Aż 70 proc. internautów przyznaje, że robi zakupy w sieci – jak mówią badania firmy Gemius.
To dużo. Choć popularność e-zakupów nie jest w Polsce tak duża jak za naszą zachodnią granicą, jest to zdecydowanie trend, który będzie rosnąć. I dobrze. Kupować on-line jest wygodniej i często znacznie szybciej. Można też dokonywać bardziej racjonalnych wyborów, nie poddając się zmęczeniu po 4 godzinie w galerii handlowej. Z resztą, plusy e-kupowania znamy wszyscy. Co z minusami? Sprawą, na którą dziś chcemy położyć nacisk jest bezpieczeństwo Twoich danych i pieniędzy.
Rodzaje niebezpieczeństw czekających na internautów.
Najbardziej powszechnym zagrożeniem jest utrata naszych haseł z różnego rodzaju portali. Hasło do konta w serwisie informacyjnym on-line niekoniecznie musimy traktować jako nasz największy sekret, warto się jednak zastanowić, gdzie jeszcze używamy tej samej kombinacji znaków. Nie sposób spamiętać różne hasła do dziesiątek różnych kont, dlatego wiele osób ułatwia sobie życie posługując się jednym hasłem. To źle. Sposobów na zapoznanie się z Twoim hasłem osób trzecich jest wiele. Pomijając setki metod stricte informatycznych, czasami podajesz je przez telefon bliskiej osobie (nigdy nie wiesz kto słucha tej rozmowy), czy wpisujesz na klawiaturze, siedząc w kawiarni. Wydawać się to może śmieszne, ale tego rodzaju, nie informatyczne rozwiązania, były jednymi z ulubionych działań Kevina Mitnicka – najbardziej znanego hakera wszechczasów.
Co robić? Jeśli nie jesteś w stanie posiadać w głowie niezależnych haseł do każdego z używanych kont, możesz zastosować swoisty system. Do stałej bazy Twojego hasła np. „Ryś” dopisuj drugi i czwarty znak z adresu URL czy nazwy portalu czyli nasz login do deezee.pl będzie wyglądał „Ryśez”. Jeśli rozwiązanie nie będzie zbyt oczywiste, nawet odtajniając jedno ze swoich haseł, reszta pozostaje okryta tajemnicą, a Tobie wciąż łatwo je przywołać w pamięci.
Bezpieczeństwo staje się nieco trudniejsze do utrzymania jeśli pod uwagę weźmiemy liczne zagrożenia software’owe. Wyobraź sobie, że robisz przelew on-line. Wchodzisz w maila po numer konta, zaznaczasz, kopiujesz, wklejasz we właściwym polu Twojego panelu bankowego i zlecasz realizację. Później okazuje się, że jakimś cudem pieniądze zostały przelane na złe konto. Dlaczego? Są takie małe e-robaki, które mogą po cichu wgryźć się w nasz system i skanować schowek systemu operacyjnego, tj. miejsce gdzie tymczasowo trzymane jest np. to, co kopiujemy. W momencie gdy klikniesz ctrl+c po zaznaczeniu numeru konta w mailu, e-robak wyczuwa, że ma coś ciekawego do przejęcia – szybko identyfikuje liczbę znaków jako numer konta, podmienia go na „swój” numer w pamięci tymczasowej. Wciskają ctrl+v, wklejasz podmieniony numer konta bankowego. Działając szybko i automatycznie, niemal nie sposób zwrócić uwagę na niezgodność takiego ciągu liczb.
Bankowość internetowa musi istnieć. Powinna być też wygodna, a banki idą wciąż dalej i dalej, by tę wygodę nam dostarczyć. Jednym z ułatwień jest opcja dokończenia rejestracji nowego konta bankowego przez wysłanie na niego przelewu ze swojego dotychczasowego rachunku. Jednak podobnie jak w przypadku jazdy samochodem bez zapiętych pasów, to co wygodne niekonieczne jest bezpieczne. Był bowiem przypadek (zapewne nie jeden) gdy wspaniałomyślny sprzedawca internetowy oferował swój towar niebywale tanio. Nie z chęci czynienia dobra, a wręcz przeciwnej. Zanim wystawił towar na sprzedaż, rozpoczynał proces rejestracji konta na użytkownika-ofiarę. Później bank wymagał od niego potwierdzenia rejestracji i tożsamości poprzez wykonanie przelewu w niewielkiej kwocie z istniejącego rachunku. Oszust podaje stosowne dane do przelewu, jako właściwe do zapłaty za produkt w rewelacyjnej cenie i podsuwa ofertę swojej ofierze. No tak, w ten sposób, oszust ma nowe puste konto zarejestrowane nie na siebie. Po co? Np. do wyłudzenia kilku tysięcy przedpłat z aukcji internetowej w portalu allegro.pl gdzie licytuje produkt, którego później nikomu nigdy nie wysyła. W świetle regulaminu każdego e-sklepu i przepisów prawa oszustwo jest oczywiste, podobnie jak pierwszy podejrzany – tj. ofiara, na którą konto zostało zarejestrowane. W celu uniknięcia podobnej sytuacji, warto nie bagatelizować kwestii wiarygodności wszelkich kontrahentów internetowych. Szczególnie tych, z którymi współpracujemy po raz pierwszy.
Podobnie sprawa się ma w przypadku witryn internetowych, które często posiadają swoje fałszywe klony. Nazywa się to phishing. Załóżmy np., że dostajesz maila z prośbą o weryfikację Twojego konta od asnware.com, zamiast answear.com. Albo faceboock, zamiast facebook. Moi rodzice nie zauważyli by różnicy, moja dziewczyna jeszcze jakiś czas temu również. I na tym właśnie opiera się działanie phisingu. Na podszywaniu się pod popularne portale celem zgarnięcia Twojego loginu i hasła. Ich dalsze losy bywają różne, jak się domyślasz, zazwyczaj dalekie od tych pożytecznych z Twojego punktu widzenia.
Podstawą do uniknięcia podawania poufnych danych w niewłaściwych miejscach on-line jest zwracanie uwagi na protokół https w adresie jak np. na stronie logowanie w sklepie Zalando. Jest on wyróżniony na zielono co świadczy o jego wiarygodności oprócz tego mamy pokazane kto tak naprawdę jest właścicielem strony “Zalando AG”:
Każda godna zaufania instytucja z niego korzysta. O ile dla wielu stron w adresie URL przedrostkiem jest zwykłe http, o tyle powinno to wzbudzić Twoje podejrzenie jeśli wchodzisz na jakąkolwiek zakładkę związaną z logowaniem się. Warto również wyposażyć swoją przeglądarkę w dodatkowy mechanizm obronny, który informuje jakim zaufaniem cieszy się dana witryna www. Jednym z nich jest WOT, który znaleźć można na https://www.mywot.com/
Poza protokołem https, robiąc zakupy on-line, zawsze należy zwrócić uwagę na kilka rzeczy. Primo, czy sklep posiada certyfikat SSL – znaczek kłódeczki lub zielony check-sign (ptaszek) w pasku adresu przeglądarki. Certyfikatów rozróżniamy kilka, Level I, II i III. Im wyższy numer, tym wyższe bezpieczeństwo naszej transakcji. Podobnie jak z https, brak certyfikatu SSL na zwykłej informacyjnej stronie nie jest niczym złym, jednak gdy mowa o stronie zakupowej, jego brak oznacza, że sklep naprawdę nie jest zainteresowany bezpieczeństwem naszych transakcji i nie włożył wysiłku by je odpowiednio szyfrować. Lepiej zamknąć tę kartę i poszukać produktu u konkurencji. Wsparcia w kwestii rozpoznawania certyfikatów aktualnych i nie, udziela nam każda jedna aktualizacja systemu i przeglądarki. Warto znaleźć chwilę choćby raz na dwa tygodnie, by być z nimi na bieżąco.
Poza szałem e-zakupów, każde jedno buszowanie w sieci rodzi pewne zagrożenie. Dlatego mimo niedogodności z tym związanych, warto dbać o aktualność swojego programu antywirusowego. Nawet gdy nieopacznie klikniemy w złośliwym okienku zły przycisk, tym samym aktywując instalację oprogramowania np. szpiegującego, aktualny antywirus ostrzeże nas, że coś tu źle pachnie. Lepsze dmuchanie na zimne i parę naszych kliknięć na darmo niż kosztowne problemy znacznie większej wagi.