Jak bezpiecznie robić zakupy przez Internet?

21.02.2023

Autor: Mateusz Różański
Źródło: Konsultacja merytoryczna: Bartosz Biderman, specjalista w Departamencie Cyberbezpieczeństwa w Urzędzie Komisji Nadzoru Finansowego.

W ostatnim czasie handel internetowy zyskuje na popularności. To tam coraz częściej kupujemy książki, ubrania a nawet jedzenie. Warto więc wiedzieć co robić, by transakcje były bezpieczne i jak uchronić się przed kosztami o wiele większymi niż te, które widnieją na rachunkach za nasze zakupy.

Nie ma jednej, stuprocentowo bezpiecznej formy dokonywania płatności przez Internet. Inne zagrożenia czyhają na nas, gdy płacimy kartą a inne, gdy płacimy kodem BLIK, a jeszcze inne gdy płacimy za pośrednictwem pośrednika płatności. Dlatego warto uważać na to, gdzie i w jaki sposób dokonujemy zakupów i zachować szczególną ostrożność.

Dwa najważniejsze schematy oszustw

Jednym z najpopularniejszych sposobów, w jaki cyberprzestępcy pozyskują dostęp do naszych danych i pieniędzy są oszustwa „na kupującego”. Mają miejsce w sytuacji, gdy sprzedający korzystając z popularnych platform ogłoszeniowych jak Allegro, OLX, Vinted czy Facebook Marketplace lub platform usługowych jak np. BlaBlaCar, otrzymuje wiadomość od zainteresowanego zakupem z informacją o dokonanej płatności i linkiem do odbioru środków. Klikając w link przekierowani zostajemy na stronę internetową, na której widzimy, że nasz produkt został zakupiony.

Oszuści w celu uwiarygodnienia swoich działań dodatkowo umieszczają także informacje za jaką kwotę i przez kogo zakup został dokonany.

Fałszywa strona kontrolowana jest przez oszusta, który chce uzyskać dostęp do naszego konta wyłudzając login i hasło do bankowości elektronicznej lub dane karty płatniczej. Dlatego należy kierować się szczególną ostrożnością i nie klikać w linki pochodzące z niezaufanego źródła. Zawsze musimy sprawdzać strony, na których ktoś wymaga od nas podania swoich danych osobowych, numeru karty bankowej czy hasła i loginu do bankowości internetowej.

Fałszywa strona podszywająca się pod serwis ogłoszeniowy Vinted. Rzekomy przelew środków możliwy jest przy wybraniu swojego banku.

Kolejny typ oszustwa to ten, w którym to sprzedający jest oszustem. Zakładane są fałszywe strony podszywające się pod popularne portale sprzedażowe lub sklepy, na których oferowane są ogromne zniżki i rabaty. Tutaj również należy zachować zasadę ograniczonego zaufania i uważnie przyglądać się stronom, na których mamy dokonywać jakichś płatności. Koniecznym jest tutaj zweryfikowanie, czy taka strona cieszy się dobrą opinią innych klientów, czy ma ugruntowaną pozycje na rynku etc.

Więcej o oszustwie na kupującego możecie przeczytać na stronie Komisji Nadzoru Finansowego.

Dobry pomysł: limity i alerty

Rozwiązaniem, by zminimalizować straty z powodu oszustwa, jest ustawienie limitów na karcie bankomatowej i na transakcje przez Internet – można to zrobić w oddziale banku, przez infolinię lub na bankowym koncie internetowym. Jeżeli nie robimy tego typu zakupów większych niż za 100-150 złotych to ustawmy sobie taki limit. Lepiej jest w razie potrzeby jednorazowo zmieniać niż dać się okraść na większą kwotę. Wiele banków oferuje też alerty na transakcje. Dzięki nim za każdym razem, gdy płacimy kartą lub przez Internet, na nasz numer telefonu przychodzi powiadomienie SMS albo powiadomienie w aplikacji mobilnej, że z naszego konta zostały pobrane pieniądze. Dzięki temu możemy zweryfikować każdą taką płatność i sprawdzić, czy na pewno to transakcja przeprowadzana przez nas. Ważne jest by dokładnie czytać co potwierdzamy. W SMS-ie lub powiadomieniu w aplikacji bankowej trzeba sprawdzić, co autoryzujemy, tj. czego dotyczy autoryzowana transakcja, na jaką kwotę. Czy nie doszło do jakiegoś niezaufanego logowania, gdyż oszust może próbować zalogować się na nasze konto na stronie naszej bankowości elektronicznej. Warto też śledzić na bieżąco komunikaty na temat zagrożeń w sieci, pojawiającego się złośliwego oprogramowania czy nowych metod stosowanych przez oszustów.

Na poniższej grafice prezentujemy dobre praktyki pozwalające na bezpieczne transakcje elektroniczne:

Na grafice narysowana jest górna część ekranu smartfona, na którym wyświetla się wiadomość o treści 13-09-2022 15:00 Wplata na rachunek 33..375 Kwota: 40000.00 PLN; Kod SMS nr 1: 788609. Obok w białej ramce widnieje napis: Pamiętaj aby zawsze weryfikować treść wiadomości SMS, które zawierają opis dokonywania transakcji. Szczególną uwagę zwróć na numer na rachunku odbiorcy i kwotę operacji. Zadbaj o bezpieczeństwo swoich finansów! Pod spodem jest logo Departamentu Cyberbezpieczeństwa KNF.

Uważaj na linki do płatności

Coraz częściej do płatności internetowej używa się platform do szybkich przelewów. Działają w ten sposób, że ze sklepu, w którym dokonaliśmy zakupy, jesteśmy kierowani na stronę, gdzie możemy dokonać przelewów bezpośrednio z naszego konta internetowego lub wpisując dane karty płatniczej. Tutaj najważniejsze jest sprawdzenie strony, na której dokonujemy płatności. Trzeba przyjrzeć się adresowi strony i czy na pewno jest to strona naszego banku, czy też jej imitacja służąca do wyłudzenia naszych danych. Dlatego należy porównać jej adres z adresem naszego internetowego konta bankowego. Naczelną zasadą jest jednak nie klikanie w linki przesłane do nas z niesprawdzonych źródeł. Często zdarzają się sytuacje, w których oszuści podszywają się pod stronę pośrednika płatności.

Podstrona platformy do płatności internetowej odsyłająca do witryn bankowości internetowej. Są na niej loga najważniejszych banków i platform do płatności kartą.

Uważaj na wielkie promocje

Jednak zdecydowanie częściej dzieje się to w ten sposób, że najpierw trafiliśmy na stronę udającą sklep internetowy, z której jesteśmy potem kierowani na fałszywą stronę do płatności. Wysyp tego typu fałszywych sklepów ma miejsce najczęściej w okresie od końca listopada, przed tzw. Black Friday, a także przed świętami, gdy ludzie bardzo łatwo dają się ponieść emocjom związanym z zakupami czy promocjami. Mogą to być na przykład witryny podszywające się pod znane marki odzieżowe czy sklepy z elektroniką oferujące ogromne rabaty. Takie sklepy potrafią działać krótki czas, by potem zniknąć razem z pieniędzmi klientów. Jednak, jeśli korzystamy ze sprawdzonych sklepów, to ryzyko stania się ofiarą tego typu oszustwa jest minimalne. Sklepy bardzo dbają o bezpieczeństwo swoich klientów, gdyż od ich zaufania zależy ich zysk. Dlatego, zanim dokonamy zakupu internetowego, warto sprawdzić historie danego sklepu, jak długo jest na rynku i jakie są opinie jego dotychczasowych klientów. Często taki sklep oferuje bardzo duże promocje, zaś w metodach płatności dostępna jest tylko jedna forma płatności.

Poniżej przykład strony fałszywego sklepu cechującego się wyjątkowo atrakcyjnymi cenami:

Witryna podszywająca się pod stronę internetową sklepu z produktami do ogrodu. Pod napisem „popularne produkty” jest zdjęcie zadbanego ogrodu. W dolnej części strony są zdjęcia wiszących wiklinowych foteli.

Potencjalna ofiara trafiła na spreparowaną stronę wyłudzającą dane do kart płatniczych.

Lepiej sprawdzać

Najczęściej jednak tego typu oszustwa zdarzają się, gdy ktoś przesyła nam mailem czy za pomocą komunikatora link do stron, gdzie mamy uregulować płatność za towar kupiony na aukcji internetowej czy za pośrednictwem portalu ogłoszeniowego. Może to się zdarzyć na przykład, gdy dokonujemy zakupu używanej elektroniki i ktoś podsyła nam link do strony udającej na przykład Allegro czy inną tego typu platformę. Wybranie jakiejkolwiek formy płatności może zakończyć się kradzieżą naszych danych i pieniędzy. Tutaj też najważniejsza jest weryfikacja linku lub po prostu unikanie tego typu transakcji, gdy nie jesteśmy pewni uczciwości człowieka po drugiej stronie.

Jak dbać o bezpieczeństwo karty płatniczej

W wypadku płatności kartą również rozwiązaniem są limity na transakcje i alerty, które powiadamiają nas o każdym użyciu karty płatniczej. Jednak przede wszystkim trzeba kontrolować, gdzie i jak podajemy dane naszej karty płatniczej. Czasem przy płaceniu otrzymujemy propozycje zapisania karty na stałe, gdy na przykład kupujemy jakąś usługę lub produkt w ramach subskrypcji, tak jest na przykład, przy płaceniu za serwisy streamingowe. Dlatego po zakończeniu korzystania z danej subskrypcji trzeba pamiętać, by usunąć dane naszej karty z danej strony. W pewnych sytuacjach możemy też zablokować kartę płatniczą — jest to, w przeciwieństwie do zastrzegania — całkowicie odwracalne i możemy to zrobić na przykład przez stronę internetową naszego banku lub dzwoniąc na infolinię naszego banku. W sytuacji, gdy dostajemy informację, że dane naszej karty wyciekły, albo podejrzewamy, że mogło do czegoś takiego dojść lub już została wykonana nieautoryzowana transakcja, wówczas najlepiej będzie ją zastrzec. To także możemy zrobić, odwiedzając placówkę lub dzwoniąc na infolinię albo na stronie internetowej naszego banku.

Dobry pomysł: prepaid

Niekiedy dobrym rozwiązaniem jest korzystanie z karty przedpłaconej, inaczej zwanej kartą prepaidową. Jest to oddzielna karta, która ma swój osobny od naszego głównego konta rachunek, na który możemy przelewać pieniądze. Tworzymy w ten sposób taki bufor, pomiędzy płatnościami, a naszym kontem bankowym. To rozwiązanie jest przydatne dla osób korzystających z aplikacji służących do zamawiania jedzenia i taksówek, w których istnieje opcja zapisania jakiejś karty płatniczej na stałe. Należy wtedy tylko pamiętać o regularnym zasilaniu konta takiej karty.

BLIK

W przypadku kodów BLIK, dużym plusem, jeśli chodzi o bezpieczeństwo, jest to, że płatność opiera się na jednorazowych kodach. Dzięki temu, jeśli kod wpadnie w ręce oszustów, to wygasa po dwóch minutach i ewentualne straty ograniczą się do kwoty danej transakcji.

Wraz ze wzrostem popularności płatności kodami BLIK, zaczęły się pojawiać oszustwa, w których cyberprzestępcy wykorzystują media społecznościowe do kradzieży środków finansowych użytkowników. Oszuści uzyskują dostęp do kont na Facebook-u i wysyłają z nich fałszywe wiadomości do znajomych osób z prośbą o podanie kodu BLIK, by zapłacić za jakąś usługę czy towar bądź informują, że znaleźli się w trudnej sytuacji np. zgubili portfel i proszą o pożyczenie niewielkiej kwoty. W takich sytuacjach oszust czeka pod bankomatem i po otrzymaniu kodu, wypłaca z niego gotówkę. Bardzo trudno jest namierzyć sprawców tego typu przestępstw. Dlatego musimy z dużą ostrożnością podchodzić do wiadomości zawierających polecenie dokonania płatności.

Oszuści przesyłają również fałszywe wiadomości SMS, w których informują o rzekomym przelewie na telefon. Aby odebrać środki zachęcają ofiary do kliknięcia w link.

Przykład fałszywej wiadomości przesyłanej przez oszustów:

Widok wiadomości wyświetlonej na smart fonie o treści: Blik. Ktoś wysłał ci przelew na telefon 350 zł, skorzystaj z poniższego linku do odbioru środków.

Po wejściu w link użytkownik przekierowywany jest na fałszywą bramkę płatności:

Ostrożność zawsze się opłaca

Najlepszą i uniwersalną radą w wypadku zakupów przez Internet jest przyjęcie zasady ograniczonego zaufania w stosunku do sklepów, zwłaszcza tych oferujących bardzo atrakcyjne promocje. Każdorazowo należy sprawdzać czy dany sklep rzeczywiście istnieje i czy nie jest rynkową efemerydą służącą do ściągania pieniędzy z klientów lub imitacją któregoś z dużych i popularnych serwisów branżowych.

Dobrą praktyką jest dokładne weryfikowanie treści wiadomości SMS z kodem lub powiadomień w aplikacji, które zawierają opis dokonywanej transakcji. Szczególną uwagę należy zwrócić na kwotę operacji, którą zlecamy i numer rachunku odbiorcy.

Pamiętaj również o sprawdzaniu adresu strony internetowej, na której się znajdujesz. Fałszywe adresy stron zawierają drobne literówki bądź znaki pochodzące z innych alfabetów. Dlatego zawsze warto samodzielnie wpisać adres strony, na którą chcemy wejść korzystając z paska adresu. Dzięki temu będziemy mieli pewność, że znajdujemy się na właściwej stronie.

Z najnowszymi ostrzeżeniami dotyczącymi zagrożeń w sieci można zapoznać się za pośrednictwem kont prowadzonych przez CSIRT KNF w serwisach tj. Twitter, LinkedIn oraz Facebook.