Pod koniec listopada rozpoczyna się wielkie święto zakupów - Black Friday połączone z Cyber Monday oraz okresem przedświątecznym. W tym okresie w sklepach internetowych często można znaleźć produkty w okazyjnych cenach. To sprawia, że co roku, jeszcze więcej konsumentów szuka promocji w sieci. Wiedzą o tym również cyberprzestępcy (potocznie - często mylnie - nazywani hakerami), którzy coraz częściej wykorzystują wzmożony ruch nie tylko do ataków na e-sklepy, ale także kupujących.
Co może się stać w szale zakupów?
Jakie zagrożenia czekają na konsumentów podczas Black Friday i Cyber Monday? Najgorszy scenariusz to przejęcie przez cyberprzestępców konta bankowego lub danych płatniczych. Na szczęście, od pojawienia się w Polsce dyrektywy PSD2 (która wymusiła co do zasady na bankach stosowanie tzw. silnego uwierzytelniania, oznaczającego potrzebę potwierdzenia tożsamości klienta przez zastosowanie co najmniej dwóch elementów uwierzytelniających) skala tego typu przypadków znacznie spadła. Nie należy jednak tracić czujności, ponieważ przejęcia tego typu danych lub po prostu wyłudzenia środków pieniężnych jest nadal możliwe. Wymaga jedynie znacznie więcej pracy od przestępców i włączenia do ataku kilku technik np. klonowania wyglądu serwisów bankowy i phishingu wykorzystującego inżynierię społeczną do przekazania niezbędnych do finalizacji logowania czy też przelewu środków - tłumaczy ekspert.
W dużym uproszczeniu działa to w ten sposób, że konsument, który chce opłacić zakup, próbuje zalogować się na swoje konto w kopii strony banku. Nie może tego zrobić, pokazuje mu się błąd. W tym czasie ktoś przechwytuje już dane, które konsument podał. Kiedy kupujący jeszcze raz próbuje się zalogować, tym razem zostaje przekierowany na faktyczną stronę banku oraz zostaje poprawnie zalogowany. Często nawet nie skojarzy, że pierwsze logowanie mogło mieć na celu przechwycenie danych, ale w tym właśnie momencie kontaktuje się z nim telefoniczne osoba przedstawiająca się jako przedstawiciel banku, prosząc o wykonanie jakiejś akcji lub podanie kodu weryfikacyjnego. To trudny do realizacji scenariusz, ale nadal niestety wykorzystywany. Często dane do jego przeprowadzenia pochodzą z zakończonego sukcesem przejęcia konta w sklepie lub innym serwisie - wyjaśnia Piotr Sikora.
Kolejnym zagrożeniem, znacznie łatwiejszym do realizacji, jest przejęcie konta sklepowego. W tym przypadku oprócz ujawnienia swoich danych osobowych, dostarczamy potencjalnym atakującym dodatkowych informacji np. o ostatnich zakupach, ich wartości lub co gorsza - w przypadku słabiej zabezpieczonych serwisów - o numerach kart bankowych.
- Niektóre z tych danych same w sobie nie stanowią zagrożenia. Część z nich może jednak posłużyć do wzbudzenia naszego zaufania i spersonalizowanego ataku np. próby przejęcia konta bankowego albo autoryzacji przelewu. Przestępca może wykorzystać je do spreparowania wiadomości np. z infolinii banku z informacją, że była próba włamania i należy podać nowe hasło lub kod CVV/CVC z karty bankowej. Nigdy nie róbmy tego mailem lub telefonicznie, nawet kiedy myślimy, że czeka na nas gorąca oferta zakupowa - tłumaczy Piotr Sikora.
Jak się uchronić?
Jak więc uchronić się przed atakami cyberprzestępców - oprócz zachowania szczególnej ostrożności? Konsumenci mogą wykorzystać kilka prostych sposobów. Jednym z najłatwiejszych jest weryfikacja czy sklep/sprzedający, do którego trafiliśmy, jest tym za kogo się podaje. Przed rejestracją i zakupem, konsumenci powinni zwracać szczególną uwagę na to, czy trafili na prawdziwą stronę danego e-sklepu. - Warto zwrócić uwagę na domenę i na to, czy firma istnieje np. jest zarejestrowana w KRS, jej dane się zgadzają albo w sieci można znaleźć opinie na jej temat. Dodatkowo jeśli wcześniej mieliśmy konto w wybranym sklepie, a nie możemy się zalogować i zresetować hasła, możemy włączyć podejrzliwość –mówi Piotr Sikora.
Eksperci radzą również, żeby bacznie sprawdzać nowe e-sklepy przed zrobieniem zakupów. Jeśli strona nie jest kompletna, nie ma uzupełnionych pól w regulaminie, Polityce Prywatności, zakładce kontakt, można mieć wątpliwości czy sklep działa legalnie.
Jeśli już potwierdzimy podstawowe informacje i zdecydujemy się na zakupy, zwracajmy uwagę na jakość wprowadzonych opisów towarów, fakt posiadania opinii do towarów, prezentację historii cen, jeśli towar jest w promocji. Pamiętajmy, że Black Week to również okres prowadzenia fikcyjnych promocji, które mogę finalnie okazać się mniej atrakcyjne dla naszego portfela – nadchodzące zmiany wywołane dyrektywą Omnibus mają na celu uporządkowanie tego obszaru, jednak i tak nie powinniśmy tracić czujności. Tu często na ratunek przychodzi opcja zwrotu. Upewnijmy się przed zakupem, w jaki sposób sklep realizuje przysługujące nam konsumenckie prawo.
Ostatnim ważnym elementem do samodzielnej weryfikacji jest fakt szyfrowania transmisji między przeglądarką kupującego a sklepem, z pomocą dobrze znanego certyfikatu SSL. Jest to szczególnie ważne, podczas finalizacji zamówienia, kiedy podajemy login i hasło do konta. Najszybciej można sprawdzić, czy sklep posiada to zabezpieczenie w pasku adresowym. Jeśli przy adresie jest kłódeczka, a po kliknięciu pola adresowego pojawia się przedrostek https, mamy pewność, że sklep korzysta z szyfrowanej transmisji. Słynna kłódeczka, nie uchroni nas oczywiście przed atakami cyberprzestępców, ale na pewno zmniejszy ryzyko ujawnienia danych – wyjaśnia Piotr Sikora.