ISM

Jak bezpiecznie kupować buty w Internecie?

Napisał 10 kwietnia 20180 komentarzy
internet-shopping-ecommerce

W poniższym wpisie zwrócę uwagę na podstawowe czynniki mające wpływ na bezpieczne zakupy w sklepach internetowych. Podzielę się swoimi doświadczeniami z zakupem butów na sezon wiosenno-letni. W podsumowaniu – wskazówki – jak bezpiecznie kupować w Internecie.

Kontekst

Jak większość stereotypowych facetów nie lubię tracić czasu na chodzenie po sklepach i na zakupy. W teorii zrobienie zakupów przez Internet jest łatwiejsze i szybsze – szybko można znaleźć pożądany towar (mokasyny, półbuty męskie) wpisując odpowiednie frazy w wyszukiwarce internetowej. Znaczna część sklepów prowadzi swoją działalność w Internecie, często jako uzupełnienie działalności stacjonarnej. Zakupy przez Internet są nieco wygodniejsze i mają ten plus, że prywatny konsument może zwrócić lub wymienić towar w przeciągu 14 dni.

W przypadku zakupu butów występują również minusy – nie można od razu przymierzyć butów (szerokość, wysokość podbicia stopy) i zobaczyć ich prawdziwego koloru (chyba, że korzystamy z monitora IPS ze skalibrowanym ekranem). Oczywiście po otrzymaniu butów można je przymierzyć i jeśli rozmiar nie pasuje – można je wymienić na inne w prawidłowym rozmiarze. Kolejny minus zakupów przez Internet to niebezpieczeństwo utraty pieniędzy bez otrzymania zamówionego towaru. I właśnie ten wątek rozwinę poniżej.

Rekonesans

Internet można przeszukiwać pod kątem tekstów jak i grafik (słowa kluczowe), co sprawia, że możemy poznać i zobaczyć interesujący towar. Po kilkunastu minutach poszukiwań znalazłem buty (marka, model, rozmiar, kolor) które spełniały moje wyobrażenia wygody i estetyki. Kolejny krok to znalezienie towaru w najlepszej cenie, co oznacza najniższą cenę + dobry serwis (możliwość szybkiej wymiany, czas gwarancji, szybka dostawa). Po półgodzinnych poszukiwaniach znalazłem kilka sklepów które oferowały poszukiwany model w różnych, nieznacznie się różniących cenach i jeden sklep ze znacznie niższą ceną. Wydawało się, że trafiłem na okazję i można zaoszczędzić parę groszy na inne wydatki.

Wstępna weryfikacja sklepu internetowego

Brak SSLOkazje cenowe zawsze budzą wątpliwości u rozsądnych ludzi. Przede wszystkim zdziwiła mnie nieobecność certyfikatu SSL na stronie sklepu internetowego, który chroni transmisję pomiędzy sklepem a Internautami. Wpisałem w google site:e-magabit.pl i od razu zobaczyłem sporo niespójności, mianowicie w indeksie google znajdowały się podstrony typowe dla firmy tworzącej oprogramowanie kadrowo-płacowe.

Sklep internetowy zaindeksowany w googlePrzez moment przemknęła mi myśl – może właściciel prowadzi równolegle inną działalność? Kliknąłem na link „Typy faktur, zapis w drukarce fiskalnej – program fakturowania” – i zobaczyłem stronę sklepu z butami, z poprawnie zaimplementowanym błędem 404. Pomyślałem – może właściciel firmy zmienił branżę?

Postanowiłem sprawdzić – kto jest właścicielem sklepu i zajrzałem do zakładki kontakt w nadziei na poznanie firmy i jej adresu. Niestety, znajduje się tam wyłącznie formularz kontaktowy. W sumie nic dziwnego (częsta praktyka), więc chciałem znaleźć dane firmy w innej zakładce na stronie sklepu. Kliknąłem na mapę witryny mając nadzieję, że znajdę tam zakładkę „dane firmy”, niestety nie było takiej zakładki. W kolejnym kroku wybrałem zakładkę „Bezpieczeństwo transakcji” licząc na to, że właściciel sklepu podaje tam swój adres i zabezpieczenia serwisu jakie zastosował aby transakcje zakupowe odbywały się w bezpieczny sposób. Niestety, zawiodłem się, zakładka zawierała informacje z pogranicza polityki prywatności oraz polityki cookies.

Bezpieczeństwo transakcji w sklepie internetowym

Do sprawdzenia pozostała jeszcze zakładka „Koszty dostawy”. Niestety – tam również nie było informacji o właścicielach sklepu internetowego. Przy okazji dowiedziałem się, że koszty wysyłki są zerowe (Darmowa wysyłka ty EMS / USPS Express.) co miało pewnie zachęcać Internautów do zakupów 🙂

Koszty dostawy w sklepie internetowym
Treści w/w zakładek zostały zapewne przygotowane za pomocą google translatora, wnioski można wysnuć ze słabej polszczyzny, którą nie każdy dostrzeże (chyba, że po wnikliwej lekturze).

Symulacja zakupów

Mając świadomość, że prawdopodobnie (na 99,99% – ach ta nadzieja i wiara w ludzi) mam do czynienia z fałszywym sklepem internetowym postanowiłem sprawdzić jak wygląda proces zakupowy. Wybrałem parę butów i kliknąłem „Zamów”. Na kolejnym ekranie pojawiła się formatka (taka jak w prawdziwych sklepach internetowych), w którym podałem nieprawdziwe dane teleadresowe oraz fikcyjny numer telefonu.Dane zbierane podczas zamówienia w sklepie internetowym

Po zatwierdzeniu za pomocą klawisza „Wyślij” pojawił się kolejny ekran. Przygotowana formatka zawierała informację o jedynej dostępnej metodzie wysyłki (Poczta Polska) w cenie 10zł (wbrew zapewnieniem o darmowej wysyłce). Wykonałem kopię ekranu.

Rodzaje płatności w sklepie internetowym

Jedyna metoda płatności to płatność kartą kredytową, której dane należało wpisać w formularzu. Nie występowały najbardziej popularne formy płatności w Internecie: przelew bankowy (przestępca musi podać numer konta bankowego), Paypal czy przekierowanie do bramki procesora płatności kartowych. Podawanie danych karty płatniczych wraz z numerem CVV2 wprost na stronie sklepu internetowego (merchanta) budzi u Internautów słuszne obawy o bezpieczeństwo środków pieniężnych przypisanych na karty płatniczej. Internauci z reguły mają ograniczone zaufanie do nieznanych sobie sklepów. Z kolei bardziej świadomi Internauci zwracają uwagę na zabezpieczenia sklepu internetowego, na to, czy sprzedawca (merchant) przeszedł pomyślnie certyfikację PCI DSS (więcej: https://www.pcisecuritystandards.org/pci_security/educational_resources) i na inne parametry.
Jakie dane w tym przypadku Internauta przekazuje przestępcy? Wykonałem kopię ekranu: Imię i nazwisko, adres, adres Email, hasło do konta w serwisie, numer telefonu oraz dane karty płatniczej. Najbardziej smakowite kąski to adres Email, hasło oraz dane karty płatniczej. Aha, muszę dodać, że podczas klikania w linki (różne sklepy internetowe) – korzystałem z dedykowanej maszyny wirtualnej na uprawnieniach zwykłego użytkownika Windows 🙂

Zagrożenie utraty pieniędzy

Cyberprzestępca który pozyska dane karty płatniczej, tj. numer karty, datę ważności i numer CVV2 (VISA) lub CVC2 (Mastercard) może je wykorzystać do zakupów w Internecie. Przestępca nie zawsze dokonuje zakupów samodzielnie, może do tego celu wykorzystywać słupy (podstawionych ludzi). Inny scenariusz to wykorzystanie danych karty płatniczej do zakupów internetowych po kilku miesiącach od chwili pozyskania danych. Taka metoda utrudnia posiadaczowi karty płatniczej określenie chwili, w której utracił (lub przekazał) dane karty w przypadkowym sklepie internetowym. Inny scenariusz zmonetaryzowania danych karty płatniczej to ich sprzedaż kolejnemu przestępcy, który je wykorzystuje do realizacji zakupów internetowych według własnych scenariuszy.

Dlatego do płatności w Internecie warto używać dedykowaną, wirtualną kartę płatniczą służącą wyłącznie do dokonywania zakupów w Internecie. Najbezpieczniej, aby karta miała na co dzień zerowe saldo a zasilać ją środkami pieniężnymi tylko przed zakupami w Internecie i tylko kwotą przewidywanych wydatków. Dla kart płatniczych używanych do płatności w Internecie – warto ustawić limity na swoim koncie bankowym: limity kwotowe i ilościowe, dzienne i miesięczne. Dodatkowo warto sprawdzać te limity regularnie, ponieważ czasami w sytuacjach aktualizacji systemów bankowych – limity mogą przyjmować wartości domyślne ustawione dla aplikacji bankowej, inne od ustawionych przez właściciela konta.

Analiza pozyskanych danych

W/w dane można uzyskać ze strony sklepu internetowego i z wyszukiwarki internetowej. Spora część sklepów internetowych często nieświadomie „ukrywa” (bez testów UX) podstawowe informacje na temat swoich właścicieli. Z kolei wyszukiwarki internetowe pomagają wyszukać te informacje. Sprawdzenie kolejnych wyników wyszukiwania w gogle nie przyniosło rezultatów (adresu właściciela sklepu).

W takiej sytuacji warto sprawdzić poprzednie wersje strony – sklepu internetowego. Do tego celu postanowiłem wykorzystać serwis archive.org. Wygląd domeny archiwalnej

Okazało się, że robot archive.org po raz pierwszy odwiedził witrynę w 2013r. a po raz ostatni w 2016r.. Brak zapisanych informacji w późniejszym okresie może świadczyć o tym, iż domena nie była widoczna w Internecie (nie zarejestrowana) względnie jej administrator zablokował bota archive.org – choćby w pliku htaccess.

W kolejnym kroku postanowiłem sprawdzić właściciela domeny przy wykorzystaniu usługi WHOIS w  https://www.dns.pl/. Niestety, nadal nie poznałem właściciela domeny, który okazał się osobą fizyczną korzystającą z usługi „ukrywania danych abonenta w bazie whois”.

WHOIS - kt jest właścicielem domenyAle dowiedziałem się kiedy domena została zakupiona, u jakiego rejestratora domeny i na jakie serwery DNS wskazuje. Mianowicie, dowiedziałem się, że domena została zarejestrowana 5-03-2018r. u rejestratora Netim we Francji i wskazuje na serwery DNS w Chinach. Rejestrator Netim jest partnerem NASK w zakresie rejestracji domen PL: https://www.dns.pl/porozumienie/partner.html

Serwery DNS da domenyKolejny krok miał na celu ustalenie adresu IP serwera na którym jest umieszczony sklep internetowy.

Ustalenie adresu IP sklepu internetowegoWystarczy użyć komendy tracert w Windows względnie skorzystać z usługi nslookup w serwisie https://network-tools.com/ aby w rezultacie uzyskać adres IP (rekord A) serwera.

Domeny na jedym adresie IP - reverse IPMając adres IP serwera – postanowiłem sprawdzić czy są na nim hostowane inne domeny korzystając z serwisu http://viewdns.info/reverseip/. W efekcie okazało się, że na tym hoście o adresie IP: 196.196.194.29 są hostowane jeszcze co najmniej 4 inne domeny, po sprawdzeniu ich treści okazało się, że to są również fałszywe sklepy internetowe.

Warsztat cyberprzestępców

Cyberprzestępcy ciągle doskonalą swój warsztat. Przygotowanie sklepu internetowego to żaden problem dla cyberprzestępców – mogą je budować wykorzystując darmowe platformy sklepów: Magento (jak w tym przypadku), Prestashop, inne lub po prostu zlecić ich przygotowanie w jakimś serwisie kojarzącym zamawiających i oferentów (np. Oferia). Zakup domeny, najlepiej z historią (co docenia google) stwarza pewne problemy ponieważ muszą podać dane teleadresowe i adres Email (fałszywe, Email prawdziwy) oraz zapłacić w taki sposób aby śledztwo nie doprowadziło do prawdziwego przestępcy.W/w sklep (+ 4 inne sklepy) to typowe strony internetowe wykorzystujące Phishing, podszywające się pod prawdziwe sklepy internetowe. Cel – pozyskanie danych Internautów i danych kart płatniczych.

Cyberprzestępcy wykorzystują do tych celów tzw. Ludzi słupy a do płatności kryptowaluty (pod warunkiem, że rejestrator domeny to umożliwia). Konto w firmie hostingowej niekoniecznie jest im potrzebne, ponieważ przestępcy mogą się włamywać na cudze strony internetowe, uzyskać dostęp do konta hostingowego i hostować sklepy internetowe na zhackowanych kontach. Równie dobrze mogą podłączyć własny serwer do Internetu w wynajętym biurze lub mieszkaniu.
W czasach, gdy certyfikaty SSL staniały lub są dostępne za darmo (Lets Encrypt) – tzw. Zielona kłódka w pasku adresu też nie gwarantuje bezpieczeństwa transakcji. Bezpieczeństwo transakcji w dużym stopniu zależy od świadomości Internautów.

10 sposobów – jak zweryfikować sklep internetowy?

Lokalizacja sklepu internetowego1.Sprawdzaj czy jest podany rzeczywisty adres firmy właściciela sklepu internetowego.

2.Sprawdź po numerze NIP czy firma istnieje i czy prowadzi taką działalność, Wykorzystaj:
https://ekrs.ms.gov.pl/web/wyszukiwarka-krs/strona-glowna
https://prod.ceidg.gov.pl/ceidg/ceidg.public.ui/search.aspx

3.Sprawdź zawartość regulaminu sklepu internetowego (adres, odpowiedzialności, ryzyka).

4.Sprawdź zaindeksowane linki do sklepu (site:domenasklepu), w przypadku zainfekowanego sklepu – wyszukiwarka google oznacza stronę jako niebezpieczną (po pewnym czasie od zgłoszenia lub wykrycia zagrożeń na stronie).

5.Sprawdź właściciela domeny przy wykorzystaniu serwisu WHOIS, dane powinny się pokrywać z danymi prezentowanymi na stronie sklepu internetowego.

6.Sprawdź czy serwis korzysta z certyfikatu SSL – protokół https. Zachowaj dystans, ponieważ przestępcy również stosują certyfikaty SSL.

7.Sprawdź opinie sklepu w Internecie (wyszukiwarki, serwisy opiniujące), jednak zachowaj do nich dystans (mogą być kupione).

8.Poszukaj na stronie czy sklep internetowy chwali się na swojej stronie certyfikatem PCI DSS (sklepy internetowe o dużym wolumenie transakcji). https://www.pcicomplianceguide.org/faq/#2

9.Sprawdź przeszłość domeny sklepu internetowego w https://archive.org/
Jeśli historia pokaże, że sklep istnieje od kilku lat – to dodaje mu wiarygodności.

10.Sprawdź jakie metody płatności oferuje sklep internetowy. Jeśli oferuje płatność kartą, której dane musisz podać na stronie sklepu – to powinno obudzić czujność. Sklepy zapisujące wrażliwe dane, zwłaszcza dane kart płatniczych powinny gwarantować wysoki poziom zabezpieczeń, którego przeciętny Internauta nie potrafi zweryfikować. Lepiej wybrać sklep który korzysta z usług procesora płatności (musi spełniać szereg standardów PCI), który zapewnia drastycznie wyższe bezpieczeństwo danych.

Warto mieć świadomość, że w przypadku kart płatniczych Internauci mogą skorzystać z dobrodziejstwa chargeback, czyli zwrotu pieniędzy w przypadku gdy Internauta zgłosi oszukańczą transakcję. W takim przypadku Internauta musi wystąpić z reklamacją do banku w ciągu kilku dni od dostrzeżenia oszukańczej transakcji na rachunku swojej karty. Wcześniej musi przygotować dowody, że kupował dany towar w określonym sklepie (kto pamięta o gromadzeniu dowodów?). Zakup dokonywany w sklepie internetowym warto dokumentować od momentu wyboru podania danych do wysyłki, poprzez wybór metody dostawy i metody płatności. Z każdego ekranu warto zrobić kopię i zapisać w katalogu „zakupy-internetowe” do czasu aż towar zostanie odebrany i sprawdzony.

Warto regularnie (co tydzień) sprawdzać przepływy na swoim rachunku bankowym i na kartach płatniczych, to pozwoli zauważyć oszukańcze transakcje i na bieżąco reagować. Aby uchronić się przed włamaniami na inne konta (np.Email), podczas rejestracji w sklepie internetowym – zawsze używaj innego hasła, niż hasła stosowane do poczty Email czy do kont w mediach społecznościowych. Dziękuję za lekturę,  zachęcam do skomentowania i udostępniania wpisu znajomym.

Etykiety:, , , ,
Notka o 
Strona internetowa
W zamierzeniu autora blog ma pełnić funkcję notatnika podczas zgłębiania różnych obszarów ICT, szczególnie w zakresie architektury i ochrony informacji. Poruszana tematyka ma źródło w zainteresowaniach autora. Skomentuj i dodaj swoją opinię! Dziękuję za Twój czas.

0 komentarzy

Zostaw komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

I agree to these terms.

 
© 2024 ISMAll Right Reserved.
ISM