Kako proveriti da li je web sajt bezbedan za online kupovinu

Kupujete na internetu? Želite da se potencijalni kupci osećaju bezbedno prilikom kupovine na vašem web sajtu? Proći ćemo kroz to kako da znamo da li je web sajt bezbedan (i šta možete da uradite da pomognete svojim posetiocima da provere da li je vaš web sajt legitiman).

U izveštaju HelpNet Security, od drugog kvartala 2020. u proseku se dnevno kreira više od 18.000 lažnih web sajtova. Na osnovu te računice, to znači da je godišnje kreirano najmanje 6,57 miliona lažnih web sajtova. To je znak da trebate znati kako da proverite da li je web sajt bezbedan za kupovinu kako ne bi bili prevareni od strane lažnog prodavca.

Sada se stavite u kožu svojih potencijalnih kupaca. Pokušavaju da shvate da li da posluju sa vašom kompanijom. Postoji nekoliko pitanja koja mogu postaviti o vašem web sajtu:

• Da li je ovaj web sajt legitiman?
• Da li je ovaj web sajt bezbedan?
• Ako web sajt ima SSL, da li je siguran?

Hajde da istražimo šta predstavlja „bezbedan“ web sajt iz perspektive korisnika i kako da utvrdimo da li je web sajt siguran za kupovinu. Takođe ćemo pričati o tome šta administratori web sajtova mogu da urade kako bi pomogli posetiocima da dokažu da su njihovi web sajtovi bezbedni i legitimni.

Kada je u pitanju procena bezbednosti web sajta, postoje određene stvari na koje korisnici treba da vode računa. Nekada bismo ukazivali ljudima da provere ikonu bezbednog katanca u pregledaču. (Decenijama je ova ikona služila kao način da se saopšti da je web sajt siguran). Međutim, ikona bezbednog katanca u Chrome-u će proći kao ptica Dodo sa lansiranjem Chrome verzije 117 (negde oko septembra 2023.). Zašto? Zato što su ljudi pogrešno tumačili siguran web sajt za onaj koji je bezbedan. Ali kao što ćemo malo kasnije objasniti, ovi termini nisu sinonimi.

Kada web sajtovi koriste HTTPS protokol, to znači da web sajt koristi enkripciju da bi zaštitila podatke koji se prenose između klijenta i servera. U osnovi, pretraživač posetioca web sajta šifruje podatke pomoću ključa za šifrovanje, a server primaoca ih dešifruje pomoću ključa za dešifrovanje. Ovo je omogućeno korišćenjem SSL/TLS sertifikata.

Dakle, umesto ikone bezbednog katanca, videćete ikonu „podešavanje“ koja izgleda ovako:

Ali jednostavno navođenje da je web sajt siguran ne daje vam potpunu sliku da li je stvarno web sajt bezbedan u punom smislu te reči…

Samo zato što je nešto šifrovano ne znači automatski da je bezbedno. Ovo je jedan od dva glavna razloga zašto tim za bezbednost Google Chrome-a kaže da su odlučili da se u potpunosti otarase sigurnosti katanca:

1. HTTPS bi trebalo da bude podrazumevani protokol za svaki web sajt.
2. Ljudi su mešali sigurno značenje ikone katanca kao znak da je web sajt bezbedan.

Iako postoji mnogo reči koje volimo da koristimo naizmenično u industriji, sigurno i bezbedno ne bi trebalo da budu dve od njih. Zašto? Jer iako na površini zvuče kao da su ista stvar, istina je da nisu.

Siguran web sajt znači da web sajt koristi šifrovanu vezu za zaštitu podataka od napada presretanja. Ove vrste napada se dešavaju kada napadač (tj. čovek u sredini) pokušava da se nađe između dve strane u komunikaciji i čita, modifikuje ili ukrade njihove podatke dok su u tranzitu.

Bezbedan web sajt, s druge strane, podrazumeva da ne samo da koristite sigurnu vezu za prenos i primanje podataka, već znate ko je na drugom kraju veze, ko će primati vaše osetljive podatke.

Bezbedan web sajt, bez identiteta koji se može proveriti, daje lažan osećaj sigurnosti. Čak i ako koristite najbolji algoritam za šifrovanje, neće vam biti od koristi ako osoba sa druge strane (tj. ona sa ključem za dešifrovanje) nije pouzdana.

Sada kada znamo razliku između bezbednog i sigurnog, vreme je da brzo istražimo neke od načina da proverimo autentičnost i bezbednost web sajta.

Ako želite da kupite nešto sa web sajta, uvek je dobra ideja proveritidomen web sajta ili bilo koje specifične URL adrese preko skenera web sajta pre nego što kliknete na njega. Ova praksa vam može pomoći da izbegnete da se računar ili mobilni uređaj zaraze malverom.

Na primer, unesite URL web sajta u alatu za proveru URL-a VirusTotal.com da vidite da li pokazuje negativne rezultate. Na primer, koristili smo maliciouswebsitetest.com kao primer:

Ako dobijete vezu koja sadrži skraćeni URL (npr. bit.li, tiniurl, goo.gl, itd.), možete koristiti i alat za prikaz URL adresa da raščlanite kratke URL adrese u njihove pune verzije CheckShortURL.com. Na primer, uzeli smo skraćeni URL https://tinyurl.com/mr3zutxs i proširili ga tako da pokazuje https://blog.skyhosting.rs/.

Sada je važnije nego ikad za potrošače i zaposlene da procene digitalni identitet web sajta i organizacije koja ga poseduje. Zašto? Jer ako ne znate sa kim se povezujete, mogli biste se naći kao žrtva krađe identiteta, lažnih kupovina ili značajnijeg kršenja podataka.

Kada ste na web sajtu, možete da proverite informacije o SSL sertifikatu sajta. Kada koristite sertifikat za validaciju organizacije (OV) ili sertifikat proširene validacije (EV), digitalni identitet vaše organizacije postaje vezan za domen. Na primer, bezbednosni sertifikat web sajta senate.gov prikazuje naše uobičajeno ime (CN), naziv organizacije (O), lokaciju (L), državu (S) i druge informacije:

Ne vidite sve ove informacije? To verovatno znači da web sajt koristi sertifikat za validaciju domena (DV). To znači da je autoritet sertifikata (CA) koji ga je izdao samo verifikovao da tražilac sertifikata ima kontrolu nad domenom; nije izvršio nikakvo kopanje ili dodatnu digitalnu verifikaciju identiteta same kompanije.

Nije neuobičajeno da legitimna preduzeća koriste DV sertifikate. Nije svakom web sajtu potreban viši nivo validacije (npr. informativni web sajtovi koji ne prikupljaju osetljive podatke). Ali važno je napomenuti da ove minimalne sertifikate validacije takođe često koriste sajber kriminalci jer su besplatni (ili se mogu kupiti po niskim cenama) i ne zahtevaju poslovnu validaciju. Zapravo, PhishLabs-ova analiza phishing web sajtova u prvom kvartalu 2021. godine pokazala je da je više od 94% phishing web sajtova koristilo SSL sertifikate sa validacijom domena (DV).

Na žalost u Srbiji, sajtovi ministarstava i ostalih državnih ustanova koriste DV sertifikate, nekada i besplatne kao Let’sEncrypt. Neki i nemaju SSL sertifikate ili su istekli, a prikupljaju lične podatke građana.

Sada kada ste prošli kroz ove prve provere, sledeći korak je da kritički pogledate sadržaj web sajta. Pročitajte sadržaj, pregledajte proizvode i cene i zapitajte se: da li se to sve slaže?

• Da li web sajt izgleda profesionalno? Većina phishing web sajtova sadrži mnogo pravopisnih i gramatičkih grešaka. U nekim slučajevima, mogu čak da sadrže izuzetno nejasnu kopiju, tekst za popunjavanje (lorem ipsum) i gomilu slika. Procenite sadržaj da biste videli da li vam izgleda da nešto nije u redu.
• Da li su ponude web sajtova previše dobre da bi bile istinite? Ako znate da će autentičan proizvod koštati nekoliko stotina dolara (ili hiljade dolara), ali vidite da ga ovaj web sajt prodaje po znatno nižoj ceni, to je veliki STOP znak. Web sajtovi za „pecanje“ su poznate po tome što navode lažne ponude za proizvode ili usluge kako bi privukle ljude da podele svoje lične i finansijske podatke putem lažne kupovine. Najbolje je biti oprezan i skeptičan pa makar pogrešili.
• Šta se od vas traži da uradite ili podelite? Procenite svrhu web sajta ili šta pokušava da vas navede da uradite. Zapitajte se da li su tražene informacije prikladne situaciji. Na primer, ako kupujete novi pametni telefon, nema razloga da traži informacije o tome gde ste išli u srednju školu ili devojačko prezime vaše majke. Ove vrste informacija se koriste kao bezbednosni brzi odgovori, što ukazuje na to da ko god da kontroliše web sajt možda phishinguje za informacije.

Još jedan odličan način da se utvrdi da li je web sajt siguran je da pročitate recenzije drugih. Naravno, ovo nije pouzdano, jer loši momci mogu objavljivati lažne recenzije na mreži ili unajmiti ljude da to urade umesto njih. Ali to je i dalje dodatni metod verifikacije jer će neko ko bude prevaren neizbežno objaviti negativne kritike na sajtovima kao što su Yelp, Trustpilot, Consumer Reports, Angie’s List i drugi.

Takođe možete da proverite web sajtove kao što je Better Business Bureau (BBB) da vidite da li su uložene žalbe protiv web sajta ili kompanije u poslednjih nekoliko godina.

Još uvek nije dovoljno? Možete ići dalje i proveriti legitimnost vlasnika domena. U SAD to možete da uradite tako što ćete proveriti evidenciju države u kojoj kompanija tvrdi da je registrovana. Na primer, možemo pretražiti bazu podataka o korporacijama i trgovačkom kodu države Juta. Kod nas sajt APR-a daće Vam podatke o svakoj registrovanoj kompaniji u Srbiji. To je odlična početna stanica za proveru kompanija.

Sada je vreme da pogledate stvari iz perspektive vlasnika i administratora web sajtova. Ako tražite načine da svoj web sajt učinite autentičnijim, onda je najbolji način da to postignete putem digitalnog poverenja.

Digitalno poverenje je osnova internet bezbednosti i prvenstveno je zasnovano na infrastrukturi javnih ključeva (PKI). Ovo uključuje sve od standarda, procesa, CA, digitalnih sertifikata i kriptografskih ključeva koji čine PKI ekosistem. Ali zašto je uspostavljanje digitalnog poverenja od vitalnog značaja? Uzmite u obzir sledeće.

Istraživanje Baimard instituta pokazuje da je prosečna stopa napuštanja korpe za kupovinu na mreži u 2023. godini 69,99%. Uzmite u obzir da drugo istraživanje kompanije Baimard pokazuje da će 18% potrošača napustiti korpu tokom plaćanja ako ne veruju web sajtu da ostavi podatke o svojoj kreditnoj kartici. To znači da će skoro svaki peti klijent otići ako se ne oseća bezbedno koristeći vaš web sajt.

Dakle, kako možete koristiti digitalno poverenje da biste dokazali autentičnost, bezbednost i bezbednost vašeg web sajta?

Prvi korak koji možete preduzeti je da kupite i instalirate SSL sertifikat za poslovnu validaciju na vašem web serveru. Ovo će osigurati da je veza između vašeg web sajta i web klijenta posetioca bezbedna i šifrovana. Na ovaj način, osetljivi podaci su zaštićeni od napada presretanja i kompromitovanja dok su u tranzitu.

Omogućavanje HTTPS-a takođe dovodi vašu organizaciju korak bliže usaglašenosti sa standardima i propisima o bezbednosti u industriji i privatnosti podataka. Ovo uključuje propise kao što su:

• Standardi bezbednosti podataka industrije platnih kartica (PCI DSS) za web sajtove koji prihvataju plaćanja kreditnim karticama,
• Opšta uredba o zaštiti podataka (GDPR) za organizacije koje prikupljaju lične podatke (PII) u vezi sa ljudima koji se nalaze u Evropskoj uniji, i
• Zakon o prenosivosti i odgovornosti zdravstvenog osiguranja (HIPAA) za web sajtove koji prikupljaju informacije u vezi sa pacijentima.

Iako je šifrovanje isto bez obzira koji tip SSL sertifikata koristite, postoji razlika u nivou digitalnog identiteta koji sertifikat može da obezbedi. Na primer, DV sertifikat nudi minimalni nivo validacije (i garancije identiteta), dok OV ili EV sertifikati nude više nivoe validacije.

Za kompanije koje prikupljaju bilo kakve osetljive podatke, ključno je da imate najmanje OV sertifikat. Ako vaša kompanija rukuje veoma osetljivim podacima (tj. finansijskim informacijama, intelektualnom svojinom, medicinskim informacijama ili informacijama u vezi sa osiguranjem), najbolje bi vam bilo da koristite EV sertifikat. Korišćenje EV sertifikata pokazuje da ste prošli najstrože provere validacije, tako da korisnici mogu da se osećaju sigurnije u poslovanju sa vašim web sajtom.

Kada kupite SSL sertifikat od velikih brendova kao što su DigiCert i Sectigo, dobijate i nešto poznato kao pečat sajta (site seal). Ovo je vizuelni bezbednosni znak koji se nalazi na vašem web sajtu i pomaže da se stekne veći nivo poverenja kod vaših klijenata. Oni obično spadaju u jednu od dve kategorije.

• Osnovni pečat sajta je, tradicionalno, statična grafika na koju se ne može kliknuti ili sa njom stupiti u interakciju. Korišćenje jedne od ovih malih slika je najosnovniji način da ponudite sigurnost da je vaš web sajt šifrovan i bezbedan.

• Premium pečat sajta, s druge strane, je dinamički element koji nudi veću sigurnost. Na primer, DigiCert-ov Secured Smart Seal integriše podatke o sertifikatu i animaciju unutar pečata. Na njega se može kliknuti, tako da korisnici mogu da udju u interakciju sa njim da bi prikazali trenutne informacije o sertifikatu i organizaciji kojoj je izdat. Ovo otežava lažiranje.

Iako vam ne pomaže direktno da dokažete da je vaš web sajt bezbedan za kupovinu, obezbeđivanje domena povezanih sa imenom vaše kompanije može vam pomoći da izbegnete probleme u vezi sa napadima lažiranja domena. Možete kupiti slične domene, omogućiti HTTPS na njima i podesiti ih da preusmeravaju na pravi web sajt vaše kompanije.

Zašto ulaziti u sve ove nevolje? Sajber kriminalci često kupuju slične domene da bi imitirali vaš brend i naveli kupce da poveruju da su oni vaš legitimni web sajt. Kupovina i obezbeđenje tih domena pre nego što to učine loši momci znači da loši momci imaju jedan manje način da pokušaju da ciljaju vaše kupce i okaljaju vaše dobro ime.

Sada je važnije nego ikada da budete sigurni da koristite bezbedne i sigurne web sajtove. Kao korisnik, to znači da tražite digitalne verifikacije identiteta i pažljivo procenjujete onlajn prodavnice od kojih kupujete da biste utvrdili da li koriste šifrovane veze.

Kao vlasnik web sajta, to znači da korisnicima pružate načine da provere autentičnost vašeg web sajta. Ovo uključuje potvrđivanje vašeg digitalnog identiteta na proverljiv način korišćenjem pouzdanih trećih strana. Ne samo da je generalno najbolja praksa da se HTTPS koristi iz perspektive poverenja, već je to i zahtev usaglašenosti.

Nadamo se da su vam ove informacije bile korisne. Kao i uvek, ako imate dodatne misli ili pitanja kojima biste želeli da doprinesete, obavezno ih podelite u odeljku za komentare ispod.