1
Osoby niepełnosprawne,
także niewidome, mogą za
pośrednictwem internetu fi-
nalizować transakcje, zlecać
płatności itd. Wśród niewi-
domych są nawet ludzie pro-
wadzący firmy. Czy osobę
niewidomą łatwiej wprowa-
dzić w błąd niż osobę w peł-
ni sprawną? Czy osoba nie-
pełnosprawna potrzebuje
pomocy innych, aby zapew-
nić sobie e-bezpieczeństwo?
Aby znaleźć odpowiedzi
na te pytania, konsultowałem
się z niewidomym Pawłem
Pluszczykiem z Fundacji
Widzialni. Do ciekawej sytu-
acji doszło, kiedy przesyła-
łem panu Pluszczykowi wy-
powiedzi do autoryzacji.
Okazało się, że niewidomy
dopatrzył się w tekście błę-
du składniowego, który ja
przeoczyłem. W ten sposób
na własnej skórze przekona-
łem się, że osoba niewidoma
z czytnikiem tekstu może
„widzieć” więcej niż osoba
widząca polegająca na zmy-
śle wzroku.
Wystarczy czytać
Jeśli osoba niewidoma de-
cyduje się na korzystanie
z bankowych e-usług, to
podstawowa zasada bezpie-
czeństwa jest dla niej taka
sama jak dla innych klientów
– trzeba uważnie czytać
umowy i regulaminy, z tym
że niewidomy zrobi to za po-
mocą czytnika ekranowego.
– Jeśli cokolwiek budzi na-
sze wątpliwości, wystarczy
kontakt telefoniczny z ob-
sługą klienta czy odpowied-
nim działem, aby wyjaśnić
wątpliwości. Tak zwany
drobny druk dotyczy nas
wszystkich – mówi Paweł
Pluszczyk, uśmiechając się,
i dodaje: – W tym wypadku
drobny druk to pewnego ro-
dzaju metafora odnosząca
się do faktu, że powinniśmy
się zapoznawać z całą umo-
wą czy regulaminem usług,
które nas interesują.
W odniesieniu do bezpie-
czeństwa konsumenta oso-
ba niewidoma może być na-
rażona na podobne niebez-
pieczeństwa jak osoba
w pełni sprawna i może się
przed nimi w podobny spo-
sób bronić. To nie wyczer-
puje jednak wszystkich pro-
blemów bezpieczeństwa
usług bankowych. Osoby
niewidome są przecież
użytkownikami kompute-
rów i z tym wiążą się dodat-
kowe zagrożenia.
W Polsce w powszechnym
użyciu są dwa programy
czytające – Jaws oraz Win-
dows Eyes. W sumie pracu-
je na nich ok. 90 proc. nie-
widomych użytkowników
komputerów. Są to programy
do środowiska Windows,
które samo w sobie jest dość
podatne na takie zagrożenia,
jak trojany, robaki i oprogra-
mowanie szpiegujące.
Aby chronić się przed ty-
mi zagrożeniami, użytkow-
nik musi po pierwsze dbać
o stan swojego oprogramo-
wania. Trzeba pobierać i in-
stalować aktualizacje wy-
dawane przez Microsoft
oraz producentów przeglą-
darek. Zapytany o tę spra-
wę Paweł Pluszczyk powie-
dział, że niewidomi mogą
w pełni samodzielnie aktu-
alizować swoje systemy
operacyjne i inne programy.
Drugi warunek bezpie-
czeństwa to dodatkowe za-
bezpieczenia, takie jak anty-
wirus i firewall. Również
nie jest to problem dla nie-
widomych.
Jest też trzeci element
– czujność użytkownika.
Trzeba unikać podejrza-
nych stron, nie klikać w lin-
ki zawarte w podejrzanych
e-mailach itd. To również
nie sprawia problemu oso-
bom niewidomym. Opro-
gramowanie asystujące dys-
ponuje alertami, które
ostrzegają przed takimi nie-
bezpieczeństwami, jak np.
niechciane przekierowania.
Nie oznacza to jednak, że
osoby niewidome lub inne
osoby niepełnosprawne nie
staną się specyficznym celem
cyberprzestępców. Wspomi-
naliśmy już, że banki robią
błąd, ignorując tysiące nie-
pełnosprawnych klientów.
Niestety internetowi prze-
stępcy mogą nie zrobić tego
błędu.
Atak na niewidomych
W roku 2008 badacz bez-
pieczeństwa Vanja Svajcer
z firmy Sophos zidentyfiko-
wał tzw. crack dla popular-
nego oprogramowania czyta-
jącego JAWS 9.0. Crack to
niewielkich rozmiarów pro-
gram, który – zainstalowa-
ny obok innych programów
– umożliwia przełamanie
ich zabezpieczeń i urucho-
mienie ich bez licencji.
Crack, na którego trop tra-
fił Svajcer, nie tylko umożli-
wiał uruchomienie pirackiej
wersji JAWS, ale także insta-
lował trojana atakującego
JAWS oraz inne popularne
czytniki. Szkodnik ten powo-
dował, iż komputer stawał
się bezużyteczny dla osoby
niewidomej. W ocenie Svaj-
cera twórcą trojana był do-
bry programista, który nie
kierował się motywami fi-
nansowymi. Nie ma jednak
wątpliwości, że celem ataku
byli niewidomi. Być może
autor trojana chciał ukarać
ich za korzystanie z nieauto-
ryzowanej kopii oprogramo-
wania, ale to tylko domysły.
Opisany wyżej atak był
bardzo nietypowy, być mo-
że jedyny w swoim rodzaju.
Specjaliści od bezpieczeń-
stwa przyznają jednak, że
teoretycznie możliwe są in-
ne ataki na niepełnospraw-
nych, np. oszukiwanie opro-
gramowania czytającego.
Teoretycznie możliwe jest
naprowadzenie czytnika na
przeczytanie tekstu innego
niż wyświetlany, co mogło-
by posłużyć do finansowych
cyberoszustw. Trzeba jednak
podkreślić, że to tylko ogól-
na koncepcja możliwego
ataku, a nie zagrożenie spo-
tykane w internecie.
Złe kolory, płaskie karty
Warto jeszcze wspomnieć
o tym, że ostrożność w sieci
powinny zachować osoby
z daltonizmem. Niektóre
aplikacje (np. przeglądar-
ki) wyświetlają ostrzeżenia
w kolorach żółtym, zielonym
i czerwonym. Dla większości
z nas są to kolory kontrasto-
we, ale daltoniści mogą ich
nie rozróżnić. Problem ten
dostrzegli m.in. twórcy do-
datku do przeglądarki Web
of Trust (WOT), który ostrze-
ga przed oszukańczymi witry-
nami. Stworzyli oni wersję
WOT z alternatywną kolory-
styką dostosowaną do po-
trzeb daltonistów.
Z problemem bezpieczeń-
stwa pośrednio związany
jest problem dostosowania
usług e-bankowości do po-
trzeb niepełnosprawnych.
Może bowiem dochodzić do
sytuacji, w których niewido-
my użytkownik zmuszony
jest skorzystać z nietypo-
wych rozwiązań.
Niektóre banki oferują
karty kodów jednorazo-
wych do autoryzowania
transakcji. Takie karty są
płaskie i właściwie dla osób
niewidomych są nieprzy-
datne. Czasem jednak oso-
by te decydują się na ko-
rzystanie z nich, prosząc
osobę zaufaną o pomoc
w przepisaniu haseł jedno-
razowych np. do notatnika
na komputerze.
Może się więc zdarzyć, że ha-
sła do autoryzacji znajdą się
w pliku na komputerze. Nie
można wykluczyć też naru-
szenia bezpieczeństwa ze
strony osoby zaufanej. Pro-
blemu takiego da się uniknąć,
jeśli bankowy serwis oferuje
kody jednorazowe przesyła-
ne SMS-em. Takie wiadomo-
ści osoba niewidoma może
odczytać samodzielnie za po-
mocą oprogramowania na te-
lefonie z Symbianem lub
Windows Mobile.
W ten sposób wracamy
do szerszego problemu, ja-
kim jest ogólne dostosowa-
nie usług bankowych do po-
trzeb osób niepełnospraw-
nych. Jeśli e-usługi będą
budowane od podstaw
z myślą o potrzebach nie-
pełnosprawnych, również
dbanie o bezpieczeństwo
będzie dużo łatwiejsze.
MARCIN MAJ
Strony internetowe większo-
ści polskich banków nie są do-
stępne dla osób niepełno-
sprawnych – wynika z testów
serwisu Widzialni.eu.
Z trzynastu stron przeba-
danych przez Widzialnych
jedynie dwie otrzymały oce-
ny dobre, a aż cztery oceny
niedostateczne. Kilka ban-
ków odniosło się do uzyska-
nych w raporcie wyników.
Rosnąca liczba sklepów,
a także coraz szerszy asor-
tyment towarów i usług do-
stępnych w internecie spra-
wiają, że dokonywanie zaku-
pów bez ruszania się sprzed
ekranu monitora zyskuje
szybko na popularności. Po-
nieważ jednak w tym wy-
padku nie mamy fizyczne-
go kontaktu z samym skle-
pem i jego pracownika-
mi, powinniśmy zachować
większą ostrożność. Co więc
zrobić, by sieciowe zakupy
nie okazały się jedynie stra-
tą pieniędzy i czasu?
Popularność zakupów w sie-
ci wykorzystują nie tylko
uczciwe osoby, ale także
rzesza przestępców, któ-
rych jedynym celem jest
wyłudzenie pieniędzy, da-
nych osobowych lub nume-
ru karty kredytowej. Wizy-
tę w każdym niesprawdzo-
nym wcześniej sklepie
powinniśmy zacząć od
zwrócenia uwagi na kilka
rzeczy.
Godny zaufania sklep inter-
netowy umieści w swoim ser-
wisie wszystkie dane dotyczą-
ce prowadzonej działalności
gospodarczej. Sprawdźmy
więc, czy są:
n
adres siedziby firmy,
n
numery REGON i NIP,
n
zasady zapłaty za zamó-
wienia,
n
koszty, terminy i sposoby
dostawy towarów/usług,
n
sposoby składania rekla-
macji,
n
dane kontaktowe.
Większość sklepów inter-
netowych będzie wymagać
od klienta założenia konta,
by możliwa była realizacja
zamówienia. Konieczne bę-
dzie podanie naszych da-
nych osobowych, numeru
telefonu i adresu poczty
elektronicznej, a także ad-
resu, pod który ma nastąpić
wysyłka. Zastanówmy się
przed podaniem sklepowi
większej ilości informacji
niż faktycznie potrzebne do
dokonania zakupu. Istnie-
je bowiem tendencja do te-
go, by zbierać jak najwięcej
informacji o swoich klien-
tach. Zazwyczaj w celach
marketingowych.
| cd. na str 4
F I N A N S E | Z A K U P Y | T E C H N O L O G I E
ekstra
w internecie
Bezpieczeństwo
niepełnosprawnych w sieci
OSOBY NIEPEŁNOSPRAWNE
korzystające z bankowości lub płatności online muszą uważać na te same elementy
co inni użytkownicy. Warto przy tym podkreślić, że o swoje bezpieczeństwo mogą dbać całkowicie samodzielnie
PROJEKT DOFINANSOWANY
ZE ŚRODKÓW
NARODOWEGO BANKU POLSKIEGO
DODATEK
PRZYGOTOWAŁA
REDAKCJA SERWISU
Bezpieczeństwo finansowe
NOWOCZESNE TECHNOLOGIE w życiu codziennym
Jak bezpiecznie robić zakupy w sieci
G
2
INTERNET
DGP
| 28 października 2010 | nr 211 (2842) |
WWW.GAZETAPRAWNA.PL
1
Niepełnosprawni mają problem z bankami
W testach stron banków
uczestniczyły osoby niepeł-
nosprawne z różnymi rodza-
jami dysfunkcji. Osoby nie-
widome pracowały z wyko-
rzystaniem programów
czytających, Window Eyes
i Jaws, osoby niedowidzące
– programów powiększają-
cych Lunar – natomiast oso-
by głuche sprawdzały ser-
wisy pod kątem zrozumienia
treści. Badania miały cha-
rakter jakościowy.
Wszyscy testujący mieli do
wykonania kilka zadań, do
których należało m.in. od-
nalezienie infolinii banku,
adresu placówki, aktual-
nych kursów walut. Spraw-
dzano również opisy tytu-
łów podstron, prawidłowe
opisanie linków i zastoso-
wanie nagłówków.
Najwięcej trudności spra-
wiały formularze logowania
do systemów bankowych,
w których pola były nieprawi-
dłowo opisane. Dużą trudno-
ścią dla osób niedowidzących
był niewystarczający kontrast
pomiędzy tłem serwisu a je-
go treścią. Pomimo zastoso-
wania dużego powiększenia
nie były one w stanie odna-
leźć wielu treści.
W ocenie niepełnospraw-
nych żaden z badanych
serwisów nie zasługiwał
na ocenę bardzo dobrą,
a jedynie dwa otrzymały
oceny dobre. Wśród nich
znalazły się ING Bank
i Alior Bank. Natomiast
oceny niedostateczne
otrzymały: Kredyt Bank,
Noble Bank, Citibank i Eu-
robank. Ranking banków
obecny jest na załączonym
obok obrazku.
Każdy z badanych serwi-
sów miał jakiś problem,
m.in. z:
n
poprawnymi opisami ty-
tułów podstron,
n
poprawnymi opisami na-
główków,
n
bezpośrednim czytaniem
przez program czytający
tekstu po kliknięciu na
link,
n
odpowiednim kontrastem
między tłem serwisu a je-
go treścią,
n
odpowiednio opisanymi
linkami,
n
opisaniem pola formula-
rzy,
n
jednolitością stylów czcio-
nek.
– Z przeprowadzonych
badań wynika, że najwięk-
sze problemy to słaby kon-
trast pomiędzy tłem serwi-
su a jego zawartością oraz
źle opisane pola formularzy.
Informacja jeszcze nie zo-
stała rozesłana do banków,
ale już wkrótce każdy z ba-
danych banków otrzyma
raport – mówi Artur Mar-
cinkowski, autor serwisu
Widzialni.
Dziennik Internautów po-
stanowił sprawdzić, jak na
wiadomość o rankingu za-
reagują przedstawiciele ba-
danych banków.
Ewa Szerszeń, zastępca
rzecznika prasowego ING
Banku Śląskiego, który zajął
pierwsze miejsce w rankin-
gu, stwierdziła, że tworząc
stronę banku, uwzględnio-
no również osoby niepełno-
sprawne.
– Staramy się, aby strony in-
formacyjne ING Banku Ślą-
skiego były dostępne dla
możliwie jak najszerszego
kręgu odbiorców, bez wzglę-
du na sposób, w jaki korzy-
stają internauci przegląda-
jący stronę – tłumaczy Ewa
Szerszeń.
Bank dostał ocenę 4, jest
to wynik dobry, ale nie naj-
wyższy możliwy. Przedsta-
wicielka ING zapewnia, że
bank nie spocznie na lau-
rach, tylko będzie na bieżą-
co poprawiać użyteczność
i dostępność stron zgodnie
STRONY INTERNETOWE
większości polskich banków nie są dostępne dla osób niepełnosprawnych – wynika z testów serwisu
przez Widzialnych stron jedynie dwie otrzymały oceny dobre, a aż cztery oceny niedostateczne. Kilka banków odniosło się
m
miie
ejjsscce
e
b
ba
an
nk
k
ssttrro
on
na
a
p
pk
ktt*
*
o
occe
en
na
a k
ko
oń
ńcco
ow
wa
a
1
ING Bank Śląski
www.ingbank.pl
20,3
dobra
2
Alior Bank
www.aliorbank.pk
18,3
dobra
3
Getin Bank
www.getinbank.pl
16,7
dostateczna
4
PKO BP
www.pkobp.pl
16
dostateczna
5
Lukas Bank
www.lukasbank.pl
15,7
dostateczna
6
MultiBank
www.multibank.pl
14,6
dostateczna
7
Bank BPH
www.bph.pl
14,3
dostateczna
8
Bank Pekao
www.pekao.com.pl
13
dostateczna
9
Millennium Bank
www.millenet.pl
12,5
dostateczna mniej
10
Kredyt Bank
www.kredytbank.pl
12,2
niedostateczna plus
11
Noble Bank
www.noblebank.pl
11,3
niedostateczna
12
Citi Handlowy
www.citibank.pl
11,2
niedostateczna
13
Eurobank
www.eurobank.pl
9,4
niedostateczna
*Banki mogły zdobyć do 24 pkt
Dostępność serwisów www wybranych banków dla niepełnosprawnych
ATAKI W SIECI Wyłudzanie danych przez internet
Phishing – jak go rozpoznać i jak się przed nim
Cyberprzestępców wyobraża-
my sobie zwykle jako ludzi do-
brze obeznanych z kompute-
rami. Okazuje się jednak, że
przeprowadzenie niektórych
ataków nie wymaga rozległej
wiedzy informatycznej.
Należy do nich także phi-
shing – najpopularniejsza
obecnie metoda wyłudzania
danych, takich jak numery
kont bankowych, identyfika-
tory używane podczas logo-
wania, hasła oraz kody jedno-
razowe służące do potwier-
dzania transakcji.Typowy
atak phishingowy składa się
z kilku kroków. Najpierw cy-
berprzestępca wybiera, kogo
zaatakuje – załóżmy, że będą
to klienci określonego banku.
Tworzona jest witryna przy-
pominająca oryginalną stro-
nę logowania do konta.
Wszystkie wprowadzone na
niej dane będą przekazywa-
ne cyberprzestępcy. Kolej-
nym krokiem jest rozpo-
wszechnienie odnośnika do
spreparowanej strony. Naj-
częściej używa się do tego ce-
lu poczty elektronicznej. Je-
żeli wiadomość będzie spra-
wiać wrażenie wiarygodnej,
jest szansa, że jej odbiorca
kliknie w zamieszczony w tre-
ści odnośnik i próbując się za-
logować się na podrobionej
stronie, przekaże dane dostę-
powe do swojego konta ata-
kującemu.
Czy to działa
Niestety tak, również na
polskim gruncie. W 2008 ro-
ku cyberprzestępcy obrali
sobie za cel klientów Banku
Zachodniego WBK. Pierwsza
z rozesłanych wiadomości
została napisana łamaną
polszczyzną (do jej stworze-
nia wykorzystano zapewne
translator). Niedbała opra-
wa graficzna i linki kierują-
ce do stron, których adresy
w
najmniejszym nawet
stopniu nie przypominały
adresu oryginalnego serwi-
su bankowego, wzbudziły
podejrzenia nawet u osób
nieświadomych zjawiska
phishingu. Niedługo po
tym incydencie internauci
otrzymali jednak drugą por-
cję fałszywej koresponden-
cji przygotowanej w dwóch
językach: angielskim i pol-
skim. Tym razem cyber-
przestępcy przyszykowali
się o wiele lepiej – wiado-
mość po polsku wyglądała
profesjonalnie i na pierw-
szy rzut oka niełatwo było
zwietrzyć podstęp (zob.
„Sprytniejszy atak na klien-
tów BZ WBK 24”).
Atak na BZ WBK powta-
rzany był kilkakrotnie, nie
oznacza to jednak, że klien-
ci innych banków działają-
cych na polskim rynku mo-
gą czuć się bezpiecznie.
Na początku 2010 roku
e-mailem rozesłano zachętę
do podania danych w celu
rzekomego odblokowania
konta prowadzonego przez
PKO BP. Wiadomości były
przygotowane dość nieudol-
nie, prawdopodobnie przy
użyciu automatycznego tłu-
macza, niewykluczone jed-
nak, że oszustom udało się
nabrać mniej świadomych
użytkowników sieci (zob.
„Klienci PKO BP na celow-
niku oszustów”). Miesiąc
później podobną akcję prze-
prowadzono w stosunku
do osób mających konto
w Lukas Banku (zob. „Cy-
berprzestępcy przymierzają
się do ataku na Lukas
Bank?”). Według Macieja
Ziarka, analityka polskiego
oddziału Kaspersky Lab, po-
sunięcia te należy traktować
jako wstępne „rozpoznanie
terenu” przez cyberprze-
stępców, w przyszłości spo-
dziewać się bardziej prze-
myślanych ataków.
Skala zjawiska
Przeglądając raporty doty-
czące krążącego w interne-
cie spamu, można nabrać
przekonania, że rozsyłanie
wiadomości phishingowych
nie jest powszechnych zja-
wiskiem. Ilość niechcianej
korespondencji w ruchu
pocztowym sięga obecnie
82,6 proc., ale odnośniki do
fałszywych stron interneto-
wych specjaliści wykryli tyl-
ko w 0,03 proc. e-maili (zob.
„Masowe wysyłki spamu
stają się coraz bardziej szko-
dliwe”).
Spójrzmy jednak na phi-
shing z nieco innej strony.
Eksperci z laboratorium
PandaLabs szacują, że co ty-
dzień w internecie pojawia
się 57 tys. nowych stron
podszywających się pod
około 375 rozpoznawalnych
marek z całego świata. Aż
64,72 proc. z nich udaje wi-
tryny różnych banków. Na
drugim miejscu z udziałem
sięgającym 26,81 proc. pla-
sują się podrobione strony
sklepów internetowych. Od-
nośniki do nich cyberprze-
stępcy rozsyłają przy użyciu
poczty elektronicznej, pu-
blikują w serwisach społecz-
nościowych, takich jak Face-
book czy Twitter, a także
pozycjonują za pomocą
technik Black Hat SEO
w wynikach wyszukiwania,
mając nadzieję, że nieostroż-
ni użytkownicy przez po-
myłkę je odwiedzą (zob. „Co
tydzień przybywa 57 tys.
złośliwych stron interneto-
wych”). Ta ostatnia metoda
zaczyna wypierać rozpo-
wszechnianie odnośników
do sfałszowanych stron za
pomocą e-maili.
Tabnabbing
Na uwagę zasługuje także
opracowana pod koniec
maja metoda wyłudzania
poufnych danych wykorzy-
stująca system przegląda-
nia kart w nowoczesnych
przeglądarkach.
Przede wszystkim cyber-
przestępca musi zwabić
użytkownika na zainfeko-
waną stronę.
Może do tego celu użyć
aktualnych, budzących po-
wszechne zainteresowanie
tematów. Jeżeli użytkownik
po zapoznaniu się z cieka-
wiącymi go informacjami
przejdzie do innej karty
przeglądarki, nie zamyka-
jąc podstawionej strony, to
zaimplementowany na niej
skrypt podmieni jej zawar-
tość. Osoba korzystająca
z wielu kart jednocześnie
może tej podmiany w ogó-
le nie zauważyć. Wchodząc
ponownie na spreparowaną
stronę, zobaczy np. panel
logowania do bankowego
konta.
Adres strony nie zmieni
się, ale uwzględniając fakt,
że internauci większą uwa-
gę zwracają na wygląd stro-
ny i opis karty, można ocze-
kiwać, że wielu nabierze się
na taki trick.
Dane wprowadzone na
podrobionej stronie trafią
oczywiście do jej twórcy,
a
użytkownik zostanie
przekierowany na oryginal-
ną witrynę (zob. „Nowy
sposób na phishing – najbar-
dziej zagrożeni użytkowni-
cy Firefoksa”).
Zamknięta kłódka
Podczas logowania się na
konto bankowe należy
przede wszystkim spraw-
dzić, czy połączenie jest
szyfrowane – adres strony
będzie się wówczas zaczy-
nać od https://, a nie http://.
Zobaczymy też charaktery-
styczny symbol zamkniętej
kłódki (w zależności od
przeglądarki – w prawym
dolnym rogu na pasku sta-
nu albo w górnej części
ekranu obok adresu). To
jednak nie wystarczy. We-
dług ekspertów z firmy Sy-
mantec rośnie bowiem licz-
ba ataków phishingowych
z wykorzystaniem orygi-
nalnych certyfikatów SSL
O edukacji ekonomicznej czytaj na nbportal.pl
G
3
INTERNET
DGP
| 28 października 2010 | nr 211 (2842) |
WWW.GAZETAPRAWNA.PL
1
online
Jak zabezpieczyć
serwis sprzedażowy
Widzialni.eu. Z trzynastu przebadanych
do uzyskanych w raporcie wyników
WITRYNA E-SKLEPU
musi być zabezpieczona. Trzeba uchronić dane,
które klienci będą przesyłać, przed trafieniem w niepowołane ręce
z obowiązującymi standar-
dami i konwencjami.
– Jako że oprogramowanie
wspierające nawigację po
stronach dla osób niewido-
mych tworzone jest z myślą
o obowiązujących standar-
dach, wierzymy, że taki spo-
sób rozwoju naszych stron
znacznie poprawi dostępność
serwisów dla każdego inter-
nauty – w tym także dla oso-
by niewidomej – mówi Ewa
Szerszeń. Dodaje, że znając
wyniki badań, ING jest w sta-
nie poprawić wskazane przez
niewidomych usterki, oczywi-
ście jeśli implementacja tego
rodzaju rozwiązań nie wpły-
nie negatywnie na bezpie-
czeństwo i jakość stosowa-
nych rozwiązań.
Anna Szlanta z zespołu ko-
munikacji zewnętrznej Kre-
dyt Banku w e-mailu prze-
słanym do Dziennika Inter-
nautów tak odniosła się do
niedostatecznej oceny przy-
znanej tej instytucji:
– Mamy pełną świado-
mość niedoskonałości ser-
wisu internetowego Kredyt
Banku, w szczególności
pod względem dostępności
treści dla osób niewido-
mych. Jesteśmy w trakcie
prac nad nowym serwisem
dostosowanym również do
potrzeb osób niepełno-
sprawnych. W pracach nad
nowym serwisem duży na-
cisk stawiamy na popra-
wienie dostępności serwi-
su, uproszczenie i ułatwie-
nie nawigacji, poprawienie
architektury informacji
– skrócenie drogi dotarcia do
szukanych informacji oraz
właściwy dobór kolorów
i możliwość regulowania
rozmiaru czcionki przez
użytkownika strony”.
Joanna Fatek z Noble Ban-
ku również obiecała popra-
wę funkcjonowania serwisu,
o ile zajdzie taka koniecz-
ność wynikająca z wyraź-
nych próśb osób niepełno-
sprawnych.
– Zdajemy sobie sprawę, że
dostępność banku dla klien-
tów niepełnosprawnych nie
jest zadowalająca. Jednak nie
zaobserwowaliśmy sygna-
łów od klientów, że nasza
strona powinna być popra-
wiona.Gdyby takie sygnały
były, strona zostałaby dosto-
sowana do potrzeb niepeł-
nosprawnych – mówi.
Podsumowanie testu
dostępności serwisów
WWW wybranych banków
z marca 2009 r., źródło:
Widzialni.eu.
MARCIN MAJ
chronić
na sfałszowanych witry-
nach. Cyberprzestępcy sta-
rają się w ten sposób nadać
podrobionym stronom au-
tentyczny charakter.
Aby to osiągnąć, włamują
się na serwer legalnie dzia-
łającej firmy i używają go do
opublikowania własnej wi-
tryny. Zazwyczaj przypo-
mina ona stronę logowania
konkretnego banku, w rze-
czywistości nie łączy się
jednak z jego autentycznym
serwerem i certyfikatem.
Korzysta natomiast z certy-
fikatu przechwyconego
wcześniej serwera legalnej
firmy, dzięki czemu na
ekranie wyświetla się sym-
bol zamkniętej kłódki in-
formujący o szyfrowaniu
połączenia (zob. Phishing
z użyciem autentycznych
certyfikatów SSL). Dlatego
przed zalogowaniem się na
swoje konto bankowe nale-
ży zawsze zweryfikować
ważność certyfikatu oraz
to, czy został on wystawio-
ny dla danego adresu.
Inne sposoby
Warto pamiętać, że banki
nie wysyłają swoim klien-
tom e-maili z prośbą o po-
danie poufnych informacji,
takich jak identyfikatory
i hasła używane podczas lo-
gowania, numery kont ban-
kowych i kart kredyto-
wych, PIN-y czy jakiekol-
wiek dane identyfikacyjne.
Korzystają z poczty elektro-
nicznej tylko w celach in-
formacyjnych – po wcze-
śniejszym wyrażeniu zgo-
dy przez klienta przesyłają
mu np. miesięczne wycią-
gi z konta czy informacje
o nowościach wprowadzo-
nych w ofercie. Nie umiesz-
czają też w swoich wiado-
mościach odnośników po-
zwalających na
zalogowanie się do syste-
mu transakcyjnego. E-m-
aile, które nie spełniają
tych reguł, należy ignoro-
wać.
Ważne jest również korzy-
stanie z regularnie aktuali-
zowanego programu antywi-
rusowego. Niektóre pakie-
ty zostały wyposażone
w moduły antyphishingo-
we, które sprawdzają, czy
odwiedzane przez użyt-
kownika strony nie zostały
zgłoszone do specjalnego
rejestru witryn wyłudzają-
cych dane. Jeśli nie dyspo-
nujemy takim rozwiąza-
niem, warto sprawdzić, co
ma do zaoferowania uży-
wana przez nas przeglądar-
ka. Producenci większości
z nich zaopatrzyli już swo-
je aplikacje w dodatki słu-
żące do rozpoznawania,
a nawet blokowania podro-
bionych stron. Nie zawadzi
też systematyczne aktuali-
zowanie systemu operacyj-
nego i zainstalowanego na
nim oprogramowania, cy-
berprzestępcy starają się
bowiem wykorzystać każ-
dą niezałataną lukę.
ANNA WASILEWSKA-ŚPIOCH
Przystępując do tworzenia
witryny swojego e-sklepu
lub zlecając to komukol-
wiek, sprzedawca nie może
zaniedbać kwestii bezpie-
czeństwa. Błędy popełnione
na etapie planowania bywa-
ją bardzo trudne do usunię-
cia w przyszłości. W wyni-
ku niewłaściwego zabezpie-
czenia serwisu może dojść
nie tylko do spadku zado-
wolenia klientów, lecz tak-
że do strat finansowych po-
wstałych na skutek kradzie-
ży. Przygotowaliśmy krótki
przewodnik, na co trzeba
zwrócić uwagę w pierwszej
kolejności.
Czy stosować szyfrowanie
Dane wprowadzone przez
użytkownika do formularza
są przesyłane przez sieć, mi-
jają wiele routerów i serwe-
rów, zanim dotrą do miej-
sca przeznaczenia. Z regu-
ły urządzenia te tylko
monitorują zajętość pasma,
jeśli jednak cyberprzestęp-
ca zdobędzie kontrolę nad
jednym z nich, to będzie
mógł śledzić wszystkie
przesyłki. Istnieją narzędzia
nazywane snifferami, które
służą do przechwytywania
transmisji danych. Z ich po-
mocą osoby postronne mo-
gą uzyskać dostęp do infor-
macji niekiedy tak pouf-
nych jak hasła. Aby
ograniczyć możliwość ata-
ku, warto wykorzystywać
transmisję szyfrowaną, gdyż
jej przechwycenie nie grozi
odczytaniem. W bankowo-
ści internetowej i handlu
elektronicznym powszech-
nie stosuje się bezpieczne
połączenia internetowe (zob.
„W trosce o bezpieczeństwo,
czyli do czego służy SSL”
– http://di.com.pl/porady/
28175.html).
Przesyłane dane właściciel
sklepu internetowego może
zaszyfrować za pomocą pro-
tokołu SSL (ang. Secure
Sockets Layer) lub jego roz-
winięcia TLS (ang. Trans-
port Layer Security). Aby to
zrobić, musi najpierw wyge-
nerować klucz prywatny
swojego hosta i żądanie cer-
tyfikatu (ang. Certificate Si-
gning Request, w skrócie
CSR). W celu wprowadzenia
szyfrowanych połączeń
można się posłużyć darmo-
wym, multiplatformowym
narzędziem OpenSSL. CSR
należy wysłać do zaufanego
centrum certyfikacji, które
wystawi certyfikat potwier-
dzający autentyczność zgło-
szonej witryny.
Istnieje wprawdzie możli-
wość samodzielnego wyge-
nerowania certyfikatu (rów-
nież przy użyciu OpenSSL),
nie jest to jednak zaleca-
ne. W przeciwieństwie do
certyfikatów podpisanych
przez znane i przeważnie
zagraniczne podmioty nie
będzie on obecny w popu-
larnych przeglądarkach.
Spowoduje to wyświetlanie
się komunikatu o niezaufa-
nym połączeniu podczas
odwiedzin na zabezpieczo-
nej w ten sposób stronie.
Raczej nie wzbudzi to za-
ufania klientów. W Polsce
w 2010 r. było 5 kwalifiko-
wanych podmiotów świad-
czących usługi certyfika-
cyjne.
Jednym z często popełnia-
nych błędów jest przechowy-
wanie haseł w postaci jaw-
nej, ewentualna kradzież
bazy danych może bowiem
w takim przypadku przy-
sporzyć użytkownikom
wiele kłopotów. Aby zmi-
nimalizować ryzyko, nale-
ży stosować program, któ-
ry korzysta z funkcji has-
hującej. Podany przez użyt-
kownika ciąg znaków jed-
noznacznie odwzorowywa-
ny jest na klucz o stałej
długości. Do najczęściej
używanych algorytmów na-
leżał SHA-1 (ang. Secure
Hash Algorithm). Innego al-
gorytmu MD5 (ang. Messa-
ge Digest 5) nie uznaje się
obecnie za bezpieczny i nie
jest on zalecany. Od 2010 r.
amerykański National Insti-
tute of Standards and Tech-
nology zaleca stosowanie
funkcji skrótów SHA-2.
System, aby podjąć decyzję,
czy wpuścić użytkownika
do środka, generuje hash ha-
sła wpisanego w formularz
logowania i porównuje z za-
pamiętanym w bazie. Jeśli
skróty są identyczne, udzie-
la dostępu. Ponieważ algo-
rytm jest jednoznaczny, ta-
kie samo hasło generuje za-
wsze taki sam hash. To
natomiast, że funkcje skró-
tu są jednostronne (nie ist-
nieje funkcja odwrotna),
gwarantuje, że na podstawie
skrótu nie da się algoryt-
micznie odtworzyć hasła. Tu
właśnie rodzi się nasze bez-
pieczeństwo – tłumaczy Mi-
chał Piszczek, kierownik
działu programistów w firmie
ESC S.A. (zob. „Hasho-
wanie haseł użytkowników
– czy to konieczne?” – http://
di.com.pl/news/28895.html).
Przestępcy łamią hasła
Cyberprzestępcy dążą
oczywiście do opracowania
metod umożliwiających
złamanie zahashowanych
haseł.
Proces ten można utrud-
nić, stosując tzw. salt –
przed przekształceniem
każdego hasła należy dokle-
ić do niego np. 100-znako-
wy ciąg definiowany w ko-
dzie źródłowym. Spowodu-
je to, że moc przechowywa-
nych w bazie haseł wzro-
śnie do tego stopnia, że sta-
ną się one praktycznie nie-
podatne na atak.
Ograniczone zaufanie
Specjaliści ds. bezpieczeń-
stwa zalecają nieufanie żad-
nym danym, które użytkow-
nik może wprowadzić przy
użyciu niezabezpieczonego
formularza. Jednym z naj-
popularniejszych ataków,
przed którym nie ustrzegły
się nawet znane instytucje,
jest XSS (ang. cross-site
scripting), czyli zagnieżdża-
nie złośliwego kodu w ory-
ginalnej treści witryny. Z je-
go pomocą można przekie-
rować użytkownika na
spreparowaną stronę, zain-
stalować w jego systemie
konia trojańskiego, ukraść
poufne dane przechowywa-
ne w plikach cookies lub
sfałszować zawartość orygi-
nalnego serwisu (zob. „Co
może grozić za atak XSS” –
http://di.com.pl/news/28023.
html).
Kontrola danych
Chcąc tego uniknąć, trze-
ba stosować filtrowanie tre-
ści generowanych przez
klientów, zwłaszcza pod ką-
tem znaczników HTML.
Warto sprawdzać, czy wpro-
wadzone dane odpowiada-
ją formatowi, którego ocze-
kiwaliśmy (np. numery te-
lefonów składają się z cyfr,
wpisanie czegoś innego po-
winno skutkować wyświe-
tleniem komunikatu o błę-
dzie).
Pozwoli to uchronić się
także przed inną metodą
ataku, znaną jako SQL Injec-
tion. Dzięki umiejętnej mo-
dyfikacji zapytania SQL
cyberprzestępca może uzy-
skać nieautoryzowany do-
stęp do bazy danych, pobrać
interesujące go informacje,
dodać swoje, zmienić struk-
turę bazy czy nawet ją usu-
nąć. Podstawową linią obro-
ny przeciwko takim atakom
jest kontrola danych prze-
kazywanych za pomocą for-
mularzy połączona z odpo-
wiednią konfiguracją środo-
wiska bazodanowego.
Warto też pamiętać o ata-
kach CSRF (ang. cross-site
request forgery), które pole-
gają na zmuszeniu nic nie-
podejrzewającego użytkow-
nika do wykonania określo-
nej akcji w czasie trwania
uwierzytelnionej sesji, np.
umieszczenia w swoim ko-
szyku określonego produk-
tu z oferty sklepu. Istnieje
wiele metod utrudniających
przeprowadzanie takich ata-
ków. Jedną z najpopularniej-
szych jest dodatkowa auto-
ryzacja w przypadku działań,
które mogłyby mieć niepo-
żądane skutki. Innym, rów-
nie popularnym sposobem
obrony jest dodanie do for-
mularza ukrytego pola za-
wierającego indywidualny
identyfikator wykonywanej
operacji, który będzie gene-
rowany po stronie serwera.
Każda akcja niemająca po-
prawnego identyfikatora
musi zostać odrzucona.
Spośród technologii służą-
cych do tworzenia dyna-
micznych stron interneto-
wych największą popular-
nością cieszy się w naszym
kraju PHP. Ma to zapewne
związek z bezproblemową
dostępnością usług hostin-
gowych wspierających to
rozwiązanie. Powstają jed-
nak firmy hostujące serwi-
sy opracowane przy użyciu
ASP.NET i JSP. Którąkol-
wiek technologię byśmy
wybrali, powinniśmy pa-
miętać o regularnej aktuali-
zacji użytego oprogramowa-
nia, cyberprzestępcy stara-
ją się bowiem wykorzystać
każdą znalezioną lukę do
swoich celów.
Dotyczy to również osób,
które zdecydują się zbudo-
wać swój sklep w oparciu
o jeden z dostępnych na
rynku systemów zarządza-
nia treścią (ang. Content Ma-
nagement System, CMS).
O tym, jak ważne jest na-
tychmiastowe instalowanie
łatek bezpieczeństwa, prze-
konali się w 2008 roku użyt-
kownicy systemu Joomla!.
Przez polską sieć przetoczy-
ła się wówczas fala ataków
zainicjowana przez turec-
kich script kiddies – domo-
rosłych hakerów uzbrojo-
nych w gotowe narzędzia
do łamania zabezpieczeń
(zob. „Luki w Joomla! ak-
tywnie wykorzystywane” –
http://di.com.pl/news/23483.
html).
Równie ważna jest po-
prawna konfiguracja wyko-
rzystanego oprogramowa-
nia, co sprowadza się często
do zmiany ustawień do-
myślnych. Łatwe do odgad-
nięcia hasło administratora,
możliwość zarządzania ba-
zą danych z każdego kom-
putera, anonimowy dostęp
do serwera FTP – to typowe
błędy, których przeoczenie
może się okazać katastrofal-
ne w skutkach. Nie należy
też zapominać o gruntow-
nym przetestowaniu serwi-
su i to nie bezpośrednio
przed jego udostępnieniem,
ale na różnych etapach po-
wstawania. Warto nie od-
kładać tego na ostatnią
chwilę. Im później zostanie
wykryty błąd, tym wyż-
sze mogą być koszty jego na-
prawy.
MICHAŁ CHUDZIŃSKI
G
4
INTERNET
DGP
| 28 października 2010 | nr 211 (2842) |
WWW.GAZETAPRAWNA.PL
1
ATAKI W SIECI Nowe sposoby działania cyberprzestępców
Pharming – na czym polega i jak się przed nim zabezpieczyć
Zapraszamy na webinarium poświęcone tematyce Bezpieczeństwo Finansowe w Internecie
- szczegóły oraz dokładny termin na stronie – http://bfi.di.com.pl
Łatwe do przeprowadzenia
ataki takie jak phishing moż-
na równie łatwo wykryć. Wy-
starczy odpowiednia eduka-
cja klientów, której banki sta-
rają się nie zaniedbywać.
Motywuje to cyberprzestęp-
ców do obmyślania bardziej
skomplikowanych metod wy-
łudzania poufnych danych.
Jedną z nich jest pharming,
nazywany też zatruwaniem
pamięci DNS (ang. DNS ca-
che poisoning).
Aby przekierować inter-
nautę np. na sfałszowaną
stronę logowania do konta
bankowego, cyberprzestęp-
cy nie muszą wysyłać mu
żadnych wiadomości. Wy-
starczy, że zmienią adresy
DNS na komputerze lub ser-
werze ofiary. Podstawowym
zadaniem systemu nazw do-
menowych jest przekształ-
canie adresów stron znanych
internautom na adresy zro-
zumiałe dla urządzeń two-
rzących sieć komputerową.
Załóżmy, że użytkownik
chce odwiedzić witrynę ban-
ku, z którego usług korzysta.
W pasku adresu przeglądar-
ki wpisze www.mojbank.pl.
DNS zamieni tę nazwę na
odpowiadający jej adres
IP mający postać np.
147.89.37.122 (zob. „Jak
to działa? Czyli więcej o sys-
temie DNS” – http://
di.com.pl/porady/25984.
html).
Aby przyspieszyć wymia-
nę danych, wykorzystuje się
pamięć podręczną (ang. ca-
che). Są w niej zapisywane
odpowiedzi DNS dla odwie-
dzonych wcześniej witryn.
Jeżeli cyberprzestępca zmo-
dyfikuje te zapisy (zamiast
147.89.37.122 wprowadzi
adres IP podrobionej strony,
np. 205.35.67.153), to po
wpisaniu przez użytkowni-
ka adresu www.mojbank.pl
system nazw domenowych
przekieruje go na spreparo-
waną witrynę. Cyberprze-
stępca dołoży oczywiście
starań, żeby na pierwszy
rzut oka nie różniła się ona
od oryginalnej strony ban-
ku. Użytkownik nie zorien-
tuje się wówczas, że został
oszukany. Jeżeli zaloguje się
na takiej stronie, wprowa-
dzone przez niego dane
(przede wszystkim identyfi-
kator i hasło) trafią w ręce
oszusta.
Strategie ataku
Istnieje kilka sposobów za-
truwania pamięci DNS. Naj-
bardziej rozpowszechniony
polega na zarażeniu syste-
mu ofiary odpowiednim ko-
niem trojańskim. Kreatyw-
ność twórców szkodliwego
oprogramowania zdaje się nie
mieć granic – specjaliści z fir-
my McAfee obliczyli, że co-
dziennie pojawia się około 55
tys. nowych złośliwych apli-
kacji (zob. „McAfee: Ilość spa-
mu ustabilizowała się, szkod-
niki nadal się mnożą” –
http://di.com.pl/news/33151.h
tml). Nie brakuje wśród nich
szkodników storzonych w ce-
lu modyfikowania ustawień
DNS na zainfekowanym
komputerze użytkownika.
W wyniku ich działania
zmianie ulega mapowanie
nazw domen do konkretnych
adresów IP. Użytkownik, jak
w zaprezentowanym wyżej
przykładzie, po wpisaniu ad-
resu swojego banku może
znaleźć się na stronie, któ-
ra będzie wierną kopią ory-
ginalnej witryny. Zalogowa-
nie się na niej będzie skut-
kować kradzieżą realnych
środków zgromadzonych na
jego koncie.
Inną metodą, nazywaną
drive-by pharming, jest za-
gnieżdżanie w kodzie two-
rzonych przez cyberprze-
stępców stron skryptów pi-
sanych w języku JavaScript.
Odnośniki do tych witryn są
publikowane w serwisach
społecznościowych, takich
jak Facebook czy Twitter.
Oszuści starają się też wypo-
zycjonować je w wynikach
wyszukiwania, używając do
tego celu aktualnych, wzbu-
dzających zainteresowanie
tematów. Jeżeli internauta
nabierze się i odwiedzi któ-
rąś z nich, zaimplemento-
wany na stronie skrypt
zmieni ustawienia DNS na
jego routerze lub w punkcie
dostępu bezprzewodowego.
Może do tego dojść, jeśli ro-
uter nie będzie chroniony
hasłem albo hasło okaże się
łatwe do odgadnięcia (zob.
„Uwaga na nowy rodzaj ata-
ku: drive-by pharming” –
http://di.com.pl/news/15883.
html).
Stosunkowo najtrudniej
jest zatruć pamięć podręcz-
ną na serwerze dostawcy in-
ternetu. Podobnie jak kom-
putery użytkowników indy-
widualnych zapisuje on
w niej żądania DNS. Jeżeli
cyberprzestępcy uda się je
sfałszować, to przez pewien
czas (nieprzekraczający
zwykle kilku godzin) użyt-
kownicy, którzy wpiszą
w przeglądarce adres obra-
nego za cel banku, będą
przekierowywani na podro-
bioną stronę. Umożliwi to
pozyskanie dużej ilości po-
ufnych danych za jednym
zamachem. Na tego typu
ataki narażeni są usługo-
dawcy, którzy niesystema-
tycznie aktualizują oprogra-
mowanie zainstalowane na
używanych urządzeniach.
Przykładowo w 2008 roku
odkryto poważną lukę
w protokole DNS. Według
ekspertów, sfałszowanie
jednego cache’a z jej wyko-
rzystaniem zajmuje tylko 10
sekund (zob. „Dwa exploity
na lukę w DNS gotowe” –
http://di.com.pl/news/22508.
html).
Sposoby obrony
Przede wszystkim warto
korzystać z usług zaufane-
go dostawcy internetu –
stosowane przez niego za-
bezpieczenia są pierwszą
linią obrony przed phar-
mingiem. Nie należy też sa-
memu zaniedbywać regu-
larnego aktualizowania
programu antywirusowego
i zapory ogniowej (firewal-
la), które utrudnią koniom
trojańskim przeniknięcie
do komputera. Kolejnym
krokiem jest włączenie au-
tomatycznych aktualizacji
systemu Windows, nieza-
łatane dziury są bowiem
często wykorzystywaną
drogą infekcji. Nie należy
również zapominać o uak-
tualnianiu przeglądarki
i zainstalowanych w niej
wtyczek (w szczególności
Flasha i Javy – ich przesta-
rzałe wersje są szczególnie
podatne na ataki).
Nie mniej ważne jest upew-
nienie się, czy nasz router
jest chroniony unikalnym,
silnym hasłem (zob. „Jak
tworzyć silne hasła” –
http://di.com.pl/news/28165.
html). Większość routerów
jest dostarczana z domyśl-
nym hasłem administratora
łatwym do odgadnięcia dla
cyberprzestępcy.
Przed zalogowaniem się do
swojego konta bankowego
należy się upewnić, że w pra-
wym dolnym rogu na pasku
stanu albo w górnej części
ekranu obok adresu widnie-
je symbol zamkniętej kłódki,
a adres strony zaczyna się od
https://, a nie http://. Podej-
rzane będzie żądanie jedno-
razowych haseł już przy lo-
gowaniu. Należy zachować
szczególną ostrożność, jeśli
witryna wygląda inaczej niż
zwykle. Za każdym razem
warto zweryfikować jej cer-
tyfikat bezpieczeństwa (wy-
starczy podwójne kliknięcie
na symbol kłódki). Spraw-
dzić należy ważność certyfi-
katu oraz to, czy został on
wystawiony na oryginalnego
operatora danej strony.
Dobrym pomysłem może
być także logowanie się do
bankowego konta przy uży-
ciu specjalnej płyty CD/DVD
z zainstalowanym na niej
systemem operacyjnym.
W internecie znajdziemy
kilka darmowych dystrybu-
cji Live CD opartych na śro-
dowisku Linux. Korzystają
one tylko z pamięci tymcza-
sowej komputera, a nie
z dysku twardego. Dzięki te-
mu nawet najbardziej zain-
fekowany komputer staje się
czysty na czas urochomienia
alternatywnego systemu
(zob. „Bezpieczniejsza e-ba-
nkowość z Linuksem na Li-
veCD” – http://di.com.pl/
news/29119.html).
ANNA WASILEWSKA-ŚPIOCH
Jeśli mamy wątpliwości co do
wiarygodności danego skle-
pu, powinniśmy wykonać pa-
rę innych czynności spraw-
dzających – zadzwonić pod
podany na stronie numer te-
lefonu, popytać znajomych,
poszukać w internecie opinii.
Mając NIP lub REGON,
możemy z łatwością na stro-
nie Głównego Urzędu Staty-
stycznego (www.stat.gov.pl)
sprawdzić, czy dana firma
faktycznie istnieje, a jej
działalność znajduje odbi-
cie w oficjalnym wpisie. Je-
śli cokolwiek dalej nie będzie
się zgadzać, należy rozwa-
żyć opuszczenie sklepu
i poszukanie innego.
SSL i antywirus
Warto także zwrócić uwa-
gę, czy sklep korzysta z cer-
tyfikatów zapewniających
bezpieczeństwo przesyła-
nia i przechowywania da-
nych. Najpopularniejszym
jest certyfikat SSL szyfrują-
cy transmitowane dane. Je-
go obecność poznamy
po kłódce w oknie przeglą-
darki.
Warto także sprawdzić, jak
wygląda możliwość skaso-
wania konta. Pamiętajmy,
że nie zawsze oznacza to
także jednoczesne usunięcie
naszych danych osobo-
wych z bazy danych sklepu.
Jeśli nie chcemy dostawać
niechcianej koresponden-
cji, konieczna może być
osobna prośba o ich skaso-
wanie.
Nie wolno także zapomi-
nać o oprogramowaniu an-
tywirusowym, które kontro-
lować będzie, co i komu wy-
syła nasz komputer, a także
jakie dane są pobierane na
twardy dysk. Może się bo-
wiem zdarzyć, że podczas
wizyty w sklepie interneto-
wym otrzymamy wirusa,
który może wykraść ważne
dane, które mamy zapisane.
Jak płacić
Wiele osób najbardziej
obawia się momentu doko-
nania płatności. Dla osób
nieufnych najbardziej od-
powiednią formą płatności
może być przekazanie pie-
niędzy w momencie odbio-
ru przesyłki. Nierzadko jed-
nak ta forma płatności jest
droższa. Ważne jest także,
czy sklep pobiera płatność
bezpośrednio, czy też wy-
korzystuje w tym celu ze-
wnętrzne wyspecjalizowa-
ne firmy.
W
przypadku dużych
i znanych sklepów nie po-
winno to mieć aż takiego
znaczenia jak w przypad-
ku mniejszych. Wtedy lep-
szym rozwiązaniem jest
skorzystanie z płatności po-
przez zewnętrzny serwis.
Wtedy sklep nie będzie
miał dostępu do numeru
naszego konta bankowego
lub karty płatniczej. Każda
płatność powinna się odby-
wać przy wykorzystaniu za-
bezpieczonego łącza – adres
strony powinien zaczynać
się od https://. Wtedy bę-
dziemy mieli pewność, że
nikt nieuprawniony nie po-
zna naszych danych.
Dobrym rozwiązaniem
może być także zaopatrze-
nie się w specjalną kartę
płatniczą służącą jedynie
do płatności w internecie.
W ofercie ma ją kilka ban-
ków. Działa ona na zasadzie
karty prepaid – zasilamy ją
tylko odpowiednią kwotą
potrzebną do zrealizowania
zamówienia. Nawet jeśli jej
pełne dane dostaną się
w niepowołane ręce, zło-
dziej nie uzyska dostępu do
naszego konta bankowego
i znajdujących się tam pie-
niędzy.
Nie dajmy się także
zwieść niezwykle atrakcyj-
nym cenom, które sklep
oferuje.
Okazjonalne promocje na
część artykułów są jak naj-
bardziej normalne. Jednak
mocno przeceniony cały
asortyment powinien nam
dać do myślenia. Warto
wtedy sprawdzić ceny
w innych sklepach, wcho-
dząc bezpośrednio na ich
strony, bądź skorzystać
z jednej z kilku dostępnych
porównywarek cen. Podję-
cie decyzji na bazie impul-
su może nas bowiem sporo
kosztować, zwłaszcza jeśli
dokonamy płatności z góry.
Przeczytaj regulamin
Czytanie regulaminów za-
kupów, mimo że nudne i nie-
rzadko czasochłonne, jest
jednak wskazane. Może nam
pozwolić ustrzec się przed
niemiłymi niespodziankami.
Znajdują się tam bowiem za-
pisy mówiące o ochronie na-
szych danych, możliwości
ich dalszego przetwarzania
lub przekazywania stronom
trzecim informacji o rekla-
macjach czy ewentualnych
zwrotach za niezrealizowane
zamówienia.
Kupując w sieci, mamy
także prawo do zwrotu za-
kupionego towaru w prze-
ciągu 10 dni od daty jego do-
starczenia bez podawania
przyczyn oraz bez jakich-
kolwiek konsekwencji. Nie
może on jednak być rozpa-
kowany lub nosić znamion
korzystania. Termin reali-
zacji zamówienia nie może
przekroczyć 30 dni.
Kupujemy towar na aukcji
Dokonywanie zakupów
w serwisach aukcyjnych tyl-
ko trochę różni się od kupo-
wania w e-sklepach. Mamy
tutaj do czynienia z dwoma
kategoriami sprzedających
– osobami prywatnymi oraz
prowadzącymi działalność
gospodarczą. W przypadku
tych drugich zasady postę-
powania są identyczne, jak
w sytuacji robienia zakupów
w samodzielnym sklepie.
Nierzadko jest tak, że plat-
forma aukcyjna jest po pro-
stu kolejnym kanałem sprze-
daży tradycyjnego bądź
elektronicznego sklepu.
Warto więc sprawdzić, czy
taki sklep istnieje także po-
za serwisem aukcyjnym.
Platformy aukcyjne mają tę
przewagę nad samodzielnie
działającymi sklepami, że
zapewniają większy obiekty-
wizm. Każdy klient, który
dokonał zakupu, ma bo-
wiem możliwość wystawie-
nia opinii. Żadne z nich nie
są usuwane, chyba że są nie-
zgodne z zapisami regulami-
nu. Jeśli więc dany sklep
bądź osoba nie cieszą się do-
brą renomą, będziemy o tym
natychmiast wiedzieć. War-
to także sprawdzić, jakie są
zabezpieczenia danego ser-
wisu przed nieuczciwymi
sprzedawcami – gwarancje
zwrotu gotówki, pobranych
prowizji czy też mediacji.
Zachowanie zdrowego roz-
sądku, a także poświęcenie
kilku minut na dokładniej-
sze poznanie sklepu, w któ-
rym chcemy dokonać zaku-
pu, może oszczędzić nam
wielu problemów, stresu
i pieniędzy. Nie zawsze war-
to ufać pierwszemu wraże-
niu. Złodzieje są świadomi,
że ładna witryna uśpi czuj-
ność wielu internautów.
PAWEŁ KUSICIEL
Jak bezpiecznie robić zakupy w sieci