Jak działają cyberprzestępcy na serwisach aukcyjnych?
Formy pozyskiwania danych od użytkowników serwisów internetowych, w tym sklepów, banków, serwisów aukcyjnych mogą zaczynać się od wyławiania danych, którymi sami użytkownicy dzielą się na forach internetowych, portalach społecznościowych, obejmować wysyłanie mejli kierujących do stron z zakodowanym malwarem, czy proste metody phishingu ograniczające się do zbierania danych z formularzy znajdujących się na stronach fałszywych „sprzedających” z serwisów aukcyjnych. Istnieją też bardziej skomplikowane technicznie formy phishingu, polegające na niewidocznej dla użytkownika podmianie nazwy domeny strony internetowej. Wynikiem tych ostatnich będzie korzystanie ze strony internetowej, której nazwa domeny i wygląd są identyczne, jak ta, z której wielokrotnie korzystaliśmy, a w rzeczywistości jest to podłożona strona cyberprzestępcy.
Pomimo różnych ocen ryzyka jakie towarzyszy korzystaniu z serwisów aukcyjnych, zagrożenie wydaje się bardzo poważne.
Podczas, gdy obrona przed pierwszą grupą zagrożeń polega głównie na zachowaniu podstawowych zasad ostrożności („klikanie” wyłącznie w linki pochodzące od znanych nadawców, od których możemy oczekiwać korespondencji, korzystanie z zaufanych i sprawdzonych serwisów, zapoznanie się z opiniami na temat sprzedawcy, udostępnianie tylko niezbędnych danych, zamawianie towarów „za pobraniem”), to już druga grupa zagrożeń dla zwykłego użytkownika Internetu okazuje się nie do wykrycia. Pomóc może ewentualnie sprawdzanie, czy dane, które przekazujemy zabezpieczone są w drodze transmisji SSL (wtedy w adresie strony internetowej pojawia się oznaczenie „https” zamiast „http”), weryfikacja certyfikatu strony (informacja zieloną czcionką dotycząca wystawcy certyfikatu i jego aktualności, znajdująca się w oknie adresu strony internetowej) albo sprawdzenie w krajowym rejestrze domenowym, czy dana nazwa domeny zabezpieczona jest metodą DNSSEC. W domenie .pl zabezpieczonych w ten sposób zostało niewiele ponad 22 000 nazw domeny, przy ogólnej liczbie 2 539 962 nazw z końcówką .pl (koniec I kwartału 2015 r., źródło: www.dns.pl). Ofiarami bardziej wyrafinowanej formy phishingu są najczęściej klienci banków, którzy działają w zaufaniu do nazwy domeny, szaty graficznej, logo i innych elementów strony internetowej swojego banku. Strona taka okazuje się w rzeczywistości stroną przestępców.
Jak można zatem bronić się przed atakami i co powinni zrobić przedsiębiorcy z branży e-commerce aby zapewnić nam maksimum bezpieczeństwa?
Wiedzę na temat potencjalnych zagrożeń związanych z korzystaniem z serwisu internetowego można pozyskać bezpośrednio od przedsiębiorcy, z którym zawieramy umowę – zgodnie z art. 6 ustawy o świadczeniu usług drogą elektroniczną przedsiębiorca jest obowiązany zapewnić klientowi dostęp do aktualnej informacji o szczególnych zagrożeniach związanych z korzystaniem z usługi świadczonej drogą elektroniczną. Innym źródłem informacji na temat zagrożeń będzie działalność organizacji pozarządowych zajmujących się cyberbezpieczeństwem, a także seminaria i konferencje, jak wspomniana w artykule Security Case Study, czy Europejskie Forum Cyberbezpieczeństwa CyberSec. Dodatkowo na stronie internetowej Prezesa Urzędu Komunikacji Elektronicznej publikowane powinny być aktualne informacje dotyczące m.in.: zagrożeń związanych z korzystaniem przez abonentów z usług telekomunikacyjnych, rekomendowanych środków ostrożności i najbardziej popularnych sposobów zabezpieczania przed oprogramowaniem złośliwym lub szpiegującym, konsekwencji nieodpowiedniego zabezpieczenia telekomunikacyjnych urządzeń końcowych, np. smartfonu.
Czasem jednak taka ochrona zawodzi. Co robić w przypadku jeśli już padniemy ofiarą ataku na serwisie aukcyjnym?
W przypadku wystąpienia incydentu nieuprawnionego posłużenia się naszymi danymi należy zgłosić ów incydent do przedsiębiorcy prowadzącego dany serwis internetowy, a także na Policji, najlepiej do Komendy Główna Policji, w której zadania związane z nadzorowaniem i koordynowaniem przedsięwzięć wspierających zwalczenie cyberprzestępczości realizuje Biuro Służby Kryminalnej, w ramach którego funkcjonuje Wydział do Walki z Cyberprzestępczością. W przypadku, gdy posłużono się bezprawnie naszymi danymi osobowymi, zgłoszenie naruszenia powinno zostać skierowane również do Generalnego Inspektora Ochrony Danych Osobowych.
A co ze zwrotem straconych pieniędzy?
Działania o charakterze administracyjnym i karnym nie są równoznaczne z uzyskaniem zwrotu utraconych przez konsumenta środków. O ile uda się zidentyfikować sprawcę cyberprzestępstwa, to z wyjątkiem niektórych przepisów Kodeksu karnego (art. 46), dochodzenie roszczeń odbywać się będzie zwykle na podstawie przepisów Ustawy o prawach konsumenta oraz Kodeksu cywilnego (przepisy o czynach niedozwolonych, ewentualnie o wzorcach umownych, tj. art. 383 (1) Kodeksu cywilnego i następne).