Tipy na bezpečné vánoční online nákupy
18.12.2013 | Jindřich Zechmeister
Podle letošní zprávy Symantec Norton Report 2013 je denně více než milion lidí obětí kyberkriminality. Aktivita podvodníků se stupňuje s blížícími se vánočními svátky. Jak na internetu nakoupit dárky bezpečně a nestát se obětí podvodníků?
Online podvody jsou velký byznys
Online podvodníci na své činnosti dobře vydělávají. Dle výše zmíněné zprávy Norton je celkový objem kyberkriminality těžko uvěřitelných 113 miliard dolarů. Tato částka by 10x zaplatila Olympijské hry v Londýně. Na jednoho podvedeného potom vychází škoda téměř 300 dolarů.
Nejpostiženějšími zeměmi jsou Rusko, Čína a Jižní Afrika.
Ujistěte se, že používáte HTTPS šifrování
HTTPS před adresou webu v prohlížeči znamená, že všechny informace proudící mezi prohlížečem a serverem jsou šifrované a nikdo cizí je nezjistí. Hlídejte si šifrování na důležitých stránkách, kde zadáváte jakékoliv údaje, a pokud to web neumožňuje, trvejte na použití SSL certifikátu.
Používejte DNSSEC
Když do svého prohlížeče zadáte název domény (adresu), kterou chcete navštívit, musí se počítač zeptat DNS serveru, kde se server s touto doménou nachází. Zde je prostor pro podvodníky, kteří mohou záznamy podvrhnout a nasměrovat vás na svůj web.
DNSSEC tento problém řeší podepsáním záznamů klíči, takže k podvržení nemůže dojít. Vždy se dostanete na správnou doménu. Jak ve svém počítačí DNSSEC nastavit najdete v článku Jak nastavit DNSSEC v PC.
Používejte firewall, antivir a antimalware
Je známo, že nejlepší ochranou proti virům je zodpovědný a opatrný uživatel. Existuje však možnost aktivního napadení vašeho počítače z internetu, nebo z jiného stroje. Proto potřebujete firewall, který blokuje nechtěné spojení a brání počítač.
Antivir a antimalware potom sledují, zdali ve vašem počítači není přítomen virus. Moderní viry se zaměřují hlavně na získání informací o platebních kartách a mohou způsobit vážné komplikace. Samotnou kapitolou je tzv. Ransomware, který napřed zašifruje vaše soubory, a pak žádá nemalý poplatek za jejich odemknutí. Nemusím jistě zdůrazňovat, že dešifrování souborů není zarušeno ani po zaplacení částky vyděračům.
Buďte pozorní při online placení
Při placení online platí více než kdy jindy pravidlo, že šifrování je nezbytně nutné. Před každou platbou kartou online se ujistěte, že jste na webu s certifikátem a zapnutým HTTPS.
Pokud nebudou údaje šifrované, může je kdokoliv během přenosu odchytit a následně vybílit váš účet.
Důležité věci vyřizujte v bezpečí domova
Výše zmíněné krádeže dat se nejlépe realizují ve stejné síti, kde se nachází oběť. Ideálním místem pro takovou činnost je veřejná bezdrátová WiFi síť. Jak snadné je odchytit data přenášená přes nezabezpečený HTTP protokol ukazuje článek Ukrást přihlašovací údaje je díky HTTP snadné.
Důležité záležitosti vyřizujte raději doma na svém počítači. Snižujete tím riziko kompromitace vašich údajů v cizí síti.
Pozor na phishingové stránky
Phishing je dobře známá, ale přesto stále fungující metoda online podvodů. Útočníci si vytvoří vizuálně stejnou kopii známého webu, například internetového bankovnictví známé banky, a pomocí podvržených odkazů na něj vedou neznalé uživatele. Pokud se uživatel pokusí přihlásit stejně jako na pravém webu, uloží si jeho přihlašovací údaje, které následně mohou zneužít.
Phishing byl dříve doménou spamových zpráv, ale objevuje se často i na sociálních sítích. Existují rovněž kompletně podvržené obchody.
Pamatujte na pravidlo, že nikdo jiný než podvodník vás nemůže žádat o potvrzení přístupových údajů k jakékoliv službě.
Používejte aktuální a podepsaný software
Programy na vašem počítači je potřeba aktualizovat, protože útočníci využívají všech známých bezpečnostních chyb aplikací. Pokud instalujete aplikaci z internetu, vždy zkontrolujte platnost digitálního podpisu aplikace. K zaručení původu a pravosti aplikací slouží podpis Code Signing certifikátem, který dokazuje, kdo a kdy program podepsal, a jeho neměnnost od podpisu. Podvržený program s malwarem samozřejmě tento podpis výrobce nemá.
Česká specifika
Internetové podvody a online kriminalita má svou specifickou tvář i v Česku. Dobře známé jsou pravidelné phishingové e-maily adresované klientům České spořitelny. Za poslední rok Česko zažilo několik kampaní phishingu, který se vydával za zprávy České pošty.
Chcete-li být informováni o aktuálních hrozbách, sledujte náš blog a souhrny událostí Týden v bezpečnosti. Aktuální hrozby vyhodnocuje v Česku několi CSIRT týmů. Doporučuji pravidelně sledovat CSIRT tým CZ.NICu a jejich bleskové zprávy Aktuálně z bezpečnosti. Zde se dozvíte o phishingovém útoku dříve, než vám takový e-mail do schránky dorazí.
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz