W tym tygodniu miałem przyjemność być gościem Roberta Pytki w Radiu Rzeszów w audycji pod tytułem “Cyber-bezpieczeństwo podczas świąt”. Temat uważam za bardzo ciekawy i potrzebny w dzisiejszych czasach – bardzo się cieszę, że mogłem opowiedzieć o swoim doświadczeniu w tym temacie na antenie i dotrzeć do szerokiej publiczności.

Co każdy z nas może zrobić aby przeciwdziałać tego typu oszustwom w sieci? Nagłaśniać sprawę, rozmawiać i nie przestawać mieć się na baczności. Z uwagi na wyjątkowy okres w branży e-commerce jakim są święta bożego narodzenia postanowiłem temat poszerzyć i opisać go nieco bardziej szczegółowo – mam nadzieję, że pozwoli to wielu z Was uniknąć finansowej wtopy i stresujących sytuacji.

Bezpieczne zakupy online podczas świąt

Zakupy online stają się coraz bardziej popularne, ale zwiększa się również ryzyko związane z cyberbezpieczeństwem. Aby zapewnić bezpieczeństwo podczas zakupów w Internecie, konieczne jest stosowanie kilku kluczowych praktyk. Postaram się je Wam przybliżyć w dalszej części artykułu i mam nadzieję, że od tego momentu te zasady i dobre praktyki zostaną z Wami już na zawsze.

Bezpieczne transakcje online podczas świąt

Podczas świątecznego szału zakupów ważne jest, aby zadbać o bezpieczeństwo naszych transakcji online. Poniżej wstawiam listę rzeczy o których należy pamiętać i które należy sprawdzić przed dokonaniem zakupów w sieci.

Szyfrowanie strony

Upewnij się, że strona, na której dokonujesz zakupu, korzysta z szyfrowania SSL (Secure Socket Layer) lub TLS i protokołu HTTPS. Można to rozpoznać po prefiksie “https://” w pasku adresu przeglądarki oraz ikonie kłódki. 

  • Certyfikat SSL widoczny na stronie zapewnia, że użytkownik rzeczywiście łączy się z prawdziwą stroną internetową, a nie z podrobioną stroną stworzoną przez cyberprzestępców. 
  • HTTPS (Hypertext Transfer Protocol Secure) to bezpieczna wersja protokołu HTTP, używana do bezpiecznego przesyłania danych w Internecie. Uniemożliwia tzw. ataki “man-in-the-middle”, gdzie haker może przechwycić, podsłuchać lub zmodyfikować dane przesyłane między użytkownikiem a stroną internetową. Protokół ten szyfruje dane przesyłane między przeglądarką użytkownika a serwerem strony internetowej. Oznacza to, że informacje takie jak dane logowania, szczegóły płatności i inne dane osobowe są chronione przed przechwyceniem przez nieuprawnione osoby. HTTPS zapobiega również nieautoryzowanym zmianom w danych przesyłanych między serwerem a klientem, co jest szczególnie ważne w przypadku transakcji finansowych i e-commerce.
  • Transport Layer Security (TLS) to protokół kryptograficzny zaprojektowany do zapewnienia bezpiecznej komunikacji w sieci Internet. Jest następcą i ulepszoną wersją protokołu Secure Sockets Layer (SSL). TLS stosuje silne algorytmy szyfrujące do zabezpieczania przesyłanych danych, takich jak dane osobowe, informacje o płatnościach czy poufne komunikaty. Głównym celem TLS jest zapewnienie prywatności i integralności danych między dwoma komunikującymi się stronami. Kiedy przeglądarka internetowa łączy się z serwerem za pomocą protokołu HTTPS (HTTP Secure), w tle wykorzystywany jest właśnie protokół TLS. Protokół ten działa poprzez ustanowienie połączenia za pomocą procesu znanego jako “TLS handshake”, który obejmuje wymianę kluczy szyfrujących, uwierzytelnienie serwera i opcjonalnie klienta, co gwarantuje, że użytkownik jest połączony z prawidłowym serwerem, a wszystkie przesyłane dane są szyfrowane i zabezpieczone przed podsłuchem czy modyfikacją przez nieuprawnione strony.

Uwaga jeżeli chodzi o certyfikaty to musimy upewnić się, że strona na której dokonujemy zakupów nie podszywa się pod jakąś znaną stronę – jest to metoda phishingowa gdzie oszuści zamieniają w nazwie domeny na przykład jedną literę facebook.com -> faccbook.com co jest trudne do zauważenia. W tym przypadku oszuści mogą wygenerować certyfikaty bezpieczeństwa dla swojej domeny faccbook.com i uzyskać “kłodkę bezpieczeństwa” (certyfikat wystawiany jest per domena). Ma to na celu wprowadzić użytkownika w błąd i ułatwiać kradzież danych. Tylko od nas i naszej uważności zależy czy się damy na to nabrać.

Wiarygodny sprzedawca

Dokonuj zakupów tylko na renomowanych stronach e-commerce lub u sprawdzonych sprzedawców. Sprawdź opinie o sklepie lub sprzedawcy przed dokonaniem zakupu. Poszukaj na stronie informacji takich jak adres fizyczny, numer telefonu, adres e-mail. Sprawdź, czy te dane są zgodne i czy firma istnieje w bazach danych, takich jak rejestr przedsiębiorców czy inne oficjalne rejestry. Jeśli sklep wydaje Ci się podejrzany – zadzwoń, zapytaj sprzedawcę na przykład o szczegóły produktu. Sprawdź politykę zwrotów i reklamacji. Wiarygodny sprzedawca zazwyczaj oferuje jasne i uczciwe procedury zwrotu towaru i reklamacji. Sprawdź, czy sprzedawca ma aktywne profile w mediach społecznościowych i jakie treści publikuje. Interakcje z klientami i regularne posty mogą być dodatkowym dowodem na wiarygodność. Fora internetowe, grupy społecznościowe i blogi branżowe mogą dostarczyć dodatkowych informacji o doświadczeniach innych klientów z danym sprzedawcą. Jeśli oferta wydaje się zbyt dobra, aby była prawdziwa, lub coś budzi Twoje podejrzenia, lepiej być ostrożnym.

Bezpieczne metody płatności

Najbezpieczniejszą metodą płatności jest płatność przy odbiorze. Jeśli jednak chcesz dokonać płatności z góry używaj bezpiecznych metod płatności, które oferują dodatkowe warstwy zabezpieczeń i ochronę kupującego. Poniżej przedstawiam najpopularniejsze z nich:

  • Karty kredytowe: Płatności kartą kredytową są zazwyczaj bezpieczne, ponieważ większość banków oferuje ochronę przed oszustwami i umożliwia zgłaszanie podejrzanych transakcji. Ponadto, wiele kart kredytowych posiada wbudowane mechanizmy zabezpieczające, takie jak ubezpieczenia zakupów. Warto również wspomnieć o opcji Chargeback, czyli obciążeniu zwrotnym – jest to proces, w którym posiadacz karty kredytowej może zażądać od swojego banku (instytucji wydającej kartę) anulowania transakcji i zwrotu środków w momencie kiedy po otrzymaniu zamówienia stwierdzi, że nie jest ono zgodne z opisem.

    Warto pamiętać, że kiedy dokonujesz zakupu online, musisz podać szczegóły swojej karty kredytowej. Jeśli strona internetowa, z której korzystasz, nie jest odpowiednio zabezpieczona, hakerzy mogą przechwycić te dane. To zwiększa ryzyko kradzieży tożsamości oraz nieautoryzowanych transakcji na twojej karcie. Pamiętaj, żeby nie dzielić się z nikim i pod żadnym pozorem danymi Twojej karty kredytowej oraz nie kupować na podejrzanych sklepach.

    Warto w tym miejscu również wspomnieć o 3D Secure (3-Domain Secure). Jest to protokół zabezpieczający stworzony w celu zwiększenia bezpieczeństwa płatności online dokonywanych kartami kredytowymi i debetowymi. Ten system autentykacji został opracowany przez Visa, aby poprawić bezpieczeństwo transakcji internetowych i jest znany również pod nazwami Verified by Visa, MasterCard SecureCode czy American Express SafeKey. Protokół 3D Secure dodaje dodatkową warstwę ochrony poprzez wymaganie od posiadacza karty potwierdzenia tożsamości przed autoryzacją transakcji online. Zwykle odbywa się to poprzez wprowadzenie jednorazowego hasła (OTP), które jest wysyłane na telefon komórkowy użytkownika, lub poprzez użycie hasła stworzonego wcześniej dla tego celu. Implementacja 3D Secure pomaga zmniejszyć ryzyko oszustw związanych z kartami płatniczymi, ponieważ tylko posiadacz karty jest w stanie zatwierdzić transakcję. Dla sprzedawców korzystanie z 3D Secure oznacza mniejsze ryzyko chargebacków, a dla konsumentów – większe poczucie bezpieczeństwa podczas zakupów online.

    Będąc w temacie kart kredytowych wspomnę jeszcze o Payment Card Industry Data Security Standard (PCI DSS). Jest to zestaw standardów bezpieczeństwa opracowanych w celu ochrony danych kart kredytowych i debetowych oraz zapobiegania oszustwom finansowym. Standard został stworzony przez główne firmy wydające karty płatnicze, takie jak Visa, MasterCard, American Express, Discover, i JCB. PCI DSS określa wymagania dotyczące bezpieczeństwa dla organizacji, które przechowują, przetwarzają lub przesyłają dane posiadaczy kart. Wśród tych wymagań znajdują się: stosowanie silnych środków kontroli dostępu, regularne monitorowanie i testowanie sieci, utrzymanie bezpiecznej infrastruktury sieciowej, a także wdrażanie polityk bezpieczeństwa informacji. Niezastosowanie się do standardów PCI DSS może skutkować nałożeniem kar finansowych, a w przypadku naruszeń bezpieczeństwa – poważnymi konsekwencjami prawnymi i reputacyjnymi. Dla firm obsługujących transakcje kartami płatniczymi przestrzeganie PCI DSS jest nie tylko obowiązkiem, ale i kluczowym elementem budowania zaufania klientów i ochrony ich danych finansowych.

  • Usługi płatności online: Usługi takie jak PayPal, Apple Pay, Google Pay, PayU, Przelewy24 oferują dodatkową warstwę ochrony, ponieważ nie musisz ujawniać swoich danych karty kredytowej bezpośrednio sprzedawcy. Te usługi często oferują również własne programy ochrony kupujących.
  • Karty przedpłacone: Karty przedpłacone typu Revolut pozwalają na ograniczenie ryzyka, ponieważ są doładowywane na określoną kwotę. Nawet jeśli informacje o karcie zostaną skompromitowane, straty będą ograniczone do kwoty dostępnej na karcie.
  • Usługi escrow: W przypadku droższych zakupów, usługi escrow mogą być bezpieczną opcją. Płatność w tym przypadku jest przetrzymywana przez trzecią stronę do momentu potwierdzenia otrzymania towaru w satysfakcjonującym stanie.
  • Jednorazowe kody autoryzacyjne: Niektóre banki oferują możliwość generowania jednorazowych numerów karty kredytowej lub kodów autoryzacyjnych, które mogą być wykorzystane do jednorazowych transakcji online.
  • Bankowość internetowa / Przelewy bezpośrednie: Przelewy bezpośrednie z konta bankowego są również bezpieczną metodą płatności, chociaż mogą być mniej wygodne i wolniejsze niż inne opcje.
  • Płatności mobilne z autoryzacją biometryczną: Korzystanie z płatności mobilnych, które wymagają autoryzacji biometrycznej (takiej jak odcisk palca lub rozpoznawanie twarzy), może zwiększyć bezpieczeństwo.

Unikaj zapisywania danych karty

Jeśli to możliwe, unikaj zapisywania danych karty płatniczej na stronach internetowych. Choć jest to wygodne, może zwiększać ryzyko kradzieży danych. W przypadku włamania się na Twój komputer dane te będa zagrożone.

Ochrona silnym hasłem

Upewnij się, że Twoje konto na stronie e-commerce jest chronione silnym, unikalnym hasłem. Rozważ używanie menedżera haseł do generowania i przechowywania skomplikowanych haseł. Taka usługa dostępna jest na przykład w przeglądarce chrome po zalogowaniu się na swoje konto google. Musimy przy tym pamiętać aby w tym przypadku wyjątkowo strzec danych dostępowych do swojego gmail’a.

Oprogramowanie antywirusowe i zapora sieciowa

Upewnij się, że Twoje urządzenie jest chronione aktualnym oprogramowaniem antywirusowym i zaporą sieciową. Zmniejszy to ryzyko przedostania się na Twój komputer złośliwego oprogramowania typu malware, koń trojański czy keylogger.

Aktualizacje oprogramowania

Regularnie aktualizuj przeglądarkę internetową i system operacyjny, aby zapewnić ochronę przed najnowszymi zagrożeniami bezpieczeństwa. renomowane firmy na bieżąco usuwają ze swoich systemów luki i błędy, które mogłyby być wykorzystane przez oszustów.

Uważaj na Phishing

Atak phishingowy inaczej “Łowienie” o którym już wspominałem to rodzaj oszustwa internetowego, którego celem jest wyłudzenie poufnych informacji, takich jak hasła, numery kart kredytowych, dane konta bankowego, lub innych wrażliwych danych osobowych. Bądź czujny na e-maile i wiadomości, które wydają się być od instytucji finansowych lub sklepów online, ale proszą o podanie lub potwierdzenie danych osobowych lub finansowych. To może być próba phishingu. Temat jest bardzo obszerny dlatego poświęcę mu kolejny artykuł.

Weryfikuj transakcje

Regularnie sprawdzaj wyciągi z konta bankowego i karty kredytowej, aby upewnić się, że nie ma nieautoryzowanych transakcji. Jeśli zauważysz podejrzane ruchy na swoim koncie reaguj natychmiast – udaj się do banku oraz na policję.

Używaj bezpiecznych połączeń

Unikaj dokonywania transakcji finansowych i logowania na konta pocztowe, gdy jesteś podłączony do publicznych sieci Wi-Fi. Nigdy nie wiadomo jak tak sieć jest zabezpieczona. Używaj bezpiecznego, prywatnego połączenia internetowego aby uniknąć ataku typu “Ananas”.  

Atak typu ananas

“Ananas” jest urządzeniem typu Rogue Access Point (wrogi access point). Jego zadaniem jest podszywanie się pod sieci wifi, do których łączą się klienci w miejscu jego uruchomienia i przechwytywanie tych klientów w celu wykonywania na nich ataków man in the middle. Gama jego możliwości obejmuje m.in. przechwytywanie ruchu i danych uwierzytelniających, dns spoofing, phishing oraz wiele innych.

Podsumowanie zasad bezpieczeństwa podczas zakupów online w święta

W miarę zbliżania się świąt, coraz bardziej ważne staje się zrozumienie i zastosowanie zasad bezpieczeństwa w cyberprzestrzeni. Jak podkreślaliśmy w naszej rozmowie z Robertem Pytką, świadomość i ostrożność to klucze do bezpiecznych zakupów online. Niezależnie od tego, czy korzystasz z szyfrowania SSL, dokonujesz zakupów u wiarygodnych sprzedawców, czy stosujesz bezpieczne metody płatności, pamiętaj, że jesteś pierwszą i najważniejszą linią obrony przed oszustwami internetowymi.

To, co omówiliśmy dzisiaj, to nie tylko lista zasad; to drogowskaz, który prowadzi nas przez zagmatwany świat cyberbezpieczeństwa. W każdym kliknięciu, każdej transakcji, kryje się decyzja o naszym bezpieczeństwie. Nie pozwólmy, aby świąteczny entuzjazm przysłonił nam zdrowy rozsądek. Wspólnie, z odpowiednią wiedzą i czujnością, możemy cieszyć się radością świąt, unikając finansowych i emocjonalnych strat. Pamiętajmy, że bezpieczeństwo w sieci zaczyna się od nas – niech ta świadomość będzie naszym największym prezentem w tym sezonie.

Przykład ataku:

NOWE & POPULARNE