כיצד להישמר מפני סיכוני אבטחה לקראת חגיגות הקניות?

בסוף השבוע האחרון של חודש נובמבר נציין את הבלק פריידי ואת הסייבר מאנדיי, שמהווים את אקורד הסיום של חגי קניות האונליין בחודש נובמבר. בזמן שרוב הישראלים מסתנוורים מהנחות הענק באינטרנט ומצפים בכיליון עיניים להודעה מסניף מהדואר הקרוב על חבילה שממתינה מאחורי הדלפק הלבן, מומלץ לעצור לרגע, לקחת אוויר ולנסות להיערך בהתאם לכל סיכוני אבטחת המידע הטמונים באתרי האינטרנט הללו סביב טרפת הקניות שהישראלים כל כך מכורים אליה.

הנה טיפים ששווה ליישם שנייה לפני שמתפתחים לאיזה מבצע מיוחד:

האם לשמור את פרטי האשראי שלך עבור הקנייה הבאה? – Big no no. בדרך כלל לאחר השלמת תהליך הקנייה אתרים רבים מציעים לצרכנים לשמור עבורם "באדיבות רבה" את פרטי כרטיס האשראי באתר, לנוחותם לקראת הקנייה הבאה. נעזוב את העובדה שמדובר בתהליך שיווקי, שרק מדרבן אתכם להשלים מהר יותר את תהליך הרכישה, מדובר במעשה שפשוט אסור לעשות. אין כזה דבר אתר שמאובטח ב-100%. תמיד קיים סיכון, ולו הקטן ביותר, שתתגלה פרצה קטנה באבטחת המידע, שתספק להאקר את פרטי האשראי שלכם באופן מידי. לכן, על מנת להימנע מהסיכון הזה, יש לוודא שאתם לא שומרים את פרטי האשראי באתרים, גדולים ובטוחים ככל שיהיו. שימו לב, כי מרבית האתרים מציעים את האופציה הזאת עבורכם כברירת מחדל (שיווק, אמרנו?) ועליכם להיות חדים וערניים כדי להסיר את האופציה הזאת לפני שאתם לוחצים על כפתור הרכישה. נכון שזה מאוד מבאס לכתוב בכל פעם את המספר הארוך של האשראי, את התוקף ואת שלוש הספרות בגב הכרטיס, אבל אתם אף פעם לא יכולים לדעת מי מהאתרים שומר את הפרטים שלכם במאגרי המידע שלהם ואיזה האקר אורב להם מעבר לפינה.

מתעקשים לשמור את פרטי הכרטיס באתר? – אם ההזהרות בסעיף הקודם לא שכנעו אתכם ובכל זאת אתם מעוניינים לשמור את פרטי כרטיס האשראי באתר, עדיף שתבצעו זאת בדפדפן כרום של גוגל. אמנם, מצד אחד זה אולי יוסיף למאגר הענק שכבר יש לגוגל עליכם גם את פרטי כרטיס האשראי שלכם, אבל מצד שני, גוגל מצהירים כי פרטים כאלו נשמרים לוקאלית על גבי המחשב, דבר שהופך את ההחלטה למעט בטוחה יותר מאשר לשמור את פרטי הכרטיס באתרים שונים ומפוקפקים.

אתרים מאובטחים  – HTTPS אל מול HTTP – דרך נוספת לנסות להתגונן בעת רכישות באינטרנט היא ההימנעות מרכישה באתרים חסרי תעודות, שעובדים בפרוטוקול HTTP. הכוונה היא לאתרים שפועלים ללא פרוטוקול הצפנה מעודכן ומאובטח. האתרים הבטוחים פועלים על פרוטוקול HTTPS. על מנת להבטיח שאתם לא מבצעים רכישה באתר חסר תעודה, עליכם לחפש ליד שורת כתובת האתר ציור של מנעול. אם לא מצאתם את המנעול, סימן שהאתר שלכם עובד ב-HTTP וסביר שתקבלו אזהרה מהדפדפן שבו אתם גולשים בדמות "Not secure", או, בעברית, "לא מאובטח", לצד כתובת האתר שבו עשיתם שימוש ושבו זוהתה חולשת האבטחה.

איך לשלם? – תשלום ברשת האינטרנט, ובוודאי באמצעות הזנת פרטי כרטיס אשראי, הוא דבר שמלווה באופן טבעי בחשש מסוים. לכן, אופני התשלום המומלצים ביותר כדי הבטיח את ההגנה המקסימלית על פרטי התשלום שלכם הם באמצעות חשבון Escrow, או או פיי-פאל. בתהליך התשלום בפלטפורמת Escrow מעורבת חברה חיצונית מצד שלישי, שלמעשה מקימה מעין חשבון זמני ייעודי עבור העסקה שלכם בלבד. במהלך התשלום אתם כצרכנים מפקידים את כספי התשלום המיועדים למוכר בחשבון זה, וברגע שהעסקה מתבצעת בשלמותה, החברה הזאת דואגת להעביר את הכסף למוכר מבלי שמתקיימת אינטראקציה ישירה בינכם, המכילה את פרטיכם האישיים.
אופציה נוספת היא שימוש בתשלום באמצעות פיי-פאל. גם במקרה זה מדובר בחברה שנותנת שירותי תשלום באמצעות צד שלישי, אך הייחודיות כאן היא שפיי-פאל לוקחת אחריות מלאה על העסקה ומספקת מענה ללקוח במידה שהמוצר לא הגיע, או הגיע פגום או שהתעוררה תקלה בעת התשלום. היא למעשה מבטחת את התשלום אל מול המוכר.

אתרים מוכרים – עשו לעצמכם טובה ואל תתפתו להקליק על פרסומות שמציעות הנחות לא ריאליות, כמו, למשל, רכישת מכונת קפה בדולר אחד בלבד. סביר שפרסומת כזו תיקח אתכם לאתר לא מוכר, שיעמיד אתכם ברמת סיכון גבוהה לחשיפה בפני פורצי אבטחת מידע. אם זה יותר מדי טוב מכדי להיות אמיתי, כנראה שזה לא אמיתי. ודאו כי אתם מבצעים את הרכישה באתרים מוכרים ומומלצים כדי לא ליפול על מוצרים מזויפים או אתרים מפוקפקים.

אמינות המוכרים –  בכל אתר, מוכר וגדול או קטן ומוזר, עלולים להשתחל האקרים ולהפיל בפח כמה לקוחות עד שהאתר עולה עליהם, או, לחלופין, עד הרגע שבו השיגו את מה שחיפשו. לפני הרכישה, גם באתרים הגדולים והמפורסמים, מומלץ להשקיע כמה דקות בקריאת ביקורות על המוצר והמוכר שלו. נסו לבחון אם מדובר בתגובות מלאכותיות ופיקטיביות שחוזרות על עצמן, אם מדובר באותם מגיבים, ובכלל – אם יש מספר סביר של תגובות. אל תתפתו לקנות מוצר שיש עליו כמה תגובות מפרגנות בודדות. בחנו גם את דירוג המוצר והמוכר. אל תהססו להיעזר בחוכמת ההמונים על מנת לבצע את הקנייה הבטוחה ביותר.

תקופת ההמתנה – לאחר הפעילות שלכם באתרי הקניות, האקרים רבים מנצלים את תקופת ההמתנה ואת הציפייה שלכם כדי לשלוח לכם אימיילים על הזמנות או משלוחים שלא בהכרח ביצעתם, עם לינקים המכילים וירוסים, שבלחיצה עליהם אתם עלולים להתקין תוכנה זדונית על המחשב שלכם. אם קיבלתם אימייל עם פרטי עסקה שלא ביצעתם, אל תפתחו אותו. אימייל מסוג זה עשוי להכיל כותרות כמו "תקלה במשלוח", "המוצר איקס נשלח ונמצא בדרכו אליך", או אפילו "בקשה לאימות פרטי כרטיס אשראי בנוגע למשלוח שלך". כל אלו חייבים להדליק לכם נורה אדומה. סביר להניח שמאחורי אימייל זה עומד מתחזה, שינסה לגנוב את הזהות שלכם או את פרטי כרטיס האשראי שלכם.

לאחר שתקפידו לעבור על כל השלבים הללו, סביר שאת הקנייה שלכם תבצעו באופן הרבה יותר מאובטח – שיהיה סופ"ש קניות מהנה ובטוח.

הכותב הוא ראש צוות תקיפה ומומחה לאבטחת מידע ב-2BSeucre, חברת אבטחת המידע והסייבר של מטריקס.