Jak pozostać cyberbezpiecznym w czasie Black Friday
Klienci i sprzedawcy nie są jedynymi, którzy przygotowują się do największego sezonu zakupowego w ciągu roku. Przedświąteczna gorączka to także duże wydarzenie dla cyberprzestępców. Za każdym razem w trakcie jej trwania analitycy bezpieczeństwa odnotowują gwałtowne wzrosty aktywności kryminalnej w internecie: od oszustw phishingowych i pojawiania się fałszywych witryn sklepów internetowych, przez oprogramowanie do wykradania danych kart kredytowych, po złośliwe aplikacje publikowane w wirtualnych sklepach dostępnych w telefonach komórkowych. Jednocześnie, ponieważ o tej porze roku ludzie dokonują rekordowo dużej liczby transakcji, atakujący zakładają, że użytkownicy kart kredytowych nie zwrócą uwagi na kilka „przypadkowo” obecnych na wyciągu pozycji.
Zakupy online oraz rozwijający się cyfrowy rynek przekształciły świat konsumentów i zapewniły im szybki dostęp do tak szerokiej gamy produktów i usług, jak nigdy wcześniej w historii. Jednak korzystanie z tych dobrodziejstw wiąże się z realnym ryzykiem, którego należy być świadomym. Dziś coraz mniej jest złodziei w sklepach – przenieśli się do internetu. Są nie tylko sprytni technicznie, ale także rozpoznają najnowsze trendy konsumenckie, rozumieją postawy klientów i wiedzą, jak je wykorzystać. Dlatego, aby cieszyć się bezpiecznymi zakupami w trakcie wyprzedaży, należy się odpowiednio do nich przygotować. Specjaliści firmy Fortinet proponują podjęcie kilku konkretnych działań.
Przede wszystkim należy zacząć od upewnienia się, że wszystkie aplikacje na urządzeniach (głównie system operacyjny, przeglądarki internetowe i oprogramowanie antywirusowe) zostały zaktualizowane do najnowszych wersji. Kategorycznie nie powinno się robić zakupów z komputerów i urządzeń mobilnych z systemami operacyjnymi, dla których nie są już publikowane poprawki bezpieczeństwa – w takiej sytuacji często nawet aktualne oprogramowanie antywirusowe nie będzie w stanie pomóc w przypadku zaawansowanego ataku.
Jeżeli kluczem do internetowych sklepów i banków są proste do odgadnięcia hasła (imię dziecka, miasto urodzenia), to jest to proszenie się o kłopoty. Najbezpieczniejsze obecnie jest stosowanie tzw. uwierzytelniania dwuskładnikowego (po wpisaniu hasła użytkownik otrzymuje dodatkowy kod w treści SMS-a lub e-maila), ale gdy istnieje możliwość skorzystania tylko z hasła, trzeba zapewnić, aby jego treść była trudna do zgadnięcia zarówno przez inną osobę, jak też automat, próbujący odkryć hasło przy pomocy tzw. ataku słownikowego.
Istnieje wiele sposobów na stworzenie haseł, które dla postronnych osób są nie do odgadnięcia. Wystarczy ułożyć je np. z pierwszych liter ulubionego przysłowia, a na końcu dodać rok urodzenia, ale w odwróconej kolejności liczb. Ewentualnie zapisać bez spacji unikalne krótkie zdanie, zacząć je wielką literą, zawrzeć w nim błąd ortograficzny i zakończyć dowolnym znakiem przystankowym, np. „Urodziłemsięwpiontek!”. Naturalnie nie powinno się używać tego samego hasła do różnych kont i serwisów internetowych. Zapominalskim pomocne może okazać się oprogramowanie do zarządzania hasłami.
Trochę trudniej, ale bezpieczniej
Istnieje wiele działań zapewniających dodatkowe bezpieczeństwo internetowych zakupów. Czynności te nie dają konkretnych korzyści, ale w znacznym stopniu minimalizują ryzyko powodzenia ataku.
W każdej przeglądarce internetowej możliwa jest weryfikacja, czy dana transakcja realizowana jest poprzez szyfrowane połączenie SSL. Wystarczy sprawdzić, czy w pasku adresu strony internetowej obecny jest znaczek zamkniętej kłódki bądź czy adres zaczyna się od „https://” zamiast „http://”. Można skorzystać także z bezpłatnych wtyczek do przeglądarek, które uniemożliwiają korzystanie z niezaszyfrowanych stron (np. HTTPS Everywhere), jak też blokują reklamy, poprzez które na komputerze użytkownika mogą zostać zainstalowane niepożądane złośliwe skrypty (np. uBlock Origin).
Warto także rozważyć skorzystanie z usług wirtualnych sieci prywatnych VPN (Virtual Private Network) podczas robienia zakupów w internecie. Gwarantują one szyfrowane połączenie z dostawcą witryny, na której jest użytkownik. Dzięki temu, nawet jeśli komunikacja zostanie przechwycona przez cyberprzestępców, uzyskane dane będą bezużyteczne. Bardziej zaawansowane technicznie osoby mogą też zastosować oprogramowanie do tworzenia wirtualnych maszyn. Wówczas zakupy można prowadzić z ich wnętrza, a w przypadku powodzenia ewentualnego ataku, dzięki stworzonej w ten sposób izolacji, inne dane użytkowników przechowywane na tym samym komputerze nie będą narażone.
Ostrożności nigdy za wiele
Teoretycznie przez ponad dwie dekady popularności internetu wszyscy powinni nauczyć się, że nie powinno się klikać linków w podejrzanych wiadomościach e-mail i na stronach internetowych, których reputację trudno jest ocenić. Niestety wciąż postępuje tak wielu użytkowników. Dlatego, jeżeli ciekawość zwycięża, zawsze warto jest sprawdzić, dokąd dany link prowadzi. Wystarczy najechać na niego kursorem myszy, a adres URL powinien pokazać się jako wyskakujące okienko lub u dołu wiadomości e-mail lub strony w przeglądarce.
Wówczas należy mu się bardzo uważnie przyjrzeć. Czy wygląda normalnie? Czy nazwa jest za długa, zawiera wiele łączników lub liczb? Czy jest to adres URL, którzy rzeczywiście prowadzi do strony oczekiwanej przez użytkownika lub do innej? Czy też może litery zastąpione są cyframi, np. amaz0n.com?
Przed kliknięciem w adres URL można go sprawdzić w jeszcze inny sposób. Wystarczy kliknąć na nim prawym klawiszem myszy, z otwartego menu kontekstowego wybrać funkcję kopiowania do schowka, a następnie wkleić w wyszukiwarce domen, np. na stronie who.is. W ten sposób można uzyskać różnorodne informacje, np. kiedy strona została utworzona po raz pierwszy, w jakim kraju jest fizycznie zlokalizowana, a także kto jest jej właścicielem. Należy zachować podejrzliwość w stosunku do wszystkiego, co było dostępne online tylko przez bardzo krótki czas lub zostało zarejestrowane w innym niż spodziewanym kraju.
Nieustanna czujność
Niestety, cyberprzestępcy dokładają wszelkich starań, aby stworzyć fałszywe repliki popularnych witryn zakupowych. Dlatego użytkownik powinien zachować szczególną ostrożność, odwiedzając daną stronę. Jest na to kilka sposobów.
Zacząć należy od spojrzenia na projekt strony internetowej. Większość cyberprzestępców nie ma czasu ani zasobów, aby wykonać dokładną kopię witryny lub stworzyć własną, fałszywą stronę. Jeżeli internetowy sklep nie wygląda profesjonalnie, nie wszystkie linki działają, jest zbyt wiele wyskakujących reklam lub w tekście opisu produktów są błędy, to zły znak.
– Szczególną uwagę należy zwrócić też na ceny – mówi Jolanta Malak, dyrektor Fortinet w Polsce. – Nawet w nadchodzący Black Friday i Cyber Monday wiele ofert wygląda zbyt pięknie, aby były prawdziwe. Korzystający z nich internauci ryzykują, że kupią podrobiony produkt, nielicencjonowane oprogramowanie, bądź po prostu pożegnają się z pieniędzmi, nie otrzymując nic. Do tego rośnie ryzyko utraty danych karty kredytowej.
Bardzo ważną rzeczą, chociaż nie związaną bezpośrednio z technologiami IT, jest to, aby podczas internetowych zakupów korzystać z karty kredytowej, a nie debetowej. Wiele kart kredytowych objętych jest mechanizmami ochrony przed oszustwami. Ich wystawcy często ostrzegają też użytkowników o zaobserwowanych podejrzanych transakcjach. W razie problemów można też taką kartę łatwo zastrzec, nie blokując sobie dostępu do gotówki, jak miałoby to miejsce w przypadku utraty dostępu do karty debetowej. Podczas zakupów na stronach, co do których wiarygodności nie jesteśmy absolutnie pewni, można skorzystać z takich serwisów jak Privacy.com, które umożliwiają wygenerowanie wirtualnej karty kredytowej do przeprowadzenia jednej lub kilku transakcji. Ewentualna kradzież numeru takiej karty nie powoduje żadnych konsekwencji finansowych dla użytkownika.
Czujność użytkowników powinna wzbudzić też sytuacja, w której dany sprzedawca nie akceptuje płatności kartami. Może to oznaczać, że nie chce pokazać, jaką drogę pokonuj środki zapłacone przez klienta. Jeśli w witrynie wymagany jest bezpośredni przelew z banku, należy jej unikać. Jeśli tylko to możliwe, należy używać systemów płatności typu PayPal (po uprzednim sprawdzeniu czy użytkownik rzeczywiście znajduje się na stronie tego usługodawcy) lub mechanizmów dodatkowej weryfikacji zapewnianych przez wystawców kart kredytowych.
Informacja o firmie Fortinet
Fortinet (NASDAQ: FTNT) chroni największe przedsiębiorstwa, dostawców usług i podmioty administracji publicznej na całym świecie. Klienci Fortinet objęci są pełną i inteligentną ochroną w dobie zwiększającej się sfery zagrożeń i stale rosnących oczekiwań wobec wydajności rozszerzających się sieci. Architektura Fortinet Security Fabric zapewnia skuteczne zabezpieczenia, odpowiadające na kluczowe wyzwania bezpieczeństwa środowisk sieciowych, aplikacji, chmury oraz urządzeń mobilnych. Fortinet jest liderem pod względem liczby urządzeń zabezpieczających sprzedanych na całym świecie. Rozwiązania firmy chronią działalność już ponad 425 tys. klientów.
Więcej informacji na www.fortinet.com, Fortinet Blog oraz FortiGuardLabs.