Phishing w sklepach internetowych – jak się przed nim chronić?

Każdy, kto chce prowadzić sklep internetowy musi wiedzieć, że nie wystarczy tylko założyć stronę sklepu i wstawić produktów z opisami oraz zdjęciami. Rozwój sklepu to proces czasochłonny i trudny. Trzeba pamiętać o tym, że prowadzenie sklepu wiąże się z wieloma zagrożeniami – nie chodzi tylko o negatywne opinie złośliwych klientów, które mogą zrażać innych do robienia zakupów. Jednym z bardzo poważnych zagrożeń jest tak zwany phishing. Sklep może stać się celem ataku i wyłudzenia danych klientów. Czym dokładnie jest phishing i jak się przed nim chronić?

Co to jest phishing?

Phishing jest coraz częściej wykorzystywanym sposobem ataku, którego ofiarami są osoby korzystające z internetu, zarówno prowadzące działalność, jak i zamawiające produkty lub usługi. Oszuści sprytnie podszywają się pod znane marki, w tym sklepy internetowe. Mogą podszyć się pod każdą popularną stronę czy ważną instytucję, taką jak bank. Wykorzystują do tego celu fałszywe strony oraz maile, które praktycznie nie różnią się od oryginalnych danej firmy. Nawet domeny podrobionych stron nierzadko wyglądają do złudzenia, jak prawdziwe domeny firm. Celem takiego działania jest przejęcie danych logowania od właściciela sklepu czy strony, który poda je sam, przekonany, że rzeczywiście prosi o nie właściciel strony lub instytucja (z której usług korzysta od dawna).

Dlaczego ofiarami phishingu padają coraz częściej sklepy internetowe?

Atakowanie sklepów internetowych jest coraz częstsze z kilku powodów. Przede wszystkim sklep sprzedaje produkty klientom, więc jego działalność opiera się na ciągłej interakcji z nimi. Klienci natomiast chcąc coś kupić, muszą założyć konto na stronie sklepu, a nawet jeśli kupują jako goście – podać swoje dane osobowe, adresowe i kontaktowe, aby możliwa była dostawa zakupu i wysyłanie powiadomień go dotyczących. Sklepy więc posiadają często ogromne bazy z danymi klientów, które przetwarzają.

Ponadto żaden sprzedawca internetowy nie może pozwolić na to, by z jakiegoś powodu doszło do kompromitacji sklepu na forum publicznym, gdyż to wiązałoby się  z utratą zaufania klientów i końcem działalności, bo nikt nie chciałby już nic kupować. Najważniejszym powodem jednak, obok posiadania masy danych osobowych, jest to, że sklepy zarabiają i to często niemało. Oszuści wiedzą więc, że właściciele sklepów mają pieniądze na pokrycie żądanego przez nich okupu, by ochronić sklep i jego wizerunek. Oszuści nierzadko w takiej sytuacji żądają okupu grożąc, że jeśli ofiara go nie zapłaci, udostępnią publicznie pozyskane dane, a na to właściciele sklepów nie mogą sobie pozwolić.

Według firmy Kaspersky Labs, w ciągu pierwszych 10 miesięcy ubiegłego roku liczba ataków phishingowych na sklepy internetowe, i wirtualne banki, które zarejestrowały produkty sygnowane przez tę firmę wyniosła ponad 40 milionów!

Skutki phishingu w sklepach internetowych

Twój sklep internetowy może paść ofiarą phishingu w dwojaki sposób.

  • Może zostać zaatakowany przez oszusta podającego się za jakąś instytucję lub stronę, ale również może być tak, że oszust podszyje się pod Twój sklep i będzie atakował Twoich klientów. W pierwszym przypadku oszust może wykraść dane Twoich klientów i zażądać okupu w zamian za ich nieupublicznienie.
  • W drugim przypadku sprawa może być jeszcze poważniejsza. Oszust może łatwo podrobić stronę sklepu, aby wyglądała jak prawdziwa. Takie same szkodliwe działania może wykonać w przypadku maili czy wiadomości do klientów w social mediach. Po takim ataku klienci będą odbierali Twoją firmę jako podrobioną i uznają Ciebie za oszusta. Trudno będzie odzyskać ich zaufanie, a nawet może się to skończyć w sądzie. Może to wyglądać tak, że klienta skusi jakaś wyjątkowa okazja w sklepie, o której dostał maila od oszusta, ale łudząco podobnego do Twojego. Link z maila przenosi go na niemal identyczną stronę, jak Twojego sklepu. Klient dokonuje zamówienia i oczywiście płaci. Później czeka na przesyłkę, której nie otrzymuje i w tym momencie zaczynają się Twoje kłopoty, bo to Ty dostajesz wiadomości z pretensjami, reklamacjami, a Ty nie masz pojęcia co się stało. Nic nie możesz zrobić, przez co zirytowany klient może w końcu nawet wezwać policję.

Początek problemów to np. zainstalowane na serwerze oprogramowanie udające inną stronę. Następnie może zareagować firma hostingowa i zablokować konto, jeśli pod Twoją domeną otworzy się podrobiona strona. Do tego możesz spodziewać się wizyty policji, bo to Ty jesteś właścicielem domeny i serwera. To Ty więc musisz tłumaczyć się z tego, co się stało i wyjaśnić, skąd pod domeną pojawiła się fałszywa strona. Jeśli udowodnisz, że padłeś ofiarą oszustów, pół biedy. Jeśli nie, to możesz  pożegnać się ze sklepem i jeszcze ponieść karę zasądzoną przez sąd.

Czy da się ochronić przed phishingiem?

Phishing to częste zjawisko, przed którym trudno się ochronić. Można jednak podjąć pewne działania, które zmniejszą prawdopodobieństwo takiego ataku. Jak można przechytrzyć oszustów? Oto kilka sposobów:

  • przy rejestrowaniu nazwy domeny warto pamiętać, by nazwa nie zawierała liter, które są niemal identyczne ze znakami z zagranicznych alfabetów, np. z cyrylicy;
  • zadbanie o certyfikaty SSL na poziomie EV, ponieważ daje to możliwość szyfrowania komunikacji między klientem a przeglądarką, której używa;
  • weryfikacja dwuskładnikowa – podwójne zabezpieczenie jest znakomitym rozwiązaniem, do zera minimalizującym ryzyko zalogowania się przez oszusta. Drugim składnikiem może być np. podanie kodu otrzymanego mailem lub SMS-em lub podanie odpowiedzi na pytanie. Warto stosować też Captchę, dzięki której nie zaloguje się żadne oprogramowanie czy bot, bo tylko człowiek jest w stanie wykonać polecenie tego narzędzia;
  • frazy lub obrazki do weryfikacji klientów – spersonalizowane przez klienta frazy czy obrazki znane tylko przez właściciela konta, które trzeba wskazać podczas logowania również będą dobrym narzędziem ochronnym;
  • surowe zasady ustawiania hasła i logowanie niepełnym hasłem – warto przypominać nowym, rejestrującym się klientom, że hasło powinno być odpowiednio długie i skomplikowane. Warto ustalić zasady, że nie może być krótsze niż np. 8 znaków i musi zawierać duże litery, liczby i znaki specjalne. Ponadto dobrym pomysłem jest logowanie za pomocą niepełnego hasła. Często stosują to banki. Podświetlone zostaje tylko kilka znaków hasła, które trzeba podać zamiast całego hasła. To też dobry patent na oszustów;
  • najnowsze wersje oprogramowań – bieżące aktualizowanie oprogramowań jest bardzo ważne, bo nowe wersje zawierają ulepszenia i poprawki, które likwidują luki, które w starszych wersjach oszuści mogą łatwo wykorzystać do włamania i przejęcia kontroli nad domeną i serwerem;

Co, jeśli sklep padnie ofiarą phishingu?

Od momentu, gdy dane klienta wpadną w ręce oszusta, liczy się czas. Liczy się każda minuta, więc nie ma co tracić czasu na zbędne ruchy i działania, które nic nie dadzą.

  • Zacząć należy przede wszystkim od zdiagnozowania oraz oszacowania skali wycieku danych oraz zapoznania się z fałszywymi materiałami – stroną, mailami, by znaleźć szczegóły odróżniające je od oryginalnych. Następnie trzeba dowiedzieć się, ilu klientów otrzymało już fałszywe wiadomości i ilu dało się nabrać.
  • Kolejny krok to kontakt z firmą hostingową oraz rozesłanie kopii fałszywej strony i wiadomości do klientów z wyjaśnieniem różnic i ostrzeżeniem. Można to zrobić nie tylko mailowo, ale również np. na posiadanym blogu, stronie czy w social mediach, a więc wszędzie, gdzie skupiają się klienci sklepu.
  • Warto też zgłosić sytuację do CERT, czyli polskiej organizacji funkcjonującej w strukturach NASK i zajmującej się wykrywaniem i reagowaniem na każde niebezpieczeństwo w internecie.

Jak wykryć fałszywą stronę lub mail?

  • W przypadku strony internetowej zaniepokoić powinien brak widocznej domeny lub jej niepoprawność językowa.
  • Należy zwrócić uwagę na to, czy jakiejś litery nie zastąpiono identycznym znakiem z innego alfabetu. Najczęściej do tego wykorzystywane są znaki z Cyrylicy, których wiele wygląda identycznie, jak nasze litery, choć oznaczają co innego.
  • Niepokojącym znakiem będzie też brak kłódki przed adresem strony. Trzeba też przyjrzeć się wyglądowi strony oraz sprawdzić zgodność certyfikatu i czy nazwa sklepu jest widoczna w jego szczegółach. Nie należy pomijać także sprawdzenia stopki.
  • W przypadku maila ważne są przede wszystkim dane nadawcy – nazwa i adres poczty oraz domeny. Opłaca się sprawdzić, czy link nie wygląda podejrzanie i strona pod tym linkiem. Ponadto należy zwrócić uwagę na wszelkie literówki i błędy, bo przecież sam ich nie popełniasz. Warto też sprawdzić, czy preheader, a więc zapowiedź wiadomości, temat, który powinien być zgodny z występującym w sklepie, a także cały layout wiadomości oraz tekst w stopce.

Phishing – podsumowanie

Ofiarą phishingu może paść każdy sklep internetowy, tak samo, jak każda firma, która cokolwiek sprzedaje i oferuje, gromadząc w bazach dane wielu klientów. Nie jest łatwo zapobiec takiemu atakowi, ale można zminimalizować jego ryzyko pewnymi działaniami. Pamiętajmy, by nie mylić phishingu z włamaniem. Włamanie odbywa się zwykle za plecami właściciela strony i dane są po prostu wykradane. Natomiast phishing to celowe działanie, które skłania właściciela strony do dobrowolnego podania danych umożliwiających dostęp do baz.  Warto pamiętać, że żadna instytucja ani osoba nie powinna o to prosić, a jak już ktoś żąda pieniędzy w zamian za to, że nie opublikuje danych, natychmiast sprawę trzeba zgłosić na policję.

Ochroną przed atakami, w tym również phishing może być odpowiednio zarządzana sieć firmowa sklepu i dobre łącze internetowe. Warto też wybierając dostawcę hostingu, upewnić się, że kontakt z nim w razie problemów nie będzie utrudniony. Korzystając z usług ITH i KRU.PL możesz mieć pewność bezpieczeństwa i możliwości kontaktu o każdej porze dnia. To profesjonalne usługi internetowe, dzięki czemu zagrożenie jakimikolwiek atakami będzie rzeczywiście minimalne. Oferta jest naprawdę atrakcyjna – w Kru.pl możesz skorzystać ze specjalnej oferty promocyjnej tylko do końca roku.