Jak bezpiecznie kupować przez internet? Poradnik dla każdego

Na tle wielu europejskich krajów w Polsce odsetek konsumentów kupujących za pośrednictwem Internetu wciąż jest bardzo niski. Jednak handel elektroniczny rozwija się w szybkim tempie i coraz mniej osób czuje strach przed "wirtualnymi" zakupami. Ważne jest jednak, aby wraz z demitologizacją handlu internetowego rosła także świadomość realnych zagrożeń, do których należą np. fałszywe sklepy internetowe uruchamiane w celu wyłudzenia pieniędzy lub phishing.

Przyjrzyjmy się więc, jakie zagrożenia wiążą się z aukcjami internetowymi, e-sklepami, różnymi metodami zdalnych płatności i samymi bankami internetowymi. Dzięki temu dowiemy się na co zwrócić uwagę przy zakupach online i jak bezpiecznie kupować przez internet.

Zobacz również:

• Gdzie najtaniej kupić oryginalny Windows 10? [31.08.2023]
• Ile trwa dostawa PlayStation 5? Sklepy nam odpowiedziały! (02.05.2023)

Zagrożone sklepy internetowe

Sklepy internetowe mogą być narażone na niebezpieczeństwo ze względu na błędy techniczne lub brak odpowiedniej polityki przechowywania danych. Klienci mogą mieć także duże problemy w określeniu rzetelności obsługi klienta i jakości sprzedawanych produktów. Czynniki te sprawiają, że sklepy internetowe w całym łańcuchu zakupowym elektronicznego handlu są najbardziej narażone na problemy z bezpieczeństwem. Tymczasem ich właściciele i klienci nie zawsze zdają sobie z tego sprawę.

Przed niektórymi zagrożeniami związanymi z e-commerce nie sposób się obronić. Należy do nich potencjalna możliwość upadku sklepu internetowego. Bankructwa w branży e-handlu są na ogół spowodowane niskimi marżami na produkty, słabą płynnością finansową i nadmiernym korzystaniem z kredytów obrotowych. Gdy taka sytuacja będzie mieć miejsce, klienci, których zamówienia nie zostały zrealizowane, najczęściej bezpowrotnie tracą pieniądze.

Spektakularne upadki, np. zakończenie działalności przez sklep Ulubiony.pl, odbijają się w Internecie szerokim echem. Warto przy okazji dodać, że akurat ten sklep ma zostać uruchomiony ponownie, a jeden z jego współtwórców zobowiązał się spłacić wszystkie długi. Jednak na ogół klienci upadających sklepów nie mogą na to liczyć. O wiele łatwiej - wbrew pozorom - jest się obronić przed sklepami uruchomionymi jako celowe oszustwo i mającymi wyłudzić pieniądze od klientów, którzy skuszą się na okazyjnie niskie ceny.

Podczas kontaktu z nowym sklepem internetowym warto zwrócić uwagę na wiele elementów budujących jego wiarygodność. Przede wszystkim handel internetowy nie różni się formalnie od innych rodzajów biznesu. Sklep powinna więc obsługiwać legalnie działająca firma. Na stronie muszą być podane takie dane, jak pełna nazwa (np. "E-handel Jan Kowalski" lub "Zakupy sp. z o.o."), adres siedziby, numer NIP i numer Regon. Dane na ogół są przedstawione na stronie z danymi kontaktowymi lub w regulaminie sklepu. Ich prezentacja jest wymagana przez ustawę o świadczeniu usług drogą elektroniczną.

Rzetelny sklep internetowy powinien także mieć regulamin (akceptujesz jego zapisy, dokonując zakupów) i najlepiej politykę prywatności, mówiącą o sposobie traktowania przekazywanych danych osobowych lub odpowiadające jej zapisy wewnątrz regulaminu. Godne zaufania sklepy internetowe działają także pod własną domeną. Najczęściej będzie to domena .pl, wyjątkiem są duże i rozpoznawalne marki korzystające z domen .net lub .com, np. www.empik.com. Pod żadnym pozorem nie należy korzystać ze sklepów działających pod egzotycznymi domenami (przykładowo .ws). O braku profesjonalizmu ze strony sklepu świadczy natomiast adres w subdomenie oferowanej przez firmę hostingową (np. sklep.firmahostingowa.pl).

Kolejnym krokiem podczas sprawdzania wiarygodności sklepu powinno być zapoznanie się z warunkami reklamacji i zwrotu pieniędzy. Uczciwe sklepy przedstawiają informacje na ten temat. Mogą one być zawarte na stronie produktu, w regulaminie lub na osobnej stronie. Warto przy tym pamiętać, że polskie prawo w przypadku zakupów na odległość pozwala zwrócić towar w ciągu 10 dni bez podawania przyczyny. Nie dotyczy to jednak aukcji internetowych i transakcji dokonywanych między firmami, a towar musi być zwracany w oryginalnym opakowaniu. Jeśli sprzedawca nie informuje o prawie do zwrotu, to termin ten wydłuża się do 20 dni.

Prowadzenie legalnej działalności oraz prezentowanie wszystkich ważnych informacji nie oznacza automatycznie rzetelnej obsługi klienta, terminowości dostawy i wysokiej jakości sprzedawanych produktów. Dlatego bardzo wiele na temat faktycznego funkcjonowania sklepu mogą powiedzieć opinie znajdujące się w katalogach sklepów, takie jak www.pinia.pl lub www.opineo.pl. Dobrym źródłem opinii są także porównywarki cen, np. www.nokaut.pl, www.ceneo.pl lub www.skapiec.pl. Lektura komentarzy klientów jest również dobrą metodą rozpoznawania fałszywych sklepów. Listę popularnych katalogów i porównywarek znajdziesz w dołączonej ramce.

Inną metodą sprawdzania wiarygodności sklepu jest korzystanie z badań, statystyk i porównań, które regularnie ukazują się w prasie komputerowej. Tego rodzaju porównanie ukazało się w październikowym numerze PC World. Zajrzeć warto także do raportu Ecommerce Standard 2010, który zawiera listę 120 polskich sklepów o najwyższych przychodach.

Sklep należycie dbający o bezpieczeństwo powinien także rozważyć stosowanie szyfrowania SSL podczas składania zamówienia przez klientów. Dzięki temu, po ewentualnym przechwyceniu transmisji przez cyberprzestępcę, dane nie wpadną w niepowołane ręce. Brak szyfrowania nie oznacza, że sklep internetowy jest automatycznie niebezpieczny. Jednak korzystanie z szyfrowania potwierdzonego zaufanym certyfikatem jest zdecydowanie dobrą praktyką podnoszącą poziom bezpieczeństwa.

Przyjrzeliśmy się 20 polskim sklepom internetowym z największymi przychodami w 2009 roku (według raportu Ecommerce Standard 2010). Trzynaście z nich stosowało szyfrowanie na etapie składania zamówienia. To z jednej strony duża liczba, ale liczba sklepów bez szyfrowania może wciąż niepokoić. Dokładną listę testowanych sklepów prezentuje załączona tabela.

Ryzyko phishingu

Jednym z większych zagrożeń dla osób korzystających z banków internetowych i elektronicznych systemów płatności są ataki typu phishing. Cyberprzestępcy korzystający z tej metody próbują wyłudzić poufne dane, takie jak nazwy użytkowników, hasła, dane logowania do banków lub numery PIN za pośrednictwem fałszywych serwisów internetowych.

Większość ataków phishingowych na świecie jest skierowana na popularny system płatności PayPal. Inne ataki dotyczą banków i aukcji internetowych oraz serwisów społecznościowych. Według danych firmy Avira, w lipcu ponad 1% wszystkich ataków był skierowany do polskich użytkowników. Dla porównania serwisów w domenach .ru (Rosja) i .uk (Wielka Brytania) dotyczyło ok. 1,5% ataków. Wbrew pozorom, nawet tak niski procent ataków może przełożyć się na bardzo dużą liczbę ataków.

Pierwszym etapem ataku phishingowego może być zebranie w Internecie setek tysięcy adresów e-mail lub zakupienie przez cyberprzestępcę gotowej, nielegalnej bazy danych. W następnej kolejności, za pomocą automatu, na pozyskane adresy zostaną wysłane wiadomości nakłaniające do przejścia na fałszywą stronę logowania lub przekazania poufnych danych przy użyciu e-maila.

Fałszywa strona może funkcjonować pod adresem przypominającym prawdziwy. Dzięki temu mało uważni użytkownicy mogą uznać ją za autentyczny serwis banku lub systemu płatności elektronicznych. Łącza do stron w fałszywej wiadomości mogą być także zamaskowane poprzez wysyłanie wiadomości w formacie HTML, użycie JavaScriptu lub wykorzystanie plików graficznych. Oczywiście dane wpisane na fałszywej stronie są przekazywane bezpośrednio do atakującego.

Phishing może także opierać się na tworzeniu sztucznego poczucia zagrożenia. Atakujący może np. poinformować o zablokowaniu konta lub napisać, że zostanie ono zamknięte, a środki finansowe przepadną, jeśli w ciągu kilku godzin lub dni użytkownik nie zaloguje się na konto przy użyciu podanego odnośnika. I choć na phishing nabiera się bardzo mała liczba internautów, to nawet jeden skuteczny atak na setki tysięcy wysłanych wiadomości może zwrócić atakującemu poniesione koszty.

Najlepszą obroną przed phishingiem jest stosowanie zasady ograniczonego zaufania. Nie należy klikać linków do stron banków umieszczonych w wiadomościach e-mail, a jedynie bezpośrednio wpisywać adres lub korzystać z zakładki utworzonej w przeglądarce. Nie należy także pod żadnym pozorem podawać nikomu haseł, kodów autoryzacyjnych ani numerów PIN poza miejscami do tego przeznaczonymi. Nawet jeśli ten ktoś wydaje się pracownikiem banku lub otrzymana wiadomość brzmi alarmująco. Ponadto warto pamiętać, że fałszywe witryny na ogół nie są zabezpieczone zaufanym certyfikatem SSL.

Bezpieczeństwo kart kredytowych

Płatności przy użyciu metod elektronicznych, takich jak karty kredytowe, są dla sklepów internetowych o wiele wygodniejsze, niż np. wysłanie zamówienia za pobraniem i płatność przy odbiorze. Sklepy nie ryzykują bowiem, że zamawiający nie odbierze przesyłki. Dzięki temu klienci stosujący takie formy płatności mogą korzystać z niższych cen wysyłki. W Polsce płatności przy użyciu kart kredytowych nie są jednak tak popularne, jak w wielu innych krajach.

Korzystanie z kart kredytowych nie jest również najbardziej bezpieczną metodą płatności i wiąże się z zagrożeniami, o których trzeba pamiętać. W 2009 roku w Polsce doszło do ponad 35 tys. oszustw z użyciem kart kredytowych na łączną kwotę ponad 26 mln zł.

Do dokonania zdalnej transakcji kartą kredytową w większości przypadków potrzebny jest jej numer oraz 3-cyfrowy kod zabezpieczający CVV2/CVC2, który został stworzony po to, aby zabezpieczyć transakcje dokonywane bez fizycznego udziału karty, np. telefoniczne lub internetowe. Numer CVV2/CVC2 często jest zapisany na rewersie karty. Może być również przekazany niezależnie. Z wykorzystaniem kodu wiąże się ryzyko. Jeśli cyberprzestępca zdobędzie numer karty oraz kod zabezpieczający, to może dokonać dowolnej transakcji.

Większy poziom bezpieczeństwa zapewniają karty kredytowe oferujące zabezpieczenie typu 3d secure. Nazwa pochodzi od trzech stron transakcji, które biorą udział w potwierdzeniu transakcji - banku, właściciela karty oraz odbiorcy płatności. Ten rodzaj zabezpieczenia polega na podaniu dodatkowego, zdefiniowanego przez użytkownika hasła lub kodu pochodzącego np. z tokena. Zdobycie numeru karty i kodu CVV2/CVC2 na nic zda się cyberprzestępcy, jeśli użytkownik zmieni hasło autoryzacyjne. Zabezpieczenia 3d secure oferuje już Visa w ramach usługi Verified by Visa oraz MasterCard pod nazwą MasterCard SecureCode. Są one wdrażane przez coraz większa liczbę banków w Polsce.

W Polsce sklepów internetowych samodzielnie wdrażających obsługę kart kredytowych praktycznie się nie spotyka. Korzystają one z systemów pośrednictwa płatności elektronicznych (o których piszemy dalej), które zajmują się kompleksową obsługą transakcji od strony finansowej. Numer karty kredytowej oraz kod zabezpieczający w żadnym momencie nie zostają przekazane pracownikom sklepu internetowego. Częściej o podanie danych proszą sklepy zagraniczne, np. amerykańskie. W takiej sytuacji należy dokładnie sprawdzić ich wiarygodność oraz szyfrowanie wysyłanych danych potwierdzone certyfikatem SSL lub skorzystać z alternatywnej metody płatności, np. systemu PayPal.

Ważną alternatywą dla tradycyjny kart kredytowych są karty wirtualne. Nie mają one paska magnetycznego ani mikroprocesora i nie są kartami w typowym rozumieniu tego słowa. Nie można nimi płacić w sklepie ani wypłacić za ich pomocą pieniędzy z bankomatu. To po prostu kawałek plastiku z danymi właściciela oraz numerem karty. Wirtualna karta nie ma numeru PIN, ale ma kod CVV2/CVC2. Jej przeznaczeniem jest dokonywanie płatności internetowych. Użytkownik karty wirtualnej sam decyduje, jaką sumą środków z konta ją zasilić. Poza czasem dokonania transakcji nie musi więc ona mieć żadnych środków.

Systemy płatności elektronicznych

Ryzyko związane ze stosowaniem kart kredytowych oraz ich mniejsza dostępność sprawia, że klienci coraz chętniej korzystają z tzw. płatności elektronicznych oraz błyskawicznych przelewów. W takim przypadku całość obsługi finansowej bierze na siebie wyspecjalizowana firma specjalizująca się w pośrednictwie finansowym. W celu dokonania zapłaty za zamówienie klient jest przekierowywany do zewnętrznego, bezpiecznego serwisu, a sklep nie musi się martwić o obsługę i zabezpieczenie transakcji.

W Polsce do popularnych systemów płatności należą m.in. Ecard, Platnosci.pl, Przelewy24.pl, DotPay i PolCard. Na ogół sklep jest zintegrowany z jednym, wybranym systemem płatności. Systemy płatności pozwalają na dokonanie bezpiecznej transakcji kartą kredytową oraz przy użyciu tzw. błyskawicznego przelewu. Ta metoda płatności polega na przekierowaniu klienta do strony banku w celu natychmiastowego zatwierdzenia transakcji. Po jej wykonaniu klient wraca na stronę sklepu. Dzięki szybkim przelewom sklep może natychmiast otrzymać informację o dokonaniu płatności i zrealizować zamówienie.

Według raportu Ecommerce Standard 2010 błyskawiczne przelewy obsługuje już ponad 57% sklepów internetowych. Korzystanie z systemów płatności elektronicznych zdecydowanie zwiększa bezpieczeństwo transakcji. Najprawdopodobniej fałszywe sklepy internetowe nie będą przeprowadzać czasochłonnej i wymagającej zawarcia formalnej umowy integracji z systemami płatności. W tym modelu bezpieczniejsze pozostają także dane karty kredytowej, z którymi obsługa sklepu nie ma żadnego kontaktu.

Czułe punkty banków internetowych

Bezpieczeństwo bankowości elektronicznej to najtrudniejszy z omawianych tematów. Aby zapewnić sobie bezpieczne korzystanie z banków oferujących panel internetowy, należy stosować wszystkie znane zasady bezpieczeństwa. Mieć program antywirusowy, dbać o aktualizację oprogramowania, wystrzegać się phishingu oraz uważać na inne ataki omówione w tym numerze PC World.

Wybierając bank internetowy, warto zwrócić uwagę na bezpieczeństwo logowania oraz potwierdzenia transakcji. Współcześnie banki najczęściej podczas logowania wymagają jedynie podania indywidualnego numeru i hasła. Bezpieczeństwo zwiększają tzw. hasła maskowane. W takim przypadku użytkownik podaje tylko wybrane znaki swojego hasła. Nawet w razie wirusa komputera podsłuchanie hasła nie nastąpiłoby natychmiastowo, a klient ma więcej czasu na wykrycie infekcji systemu.

Potwierdzeń jednorazowymi kodami wymagają także poszczególne transakcje. Mogą one pochodzić z papierowej listy dostarczanej pocztą (coraz rzadszy przypadek) lub być wysyłane za pomocą SMS-ów. Bezpieczniejszym rozwiązaniem jest jednak token, czyli specjalne urządzenie lub program generujący jednorazowe kody. Sam token także może mieć własny numer PIN.

Najwyższy poziom bezpieczeństwa oferuje jednak zabezpieczenie tokena typu challenge/response. W tym przypadku bank przy każdej transakcji wyświetla kod, który należy wpisać do tokena, a dopiero wtedy token prezentuje kod autoryzacyjny. Zabezpieczenie tego rodzaju wymaga od użytkownika większej cierpliwości dla bardziej skomplikowanej procedury, ale jest ono idealne dla osób oczekujących największego bezpieczeństwa.

Czy zakupy internetowe są bezpieczne?

Nie sposób jednoznacznie odpowiedzieć, czy zakupy internetowe są obecnie bezpieczne. Są bezpieczne dla świadomych użytkowników rozumiejących zagrożenia, chroniących swoje dane i korzystających z zaufanych sklepów. Jednak w przypadku użytkowników niedoświadczonych i nieostrożnych kupowanie za pośrednictwem Internetu może skończyć się bardzo poważnymi stratami finansowymi.