Na blogu opisywaliśmy już pięć sygnałów ostrzegawczych związanych z oszustwami online. Niestety czasem szwindel jest na tyle wyrafinowany, że nie da się go dostrzec na pierwszy rzut oka. Zatem zanim przelejesz pieniądze lub podasz dane karty bankowej, warto przyjrzeć się dokładniej wiadomościom e-mail i stronom internetowym. Przygotowaliśmy osiem kolejnych porad, które ci w tym pomogą.
1. Sprawdź adres e-mail
Zanim klikniesz link w e-mailu lub odpowiesz na niego, przyjrzyj się dokładnie zawartości pola „Od”. Składa się ona z dwóch części: nazwy nadawcy i rzeczywistego adresu nadawcy (to jest ważniejsza część). Nazwa nadawcy może być dowolna, co oszuści chętnie wykorzystują podszywając się pod firmy, urzędy, twoich znajomych itd.
Jednak podrobienie rzeczywistego adresu e-mail (to ta część z symbolem @) jest znacznie trudniejsze i tutaj atakujący mogą się potknąć. W większości oszukańczych wiadomości rzeczywisty adres nadawcy nie będzie miał nic wspólnego z organizacją, pod którą atakujący próbuje się podszywać, lub będzie podobny do oryginału, ale nie identyczny – może zawierać podmienione znaki (na przykład cyfra zero zamiast litery O), dodatkowe słowo itd.
Zauważyłeś literówkę lub nieścisłość w adresie? A może ten adres w ogóle nie ma nic wspólnego z nadawcą e-maila? Nie odpowiadaj na tę wiadomość i nie klikaj żadnych linków, które się w niej znajdują. Najlepiej od razu ją usuń.
2. Przeanalizuj linki w treści e-maila
Jeżeli wiadomość zawiera linki lub przyciski takie jak „Uzyskaj rabat”, „Odbierz darmowy prezent”, „Dowiedz się więcej” czy też jakiekolwiek inne wezwanie do działania, zawsze sprawdzaj, gdzie faktycznie prowadzą takie odnośniki.
Gdy najedziesz kursorem myszy na link lub przycisk (pamiętaj, by nie klikać), zobaczysz dymek z prawdziwym adresem strony internetowej, na którą chce cię skierować nadawca wiadomości. Znajdź w wyszukiwarce oficjalną stronę firmy, która rzekomo do ciebie pisze, i porównaj prawdziwy adres z tym z wiadomości. Jeżeli adresy się różnią (np. adres z e-maila jest w domenie .org zamiast .com), nie klikaj nic w takiej wiadomości.
Dodatkowo, gdy już namierzysz oficjalną stronę danej firmy, możesz sprawdzić, czy wspomina ona o nagrodzie, promocji czy też rabacie, o którym zostałeś poinformowany w podejrzanym e-mailu. Warto również skontaktować się z tą firmą i poinformować, że ktoś wykorzystuje jej wizerunek w oszustwie online.
3. Przyjrzyj się certyfikatowi bezpieczeństwa strony
Niektóre znaki są do siebie tak podobne, że nie da się ich odróżnić gołym okiem. Dlatego nawet gdy już klikniesz odnośnik z e-maila, możesz szybko sprawdzić, kto jest właścicielem strony, na którą zostałeś przekierowany. Dla przykładu pokażemy, jak zrobić to w przeglądarce Google Chrome (w innych będzie bardzo podobnie):
- kliknij ikonę kłódki po lewej stronie adresu URL,
- w oknie, które się pojawi, wybierz z menu opcję Połączenie jest bezpieczne,
- kliknij opcję Certyfikat jest ważny,
- upewnij się, że pole Wydany dla zawiera nazwę firmy, do której należy strona.
Ikona kłódki oznacza, że strona posiada certyfikat wydany przez niezależną organizację, a dane, które wysyłasz do serwera i odbierasz od niego, są szyfrowane. W podany powyżej sposób możesz go szybko wyświetlić. Taki certyfikat można – niestety – dość łatwo nabyć. Jednak – na szczęście – nie w imieniu innej firmy. Jeżeli zatem nazwa firmy pojawia się w certyfikacie, zazwyczaj można zaufać takiej stronie (o ile oczywiście nazwa firmy nie jest np. zapisana z literówką).
A co w sytuacji, gdy ikony kłódki nie ma? Wówczas ruch z i do strony nie jest szyfrowany i może być interpretowany nie tylko przez właścicieli witryny, ale także przez inne osoby. Wpisywanie jakichkolwiek informacji poufnych na takiej stronie to zdecydowanie zły pomysł.
4. Sprawdź, kto i kiedy zarejestrował domenę
Istnieją usługi online, które pozwalają uzyskać dodatkowe informacje o domenie strony – np. Whois. Usługa ta wyświetla dane o wszystkich bieżących adresach IP i nazwach domen. Wpisz w odpowiednim polu adres URL, który chcesz sprawdzić. Będziesz mógł zobaczyć, kto i kiedy zarejestrował domenę.
Data rejestracji domeny jest wyświetlana w polu „Created”. Jeżeli strona twierdzi, że jest oficjalnym zasobem znanej firmy o wieloletniej historii, a serwis Whois informuje, że domena została zarejestrowana zaledwie kilka miesięcy temu, masz do czynienia z oszustami.
Warto także sprawdzić, na kogo domena została zarejestrowana. Dane właściciela znajdują się w sekcji „REGISTRAR”. Mogą się tam znajdować dane firmy, do której należy strona, lub informacje o organizacji, która pośredniczy z rejestracji i zakupie domen. Jeżeli pojawi się tam zapis „Osoba prywatna”, zasób nie jest godny zaufania.
5. Przyjrzyj się zawartości strony
Poświęć chwilę na analizę zawartości witryny. Jeżeli składa się z jednej lub dwóch podstron, najprawdopodobniej jest to fałszywka. W celu sprzedaży rzekomych biletów na festiwale, nabierania inwestorów kryptowalutowych i „rozdawania” konsol Playstation 5 oszuści przygotowują proste i nierozbudowane strony. Oficjalne witryny marek składają się z wielu działów, takich jak najświeższe informacje, historia firmy, produkty, usługi, partnerzy itd.
6. Utwórz zakładki dla ważnych stron
Przygotuj zakładki dla stron, które odwiedzasz regularnie, i wchodź na nie tylko poprzez te zakładki (oczywiście możesz także za każdym razem wpisywać adres ręcznie, ale będzie to mniej wygodne) – w ten sposób wyeliminujesz ryzyko przypadkowego otwarcia fałszywej strony. Jest to szczególnie ważne w przypadku stron, na których wprowadzasz poufne dane (portale społecznościowe, bankowość online itp.).
7. Zachowaj szczególną ostrożność podczas realizowania płatności
Szczegółowe studiowanie zawartości i cech strony może nie być istotne, gdy chcesz tylko przeczytać artykuł lub obejrzeć filmik. Jeżeli jednak zamierzasz podać informacje dotyczące płatności, weryfikuj stronę za każdym razem (o ile nie wchodzisz tam z własnej zakładki lub nie wpisałeś adresu ręcznie). Czy adres strony wygląda dziwnie? A może strona zawiera literówki lub jest zaprojektowana niedbale? Czy posiada prawidłowy certyfikat bezpieczeństwa? Wprowadzaj swoje informacje tylko wtedy, gdy wszystko jest jak należy.
8. Zaufaj profesjonalistom
Nawet najbardziej czujni użytkownicy popełniają błędy. Nie da się być zawsze w stu procentach uważnym. Na szczęście w weryfikacji stron internetowych pomoże ci dobre rozwiązanie bezpieczeństwa, które w czasie rzeczywistym wykryje spam, phishing, oszukańcze zasoby i złośliwe oprogramowanie.