Cyberbezpieczeństwo w Black Week 2023 w e-commerce. O czym muszą pamiętać konsumenci?

Przeczytaj także: Świąteczne zakupy internetowe: jak ustrzec się przed oszustwem?

Pod koniec listopada rozpoczyna się wielkie święto zakupów, czyli Black Week. W tym okresie w sklepach internetowych często można znaleźć produkty w okazyjnych cenach. To sprawia, że co roku jeszcze więcej konsumentów szuka promocji w sieci. Wiedzą o tym również cyberprzestępcy (potocznie – często mylnie - nazywani hakerami), którzy coraz częściej wykorzystują wzmożony ruch nie tylko do ataków na e-sklepy, ale także kupujących. Jak podkreśla ekspert, konsumenci mogą uchronić się przed nieprzyjemnościami, muszą tylko przestrzegać kilku zasad, takich jak duża ostrożność, weryfikacja opinii, czytanie regulaminów i czujność.

W czasie gorących okresów sprzedażowych działalność cyberprzestępców jest dużo większa niż na co dzień. Nie celują oni jedynie w sprzedawców, na celowniku są również konsumenci. Dlatego też warto zachować w tym czasie szczególną roztropność – mówi Piotr Sikora, Chief Technology Officer w IdoSell.

Podczas robienia zakupów w gorącym okresie warto zachować zdrowy rozsądek. Zanim konsument zostawi w sklepie swoje dane osobowe, karty kredytowej, czy też zaloguje się do systemu płatności, powinien upewnić się, że strona nie budzi podejrzeń i zachowuje pewne istotne elementy.

Weryfikację warto zacząć od sprawdzenia regulaminu, polityki prywatności, polityki cookies. Jeśli sprzedający poświecił swój czas i uwagę, żeby przygotować spójną i czytelną dokumentację, wskazał siedzibę firmy, którą, chociażby po NIP można zweryfikować, jest duża szansa, że jest to sprawdzony sprzedawca. Warto zwrócić uwagę na domenę i na to, czy firma istnieje, np. jest zarejestrowana w KRS, jej dane się zgadzają albo w sieci można znaleźć opinie na jej temat. Dodatkowo, jeśli wcześniej mieliśmy konto w wybranym sklepie, a nie możemy się zalogować i zresetować hasła, możemy włączyć podejrzliwość – wymienia Piotr Sikora.

W ciągu ostatnich miesięcy w polskim biznesie miał miejsce duży wyciek danych. Analiza specjalistów ds. bezpieczeństwa wykazała, że jego źródłem nie były serwery, ale urządzenia użytkowników. Mając to na uwadze, konsumenci przed rozpoczęciem zakupów w Black Week, powinni zabezpieczyć komputery, telefony i tablety, przez które będą zamawiać produkty.

Warto zaktualizować system operacyjny, przeglądarkę oraz oprogramowanie antywirusowe, ponieważ prawdziwą plagą, która corocznie zalewa rynek, jest tzw. phishing. Ta metoda ataku ma na celu wyłudzenie informacji poprzez podszycie się pod inną osobę lub instytucję, żeby nakłonić „ofiarę” do określonych działań. Tu na celownik brane są zazwyczaj dane logowania do konta mailowego, konta w sklepie czy też systemu bankowego – przestrzega Piotr Sikora.

Do tzw. phishingu cyberprzestępcy najczęściej używają metody nadzwyczaj banalnej – zwykłego maila. Choć od kilku lat znacząco rośnie liczba ataków poprzez SMS, ponieważ wielu użytkownikom wiadomości tekstowe wydają się bardziej wiarygodne.

Kto z nas nie słyszał o wyłudzeniach SMS pod przykrywką niezbędnej dopłaty do przesyłki lub rachunku za prąd. W temacie czy treści takich wiadomości znajdują się zazwyczaj informacje, które pozornie mogą dotyczyć naszych działań np. zakupów, zwrotów reklamacyjnych lub pytań o produkt. Po otwarciu takiej wiadomości lub kliknięciu w odnośnik następuje zainfekowanie urządzenia (telefon, komputer, przeglądarka) lub pozyskanie wpisanych przez konsumenta danych. To pozwala na kradzież loginów i haseł, kluczowych danych do kolejnych ataków, a w skrajnych przypadkach nawet przejęcia kont bankowych – tłumaczy Piotr Sikora.

Jak zatem uchronić przed phishingiem? W tym przypadku praktycznie wszystko jest zależne od czynnika ludzkiego. Czujność i znajomość zachowań cyberprzestępców to podstawa.

Jeśli konsument doda do tego unikatowe hasła i wieloetapowe logowanie tam, gdzie jest to możliwe, znacznie zmniejszy ryzyko potencjalnego przejęcia danych przez cyberprzestępców. Między innymi ze względu na potrzebę skutecznego zabezpieczenia danych klientów naszych klientów, wprowadziliśmy w IdoSell usługę Express Checkout. Umożliwia ona bezpieczne i szybkie logowanie się do sklepów za pomocą kont mediów społecznościowych, numeru telefonu, e-maila, a po rejestracji konta również metodami autoryzacji dostępnymi w urządzeniach np. Touch ID, Face ID, czytnik linii papilarnych, kod zabezpieczenia ekranu itp. Jest to kolejny przełomowy krok w e-commerce, który pozwala z jednej strony skutecznie chronić dane kupujących, z drugiej zaś aktywnie usprawnia proces finalizacji zakupów – mówi Piotr Sikora.

Najgorszy scenariusz podczas zakupów w sieci to przejęcie przez cyberprzestępców konta bankowego lub danych płatniczych. Na szczęście, od pojawienia się w Polsce dyrektywy PSD2 (która wymusiła co do zasady na bankach stosowanie tzw. silnego uwierzytelniania, oznaczającego potrzebę potwierdzenia tożsamości klienta przez zastosowanie co najmniej dwóch elementów uwierzytelniających) skala tego typu przypadków znacznie spadła.

Nie należy jednak tracić czujności, ponieważ przejęcia tego typu danych lub po prostu wyłudzenia środków pieniężnych jest nadal możliwe. Wymaga jedynie znacznie więcej pracy od przestępców i włączenia do ataku kilku technik np. klonowania wyglądu serwisów bankowy i phishingu wykorzystującego inżynierię społeczną do przekazania niezbędnych do finalizacji logowania czy też przelewu środków. W dużym uproszczeniu działa to w ten sposób, że konsument, który chce opłacić zakup, próbuje zalogować się na swoje konto w kopii strony banku. Nie może tego zrobić, pokazuje mu się błąd. W tym czasie ktoś przechwytuje już dane, które konsument podał. Kiedy kupujący jeszcze raz próbuje się zalogować, tym razem zostaje przekierowany na faktyczną stronę banku oraz zostaje poprawnie zalogowany. Często nawet nie skojarzy, że pierwsze logowanie mogło mieć na celu przechwycenie danych, ale w tym właśnie momencie kontaktuje się z nim telefoniczne osoba przedstawiająca się jako przedstawiciel banku, prosząc o wykonanie jakiejś akcji lub podanie kodu weryfikacyjnego - wyjaśnia Piotr Sikora.