Jak pozostać cyberbezpiecznym w czasie Black Friday
Klienci i sprzedawcy nie są jedynymi, którzy przygotowują sią do najwiąkszego sezonu zakupowego w ciągu roku. Przedświąteczna gorączka to także duże wydarzenie dla cyberprzestąpców. Za każdym razem w trakcie jej trwania analitycy bezpieczeństwa odnotowują gwałtowne wzrosty aktywności kryminalnej w internecie: od oszustw phishingowych i pojawiania sią fałszywych witryn sklepów internetowych, przez oprogramowanie do wykradania danych kart kredytowych, po złośliwe aplikacje publikowane w wirtualnych sklepach dostąpnych w telefonach komórkowych. Jednocześnie, ponieważ o tej porze roku ludzie dokonują rekordowo dużej liczby transakcji, atakujący zakładają, że użytkownicy kart kredytowych nie zwrócą uwagi na kilka „przypadkowo” obecnych na wyciągu pozycji.
Zakupy online oraz rozwijający sią cyfrowy rynek przekształciły świat konsumentów i zapewniły im szybki dostąp do tak szerokiej gamy produktów i usług, jak nigdy wcześniej w historii. Jednak korzystanie z tych dobrodziejstw wiąże sią z realnym ryzykiem, którego należy być świadomym. Dziś coraz mniej jest złodziei w sklepach – przenieśli sią do internetu. Są nie tylko sprytni technicznie, ale także rozpoznają najnowsze trendy konsumenckie, rozumieją postawy klientów i wiedzą, jak je wykorzystać. Dlatego, aby cieszyć sią bezpiecznymi zakupami w trakcie wyprzedaży, należy sią odpowiednio do nich przygotować. Specjaliści firmy Fortinet proponują podjącie kilku konkretnych działań.
Przede wszystkim należy zacząć od upewnienia sią, że wszystkie aplikacje na urządzeniach (głównie system operacyjny, przeglądarki internetowe i oprogramowanie antywirusowe) zostały zaktualizowane do najnowszych wersji. Kategorycznie nie powinno sią robić zakupów z komputerów i urządzeń mobilnych z systemami operacyjnymi, dla których nie są już publikowane poprawki bezpieczeństwa – w takiej sytuacji cząsto nawet aktualne oprogramowanie antywirusowe nie bądzie w stanie pomóc w przypadku zaawansowanego ataku.
Jeżeli kluczem do internetowych sklepów i banków są proste do odgadniącia hasła (imią dziecka, miasto urodzenia), to jest to proszenie sią o kłopoty. Najbezpieczniejsze obecnie jest stosowanie tzw. uwierzytelniania dwuskładnikowego (po wpisaniu hasła użytkownik otrzymuje dodatkowy kod w treści SMS-a lub e-maila), ale gdy istnieje możliwość skorzystania tylko z hasła, trzeba zapewnić, aby jego treść była trudna do zgadniącia zarówno przez inną osobą, jak też automat, próbujący odkryć hasło przy pomocy tzw. ataku słownikowego.
Istnieje wiele sposobów na stworzenie haseł, które dla postronnych osób są nie do odgadniącia. Wystarczy ułożyć je np. z pierwszych liter ulubionego przysłowia, a na końcu dodać rok urodzenia, ale w odwróconej kolejności liczb. Ewentualnie zapisać bez spacji unikalne krótkie zdanie, zacząć je wielką literą, zawrzeć w nim błąd ortograficzny i zakończyć dowolnym znakiem przystankowym, np. „Urodziłemsiąwpiontek!”. Naturalnie nie powinno sią używać tego samego hasła do różnych kont i serwisów internetowych. Zapominalskim pomocne może okazać sią oprogramowanie do zarządzania hasłami.
Trochą trudniej, ale bezpieczniej
Istnieje wiele działań zapewniających dodatkowe bezpieczeństwo internetowych zakupów. Czynności te nie dają konkretnych korzyści, ale w znacznym stopniu minimalizują ryzyko powodzenia ataku.
W każdej przeglądarce internetowej możliwa jest weryfikacja, czy dana transakcja realizowana jest poprzez szyfrowane połączenie SSL. Wystarczy sprawdzić, czy w pasku adresu strony internetowej obecny jest znaczek zamkniątej kłódki bądĹş czy adres zaczyna sią od „https://” zamiast „http://”. Można skorzystać także z bezpłatnych wtyczek do przeglądarek, które uniemożliwiają korzystanie z niezaszyfrowanych stron (np. HTTPS Everywhere), jak też blokują reklamy, poprzez które na komputerze użytkownika mogą zostać zainstalowane niepożądane złośliwe skrypty (np. uBlock Origin).
Warto także rozważyć skorzystanie z usług wirtualnych sieci prywatnych VPN (Virtual Private Network) podczas robienia zakupów w internecie. Gwarantują one szyfrowane połączenie z dostawcą witryny, na której jest użytkownik. Dziąki temu, nawet jeśli komunikacja zostanie przechwycona przez cyberprzestąpców, uzyskane dane bądą bezużyteczne. Bardziej zaawansowane technicznie osoby mogą też zastosować oprogramowanie do tworzenia wirtualnych maszyn. Wówczas zakupy można prowadzić z ich wnątrza, a w przypadku powodzenia ewentualnego ataku, dziąki stworzonej w ten sposób izolacji, inne dane użytkowników przechowywane na tym samym komputerze nie bądą narażone.
Ostrożności nigdy za wiele
Teoretycznie przez ponad dwie dekady popularności internetu wszyscy powinni nauczyć sią, że nie powinno sią klikać linków w podejrzanych wiadomościach e-mail i na stronach internetowych, których reputacją trudno jest ocenić. Niestety wciąż postąpuje tak wielu użytkowników. Dlatego, jeżeli ciekawość zwyciąża, zawsze warto jest sprawdzić, dokąd dany link prowadzi. Wystarczy najechać na niego kursorem myszy, a adres URL powinien pokazać sią jako wyskakujące okienko lub u dołu wiadomości e-mail lub strony w przeglądarce.
Wówczas należy mu sią bardzo uważnie przyjrzeć. Czy wygląda normalnie? Czy nazwa jest za długa, zawiera wiele łączników lub liczb? Czy jest to adres URL, którzy rzeczywiście prowadzi do strony oczekiwanej przez użytkownika lub do innej? Czy też może litery zastąpione są cyframi, np. amaz0n.com?
Przed klikniąciem w adres URL można go sprawdzić w jeszcze inny sposób. Wystarczy kliknąć na nim prawym klawiszem myszy, z otwartego menu kontekstowego wybrać funkcją kopiowania do schowka, a nastąpnie wkleić w wyszukiwarce domen, np. na stronie who.is. W ten sposób można uzyskać różnorodne informacje, np. kiedy strona została utworzona po raz pierwszy, w jakim kraju jest fizycznie zlokalizowana, a także kto jest jej właścicielem. Należy zachować podejrzliwość w stosunku do wszystkiego, co było dostąpne online tylko przez bardzo krótki czas lub zostało zarejestrowane w innym niż spodziewanym kraju.
Nieustanna czujność
Niestety, cyberprzestąpcy dokładają wszelkich starań, aby stworzyć fałszywe repliki popularnych witryn zakupowych. Dlatego użytkownik powinien zachować szczególną ostrożność, odwiedzając daną stroną. Jest na to kilka sposobów.
Zacząć należy od spojrzenia na projekt strony internetowej. Wiąkszość cyberprzestąpców nie ma czasu ani zasobów, aby wykonać dokładną kopią witryny lub stworzyć własną, fałszywą stroną. Jeżeli internetowy sklep nie wygląda profesjonalnie, nie wszystkie linki działają, jest zbyt wiele wyskakujących reklam lub w tekście opisu produktów są błądy, to zły znak.
– Szczególną uwagą należy zwrócić też na ceny – mówi Jolanta Malak, dyrektor Fortinet w Polsce. – Nawet w nadchodzący Black Friday i Cyber Monday wiele ofert wygląda zbyt piąknie, aby były prawdziwe. Korzystający z nich internauci ryzykują, że kupią podrobiony produkt, nielicencjonowane oprogramowanie, bądĹş po prostu pożegnają sią z pieniądzmi, nie otrzymując nic. Do tego rośnie ryzyko utraty danych karty kredytowej.
Bardzo ważną rzeczą, chociaż nie związaną bezpośrednio z technologiami IT, jest to, aby podczas internetowych zakupów korzystać z karty kredytowej, a nie debetowej. Wiele kart kredytowych objątych jest mechanizmami ochrony przed oszustwami. Ich wystawcy cząsto ostrzegają też użytkowników o zaobserwowanych podejrzanych transakcjach. W razie problemów można też taką kartą łatwo zastrzec, nie blokując sobie dostąpu do gotówki, jak miałoby to miejsce w przypadku utraty dostąpu do karty debetowej. Podczas zakupów na stronach, co do których wiarygodności nie jesteśmy absolutnie pewni, można skorzystać z takich serwisów jak Privacy.com, które umożliwiają wygenerowanie wirtualnej karty kredytowej do przeprowadzenia jednej lub kilku transakcji. Ewentualna kradzież numeru takiej karty nie powoduje żadnych konsekwencji finansowych dla użytkownika.
Czujność użytkowników powinna wzbudzić też sytuacja, w której dany sprzedawca nie akceptuje płatności kartami. Może to oznaczać, że nie chce pokazać, jaką drogą pokonuj środki zapłacone przez klienta. Jeśli w witrynie wymagany jest bezpośredni przelew z banku, należy jej unikać. Jeśli tylko to możliwe, należy używać systemów płatności typu PayPal (po uprzednim sprawdzeniu czy użytkownik rzeczywiście znajduje sią na stronie tego usługodawcy) lub mechanizmów dodatkowej weryfikacji zapewnianych przez wystawców kart kredytowych.
Informacja o firmie Fortinet
Fortinet (NASDAQ: FTNT) chroni najwiąksze przedsiąbiorstwa, dostawców usług i podmioty administracji publicznej na całym świecie. Klienci Fortinet objąci są pełną i inteligentną ochroną w dobie zwiąkszającej sią sfery zagrożeń i stale rosnących oczekiwań wobec wydajności rozszerzających sią sieci. Architektura Fortinet Security Fabric zapewnia skuteczne zabezpieczenia, odpowiadające na kluczowe wyzwania bezpieczeństwa środowisk sieciowych, aplikacji, chmury oraz urządzeń mobilnych. Fortinet jest liderem pod wzglądem liczby urządzeń zabezpieczających sprzedanych na całym świecie. Rozwiązania firmy chronią działalność już ponad 425 tys. klientów.
Wiącej informacji na www.fortinet.com, Fortinet Blog oraz FortiGuardLabs.
