Najbliższe dni to żniwa dla łowców okazji i rekordowo obniżonych cen, ale też dla sprzedawców, którzy liczą na wysokie obroty w tym okresie. A że każda okazja czyni złodzieja, to na nieuważnych kupujących próbują wzbogacić się także oszuści. Warto zachować w tym czasie szczególną roztropność - mówi Piotr Sikora, Chief Technology Officer w IdoSell.

Duża ostrożność, weryfikacja opinii, czytanie regulaminów i czujność - to tylko kilka elementów, które mogą uchronić konsumentów przed nieprzyjemnościami podczas zakupów w sieci. W czasie gorących okresów sprzedażowych działalność cyberprzestępców jest wzmożona. Nie celują oni jedynie w sprzedawców, na celowniku są również konsumenci. 

Dlatego też warto zachować w tym czasie szczególną roztropność - mówi Piotr Sikora, Chief Technology Officer w IdoSell.

Wielkie święto zakupów

Pod koniec listopada rozpoczyna się wielkie święto zakupów, Black Friday, rozciągnięty w cały Black Week, połączony z Cyber Monday i zakupami przedświątecznymi. W tym okresie w sklepach internetowych często można znaleźć produkty w okazyjnych cenach. To sprawia, że co roku, jeszcze więcej konsumentów szuka promocji w sieci. Wiedzą o tym również cyberprzestępcy, którzy coraz częściej wykorzystują wzmożony ruch nie tylko do ataków na e-sklepy, ale także kupujących.


Najgorszy scenariusz to przejęcie przez cyberprzestępców konta bankowego lub danych płatniczych. Na szczęście, od pojawienia się w Polsce dyrektywy PSD2, która wymusiła co do zasady na bankach stosowanie tzw. silnego uwierzytelniania, oznaczającego potrzebę potwierdzenia tożsamości klienta przez zastosowanie co najmniej dwóch elementów uwierzytelniających, liczba tego typu przypadków znacznie spadła. Nie należy jednak tracić czujności, ponieważ przejęcia tego typu danych lub po prostu wyłudzenia środków pieniężnych nadal są możliwe. Wymaga znacznie więcej pracy od przestępców i włączenia do ataku kilku technik np. klonowania wyglądu serwisów bankowy i phishingu wykorzystującego inżynierię społeczną do przekazania niezbędnych do finalizacji logowania czy też przelewu środków - mówi Piotr Sikora.

Jak to dziala?

Klient, który chce opłacić zakup, próbuje zalogować się na swoje konto w kopii strony banku. Nie może tego zrobić, pokazuje mu się informacja o błędzie. W tym czasie ktoś przechwytuje już dane, które konsument podał przy logowaniu. Kiedy kupujący jeszcze raz próbuje się zalogować, zostaje przekierowany na faktyczną stronę banku oraz zostaje poprawnie zalogowany. Często nawet nie skojarzy, że pierwsze logowanie mogło mieć na celu przechwycenie danych. 

Dodatkowo w tym właśnie momencie kontaktuje się z nim telefoniczne osoba przedstawiająca się jako przedstawiciel banku, prosząc o wykonanie jakiejś akcji lub podanie kodu weryfikacyjnego. 

To trudny do realizacji scenariusz, ale nadal niestety wykorzystywany. Często dane wykorzystywane przez przestępców do namierzenia ofiary z zakończonego sukcesem przejęcia konta w sklepie lub innym serwisie - wyjaśnia Piotr Sikora.

Przejęcie konta sklepowego

Kolejnym zagrożeniem, znacznie łatwiejszym do realizacji, jest przejęcie konta sklepowego. W tym przypadku oprócz ujawnienia swoich danych osobowych, dostarczamy potencjalnym atakującym dodatkowych informacji np. o ostatnich zakupach, ich wartości lub co gorsza - w przypadku słabiej zabezpieczonych serwisów - o numerach kart bankowych.

Niektóre z tych danych same w sobie nie stanowią zagrożenia. Część z nich może jednak posłużyć do wzbudzenia naszego zaufania i spersonalizowanego ataku np. próby przejęcia konta bankowego albo autoryzacji przelewu. Przestępca może wykorzystać je do spreparowania wiadomości np. z infolinii banku z informacją, że była próba włamania i należy podać nowe hasło lub kod CVV/CVC z karty bankowej. Nigdy nie róbmy tego mailem lub telefonicznie, nawet kiedy myślimy, że czeka na nas gorąca oferta zakupowa - tłumaczy Piotr Sikora.

Jak się chronić?

By uchronić się przed tego typu atakami, konsumenci mogą wykorzystać kilka prostych trików. Jednym z najłatwiejszych jest weryfikacja czy sklep/sprzedający, do którego trafiliśmy, jest tym za kogo się podaje. Przed rejestracją i zakupem, konsumenci powinni zwracać szczególną uwagę na to, czy trafili na prawdziwą stronę danego e-sklepu. 

Warto zwrócić uwagę na domenę i na to, czy firma istnieje np. jest zarejestrowana w KRS, jej dane się zgadzają albo w sieci można znaleźć opinie na jej temat. Dodatkowo jeśli wcześniej mieliśmy konto w wybranym sklepie, a nie możemy się zalogować i zresetować hasła, powinno to wzbudzić czujność - mówi Piotr Sikora.

Co jeszcze możemy zrobić?

Eksperci radzą również, żeby bacznie sprawdzać nowe e-sklepy przed zrobieniem zakupów. Jeśli strona nie jest kompletna, nie ma uzupełnionych pól w regulaminie, Polityce Prywatności, zakładce kontakt, można mieć wątpliwości czy sklep działa legalnie. Jeśli już potwierdzimy podstawowe informacje i zdecydujemy się na zakupy, zwracajmy uwagę na jakość wprowadzonych opisów towarów, fakt posiadania opinii do towarów, prezentację historii cen, jeśli towar jest w promocji. 

Pamiętajmy, że Black Week to również okres prowadzenia fikcyjnych promocji, które mogę finalnie okazać się mniej atrakcyjne dla naszego portfela - nadchodzące zmiany wywołane dyrektywą Omnibus mają na celu uporządkowanie tego obszaru, jednak i tak nie powinniśmy tracić czujności. Tu często na ratunek przychodzi opcja zwrotu. Upewnijmy się przed zakupem, w jaki sposób sklep realizuje przysługujące nam konsumenckie prawo.


Ostatnim ważnym elementem do samodzielnej weryfikacji jest fakt szyfrowania transmisji między przeglądarką kupującego a sklepem, z pomocą dobrze znanego certyfikatu SSL. Jest to szczególnie ważne, podczas finalizacji zamówienia, kiedy podajemy login i hasło do konta. Najszybciej można sprawdzić, czy sklep posiada to zabezpieczenie w pasku adresowym. Jeśli przy adresie jest kłódeczka, a po kliknięciu pola adresowego pojawia się przedrostek https, mamy pewność, że sklep korzysta z szyfrowanej transmisji. Słynna kłódeczka, nie uchroni nas oczywiście przed atakami cyberprzestępców, ale na pewno zmniejszy ryzyko ujawnienia danych - wyjaśnia Piotr Sikora.



Opracowanie: