Wpisz poszukiwane słowo i wciśnij Enter.

Jak sprawdzić czy strona jest bezpieczna?

Jak sprawdzić czy strona jest bezpieczna?

Miliardy użytkowników sieci są każdego dnia potencjalnym celem ataku cyberprzestępców, którzy wyłudzają dane oraz środki finansowe, a nawet kradną tożsamość. W Polsce bardzo często stosowane jest tzw. oszustwo na OLX z użyciem aplikacji WhatsApp. Ale to tylko jedna z metod używanych do wyrządzenia szkód. Z poniższego artykułu dowiesz się jak sprawdzić, czy strona WWW, którą przeglądasz jest bezpieczna oraz wiarygodna.

Zdecydowana większość ofiar ulega oszustom w wyniku presji czasowej lub dzięki udanej socjotechnice. Warto jednak pamiętać o kilku kwestiach związanych z bezpieczeństwem w Internecie.

Jakie dane są najczęściej pożądane przez cyberprzestępców?

Najczęściej takie, które potrafią wyrządzić natychmiastowe szkody. Należą do nich:

  • numer karty płatnicznej i kod CVC,
  • dane do logowania na koncie mailowym lub koncie social media,
  • numer telefonu,
  • dane wewnętrzne w organizacji.

Tak, jak w przypadku jazdy samochodem stosujemy się do znaków i przepisów, tak w sieci również możemy uniknąć ryzyka dzięki wiedzy i ostrożności. Zdecydowana większość ataków na użytkowników ma charakter losowy (aczkolwiek zdarzają się również ataki precyzyjne, wymierzone np. w organizację) i szeroki. Dają one największą szansę na powodzenie i dlatego są nieustanne stosowane.

Phishing Allegro - fałszywy email
Przykład phshingowego emaila podszywającego się pod markę Allegro. Zalogowanie się za pośrednictwem wbudowanego w wiadomość linku powodowała przejęcie konta przez przestępców.

Jak się przed nimi bronić i być mądrym przed szkodą, a nie dopiero po szkodzie?

Jak sprawdzić czy domena jest prawdziwa?

Strony o przeznaczeniu phishingowym (czyli z celem wyłudzenia danych) wyświetlane są bardzo często pod adresami łudząco przypominającymi ten prawdziwy. Jako, że jesteśmy wzrokowcami i zależy nam często na czasie – pomijamy etap sprawdzania adresu URL w przeglądarce i nie zwracamy uwagi na jego zawartość. A już na tym etapie pojawia się pytanie, czy domena jest na pewno bezpieczna. Jak to działa w praktyce?

Dla przykładu – który z poniższych adresów domeny jest wg Ciebie prawdziwy i należy do Poczty Polskiej?

https://poczta-po1ska.pl
https://poczta-polska.pt
https://poczta-polska.pl
https://polska-poczta.pl
https://poczta-p0lska.pl
https://poczta-polska.ph

W tym przypadku prawidłowym, wiarygodnym adresem jest trzeci od góry i jeśli udało Ci się go wskazać w ciągu kilku sekund – to dobry znak. Jeżeli jednak zastanawiałeś/aś się nad tym dłużej, to przy popularnych atakach phishingowych jesteś w grupie ryzyka.

Domena internetowa dla sklepu online
Podszycia pod znane marki e-commerce mogą dotyczyć użycia frazy kluczowej, która jest użytkownikom znana.

Reszta, mimo podobieństwa, mogłaby kierować na sklonowaną witrynę, w której podanie maila, hasła lub innych danych skończyłoby się kradzieżą tożsamości. O ile teraz miałeś/aś czas na zastanowienie się, to przy korzystaniu z przeglądarki działamy często instynktownie i nie weryfikujemy poprawności adresu w całości.

Czy fałszywe domeny mają jakąś historię? W zdecydowanej większości nie i można łatwo to sprawdzić wpisując przykładowy adres w wyszukiwarkę Web Archive – https://web.archive.org/. Dzięki niej poznasz „przeszłość” strony pod tym adresem. Domeny rejestrowane do celów phishingowych są relatywnie młode lub nie posiadały żadnej treści w ostatnich latach.

Drugim sposobem na sprawdzenie, czy dana domena jest stara to wyszukiwarki WHOIS, które podają datę rejestracji adresu. Dla polskich domen najważniejsze informacje znajdziesz w bazie NASK.

Czy strona z certyfikatem SSL jest zawsze bezpieczna?

Ochrona przy połączeniu przez protokół https:// dotyczy przesyłania danych, ale nie wpływa na sposób ich przechowywania na docelowym serwerze. Cyberprzestępcy informują na fałszywych stronach WWW o szyfrowanym połączeniu, ale już nie wspominają jak dane te zostaną później użyte.

Bezpieczne połączenie z bankiem mBank - logowanie do konta
Przykład komercyjnego certyfikatu SSL w mBank – informacje o odbiorcy są widoczne w szczegółach certyfikatu.

Użytkownicy widząc aktywny certyfikat SSL w domenie wierzą, że przekazują swoje wrażliwe informacje do prawdziwej, rzeczywistej osoby lub firmy. Oba elementy nie są jednak ze sobą powiązane, aczkolwiek ponad 70% internautów uważa, że certyfikat SSL podnosi wiarygodność witryny (źródło: badanie Digital Trends w home.pl)

Jak to możliwe, aby strona internetowa wyłudzająca dane posiadała szyfrowane połączenie dzięki certyfikatowi SSL?

Problem wynika z zastosowania darmowych, niekomercyjnych certyfikatów wystawianych na krótki okres (do 3 miesięcy). Ich ważność sprawdzisz po kliknięciu w ikonę kłódki i wyświetlaniu szczegółów lub w specjalnie przygotowanym do tego celu narzędziu od firmy Digicert – https://www.digicert.com/help/.

Cyberprzestępcy bardzo rzadko korzystają z komercyjnych, płatnych rozwiązań, a w przypadku certyfikatów weryfikujących organizację jest to praktycznie niemożliwe. Jednostki certyfikujące sprawdzają bowiem dokumenty firmowe i dopiero na tej podstawie wystawiają certyfikat SSL z danymi przedsiębiorstwa.

Czy antywirusy chronią przed fałszywą stroną internetową?

Nowoczesne programy antywirusowe w wersjach płatnych oferują szeroką gamę funkcji zwiększających bezpieczeństwo użytkownika. Przykładem są produkty firmy Norton, które dokonują weryfikacji strony przed jej wyświetleniem w przeglądarce. Dzięki globalnej bazie zaufanych adresów program antywirusowy zablokuje dostęp do witryny, jeżeli ta została wcześniej określona jako potencjalnie niebezpieczna.

Opcja Norton Safe Web oznacza ponadto w wynikach wyszukiwania adresy jako wiarygodne lub potencjalnie niebezpieczne w zależności od wykrytych zagrożeń.

Czy warto korzystać z menadżera haseł?

Bardzo często użytkownicy padają ofiarą phishingu, ponieważ wygląda maila i treść prezentują się wiarygodnie. Podszycia pod znane marki powodują, że potencjalnym zagrożeniem objęta jest większa liczba użytkowników. Gdy zawiedzie Cię czujność i przez przypadek (lub będąc przekonanym o prawdziwości maila) klikniesz w link kierujący na stronę WWW wyłudzającą dane – na ratunek przyjdzie dobry menadżer haseł, w którym utrzymujesz zapisane dane do logowania.

Menadżer haseł działa w oparciu o zapisane parametry tj. wizytowany adres URL. Jeśli ten nie zgadza się na docelowej stronie z oknem logowania, nie wyświetli podpowiedzi lub nie uruchomi funkcji auto-uzupełniania pól z loginem i hasłem. Innymi słowy – menadżer haseł również staje się przydatny w kontekście ochrony. Nawet w momencie, gdy przeniesiemy się na fałszywą witrynę.

Czy fałszywe strony i sklepy posiadają regulamin?

Sklep internetowy, o którym słyszysz pierwszy raz, oferuje atrakcyjne ceny w stosunku do konkurencji? Poświęć chwilę i sprawdź, czy posiada regulamin, a także dane firmy (taką informację ceni aż 80% internautów). A nawet więcej – skorzystaj z metod opisanych powyżej i sprawdź, jak długo domena sklepu jest dostępna w internecie.

Bardzo często sklepy prowadzone przez cyberoszustów posiadają relatywnie młode adresy i wprowadzają w błąd użytkownika stosując klauzule niedozwolone (np. brak możliwości reklamacji i zwrotów), a jako lokalizację firmy wpisują nieaktualne lub nieprawdziwe dane (bardzo często zagraniczne).

Przed dokonaniem zakupu przeszukaj internet i zweryfikuj opinie o sklepie na forach, w social media lub w serwisach z porównywaniem cen. Dobrym pomysłem jest zbadanie, jakie metody płatności oferuje sprzedawca. Pamiętaj, że sklepy używające elektronicznych systemów płatności tj. PayU są zweryfikowani i posiadają odpowiednią umowę z operatorem.

Płatność Blikiem
Przykład bezpiecznej płatności BLIK w systemie PayU.

Jakie metody płatności powinny wzbudzać podejrzenia? Przede wszystkim zawężone do jednej, maksymalnie 2 opcji, w których znajdują się:

  • zwykły przelew na konto bankowe
  • płatności PayPal na adres email
  • płatność za pobraniem

W takich sytuacjach lepiej skorzystać z innej oferty. Pamiętaj, że potencjalne oszczędności rzędu kilkuset złotych na wymarzonych butach mogą przerodzić się w koszty – czas związany ze sprawą sądową, stres i ostatecznie brak zakupionego towaru nie są warto inwestycji w sklep internetowy, który nie ma podstawowych narzędzi do bezpiecznych zakupów.

Chcesz wiedzieć więcej, jakie elementy stron WWW wpływają na ich wiarygodność? Zapoznaj się z pełną treścią raportu home.pl #DigitalTrends – Na co zwracają uwagę polscy internauci? Kliknij na poniższy obrazek, aby pobrać PDF:

Czy strona internetowa jest bezpieczna - raport z badania home.pl