Предновогодние распродажи: несколько советов по безопасному онлайн-шопингу

Предновогодние распродажи: несколько советов по безопасному онлайн-шопингу
Все больше россиян совершают покупки в интернет-магазинах: с января по октябрь 2015 года объём продаж Яндекс.Маркета вырос  на 23% по сравнению с тем же периодом в 2014 году, а число онлайн-покупателей, заказывавших товары из Китая, увеличилось на 30%. Киберпреступники тоже не сидят сложа руки: по данным  ThreatMetrix, в третьем квартале 2015 года количество атак в секторе электронной коммерции выросло на 25%. Компания HeadLight Security подготовила небольшой список рекомендаций по защите своих действий в процессе интернет-шопинга.


Злоумышленники нередко пользуются предпраздничным ажиотажем для похищения информации о пользователях, которая в дальнейшем может быть использована в различных фишинговых схемах. Спешат не только покупатели, но и магазины, открывая новые страницы и сервисы. Уже в 2013 году на ритейлеров приходилось 49% утечек данных банковских карт (по сведениям Infowath), и вряд ли к 2016 году эта цифра уменьшилась. Наиболее известные примеры последнего времени – инциденты с компаниями Targetи Talk Talk. Нередко онлайн-ритейлеры допускают достаточно грубые ошибки, как в случае с утечкой данных  покупателей JD.comв октябре 2015 года, когда зайти в личные кабинеты нескольких тысяч пользователей можно было путем подстановки номеров заказа.

Следует напомнить и о массовом переносе персональных данных пользователей глобальных интернет-ритейлеров на российские сервера – пока неясно, как повлияет эта миграция, осуществляемая в условиях цейтнота, на фактическую защищённость данных. 


Соблюдайте осторожность при работе с Wi-Fi

Мы уже не раз писали о том, что публичный Wi-Fi – не лучший вариант для онлайн-шоппинга. Злоумышленник может легко перехватить ваши пароли, логины и номера платежных карт. Но в отпуске или командировке зачастую других вариантов просто нет. В этом случае перед поездкой примите следующие профилактические меры:

  • используйте VPN-сервис (ZenMate, Hideninja VPN, SurfEasy, HotspotShield и т.д.)
  • установите бесплатную программу для браузера SSL Everywhere
  • проверьте систему антивирусом и включите брандмауэр
  • инсталлируйте все обновления на операционную систему и отдельные приложения 

Покупайте авиабилеты на проверенных сайтах

Авиабилеты – один из наиболее популярных товаров в Интернете, в статистике  ВТБ за 2015 год эта категория занимает первое место с большим отрывом. Лучше всего приобретать авиабилет на сайте авиакомпании. Если же какая-то площадка предлагает значительно более дешевые варианты, проверьте, сотрудничает ли она с крупными поисковыми агрегаторами, например Skyscanner или Aviasales. Не стоит заказывать билеты в соцсетях, в них часто обитают мошенники. Один из подобных случаев произошел  в 2010 году – авиабилеты с 40% скидкой бронировались по чужим картам. Затем клиент проверял свои данные на сайте авиакомпании и переводил деньги преступникам. Чуть позже настоящие владельцы пластиковых карт обращались в банк с заявлением о несанкционированном списании денежных средств со счета и бронирование билета аннулировалось.


Отслеживайте посылки на безопасных сайтах

В прошлом году пользователи получали  фишинговые SMSс текстом «посылка получена www.pochtaruss.net». Кампания была рассчитана на владельцев устройств на базе Android. Всех остальных сайт перенаправлял на сайт Почты России. При переходе с Android злоумышленники предлагали обновить якобы устаревший браузер, изменив настройки безопасности, после чего на устройство устанавливался  зловред, перехватывающий банковские SMS. Расчет мошенников на обширный улов был вполне обоснован: на один только AliExpress за год зашли 22 млн пользователей, судя по данным  TNS, аудитория  Андроид в России – это 82,5% смартфонов и 72,3% планшетов. Стоит отметить, что «Почта России» рассылает SMS-уведомления о поступлении международных посылок в режиме дополнительной услуги  и не предлагает посещать какие-либо сайты.


Не слишком доверяйте продавцам на AliExpress

На сайте AliExpress продают свои товары тысячи продавцов. Во избежание мошенничества площадка не передает деньги продавцу, пока покупатель не подтвердит получение товара. Однако неплохой механизм защиты имеет ряд изъянов. К примеру, покупатель заказал смартфон в магазине с хорошим рейтингом, но долгое время не может отследить свою посылку по выданному продавцом трек-номеру и начинает интересоваться у продавца, отправил ли тот посылку. Продавец клянется, что посылка уже в пути, просто почта сильно загружена, но он готов компенсировать доставленные неудобства суммой в $10-15. 

Покупателю надо лишь открыть диспут (спор) на частичную компенсацию стоимости товара. Продавец вернет эту небольшую сумму, однако закрытый по частичному возврату денег диспут повторно открыть будет невозможно. Продавцы-мошенники пользуются этой схемой, покупая или взламывая магазины с хорошим рейтингом. Посылка в таких случаях не отправляется, а номер отслеживания дается «фейковый».

При заказах на AliExpress важно также иметь ввиду, что открытый диспут можно как «отменить», так и «принять», «отредактировать» или «обострить». В случае принятия новый диспут открыть будет невозможно, даже если у вас осталось время на защиту своего заказа, чем также активно пользуются недобросовестные продавцы. Если же вы собрались обострить спор, проверьте сумму запроса на возмещение, продавец имеет возможность снизить ее до нуля.


Проверяйте шифрование платежной системы

Перед совершением платежа всегда проверяйте, зашифровано ли соединение на странице оплаты. В электронных платежных системах должен использоваться протокол HTTPS. Большинство современных браузеров отображают информацию о безопасности веб-сайта в адресной строке в виде префикса «HTTPS». 


Контролируйте счета

Во многих банках есть  стандартные лимиты по сумме перевода денежных средств в течение суток, что при своевременном вмешательстве позволит избежать максимальных потерь. Эти суммы достаточно велики (для карт Сбербанка Visa Electron/Maestro — 50 000 рублей, для остальных — 150 000 рублей), поэтому перед отъездом лучше обратиться в банк и самостоятельно установить требуемый лимит. За границей лучше не отказываться от SMS-подтверждений транзакций и переставить сим-карту, на которую приходят оповещения, во второй слот своего смартфона (если запасной слот есть). Наиболее безопасной стратегией будет использовать для SMS-подтверждений простой телефон, который не может быть заражен вирусами, способными скрывать сообщения о транзакциях.  


Не используйте один и тот же пароль дважды 

Утечки логинов и паролей пользователей случаются у крупнейших компаний мира – Adobe, Ebay, PayPal. Поэтому один и тот же пароль на разных ресурсах делает вас крайне уязвимым. Кроме того, пароли должны быть сложные. Сгенерировать и сохранить их помогут менеджеры паролей – 1Password, KeePass Password Safe, Roboform. Если же вы не доверяете этим программам, попробуйте использовать в качестве паролей строки из любимых стихов, набирая их русскими буквами в английской раскладке.


Не доверяйте письмам со скидками

Самые заманчивые предложения и «секретные скидки» в электронной почте могут оказаться попыткой фишинга. Тот же дизайн, что и у вашего любимого магазина, тот же адрес (после маскировки с помощью спуфинга). Перед тем как оплачивать покупку, как минимум наберите знакомый вам адрес сайта в новом окне и поищите понравившееся предложение.
Alt text

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!

Headlight Security

Блог компании HeadLight Security.