Jak nie dać się oszukać w Black Friday? Cenny poradnik CERT

W ostatnich tygodniach 2022 roku nie trzeba już nikogo przekonywać, że internet stał się dla wielu z nas podstawowym sposobem dokonywania zakupów. Regularny wzrost tego trendu obserwowaliśmy od lat, wraz z postępującą digitalizacją, ale o aktualnym poziomie dominacji e-commerce w sposób szczególny zadecydowały dwa czynniki. W 2020 roku wybuch pandemii COVID-19 spowodował, że Polacy, ze względów bezpieczeństwa, masowo przestawili się na zakupy dokonywane online. Drugim istotnym czynnikiem wzmacniającym dziś tę tendencję jest poziom inflacji, a co za tym idzie – większa potrzeba porównywania cen i kupowania możliwie najtaniej. Niestety, w ślad za działaniami klientów podążają również wybory cyberprzestępców, którzy w znacznym stopniu przenieśli swoją aktywność do sieci.

7 razy więcej cyberprzestępstw

Jak pokazują statystyki zagrożeń rejestrowanych przez zespół CERT Polska, działający w strukturach Państwowego Instytutu Badawczego NASK, już w 2021 roku ponad 5-krotnie (w stosunku do poprzedniego roku) wzrosła liczba incydentów cyberbezpieczeństwa związanych z oszustwami na najpopularniejszych polskich portalach zakupowych, takich jak Allegro, OLX czy Vinted. W 2022 roku liczba realnych incydentów tego typu była już (w porównaniu do 2020 roku) niemal 7-krotnie wyższa.

Od 2019 roku lawinowo rośnie także fala przestępstw polegających na tworzeniu fałszywych sklepów internetowych, wyłudzających dane dostępowe do kont bankowych ich klientów. W 2020 roku (w porównaniu do roku 2018) ich liczba wzrosła aż o 1256 punktów procentowych, ale nawet porównanie roku 2022 z ubiegłym nadal wykazuje zwiększenie liczby portali podszywających się pod sklepy online o 34 p.p. Innym popularnym zagrożeniem jest wysyłanie szkodliwych linków drogą SMSową. Liczba takich incydentów wzrosła z około 6 500 w 2019 roku do przeszło 40 000 2022 roku.

Według danych CERT incydenty cyberzagrożeń na portalach CERT OLX, ALLEGRO i VINTED wzrosły od 0 w 2017 r do niemal 6 tys. miesięcznie. Należy jednak podkreślić, że serwisy sprzedażowe wdrażają wiele działań, które pomagają zapobiegać wyłudzaniu pieniędzy przez Internet. 

Jak bezpiecznie kupować online

Przywołane dane świadczą o tym, jak poważne jest to zagrożenie i jak pilne są działania w tym obszarze. Dlatego zespół CERT Polska, obserwując aktywność przestępców w sektorze e-commerce, przygotował zbiór rekomendacji dotyczących zakupów w sieci. Działaniom edukacyjnym towarzyszy także premiera nowej edycji poradnika na temat bezpiecznych zakupów online: „Jak bezpiecznie kupować w internecie. Poradnik CERT Polska 2022/2023”.

– Cieszę się, że zespół CERT Polska tak skutecznie wypełnia zadania, jakie stawia przed nim nie tylko ustawa o Krajowym Systemie Cyberbezpieczeństwa, ale i wieloletnia tradycja działań realizowanych przez pierwszy zespół CERT, jaki powstał Polsce – komentuje Krzysztof Silicki, Dyrektor ds. Cyberbezpieczeństwa i Innowacji w NASK. – Poprawa cyberbezpieczeństwa osób, które dokonują zakupów online, to także jedno z tych zadań, więc projekty edukacyjne, takie jak ta nowa edycja poradnika związanego z bezpieczeństwem zakupów online, mają szczególne znaczenie – dodaje.

Poradnik CERT

Nowa publikacja zawiera nie tylko najnowsze informacje o incydentach z obszaru e-commerce zebrane przez zespół CERT Polska, ale przede wszystkim zestaw praktycznych wskazówek wyjaśniających, jak nie dać się oszukać. Podane w przystępny sposób rady dotyczą między innymi kwestii oceny wiarygodności sklepu internetowego, bezpiecznych sposobów dokonywania płatności, a także informacji o tym, co robić, jeśli zostaliśmy oszukani. Publikacja rozprawia się też z mitem „bezpiecznej zielonej kłódki” oraz ostrzega przed (zbyt) dobrymi okazjami.

5 kroków przeciwdziałania cyberoszustwom

1. Nie ulegaj presji czasu

Nie należy ulegać presji czasu. Jest to częsta technika oszustów. Naszą uwagę powinny wyostrzyć wszelkie oferty, które wywierają na nas presję, by zakupu dokonać jak najszybciej. Chodzi o komunikaty typu: "aktualnie 100 osób ogląda tę ofertę" lub "to już ostatni produkt w magazynie", "ostatnie 5 minut na skorzystanie z tej oferty". Takie zabiegi socjotechniczne mają skłonić nas do dokonania pochopnej, nieprzemyślanej decyzji. Choć takie komunikaty nie muszą oznaczać próby dokonania przestępstwa, to warto upewnić się czy adres strony internetowej nie zawiera literówek (częsta taktyka oszustów, którzy stawiają portale łudząco podobne do oryginalnych domen).

2. Sprawdź literówki

Dokładne sprawdzanie liter w nazwie domeny powinniśmy praktykować zawsze, gdy podajemy dane swojej karty płatniczej lub w trakcie logowania do bankowości internetowej czy sklepu internetowego. Nawet na popularnych stronach typu allegro czy amazon w momencie zakupu warto przeliterować nazwy serwisów pojawiające się w pasku z adresem domeny. Wyprowadzanie konsumentów z oryginalnych domen do sztucznych to jedna z popularnych form wyłudzania pieniędzy.

3. Sprawdź wiarygodność sklepu

Kolejną poradą jest sprawdzanie wiarygodności sklepu. Zanim dokonasz zakupu możesz zweryfikować KRS/CEIDG, dane adresowe, przeczytać opinie klientów poza portalem sprzedawcy, sprawdzić opcje dostawy i płatności.

4. Mit zielonej kłódki

Należy pamiętać, że zielona kłódka poprzedzająca nazwę portalu, która zapewniała nas o bezpieczeństwie cyfrowym w dobie pomysłowości hakerów nie jest już gwarancją uniknięcia oszustwa. Obecnie taka kłódka może być wstawiona jako symbol wygenerowany w programie graficznym.

5. Nie klikaj w linki

Coraz większą popularność zyskują oszustwa kontekstowe - np. słynne smsy z informacją o czekającej na nas przesyłce, które nie pochodzą od wybranej przez nas firmy przesyłkowej. Do tej pory dostawaliśmy wiadomości m.in. informujące o konieczności dopłaty za zbyt ciężką paczkę - w takich sytuacjach nie należy wchodzić w link dołączony do smsa. Zawsze należy się upewnić, czy wiadomość otrzymana jest z tego numeru co zwykle. Nieznajomy numer może wzbudzić naszą słuszną podejrzliwość. Zawsze lepiej sprawdzić informację w aplikacji danej firmy czy zadać pytanie poprzez czat lub infolinię. Takie kontekstowe oszustwa bazują często na impulsie i emocjach, jaki wywołuje określony komunikat.

Poradnik kończy się zaproszeniem skierowanym do wszystkich użytkowników internetu – do wspólnego przeciwdziałania oszustwom spotykanym w internecie poprzez zgłaszanie ich do CERT Polska poprzez adres e-mail, formularz na stronie internetowej oraz sms zawierający otrzymane potencjalnie szkodliwe linki.

Szef tego zespołu, Sebastian Kondraszuk, podkreśla przy tym, że „CERT Polska monitoruje cyberprzestrzeń w trybie ciągłym, dlatego niezwykle ważne są dla nas zgłoszenia, które otrzymujemy od użytkowników, ponieważ pozwalają nam one tworzyć kompleksowy obraz cyberzagrożeń. Między innymi dzięki temu widzimy wyraźnie rosnącą liczbę oszustw w sektorze e-commerce. Zagrożenia rosną, ale na szczęście rośnie też świadomość. Chcemy budować ją jeszcze skuteczniej takimi działaniami, jak premiera obecnego poradnika”.