Vianoce so sebou každoročne prinášajú aj nákupnú horúčku. Obchody hlásia rekordné predaje bez ohľadu na to, či ide o kamenné prevádzky alebo internetový predaj. Tento rok je výnimočný, pretože koronavírus významne zvýšil objem nákupov na internete, čo samozrejme vnímajú aj potenciálni útočníci. O bezpečnosti online nakupovania sme sa preto rozprávali s Petrom Stančíkom, expertom na kybernetickú bezpečnosť spoločnosti ESET.
V rozhovore sa dočítate:
- Kedy je nakupovanie na internete bezpečné?
- Na čo si dať pri online nakupovaní pozor?
- Ktorá možnosť platby je najbezpečnejšia?
- Je bezpečné uložiť údaje o karte v internetovom obchode?
- Aké riziká hrozia pri online nakupovaní?
Je nakupovanie na internete bezpečné?
Povedzme, že vie byť bezpečné. Ja sám bežne nakupujem na internete. Základnou poučkou je nakupovať cez zabezpečené zariadenia a siete na dôveryhodných obchodoch cez overené platobné spôsoby.
Je nakupovanie na internete viac alebo menej bezpečné v porovnaní s nakupovaním v reálnom svete?
Na túto otázku sa nedá jednoznačne odpovedať, pretože to záleží od množstva faktorov. Ak sa ale používatelia držia rozumných návykov, je online nakupovanie v aktuálnej situácií asi bezpečnejšie, keďže je riziko infekcie koronavírusom vyššie vo fyzickom obchode. 😊
Aké sú tie spomínané rozumné návyky? Aké pravidlá by mal bežný používateľ pri nákupe na internete dodržiavať?
Môžeme sa na to pozrieť z pohľadu, čomu sa chcem vyhnúť. Jednak je to podvod ako taký, ktorý nemusí súvisieť so zlyhaním technológie. Ide skôr o rozpoznanie toho, či dokáže človek rozoznať pochybný obchod alebo nie. Druhým aspektom je technická stránka nákupu.
Začnime najskôr technickou stránkou.
Pozrime sa na jednotlivé kroky nakúpu. V prvom rade musím mať zabezpečené a dôveryhodné zariadenie, cez ktoré chcem nakupovať. Nakúpiť môžem aj na najlepšom obchode, ale ak mám infikovaný počítač alebo telefón, nepomôže mi to. To znamená, že by som mal mať k nemu prístup iba ja alebo osoba, ktorej dôverujem, napríklad partner. Toto zariadenie by tiež malo byť zabezpečené bezpečnostným softvérom.
Aký je ďalší krok?
Ak chcete nakupovať na internete, vaše zariadenie sa musí pripojiť do siete. Doma je to prebieha obyčajne cez router, takže aj tento by mal byť zabezpečený a s aktualizovaným firmvérom. Ak je router kompromitovaný, môže ma smerovať na iné stránky ako som chcel navštíviť. V skutočnosti ani nemusím vedieť že som na inej stránke. Posledným krokom je obchod samotný a jeho technologické zabezpečenie. Napríklad, či používa šifrovanú komunikáciu, teda klasické https v url adrese. Aj keď to samo osebe nie je zárukou 100 % bezpečia, niečo to naznačuje. Rovnako pri väčších a známejších obchodoch sa dá skôr očakávať, že budú venovať patričnú pozornosť bezpečnosti a narábanie s údajmi svojich zákazníkov, aj keď to samozrejme, nemusí byť pravidlom.
Ako má bežný používateľ rozpoznať, či je nejaký obchod dôveryhodný?
Pomôže, ak použije zdravý sedliacky rozum. Obyčajne sa pri pochybných obchodoch vyskytuje viacero signálov, ktoré by nás mali zalarmovať. Napríklad podozrivo nízka cena alebo chýbajúce meno a sídlo prevádzkovateľa. Sídlo prevádzkovateľa je dôležité aj pri dôveryhodných obchodoch – ak dôjde k problému, spadá prevádzkovateľ do legislatívnej zóny, v rámci ktorej mám na neho dosah? Naopak, dobrým znakom je viacero možností platby, keďže skutočný obchodník sa snaží ľuďom uľahčiť nákup. Pre podvodníkov by to bola len práca navyše. Pri neznámych obchodoch odporúčam pozrieť si hodnotenia obchodu tretími stranami, teda nie priamo na danom e-shope. Dôveryhodnosť je však aj subjektívna vec a každý má inú mieru tolerancie rizika.
Poďme na niekoľko praktických otázok. Ktorá platba na internete je najbezpečnejšia? Platba kartou, dobierkou, prevod alebo niečo iné?
Každá z možností má, samozrejme, nejaké výhody aj nevýhody. Ja osobne preferujem platbu kartou, ideálne kreditnou. V tomto prípade ide v prvom momente o peniaze banky a aj preto je ich súčasťou často poistenie. Pokiaľ si nie som istý nejakým obchodom, alebo platobnou bránou, je dobrou možnosťou použiť virtuálnu platobnú kartu, ktorú používajú aj niektoré banky na Slovensku. Pri platbe na dobierku má človek možnosť platiť v hotovosti a skontrolovať si tovar pri prevzatí, čo je veľké plus. Na druhej strane, málo ľudí si reálne otvorí balíček pred kuriérom a až potom podpíše, že ho prevzal. Aj tu je teda určité riziko. Výhodou je aj to, že nikde nezadávate informácie o svojej karte.. Ak si nie som istý dôveryhodnosťou e-shopu, používam platbu cez PayPal.
Je bezpečnejšie nakupovať cez mobil alebo na počítači?
Výhoda telefónu spočíva v tom, že sa do siete môže prihlásiť aj cez GSM sieť, teda cez mobilné dáta. Hlavne v prípadoch, kde si mám vybrať medzi verejnou, mne neznámou WIFI, alebo GSM sieťou, je rozumnejšie použiť klasické mobilné dáta, hlavne pri naozaj veľmi citlivých transakciách. Stále však platí, že musím mať zabezpečený telefón a nakupovať u dôveryhodného obchodníka, inak mi nepomôže ani relatívne bezpečnejšia GSM sieť.
Mobily majú aj tú výhodu, že veľa renomovaných obchodov poskytuje aj dedikovanú mobilnú aplikáciu. Tá je vo všeobecnosti bezpečnejšia, pretože opäť vynechávame jeden možný vektor útoku a to je internetový prehliadač. Keďže aplikáciu si spravuje samotný obchod, bude pravdepodobne dbať na jej bezpečnosť.
Ľudia by teda mali nakupovať cez telefón a mobilné dáta.
Nedá sa to povedať takto jednoznačne. Ak nakupujem cez zabezpečenú domácu sieť s bezpečným routerom, je to tiež v poriadku. Ide o to, aby som si bol istý bezpečnosťou každého kroku smerujúceho k nákupu. Potom je v princípe jedno, cez čo nakupujem. Nakupovanie na počítači môže byť bezpečné u mňa doma, ale nemusí to platiť o nákupe napríklad cez wifi sieť v kaviarni, alebo u kamaráta či rodiny. Oni nemusia byť natoľko technicky zdatní, aby mali správne zabezpečenú sieť či router.
Je bezpečné registrovať sa pri nákupe na nejakom obchode alebo mám radšej nakupovať bez registrácie?
Opäť je to veľmi individuálne. Každý by si mal sám vyhodnotiť, či uprednostní pohodlie za cenu vyššieho rizika. Ja osobne nakupujem s registráciou, pokiaľ odo mňa obchod nevyžaduje podozrivo veľa údajov. Ak chcem, aby mi niečo priniesol kuriér, asi musím aj tak uviesť meno, miesto bydliska či telefónne číslo. Taktiež zadám e-mail, aby som dostal potvrdenie o nákupe alebo faktúru. Ak nechcem zadávať súkromné údaje alebo pochybujem o nejakom obchode, môžem uviesť adresu, kde pracujem a jednorazovo si vytvoriť e-mailovú adresu. Vo všeobecnosti však vidím najmä výhody registrácie na dôveryhodných obchodoch, pokiaľ tam nakupujem pravidelne a pokiaľ nepýtajú veľké množstvo údajov.
A čo ukladanie platobnej karty v nejakom internetovom obchode? Je to bezpečné?
Budem sa opakovať, je to o dôvere. Nie je na to jednoznačná odpoveď. Pokiaľ človek nakupuje v dôveryhodnom obchode, ktorý má technickú stránku veci zabezpečenú, nemal by to byť problém. Hocikde by som si však kartu neukladal.
Skús pomenovať konkrétne príklady. Ako môžu útočníci zaútočiť na nakupujúceho cez internet?
Môžeme sa na to opäť pozrieť cez už spomínané jednotlivé kroky nákupu. Prvým krokom bolo zabezpečené zariadenie. Ak je však zariadenie kompromitované, môže sa stať v podstate čokoľvek. Používateľ nemôže nikdy vedieť, či to, čo mu zariadenie zobrazuje, je v skutočnosti pravda. V takomto prípade môžem mať pocit, že nakupujem na stránke známeho obchodu, ale môže to byť stránka vytvorená útočníkmi. Taktiež mi môžu odcudziť údaje o karte, osobné údaje či heslá. Často majú napríklad používateľa v zariadeniach tzv. „banking trojany“. To je škodlivý kód, ktorý sa snaží ukradnúť prihlasovacie údaje do internet bankingu. Tých spôsobov je však naozaj veľa.
V poriadku, poďme na ďalší krok. Ak sa nemýlim, bolo to pripojenie cez router.
Problémom môže byť aj kompromitovaný router. Keď zadám adresu nejakého obchodu, moje zariadenie sa opýta routera, odkiaľ má danú stránku stiahnuť z celého množstva stránok na internete. Pokiaľ má útočník prístup k môjmu routeru, môže mu napríklad povedať, aby pri vybraných adresách nezobrazil skutočné stránky, ale niečo iné. Môže to dokonca vyzerať úplne rovnako, len údaje budú smerovať inam.
Na internete je aj množstvo falošných stránok. Akú veľkú hrozbu predstavujú?
Zatiaľ som spomínal technické riziká a tie sú skôr na strane používateľa. Čo sa týka falošných alebo podvodných obchodov, tie sú asi najčastejším spôsobom útoku na bežných používateľov. Jednoducho ľudí presvedčia, že sú legitímnym obchodom, pričom ich cieľom je len získať údaje alebo peniaze. Človek chce nakúpiť značkové slnečné okuliare za 10 eur a dostane sa na falošný obchod, ktorý sa môže aj dôveryhodne tváriť, ale jeho úlohou nie je predať vám lacné okuliare. Obvykle tam nie je zabezpečená komunikácia, ani platobná brána. Človek väčšinou zadá platobné údaje a tie sa použijú niekde úplne inde. Typické pri týchto obchodoch je, že sa na nich človek ani za svet „nedokliká“, kto ich prevádzkuje a kde sídli.
Mali by si dávať ľudia väčší pozor pri nákupoch pred Vianocami? Sú v predvianočnom období útočníci aktívnejší?
Útočníci reagujú na akúkoľvek udalosť, ktorá sa dá speňažiť. Či je šťastná ako Vianoce, alebo nešťastná ako koronavírus. Platí jednoduchá rovnica: kde je viac nakupovania, tam je viac potenciálnych obetí. Ak je teda motivácia ľudí nakupovať vysoká, čo platí aj o Vianociach, vysoká bude aj pravdepodobnosť, že sa to pokúsia zneužiť útočníci. Vidíme to aj v našich dátach.
Tento rok je navyše špecifický, pretože koronavírus vytlačil množstvo ľudí do online priestoru. Ľudia pracujú z domu cez internet, deti sa cez internet učia. Do online sveta sa dostali aj ľudia, ktorí neboli možno až tak zvyknutí a pripravení fungovať bezpečne na internete. Aj toto sa útočníci rozhodne snažia zneužiť.
Peter Stančík v ESETe vedie tím venujúci sa výskumu v oblasti kybernetickej bezpečnosti a publikovaniu výsledkov výskumných centier ESETu.