Sigurnost online kupnje – Blagdani donose obilje svega pa i prevara u online trgovini

Iako kibernetička sigurnost bilježi konstantan razvoj i napredak, opće okruženje i ekosustav u kojem se odvija digitalno poslovanje ima sve više sigurnosnih prijetnji. Tome u prilog idu i najnoviji podaci Vise koji pokazuju kako su u blagdanskom razdoblju stope prevara u online trgovini porasle za 8 posto.

Od ovog broja eCommerce magazina krećemo redovito obrađivati temu sigurnosti online kupnje iz različitih perspektiva kako bismo ukazali na važnost rada na unapređenju sigurnosti cijelog ekosustava u kojem se odvija proces digitalne trgovine. Cilj nam je ukazati na trendove i važnost prevencije prevara i drugih neželjenih pojava kako za kupce, tako i za web trgovce.

O tome kakvi su trendovi u području kibernetičke sigurnost koja je životno važan segment internetske trgovine svoje je viđenje podijelio Robert Preskar, Security & Compliance Line of Business Manager u kompaniji ASEE. Za početak smo htjeli doznati koje su najčešće prevare u online trgovini: “Najčešće prevare u online trgovini obuhvaćaju nekoliko različitih oblika. Krađa podataka s kreditnih kartica bilježi pad zbog aktivnog sudjelovanja svih izdavača kartica (banaka) na našem tržištu u 3DSecure okruženju, što zahtijeva dodatnu autentikaciju. Druga vrsta prevare uključuje naplatu proizvoda koji zapravo nije naručen putem lažnih web stranica s poznatim brendovima i primamljivim popustima od 60 posto ili više. Prevaranti naplate, a zatim pošalju krivi, jeftiniji proizvod ili čak ništa”, pojašnjava Preskar te dodaje kako je u zadnje vrijeme primijećen porast broja web stranica koje izgledaju kao online trgovine, ali njihova prava svrha je prikupljanje privatnih podataka poput brojeva mobitela i imena. On dalje navodi kako se tako prikupljeni podaci mogu koristiti u raznim prevarama, uključujući i smishing (slanje lažnih SMS poruka u ime poznatih kompanija ili banke). Osim toga, česti su i lažni SMS-ovi koji obavještavaju o nepostojećoj dostavi i traže dodatno plaćanje online za navodne “dodatne” troškove, čime prevaranti pokušavaju izvući novac od žrtava. “Ova vrsta prevare koristi se kako bi stvorila lažnu percepciju stvarne dostave, izlažući žrtve riziku dodatnih financijskih gubitaka. Važno je biti oprezan pri online kupovini i koristiti sigurnosne mjere kako bi se smanjila mogućnost postati žrtvom ovakvih prevara”, upozorava ovaj stručnjak.

O tome smo upitali i Renatu Vujasinović, direktoricu Vise u Republici Hrvatskoj, koja ističe kako podaci i transakcije pokazuju da akteri prijetnji vrebaju potrošače najviše tijekom sezone blagdana. Naime, podaci Vise pokazuju da su kod najpopularnijih kategorija trgovaca na koje ciljaju prevaranti stope prevara tijekom blagdana 2022. porasle 11 posto u odnosu na stopu prevara izvan blagdana, a u odnosu na prethodnu godinu veće su za 8 posto. “U blagdanskom izdanju izvješća o prijetnjama upozorili smo na to da će akteri prijetnji nastojati iskoristiti povećani interes i hitnost potrošača u pronalaženju ponuda i darova”, istaknula je Vujasinović.

DOBRE NAVIKE ZA ONLINE KUPNJU

Sada kada smo konstatirali problem htjeli smo vidjeti kako se to može spriječiti ili barem umanjiti. Preskar ističe kako se kupci od pokušaja prevare mogu zaštititi na nekoliko načina, a kao prvi korak preporučuje provjeru novih web stranica/aplikacija jednostavnim Google upitom “is xxx.yyy.com fraud“. Također, treba izbjegavati klikanje na sumnjive linkove iz e-mailova, poruka ili SMS-ova, čime se smanjuje rizik od zlonamjernih preusmjeravanja na lažne stranice, a zadržavanje zdrave doze sumnje i provjeravanje vjerodostojnosti ponuđenih popusta također pomažu prepoznati potencijalno sumnjive situacije. “Osim toga, važno je sigurno upravljati podacima o karticama, ne otkrivajući nepotrebne informacije te ne dijeleći osjetljive podatke poput PIN-ova, lozinki ili jednokratnih lozinki izvan legitimnih bankarskih stranica. Od koristi je i temeljita provjera URL-a prije obavljanja transakcija kako bi se izbjegle lažne stranice sa sličnim nazivima jer su ti nazivi ponekad toliko slični da je iznimno teško odmah detektirati razlike. Sve ove mjere zajedno pomažu smanjiti rizik od online prevara prilikom kupnje”, poručuje Preskar.

I Visa u svojoj komunikaciji prema potrošačima redovito ukazuje na važnost navika za sigurnu online kupnju koje mogu uputiti potrošače koji planiraju kupovati na najbolju praksu kako bi ostali sigurni. Među tim navikama najvažnije je provjeriti reputaciju i autentičnost trgovca, zaštititi osobne informacije, izbjegavati javne Wi-Fi mreže za kupnju te paziti se onih ponuda koje predobro zvuče.

KAKO SE U TOME SNALAZE POTROŠAČI

Feedback potrošača, korisnika usluga i kupaca na webshopovima služi i kao važna smjernica za same web trgovce, ali i cyber security industriju. Na što se najčešće žale potrošači tako smo upitali Anu Knežević, predsjednicu Hrvatske udruge za zaštitu potrošača (HUZP). “Najviše potrošača nam se javlja zbog kupnje preko lažnih webshopova. Najčešće naiđu na reklamu za taj web na nekoj od društvenih mreža, pogledaju primamljive fotografije i povoljne cijene te naručuju. Najčešće plaćaju pouzećem jer se boje davati podatke o karticama, ali budući da dostavljači prvo traže plaćanje robe pa tek onda preuzimanje, većina potrošača tek kad otvore paket shvate da su prevareni – nisu dobili to što su naručili. Nakon toga pokušavaju kontaktirati trgovca putem mobitela ili e-maila, ali sve uglavnom završava bezuspješno. Neki vraćaju robu na adresu pošiljatelja, ali im se dešava da se roba vrati jer je pošiljatelj nepoznat ili nestanu svi kontakti pa potrošač nit ima robu niti je dobio povrat novca”, ističe Knežević te navodi primjere da je umjesto bušilice potrošač dobio dječju igračku, umjesto tenisica novčanik ili umjesto kaputa šuškavac.

Knežević konstatira kako kupci nisu dovoljno upućeni u propise, pogotovo one o krivotvorenju i piratstvu te o plaćanju carine i PDV-a na robu izvan EU-a pa ih u konačnici proizvod na kojem su mislili uštedjeti košta puno više.

“Kupci moraju prvo naučiti kako provjeriti stranicu preko koje kupuju jer se prema našoj ocjeni prelako upuštaju u online trgovanje. Prilikom dostave kupci trebaju inzistirati na provjeri sadržaja paketa jer kad ga preuzmu odgovornost je na njima. Također je poželjno plaćati karticama jer se u slučaju neisporuke robe ili ako ne dobije povrat novca za vraćenu robu potrošač može obratiti banci i tražiti povrat kartične uplate. To je tzv. chargeback, ali malo potrošača zna za tu mogućnost”, navodi Knežević.

Kada je riječ o odgovornosti samih trgovaca, ona je mišljenja kako online trgovci trebaju staviti što više konkretnih informacija na web stranicu kako bi se potrošači mogli lakše snaći. Pritom navodi kako se veliki broj potrošača žali na to da im trgovci otkazuju narudžbu nakon što je provedeno plaćanje i potom vraćaju novac s izgovorom da nema više robe na zalihama. “To je nedopustivo jer je za potrošača mjerodavno ono što je vidio na stranici trgovine i da mu je narudžba potvrđena. Stoga bi online trgovci trebali konstantno kontrolirati što se nalazi na njihovim stranicama i ne bi se smjeli pravdati greškama sustava jer potrošač time trpi štetu koju mu trgovac ne nadoknađuje – ono što je bilo na ekranu i što je potrošač naručio i platio treba mu biti i isporučeno”, poručuje Knežević.

Osim toga, kada je riječ o online prodaji putovanja i turističkih aranžmana, ona naglašava kako trgovci trebaju jasno navesti sve slučajeve i mogućnosti otkazivanja usluge u uvjetima poslovanja jer ih većina to nema te onda pojedinačno rješavaju slučajeve i to najčešće na štetu potrošača.

ULOGA TRGOVACA U KREIRANJU SIGURNIJEG OKRUŽENJA ZA KUPNJU

Kao što je već spomenuto, online trgovci mogu stvoriti sigurnije okruženje za svoje kupce pružanjem sveobuhvatnih informacija o naplati, dostavi i proizvodima na web stranici. Što je više informacija o samom trgovcu dostupno na stranici to bolje. Ako je moguće, pridruživanje auditorima sigurne kupnje i isticanje tog partnerstva na webu dodatno gradi povjerenje. Uz to, redovito ažuriranje SSL certifikata ključno je za sigurnu komunikaciju, dok korištenje naplate s integriranim 3D Secure serverom pruža dodatni sloj sigurnosti kod kartičnih transakcija. Cilj je stvoriti pouzdano okruženje, čime se štite interesi i povjerenje kupaca prilikom online kupnje.

Još jedan aspekt koji igra odlučujuću ulogu u kreiranju sigurnijeg okruženja za provedbu procesa online kupnje je sigurnost aplikacija. Kako su na zadnjoj Alert konferenciji stručnjaci kompanije ASEE Domagoj Ciković i Željka Jurić govorili o temi “Zastrašujuća stvarnost napada na mobilne uređaje”, upitali smo stoga našeg sugovornika Robert Preskara i za to kakav je stupanj sigurnosti mobilnih aplikacija. “S obzirom na veliki broj klijenata i prisutnost naše kompanije na četiri kontinenta imamo duboki uvid u stanje sigurnosti mobilnih aplikacija. Ta sigurnost često se zanemaruje upravo zbog široke prisutnosti mobilnih uređaja i praktičnosti njihove uporabe. Većina aplikacija rijetko koristi mogućnosti detekcije Jailbreaka/rootanja uređaja ili prisustva fizičkih ili logičkih ‘debuggera’, što otvara mogućnost prisluškivanja prometa koji aplikacija šalje ili prima prema internetu. Izuzetak su određene industrije poput bankarstva, gdje su mobilne aplikacije strogo regulirane, a posebna pažnja se posvećuje ovakvim oblicima zaštite”, objašnjava Preskar.

Prema njegovim riječima, važno je da svi koji razvijaju i plasiraju na tržište mobilne aplikacije, a koje posjeduju značajan obujam privatnih i drugih korisničkih podataka, osobito financijskih, ozbiljno razmisle o implementaciji naprednih sigurnosnih mjera. “Upravo na razvoju i implementaciji takvih rješenja intenzivno radimo sa svojim klijentima. Ova vrsta zaštite postaje ključna kako bi se spriječile različite vrste prevara i očuvao integritet podataka korisnika. S obzirom na kreativnost suvremenih prevaranata čak i djelomični podaci mogu biti podloga za razvoj novih oblika prevara. Potrebno je proaktivno djelovati kako bi se osigurala sigurnost mobilnih aplikacija i zaštitili osjetljivi podaci korisnika od potencijalnih prijetnji”, poručuje ovaj stručnjak za sigurnost.

TOKENI SU NEOPJEVANI HEROJI E-TRGOVINE

Renata Vujasinović iz Vise ističe kako upravo rast digitalne trgovine zahtijeva od poduzeća da spriječe prevare koje ne sadrže kartice i osiguraju da se dobre transakcije neometano odobravaju. Pritom podsjeća kako je Visa prije više od 15 godina pokrenula izvorni 3-D Secure protokol kako bi zaštitila transakcije e-trgovine pružajući dodatnu razinu provjere identiteta prije autorizacije. Naime, 3-D Secure (3DS) omogućuje razmjenu podataka između trgovca, izdavatelja kartice i, po potrebi, kupca radi provjere je li transakciju pokrenuo pravi vlasnik računa. “Visa je surađivala s drugim robnim markama plaćanja za razvijanje sljedeće generacije protokola – EMV 3-D Secure. Visa Secure je globalni EMV 3-D Secure program koji olakšava provjeru autentikacija, smanjuje frikciju za korisnike i pomaže u sprječavanju prevara koje ne sadrže kartice. Uz to, uključuje poboljšanu funkcionalnost koja omogućava ekosustavu plaćanja da zadovolji i optimizira uvjete Stroge autentikacije kupaca (Strong Customer Authentication), koja je u Europi uvedena kao dio Druge direktive o platnim uslugama (PSD2)”, objašnjava Vujasinović dodajući kako je to dovelo do smanjenja prevara u e-trgovini na Visa mreži za 30 posto. Prema njenim riječima, pravi je izazov osigurati zaštitu od rizika prevare, a da to istodobno ne utječe negativno na korisničko iskustvo jer potrošači, uz sigurnost i povjerenje, inzistiraju i na jednostavnosti korištenja. “Kad govorimo o sigurnosti, obavezno moramo naglasiti tokenizaciju. U Visi tokene nazivamo neopjevanim herojima e-trgovine. To je jednostavan, ali moćan koncept koji je uvela Visa: sakrijte i obezvrijedite osjetljive podatke o plaćanju kako biste bili ispred prevaranata i učinili digitalna plaćanja sigurnijima. Visa Token Service zamjenjuje 16-znamenkaste Visa brojeve računa digitalnim tokenom koji samo Visa može otključati, pomažući u zaštiti osnovnih informacija o računu od prevaranata i loših aktera. Tokeni su doveli do povećanja stopa odobrenja od 3 posto i smanjenja stopa prijevara od 30 posto u prvom tromjesečju 2023. u plaćanjima bez kartice”, istaknula je direktorica Vise te dodala kako se tokeni mogu ugraditi u uređaj, aplikacije, novčanike ili karticu u datoteci.

Visa je tijekom proteklih pet godina uložila više od 10 milijardi američkih dolara u tehnologiju, uključujući tehnologije za smanjenje prevara i povećanje sigurnosti mreže, što je pomoglo u proaktivnom blokiranju prevara u iznosu od 30 milijardi dolara samo u prvih šest mjeseci 2023. godine.

U KIBERNETIČKOM SVIJETU JEDINO SU SIGURNE SIGURNOSNE PRIJETNJE

Što to sve praktično znači i kako bi tvrtke trebale reagirati na potencijalne sigurnosne prijetnje? Matko Antun Bekavac iz tvrtke CyberArrange Security Solutions kaže da su te prijetnje sve samo ne potencijalne, one će se sigurno dogoditi, prije ili kasnije. A imati znanje i uvježbane timove kako na njih reagirati za tvrtke može značiti opstanak poslovanja ili propast. Inače, CyberArrange Security Solutions osnovana je kao spin-off tvrtka sa Sveučilišta u Zagrebu, Fakulteta elektrotehnike i računarstva, s namjerom da komercijalizira rezultate doktorskih istraživanja svog glavnog osnivača Ivana Kovačevića razvojem softverskog proizvoda nazvanog CyberArrange. Tvrtku su suosnovali izvanredni profesor Stjepan Groš, domenski stručnjak i naš sugovornik Matko Antun Bekavac te stručnjak za operacije i administraciju Luka Matić.

“U svijetu e-trgovine, sigurnost je ključna. Svakodnevno tisuće transakcija prolazi kroz digitalne kanale, a svaka od njih predstavlja potencijalnu metu za kibernetičke prijetnje. Stoga, zaštita e-trgovine ne smije biti prepuštena slučaju. Jedan od najvažnijih alata je obuka osoblja o sigurnosnim praksama u kibernetičkom prostoru jer su obično ljudi ti koji su najslabija karika u lancu kibernetičke sigurnosti“, navodi Bekavac te ukazuje na važnost pripreme, redovitih vježbi i obuke za takve neželjene situacije.

Prema njegovim riječima, jedna od najvećih prijetnji je nedostatak svijesti o kibernetičkim rizicima jer osoblje koje nije educirano o potencijalnim prijetnjama i kako ih prepoznati može postati lak plijen za napadače. “Bez obuke, zaposlenici možda neće znati kako prepoznati sumnjive aktivnosti poput phishing pokušaja ili zlonamjernih softverskih napada, što može dovesti do ozbiljnih sigurnosnih incidenata”, pojašnjava ovaj sigurnosni stručnjak te širi odgovornost i na menadžment tvrtke koji mora biti obučen za pravovremeno prepoznavanje opasnosti i pravilnu reakciju. “Svaki trenutak je ključan u slučaju sigurnosnog incidenta, stoga je važno da vaše osoblje bude osposobljeno za brzu i učinkovitu reakciju”, upozorava Bekavac.

Kao ključne mjere u sprječavanju većine kibernetičkih incidenata u e-trgovini navodi redovna ažuriranja sustava, penetracijske testove, obuku osoblja, kontinuirani nadzor i implementaciju višeslojne sigurnosne arhitekture. Sve ove mjere pojedinačno razlaže pa tako ističe da je ažuriranje softverskih i hardverskih sustava važno za otklanjanje sigurnosnih propusta i ispravljanje poznatih ranjivosti, pentestiranje omogućuje identifikaciju ranjivosti prije nego što to učini stvarni napadač, obuka osoblja podiže svijest o sigurnosnim praksama i smanjuje rizik od ljudske pogreške, kontinuirani nadzor omogućuje brzo otkrivanje i reakciju na potencijalne prijetnje, a implementacija višeslojne sigurnosne arhitekture stvara slojevitu zaštitu od različitih vrsta kibernetičkih prijetnji.

Kada se sve to ostvari, Bekavac ističe da sve ove mjere zajedno osiguravaju stabilno i sigurno poslovanje e-trgovine te smanjuju rizik od kibernetičkih incidenata i povrede sigurnosti podataka.