Pułapki e-zakupów

Transakcje i płatności kartą płatniczą/kredytową w internecie są bezpieczne, pod warunkiem że zadbasz o następujące szczegóły:

• Przed podaniem numeru karty, w trakcie przeprowadzania transakcji powinieneś zostać przekierowany na stronę instytucji dokonującej elektronicznych płatności. W Polsce Polcard www.polcard.pl oraz eCard www.ecard.pl.
• Na stronie firmy autoryzującej płatność podajesz numer karty – sklep nie otrzyma numeru, zostanie jedynie powiadomiony (po poprawnej autoryzacji), że klient dokonał poprawnej zapłaty kartą, co jest sygnałem dla sklepu, że powinien rozpocząć wysyłkę towaru.
• Pamiętaj – strona centrum autoryzacji, na której podajesz numer karty, musi być szyfrowana. Sprawdź to, zanim dokonasz transakcji.

O bezpieczeństwie zakupów internetowych świadczy nie tylko szyfrowanie i ważny certyfikat witryny sklepu. Oto kilka zasad, których przestrzeganie w znacznym stopniu uchroni cię przed próbami oszustwa.

• Strony zawierające formularze, na których podajesz swoje dane osobowe, muszą być szyfrowane (połączenie przez protokół https).
• To samo dotyczy stron, na których dokonujesz płatności online (https), bez względu na formę płatności (mikropłatność, przelew internetowy, potrącenie z karty kredytowej itp.).
• Po zakończeniu wizyty w sklepie bądź banku pamiętaj o wylogowaniu się (zamiast po prostu zamknięcia okna przeglądarki).

Najpierw przyjrzyj się, jakie elementy interfejsu w oknie trzech najpopularniejszych przeglądarek wskazują na poprawne połączenie z szyfrowaną stroną.

Gdy odwiedzisz zaszyfrowaną stronę WWW (np. strona logowania internetowego banku lub sklepu), w górnej części okna przeglądarki, po prawej stronie paska adresowego (oczywiście adres rozpoczyna się zwrotem https://) powinna się pojawić ikona kódki. Gdy klikniesz tę ikonę, wyświetli się okienko dialogowe, w którym jest wymieniony adres szyfrowanej strony.

W przypadku niektórych serwisów, np. mBanku, oprócz ikonki kłódki zobaczysz także nazwę organizacji prowadzącej dany serwis – BRE Bank SA. W takiej sytuacji kliknięcie ikony wywoła okno dialogowe, w którym wystawca certyfikatu bezpieczeństwa identyfikuje daną witrynę.

Gdy klikniesz odsyłacz Wyświetl certyfikaty, w oknie dialogowym Certyfikat, pod zakładką Ogólne uzyskasz dodatkowe informacje o tym, dla kogo został wystawiony dany certyfikat zabezpieczeń. Adres WWW w wierszu Wystawiony powinien być identyczny z adresem, jaki się znajduje w pasku adresowym przeglądarki (jest to zresztą weryfikowane przez wbudowany w przeglądarkę mechanizm zabezpieczeń). Ponadto certyfikat musi być ważny – daty ważności również są wyświetlone w oknie.

W oknie Certyfikat wybierz zakładkę Ścieżka certyfikacji. Ostatni element łańcucha powiązanych certyfikatów powinien wskazywać na przeglądaną przez ciebie stronę (jej adres). Dodatkowe potwierdzenie poprawności certyfikatu jest wyświetlone w polu Stan certyfikatu.

Odwiedzenie prawidłowo chronionej i szyfrowanej strony w przeglądarce Firefox jest symbolizowane widocznym symbolem kłódki wyświetlanym w dwóch miejscach: na prawym końcu paska adresowego oraz na pasku stanu, u dołu okna przeglądarki. Ponadto obok symbolu kłódki widocznego na pasku stanu widoczny jest adres przypisany do certyfikatu – powinien być identyczny z widocznym na pasku adresowym.

Jednokrotne kliknięcie symbolu kłódki na pasku adresu lub dwukrotne – na pasku stanu, wywołuje okno Informacje o stronie z aktywną zakładką Zabezpieczenia. Znajdziesz w nim informacje o potwierdzonej tożsamości oglądanej witryny (adres widoczny w pasku adresowym nie jest adresem fałszywym). Aby uzyskać więcej informacji, kliknij Wyświetl.

W wyświetlonym oknie znajdziesz informacje o tym, dla kogo certyfikat jest wystawiony, kto go wystawił oraz jaki jest okres jego ważności. W polu wystawiony dla powinieneś zobaczyć nazwę organizacji, której witrynę wywołałeś. Kliknij Zamknij.

Symptomy bezpiecznego połączenia w Operze wyglądają podobnie jak w przypadku dwóch poprzednich przeglądarek. Po prawej stronie paska adresu jest wyświetlany symbol kłódki wraz z nazwą organizacji będącej właścicielem witryny.

Po kliknięciu symbolu kłódki nastąpi otwarcie okna: Informacje o zabezpieczeniach. Domyślnie aktywna zakładka Zabezpieczenia pokazuje informacje o tym, czy odwiedzana strona jest bezpieczna.

Opera dodatkowo dysponuje narzędziem umożliwiającym sprawdzenie, czy odwiedzana przez ciebie strona nie jest fałszywa. Przejdź do zakładki Ochrona przed oszustwami i kliknij przycisk Sprawdź, czy to oszustwo. Spowoduje to uaktywnienie mechanizmu weryfikującego adres danej witryny. Przy okazji zaznacz pole wyboru Włącz ochronę przed oszustwami.

Jeżeli wszystko jest w porządku, po weryfikacji powinieneś otrzymać informację, że dana witryna nie znajduje się na czarnej liście.

Wszystkie wymienione przeglądarki mają wbudowane mechanizmy chroniące użytkownika przed nawiązaniem połączenia z wadliwie szyfrowaną stroną (np. gdy brak certyfikatu bezpieczeństwa lub gdy jest on niepoprawny). Oto jak wygląda połączenie w przypadku wywołania strony, która zawiera nieprawidłowy certyfikat bezpieczeństwa.

Najnowszy Internet Explorer bardzo wyraźnie sygnalizuje szyfrowane witryny z uszkodzonym bądź nieważnym certyfikatem. Nie dopuszcza do wyświetlenia zawartości strony i daje wybór dalszego działania. Zalecanym rozwiązaniem jest kliknięcie opcji Kliknij tutaj, aby zamknąć tę stronę sieci Web.

Firefox w razie jakichkolwiek niejasności związanych z ważnością certyfikatu wyświetli okno dialogowe. Kliknięcie Kontynuuj oznacza zgodę na przeglądanie niebezpiecznej witryny.

W momencie wywołania szyfrowanej strony w Operze (jej adres zaczyna się od zwrotu https://) z nieważnym lub nieprawidłowym certyfikatem przed wczytaniem zawartości strony do przeglądarki zobaczysz okno dialogowe, w którym są wyświetlone informacje o nieprawidłowościach związanych z certyfikatem danej witryny. Nigdy nie klikaj Akceptu.

Bez względu na to, z której przeglądarki korzystasz, zawsze sprawdzaj adres przypisany do certyfikatu i konfrontuj go z adresem wpisanym w przeglądarkę. Oba powinny być takie same.

Kiedy adres internetowy przypisany do certyfikatu, jakim legitymuje się szyfrowana strona, nie jest zgodny z faktycznym adresem odwiedzanej witryny, nie musi to oznaczać oszustwa. Tak jest np. w przypadku, gdy certyfikat jest przypisany usługodawcy internetowemu i z tego certyfikatu korzysta sklep, który jednocześnie wykupił u danego usługodawcy np. miejsce na serwerze. Taka strona może być poprawnie szyfrowana, jednak przeglądarka będzie zwracać błąd, ze względu na niezgodność adresów. W takim przypadku sklep czy inna instytucja stosująca szyfrowanie powinna zadbać o właściwy certyfikat. Ty nie ryzykuj i zmień sklep w razie niejasności.