Już blisko 80 proc. Polaków dokonuje zakupów w sieci*. Zakupy w Internecie stały się integralną częścią naszego życia. Sprzedaż produktów online nieustannie rośnie, a wraz z pandemią COVID-19 wzrost ten znacząco przyspieszył. W pierwszym kwartale 2021 r. liczba sklepów internetowych zwiększyła się o 3,4 tys.**, a sprzedaż produktów online wzrosła o 35 proc. w stosunku do roku 2020***. W związku z tym kwestia cyberbezpieczeństwa w branży e‑commerce stała się niezwykle istotna.
„W Polsce większość konsumentów kupuje i sprzedaje głównie na dużych platformach sprzedażowych typu: Allegro, Amazon, AliExpress czy OLX. Zasadniczo duże portale sprzedażowe dobrze dbają o bezpieczeństwo swoich użytkowników, zapewniając im szereg rozwiązań chroniących ich przed zagrożeniami w sieci” – stwierdza mgr inż. Kamil Kaczyński z Wydziału Cybernetyki Wojskowej Akademii Technicznej. Dla przykładu w 2021 r. Amazon zainwestował ponad 900 mln dolarów i zaangażował ponad 12 tys. osób, w tym naukowców zajmujących się uczeniem maszynowym, programistów, ekspertów śledczych i wielu innych specjalistów, w ochronę klientów, marek, partnerów handlowych i serwisu przed podrobionymi produktami, oszustwami i innego rodzaju nadużyciami.
„Mimo wszystko działania po stronie platform sprzedażowych mogą nie wystarczyć, jeżeli również i sami użytkownicy nie będą przestrzegać pewnych reguł w obszarze bezpieczeństwa” – ostrzega mgr inż. Kaczyński. Jakich? Oto te najważniejsze.
Sprawdź sprzedawcę
Już sam fakt, że korzystasz ze sprawdzonej platformy sprzedażowej jest dobrym krokiem związanym z dbałością o bezpieczeństwo. Wraz z rozwojem e‑handlu w sieci powstaje wiele pomniejszych witryn oferujących superokazje, które często są oszustwami. Duże, znane platformy handlowe, jak właśnie Allegro, Amazon, AliExpress, Ceneo czy OLX, skupiające oferty wielu różnych sprzedawców, umożliwiają swoim użytkownikom opiniowanie tychże (patrz np.: etykieta Super Sprzedawca na Allegro czy ikona „Większość kupujących jest zadowolona z tego ogłoszeniodawcy” na OLX).
Tam, gdzie to możliwe, m.in. na Allegro, zwróć również uwagę na sposób komunikacji danego sprzedawcy z kupującymi – na to, jak rozpatruje uwagi klientów, ich reklamacje czy też jak sprawnie odpowiada na ich zapytania.
Zawsze też warto zweryfikować dane rejestrowe sprzedawcy lub firmy (KRS), dokładnie przeczytać regulamin sklepu oraz zasady zwrotu towarów, a także sprawdzić opinie o danym podmiocie w innych niezależnych serwisach z opiniami. Pamiętaj, że prywatnych osób sprzedających w sieci nie obowiązują te same zasady prawne co firmy. Dokonując więc zakupu od takiego użytkownika, możesz nie mieć szansy na zwrot towaru (choć standardowo masz na to 14 dni przy zakupach online od podmiotów gospodarczych) czy jego reklamację (gdy produkt posiada wady, a sprzedający poinformował o nich w ofercie sprzedaży).
Zwracaj też uwagę na opisy oferowanych produktów. Jeśli te napisane są niefachowo, niedbale, z błędami, a jednocześnie kuszą nieprawdopodobnie okazyjną ceną, istnieje duże ryzyko, że są one próbą oszustwa.
Wystrzegaj się ofert, w których sprzedający żąda przedpłaty za produkt i dopiero po przedpłacie deklaruje wysyłkę towaru. Mnóstwo osób daje się nabrać na takie superokazje przedstawiane najczęściej przez prywatnych użytkowników, które potem okazują się fałszywą ofertą. Zwłaszcza na takich platformach handlowych jak np. Marketplace (na Facebooku), gdzie jest wiele prywatnie sprzedających osób, a platforma w żadnej mierze nie bierze na siebie odpowiedzialności za proces handlowy na linii klient – sprzedawca, tego typu proceder kwitnie. Oszuści wykradają prywatne konta użytkowników lub zakładają konta fikcyjne i zamieszczają oferty sprzedaży z przedpłatą jako jedyną możliwą opcją zakupu, po czym – gdy uda im się skłonić do zakupu wystarczającą liczbę klientów – nagle znikają z sieci i nie sposób się z nimi skontaktować ani jakkolwiek ich w sieci wyśledzić.
Przed dokonaniem zakupu sprawdź, czy sprzedawca/platforma handlowa wykorzystuje do przeprowadzenia internetowych płatności znanego i zaufanego operatora. Znany operator usług płatniczych w Internecie weryfikuje swoich klientów i daje im możliwość zalogowania się do internetowych systemów transakcyjnych wielu różnych banków. Jeśli dany sprzedawca nie korzysta z usług operatora płatności internetowych, a jedynie umożliwia płatność przelewem na podany na swojej stronie rachunek bankowy, bądź ostrożny. W takim wypadku lepiej zdecyduj się na płatność za pobraniem.
Wybieraj sprzedawców, którzy w jednej z możliwych form płatności oferują płatność za pobraniem i inne bezpieczne formy płatności (np. BLIK, Google Pay, Apple Pay). Jeśli masz wątpliwości odnośnie do danego sprzedawcy, zamiast przelewu wybierz płatność za pobraniem, ewentualnie płatność kartą kredytową. Operatorzy kart oferują tzw. chargeback, czyli obciążenie zwrotne, dające możliwość ubiegania się o zwrot środków za niezgodny z umową zakup bezpośrednio w Twoim banku. Pamiętaj: jeśli dokonujesz płatności kartą, dane takie jak numer karty, data jej ważności, imię i nazwisko posiadacza, kod CVV2 lub CVC2 podawaj wyłącznie wtedy, jeśli masz pewność, że znajdujesz się bezpośrednio na stronie zaufanego operatora płatności, a nie na stronie sprzedającego. Zdarza się bowiem, że witryny sprzedażowe są tworzone w celach wyłudzania tego typu danych.
Zanim jednak zaczniesz zakupy na stronie danego sprzedawcy lub platformy handlowej, sprawdź, czy witryna jest właściwie zabezpieczona. O właściwych zabezpieczeniach stron przeczytasz w naszym artykule „Jak bezpiecznie płacić w Internecie”.
Chroń swoje konto oraz dane osobowe
Niebezpieczeństwa związane z zakupami w sieci nie ograniczają się wyłącznie do ryzyka otrzymania towaru niezgodnego z opisem, trudności reklamacyjnych czy kłopotów z dostawą. Cyberbezpieczeństwo związane jest w dużej mierze z ochroną naszych osobistych danych. Korzystając z usług e‑commerce, zwykle musimy dokonać rejestracji w serwisie, sklepie czy na platformie handlowej, a te wymagają od nas podania imienia i nazwiska, adresu dostawy, adresu do korespondencji, numeru telefonu, adresu e‑mail, czasami także NIP, daty urodzenia, numeru konta czy informacji o karcie płatniczej. Wymagają też ustanowienia loginu oraz hasła. Nawet jeśli rejestracja nie jest konieczna, część z tych danych i tak jednorazowo musimy podać, by dokonać transakcji i otrzymać produkt na wskazany adres. Niestety nasze dane, które pozostawiamy w sieci, mogą zostać wykorzystane w niepożądany sposób, dlatego warto należycie zadbać o ich ochronę. Przede wszystkim, o ile to możliwe, podawaj tych danych jak najmniej, a już absolutnie nie udostępniaj takich informacji jak PESEL czy numer dowodu osobistego.
Poza tym sprawdzaj, czy strona danego sprzedawcy lub platformy handlowej zawiera informacje o polityce prywatności oraz o RODO, które mówią nam, w jaki sposób dany podmiot wykorzystuje nasze dane, w jakich celach je przetwarza, jak dba o naszą prywatność.
Dobrze również dokonać weryfikacji firmy w Google Maps. Sprawdź, czy „fizycznie” istnieje ona na mapie, jak wygląda siedziba firmy i czy rzeczywiście firma ulokowana w tym miejscu oferuje produkty, które planujesz kupić.
Niezależnie od tego, czy jesteś sprzedającym czy kupującym, zadbaj o silne hasło do swojego konta, umożliwiające Ci logowanie do serwisu (tu znajdziesz wskazówki, jak stworzyć bezpieczne hasło) i często je zmieniaj.
Stosuj dwuskładnikowe uwierzytelnianie podczas logowania. Takiego zabezpieczenia wymagają już od nas banki. Chcąc dostać się do konta bankowego, musimy potwierdzić swoją tożsamość, nie tylko wpisując login i hasło, ale także podając dodatkowe informacje przeznaczone do jednorazowego użycia (potwierdzenie z aplikacji, kod SMS lub zdrapka). Podobne dwuskładnikowe uwierzytelnienie proponują też swoim użytkownikom niektóre największe platformy handlowe (m.in. Amazon czy Allegro).
Zabezpiecz urządzenie, na którym dokonujesz zakupów czy sprzedaży online. Większość internautów kupuje i sprzedaje poprzez urządzenia mobilne. Wskazane jest zatem zabezpieczenie takich urządzeń odpowiednim programem antywirusowym, a także hasłem dostępu do urządzenia lub weryfikacją swojej tożsamości, np. poprzez odcisk palca.
Robiąc zakupy lub sprzedając online, używaj wyłącznie własnego transferu danych (prywatnej lub firmowej, ale dobrze zabezpieczonej sieci Wi-Fi). Unikaj ogólnodostępnych sieci Wi-Fi, które mogą stanowić honeypot – pułapkę utworzoną przez cyberprzestępców do pozyskiwania danych użytkowników Internetu.
Część internautów bagatelizuje tego typu zabezpieczenia, twierdząc, że te zajmują im zbyt wiele czasu, tymczasem oszuści coraz bardziej specjalizują się w nielegalnym pozyskiwaniu danych i przejmowaniu kont e‑konsumentów. Dlatego warto wykorzystywać dodatkowe możliwości zabezpieczeń, by zminimalizować ryzyko stania się ofiarą cyberprzestępców.
Zadbaj o dostawę
Duże, od lat istniejące na rynku platformy sprzedażowe weryfikują swoich dostawców i najczęściej podpisują umowy na dostarczanie przesyłek ze sprawdzonymi w tym zakresie firmami (m.in. DPD, DHL, UPS, GLS, FedEx, InPost, Poczta Polska – Pocztex, Orlen Paczka). Dodatkowo niektóre z tych platform obejmują swoich klientów Programem Ochrony Kupujących, który zapewnia im m.in. zwrot pieniędzy, jeśli przesyłka za zakupiony na platformie towar do nich nie dotrze, albo też dotrze do nich uszkodzona lub niekompletna. Taką ochronę oferuje również część firm kurierskich. Jednakże aby do ewentualnego zwrotu poniesionych kosztów zakupu doszło, warto zamawiać dostawę z opcją sprawdzenia zawartości przesyłki. I rzeczywiście, w chwili gdy przesyłka zostaje nam dostarczona, należy sprawdzić ją w obecności doręczyciela, a w razie nieprawidłowości sporządzić protokół wad.
Trzeba też zachowywać korespondencję ze sprzedawcą i dowody zakupu online (e‑faktura), by w razie problemów rozpocząć procedurę reklamacyjną w ramach platformy handlowej czy u operatora płatności.
Może się zdarzyć, że po wybraniu dostawcy i opłaceniu przesyłki otrzymasz e‑mail lub SMS z prośbą o podanie dodatkowych danych w celu dostarczenia przesyłki, o potwierdzenie swoich danych czy informację o niedopłacie za przesyłkę. Bądź ostrożny, gdyż możesz mieć tu do czynienia z tzw. phishingiem – podszywaniem się pod wiarygodną dla użytkownika osobę lub instytucję, w tym przypadku pod platformę handlową, firmę kurierską, w celu kradzieży danych osobistych.
„Oszuści wykorzystują wiele sposobów, by przejmować nasze dane. Kupujesz przedmiot, a sprzedawca wysłał Ci link do płatności, który w dodatku wymaga zalogowania się do Twojej bankowości internetowej? Możesz być praktycznie pewny, że to próba wyłudzenia danych do logowania takich jak Twoje hasło do konta. Cyberprzestępcy często wykorzystują w tym celu strony przypominające strony banków. Różnią się one szczegółami: jedną literą, nazwą domeny, detalami w wyglądzie strony” – przestrzega mgr inż. Kamil Kaczyński.
Nie klikaj w podejrzany link, nie udostępniaj danych, nie dokonuj żadnych wpłat, lecz najlepiej skontaktuj się bezpośrednio ze sprzedawcą, infolinią platformy sprzedażowej lub firmy kurierskiej – w zależności od tego, kto figuruje jako potencjalny dostawca wiadomości – i spróbuj wyjaśnić tę sytuację.
Jesteś sprzedawcą?
Jeśli chcesz mieć prawo do ubiegania się o zwrot przez platformę sprzedażową kosztów poniesionych za wysyłkę w sytuacji, gdy np. kupujący wysyłki nie odbierze, sprawdź, czy dana platforma zapewnia klientom odpowiednie zawarcie umowy kupna-sprzedaży. Poznasz to po obecności przycisków potwierdzenia zamówienia z napisami: „Kupuję i płacę”, „Zamawiam i płacę” lub „Transakcja z obowiązkiem zapłaty”. Bez nich umowa nie będzie ważna, bo nie zostanie zawarta.
W Internecie wiele wyłudzeń dotyka prywatnych sprzedawców. Oszuści na WhatsApp czy innym komunikatorze oferują sprzedawcy, że sami zorganizują kuriera, który odbierze od nich przesyłkę lub proponują wysyłkę poprzez portale OLX czy Allegro Lokalnie, informując, że opłatę za towar prześlą na konto. Podsyłają sprzedawcy link do firmy przewozowej czy platformy handlowej, który w rzeczywistości przenosi klikającego na imitację strony przewoźnika bądź portalu oraz link do odbioru wpłaty. Akceptacje na ww. stronach wymagają podania danych osobowych, a niekiedy też numeru karty kredytowej i trzycyfrowego kodu CCV/CVC. Po wprowadzeniu tych danych oszuści przesyłają sprzedającemu SMS udający stronę jego banku z prośbą o potwierdzenie kodu autoryzacyjnego. Kliknięcie w zawarty w SMS-ie link sprawia, że telefon oszusta zostaje dodany do aplikacji bankowej sprzedawcy i otwiera złodziejowi dostęp do jego konta.
Innym sposobem jest prośba kupującego o wysłanie towaru do paczkomatu. Tu także sprzedający dostaje link do potwierdzenia płatności i sposobu wysyłki, przenoszący go na fałszywą stronę, np. InPost, która wymaga podania danych wrażliwych i danych do konta. Mając takie dane, oszuści włamują się na konto sprzedawcy i opróżniają je.
Cyberoszuści podszywają się bądź pod zaufane podmioty (bank, firma przewozowa, znana platforma handlowa), bądź pod serwis techniczny portalu/firmy/instytucji.
Wyłudzenia odbywają się też w inny sposób – oszuści oferują sprzedawcy znacznie wyższą cenę za wystawiany przez niego towar, pod warunkiem że sprzedawca zgodzi się na jego niezwłoczną wysyłkę, a cała transakcja odbędzie się poza platformą aukcyjną. Na potwierdzenie wpłaty wysyłają sprzedawcy jej skan, prosząc, by ten jeszcze tego samego dnia wysłał towar. Skan oczywiście jest fałszywy, bo fizycznie wpłata na konto sprzedającego nie zostaje przelana. Towar idzie w świat, a sprzedający zostaje z niczym.
Jeśli zatem sprzedajesz w Internecie, pamiętaj, by nie klikać w linki przesyłane przez kupujących, ostrożnie podawaj swoje dane, a towar wysyłaj dopiero po zaksięgowaniu pełnej kwoty na Twoim koncie.
Zgłaszaj problemy
Mimo ostrożności padłeś ofiarą oszustwa? Koniecznie wykorzystaj wszelkie środki, by zadbać o bezpieczeństwo swoich danych. Zgłoś sytuację w odpowiednich instytucjach i rozpocznij procedurę reklamacyjną.
Śledź także cykl #cyberWAT, w którym w prosty i zrozumiały sposób tłumaczymy czytelnikom zagadnienia cyberbezpieczeństwa.
Marek Baranowski
Projekt graficzny: Mariusz Maciejewski
* Badanie „E‑commerce w Polsce. Gemius dla e‑Commerce Polska”, 2021.
** Dane agencji badawczej Dun & Bradstreet.
*** Raport PwC „Strategie, które wygrywają. Liderzy e‑commerce o rozwoju handlu cyfrowego”.