Nie każda strona jest bezpieczna

Bez względu na to, czy przelewamy pieniądze, czy kupujemy w sieci, musimy mieć pewność, że weszliśmy na autentyczną stronę. Bywa to trudne, ponieważ przestępcy działający w sieci często wykorzystują elementy grafiki autentycznych stron, zmieniając tylko drobne elementy (np. wielkość logo albo jedną literę w adresie witryny).

Sprawdzanie dla bezpieczeństwa

Dlatego przed wykonaniem jakiejkolwiek operacji należy:

• zwrócić uwagę na całościowy wygląd strony - zmiany układu menu, kolorystyki witryny lub układu głównych elementów są wprowadzane niezwykle rzadko. Pojawienie się tak widocznych zmian powinno wzbudzać podejrzenia;

• sprawdzić adres odwiedzanej strony - lepiej nie korzystać z witryny, jeżeli jej adres jest podejrzanie długi lub zawiera w sobie obce nazwy. Złodzieje często tworzą fałszywe strony z bardzo podobnymi adresami, np. adres nazwafirmy.pl może zostać zastąpiony przez nazwafirma.pl.ass.eu (nie można się sugerować początkiem adresu, lecz zwracać uwagę na całość!);

• sprawdzić, czy komunikacja jest szyfrowana - po wybraniu opcji połączenia bezpiecznego, początek adresu strony powinien ulec zmianie i zamiast początku http:// pojawi się https:// (litera s oznacza bezpieczne połączenie - secure). Kolor podświetlenia paska adresu także powinien się zmienić, a obok adresu oraz w prawym dolnym rogu okna przeglądarki powinna pojawić się ikona kłódki. Oznacza to, że strona posiada certyfikat, a informacje, kto był wystawcą oraz dla kogo dany certyfikat został wystawiony zostaną wyświetlone po kliknięciu na ikonę kłódki;

• przeczytać fragment strony - jeśli literówki czy błędy ortograficzne będą liczne, może to sugerować, że mamy do czynienia z podrobioną witryną - na stronach banków i solidnych sklepów tego rodzaju błędy zdarzają się, ale sporadycznie;

• zwrócić uwagę na proces autoryzacji na witrynie - jeśli autoryzacja jest dość prosta, powinno to wzbudzać podejrzenia. Poza tym banki i sklepy nigdy nie korzystają z mechanizmów logowania opartych na okienkach typu pop-up (takie okienko nie może być opatrzone certyfikatem). Jeśli więc na stronie sklepu lub banku takie okienko wyskoczy, to można mieć pewność, że witryna nie jest autentyczna;

• po zalogowaniu - raz jeszcze sprawdzić adres i certyfikat witryny oraz datę ostatniego logowania, a po zakończeniu sesji - wylogować się i dopiero wtedy zamknąć przeglądarkę.

Bezpieczna witryna

Warto wiedzieć, że witryny banków, sklepów internetowych czy serwisów aukcyjnych muszą spełniać szereg wymagań technicznych zapewniających bezpieczeństwo. O zabezpieczeniach tych często nawet nie wiemy, a tymczasem bezpieczna witryna powinna:

• gwarantować, że wprowadzane informacje będą dostępne tylko dla zainteresowanych stron (komunikacja musi być szyfrowana);

• zapewniać integralność informacji, dzięki czemu mamy pewność, że wprowadzane informacje nie będą przedmiotem manipulacji;

• gwarantować, że tożsamość nabywcy i sprzedającego jest weryfikowana.

Najczęściej stosowany obecnie system do przeprowadzania bezpiecznych transakcji szyfruje wprowadzane dane, a gdy dotrą one do miejsca przeznaczenia, deszyfruje je. Daje to gwarancję, że nawet jeśli osoby trzecie przechwycą dane, to nie będą mogły ich w żaden sposób wykorzystać bez odpowiedniego klucza deszyfrującego.

Maciej Somianek, specjalista ds. bezpieczeństwa Panda Security Polska

Maciej Sobianek

specjalista ds. bezpieczeństwa Panda Security Polska