na ponoszenie przez odbiorcę przelewu mniejszych niż w przypadku systemu pay-by-link kosztów transakcji.
Zaryzykowalibyście udostępnienie danych do swojego konta?