Black Friday a bezpieczeństwo. Jak chronić swoje pieniądze i dane?

Zakupy online są łatwe, szybkie i przyjemne, dlatego trudno się dziwić, że z roku na rok przekonuje się do nich coraz więcej osób. Jak wynika z ubiegłorocznego raportu analityków F5 Labs, aż 6 na 10 Polaków planuje skorzystać z promocji podczas Black Friday, a kiedy ruch w sklepach gwałtownie rośnie, razem z nim rośnie też aktywność cyberprzestępców, którzy próbują infiltrować systemy sprzedażowe, wykradać dane czy po prostu zarabiać na nieuważnych użytkownikach, np. za pomocą fałszywych sklepów online.

Jak nie dać się oszukać i sprawić, by zakupy online były nie tylko udane, ale i bezpieczne? Jest kilka zasad, których należy przestrzegać, a najważniejsza brzmi tak samo od wielu lat - „nie klikaj w podejrzane linki i załączniki”. Dlaczego? Ano dlatego, że chociaż phishing to jedna z najstarszych metod oszustw online, to wciąż jedna z najczęściej stosowanych. Również dlatego, że nie wymaga żadnej specjalistycznej wiedzy czy umiejętności, bo wyjaśnijmy krótko, że chodzi o podszywanie się pod zaufane osoby lub firmy w celu wyłudzenia poufnych danych.

Przestępcy często wysyłają maile sugerujące problemy z zamówieniem, opóźnienia w dostawie czy konieczność dopłaty do faktury. W każdej takiej wiadomości znajdziemy link lub załącznik, które mają skłonić nas do działania, a w części również presję czasu - przestępcy próbują wzbudzić w swojej ofierze poczucie pilności, bo kiedy nie mamy czasu do namysłu, podejmujemy mniej racjonalne decyzje. Kliknięcie na załącznik może zainstalować na naszym urządzeniu złośliwe oprogramowanie, a podanie danych na fałszywej stronie często kończy się utratą pieniędzy z konta, więc w każdej takiej sytuacji powinna zapalić się nam lampka ostrzegawcza.

A przykładów nie trzeba długo szukać, bo jak informuje Marken Systemy Antywirusowe, w ostatnich dniach obserwujemy wzmożenie aktywności cyberprzestępców, którzy wykorzystują nową kampanię phishingową na iMessage, aby podszywać się pod InPost i wyłudzać dane. Użytkownicy otrzymują wiadomość sugerującą, że ich paczka nie może zostać dostarczona ze względu na nieprawidłowe dane adresowe i namawiającą do ich aktualizacji poprzez podany link. Trudno o lepszy czas na podobne akcje niż gorączka zakupów z okazji Black Friday czy Cyber Monday, kiedy wszyscy czekają na swoje paczki, prawda?

Jak się chronić w takich sytuacjach? Przede wszystkim nie ulegać presji czasu, np. groźbom niedostarczenia przesyłki i na spokojnie przeanalizować wiadomość - sprawdzić nazwę firmy czy poszukać literówek i błędów językowych, bo wiadomości tworzone przez hakerów na co dzień posługujących się innym językiem często je zawierają. Eksperci zwracają też uwagę, że firmy kurierskie nie mają w zwyczaju grozić swoim klientom, najczęściej nie proszą o kontakt zwrotny, a w wiadomościach podają numer przesyłki, której dotyczy sprawa. W razie jakichkolwiek wątpliwości warto więc zachować zdrowy rozsądek i zamiast klikać bez namysłu w podejrzane linki, lepiej zadzwonić na infolinię firmy i wyjaśnić sprawę, bo jak wyjaśnia Arkadiusz Kraszewski z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender:

Ochrona przed oszustwami phishingowymi polega głównie na przestrzeganiu podstawowych zasad cyberhigieny, jak dokładna analiza treści wiadomości przed podjęciem jakichkolwiek działań, bycie na bieżąco z aktualnymi cyberzagrożeniami oraz korzystanie ze skutecznego systemu antywirusowego, który został wyposażony w moduł antyphishingowy.

---

Jednym z popularniejszych trendów wśród hakerów, często przybierającym na sile w okresie jesiennych promocji, są też fałszywe sklepy internetowe. Jak informuje np. zajmujący się cyberbezpieczeństwem badacz zagrożeń z firmy EclecticIQ, w samym tylko październiku zidentyfikował sieć około 4700 fałszywych sklepów internetowych, które są skierowane do klientów z USA i Europy. Ich celem jest zgromadzenie numerów kart kredytowych oraz innych danych identyfikacyjnych, które prawdopodobnie posłużyć mają do kradzieży tożsamości i innych oszukańczych działań.

Sklepy te naśladują popularne marki, np. IKEA, wykorzystują motywy Black Friday w swoich materiałach promocyjnych i adresach URL, a ich treści są dynamicznie tłumaczone w zależności od lokalizacji użytkownika. Jakby tego było mało, często są promowane w mediach społecznościowych, co sprawia, że wyglądają bardziej wiarygodnie. I co z tego, że zachęcają do zakupu luksusowych towarów w cenach zbyt pięknych, by mogły być prawdziwe - dużo użytkowników wciąż daje się złapać na takie numery.

Jeśli coś wydaje się zbyt piękne, żeby było prawdziwe – prawdopodobnie właśnie jest oszustwem. Jeśli cena nowego smartfona spada z kilku tysięcy do kilkuset złotych, to prawdopodobnie jest to oszustwo - mówi Ewelina Bartuzi-Trokielewicz kierująca Zakładem Analiz Audiowizualnych i Systemów Biometrycznych w NASK.

---

Warto też zwrócić uwagę na próby podszywania się pod popularne platformy sprzedażowe, w Polsce są to najczęściej Allegro, Empik, OLX, a także Amazon. Przypomnijmy więc ponownie, żaden wiarygodny sklep nie sprzedaje markowej odzieży, galanterii skórzanej czy elektroniki z rabatami sięgającymi niemal 90 proc., nawet w Black Friday. Ba, nawet 50 proc. jest najczęściej zbyt piękne, aby było prawdziwe, a jeśli do tego oferta dostępna jest we wszystkich rozmiarach, kolorach czy wersjach pamięci… uciekajcie jak najdalej. Jeśli zakupy w sieci, to najlepiej w sprawdzonych i uznanych sklepach albo takich solidnie zweryfikowanych w Google, na forach internetowych czy platformach służących specjalnie do takiej oceny.

Trzeba też pamiętać o takich „oczywistych” kwestiach, jak unikanie zakupów przez publiczne Wi-Fi, sprawdzanie zabezpieczenia strony (strona zabezpieczona protokołem SSL będzie miała ikonę kłódki przy adresie strony w przeglądarce) czy ustawianie silnych haseł (długie hasła zawierające małe i duże litery, liczby oraz znaki specjalne lub wygenerowane przez menedżery haseł), które już dawno powinny wejść w krew wszystkim użytkownikom internetu. Na to pierwsze nie zawsze mamy jednak wpływ, dlatego warto wiedzieć, że jeśli sytuacja zmusza nas do podania danych adresowych czy karty płatniczej podczas pobytu na zagranicznym lotnisku czy w hotelu, warto skorzystać z VPN, czyli wirtualnej sieci prywatnej, tworzącej bezpieczną szyfrowaną przestrzeń wewnątrz sieci publicznej (stosowne aplikacje również należy pobierać z oficjalnych sklepów dostępnych dla różnych systemów, tj. Microsoft Store, Sklep Play czy App Store).

Co więcej, chociaż nie wszyscy zdają sobie z tego sprawę, z punktu widzenia cyberbezpieczeństwa zdecydowanie lepiej jest robić zakupy z poziomu komputera, a nie smartfona. Tak, z telefonami praktycznie się nie rozstajemy i właśnie tu mamy najczęściej wszystkie przydatne narzędzia, np. aplikacje bankowe, więc teoretycznie są one bezpieczne, ale… problemem pozostają nieduże wyświetlacze tych urządzeń. Chodzi o to, że na dużym ekranie zdecydowanie łatwiej wyłapać literówki czy próby celowego wprowadzenia nas w błąd, np. nazwą bardzo przypominającą oryginalną.

Wydaje się też, że w ostatnich latach trudno bagatelizować inną „komplikację”, a mianowicie intensywny rozwój sztucznej inteligencji. Bo skoro AI tak silnie wpływa na wiele dziedzin naszego życia, to czemu z zakupami online miałoby być inaczej? Postanowiliśmy zapytać o tę kwestię Eweliną Bartuzi-Trokielewicz kierującą Zakładem Analiz Audiowizualnych i Systemów Biometrycznych w NASK (Naukowa i Akademicka Sieć Komputerowa – Państwowy Instytut Badawczy).

Daniel Górecki, Geekweek: Czy rozwój sztucznej inteligencji wpływa na nasze bezpieczeństwo podczas zakupów w sieci?

Ewelina Bartuzi-Trokielewicz: Intensywny rozwój sztucznej inteligencji ma duży wpływ na zakupy online. Z jednej strony, AI wspiera kupujących, oferując lepsze rekomendacje produktów, czy systemy analizujące opinie o sklepach. Z drugiej strony, ta sama technologia jest coraz częściej wykorzystywana przez cyberprzestępców.

Coraz częściej pojawiają się fałszywe reklamy z wykorzystaniem deepfake'ów, które symulują autentyczne materiały promocyjne. Część z tych reklam wykorzystuje też wizerunki znanych osób lub marek, wzmacniając w ten sposób ich wiarygodność. Technologia generatywnej AI pozwala również na tworzenie realistycznie wyglądających stron phishingowych, które na pierwszy rzut oka wyglądają identycznie jak oryginalne witryny sklepów.

Dodatkowo, zaawansowane chatboty, udające obsługę klienta, mogą skuteczniej wyłudzać dane osobowe i finansowe.Oszuści rozsyłają linki do stron, które wyglądają jak oficjalne, ale zbierają poufne dane, np. numery kart płatniczych czy hasła.

Czy to oznacza, że AI wprost pomaga przestępcom? I czy powinniśmy się spodziewać dodatkowych zagrożeń z tego tytułu, np. podczas nadchodzącego Black Friday?

Black Friday to idealny moment na świetne okazje, ale niestety również na pułapki zastawione przez oszustów. AI daje przestępcom nowe możliwości w zakresie automatyzacji i personalizacji ataków. Cyberprzestępcy wykorzystują modele językowe do tworzenia bardziej przekonujących fałszywych ofert i komunikacji z ofiarami. W przypadku Black Friday możemy spodziewać się wiarygodnych reklam z deepfake'ami, które wyglądają jak oficjalne materiały od znanych marek, dynamicznych ataków phishingowych, w których strona wyłudzająca dane dopasowuje się w czasie rzeczywistym do użytkownika. Fałszywych promocji, które wywołują presję czasu, np. "oferta ważna przez 5 minut".

Jak możemy się przed tym chronić? A może AI jest w stanie pomóc także kupującym?

Aby chronić się przed oszustwami przede wszystkim warto być uważnym i myśleć krytycznie. Wiele fałszywych stron ma błędy w adresach URL, nawet drobne różnice mogą wskazywać na fałszywą stronę. Zaleca się nieklikanie w linki z maili od nieznanych adresatów w czy reklamach, zamiast tego lepiej ręcznie wpisać adres sklepu w przeglądarkę. Zaleca się także korzystanie z wirtualnych kart płatniczych, które chronią dane głównej karty przed oszustami Dobrym pomysłem jest także korzystanie z narzędzi opartych na AI, które analizują strony internetowe pod kątem wiarygodności, wykrywają phishing i ostrzegają przed podejrzanymi linkami.