Mala škola sigurnosti plaćanja kreditnim karticama
Kao prvo da objasnimo jednu stvar. Razloga za strah od kupovine kreditnim karticama
na internetu – IMA. I tko vam kaže da to nije tako, ne govori istinu.
Međutim, isto tako treba napomenuti da su za krađu informacija o karticama, u najvećem
postotku, krivi sami vlasnici kartica zbog neznanja i nemara. Tehnologija je napravila
najviše moguće kako bi vlasnike kartica zaštitila od prevare i krađe, te konstantno
radi na poboljšanju sustava zaštite korisnika.
Ovaj je tekst pripremljen zato da nauči korisnike kreditnih kartica kako da koriste
mogućnosti kupovine na Internetu na siguran i zaštićen način. Moramo ipak napomenuti
da ovaj dokument ne jamči apsolutnu zaštitu vlasnika kartice i njegovih podataka,
već je tu kako bi pomogao u otklanjanju rizika na koje nailazimo dok kupujemo na
Internetu.
Kako stvari rade
Što danas radite kada imate neku povjerljivu informaciju o sebi? Čuvate ju brižno
i ne dopuštate nikome da ju vidi, pročita ili na bilo koji način sazna. Povjerljive
informacije podijeliti ćete samo sa osobama od najvećeg povjerenja. Oni to neće
širiti dalje i čuvati će te informacije pod svaku cijenu.
Ručate u restoranu i želite dobar obrok platiti kreditnom karticom. Konobar ispostavlja
račun i vi mu dajete kreditnu karticu kako bi on izvršio naplatu. Konobar odlazi
za šank i u tom trenutku vi imate potpuno povjerenje u konobara i restoran da on
neće ukrasti broj kreditne kartice. Isto tako imate povjerenja da nitko drugi, tijekom
procesa naplate, neće doći do informacija o vašoj kartici osim vašeg konobara.
Kako je u normalnom životu, tako je i na Internetu - sve je pitanje povjerenja.
Vi kao kupac morate vjerovati web sajtu i organizaciji koja stoji iza njega da će
čuvati informacije o vašoj kreditnoj kartici. Kako bi zadobila vaše povjerenje,
tvrtka koja prodaje na Internetu mora se vama predstaviti i vi morate vjerovati
da su oni stvarno oni za koje se predstavljaju. Dodatno, morate biti sigurni da
će podatkovni kanal kojim putuju informacije biti zaštićen i nitko neće moći neovlašteno
pročitati povjerljive informacije.
Ukoliko bilo koja od komponenti povjerenja izostane u oba slučaja, informacije o
kartici ćete zadržati za sebe.
Surfanje
Za pregled sadržaja na Internetu je uobičajeno korištenje web preglednika (browsera).
Na svom računalu možete imati jedan ili više web browsera koje su izradili razni
proizvođači. Najpoznatiji su Microsoft Internet explorer, Mozilla Firefox i Opera.
Dok koristite svoj web browser za pregledavanje Internet sadržaja na većini web
stranica podaci putuju nezaštićeni. Podaci s većine web stranica niti ne trebaju
biti zaštićeni jer se uglavnom tamo nalaze javne informacije koje su svima dostupne
i nisu tajna. Vaš web browser koristi http (hyper-text-transfer-protokol)
– informacijski protokol za razmjenu web stranica na Internetu. Oznaka http:// ispred
adrese web stranice označava upravo taj protokol, protokol koji razmjenjuje podatke
nezaštićeno.
Najosjetljiviji trenutak kod kupovine na Internetu jest plaćanje, odnosno predaja
osobnih podataka (username, password) i podataka kreditnih kartica. Prilikom razmjene
ovih informacija, podaci trebaju biti zaštićeni kako bi se izbjegla mogućnost da
dođu u krive i zlonamjerne ruke. Podaci se do web browsera tada trebaju prenositi
putem https (hyper-text-transfer-protokol secure) protokola koji kriptira
podatke na mreži.
Kriptiranje podataka
Kriptiranje podataka jest način da se originalna, čitljiva poruka pretvori u nečitljivih
niz znakova, kako bi se tako zaštićena prenijela do primaoca. Primalac je jedini
koji zna raspakirati i pročitati originalnu poruku.
Kriptirana poruka nije čitljiva ljudskoj osobi.
|
ne-kriptirana poruka
|
kriptirana poruka
|
POST /ppsecure/post.srf?lc=1040&id=2&ru=http://www.hotmail.msn.com/
cgi-bin/sbox&tw=20&fs=1&cbid=24325&da=passport.com&kpp=2&svc=mail
&msppjph=1 HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/
x-shockwave-flash, */*
Accept-Language: it
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
Cookie: BrowserTest=Success?; vv=25
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Host: login.passport.com
Content-Length: 95
Connection: Keep-Alive
Cache-Control: no-cache
Referer: http://login.passport.net/uilogin.srf?id=2&login=testuser@test.test&
domain=passport.com&passwd=testpassword&sec=&mspp_shared=&padding=xx
&cc_number=4111111111111111&cc_date=01/07&cc_name=Vjeran%20Kupac
|
ôņ(Ăyhîz’3[Q\ÄŁ
ţ=-É÷ŚV ś •S‚xčŞ
I?@+Ő´Ź EŁé66 †Ź
Ł¤6ۉ§‘&ç- ”€F
[ćUÁ saOÜŐ¨°pŤ*0
OĘöŃuó>jTý˝IN¤íç
ąĹ řŔ˙ ŹKoűô)‡R‹
ţ|íżďĐ®ÇↆmocÔm
㵎ŇF …Š2¬Ţ‡śc ž
}ăśń\χ4+-~ëě˛^
Ý[J±ĽŇČ-QáŠ5 ,Íć
öáOQOŹĄ[ëÉY-úŰî
"®tęŞIÝ˝ş ˙ ´˘˙ź
;oűô(ţŇ‹ţ|íżďĐŞë
ĄßKbÚ„ 7Ź`3ţ’``
ĎsȬű U6?nţĚĽű Ýß
hň ËÇ®ěc ÝÍOş0t¤
ťµ%ţŇ‹ţ|íżďĐŁűJ/
|
Zlonamjernik koji prati promet na mreži iz ne-kriptirane poruke može puno toga saznati
(tekst obojan crvenom) dok iz kriptirane ne može.
Kriptiranje se obično vrši pomoću 128-bitnog ili 256-bitnog ključa. Ovakvu je zaštitu
nemoguće probiti u realnom vremenu, pa čak i koristeći današnje najnaprednije računalne
sustave.
Certifikati
Na Internetu se nalaze postavljeni web poslužitelji (serveri) i na njima se nalaze
sadržaji koje vi tražite putem svojih browsera i pregledavate.
Da bi web server vama dokazao svoj identitet on mora imati instaliran SSL (secure-socket-layer)
certifikat.
SSL je tehnologija koja služi za uspostavljanje https protokola.
U certifikatu se nalaze informacije o nazivu web sajta, nazivu tvrtke, datum trajanja
certifikata i ostale informacije.
Tri su parametra koja moraju biti zadovoljena kako bi serverski certifikat bio pouzdan
za vas kao kupca:
|
Vrijeme trajanja certifikata
|
Kako bi se osigurala vremenska ažurnost, svaki se certifikat izdaje na određeno
vrijeme. Vrijeme od kada-do kada vrijedi certifikat zapisano je u samom certifikatu.
|
|
Adresa web sajta za koji je izdan certifikat
|
Kada se izdaje certifikat, potrebno je točno odrediti za koji web sajt na Internetu
se izdaje certifikat. Primjer: za www.moja-trgovina.net. Ovime se osigurava
da niti jedan drugi web sajt ne može koristiti dotični certifikat. Podatak se čuva
u samom certifikatu.
|
|
Autorizacijska kuća ili organizacija koja je certifikat izdala
|
Ukoliko netko želi koristiti https za zaštitu podataka mora imati certifikat.
U svijetu postoji niz autorizacijskih organizacija koje izdaju profesionalne certifikate,
koji su provjereni i jamče ispravnu zaštitu podataka. Primjer: Comodo, Verisign,
Thawte. Trgovac može odabrati kupiti pravi pouzdani certifikat od ovakvih
organizacija, može si ga izdati sam ili zatražiti od neke treće stranke.
Za svjetske autorizacijske kuće se smatra da su to organizacije od povjerenja. To
su organizacije koje konstantno ulažu ogromna sredstva kako bi osigurali surferima
povjerenje u sigurnost sustava i protokola. Ukoliko web trgovina koristi takav certifkat,
možemo biti sigurni da će naši podaci biti zaštićeni.
Jedina hrvatska autorizacijska organizacija jest FINA (FINancijska Agencija). Ona
izdaje komercijalne certifkate za svakojake upotrebe. Međutim, web browseri ne vjeruju
certifikatima izdanima od strane FINA-e.
|
Vaš web browser se brine o tome da su sva tri parametra ispravna. U protivnom vas
upozorava da nešto nije u redu i daje vam mogućnost da odlučite što dalje.
Kupovina na Internetu
Početak kupovine svodi se na pregledavanje kataloga proizvoda i ubacivanje u košaricu.
Ovaj se proces najčešće odvija na nezaštićenom dijelu web trgovine (koristeći http
protokol). Podaci su javni i ne trebaju biti zaštićeni.
U trenutku kada želimo realizirati kupovinu odlazimo na "Naplatu", "Blagajnu", "Checkout"
ili kako je to već nazvao izvođač web trgovine. O ovom koraku se obično prijavljujete
tako da upišete korisničko ime ili e-mail i lozinku kako bi vas web trgovina prepoznala
(ukoliko ste prvi puta tu, morate se registrirati kao novi korisnik).
Ovo je trenutak kada bi trebala započeti zaštita vaših podataka od strane same web
trgovine. U prvom koraku se štiti vaša lozinka i osobni podaci, a kasnije i informacije
o plaćanju karticama i slično.
Postoji nekoliko opcija koje se mogu dogoditi u ovom koraku, a za svaku od njih
ćemo vam preporučiti kako reagirati.
Ispravna zaštita
U trenutku kada trebate predati osjetljive podatke na web, trebate prekontrolirati
par detalja. Ako primijetite da ste u bilo kojem trenutku prešli sa http
na https konekciju, a da vas web browser nije na ništa upozorio - možete
mirno nastaviti dalje bez brige. Stranica je ispravno zaštićena.
Što se u stvari dogodilo? Web browser je provjerio serverski certifikat prema tri
ranije spomenuta parametra i zaključio je da je sve u redu. Vas nije nepotrebno
uznemiravao i ponudio vam je nastavak rada.
Provjeru certifikata možete izvršiti sami.
Odabirom slike lokota u Internet Exploreru 7 možemo pogledati detaljne informacije
o certifikatu. Na karticama certifikata vidimo da nema nikakvih upozorenja. Dakle,
certifikat je povjerljiv i kupovina je sigurna. Na sličan način provjeru možete
obaviti u ostalim web browserima.
Napomena: Neki web sajtovi mogu imati prvu stranicu (na kojoj upisujete osjetljive
podatke) na http protokolu, ali onda vam eksplicitno moraju naznačiti da
je slijedeći korak na sigurnom https protokolu. U tom slučaju link pokazuje
na https zaštićenu stranicu. To znači da će vaši upisani podaci biti predani
na zaštićenu stranicu i neće se moći zlorabiti.
Ovakva situacija je dopuštena i sasvim u redu.
U stranicu možete imati potpuno povjerenje. Vaši podaci biti će zaštićeni na putu
do servera. Svjetska autorizacijska organizacija je izdala punovažan certifikat
koji jamči da je identitet tvrtke, kojoj predajete informacije, potvrđen. Sa 100%-tnom
sigurnošću možete biti uvjereni da do informacija o kartici neće doći zlonamjernici
i - možete slobodno nastaviti kupovinu!
Napomena: Nitko na svijetu ne može vam jamčiti što će se dogoditi s vašim informacijama
jednom kada one sigurno stignu na odredište. Način na koji će dotična tvrtka raspolagati
s vašim informacijama može se pretpostaviti samo prema renomeu tvrtke na tržištu
i njenom imenu.
Ali opet, nitko vam to isto ne može jamčiti za konobara u restoranu, ili radnika
za pultom na benzinskoj crpki. A ipak im dajete kartice.
Djelomična ili upitna zaštita
Ukoliko bilo koji od tri ranije spomenuta parametra certifikata nije ispravan, vaš
web browser će vas obavijestiti o tome i prepustiti vama da se odlučite za daljnje
akcije. Nekoliko slijedećih ilustracija će vam pomoći kako da identificirate takve
slučajeve u raznim browserima.
Microsoft Internet Explorer 7
Microsoft Internet Explorer 6 i prethodni
Odabirom opcije "View certificate" pogledati ćemo informacije o certifikatu i organizaciji
koja ga je izdala.
Mozilla Firefox
Opera
Za svaki od navedenih slučajeva, browser vas pita da li želite nastaviti raditi.
Nastavak ne znači da će vaši podaci putovati ne-kriptirani. Naprotiv, vaši podaci
će biti uspješno kriptirani i zaštićeni od zlonamjernika koji "skeniraju" promet
po mreži. Međutim, kako certifkat nije validan i provjeren, preporučljivo bi bilo
provjeriti vlasnika web stranice prije nego se odlučite za nastavak.
Ukoliko nemate potpuno i 100%-tno povjerenje u prodavatelja - odmah odustanite od
kupovine!
Bez zaštite
Ukoliko primijetite da web adresa, na kojoj je postavljen vaš browser, započinje
sa http://, a na web stranici trebate predati povjerljive podatke, dobro
razmislite hoćete li to učiniti. Dodatno, ukoliko primijetite da niti slijedeća
stranica, na koju prosljeđujete podatke, nije zaštićena koristeći https,
budite svjesni da će podaci putovati mrežom potpuno nezaštićeni.
Iako uvijek treba štititi vlastite podatke, zaštita je daleko važnija na stranici
na kojoj se predaju informacije o kreditnim karticama. Ukoliko naletite na takvu
stranicu na nezaštićenom http protokolu - odmah odustanite od kupovine!
Zaključak
Kupovina na Internetu nije bauk, već komocija. Trebaju je se bojati samo oni koji
ne razumiju osnovne principe. Nadamo se da će vam ova uputa pomoći u razbijanju
psiholoških barijera i straha od novih tehnologija.
Moja-Trgovina.Net Vam želi ugodno surfanje i shopping.