Karácsonyi ajándékok a világhálóról

Az internet elterjedése Magyarországon is jelentős mértékben megváltoztatta a vállalkozások kereskedelmi és a fogyasztók vásárlási szokásait. Jó, ha tudjuk azonban, hogy az online vásárlás kockázatokkal is jár, amelyekkel feltétlenül tisztában kell lennünk. Az internetes vásárláshoz kapcsolódó EU-s jogszabályok alapvetően szabályozzák és meghatározzák a kereskedők, illetve a fogyasztók jogait, ugyanakkor fontos szem előtt tartani a világhálós tranzakciók informatikai biztonsági kockázatait is.

Mennyire bízhatunk az internetes áruházak biztonságában? Ugyanúgy, mint az autók esetében, itt is vannak magas szintű biztonsággal üzemelő megoldások és biztonságosnak nem mondható rendszerek. Nem árt tisztában lennünk azzal, hogy a hazai webfejlesztői piac hemzseg a biztonsági szempontokat nem igazán ismerő fejlesztőktől. Egy webáruház korrekt megvalósítása összetett feladat, az esetek többségében több rendszer működését és használatát kell összehangolni. Ezeket a rendszereket általában a banki alkalmazásokhoz képest kevesebb energiaráfordítással hozzák létre, sok esetben a tervezés során fontosabb szempont a külcsín, mint a biztonságos működés.

Egy webáruház – vagy az azt használó ügyfelek – megtámadása egy hacker számára rendszerint nagyobb valószínűséggel vezet sikerre, mint egy jól védett és folyamatosan monitorozott internetbank hibáinak a kihasználása.

A webáruházak gyenge pontjait támadó hackerek megpróbálhatnak olyan érzékeny információkhoz – személyes adatok, felhasználónevek, jelszavak – hozzájutni, amelyeket később további támadások kivitelezésére is felhasználhatnak. Ha a webáruház az általa használt adatbázisban tárolja a bank-kártyaadatokat, egy ezekhez hozzáférő támadó mások nevében pénzügyi tranzakciókat kezdeményezhet, elektronikusan fizethet.

A támadók célkeresztjébe sok esetben a felhasználók jóhiszeműsége és naivitása kerül. Ha a postafiókunkba olyan levél érkezik – látszatra – egy általunk használt webáruháztól, amely arra szólít fel bennünket, hogy sürgősen jelentkezzünk be és változtassuk meg a jelszavunkat, szinte biztosak lehetünk benne, hogy valaki így próbálja megszerezni tőlünk a bejelentkezéshez használt adatainkat. A probléma egyébként nem csak a webáruházakat érinti, nagyon sok esetben bankok oldalait másolják le támadók azzal a reménnyel, hogy néhány felhasználó megadja az interneten keresztüli bankoláshoz használt adatait. A legfontosabb, hogy az ilyen jellegű leveleket ha nem is töröljük ösztönösen, de a benne szereplő linkekre semmiképp ne kattintsunk.

Fontos tisztában lenni azzal is, hogy az interneten keresztül küldött adatok jelentős része titkosítatlanul – HTTP protokollon keresztül – utazik, így egy támadó, ha képes lekövetni az adatforgalmat – például az internetkávézók nem biztonságos vezeték nélküli hálózatán –, hozzáférhet személyes adatainkhoz.

Titkosított csatorna – HTTPS protokoll – használata sem jelent önmagában megoldást, hiszen ha az esetlegesen felbukkanó, böngésző által adott figyelmeztető üzenetet az ember reflexből elfogadja és hisz az általa nem ismert fél által kibocsátott SSL tanúsítványnak, az egy támadó számára ugyanúgy elérhetővé teszi az elküldött adatokat, legfeljebb kicsit többet kell dolgoznia a cél érdekében. Fontos tehát, hogy csak olyan helyen adjunk meg érzékeny adatokat, ahol az URL-ben „HTTPS” látható, és a böngésző nem jelez hibaüzenetet az oldal elérésekor.

Mivel a felhasználók által begépelt adatok észrevétlenül rögzíthetők egy közösen használt számítógépen, ezért érzékeny műveleteket sosem javasolt munkahelyi vagy internet-kávézóban elérhető gépen végezni, a karácsonyi bevásárlást ilyen szempontból jobb otthonról, kényelmesen intézni. Ha esetleg mégis közös gép mellett döntünk, minden esetben használjuk az alkalmazás által elérhető kilépés funkciót, és ne zárjuk le a böngészőt úgy, hogy előtte nem léptünk ki az internetbankból vagy a webáruházból.

Az alkalmazásban található hibákkal szemben a megfelelően alkalmazott SSL titkosítás sem véd, ezért jó gyakorlat például, ha internetes vásárlás vagy banki ügyek intézése közben a böngészőben csak az adott oldal van megnyitva. Így megakadályozható, hogy egy támadó egy – a webalkalmazásban található – hibát, egy külső oldalt „ugródeszkaként” kihasználhasson és a nevünkben termékeket rendeljen, vagy banki átutalást indítson.

Ha a magunk részéről mindent elkövettünk a biztonságos használat érdekében, akkor sem lehetünk teljesen nyugodtak, hiszen ha egy támadó közvetlenül a webalkalmazás által használt háttérrendszerekhez fér hozzá, akkor minden az oldalon általunk megadott adat rendelkezésre állhat. Jó esetben a webalkalmazás fejlesztői jelszavainkat titkosítva tárolják, ilyenkor kritikus lehet, hogy milyen hosszúságú jelszót választottunk, hiszen egy kellő bonyolultságú – kis- és nagybetűket, számokat és speciális karaktereket tartalmazó – jelszóhoz való hozzáférés reménytelenül hosszú időbe telhet.

Bankkártyás fizetés esetén biztonságosabb olyan plasztikot használni, amelyhez SMS-érte-sítést rendeltünk minden tranzakcióról. Így egy esetleges viszszaélés esetén az első tranzakció alkalmával lelepleződik a támadó, remélhetően akkor, amikor még nem merítette ki a teljes rendelkezésre álló pénzkeretünket. A hazai internetes áruházak jelentős része kínál utánvéttel fizetési lehetőséget, itt a bankkártyaadatok biztonsága természetesen nem kérdéses, személyes adataink védelme annál inkább.

Érdemes vásárlás előtt megtekinteni, hogy más vevők mennyire voltak megelégedve az internetes áruházzal, és hogy a weblapon szerepel-e valamilyen független minősítő által adott biztonsági tanúsítvány. Hazánkban ezek nem túl elterjedtek, de a teljesség igény nélkül például ilyen webpecsétet ad a TRUSTe vagy a Better Business Bureau. Sem-miképpen ne küldjük tovább e-mailben a webáruháznak bank-kártyaadatainkat.

Pozitív, hogy hazánkban is terjed a bankkártyatársaságok, bankok és az online áruházak összehangolt magas fokú biztonsági megoldása. Ennek lényege, hogy a webshop nem, csupán a bank kapja meg a bankkártyaadatokat. A webshop a vásárlótól mindöszsze a megrendeléssel kapcsolatos információkat kapja meg. A bank a fizetés sikeres végrehajtásáról online értesíti a webáruházat. Többletbiztonságot jelent még a kártyához rendelt jelszó: ilyen megoldást kínál például a Verified by Visa.

Ha a vásárlás során bármilyen probléma felmerül és bizonytalanok vagyunk a tranzakció sikerességét illetően, mindenképpen a kártyakibocsátó bank ügyfélszolgálatát hívjuk, hogy meggyőződjünk róla: ráterhelték-e az adott összeget a számlánkra.

A kártyakibocsátók a kártyatársaságokkal karöltve működtetnek olyan rendszereket, amelyek a bankkártyás visszaéléseket próbálják idejében felderíteni, továbbá a több kártyakibocsátó szövetségéből létrejött PCI Council szigorú biztonsági elvárásokat definiált, amelyek betartását elvárja mind az elfogadó nagyobb kereskedőktől, mind pedig a kibocsátóktól vagy a bankoktól. Ezeknek a szabványoknak a betartását rendszeresen ellenőrzik, és szankcionálják a nem megfelelést. Mindemellett érdemes nekünk is figyelni a biztonságunkra, hogy a karácsonyi bevásárláskor ne bűnözők kezébe adjuk „ajándékként” személyes vagy banki adatainkat.

A szerző a Deloitte Zrt. biztonsági és adatvédelmi szolgáltatások részlegének vezetője