1

Osoby niepełnosprawne,także niewidome, mogą zapośrednictwem internetu fi-nalizować transakcje, zlecaćpłatności itd. Wśród niewi-domych są nawet ludzie pro-wadzący firmy. Czy osobęniewidomą łatwiej wprowa-dzić w błąd niż osobę w peł-ni sprawną? Czy osoba nie-pełnosprawna potrzebujepomocy innych, aby zapew-nić sobie e-bezpieczeństwo?

Aby znaleźć odpowiedzina te pytania, konsultowałemsię z niewidomym PawłemPluszczykiem z FundacjiWidzialni. Do ciekawej sytu-acji doszło, kiedy przesyła-łem panu Pluszczykowi wy-powiedzi do autoryzacji.Okazało się, że niewidomydopatrzył się w tekście błę-du składniowego, który japrzeoczyłem. W ten sposóbna własnej skórze przekona-łem się, że osoba niewidomaz czytnikiem tekstu może„widzieć” więcej niż osobawidząca polegająca na zmy-śle wzroku.

Wystarczy czytaćJeśli osoba niewidoma de-

cyduje się na korzystaniez bankowych e-usług, topodstawowa zasada bezpie-czeństwa jest dla niej takasama jak dla innych klientów– trzeba uważnie czytaćumowy i regulaminy, z tymże niewidomy zrobi to za po-mocą czytnika ekranowego.

– Jeśli cokolwiek budzi na-sze wątpliwości, wystarczykontakt telefoniczny z ob-sługą klienta czy odpowied-nim działem, aby wyjaśnić

wątpliwości. Tak zwanydrobny druk dotyczy naswszystkich – mówi PawełPluszczyk, uśmiechając się,i dodaje: – W tym wypadkudrobny druk to pewnego ro-dzaju metafora odnoszącasię do faktu, że powinniśmysię zapoznawać z całą umo-wą czy regulaminem usług,które nas interesują.

W odniesieniu do bezpie-czeństwa konsumenta oso-ba niewidoma może być na-rażona na podobne niebez-pieczeństwa jak osobaw pełni sprawna i może sięprzed nimi w podobny spo-sób bronić. To nie wyczer-puje jednak wszystkich pro-blemów bezpieczeństwausług bankowych. Osobyniewidome są przecieżużytkownikami kompute-rów i z tym wiążą się dodat-kowe zagrożenia.

W Polsce w powszechnymużyciu są dwa programyczytające – Jaws oraz Win-dows Eyes. W sumie pracu-je na nich ok. 90 proc. nie-widomych użytkownikówkomputerów. Są to programydo środowiska Windows,które samo w sobie jest dośćpodatne na takie zagrożenia,jak trojany, robaki i oprogra-mowanie szpiegujące.

Aby chronić się przed ty-mi zagrożeniami, użytkow-nik musi po pierwsze dbaćo stan swojego oprogramo-wania. Trzeba pobierać i in-stalować aktualizacje wy-dawane przez Microsoftoraz producentów przeglą-darek. Zapytany o tę spra-wę Paweł Pluszczyk powie-

dział, że niewidomi mogąw pełni samodzielnie aktu-alizować swoje systemyoperacyjne i inne programy.

Drugi warunek bezpie-czeństwa to dodatkowe za-bezpieczenia, takie jak anty-wirus i firewall. Równieżnie jest to problem dla nie-widomych.

Jest też trzeci element – czujność użytkownika.Trzeba unikać podejrza-nych stron, nie klikać w lin-ki zawarte w podejrzanyche-mailach itd. To równieżnie sprawia problemu oso-bom niewidomym. Opro-gramowanie asystujące dys-ponuje alertami, któreostrzegają przed takimi nie-bezpieczeństwami, jak np.niechciane przekierowania.

Nie oznacza to jednak, żeosoby niewidome lub inneosoby niepełnosprawne niestaną się specyficznym celemcyberprzestępców. Wspomi-naliśmy już, że banki robiąbłąd, ignorując tysiące nie-pełnosprawnych klientów.Niestety internetowi prze-stępcy mogą nie zrobić tegobłędu.

Atak na niewidomychW roku 2008 badacz bez-

pieczeństwa Vanja Svajcerz firmy Sophos zidentyfiko-wał tzw. crack dla popular-nego oprogramowania czyta-jącego JAWS 9.0. Crack toniewielkich rozmiarów pro-gram, który – zainstalowa-ny obok innych programów– umożliwia przełamanieich zabezpieczeń i urucho-mienie ich bez licencji.

Crack, na którego trop tra-fił Svajcer, nie tylko umożli-wiał uruchomienie pirackiejwersji JAWS, ale także insta-lował trojana atakującegoJAWS oraz inne popularneczytniki. Szkodnik ten powo-dował, iż komputer stawałsię bezużyteczny dla osobyniewidomej. W ocenie Svaj-cera twórcą trojana był do-bry programista, który niekierował się motywami fi-nansowymi. Nie ma jednakwątpliwości, że celem atakubyli niewidomi. Być możeautor trojana chciał ukaraćich za korzystanie z nieauto-ryzowanej kopii oprogramo-wania, ale to tylko domysły.

Opisany wyżej atak byłbardzo nietypowy, być mo-że jedyny w swoim rodzaju.Specjaliści od bezpieczeń-stwa przyznają jednak, żeteoretycznie możliwe są in-ne ataki na niepełnospraw-nych, np. oszukiwanie opro-gramowania czytającego.Teoretycznie możliwe jestnaprowadzenie czytnika na

przeczytanie tekstu innegoniż wyświetlany, co mogło-by posłużyć do finansowychcyberoszustw. Trzeba jednakpodkreślić, że to tylko ogól-na koncepcja możliwegoataku, a nie zagrożenie spo-tykane w internecie.

Złe kolory, płaskie kartyWarto jeszcze wspomnieć

o tym, że ostrożność w siecipowinny zachować osobyz daltonizmem. Niektóreaplikacje (np. przeglądar-ki) wyświetlają ostrzeżeniawkolorach żółtym, zielonymiczerwonym. Dla większościz nas są to kolory kontrasto-we, ale daltoniści mogą ichnie rozróżnić. Problem tendostrzegli m.in. twórcy do-datku do przeglądarki Webof Trust (WOT), który ostrze-ga przed oszukańczymi witry-nami. Stworzyli oni wersjęWOT z alternatywną kolory-styką dostosowaną do po-trzeb daltonistów.

Z problemem bezpieczeń-stwa pośrednio związany

jest problem dostosowaniausług e-bankowości do po-trzeb niepełnosprawnych.Może bowiem dochodzić dosytuacji, w których niewido-my użytkownik zmuszonyjest skorzystać z nietypo-wych rozwiązań.

Niektóre banki oferująkarty kodów jednorazo-wych do autoryzowaniatransakcji. Takie karty sąpłaskie i właściwie dla osóbniewidomych są nieprzy-datne. Czasem jednak oso-by te decydują się na ko-rzystanie z nich, proszącosobę zaufaną o pomocw przepisaniu haseł jedno-razowych np. do notatnikana komputerze.

Może się więc zdarzyć, że ha-sła do autoryzacji znajdą sięw pliku na komputerze. Niemożna wykluczyć też naru-szenia bezpieczeństwa zestrony osoby zaufanej. Pro-blemu takiego da się uniknąć,jeśli bankowy serwis oferujekody jednorazowe przesyła-ne SMS-em. Takie wiadomo-ści osoba niewidoma możeodczytać samodzielnie za po-mocą oprogramowania na te-lefonie z Symbianem lubWindows Mobile.

W ten sposób wracamy do szerszego problemu, ja-kim jest ogólne dostosowa-nie usług bankowych do po-trzeb osób niepełnospraw-nych. Jeśli e-usługi będąbudowane od podstawz myślą o potrzebach nie-pełnosprawnych, równieżdbanie o bezpieczeństwobędzie dużo łatwiejsze.MARCIN MAJ

Strony internetowe większo-ści polskich banków nie są do-stępne dla osób niepełno-sprawnych – wynika z testówserwisu Widzialni.eu.

Z trzynastu stron przeba-danych przez Widzialnychjedynie dwie otrzymały oce-ny dobre, a aż cztery ocenyniedostateczne. Kilka ban-ków odniosło się do uzyska-nych w raporcie wyników.Rosnąca liczba sklepów,

a także coraz szerszy asor-tyment towarów i usług do-stępnych w internecie spra-wiają, że dokonywanie zaku-pów bez ruszania się sprzedekranu monitora zyskujeszybko na popularności. Po-nieważ jednak w tym wy-padku nie mamy fizyczne-go kontaktu z samym skle-pem i jego pracownika-mi, powinniśmy zachowaćwiększą ostrożność. Co więc

zrobić, by sieciowe zakupynie okazały się jedynie stra-tą pieniędzy i czasu?

Popularność zakupów wsie-ci wykorzystują nie tylkouczciwe osoby, ale takżerzesza przestępców, któ-rych jedynym celem jestwyłudzenie pieniędzy, da-nych osobowych lub nume-ru karty kredytowej. Wizy-tę w każdym niesprawdzo-nym wcześniej sklepie

powinniśmy zacząć odzwrócenia uwagi na kilkarzeczy.

Godny zaufania sklep inter-netowy umieści wswoim ser-wisie wszystkie dane dotyczą-ce prowadzonej działalnościgospodarczej. Sprawdźmywięc, czy są:n adres siedziby firmy, n numery REGON i NIP, n zasady zapłaty za zamó-

wienia,

n koszty, terminy i sposobydostawy towarów/usług,

n sposoby składania rekla-macji,

n dane kontaktowe. Większość sklepów inter-

netowych będzie wymagaćod klienta założenia konta,by możliwa była realizacjazamówienia. Konieczne bę-dzie podanie naszych da-nych osobowych, numerutelefonu i adresu poczty

elektronicznej, a także ad-resu, pod który ma nastąpićwysyłka. Zastanówmy sięprzed podaniem sklepowiwiększej ilości informacjiniż faktycznie potrzebne dodokonania zakupu. Istnie-je bowiem tendencja do te-go, by zbierać jak najwięcejinformacji o swoich klien-tach. Zazwyczaj w celachmarketingowych.

| cd. na str 4

F I N A N S E | Z A K U P Y | T E C H N O L O G I E

ekstra w internecieBezpieczeństwo niepełnosprawnych w sieciOSOBY NIEPEŁNOSPRAWNE korzystające z bankowości lub płatności online muszą uważać na te same elementy co inni użytkownicy. Warto przy tym podkreślić, że o swoje bezpieczeństwo mogą dbać całkowicie samodzielnie

PROJEKT DOFINANSOWANYZE ŚRODKÓW

NARODOWEGO BANKU POLSKIEGO

DODATEKPRZYGOTOWAŁA

REDAKCJA SERWISU

Bezpieczeństwo finansowe

NOWOCZESNE TECHNOLOGIE w życiu codziennym

Jak bezpiecznie robić zakupy w sieci

G2 INTERNET DGP | 28 października 2010 | nr 211 (2842) | WWW.GAZETAPRAWNA.PL

1

Niepełnosprawni mają problem z bankami W testach stron banków

uczestniczyły osoby niepeł-nosprawne z różnymi rodza-jami dysfunkcji. Osoby nie-widome pracowały z wyko-rzystaniem programówczytających, Window Eyesi Jaws, osoby niedowidzące– programów powiększają-cych Lunar – natomiast oso-by głuche sprawdzały ser-wisy pod kątem zrozumieniatreści. Badania miały cha-rakter jakościowy.

Wszyscy testujący mieli dowykonania kilka zadań, doktórych należało m.in. od-nalezienie infolinii banku,adresu placówki, aktual-nych kursów walut. Spraw-dzano również opisy tytu-łów podstron, prawidłoweopisanie linków i zastoso-wanie nagłówków.

Najwięcej trudności spra-wiały formularze logowaniado systemów bankowych,wktórych pola były nieprawi-dłowo opisane. Dużą trudno-ścią dla osób niedowidzącychbył niewystarczający kontrastpomiędzy tłem serwisu a je-go treścią. Pomimo zastoso-wania dużego powiększenianie były one w stanie odna-leźć wielu treści.

W ocenie niepełnospraw-nych żaden z badanych

serwisów nie zasługiwałna ocenę bardzo dobrą,a jedynie dwa otrzymałyoceny dobre. Wśród nichznalazły się ING Banki Alior Bank. Natomiastoceny niedostateczneotrzymały: Kredyt Bank,Noble Bank, Citibank i Eu-robank. Ranking bankówobecny jest na załączonymobok obrazku.

Każdy z badanych serwi-sów miał jakiś problem,m.in. z:

n poprawnymi opisami ty-tułów podstron,

n poprawnymi opisami na-główków,

n bezpośrednim czytaniemprzez program czytającytekstu po kliknięciu nalink,

n odpowiednim kontrastemmiędzy tłem serwisu a je-go treścią,

n odpowiednio opisanymilinkami,

n opisaniem pola formula-rzy,

n jednolitością stylów czcio-nek.

– Z przeprowadzonychbadań wynika, że najwięk-sze problemy to słaby kon-trast pomiędzy tłem serwi-su a jego zawartością orazźle opisane pola formularzy.Informacja jeszcze nie zo-stała rozesłana do banków,ale już wkrótce każdy z ba-danych banków otrzymaraport – mówi Artur Mar-cinkowski, autor serwisuWidzialni.

Dziennik Internautów po-stanowił sprawdzić, jak nawiadomość o rankingu za-reagują przedstawiciele ba-danych banków.

Ewa Szerszeń, zastępcarzecznika prasowego INGBanku Śląskiego, który zająłpierwsze miejsce w rankin-gu, stwierdziła, że tworzącstronę banku, uwzględnio-no również osoby niepełno-sprawne.

– Staramy się, aby strony in-formacyjne ING Banku Ślą-

skiego były dostępne dlamożliwie jak najszerszegokręgu odbiorców, bez wzglę-du na sposób, w jaki korzy-stają internauci przegląda-jący stronę – tłumaczy EwaSzerszeń.

Bank dostał ocenę 4, jestto wynik dobry, ale nie naj-wyższy możliwy. Przedsta-wicielka ING zapewnia, żebank nie spocznie na lau-rach, tylko będzie na bieżą-co poprawiać użytecznośći dostępność stron zgodnie

STRONY INTERNETOWE większości polskich banków nie są dostępne dla osób niepełnosprawnych – wynika z testów serwisu przez Widzialnych stron jedynie dwie otrzymały oceny dobre, a aż cztery oceny niedostateczne. Kilka banków odniosło się

mmiieejjssccee bbaannkk ssttrroonnaa ppkktt** oocceennaa kkoońńccoowwaa1 ING Bank Śląski www.ingbank.pl 20,3 dobra2 Alior Bank www.aliorbank.pk 18,3 dobra3 Getin Bank www.getinbank.pl 16,7 dostateczna4 PKO BP www.pkobp.pl 16 dostateczna5 Lukas Bank www.lukasbank.pl 15,7 dostateczna6 MultiBank www.multibank.pl 14,6 dostateczna7 Bank BPH www.bph.pl 14,3 dostateczna8 Bank Pekao www.pekao.com.pl 13 dostateczna9 Millennium Bank www.millenet.pl 12,5 dostateczna mniej10 Kredyt Bank www.kredytbank.pl 12,2 niedostateczna plus11 Noble Bank www.noblebank.pl 11,3 niedostateczna12 Citi Handlowy www.citibank.pl 11,2 niedostateczna13 Eurobank www.eurobank.pl 9,4 niedostateczna

*Banki mogły zdobyć do 24 pkt

Dostępność serwisów www wybranych banków dla niepełnosprawnych

ATAKI W SIECI Wyłudzanie danych przez internet

Phishing – jak go rozpoznać i jak się przed nim Cyberprzestępców wyobraża-my sobie zwykle jako ludzi do-brze obeznanych z kompute-rami. Okazuje się jednak, żeprzeprowadzenie niektórychataków nie wymaga rozległejwiedzy informatycznej.

Należy do nich także phi-shing – najpopularniejszaobecnie metoda wyłudzaniadanych, takich jak numerykont bankowych, identyfika-tory używane podczas logo-wania, hasła oraz kody jedno-razowe służące do potwier-dzania transakcji.Typowyatak phishingowy składa sięz kilku kroków. Najpierw cy-berprzestępca wybiera, kogozaatakuje – załóżmy, że będąto klienci określonego banku.Tworzona jest witryna przy-pominająca oryginalną stro-nę logowania do konta.Wszystkie wprowadzone naniej dane będą przekazywa-ne cyberprzestępcy. Kolej-nym krokiem jest rozpo-wszechnienie odnośnika dospreparowanej strony. Naj-częściej używa się do tego ce-lu poczty elektronicznej. Je-żeli wiadomość będzie spra-wiać wrażenie wiarygodnej,jest szansa, że jej odbiorcakliknie w zamieszczony wtre-ści odnośnik ipróbując się za-logować się na podrobionejstronie, przekaże dane dostę-powe do swojego konta ata-kującemu.

Czy to działaNiestety tak, również na

polskim gruncie. W 2008 ro-

ku cyberprzestępcy obralisobie za cel klientów BankuZachodniego WBK. Pierwszaz rozesłanych wiadomościzostała napisana łamanąpolszczyzną (do jej stworze-nia wykorzystano zapewnetranslator). Niedbała opra-wa graficzna i linki kierują-ce do stron, których adresyw najmniejszym nawetstopniu nie przypominałyadresu oryginalnego serwi-su bankowego, wzbudziłypodejrzenia nawet u osóbnieświadomych zjawiskaphishingu. Niedługo po tym incydencie internauciotrzymali jednak drugą por-cję fałszywej koresponden-cji przygotowanej w dwóchjęzykach: angielskim i pol-skim. Tym razem cyber-przestępcy przyszykowalisię o wiele lepiej – wiado-mość po polsku wyglądałaprofesjonalnie i na pierw-szy rzut oka niełatwo byłozwietrzyć podstęp (zob.„Sprytniejszy atak na klien-tów BZ WBK 24”).

Atak na BZ WBK powta-rzany był kilkakrotnie, nieoznacza to jednak, że klien-ci innych banków działają-cych na polskim rynku mo-gą czuć się bezpiecznie. Na początku 2010 roku e-mailem rozesłano zachętędo podania danych w celurzekomego odblokowaniakonta prowadzonego przezPKO BP. Wiadomości byłyprzygotowane dość nieudol-nie, prawdopodobnie przy

użyciu automatycznego tłu-macza, niewykluczone jed-nak, że oszustom udało sięnabrać mniej świadomychużytkowników sieci (zob.„Klienci PKO BP na celow-niku oszustów”). Miesiącpóźniej podobną akcję prze-prowadzono w stosunku do osób mających kontow Lukas Banku (zob. „Cy-berprzestępcy przymierzająsię do ataku na LukasBank?”). Według MaciejaZiarka, analityka polskiegooddziału Kaspersky Lab, po-sunięcia te należy traktowaćjako wstępne „rozpoznanieterenu” przez cyberprze-stępców, w przyszłości spo-dziewać się bardziej prze-myślanych ataków.

Skala zjawiskaPrzeglądając raporty doty-

czące krążącego w interne-cie spamu, można nabrać

przekonania, że rozsyłaniewiadomości phishingowychnie jest powszechnych zja-wiskiem. Ilość niechcianejkorespondencji w ruchupocztowym sięga obecnie82,6 proc., ale odnośniki dofałszywych stron interneto-wych specjaliści wykryli tyl-ko w 0,03 proc. e-maili (zob.„Masowe wysyłki spamustają się coraz bardziej szko-dliwe”).

Spójrzmy jednak na phi-shing z nieco innej strony.Eksperci z laboratoriumPandaLabs szacują, że co ty-dzień w internecie pojawiasię 57 tys. nowych stronpodszywających się podokoło 375 rozpoznawalnychmarek z całego świata. Aż64,72 proc. z nich udaje wi-tryny różnych banków. Nadrugim miejscu z udziałemsięgającym 26,81 proc. pla-sują się podrobione strony

sklepów internetowych. Od-nośniki do nich cyberprze-stępcy rozsyłają przy użyciupoczty elektronicznej, pu-blikują w serwisach społecz-nościowych, takich jak Face-book czy Twitter, a także pozycjonują za pomocątechnik Black Hat SEOw wynikach wyszukiwania,mając nadzieję, że nieostroż-ni użytkownicy przez po-myłkę je odwiedzą (zob. „Cotydzień przybywa 57 tys.złośliwych stron interneto-wych”). Ta ostatnia metodazaczyna wypierać rozpo-wszechnianie odnośnikówdo sfałszowanych stron zapomocą e-maili.

TabnabbingNa uwagę zasługuje także

opracowana pod koniecmaja metoda wyłudzaniapoufnych danych wykorzy-stująca system przegląda-nia kart w nowoczesnychprzeglądarkach.

Przede wszystkim cyber-przestępca musi zwabićużytkownika na zainfeko-waną stronę.

Może do tego celu użyćaktualnych, budzących po-wszechne zainteresowanietematów. Jeżeli użytkownikpo zapoznaniu się z cieka-wiącymi go informacjamiprzejdzie do innej kartyprzeglądarki, nie zamyka-jąc podstawionej strony, tozaimplementowany na niejskrypt podmieni jej zawar-tość. Osoba korzystająca

z wielu kart jednocześniemoże tej podmiany w ogó-le nie zauważyć. Wchodzącponownie na spreparowanąstronę, zobaczy np. panellogowania do bankowegokonta.

Adres strony nie zmienisię, ale uwzględniając fakt,że internauci większą uwa-gę zwracają na wygląd stro-ny i opis karty, można ocze-kiwać, że wielu nabierze sięna taki trick.

Dane wprowadzone napodrobionej stronie trafiąoczywiście do jej twórcy,a użytkownik zostanieprzekierowany na oryginal-ną witrynę (zob. „Nowysposób na phishing – najbar-dziej zagrożeni użytkowni-cy Firefoksa”).

Zamknięta kłódka Podczas logowania się na

konto bankowe należyprzede wszystkim spraw-dzić, czy połączenie jestszyfrowane – adres stronybędzie się wówczas zaczy-nać od https://, a nie http://.Zobaczymy też charaktery-styczny symbol zamkniętejkłódki (w zależności odprzeglądarki – w prawymdolnym rogu na pasku sta-nu albo w górnej częściekranu obok adresu). Tojednak nie wystarczy. We-dług ekspertów z firmy Sy-mantec rośnie bowiem licz-ba ataków phishingowychz wykorzystaniem orygi-nalnych certyfikatów SSL

O edukacji ekonomicznej czytaj na nbportal.pl

G3INTERNETDGP | 28 października 2010 | nr 211 (2842) | WWW.GAZETAPRAWNA.PL

1

online Jak zabezpieczyć serwis sprzedażowy Widzialni.eu. Z trzynastu przebadanych

do uzyskanych w raporcie wyników

WITRYNA E-SKLEPU musi być zabezpieczona. Trzeba uchronić dane, które klienci będą przesyłać, przed trafieniem w niepowołane ręce

z obowiązującymi standar-dami i konwencjami.

– Jako że oprogramowaniewspierające nawigację postronach dla osób niewido-mych tworzone jest z myśląo obowiązujących standar-dach, wierzymy, że taki spo-sób rozwoju naszych stronznacznie poprawi dostępnośćserwisów dla każdego inter-nauty – w tym także dla oso-by niewidomej – mówi EwaSzerszeń. Dodaje, że znającwyniki badań, ING jest wsta-nie poprawić wskazane przezniewidomych usterki, oczywi-ście jeśli implementacja tegorodzaju rozwiązań nie wpły-nie negatywnie na bezpie-czeństwo i jakość stosowa-nych rozwiązań.

Anna Szlanta z zespołu ko-munikacji zewnętrznej Kre-dyt Banku w e-mailu prze-słanym do Dziennika Inter-nautów tak odniosła się doniedostatecznej oceny przy-znanej tej instytucji:

– Mamy pełną świado-mość niedoskonałości ser-wisu internetowego KredytBanku, w szczególnościpod względem dostępnościtreści dla osób niewido-mych. Jesteśmy w trakcieprac nad nowym serwisemdostosowanym również do

potrzeb osób niepełno-sprawnych. W pracach nadnowym serwisem duży na-cisk stawiamy na popra-wienie dostępności serwi-su, uproszczenie i ułatwie-nie nawigacji, poprawieniearchitektury informacji – skrócenie drogi dotarcia doszukanych informacji orazwłaściwy dobór kolorówi możliwość regulowaniarozmiaru czcionki przezużytkownika strony”.

Joanna Fatek z Noble Ban-ku również obiecała popra-wę funkcjonowania serwisu,o ile zajdzie taka koniecz-ność wynikająca z wyraź-nych próśb osób niepełno-sprawnych.

– Zdajemy sobie sprawę, żedostępność banku dla klien-tów niepełnosprawnych niejest zadowalająca. Jednak niezaobserwowaliśmy sygna-łów od klientów, że naszastrona powinna być popra-wiona.Gdyby takie sygnałybyły, strona zostałaby dosto-sowana do potrzeb niepeł-nosprawnych – mówi.

Podsumowanie testu dostępności serwisówWWW wybranych bankówz marca 2009 r., źródło: Widzialni.eu.MARCIN MAJ

chronićna sfałszowanych witry-nach. Cyberprzestępcy sta-rają się w ten sposób nadaćpodrobionym stronom au-tentyczny charakter.

Aby to osiągnąć, włamująsię na serwer legalnie dzia-łającej firmy i używają go doopublikowania własnej wi-tryny. Zazwyczaj przypo-mina ona stronę logowaniakonkretnego banku, w rze-czywistości nie łączy sięjednak z jego autentycznymserwerem i certyfikatem.Korzysta natomiast z certy-fikatu przechwyconegowcześniej serwera legalnejfirmy, dzięki czemu naekranie wyświetla się sym-bol zamkniętej kłódki in-formujący o szyfrowaniupołączenia (zob. Phishingz użyciem autentycznychcertyfikatów SSL). Dlategoprzed zalogowaniem się naswoje konto bankowe nale-ży zawsze zweryfikowaćważność certyfikatu orazto, czy został on wystawio-ny dla danego adresu.

Inne sposoby Warto pamiętać, że banki

nie wysyłają swoim klien-tom e-maili z prośbą o po-danie poufnych informacji,takich jak identyfikatoryi hasła używane podczas lo-gowania, numery kont ban-kowych i kart kredyto-wych, PIN-y czy jakiekol-wiek dane identyfikacyjne.Korzystają z poczty elektro-nicznej tylko w celach in-

formacyjnych – po wcze-śniejszym wyrażeniu zgo-dy przez klienta przesyłająmu np. miesięczne wycią-gi z konta czy informacjeo nowościach wprowadzo-nych w ofercie. Nie umiesz-czają też w swoich wiado-mościach odnośników po-zwalających nazalogowanie się do syste-mu transakcyjnego. E-m-aile, które nie spełniajątych reguł, należy ignoro-wać.

Ważne jest również korzy-stanie z regularnie aktuali-zowanego programu antywi-rusowego. Niektóre pakie-ty zostały wyposażonew moduły antyphishingo-we, które sprawdzają, czyodwiedzane przez użyt-kownika strony nie zostałyzgłoszone do specjalnegorejestru witryn wyłudzają-cych dane. Jeśli nie dyspo-nujemy takim rozwiąza-niem, warto sprawdzić, coma do zaoferowania uży-wana przez nas przeglądar-ka. Producenci większościz nich zaopatrzyli już swo-je aplikacje w dodatki słu-żące do rozpoznawania,a nawet blokowania podro-bionych stron. Nie zawadziteż systematyczne aktuali-zowanie systemu operacyj-nego i zainstalowanego nanim oprogramowania, cy-berprzestępcy starają siębowiem wykorzystać każ-dą niezałataną lukę. ANNA WASILEWSKA-ŚPIOCH

Przystępując do tworzeniawitryny swojego e-sklepulub zlecając to komukol-wiek, sprzedawca nie możezaniedbać kwestii bezpie-czeństwa. Błędy popełnionena etapie planowania bywa-ją bardzo trudne do usunię-cia w przyszłości. W wyni-ku niewłaściwego zabezpie-czenia serwisu może dojśćnie tylko do spadku zado-wolenia klientów, lecz tak-że do strat finansowych po-wstałych na skutek kradzie-ży. Przygotowaliśmy krótkiprzewodnik, na co trzebazwrócić uwagę w pierwszejkolejności.

Czy stosować szyfrowanieDane wprowadzone przez

użytkownika do formularzasą przesyłane przez sieć, mi-jają wiele routerów i serwe-rów, zanim dotrą do miej-sca przeznaczenia. Z regu-ły urządzenia te tylkomonitorują zajętość pasma,jeśli jednak cyberprzestęp-ca zdobędzie kontrolę nadjednym z nich, to będziemógł śledzić wszystkieprzesyłki. Istnieją narzędzianazywane snifferami, któresłużą do przechwytywaniatransmisji danych. Z ich po-mocą osoby postronne mo-gą uzyskać dostęp do infor-macji niekiedy tak pouf-nych jak hasła. Abyograniczyć możliwość ata-ku, warto wykorzystywaćtransmisję szyfrowaną, gdyżjej przechwycenie nie groziodczytaniem. W bankowo-ści internetowej i handluelektronicznym powszech-nie stosuje się bezpiecznepołączenia internetowe (zob.„Wtrosce obezpieczeństwo,czyli do czego służy SSL” – http://di.com.pl/porady/28175.html).

Przesyłane dane właścicielsklepu internetowego możezaszyfrować za pomocą pro-tokołu SSL (ang. SecureSockets Layer) lub jego roz-winięcia TLS (ang. Trans-port Layer Security). Aby tozrobić, musi najpierw wyge-nerować klucz prywatnyswojego hosta i żądanie cer-tyfikatu (ang. Certificate Si-gning Request, w skrócieCSR). Wcelu wprowadzeniaszyfrowanych połączeńmożna się posłużyć darmo-wym, multiplatformowymnarzędziem OpenSSL. CSRnależy wysłać do zaufanegocentrum certyfikacji, którewystawi certyfikat potwier-dzający autentyczność zgło-szonej witryny.

Istnieje wprawdzie możli-wość samodzielnego wyge-nerowania certyfikatu (rów-nież przy użyciu OpenSSL),nie jest to jednak zaleca-ne. W przeciwieństwie docertyfikatów podpisanychprzez znane i przeważniezagraniczne podmioty niebędzie on obecny w popu-larnych przeglądarkach.Spowoduje to wyświetlaniesię komunikatu o niezaufa-nym połączeniu podczas

odwiedzin na zabezpieczo-nej w ten sposób stronie.Raczej nie wzbudzi to za-ufania klientów. W Polscew 2010 r. było 5 kwalifiko-wanych podmiotów świad-czących usługi certyfika-cyjne.

Jednym z często popełnia-nych błędów jest przechowy-wanie haseł w postaci jaw-nej, ewentualna kradzieżbazy danych może bowiemw takim przypadku przy-sporzyć użytkownikomwiele kłopotów. Aby zmi-nimalizować ryzyko, nale-ży stosować program, któ-ry korzysta z funkcji has-hującej. Podany przez użyt-kownika ciąg znaków jed-noznacznie odwzorowywa-ny jest na klucz o stałej długości. Do najczęściejużywanych algorytmów na-leżał SHA-1 (ang. SecureHash Algorithm). Innego al-gorytmu MD5 (ang. Messa-ge Digest 5) nie uznaje sięobecnie za bezpieczny i niejest on zalecany. Od 2010 r.amerykański National Insti-tute of Standards and Tech-nology zaleca stosowaniefunkcji skrótów SHA-2.

System, aby podjąć decyzję,czy wpuścić użytkownikado środka, generuje hash ha-sła wpisanego w formularzlogowania i porównuje z za-pamiętanym w bazie. Jeśliskróty są identyczne, udzie-la dostępu. Ponieważ algo-rytm jest jednoznaczny, ta-kie samo hasło generuje za-wsze taki sam hash. Tonatomiast, że funkcje skró-tu są jednostronne (nie ist-nieje funkcja odwrotna),gwarantuje, że na podstawieskrótu nie da się algoryt-micznie odtworzyć hasła. Tuwłaśnie rodzi się nasze bez-pieczeństwo – tłumaczy Mi-chał Piszczek, kierownikdziału programistów wfirmieESC S.A. (zob. „Hasho-wanie haseł użytkowników– czy to konieczne?” – http://di.com.pl/news/28895.html).

Przestępcy łamią hasłaCyberprzestępcy dążą

oczywiście do opracowaniametod umożliwiającychzłamanie zahashowanychhaseł.

Proces ten można utrud-nić, stosując tzw. salt –przed przekształceniemkażdego hasła należy dokle-ić do niego np. 100-znako-wy ciąg definiowany w ko-dzie źródłowym. Spowodu-

je to, że moc przechowywa-nych w bazie haseł wzro-śnie do tego stopnia, że sta-ną się one praktycznie nie-podatne na atak.

Ograniczone zaufanieSpecjaliści ds. bezpieczeń-

stwa zalecają nieufanie żad-nym danym, które użytkow-nik może wprowadzić przyużyciu niezabezpieczonegoformularza. Jednym z naj-popularniejszych ataków,przed którym nie ustrzegłysię nawet znane instytucje,jest XSS (ang. cross-sitescripting), czyli zagnieżdża-nie złośliwego kodu w ory-ginalnej treści witryny. Z je-go pomocą można przekie-rować użytkownika naspreparowaną stronę, zain-stalować w jego systemiekonia trojańskiego, ukraśćpoufne dane przechowywa-ne w plikach cookies lubsfałszować zawartość orygi-nalnego serwisu (zob. „Comoże grozić za atak XSS” –http://di.com.pl/news/28023.html).

Kontrola danychChcąc tego uniknąć, trze-

ba stosować filtrowanie tre-ści generowanych przezklientów, zwłaszcza pod ką-tem znaczników HTML.Warto sprawdzać, czy wpro-wadzone dane odpowiada-ją formatowi, którego ocze-kiwaliśmy (np. numery te-lefonów składają się z cyfr,wpisanie czegoś innego po-winno skutkować wyświe-tleniem komunikatu o błę-dzie).

Pozwoli to uchronić siętakże przed inną metodąataku, znaną jako SQL Injec-tion. Dzięki umiejętnej mo-dyfikacji zapytania SQL cyberprzestępca może uzy-skać nieautoryzowany do-stęp do bazy danych, pobraćinteresujące go informacje,dodać swoje, zmienić struk-turę bazy czy nawet ją usu-nąć. Podstawową linią obro-ny przeciwko takim atakomjest kontrola danych prze-kazywanych za pomocą for-mularzy połączona z odpo-wiednią konfiguracją środo-wiska bazodanowego.

Warto też pamiętać o ata-kach CSRF (ang. cross-siterequest forgery), które pole-gają na zmuszeniu nic nie-podejrzewającego użytkow-nika do wykonania określo-nej akcji w czasie trwaniauwierzytelnionej sesji, np.

umieszczenia w swoim ko-szyku określonego produk-tu z oferty sklepu. Istniejewiele metod utrudniającychprzeprowadzanie takich ata-ków. Jedną znajpopularniej-szych jest dodatkowa auto-ryzacja wprzypadku działań,które mogłyby mieć niepo-żądane skutki. Innym, rów-nie popularnym sposobemobrony jest dodanie do for-mularza ukrytego pola za-wierającego indywidualnyidentyfikator wykonywanejoperacji, który będzie gene-rowany po stronie serwera.Każda akcja niemająca po-prawnego identyfikatoramusi zostać odrzucona.

Spośród technologii służą-cych do tworzenia dyna-micznych stron interneto-wych największą popular-nością cieszy się w naszymkraju PHP. Ma to zapewnezwiązek z bezproblemowądostępnością usług hostin-gowych wspierających torozwiązanie. Powstają jed-nak firmy hostujące serwi-sy opracowane przy użyciuASP.NET i JSP. Którąkol-wiek technologię byśmywybrali, powinniśmy pa-miętać o regularnej aktuali-zacji użytego oprogramowa-nia, cyberprzestępcy stara-ją się bowiem wykorzystaćkażdą znalezioną lukę doswoich celów.

Dotyczy to również osób,które zdecydują się zbudo-wać swój sklep w oparciuo jeden z dostępnych narynku systemów zarządza-nia treścią (ang. Content Ma-nagement System, CMS).O tym, jak ważne jest na-tychmiastowe instalowaniełatek bezpieczeństwa, prze-konali się w 2008 roku użyt-kownicy systemu Joomla!.Przez polską sieć przetoczy-ła się wówczas fala atakówzainicjowana przez turec-kich script kiddies – domo-rosłych hakerów uzbrojo-nych w gotowe narzędziado łamania zabezpieczeń(zob. „Luki w Joomla! ak-tywnie wykorzystywane” –http://di.com.pl/news/23483.html).

Równie ważna jest po-prawna konfiguracja wyko-rzystanego oprogramowa-nia, co sprowadza się częstodo zmiany ustawień do-myślnych. Łatwe do odgad-nięcia hasło administratora,możliwość zarządzania ba-zą danych z każdego kom-putera, anonimowy dostępdo serwera FTP – to typowebłędy, których przeoczeniemoże się okazać katastrofal-ne w skutkach. Nie należyteż zapominać o gruntow-nym przetestowaniu serwi-su i to nie bezpośrednioprzed jego udostępnieniem,ale na różnych etapach po-wstawania. Warto nie od-kładać tego na ostatniąchwilę. Im później zostaniewykryty błąd, tym wyż-sze mogą być koszty jego na-prawy.MICHAŁ CHUDZIŃSKI

G4 INTERNET DGP | 28 października 2010 | nr 211 (2842) | WWW.GAZETAPRAWNA.PL

1

ATAKI W SIECI Nowe sposoby działania cyberprzestępców

Pharming – na czym polega i jak się przed nim zabezpieczyć

Zapraszamy na webinarium poświęcone tematyce Bezpieczeństwo Finansowe w Internecie- szczegóły oraz dokładny termin na stronie – http://bfi.di.com.pl

Łatwe do przeprowadzeniaataki takie jak phishing moż-na równie łatwo wykryć. Wy-starczy odpowiednia eduka-cja klientów, której banki sta-rają się nie zaniedbywać.Motywuje to cyberprzestęp-ców do obmyślania bardziejskomplikowanych metod wy-łudzania poufnych danych.Jedną z nich jest pharming,nazywany też zatruwaniempamięci DNS (ang. DNS ca-che poisoning).

Aby przekierować inter-nautę np. na sfałszowanąstronę logowania do kontabankowego, cyberprzestęp-cy nie muszą wysyłać mużadnych wiadomości. Wy-starczy, że zmienią adresyDNS na komputerze lub ser-werze ofiary. Podstawowymzadaniem systemu nazw do-menowych jest przekształ-canie adresów stron znanychinternautom na adresy zro-zumiałe dla urządzeń two-rzących sieć komputerową.Załóżmy, że użytkownikchce odwiedzić witrynę ban-ku, z którego usług korzysta.W pasku adresu przeglądar-ki wpisze www.mojbank.pl.DNS zamieni tę nazwę naodpowiadający jej adres IP mający postać np.147.89.37.122 (zob. „Jak to działa? Czyli więcej o sys-temie DNS” – http://di.com.pl/porady/25984.html).

Aby przyspieszyć wymia-nę danych, wykorzystuje siępamięć podręczną (ang. ca-che). Są w niej zapisywaneodpowiedzi DNS dla odwie-dzonych wcześniej witryn.

Jeżeli cyberprzestępca zmo-dyfikuje te zapisy (zamiast147.89.37.122 wprowadziadres IP podrobionej strony,np. 205.35.67.153), to powpisaniu przez użytkowni-ka adresu www.mojbank.plsystem nazw domenowychprzekieruje go na spreparo-waną witrynę. Cyberprze-stępca dołoży oczywiściestarań, żeby na pierwszyrzut oka nie różniła się onaod oryginalnej strony ban-ku. Użytkownik nie zorien-tuje się wówczas, że zostałoszukany. Jeżeli zaloguje sięna takiej stronie, wprowa-dzone przez niego dane(przede wszystkim identyfi-kator i hasło) trafią w ręceoszusta.

Strategie atakuIstnieje kilka sposobów za-

truwania pamięci DNS. Naj-bardziej rozpowszechnionypolega na zarażeniu syste-mu ofiary odpowiednim ko-niem trojańskim. Kreatyw-ność twórców szkodliwegooprogramowania zdaje się niemieć granic – specjaliści z fir-my McAfee obliczyli, że co-dziennie pojawia się około 55tys. nowych złośliwych apli-kacji (zob. „McAfee: Ilość spa-mu ustabilizowała się, szkod-niki nadal się mnożą” –http://di.com.pl/news/33151.html). Nie brakuje wśród nichszkodników storzonych wce-lu modyfikowania ustawieńDNS na zainfekowanymkomputerze użytkownika.W wyniku ich działaniazmianie ulega mapowanienazw domen do konkretnych

adresów IP. Użytkownik, jakw zaprezentowanym wyżejprzykładzie, po wpisaniu ad-resu swojego banku możeznaleźć się na stronie, któ-ra będzie wierną kopią ory-ginalnej witryny. Zalogowa-nie się na niej będzie skut-kować kradzieżą realnychśrodków zgromadzonych najego koncie.

Inną metodą, nazywanądrive-by pharming, jest za-gnieżdżanie w kodzie two-rzonych przez cyberprze-stępców stron skryptów pi-sanych w języku JavaScript.Odnośniki do tych witryn sąpublikowane w serwisachspołecznościowych, takichjak Facebook czy Twitter.Oszuści starają się też wypo-zycjonować je w wynikachwyszukiwania, używając dotego celu aktualnych, wzbu-dzających zainteresowanietematów. Jeżeli internautanabierze się i odwiedzi któ-rąś z nich, zaimplemento-wany na stronie skryptzmieni ustawienia DNS najego routerze lub w punkciedostępu bezprzewodowego.Może do tego dojść, jeśli ro-uter nie będzie chronionyhasłem albo hasło okaże sięłatwe do odgadnięcia (zob.„Uwaga na nowy rodzaj ata-ku: drive-by pharming” –http://di.com.pl/news/15883.html).

Stosunkowo najtrudniejjest zatruć pamięć podręcz-ną na serwerze dostawcy in-ternetu. Podobnie jak kom-putery użytkowników indy-widualnych zapisuje onw niej żądania DNS. Jeżeli

cyberprzestępcy uda się jesfałszować, to przez pewienczas (nieprzekraczającyzwykle kilku godzin) użyt-kownicy, którzy wpisząw przeglądarce adres obra-nego za cel banku, będąprzekierowywani na podro-bioną stronę. Umożliwi topozyskanie dużej ilości po-ufnych danych za jednymzamachem. Na tego typuataki narażeni są usługo-dawcy, którzy niesystema-tycznie aktualizują oprogra-mowanie zainstalowane naużywanych urządzeniach.Przykładowo w 2008 rokuodkryto poważną lukęw protokole DNS. Wedługekspertów, sfałszowaniejednego cache’a z jej wyko-rzystaniem zajmuje tylko 10sekund (zob. „Dwa exploityna lukę w DNS gotowe” –http://di.com.pl/news/22508.html).

Sposoby obronyPrzede wszystkim warto

korzystać z usług zaufane-go dostawcy internetu –stosowane przez niego za-bezpieczenia są pierwsząlinią obrony przed phar-mingiem. Nie należy też sa-memu zaniedbywać regu-larnego aktualizowaniaprogramu antywirusowegoi zapory ogniowej (firewal-la), które utrudnią koniomtrojańskim przeniknięciedo komputera. Kolejnymkrokiem jest włączenie au-tomatycznych aktualizacjisystemu Windows, nieza-łatane dziury są bowiemczęsto wykorzystywaną

drogą infekcji. Nie należyrównież zapominać o uak-tualnianiu przeglądarkii zainstalowanych w niejwtyczek (w szczególnościFlasha i Javy – ich przesta-rzałe wersje są szczególniepodatne na ataki).

Nie mniej ważne jest upew-nienie się, czy nasz routerjest chroniony unikalnym,silnym hasłem (zob. „Jaktworzyć silne hasła” –http://di.com.pl/news/28165.html). Większość routerówjest dostarczana z domyśl-nym hasłem administratorałatwym do odgadnięcia dlacyberprzestępcy.

Przed zalogowaniem się doswojego konta bankowegonależy się upewnić, że w pra-wym dolnym rogu na paskustanu albo w górnej częściekranu obok adresu widnie-je symbol zamkniętej kłódki,a adres strony zaczyna się odhttps://, a nie http://. Podej-rzane będzie żądanie jedno-razowych haseł już przy lo-gowaniu. Należy zachowaćszczególną ostrożność, jeśli

witryna wygląda inaczej niżzwykle. Za każdym razemwarto zweryfikować jej cer-tyfikat bezpieczeństwa (wy-starczy podwójne kliknięciena symbol kłódki). Spraw-dzić należy ważność certyfi-katu oraz to, czy został onwystawiony na oryginalnegooperatora danej strony.

Dobrym pomysłem możebyć także logowanie się dobankowego konta przy uży-ciu specjalnej płyty CD/DVDz zainstalowanym na niejsystemem operacyjnym.W internecie znajdziemykilka darmowych dystrybu-cji Live CD opartych na śro-dowisku Linux. Korzystająone tylko z pamięci tymcza-sowej komputera, a niez dysku twardego. Dzięki te-mu nawet najbardziej zain-fekowany komputer staje sięczysty na czas urochomieniaalternatywnego systemu(zob. „Bezpieczniejsza e-ba-nkowość z Linuksem na Li-veCD” – http://di.com.pl/news/29119.html). ANNA WASILEWSKA-ŚPIOCH

Jeśli mamy wątpliwości co dowiarygodności danego skle-pu, powinniśmy wykonać pa-rę innych czynności spraw-dzających – zadzwonić podpodany na stronie numer te-lefonu, popytać znajomych,poszukać w internecie opinii.

Mając NIP lub REGON,możemy z łatwością na stro-nie Głównego Urzędu Staty-stycznego (www.stat.gov.pl)sprawdzić, czy dana firmafaktycznie istnieje, a jejdziałalność znajduje odbi-cie w oficjalnym wpisie. Je-śli cokolwiek dalej nie będziesię zgadzać, należy rozwa-żyć opuszczenie sklepui poszukanie innego.

SSL i antywirus Warto także zwrócić uwa-

gę, czy sklep korzysta z cer-tyfikatów zapewniającychbezpieczeństwo przesyła-nia i przechowywania da-nych. Najpopularniejszymjest certyfikat SSL szyfrują-cy transmitowane dane. Je-go obecność poznamy po kłódce w oknie przeglą-darki.

Warto także sprawdzić, jakwygląda możliwość skaso-wania konta. Pamiętajmy,że nie zawsze oznacza totakże jednoczesne usunięcienaszych danych osobo-wych z bazy danych sklepu.Jeśli nie chcemy dostawaćniechcianej koresponden-

cji, konieczna może byćosobna prośba o ich skaso-wanie.

Nie wolno także zapomi-nać o oprogramowaniu an-tywirusowym, które kontro-lować będzie, co i komu wy-syła nasz komputer, a takżejakie dane są pobierane natwardy dysk. Może się bo-wiem zdarzyć, że podczaswizyty w sklepie interneto-wym otrzymamy wirusa,który może wykraść ważnedane, które mamy zapisane.

Jak płacićWiele osób najbardziej

obawia się momentu doko-nania płatności. Dla osóbnieufnych najbardziej od-powiednią formą płatnościmoże być przekazanie pie-niędzy w momencie odbio-ru przesyłki. Nierzadko jed-nak ta forma płatności jestdroższa. Ważne jest także,czy sklep pobiera płatnośćbezpośrednio, czy też wy-korzystuje w tym celu ze-wnętrzne wyspecjalizowa-ne firmy.

W przypadku dużychi znanych sklepów nie po-winno to mieć aż takiegoznaczenia jak w przypad-ku mniejszych. Wtedy lep-szym rozwiązaniem jestskorzystanie z płatności po-przez zewnętrzny serwis.Wtedy sklep nie będziemiał dostępu do numeru

naszego konta bankowegolub karty płatniczej. Każdapłatność powinna się odby-wać przy wykorzystaniu za-bezpieczonego łącza – adresstrony powinien zaczynaćsię od https://. Wtedy bę-dziemy mieli pewność, żenikt nieuprawniony nie po-zna naszych danych.

Dobrym rozwiązaniemmoże być także zaopatrze-nie się w specjalną kartępłatniczą służącą jedyniedo płatności w internecie.W ofercie ma ją kilka ban-ków. Działa ona na zasadziekarty prepaid – zasilamy jątylko odpowiednią kwotąpotrzebną do zrealizowaniazamówienia. Nawet jeśli jejpełne dane dostaną sięw niepowołane ręce, zło-dziej nie uzyska dostępu donaszego konta bankowegoi znajdujących się tam pie-niędzy.

Nie dajmy się takżezwieść niezwykle atrakcyj-nym cenom, które sklepoferuje.

Okazjonalne promocje naczęść artykułów są jak naj-bardziej normalne. Jednakmocno przeceniony całyasortyment powinien namdać do myślenia. Wartowtedy sprawdzić cenyw innych sklepach, wcho-dząc bezpośrednio na ichstrony, bądź skorzystaćz jednej z kilku dostępnych

porównywarek cen. Podję-cie decyzji na bazie impul-su może nas bowiem sporokosztować, zwłaszcza jeślidokonamy płatności z góry.

Przeczytaj regulaminCzytanie regulaminów za-

kupów, mimo że nudne i nie-rzadko czasochłonne, jestjednak wskazane. Może nampozwolić ustrzec się przedniemiłymi niespodziankami.Znajdują się tam bowiem za-pisy mówiące o ochronie na-szych danych, możliwościich dalszego przetwarzanialub przekazywania stronomtrzecim informacji o rekla-macjach czy ewentualnychzwrotach za niezrealizowanezamówienia.

Kupując w sieci, mamytakże prawo do zwrotu za-

kupionego towaru w prze-ciągu 10 dni od daty jego do-starczenia bez podawaniaprzyczyn oraz bez jakich-kolwiek konsekwencji. Niemoże on jednak być rozpa-kowany lub nosić znamionkorzystania. Termin reali-zacji zamówienia nie możeprzekroczyć 30 dni.

Kupujemy towar na aukcji Dokonywanie zakupów

w serwisach aukcyjnych tyl-ko trochę różni się od kupo-wania w e-sklepach. Mamytutaj do czynienia z dwomakategoriami sprzedających– osobami prywatnymi orazprowadzącymi działalnośćgospodarczą. W przypadkutych drugich zasady postę-powania są identyczne, jakw sytuacji robienia zakupów

w samodzielnym sklepie.Nierzadko jest tak, że plat-forma aukcyjna jest po pro-stu kolejnym kanałem sprze-daży tradycyjnego bądźelektronicznego sklepu.Warto więc sprawdzić, czytaki sklep istnieje także po-za serwisem aukcyjnym.

Platformy aukcyjne mają tęprzewagę nad samodzielniedziałającymi sklepami, żezapewniają większy obiekty-wizm. Każdy klient, którydokonał zakupu, ma bo-wiem możliwość wystawie-nia opinii. Żadne z nich niesą usuwane, chyba że są nie-zgodne z zapisami regulami-nu. Jeśli więc dany sklepbądź osoba nie cieszą się do-brą renomą, będziemy o tymnatychmiast wiedzieć. War-to także sprawdzić, jakie sązabezpieczenia danego ser-wisu przed nieuczciwymisprzedawcami – gwarancjezwrotu gotówki, pobranychprowizji czy też mediacji.

Zachowanie zdrowego roz-sądku, a także poświęceniekilku minut na dokładniej-sze poznanie sklepu, w któ-rym chcemy dokonać zaku-pu, może oszczędzić namwielu problemów, stresui pieniędzy. Nie zawsze war-to ufać pierwszemu wraże-niu. Złodzieje są świadomi,że ładna witryna uśpi czuj-ność wielu internautów.PAWEŁ KUSICIEL

Jak bezpiecznie robić zakupy w sieci