Grupa JT Weston
Grupa JT Weston:
JT WESTON ADVISORS
JT WESTON LEGAL
Projekty UE
Projekty UE
Formularz kontaktowy
Wyszukaj

Blog

HomeSecurity managementSzybkie płatności w internecie a bezpieczeństwo
pexels-nataliya-vaitkevich-6214382_2

Szybkie płatności w internecie a bezpieczeństwo

by on 22 maja 2022in Security management, Zarządzanie bezpieczeństwem No comment

Bramki płatności online oferowane przez operatorów szybkich płatności są obecnie bardzo popularną metodą przeprowadzania transakcji w internecie. Ich podstawowym zadaniem jest pośrednictwo w przekazie środków pieniężnych pomiędzy bankami. Operatorami, którzy stosują tę metodę są m.in.: PayU, DotPay, Przelewy 24. Celem takiego rozwiązania jest przede wszystkim ułatwienie oraz skrócenie procesu płatności za zakup w sklepie internetowym lub na portalu aukcyjnym. Tradycyjny przelew bankowy jest realizowany znacznie dłużej oraz obarczony ryzykiem pomyłki podczas wprowadzania danych.

Użytkownik wpłacający środki za pośrednictwem bramki płatności nie uruchamia odrębnie aplikacji bankowej czy serwisu transakcyjnego w przeglądarce internetowej. Jest przekierowywany do niego automatycznie przez operatora płatności. Schemat ten stawia na wygodę użytkowników. Daje jednak również duże możliwości cyberprzestępcom. Mogą podszywać się pod bramki przekazów pieniężnych oraz wyłudzać dane osobowe oraz znaczne kwoty.

Przekierowanie na fałszywą bramkę

Popularną metodą kradzieży jest przekierowanie na fałszywą bramkę podczas robienia zakupów w internecie. Od klasycznego phishingu dane oszustwo odróżnia fakt, iż użytkownik nie otrzymuje na początku żadnych wiadomości. Sam podczas robienia zakupów w internecie może natknąć się na przestępcę, nawet na popularnych portalach aukcyjnych. Należy szczególnie uważać na portale, w których sprzedawcy nie są na wstępie w żaden sposób weryfikowani (np. Gumtree, Olx). Atak ten polega na założeniu fałszywego konta oraz zamieszczeniu oferty sprzedaży tak, aby wyglądała na jak najbardziej wiarygodną. W celu zakupu oraz realizacji płatności ofiara proszona jest o podanie adresu e-mail oraz numeru telefonu. Następnie otrzymuje wiadomość, iż dla przeprowadzenia płatności należy kliknąć w zamieszczony link, który przekieruje go do jednej z popularnych bramek. W rzeczywistości wykorzystana zostaje fałszywa bramka, która ma na celu wyłudzenie danych do logowania do banku.

Fałszywe sklepy i podszywanie się pod znanych dostawców

Podobnie atak wygląda w przypadku fałszywych sklepów internetowych, jednak w tym przypadku przekierowanie następuje bezpośrednio ze strony internetowej sklepu. Trudność w rozpoznaniu takich podmiotów potęguje fakt, iż zazwyczaj bez przeszkód mogą reklamować swoją ofertę na znanych portalach internetowych czy serwisach społecznościowych. Operatorzy publikujący reklamy często nie weryfikują reklamodawców. Zazwyczaj stosowane są proste algorytmy jedynie sprawdzające czy dana reklama nie zawiera nielegalnych treści. Nierzadko fałszywe sklepy internetowe zarejestrowane są w KRS, co może tylko uśpić czujność ofiary.

Inną metodą jest podszywanie się pod popularne sklepy internetowe czy operatorów telekomunikacyjnych. Masowo rozsyłane są wiadomości e-mail lub SMS, w treści których widnieje wezwanie do uregulowania niewielkiej niedopłaty np. w celu aktywacji konta. Oczywiście takie wiadomości zawierają groźny link.

Samoobrona

Istnieje kilka sposobów umożliwiających zmniejszenie ryzyka związanego z opisanymi atakami:

  • w przypadku małych oraz mniej popularnych sklepów internetowych należy zwrócić uwagę czy dane identyfikujące podmiot odpowiedzialny za sklep, takie jak nazwa podmiotu, adres siedziby czy numer KRS są czytelnie i łatwo dostępne. Zazwyczaj podejrzane sklepy internetowe utrudniają identyfikację podmiotu
  • należy weryfikować adres www strony portalu aukcyjnego lub sklepu internetowego. Fałszywe sklepy internetowe często zmieniają adres www. Dodatkowo mogą także podszywać się pod popularne sklepy. W przypadku, kiedy użytkownik jest przekierowany automatycznie do znanego sklepu internetowego, powinien sprawdzić, czy faktycznie znajduje się na prawdziwej stronie. Dobrą metodą jest osobne wyszukanie sklepu za pośrednictwem przeglądarki internetowej i dokładne porównanie adresów. Należy zwracać uwagę na każdy szczegół, ponieważ podrobiony adres zazwyczaj trudno odróżnić (np. zamienione miejscami mogą być dwa znaki).
  • warto wyszukać w niezależnych serwisach opinii na temat sklepu, którym jesteśmy zainteresowani. Fałszywe sklepy zazwyczaj funkcjonują bardzo krótko, w związku z czym starszych opinii na ich temat brak
  • w przypadku portali aukcyjnych, które nie posiadają mechanizmów weryfikacji użytkowników bezpieczniej jest płacić przy odbiorze
  • należy zwiększyć czujność w przypadku obowiązku płatności mającej na celu aktywację konta w sklepie internetowym. Poza dużymi portalami aukcyjnymi weryfikującymi sprzedawców, rozwiązanie to jest bardzo rzadko praktykowane, tym bardziej, że sklepy internetowe zazwyczaj umożliwiają tzw. zakupy bez rejestracji na stronie. Jeżeli zostaniemy poproszeni o przeprowadzenia takiej operacji, zrezygnujmy ze sklepu
  • należy zachować szczególną ostrożność, kiedy otrzymamy wiadomości e-mail lub SMS z załączonym linkiem. Jeżeli nie mamy pewności, że pochodzi ze sprawdzonego źródła, pod żadnym pozorem nie należy klikać w zamieszczony odnośnik

Mądry po szkodzie

Nie ma oficjalnie publikowanych danych o skali tego rodzaju przestępstw. Z liczby artykułów i komentarzy umieszczanych w internecie na temat oszustw z wykorzystaniem mechanizmów szybkiej płatności można jednak wnosić, że jest ona znacząca. W 2019 roku policja podawała, że tylko w jednym miesiącu odnotowano ponad 100 fałszywych stron udających pośredników płatności[1]. O znacznej poprawie jakości stron wyłudzających dane i pieniądze (z wykorzystaniem m.in. logo Pekao i BNP Paribas) donosiła kilka miesięcy temu jednostka reagowania na incydenty bezpieczeństwa teleinformatycznego Orange Polska[2].

Jeżeli podejrzewamy, że padliśmy ofiarą oszustwa, powinniśmy zgłosić to jak najszybciej do naszego banku, zespołu reagowania na incydenty bezpieczeństwa komputerowego CERT.pl (poprzez formularz zgłoszeniowy zamieszczony pod adresem https://incydent.cert.pl/) oraz do najbliższej jednostki policji. Zwiększy to szanse na uniknięcie bezprawnego użycia naszych danych osobowych oraz utraty pieniędzy.

[1] https://www.policja.pl/pol/aktualnosci/173522,Uwaga-na-falszywe-strony-udajace-posrednikow-szybkich-platnosci.html

[2] https://www.dobreprogramy.pl/nowa-falszywa-bramka-ta-droga-lepiej-nie-placic,6731227333024448a

Share this article
0
Tags: , , , , ,

Written by

The author didnt add any Information to his profile yet

Leave a Comment

Formularz kontaktowy
Imię i nazwisko:
Firma / Instytucja:
 Stanowisko:
Adres email (wymagane):
 Numer telefonu:

Treść wiadomości (wymagane):

Informujemy, że podane przez Panią/Pana w formularzu kontaktowym dane osobowe będą przetwarzane przez JT Weston sp. z o.o. (JT Weston), jako administratora danych osobowych, zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Informacje dotyczące przetwarzania przez JT Weston Pani/Pana danych osobowych:
Administrator danych Administratorem Pani/Pana danych osobowych jest JT Weston sp. z o.o. z siedzibą w Warszawie, przy al. Jana Pawła II 29 (00-867 Warszawa). Z JT Weston można skontaktować się poprzez e-mail: daneosobowe@jtweston.pl lub pisemnie wysyłając korespondencję na adres wskazany powyżej.
Cele przetwarzania oraz podstawa prawna przetwarzania Pani/Pana dane będą przetwarzane przez JT Weston w ramach realizacji uzasadnionego interesu administratora danych tj. w celu podjęcia czynności niezbędnych do udzielenia odpowiedzi na otrzymane zapytanie oraz archiwizacji wzajemnej korespondencji.
Okres, przez który dane będą przechowywane Pani/Pana dane osobowe będą przetwarzane przez okres niezbędny do udzielenia odpowiedzi i archiwizowane przez okres nie dłuższy niż 3 miesiące od dnia jej udzielenia.
Odbiorcy danych Pani/Pana dane osobowe mogą być udostępniane przez JT Weston dostawcom usług informatycznych oraz - w uzasadnionych przypadkach - w ramach współpracy organizacyjnej Kancelarii JT Weston Legal Bartosik i Wspólnicy sp.k.
Prawa osoby, której dane dotyczą Przysługuje Pani/Panu prawo do żądania od administratora dostępu danych, w tym uzyskania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania oraz prawo do przenoszenia danych osobowych. Przysługuje Pani/Panu prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych. Posiada Pani/Pan prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
Dobrowolność podania danych Podanie danych osobowych jest dobrowolne, lecz konieczne do przesłania formularza i udzielenia przez JT Weston odpowiedzi na otrzymaną korespondencję. Skutkiem ich niepodania będzie brak możliwości przesłania formularza.

Zamknij
Formularz kontaktowy
Imię i nazwisko:
Firma / Instytucja:
 Stanowisko:
Adres email (wymagane):
 Numer telefonu:

Treść wiadomości (wymagane):

Informujemy, że podane przez Panią/Pana w formularzu kontaktowym dane osobowe będą przetwarzane przez JT Weston sp. z o.o. (JT Weston), jako administratora danych osobowych, zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Informacje dotyczące przetwarzania przez JT Weston Pani/Pana danych osobowych:
Administrator danych Administratorem Pani/Pana danych osobowych jest JT Weston sp. z o.o. z siedzibą w Warszawie, przy al. Jana Pawła II 29 (00-867 Warszawa). Z JT Weston można skontaktować się poprzez e-mail: daneosobowe@jtweston.pl lub pisemnie wysyłając korespondencję na adres wskazany powyżej.
Cele przetwarzania oraz podstawa prawna przetwarzania Pani/Pana dane będą przetwarzane przez JT Weston w ramach realizacji uzasadnionego interesu administratora danych tj. w celu podjęcia czynności niezbędnych do udzielenia odpowiedzi na otrzymane zapytanie oraz archiwizacji wzajemnej korespondencji.
Okres, przez który dane będą przechowywane Pani/Pana dane osobowe będą przetwarzane przez okres niezbędny do udzielenia odpowiedzi i archiwizowane przez okres nie dłuższy niż 3 miesiące od dnia jej udzielenia.
Odbiorcy danych Pani/Pana dane osobowe mogą być udostępniane przez JT Weston dostawcom usług informatycznych oraz - w uzasadnionych przypadkach - w ramach współpracy organizacyjnej Kancelarii JT Weston Legal Bartosik i Wspólnicy sp.k.
Prawa osoby, której dane dotyczą Przysługuje Pani/Panu prawo do żądania od administratora dostępu danych, w tym uzyskania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania oraz prawo do przenoszenia danych osobowych. Przysługuje Pani/Panu prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych. Posiada Pani/Pan prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
Dobrowolność podania danych Podanie danych osobowych jest dobrowolne, lecz konieczne do przesłania formularza i udzielenia przez JT Weston odpowiedzi na otrzymaną korespondencję. Skutkiem ich niepodania będzie brak możliwości przesłania formularza.

Zamknij