Kłódka to gwarancja bezpieczeństwa? Nic z tych rzeczy!

Data wpisu: 14.05.2019

Na pewno wiesz już o tym, że wprowadzanie jakichkolwiek wrażliwych danych (np. numeru karty kredytowej) na stronie niezabezpieczonej certyfikatem SSL jest skrajnie nieodpowiedzialne. Tenże certyfikat poświadcza, że witryna korzysta z szyfrowanego protokołu HTTPS, co daje złudzenie pełnego bezpieczeństwa. No właśnie: złudzenie. Wbrew obiegowej opinii (uważa tak aż 80% przebadanych internautów), symbol kłódki w pasku przeglądarki nie jest gwarancją, że dane podane na stronie nie zostaną przechwycone. Jak to możliwe? Przeczytaj.

Certyfikat SSL może dziś mieć każda strona

To niestety poważny problem, ponieważ okazuje się, że wystawcy certyfikatów nie weryfikują, kto właściwie je kupuje i gdzie instaluje. Coraz częściej dochodzą do nas informacje o przypadkach stron ewidentnie służących do wykradania danych, które korzystają z szyfrowanego połączenia!

Przestępcy zorientowali się już, że coraz trudniej jest złapać ofiarę na stronę, przy której adresie nie widnieje magiczny symbol kłódki. Zaczęli więc inwestować w certyfikaty SSL, które uwiarygadniają ich witryny. Przede wszystkim chodzi tutaj o strony phishingowe, czyli stworzone specjalnie do wyłudzania cennych danych, np. podszywające się pod oficjalne witryny banków czy systemów płatności.

Choć dane podane na takiej witrynie nie mogą zostać przechwycone przez osobę trzecią (co gwarantuje certyfikat), to bez problemu w ich posiadanie wejdzie administrator strony, czyli przestępca.

Co możesz zrobić?

W gruncie rzeczy – niestety niewiele. Tak naprawdę pozostaje Ci tylko żmudne sprawdzanie „na około”, czy aby na pewno strona, na którą wszedłeś, jest bezpieczna. Ryzyka przechwycenia danych nie da się jednak w 100% wyeliminować.

Pierwsze, co należy zrobić, to kliknąć w symbol kłódki – wówczas wyświetlą się szczegóły na temat certyfikatu SSL i jego ważności. Ponieważ jednak, jak wspomnieliśmy, z takich certyfikatów korzystają również strony należące do oszustów, warto dodatkowo upewnić się, że adres witryny jest prawidłowy i nie ma w nim jakiejś niewielkiej literówki.

Z tego triku masowo korzystają autorzy stron służących do phishingu, czyli wyłudzania danych – zamiast np. www.pkobp.pl mamy więc www.pkopb.pl. Na pierwszy rzut oka trudno jest odróżnić te adresy od siebie, prawda? Przestępcy bezlitośnie to wykorzystują.

Pamiętaj więc, że symbol kłódki w pasku przeglądarki NIE DAJE żadnej gwarancji, że Twoje dane są bezpieczne. Zanim podasz na stronie jakiekolwiek informacje o sobie, zapoznaj się z jej treścią, dokładnie sprawdź adres i ustal, kto jest wystawcą certyfikatu.

Dodatkowo zainstaluj na komputerze porządne oprogramowanie antywirusowe (chroniące również przeglądarkę) oraz nie zwlekaj z aktualizacjami systemu, które zwiększają poziom zabezpieczeń.

Autor wpisu: Soluma Interactive, Grzegorz Wiśniewski