Płatności w internecie - na co zwrócić uwagę, żeby płacić bezpiecznie

Łukasz Michalik

Łukasz Michalik

Artykuły (8)

dziennikarz, ekspert nowych technologii

18-08-2017

Płatności online starsze od Internetu

Płatności online wydają się nową usługą, ale są starsze, niż Internet! Jak to możliwe? Wszystko z sprawą rozwiązań, które przed laty – zanim dostęp do Internetu stał się powszechny i tani – wdrażano niezależnie w różnych krajach.
Przykładem jest m.in. francuski Minitel – rodzaj lokalnej sieci, gdzie już od końca lat 70. oferowano użytkownikom specjalne terminale, pozwalające m.in. zamawiać bilety, sprawdzać informacje czy obsługiwać konto bankowe, a wszystko za pomocą interfejsu przypominającego nieco starą telegazetę.

Historia Minitela jest zarazem świetnym dowodem na to, jakie usługi są dla użytkowników naprawdę ważne: płatności online (choć jeszcze nie „internetowe”) pojawiły się na długo przed Facebookiem, YouTube’em czy pierwszą stroną WWW. 

Najsłabsze ogniwo

Dzisiaj płatności internetowe to prosta, dostępna dla każdego usługa. Warto zadbać o to, by korzystając z jej dobrodziejstw robić  to w sposób bezpieczny. Czyli jaki?
„Łamałem ludzi, nie hasła” – słowa najsłynniejszego hakera świata, Kevina Mitnicka trafnie wskazują najsłabsze ogniwo w łańcuchu zabezpieczeń. Przypadki, gdy cyberprzestępcy pokonują bankowe zabezpieczenia należą do rzadkości. Znacznie bardziej powszechne są sytuacje, gdzie pośrednikiem w udanym ataku jest sam użytkownik, który przez brak wiedzy lub nieuwagę daje przestępcy dostęp do swojego konta.

Phishing – sztuka podstępu

Jednym z podstawowych zagrożeń jest tzw. phishing, gdy przestępca podszywa się pod jakąś osobę albo instytucję, aby skłonić nas do udostępnienia kluczowych danych. W praktyce phishing może mieć postać np. maila, wyglądającego, jakby został wysłany przez nasz bank.
W mailu może znajdować się informacja skłaniająca nas do kliknięcia w link, prowadzący – pozornie – do bankowego systemu transakcyjnego. Klikamy i… w przeglądarce rzeczywiście otwiera się nam znajomo wyglądająca strona. Problem w tym, że to stworzona przez przestępców atrapa, swoim wyglądem i adresem nawiązująca do strony banku. Jeśli zalogujemy się w takim serwisie, udostępnimy przestępcom swoje poufne dane.

Bezpieczne hasło

Wielu specjalistów od bezpieczeństwa zwraca uwagę na fakt, że zbyt skomplikowane hasło wcale nie podnosi poziomu bezpieczeństwa – nie mogąc go zapamiętać tworzymy wówczas różne zapiski czy notujemy hasła w papierowych notatkach, różnych aplikacjach czy plikach tekstowych. Dodatkowo powszechna jest tendencja do tworzenia haseł trudnych do zapamiętania przez ludzi, ale stosunkowo krótkich, czyli łatwych do łamania dla maszyn.
Dlatego – poza oczywistymi kwestiami, jak wykorzystanie w haśle znaków specjalnych, cyfr czy różnicowanie wielkości liter, ważna jest odpowiednia długość hasła, tworzonego np. z użyciem wyrazów, dobranych według znanego nam klucza.
Co więcej, bezpieczne systemy bankowe zwyczaj nie wymagają od klientów podawania pełnego hasła, a tylko jego wybranej części, wystarczającej do uwierzytelnienia, ale chroniącej hasło przed ewentualnym ujawnieniem. 

Wiem i mam: dwuskładnikowe uwierzytelnianie

Teoretycznie nawet wówczas jesteśmy bezpieczni. Wszystko za sprawą tzw. dwuskładnikowego uwierzytelniania, które można obrazowo opisać jako logowanie za pomocą czegoś, co wiemy i czegoś, co mamy.
„Wiemy” – to nasz login i hasło. „Mamy” – to fizyczny przedmiot, jak choćby sprzętowy token czy – to znacznie popularniejsze rozwiązanie – telefon ze zdefiniowanym wcześniej numerem, na który przychodzą kody, służące do potwierdzenia transakcji.

3D Secure

Coraz częściej dotyczy to również płatności z użyciem kart kredytowych. Do niedawna autoryzacja transakcji następowała za pomocą danych właściciela, numeru karty, daty jej ważności oraz umieszczonego na odwrocie 3-cyfrowego numeru CVV2 lub CVC2. Nie było to w pełni bezpieczne, bo wszelkie dane były zgromadzone w jednym miejscu – na naszej karcie i mogły wpaść w niepowołane ręce np. podczas płatności w sklepie.
Z tego powodu banki stosują zabezpieczenie o nazwie 3D Secure, polegające na autoryzowaniu transakcji dodatkowym, przesłanym na nasz telefon kodem. W praktyce działa to podobnie, jak dwuskładnikowe uwierzytelnianie i znacząco podnosi bezpieczeństwo transakcji. Z tego powodu, jeśli mamy wybór, warto robić zakupy w tych sklepach i korzystać z takich usług, które oferują obsługę 3D Secure. 

Bezpieczna przeglądarka i szyfrowanie

Popularny przed laty dowcip głosił, że Internet Explorer – przeglądarka dołączana standardowo do systemu Windows – służy do przeglądania Internetu z naszego komputera i na odwrót. To już, na szczęście, odległa przeszłość. Wśród najpopularniejszych przeglądarek nie ma obecnie takiej, która byłaby jednoznacznie zła albo niebezpieczna, więc wybór sprowadza się do naszego gustu, przyzwyczajenia i innych preferencji.
Tym, na co warto zwracać uwagę, jest jednak popularna usługa synchronizacji danych logowania, pozwalająca na wygodne korzystanie z raz zapisanych danych na rożnych komputerach czy smartfonach. Choć – teoretycznie – dane te są szyfrowane i dobrze zabezpieczone, to w przypadku serwisu bankowego zapisanie loginu i hasła w przeglądarce w połączeniu z włączoną usługą synchronizacji oznacza, że w praktyce tracimy nad naszymi danymi kontrolę. Choć ograniczy to nieco nasz komfort, warto w tym przypadku traktować takie usługi z dystansem.
Fundamentalną kwestią jest również będące już – na szczęście – standardem szyfrowanie połączenia. O tym, czy jest aktywne przekonamy się, widząc w przeglądarce obok adresu strony zaczynającego się od „https”, symbol zielonej kłódki, pozwalający na sprawdzenie certyfikatów witryny. W praktyce oznacza to, że nasze dane są przesyłane pomiędzy naszym komputerem a serwerem w formie zaszyfrowanej.

Ograniczajmy ryzyko

Odrębną, ale kluczową dla bezpieczeństwa naszych oszczędności kwestią jest bezpieczeństwo urządzenia, z którego korzystamy. Obojętnie, czy jest to komputer, czy smartfon, instalujmy na nim oprogramowanie jedynie z wiarygodnych źródeł.
Dotyczy to również oprogramowania antywirusowego – pojawiające się na niektórych stronach alarmy i informacje o wirusach mogą być próbą oszustwa, mającą skłonić nas do dobrowolnej instalacji złośliwego oprogramowania. Wśród przykładów jego działania można znaleźć m.in. skrytą podmianę skopiowanych i wklejonych do formularza przelewu numerów kont bankowych – z tego powodu zawsze sprawdzajmy, czy konto, które widać w formularzu jest naprawdę tym, na które chcemy dokonać przelewu.
W ograniczeniu ewentualnych strat pomogą również rozsądnie ustawione limity na koncie. Dobrą praktyką jest również pozostawianie danych swojej karty kredytowej w możliwie małej liczbie miejsc, co minimalizuje ryzyko, że jedno z nich padnie ofiarą cyberprzestępców, którzy w ten sposób wejdą w posiadanie naszych poufnych danych.