E-Shopping με ασφάλεια - Οι online κίνδυνοι και οι μηχανισμοί αντιμετώπισης διαδικτυακής απάτης

16 Απριλιου 2011
Posted in Επικαιρότητα

Οι online κίνδυνοι

Οι μορφές διαδικτυακής απάτης είναι πλέον πολλές και η α­ντιμετώπισή τους είναι αρκετά δύσκολη από τους τελικούς καταναλωτές. Από τις πιο γνωστές κατηγορίες ηλεκτρονικής α­πάτης είναι το phishing, το οποίο συνίσταται στη δημιουργία ενός ψεύτικου οργανισμού που μοιάζει καθ' όλα νόμιμος, με στόχο να αποσπάσει τα προσωπικά δεδομένα του καταναλω­τή, όπως για παράδειγμα τον αριθμό της πιστωτικής του κάρ­τας. Παρόλα αυτά, πολλές ιστοσελίδες πέφτουν θύματα και φανερώνουν τα προσωπικά δεδομένα των πελατών τους εν α­γνοία τους, μιας και κάποιος έχει εγκαταστήσει στο διακομιστή τους ένα κακόβουλο λογισμικό. Επίσης διαδεδομένο είναι και το spyware, μια μορφή ιού η οποία εγκαθίσταται στο τερμα­τικό του χρήστη και στόχο έχει να καταγράψει τα πλήκτρα που πατά στο πληκτρολόγιο και να τα αποστείλει στο δημιουργό του, ώστε να αντλήσει πολύτιμες πληροφορίες. Συνήθως τέτοια προγράμματα αποστέλλονται με τη μορφή e-mail που παρο­τρύνουν τον παραλήπτη να πατήσει ένα σύνδεσμο και να επι­σκεφτεί ένα κακόβουλο ιστότοπο, ο οποίος εξετάζει τις αδυ­ναμίες στο μηχάνημα του χρήστη για να καταφέρει να εισάγει το επικίνδυνο λογισμικό. Το αποτέλεσμα των προαναφερόμε­νων τακτικών μπορεί να είναι η υφαρπαγή χρηματικών ποσών απευθείας από τραπεζικούς λογαριασμούς και η υφαρπαγή στοιχείων πιστωτικής κάρτας ή και λήψη χρημάτων μέσω π.χ. PayPal, MoneyGram. Αυτή η διαδικασία υφαρπαγής χρημάτων ορίζεται και ως «κλοπή ταυτότητας» ή identity theft και θεω­ρείται το πιο γοργά αναπτυσσόμενο έγκλημα.

Άλλο είδος απάτης εξαιρετικά διαδεδομένο είναι το «περί α­μοιβών» (advanced-fee fraud). Επίσης σε πολλές περιπτώ­σεις μέσω email ή συμβατικής αλληλογραφίας ή φαξ, το θύμα ενημερώνεται για μια ψευδή νίκη του σε κάποια ανύπαρκτη κλήρωση ή για μια επιστροφή φόρου ή για μια κληρονομιά που κανένας δεν έχει διεκδικήσει και κάποιος δικηγόρος τον καλεί να μοιραστούν τα χρήματα ή ακόμα και κραυγαλέα παλαιότε­ρα σενάρια που ζητούσαν χρήματα για την επιστροφή ενός Νι­γηριανού αστροναύτη από έναν κρυφό Ρωσικό διαστημικό σταθμό. Με όλα τα προαναφερόμενα, οι απατεώνες επιτυγ­χάνουν να αποσπάσουν χρηματικά ποσά από τα θύματά τους και πάντα διαθέτουν ένα πλήθος εγγράφων για να τους πείσουν για του λόγου το αληθές. Οτιδήποτε στέλνεται μέσω email και έχει ως στόχο την εγκατάσταση κακόβουλου λογισμικού, τον αποπροσανατολισμό του παραλήπτη, διαφημιστικούς σκοπούς χωρίς την έγκριση του παραλήπτη κ.α., κατατάσσεται στην κατηγορία spamming και επίσης θεωρείται μορφή εξαπάτησης.

Η απάτη της υψηλής αποπληρωμής αφορά καταναλωτές που χρησιμοποιούν τις υπηρεσίες C2C και θέτουν προς πώληση έ­να αντικείμενό τους. Οι επιτήδειοι στέλνουν πολλαπλά απα­ντητικά μηνύματα και αφού ο χρήστης πειστεί, του στέλνουν μία επιταγή ή μία απόδειξη κατάθεσης σε τράπεζα, αλλά με παραπάνω χρήματα από την αξία του αγαθού. Ο χρήστης λοι­πόν αποστέλλει το αντικείμενο και καταθέτει και τη χρηματική διαφορά, για να ανακαλύψει σε λίγες μέρες ότι η επιταγή που έχει είναι χωρίς αντίκρισμα και έχει χάσει και το αντικείμενο αλ­λά και χρήματα.

Μία από τις δυσκολότερες στον εντοπισμό απάτες είναι αυτή του «ενδιάμεσου ατόμου» (man-in-the-middle) όπου ένας ξενιστής παρεμβάλλεται μεταξύ της επικοινωνίας δύο υπολο­γιστών και αποκτά τα δεδομένα που ανταλλάσσουν, μη διακόπτοντας όμως τη σύνδεση, ώστε να μη γίνει αντιληπτός. Α­ντίστοιχη περίπτωση είναι και η απάτη του «ξενιστή στο πρόγραμμα πλοήγησης» (man in the browser), όπου ένας δού­ρειος ίππος (Trojan horse) εγκαθίσταται στον υπολογιστή του θύματος και αλλάζει τις συναλλαγές του σε πραγματικό χρό­νο, με αποτέλεσμα να μην αντιλαμβάνεται την κλοπή δεδομένων και να νομίζει ότι όλα τελούνται ορθά.

Μηχανισμοί αντιμετώπισης διαδικτυακής απάτης

Με την άνθηση του ηλεκτρονικού εμπορίου και την κάθε είδους απάτη που διαπράττεται, ήταν φυσικό επακόλουθο η δημιουργία μηχανισμών προστασίας του κοινού συμφέροντος με στόχο να διασφαλιστεί η ακεραιότητα των συναλλαγών. Στην Ε.Ε. δημιουργήθηκαν οδηγίες για την προστασία του κατανα­λωτή όταν μετέχει σε διεθνείς συναλλαγές (97/7/EC), για τις εγγυήσεις που πρέπει να φέρουν τα καταναλωτικά προϊόντα (1999/44/EC) και για νομικά θέματα που αφορούν στο εσωτε­ρικό ηλεκτρονικό εμπόριο (2003/31/EC). Σημειώνεται ότι οι κα­νόνες της Ε.Ε. ισχύουν για ιστότοπους που αφορούν στα κρά­τη - μέλη της και εν γένει οι κανόνες που θέτει κάθε χώρα ξε­χωριστά, αφορούν στην περιοχή δικαιοδοσίας της. Κατά συ­νέπεια, οι συναλλαγές με Οργανισμούς εκτός Ε.Ε. δεν διέπο­νται από τα ίδια επίπεδα προστασίας του καταναλωτή και του εμπόρου και θα πρέπει να επιλέγονται με σύνεση.

Παρόλα αυτά, επειδή μόνο οι έμποροι και οι υπηρεσίες απο­πληρωμών έχουν τη δυνατότητα να γνωρίζουν αν τα δεδομέ­να των πελατών τους είναι ασφαλή, υιοθέτησαν ως μέρος της άμυνας τους κανόνες συμμόρφωσης, ώστε να διατηρούνται οι ιστοσελίδες προστατευμένες. Έτσι δημιουργήθηκε το PCI-DSS (Payments Card Industry Security Standards Council) από τους ίδιους τους Οργανισμούς πιστωτικών καρτών, το οποίο ορίζει τους ελάχιστους κανόνες ελέγχου που πρέπει να εφαρμόσουν οι διαδικτυακοί έμποροι για να προστατεύσουν τους πελάτες τους και θεωρείται υποχρεωτικό στην εφαρμογή του. Αν και ως χρήστης, δεν υπάρχει κάποιος τρόπος να διαπιστωθεί αν ο ιστότοπος είναι σύμφωνος με αυτό το πρότυπο λειτουργίας. Το PCI-DSS αφορά σε οποιαδήποτε οντότητα επεξεργάζε­ται, μεταδίδει ή αποθηκεύει πληροφορίες πιστωτικών καρτών, από τους μικρούς εμπόρους έως τους διεθνείς Οργανισμούς. Ανάλογα με το επίπεδο που τους έχει χορηγηθεί, οι έμποροι υποβάλλονται σε σαρώσεις για κακόβουλο λογισμικό είτε από ανεξάρτητους και εξουσιοδοτημένους τρίτους Οργανισμούς (ASV - Approved Scanning Vendor) είτε ατομικά και παρέχουν πληροφορίες για τις προβληματικές συναλλαγές στον Οργα­νισμό. Αν κάποιος έμπορος βρεθεί μη συμβατός με το πρω­τόκολλο και πέσει θύμα εξαπάτησης, υποχρεούται σε εκτενείς ελέγχους σε βάθος χρόνου και παράλληλα σε αποζημιώσεις των θυμάτων.

Ειδικότερα για την επικοινωνία του υπολογιστή με το διαδίκτυο έχει υιοθετηθεί η SSL τεχνική κωδικοποίησης (Secure Socket Layer), που αν και δεν παρέχει κάποιο είδος ασφάλειας και προ­στασίας της ιστοσελίδας, προστατεύει τη διαδικασία αποστολής και λήψης των δεδομένων. Αν χρησιμοποιείται η κωδικοποίηση SSL, η διεύθυνση της ιστοσελίδας θα ξεκινά με https (s=secure) αντί για http και στη γραμμή κατάστασης του browser θα υ­πάρχει ένα κλειδωμένο λουκέτο. Το πιστοποιητικό SSL δίνεται στην ιστοσελίδα από μια ανεξάρτητη αρχή πιστοποίησης και ο browser κατά τη σύνδεσή του εξετάζει αν είναι συμβατή με συ­γκεκριμένους κανόνες που υποδεικνύονται από την αρχή. Κα­τά συνέπεια, όποια μηνύματα προειδοποίησης προκύψουν κατά τον έλεγχο δεν θα πρέπει να αγνοηθούν, μιας και μπορεί να είναι ενδείξεις ύπαρξης κινδύνου. Στον Internet Explorer ένα κλικ στο λουκέτο δίνει πληροφορίες για την αρχή πιστοποίησης της ιστοσελίδας, ενώ στον Firefox επιλέγεται το πράσινο παράθυρο πληροφοριών στα αριστερά του URL.