Piotr Kupczyk
Dyrektor działu prasowego, Kaspersky Lab Polska

Okres świąteczny to czas żniw dla sprzedawców, a takie strony aukcyjne jak Allegro czy eBay mogą pochwalić się naprawdę sporym ruchem. Nieważne, czy robisz przedświąteczne zakupy, czy już po sezonie próbujesz sprzedać nietrafione prezenty. Jeśli zastosujesz się do kilku złotych zasad, Twoje aukcje przebiegną gładko i bezpiecznie.

Czy istnieje taka firma, która może poszczycić się sprzedażą równą produktowi narodowego brutto? Istnieje, a nazywa się eBay. W roku 2009 jej klienci przeprowadzili transakcje o wartości 60 miliardów dolarów amerykańskich, co jest równe z produktem narodowym brutto Libii. Wszystko nabiera tempa na krótko przed i tuż po świętach, gdy szukający podarunków mogą znaleźć je na specjalnych wyprzedażach lub aukcjach. Obecnie nie ma takiej rzeczy, której nie można by sprzedać na jednej z miliona aukcji. Oferty wystawione w postaci licytacji tworzą atmosferę pchlego targu, a ceny osiągają czasami poziom taki, jak na wyprzedażach.

Internetowe serwisy aukcyjne są również bardzo popularne tuż po sezonie, gdy kupione z dobrymi intencjami prezenty okazują się jednak nietrafione. I gdy znowu trzeba sprzedać dziesiąty krawat, do tego celu najczęściej wybierane są witryny z aukcjami online. Wyprzedawanie rzeczy osobistych staje się bardzo popularne w Europie. Jeden na pięciu Duńczyków dobija targu w Sieci, co plasuje ich na pierwszym miejscu w Europie. W Niemczech tymczasem, wystawianie osobistych rzeczy na aukcjach stało się prawie sportem narodowym. Ostatecznie, więcej niż połowa internautów robi interesy online, a około 12 procent robi to regularnie. Statystyki wykonane przez Eurostat wykazały, że 10% wszystkich Europejczyków kupuje i sprzedaje w Internecie.

Dostawcy platform aukcji online dbają o bezpieczeństwo aukcji na tyle, na ile jest to możliwe. Weryfikują - przynajmniej częściowo - tożsamości użytkowników, wyszukują fałszywe aukcje i interweniują w przypadku sporów. Ponadto, korzystają z systemów oceny kupujących i sprzedających, co pomaga budować zaufanie. Nadal jednak oszustwa aukcyjne zdarzają się nagminne, a niektórzy sprzedawcy posiadają jedynie puste pudełko lub obrazek przedstawiający licytowany przedmiot. Zdarza się także, że wymagają przedpłaty za zamawiany towar i zwyczajnie nigdy go nie dostarczają. Gdy kupujący domaga się zakupionego towaru, sprzedawcy najpierw próbują wzbudzić współczucie, następnie proszą o cierpliwość, aby ostatecznie zniknąć. Jednak znaczna większość aukcji przebiega bez problemu.

Kim jestem?

Aby przygoda z aukcjami była miłym doświadczeniem, warto zastosować się do jednej prostej zasady: chroń swoje dane osobowe i poufne informacje! Prawie wszystkie próby oszukania kupujących poprzez aukcje internetowe są przeprowadzane z użyciem fałszywych kont użytkowników lub skradzionych danych dotyczących systemów płatności online. Ponieważ serwisy aukcyjne weryfikują tożsamość nowych użytkowników, informacje wymagane do obejścia takiej kontroli są bardzo cenne dla cyberprzestępców. Znalezienie "nowych" danych osobowych w Internecie niestety nie zajmuje wiele czasu. Imiona, adresy i daty urodzenia można znaleźć na licznych stronach internetowych, jak choćby serwisy społecznościowe, a ostatnio popularnym źródłem są nawet nekrologi. Po zakończeniu aukcji oszuści piszą e-maila do kupujących, podając inne dane konta, na które oszukany Internauta ma wpłacić zaliczkę. Jeśli Twoje hasło wpadnie w ręce przestępców, proces staje się jeszcze prostszy. Dzięki niemu cyberprzestępca może otwierać aukcje i kupować rzeczy. Oszuści zarabiają pieniądze lub zdobywają przedmioty, a Ty zostajesz z problemem, który musisz sam rozwiązać.

Stosowanie odpowiedniego rozwiązania bezpieczeństwa, które będzie chronić Twoją cyfrową tożsamość w Internecie i pomoże uniknąć podobnych czarnych scenariuszy. Tego rodzaju aplikacje kontrolują Twój komputer oraz jego wszystkie połączenia z Internetem. Cyberprzestępcy często próbują instalować na komputerze szkodliwe oprogramowanie (np. trojany) bez Twojej wiedzy i zgody, a następnie używają ich do szpiegowania szczegółów logowania. Program znany jako keylogger może rejestrować każde naciśnięcie klawisza podczas wprowadzania hasła do banku lub w trakcie wypełniania aplikacji do nowej pracy. Oprogramowanie bezpieczeństwa może rozpoznać i zablokować ataki trojanów i keyloggerów oraz poinformować Cię o tym.

Czas świątecznych zakupów to sprawa prywatna, ale nie wszyscy pracownicy tak uważają. Badanie przeprowadzone w sierpniu 2010 przez Office-Space Provider Regus wykazało, że 38,7% badanych robiło zakupy w Sieci w godzinach pracy. W październiku 2009 badanie ISACA ujawniło, że pracownicy planują spędzać więcej niż 14 godzin na zakupach online w trakcie pracy. Dziesięć procent badanych z dziewięciu krajów przeznacza więcej niż 30 godzin na wybieranie upominków świątecznych. Tylko niewielu z nich myśli o bezpieczeństwie, a 30 procent pozostawia sprawę w rękach działu IT.

Pracownicy licytujący na aukcjach internetowych z komputerów biurowych muszą jednak świadomie dbać o bezpieczeństwo, tak jak podczas korzystania ze swoich komputerów domowych lub laptopów. W każdej firmie działy techniczne odpowiadają za ochronę sieci wewnętrznej przed wirusami i trojanami, jednak istnieją jeszcze inne zagrożenia. Na przykład, w atakach phishingowych używa się fałszywych adresów e-mail do zwabienia ofiar na specjalnie spreparowane strony, na których cyberprzestępcy rejestrują szczegóły logowania. Możesz, na przykład, znaleźć w swojej skrzynce wiadomość wyglądającą jak wysłana przez administrację portalu aukcyjnego. Może ona informować, że Twoje konto zostanie wkrótce obciążone bardzo wysokim rachunkiem. Po kliknięciu odnośnika znajdującego się w wiadomości e-mail zostanie otwarte okno identyczne jak strona domowa znanego Ci serwisu, na której należy wprowadzić nazwę użytkownika i hasło. Okno to jest oczywiście fałszywe, przygotowane jedynie do skradzenia Twoich informacji logowania. Dobre oprogramowanie ochronne zapobiega tego typu atakom na dwa sposoby. Po pierwsze, rozpoznaje wiadomości jako próby oszustwa i automatycznie je neutralizuje. Natomiast w przypadku, gdy klikniesz podejrzany odnośnik, program ostrzeże Cię o możliwym ataku i zablokuje dostęp do sfałszowanej strony. W Internecie istnieją dziesiątki tysięcy stron phishingowych, które są regularnie monitorowane przez specjalistów ds. bezpieczeństwa oraz - jeśli jest to możliwe - zamykane. Niestety, cyberprzestępcy nieustannie tworzą nowe strony, co przypomina grę w kotka i myszkę.

Podejrzenia - zdrowy objaw

Łańcuch internetowych przestępstw zawiera także osoby, które piorą brudne pieniądze. Przykładowo, oszuści informują swoje ofiary o tym, że wygrały aukcję i muszą wpłacić pieniądze na wskazane konta. Osoby zlecające takie akcje często pochodzą z krajów Europy Wschodniej, gdzie nie ma takiego nadzoru policji i sądów, jak to jest w części zachodniej, dlatego spokojnie zgarniają swoje zyski. Osoby piorące brudne pieniądze oczywiście otrzymują jakiś procent, lecz nie cieszą się zbyt długo. Dane dotyczące ich kont są jawne, więc policja wkrótce ich znajduje. Nowi pracownicy oszustów rekrutowani są przez miliony wiadomości e-mail rozsyłanych codziennie. Oferowana praca pojawia się najczęściej pod postacią stanowisk: "menedżer finansowy" lub "operator finansowy", wymaga poświęcenia tylko kilku godzin tygodniowo i niewielkiego wysiłku. Potencjalne wynagrodzenie jest szacowane na kilka tysięcy euro miesięcznie. Także i w tej sytuacji pakiet oprogramowania bezpieczeństwa, który rozpozna i usunie takie oferty, to najlepsza forma uniknięcia problemów z prokuratorem.

Istnieje również tak zwane "trójkątne oszustwo", które polega na umieszczaniu fałszywych aukcji wartościowych przedmiotów, na przykład cyfrowego aparatu SLR. Po znalezieniu nabywcy oszuści kupują artykuł na innej aukcji i podają adres swojego nabywcy jako adres doręczenia. Oszuści wówczas przesyłają pieniądze za wygraną przez siebie aukcję na konta sprzedawców, zazwyczaj używając skradzionej karty kredytowej lub konta bankowego złamanego drogą phishingu. Z punktu widzenia sprzedawcy nie ma nic podejrzanego i wysyła on aparat do nabywcy, który także właśnie przesłał pieniądze na fałszywe konto, albo zrobi to tuż po odebraniu aparatu. Oszust żąda zwrotu (skradzionych) pieniędzy, które wpłacił na konto sprzedawcy. Wynik: cyberprzestępcy otrzymali dwa razy pieniądze za przedmiot, a kupujący i sprzedający nie tylko zostali okradzeni, ale muszą także to udowodnić. Nie istnieje oprogramowanie, które mogłoby chronić przed takimi rodzajami oszustw - wszyscy sprzedawcy i kupujący mogą jedynie przestrzegać reguł aukcji, które zabraniają dostarczania przedmiotu na adres alternatywny.

Źródło: Kaspersky Lab