Hotově, nebo kartou? Takto jednoduché jsou platby jen v kamenných obchodech. Nakupování na internetu oproti tomu nabízí mnohem více možností, jak zaplatit. Podívejme se, které jsou rychlé a zároveň i bezpečné.
Nakupování na internetu je tak snadné - tedy do okamžiku, než dojde na placení. Na rozdíl od analogového světa, kdy si můžete v obchodě vybrat mezi platbou v hotovosti nebo kartou, nabízejí internetoví obchodníci celou řadu různých možností, jak za nákup zaplatit. Ty se přitom neliší jen pohodlím nebo rychlostí, ale v některých případech i cenou. Zatímco platba předem, bankovním převodem na účet obchodníka, je vždy zdarma, za dobírku, tedy platbu při doručení zboží, si obchodníci často nechávají zaplatit. Levnější způsob platby ale nemusí (ani nebývá) nutně bezpečnější. A proč vlastně internetoví obchodníci nabízejí tolik různých možností plateb za nákupy? Jednoduše se obávají, že by jejich zákazníci odešli ke konkurenci, pokud by nemohli za svůj nákup zaplatit způsobem, jaký oni sami preferují.
Čistě on-line platební systémy
Na stránkách s výběrem plateb najdete vedle možností běžně používaných v off-line světě, tedy platby kartou nebo hotovostí při převzetí, i metody realizovatelné pouze prostřednictvím internetu. Patří mezi ně platby bankovním převodem, realizovaným pomocí tzv. platebních tlačítek konkrétních bank. Platební tlačítko přesměruje zákazníka přímo na stránku internetového bankovnictví konkrétní banky, kde pak už stačí jen potvrdit platbu. Dalším čistě on-line platebním systémem jsou tzv. elektronické peněženky v podobě služeb jako PayPal nebo Alipay. V internetové peněžence si zaregistrujete svoji platební kartu a následně můžete platit prostřednictvím poskytovatele platební služby, který zároveň za celou transakci ručí. Tento způsob plateb je vhodný především v situacích, kdy nechcete s obchodníkem sdílet údaje ze své platební karty.
Zatímco PayPal je využíván především obchodníky na portálu eBay, platební služba Alipay je svázána s internetovým tržištěm AliExpress. Abyste prostřednictvím těchto služeb mohli provést platbu, je nezbytné zadat příslušné uživatelské jméno a heslo. Proto je velmi důležité zvolit si k uživatelskému účtu dostatečně silné heslo. Výhodou je, že PayPal i Alipay spravují rovněž vaše fakturační údaje a dodací adresy, které mohou předávat přímo obchodníkovi. Zbavíte se tak nutnosti opakovaně při nákupech tyto údaje vyplňovat.
PayPal: Zabezpečení by mohlo být lepší
Můžeme celkem s klidem konstatovat, že samotné platební systémy využívané v českých e-shopech jsou zabezpečeny velmi dobře. Zpravidla jsou totiž zcela mimo obchodníka a v podstatě je realizují kartové společnosti nebo přímo banky. Dlužno říci, že zabezpečení plateb nemá vůbec nic společného s bezpečným nákupem, resp. vás nijak neochrání před podvodníky, kteří si nechají zaplatit a žádné zboží nepošlou. Trochu jiná je situace u platebních služeb PayPal či Alipay, které přebírají zodpovědnost za celou transakci, takže pokud nebudete spokojeni (zboží nedorazí nebo přijde jiná věc, než byla objednána), můžete obchod reklamovat přímo u zprostředkovatele platby.
Pokud jde o zabezpečení samotného uživatelského účtu u služby PayPal, můžete být celkem klidní, protože služba splňuje nároky certifikace ISO 27001. Přenos dat mezi vaším počítačem a serverem PayPal je samozřejmě šifrovaný, ale když se na zabezpečení služby podíváme trochu důkladněji, například pomocí bezpečnostního nástroje od společnosti Qualys, který zkoumá zabezpečení TLS spojení, zjistíme, že PayPal nepoužívá šifrovací technologii Perfect Forward Secrecy (PFS). Právě tyto technologie přitom zajišťují, aby útočníky zachycená data nebylo později možné dešifrovat, a tedy chrání platební službu před sofistikovanými útoky cílenými právě na šifrování. Dobře je, že PayPal používá HTTP Strict Transport Security a samozřejmě nechybí ani dvoufaktorová autentizace uživatele.
Příliš se nám nelíbí způsob, jakým PayPal chrání soukromí svých uživatelů. Platební služba prostřednictvím tzv. trackerů sbírá data z různých internetových služeb a propojuje je s daty svých uživatelů. PayPal sbírá o svých uživatelích data od úplného začátku, jakmile si vytvoříte nový účet. Následně PayPal uchovává data o připojení (typicky IP adresy) a při přístupu k účtu přes mobilní aplikaci také geografickou polohu. Získaná data může PayPal, podle uživatelem odsouhlasených podmínek použití služby, sdílet se třetími stranami.
Klasické platební postupy
Problémům s ochranou soukromí se můžete vyhnout, pokud využijete klasické způsoby placení - bankovní převod, dobírku nebo platbu kartou. Není třeba se registrovat k žádné nové službě a sdělovat další osobní údaje. Pokud ale s nákupem spěcháte, není bankovní převod nejlepší volbou, protože peníze na účet obchodníka mohou být připsány třeba až třetí den od uskutečnění platby ve vaší bance.
Za dobírku obchodníci často požadují příplatek (jelikož musí řešit platbu v hotovosti ještě s dopravcem), takže se jako optimální platební metoda nabízí platba kartou. Také zde ale můžete narazit na příplatky (protože si z každé platby strhávají svůj díl karetní společnosti), které jsou časté třeba při nákupu letenek u nízkonákladových aerolinek. Platby kartou na internetu mohou být poměrně rizikové, jelikož do platebních formulářů zadáváte všechny údaje z karty, potřebné pro provedení platby bez další autorizace. Proto byste měli vybírat především banky a obchodníky, kteří podporují službu 3D Secure, kdy se údaje z karty vůbec nedostanou k obchodníkovi a každá platba je ještě potvrzována pomocí kódu z SMS zprávy, odeslané na mobil oprávněného držitele karty. Banky a karetní společnosti sice celkem vycházejí vstříc podvedeným klientům, ale ani tak byste rozhodně neměli platit kartou u zcela neznámých obchodníků z druhého konce světa (a samozřejmě ani z Čech).
Obchodníci preferují platbu předem bankovním převodem, protože jim s tímto způsobem platby nevznikají žádné náklady a omezují tím rizika na své straně. Při nákupech na internetu byste ale měli tento způsob platby využít skutečně jen u obchodníků, kteří si během svého působení na trhu vybudovali naprostou důvěru svých zákazníků. Dobrým vodítkem, jak takový e-shop poznat, mohou být například i uživatelské recenze na serveru Heureka.cz, ale nespoléhejte se na ně absolutně - i kladná hodnocení zákazníků lze zfalšovat. Při platbě předem (ať už kartou, nebo bankovním převodem) navíc vstupují do hry i případné starosti, pokud zásilka dorazí poškozená. Kdyby šlo o dobírku, prostě ji odmítnete převzít, ale u zaplacených zásilek je třeba řešit reklamaci, která se týká jak obchodníka, tak i doručovatele zásilky.
Zkrátka, není divu, že si nákupy na dobírku drží velmi stabilní pozici mezi zákazníky preferovanými platebními metodami.
***
Češi nejčastěji platí převodem
Podle mezinárodního průzkumu společnosti DPDgroup platí téměř tři pětiny Čechů za nákupy na internetu bankovním převodem. Obecně ale v Evropě převládá využívání digitálních peněženek typu PayPal či Alipay.
ČR
Bankovní převod 58 %
Platba kartou on-line 48 %
Dobírka 47 %
Evropa
Digitální peněženka 42 %
Platba kartou on-line 35 %
Platba kartou při převzetí 24 %
Zdroj: DPDgroup
***
Rizika placení po internetu
Možnost platit po internetu je lákavá pro všechny - zákazníci mohou zaplatit rychle a z pohodlí domova, obchodníci dostanou rychleji své peníze, banky nabídnou další službu a kyberzločinci mají další příležitost k obohacení na úkor svých obětí.
Hlavně kvůli nim bychom měli dodržovat několik bezpečnostních zásad, jak platit po internetu bezpečně, se kterými nám poradil Michal Hebeda, pre-sales engineer společnosti Sophos.
> Je portál banky dostatečně zabezpečen? Není to tak dávno, co měla jedna z českých bank přístup k účtu i platbám zabezpečen pouze přihlašovacím jménem a heslem, přičemž jméno bylo shodné s číslem účtu. Rozhodně u své banky požadujte vícefaktorové ověření pro minimalizaci rizika, že se k vašemu účtu přihlásí někdo cizí. Samozřejmostí je zabezpečení webového portálu bankovnictví pomocí SSL šifrování a odpovídajícího certifikátu.
> Ověřování SMS zprávami Mnoho bank používá při vícefaktorovém ověření zaslání kontrolního kódu pomocí SMS. Musíme však myslet na to, zda je náš telefon bezpečný. Bylo zaznamenáno již nemálo případů, kdy útočník podvrhl uživateli aplikaci pro mobilní telefon a ta poté tyto kontrolní SMS zprávy zachytávala a odesílala přímo útočníkovi. Pochopitelně, pokud používáte stále ještě Nokii 5110, není co řešit, ale u moderních chytrých telefonů je silně doporučeno mít je kvalitně zabezpečené. Bohužel ani stahování aplikací pouze z oficiálních obchodů není zárukou stoprocentní ochrany před podvrženými aplikacemi.
> Platba na internetu pomocí platební karty Také v tomto případě je nutné věnovat pozornost zabezpečení platební brány. Stejně jako u bankovních webových stránek by měla být zabezpečena kvalitním SSL certifikátem. Stále více vystavitelů platebních karet používá potvrzení platby SMS zprávou a zde opět platí doporučení na zabezpečení mobilního telefonu. Každopádně zabraňte prohlížeči či webové stránce v zapamatování údajů o vaší platební kartě. Je sice pohodlné, že nemusíte pokaždé vypisovat 16místné číslo, datum platnosti a CVC kód, ale takto uložené informace nemusí být (a nejsou) zcela v bezpečí.
> Phishing a sociální inženýrství Bohužel už neplatí, že útočníci neumí vytvořit účinné podvržené webové stránky a e-maily v češtině. Je třeba být neustále ve střehu. Pamatujte si jednoduché pravidlo - žádná banka nikdy nechce po svých klientech zasílání hesel či údajů o platebních kartách e-mailem nebo změnu hesla pomocí formuláře v e-mailu. A pokud si nejste jisti, obětujte trochu svého času a do své banky zavolejte. Je to určitě lepší, než následně řešit vykradený účet. Stejně tak, přijde-li vám žádost od kohokoliv o přeposlání SMS s bezpečnostním kódem, v drtivé většině případů se jedná o pokus o zneužití.
***
Jak kyberzločinci zneužívají nákupní horečku
Jedním z vrcholů celosvětové nákupní sezony je tzv. černý pátek, tedy akce spojená s velkými slevami u klasických i internetových obchodníků.
Také letos kyberzločinci číhali na svou šanci, jak obrat nic netušící zákazníky e-shopů. Pod útokem se ocitl i nákupní portál AliExpress.
> Výzkumníci společnosti Check Point zjistili, že zločinci mají nový způsob, jak zaútočit na on-line nakupující na populárním nákupním portálu AliExpress. AliExpress je součástí skupiny AliBaba a s více než 100 miliony zákazníků patří mezi nejoblíbenější on-line obchody. Check Point v návaznosti na objevení zranitelnosti okamžitě informoval AliExpress (9. října), který bere oblast kyberbezpečnosti velmi vážně, takže ihned reagoval a vše opravil do dvou dnů od oznámení (11. října). Přístup AliExpressu je chvályhodný a měl by sloužit jako dobrý příklad i pro další on-line obchodníky.
> Nová zranitelnost umožňovala zločincům okrást uživatele AliExpressu. Útočníci nejdříve poslali odkaz na webovou stránku AliExpressu obsahující škodlivý JavaScript kód. Po otevření stránky byl kód spuštěn ve webovém prohlížeči uživatele, takže útočníci obešli zabezpečení AliExpressu. AliExpress používá na svých stránkách k přilákání nových i stávajících zákazníků kupony. Jakmile zákazníci navštíví domovskou stránku AliExpressu, obvykle se zobrazí ve vyskakovacím okně nabídka, aby uživatel zadal údaje o své kreditní kartě a mohl nakupovat ještě efektivněji, využít on-line plateb a rychlejšího dokončení nákupu.
> Pokud útočníci ale najdou způsob, jak vložit škodlivý kód do AliExpressu, mohou celý proces zneužít. Útok začíná v momentě, kdy kyberzločinci nalákají oběť ke kliknutí na škodlivý odkaz, například poslaný e-mailem. Zákazník se dostane na přihlašovací stránku a po přihlášení může být oběť přesměrována na stránku s vloženým škodlivým kódem. Uživateli se tak zobrazí vyskakovací okno s podvodným kuponem a je vyzván k zadání údajů o platební kartě za odměnu 50 dolarů na další nákupy. Jakmile útočníci citlivá data získají, mohou je samozřejmě dále zneužívat.
> Videoukázku útoku najdete na YouTube (jdem.cz/dne2t8).
Foto popis| Desítky platebních metod České e-shopy umožňují platby kartou, na dobírku, přes platební brány nebo třeba nákupy na splátky. Dobírka je velmi bezpečný způsob platby, ale zpravidla je za příplatek. Platbu bankovním převodem, která je vždy zdarma, ale používejte jedině u důvěryhodných obchodníků.
Foto popis| Platby na portálech Nákupní portály jako eBay a AliExpress sázejí na vlastní platební metody - konkrétně PayPal a Alipay. Přes oba portály nabízí své zboží obrovské množství obchodníků, takže vám rozhodně doporučujeme využívat platby garantované provozovateli těchto platebních systémů.
Foto popis| Zabezpečení jde ještě zlepšit Platební služba PayPal nemá aktivovány pokročilé bezpečnostní funkce TLS, jako je Perfect Forward Security.
Foto popis| Bitcoin: Nahoru a dolů Především v poslední době je hodně živo kolem Bitcoinu, resp. dalších kryptoměn. Platby bitcoiny akceptují i někteří internetoví obchodníci.
Foto popis| Android Pay: Konečně i v Česku Od listopadu mají klienti některých českých bank možnost platit prostřednictvím svého smartphonu a služby Android Pay od Googlu.
Foto popis| 3D Secure: Bezpečnější platby kartou Řada českých bank již zavedla službu 3D secure, která zvyšuje bezpečnost internetových plateb prostřednictvím platebních karet. Všechny platby je třeba potvrdit pomocí ověřovacího kódu z SMS zprávy. Další výhoda 3D secure spočívá v tom, že se údaje z platební karty vůbec nedostanou k obchodníkovi - vyměňují se jen mezi karetní společností a bankou.
O autorovi| JÖRG GEIGER, RADEK KUBEŠ, autor@chip.cz