Megvédhetjük magunkat a csalóktól karácsonykor is

GettyImages-109840289

Egyre több helyen és egyre több mindenért tudunk online fizetni. Ennek köszönhetően az internetes vásárlás beférkőzött mindennapjainkba. Vásárolhatunk bármit, bármikor és bárhol, azonban ez óriási veszélyekkel is járhat, ha nem figyelünk oda néhány alapvető dologra. Márpedig a karácsonyi hajtásban különösen hajlamosak vagyunk arra, hogy figyelmetlenek legyünk. Érdemes szem előtt tartani az alábbiakat:

Válasszunk megbízható, biztonságos webshopot

Először is érdemes megbizonyosodni arról, hogy az a webáruház, ahonnan vásárolni szeretnénk, magas reputációval bíró, régóta működő bolt-e, vagy csak azért hozták létre, hogy gyanútlan vásárlók megadják a bankkártya adataikat. Ha egy oldalon irreálisan nagy kedvezményt kínálnak, mindig legyünk szkeptikusak, inkább többször járjunk utána, hogy az adott internetes áruház által nyújtott lehetőség valóban az-e, aminek mondja magát.

A legtöbb magára valamit adó weblap rendelkezik olyan biztonsági tanúsítvánnyal, amely igazolja, hogy a honlap megfelelően védett és titkosított csatornán küldi el az általunk megadott adatokat. Erről könnyedén meggyőződhetünk:

Ha az oldal URL-címe HTTPS-el kezdődik, és a böngészőben megjelenik a titkos kommunikációt jelző kis lakat,

az bizalomra adhat okot, mert azt jelzi, hogy adatainkat titkosítás védi a kommunikációs csatornán.

Azonban még a HTTPS sem garancia

Ha valamit titkosítva küldünk az interneten, nem jelenti automatikusan azt, hogy valóban biztonságos. Azok a weblapok ugyanis, amelyek a felhasználókat igyekeznek megtéveszteni, szintén használhatják a HTTPS-kommunikációt, és rendelkezhetnek biztonsági tanúsítvánnyal is. Az adatokat rejtjelezve fogják ugyan küldeni, csak éppen azoknak, akik a megtévesztés céljából létrehozott webes áruházat üzemeltetik.

Ezért nagyon fontos ellenőrizni, hogy az oldal milyen tanúsítvánnyal rendelkezik, és a honlapon feltüntetett céges adatok, elérhetőségek valódiak-e.

Érdemes utánanézni, hogy a tanúsítvány a weboldalhoz tartozik-e, milyen információkat tartalmaz, illetve hitelesítve van-e. Ha a fent leírtak hiányoznak, akkor megfontolandó egy másik internetes áruházat választani, vagy személyesen felkeresni a boltot.

Válasszunk erős jelszót

A legtöbb webshopban megkövetelik, hogy a vásárló regisztráljon. Érdemes a regisztráció során erős jelszót választani, mindenképpen olyat, amelyet máshol nem használunk. A regisztráció során kellő körültekintéssel adjuk meg kártyaadatainkat, amelyek segítségével tranzakció indítható. Sok esetben a fizetés során egy ismert bank honlapjára irányítanak át minket, ahol a fizetési tranzakció biztonságosan végrehajtható.

Intézzük a vásárlást otthonról!

A vásárlás helyszíne is érdekes kérdés.

Vásárlás során kerüljük a publikus wifi hálózatokat, közösségi tereket,

ilyenkor ugyanis lehetőség nyílhat arra, hogy akár a mellettünk lévő asztalnál valaki lehallgassa vagy módosítsa a vásárlásunkkal kapcsolatos adatokat. Az így megszerzett kártyaadatokkal könnyen vissza lehet élni, akár a „dark weben” is el lehet adni azokat. Ha nincs más lehetőség, akkor egy VPN szolgáltatással el tudjuk rejteni magunkat a támadóval szemben, megvédve személyes adatainkat.

Csökkentsük a kockázatot átmeneti pénztárcával, online fizetési számlával

Ha olyan fizetési szolgáltatással találkozunk, amelyet nem ismerünk, mindig győződjünk meg arról, hogy a kártyaadataink megadásával nem veszélyeztetjük ”pénztárcánk biztonságát”. A legnagyobb és legelterjedtebb internetes fizetési szolgáltatások az esetek döntő többségében megbízhatóak.

A regisztrációt követően általában a felhasználó általában meghatározhatja, hogy „átmeneti pénztárca” típusú szolgáltatással szeretne fizetni, ami azért biztonságos, mert harmadik fél, egy független szolgáltató is szerepet vállal az eladó és a vásárló közötti tranzakcióban. Ennél a fizetési típusnál az eladó nem éri el a vásárló érzékeny banki adatait. Ha van lehetőség a használatára, elsősorban ezt ajánljuk.

A bankszámlákhoz majdnem minden esetben igényelhető a bankkártya mellé olyan, csak weben, elektronikus úton történő vásárlásra alkalmas virtuális bankkártya, mely a fő számlától független alszámlával rendelkezik (némely banknál ennek plusz költsége lehet). Egy ilyen „web kártya” lehetőséget ad a vásárlónak arra, hogy a kapcsolódó alszámlára közvetlenül az interneten történő fizetés előtt utalja át azt az összeget – és csak annyit –, amely a vásárlás kiegyenlítéséhez szükséges.

Abban az esetben, ha a kártya adatai kompromittálódnak, a támadó nem fér hozzá a bankkártyához tartozó fő bankszámlához, „csak” azt az összeget lophatja el, amely a web kártyához tartozó alszámlán éppen elérhető.

A webáruházaknak is figyelnie kell

A vásárlóknak természetesen hatalmas kockázat, ha az adataik illetéktelen kezekbe kerülnek, mert az közvetlen anyagi kárral járhat. Egy webáruházat üzemeltető cég esetében az ügyféladatok elvesztése azonban még ennél is komolyabb következményeket eredményezhet a kártyaadatok tömeges kompromittálódása esetén. Ha egy webáruház védelme nincs kellően biztosítva, a személyes adatok elvesztésének akár jogi következményei is lehetnek.

Mindig ellenőrizzük a számlaszámokat, háttéradatbázisokat

A weboldalak ellen különféle támadások indíthatók, a cél nem mindig adatszerzés, előfordulhat, hogy adatelhelyezés. Egy számlaszámot feltüntető honlapon végzetes lehet, ha a támadók rendszer valamely sebezhetőségét kihasználva képesek sikerrel átírni a bankszámlaszámot, eltérítve ezzel a gyanútlan felhasználók utalásait. Hasonlóan veszélyes lehet a számlaképeken feltüntetett számlaszámok átírása egy a támadó által választott számlára.

Gyakran hallani olyan sikeresen végrehajtott támadásokról, amelyek eredményeként a teljes háttéradatbázis kompromittálódott a teljes vevőkör személyes adataival, jelszavaival. Ilyen esetekben az adatokat a támadók akár máshol is felhasználhatják. 

Ha egy oldal személyes adatokat is kezel, külön jogszabályban rögzített feltételeknek is meg kell felelnie; ennek elmulasztása szintén jogi következményekkel járhat.

2018-tól jön az európai szinten egységes elvárásrendszer

Az online szolgáltatóknak érdemes figyelembe venniük az Európai Parlament és Tanács által elfogadott, hatályba léptetett, tagországi szinten 2018-ban implementálandó elvárásrendszereket (GDPR és NIS), amelyek a személyes adatok védelmével és a szervezet kibervédelmi felkészültségével kapcsolatban támasztanak minden eddiginél szigorúbb követelményeket. Az új szabályozás megköveteli a szervezetektől, hogy egyrészt garantálják a kockázatokkal arányos mértékű hálózat- és rendszerbiztonságot, másrészt jelentsék be az illetékes nemzeti hatóságnak, ha valamilyen jelentős biztonsági incidens éri őket.

A szabályozás szinte a teljes digitális szektorra vonatkozik, a banki szolgáltatók és kritikus infrastruktúra rendszerek mellett az online piacterek üzemeltetői is érintettek. Az európai szabályozás által megkövetelt elvárásrendszerre való felkészülést ajánlott időben elkezdeni annak érdekében, hogy a hatályba lépés időpontjára kiépülhessen a megfelelő védelmi rendszer mind a szabályozás, mind a technikai megvalósítás oldaláról.

Teszteljük saját rendszerünket is rendszeresen, készüljünk a rohamra

Az európai szabályozásoknak való megfelelésen túl a szervezetek jól felfogott érdeke, hogy a saját rendszereiken legalább évente végezzék el a biztonsági teszteléseket a meglévő hiányosságok felderítése érdekében.

A hazai gyakorlat sajnos azt mutatja, hogy a szervezetek nem fordítanak kellő figyelmet biztonsági szintjük rendszeres ellenőrzésére, ennek következtében a hazai rendszerek számos esetben sérülékenyek a támadásokkal szemben. Fontos megjegyezni, hogy az esetek többségében a szervezetek kitettsége kis erőforrás bevonásával is jelentős mértékben csökkenthető.

Egy karácsonyi vagy egyéb vásárlási időszakban nagy előnyt élvez az az eladó, akinek az internetes áruháza ki tudja szolgálni az ezen időszakban megnövekedett forgalmat. Számolni kell azonban azzal a veszéllyel is, hogy üzletszerzés érdekében egy versenytárs kész akár fizetni is azért, hogy üzleti ellenfelének webes portálja elérhetetlen legyen egy bizonyos időszakban. Ezekre a célzott támadásokra is érdemes figyelnie egy cégnek, hogy egy kampány időszakban ne essen el a megnövekedett forgalom által generált nyereségétől.