- 1 -

CAPITOLUL VIII Securitatea pe Internet Vulnerabilităţile mediului Internet care afectează comerţul electronic Un factor principal care frânează oarecum dezvoltarea comerţului electronic îl constituie insecuritatea. Iniţial, serviciile din Internet au fost proiectate pentru cercetare şi nu pentru desfăşurarea unor tranzacţii comerciale. Se pot identifica mai multe probleme specifice de securitate, care pot fi considerate obstacole în dezvoltarea comerţului pe Internet. Probleme de concepţie: Internetul operează într-un mediu de încredere, în care este permis tuturor utilizatorilor situaţi la distanţă să acceseze fişierele şi resursele critice de pe computere din întreaga lume. La începuturile erei Internet, securitatea era lăsată mai mult pe respectul reciproc al utilizatorilor, pe "gentlemen agreement"-ul stabilit între aceştia decât pe măsuri tehnice şi administrative. O protecţie minimă, considerată mult timp suficientă, dar dovedită ulterior cu slăbiciuni de concepţie, au constituit-o sistemele de parole care creau o anumită barieră la părtunderea pe un sistem aflat la distanţă. Pe măsură însă ce Internetul s-a extins, comunitatea utilizatorilor a crescut foarte mult, iar între aceştia se găsesc numeroase persoane care nu mai respectă regulile de comportament stabilite iniţial de cercetători. Cateva exemple celebre au atras atentia opiniei publice şi a ridicat semne de întrebare asupra securităţii online:

- Viermele Internet, care a afectat câteva mii de computere în 1988; - Incidentul "Berferd" de la AT&T, din 1991; - Furtul de parole ale furnizorilor de servicii Internet din anii 1993-1994; - Interceptarea pachetelor IP la Centrul de supercomputere de la San

Diego, din 1994; - Furturile de fonduri de la Citibank, din 1995.

Toate atacurile speculează proasta configurare a unor sisteme, unele erori în scrierea programelor, administrarea neglijentă a unor noduri sau chiar neglijenţa unor utilizatori autorizaţi. De asemenea, unele atacuri mai sofisticate profită de lipsa totală a unor servicii de securitate în ierarhia de protocoale TCP/IP, folosită de toate computerele conectate la Internet.

- 2 -

De exemplu, multe protocoale la nivelul de jos al TCP/IP, inclusiv Ethernet, sunt de tip difuzoare (broadcast). Ca urmare este posibil pentru orice maşină conectată la un LAN (Local Area Network – reţea locală) să "asculte" traficul destinat altor maşini. În acelaşi context, este posibil pentru orice computer conectat la Internet, cum ar fi de exemplu un furnizor de servicii, să "asculte" legătura de comunicaţii ce se stabileşte între două alte computere. Aceste ascultări, însoţite de memorarea traficului, sunt destinate atât încercărilor de aflare a unor parole, cât şi de înregistrare a unor date confidenţiale. De asemenea, nici un protocol din suita TCP/IP nu conţine mijloace de autentificare reciprocă a părţilor comunicante. Ca urmare, este imposibil să se determine cu precizie dacă adresa de pe un pachet de date este originală sau nu. Acest lucru creează posibilitatea ca un sistem să se dea drept un altul şi să obţină informaţii cu caracter privat. Protocoalele menţionate nu conţin nici mijloace de autentificare a conţinutului pachetelor. Se folosesc doar nişte simple sume de control pentru detectarea erorilor de transmisie. Ca urmare, se pot opera modificări în conţinutul pachetelor, cu urmări dezastroase, de exemplu, pentru nişte tranzacţii comerciale. Multe implementări TCP utilizează algoritmi uşor predictibili de generare a numerelor de secvenţă a pachetelor. Acest lucru, corelat cu incapacitatea de autentificare, creează premisele unor fraude privind interceptarea, modificarea sau furtul unor pachete. Se pot stabili conexiuni frauduloase la sisteme, pentru accesarea unor fişiere importante sau, mai subtil, pentru instalarea unor "trape" pregătitoare ale unor accese ulterioare nestingherite pe acel sistem. În contextul comerţului electronic, atacurile la securitate se manifestă cu precădere prin următoarele căi: • Ascultarea comunicaţiilor. Acest tip de atac poate conduce la furtul unor

informaţii importante ale clienţilor, cum ar fi numărul cărţii de credit, numărul de cont bancar, note de plată sau balaţe financiare. Atacurile de

- 3 -

acest tip conduc la furtul unor servicii, accesibile în mod normal numai celor care plătesc, cum ar fi cele de informare sau de distribuire de software. Aceste lucruri pot, de exemplu, informa o firmă despre tratativele de afaceri ale altor firme competitoare sau pot genera deconspirarea unor date cu caracter personal ale cumpărătorilor, date transmise doar pentru firmele cu care aceştia fac afaceri.

• Furtul paroleleor. Atacurile de acest tip pot fi folosite pentru a permite

accesul la sisteme unde se află informaţii sau servicii importante. Folosirea unor algoritmi criptografici tot mai puternici pentru protejarea acestor date a mutat ţinta atacurilor de la încercările de a "sparge" protocolul la încercările de obţinere a unor informaţii "în clar" de la nodurile mai puţin protejate.

• Modificarea datelor. Aceste atacuri folosesc la schimbarea conţinutului

unor tranzacţii, ca de exemplu suma transferată din contul unei bănci, persoana plătită pe un cec electronic, valoarea unor comenzi etc.

• Înregistrarea. Acest tip de atac poate fi folosit pentru a permite unei părţi

comunicante să se dea drept alta. Atacatorul plasează în Internet un computer destinat colectării a sute de mii de numere de cărţi de credit, numere de cont sau alte informaţii despre diferiţi clienţi utilizatori ai comerţului electronic. Folosind aceste informaţii, atacatorii pot executa plăţi în numele unor persoane care nici nu bănuiesc sau pot colecta taxe de la diverşi comercianţi în numele statului.

• Repudierea. Repudierea sau refuzul de recunoaştere a unor tranzacţii făcute

prin reţea creează serioase daune părţilor implicate. Consideraţi, de exemplu, situaţia unui cec bancar, refuzat nu pentru că nu are acoperire în cont, ci pentru simplul fapt că banca nu are mijloace de autentificare ale acestuia.

Analiza riscurilor legate de securitate Numeroase spargeri de site-uri apar în urma neglijenţei sau a ignoranţei personalului care administrează sistemul. Hacker-ii pot dobândi acces neautorizat datorită greşelilor din algoritmul (programul) site-ului sau deoarece acesta este incorect configurat. Cu alte cuvinte, într-o măsură semnificativă, la baza infracţiunilor legate de securitate care apar pe Internet, este eroarea umană.

- 4 -

O a doua problemă este reprezentată de programele de "mirosit" care sunt utilizate de hackeri pentru a vizualiza informaţia care circulă între computerele legate la Internet. Un astfel de program de "mirosit" permite utilizatorului să fure numere de cărţi de credit în timp ce acestea sunt trimise pe Internet, de la consumator la comerciant. Securizarea comerţului electronic desfăşurat prin mijlocirea Internetului necesită implicare personală din partea managerilor magazinelor virtuale. În urma specializării şi divizării muncilor legate de administrarea unui magazin online, se pune problema responsabilităţii: cine răspunde se securitatea tranzacţiilor desfăşurate, comerciantul (managerul) sau organizaţia care a proiectat şi găzduieşte magazinul online. Cheia asigurării protecţiei site-ului este implicarea personală a managerului acestuia în rezolvarea problemelor de securitate, ceea ce presupune atât o înţelegere perfectă a riscurilor implicate, cât şi asigurarea luării măsurilor necesare securizării tranzacţiilor. Principial, implementarea securităţii în mediul Internet este asemănătoare cu asigurarea securităţii într-un magazin real. Putem să ne imaginăm un magazin real, amplasat într-un cartier nesigur. Dacă îl construim fără nici o măsură de securitate, fără personal de supraveghere, securitatea magazinului se va spulbera odată cu deschiderea uşii (situaţie similară mediului Internet). Oricine poate să intre, să meargă direct la casă şi să o golească! Spargerea site-urilor Internet La prima vedere cel mai mare risc legat de securitatea informaţiilor pe Internet apare în timpul derulării vânzărilor online, în momentul în care numărul cărţii de credit al cumpărătorului este trimis via Internet către computerul vânzătorului. În primii ani ai Internetului oamenii erau obsedaţi de gândul că numerele cărţilor de credit pot fi interceptate de hackeri în timpul efectuării tranzacţiei. Ca rezultat, comercianţii online şi-au concentrat eforturile din domeniul securităţii asupra protejării numerelor cărţilor de credit astfel încât acestea să poată fi transmise în siguranţă prin Internet, fără a fi interceptate. Soluţia găsită presupune schimbarea formatului inteligibil al informaţiei prin diverse metode denumite generic criptare.

- 5 -

În realitate însă, majoritatea infracţiunilor online se comit după încheierea tranzacţiilor de vânzare în urma cărora numerele cărţilor de credit ale cumpărătorilor rămân stocate neprotejat pe computerul comerciantului. Acest lucru s-a întâmplat şi în cazul Western Union: numerele cărţilor de credit au fost furate din computerele companiei şi nu în timp ce erau transmise către site-ul Western Union. Tipologia riscurilor care afectează securitatea comerţului electronic În urma unei analize se pot identifica nenumărate riscuri din domeniul securităţii comerţului electronic care grevează dezvoltarea şi proliferarea acestui sector. În continuare sunt prezentate cele mai importante dintre acestea.

Interceptări (ascultări). Un atac folosind metoda interceptării înseamnă că cineva supraveghează site-ul magazinului şi "trage cu urechea", aşteptând ca datele de identificare ale consumatorilor să fie trimise către site-ul comerciantului. Cea mai eficientă metodă de protejare a magazinelor online împotriva unor asemenea atacuri presupune criptarea informaţiei transmise făcând-o astfel indescifrabilă. Cu toate că probabilitatea acestor atacuri este foarte mică şi se reduce continuu (odată cu dezvoltarea criptografiei), ele reprezintă teama cea mai mare a cumpărătorilor online.

Cea mai uşoară şi populară metodă de deghizare a numerelor cărţilor de credit transmise de către cumpărători este fososirea unei tehnici de criptare denumită SSL (Secure Sockets Layer). Cele mai multe aplicaţii legate de magazinele online folosesc SSL pentru a garanta consumatorilor transmiterea în siguranţă a informaţiilor personale (incluzând numărul cărţii de credit) către computerul comerciantului.

Spargeri de site-uri. Spargerea site-urilor online presupune că cineva forţează intrarea, spărgând sistemul de securitate, în vederea accesării unor informaţii sensibile, cum ar fi numere de cărţi de credit, parole sau înregistrări ale facturilor. Soluţia cea mai răspândită pentru combaterea acestui tip de risc o constituie aşa numitul firewall (pasarelă de securitate). În linii mari un firewall este un sistem care impune o politică de control a accesului între două reţele (de exemplu LAN şi Internet). El reprezintă implementarea politicii de securitate în termeni de configurare a reţelei.

- 6 -

Breşe în securitate. Găurile în securitate apar în momentul în care informaţiile confidenţiale apar accesibile pe un site Intenet sau magazin online. De obicei acest lucru se întâmplă deoarece nu s-au luat toate măsurile necesare securizării site-ului respectiv. De asemenea aceste găuri în sistemul de securitate pot să apară şi în urma accesului neautorizat al unei persoane din interiorul companiei sau din partea furnizorului de servicii Internet.

Distrugeri deliberate de date. Câteodată se sparg site-urile Internet numai cu intenţia de a vandaliza una sau mai multe pagini constituente. De obicei, în acest fel se operează modificări în conţinutul grafic al unor pagini Web ştergând unele imagini, deformandu-le sau adăugând imagini proprii. Conţinutul informaţional este de asemenea modificat, făcându-se afirmaţii în numele companiei. În unele cazuri hackerii anunţă mari reduceri de preţ, oprirea producţiei din cauza lipsei de fiabilitate a produselor, sistarea vânzărilor sau pur şi simplu falimentul companiei, prin intrarea în incapacitate de plată. Mai grav este însă faptul că adesea compania victimnă nu poate dovedi că nu ea este autoarea afirmaţiilor, mesajelor publicitare sau promoţionale făcute în site-ul ei (de exemplu că nu cu bună ştiinţă a promis 50% reducere pentru primii 1.000 de cumpărători). Astfel, aceste atacuri pot afecta negativ imaginea firmei, generând adesea adevărate scandaluri publice şi dovedindu-se extrem de costisitoare. Chiar şi celebra CIA (Central Intelligence Agency) din SUA a fost victima unor asemenea atacuri, prin care s-a anunţat desfiinţarea agenţiei (CNN – www.cnn.com).

Pierderi accidentale de date. Se impune protejarea magazinelor online în eventualitatea unei căderi a sistemului informatic, pene de curent, inundaţii sau alt gen de dezastre care pot afecta furnizorul de servicii Internet, firma care găzduieşte site-ul companiei sau însăşi compania în cauză. De asemenea se pot pierde date sau chiar întregul site al magazinului în urma unor erori umane din partea celor responsabili cu administrarea magazinului online. De exemplu, unele comenzi ale sistemului de operare UNIX/LINUX sunt atât de puternice încât o simplă comandă accidentală poate provoca ştergerea întregului site cu toate înregistrările aferente. Aceste riscuri pot fi prevenite prin limitarea accesului la computerul care găzduieşte magazinul online cât şi prin backup-uri periodice.

- 7 -

Refuzul funcţionării. În ultimii ani au fost nenumărate cazuri în care site-uri au fost închise sau făcute să funcţioneze inutilizabil de încet în urma unor atacuri ale hackerilor. Aceste atacuri presupun ca cineva să blocheze deliberat accesul la site-ul magazinului online, "bombardând" computerul gazdă cu solicitări de informaţii supradimensionate. Cererea de informaţii suprasolicită computerul, cauzând oprirea acestuia sau funcţionarea la cotă de avarie. Un asemenea atac exploatează un punct slab al sistemului de operare sau al software-ului de creare a site-ului.

Viruşi. Un virus este un program creat care poate să distrugă sau să şteargă datele din computer, să modifice fişierele, să fure password-uri (parole), sau pur şi simplu să transfere datele dintr-un computer pe Internet, fără ştirea posesorului.

Cea mai bună metodă de protecţie împotriva viruşilor o reprezintă instalarea şi rularea periodică de programe antivirus pe computer. Companiile care oferă programe antivirus au în site-urile lor informaţii detaliate despre modul de operare a viruşilor precum şi despre metodele de apărare împotriva lor.

De asemenea este foarte important ca toate informaţiile relevante stocate pe computerul magazinului online să fie salvate periodic (backup) pe medii de stocare (CD, DVD etc.).

Furturi de domenii (domain name-uri). Asistăm la furt de domenii în momentul când cineva transferă proprietatea asupra unui domeniu (de exemplu nike.com) la o altă entitate fără consimţământul deţinătorului de drept. În acest caz, hackerul preia controlul asupra adresei Web a companiei vizate şi astfel, în momentul în care consumatorii accesează acea adresa, ei sunt conectaţi la un alt site, de exemplu al concurenţei. Acest tip de atac presupune ca cineva, prin falsificarea identităţii sau prin alte metode, accesează registrul central care păstrează datele legate de domeniul companiei. Spre deosebire de celelate tipuri de atacuri, în cazul deturnărilor de domenii comerciantul nu poate lua măsuri preventive de protecţie deoarece ţinta atacului este computerul registrului de nume de domenii. Securitatea domeniilor trebuie asigurată de diversele organizaţii (registre cu nume de domenii) care se ocupă de gestionarea şi alocarea acestora către utilizatorii individuali şi afacerile prezente pe Internet.

- 8 -

Şantaj cibernetic. Şantajul cibernetic presupune ca un hacker să spargă un site Internet şi să ameninţe cu distrugerea datelor, să fure numere de cărţi de credit, să împiedice funcţionarea paginilor Web sau să ameninţe cu comiterea unui alt tip de atentat dacă firma vizată nu plăteşte o "răscumpărare".

Toate bresele în securitate enumerate mai sus pot fi evitate de catre proprietarii de magazine si afaceri pe Internet asigurandu-se ca au răspuns pozitiv la câteva întrebari elementare ce se pot reuni intr-o listă de verificare a securităţii serviciilor de găzduire de magazine online:

1. Compania de găzduire conştientizează problemele legate de securitate? 2. Este firma de găzduire dispusă să răspundă la întrebările utilizatorului

(magazin online)? 3. Sunt specialiştii companiei la zi cu problemele şi noutăţile din domeniul

securităţii? 4. Este gestionată corespunzator rotaţia şi fluctuaţia personalului de către

firmă? 5. Este restricţionat accesul la computere? 6. Aplicaţiile nefolosite de pe computere se închid sau nu? 7. Software-ul folosit de către firma de găzduire are slăbiciuni cunoscute? 8. Stocarea informaţiilor legate de clienţi, în special numerele cărţilor de

credit este securizată? 9. Sunt utilizte proceduri de backup? 10. Transmiterea datelor este protejata?

Consecinţele securităţii inadecvate Adesea se pune întrebarea: ce se întâmplă în cazurile când comercianţii eşuează în implementarea unui sistem eficace de asigurare a securităţii tranzacţiilor? A face public existenţa unor fraude comise pe site-ul unei firme, implicit a unui magazin virtual, poate afecta destul de serios imaginea publică a acesteia. Un caz, amintit deja, este cel al Western Union al carui site a fost atacat de hakeri, iar numerele de cont ale persoanelor ce trimiteau bani la distanţe reltiv mari, au fost furate. Firma a avut de suferit de pe urma acestor evenimente devenite publice şi a înregistrat o scădere a volumului tranzacţiilor. Totusi, s-a menţinut pe linia de plutire datorită filialelor deschise în multiple oraşe din diferite ţări.

- 9 -

Orice afacere trebuie să-şi asume un anumit grad de risc în momentul în care se decide să pătrundă pe piaţa virtuală. Securitatea tranzacţiilor trebuie asigurată la cele mai înalte standarde, altfel clienţii vor sta departe de magazin, iar a repara o reputaţie negativă durează mult mai mult decât a crea o imagine pozitivă şi încrezatoare de la bun început. De-a lungul timpului, pe masură ce afacerile virtuale au luat amploare, multe companii, mai mari sau mai mici, au preferat să ascundă de opinia publică fraudele şi atacurile din interior sau din exterior, au renunţat la deferirea în justiţie a vinovaţilor şi la urmărirea lor doar pentru a-şi proteja imaginea şi pentru a nu afecta grav profitul. O altă urmare a insuficienţei securizări a magazinului online o constituie retragerea conturilor de comerciant. Contul de comerciant nu este un simplu cont bancar ci mai degrabă un cont special, care este deschis pentru a permite acceptarea plăţilor cu cărţi de credit. Majoritatea conturilor de comerciant acceptă toate mărcile importante de cărţi de credit (MasterCard, Visa etc.). În cazul unor tranzacţii frauduloase, cum ar fi plăţi cu cărţi de credit furate, după ce deţinătorul de drept al cărţii de credit descoperă neregula, comerciantul care a acceptat aceste plăţi este nevoit să restituie suma încasată, cu toate că marfa a fost livrată. Visa USA a iniţiat un program numit CISP1 (Cardholder Information Security Program – Program privind Securitatea Informaţiilor Deţinătorilor de Carduri), care prevede cerinţele minime care trebuie îndeplinite de către orice organizaţie (comercianţi online, furnizorii serviciilor de găzduire, creare de site-uri etc.) care procesează, stochează sau are acces la informaţii legate de tranzacţiile cu cărţi de credit efectuate prin mijlocirea mediului Internet. Programul are la bază o listă "Top Ten" a cerinţelor logice pentru protejarea datelor deţinătorilor de cărţi de credit:

1. Instalarea şi menţinerea firewall-urilor în vederea protejării datelor accesibile prin Internet.

2. Actualizarea domeniilor şi informaţiilor legate de securitate. 3. Criparea datelor stocate. 4. Criptarea datelor trimise prin reţele deschise (de exemplu Internet). 5. Utilizarea şi actualizarea periodică a software-urilor antivirus.

1 Sursa: Visa’s Merchant Resource Center (www.visa.com)

- 10 -

6. Restricţionarea accesului la date cu ajutorul paroleleor şi cheilor. 7. Alocarea unui ID specific fiecărei persoane care are acces la datele

stocate în computere. 8. Evitarea paroleleor predefinite, furnizate de producătorii software-urilor. 9. Monitorizarea accesului prin intermediul ID-urilor unice. 10. Testarea periodică a sistemelor şi procedurilor de securitate.

Două cerinţe suplimentare au fost elaborate vizând securitatea administrativă şi cea fizică:

1. Implementarea unei politici care să gestioneze securitatea informaţiilor care sunt accesibile angajaţilor şi furnizorilor.

2. Restricţionarea accesului fizic la informaţiile legate de cărţile de credit. Asigurarea securităţii tranzacţiilor online Sisteme de criptare Există o mare varietate de programe utilizate pentru criptarea fişierelor sau comunicaţiilor, însă toate se bazează pe câteva sisteme: A. Criptografia simetrică (cu cheie secretă) În criptografia simetrică, este folosită aceeaşi cheie atât la criptare cât şi la decriptare. Aceasta înseamnă că între persoanele care comunică există un acord prin care s-a stabilit o cheie unică, pe care expeditorul o foloseşte la criptarea textului iniţial, iar destinatarul o foloseşte la decriptarea mesajului recepţionat. Pe Internet însă, se pune problema comunicării între persoane care nu s-au întâlnit niciodată, deci nu se pot pune de acord în prealabil asupra cheii. Această metodă poate fi utilizată în grupuri restrânse de utilizatori. Criptografia cu cheie publică Fiecare participant la criptare are o pereche de chei personale unice:

• Cheia publică, distribuită oricui o doreşte; • Cheia privată, pe care nu o cunoaşte decât utilizatorul respectiv.

Mesajele criptate cu cheia privată pot fi decriptate numai cu cheia publică şi invers. Pentru a trimite cuiva un mesaj, trebuie găsită cheia publică a persoanei respective şi criptat mesajul. Mesajul astfel criptat nu va putea fi decriptat decât cu ajutorul cheii private a destinatarului.

- 11 -

Semnăturile digitale Semnăturile digitale sunt rezultatul inversării mecanismului de criptare cu chei publice. Utilizatorul îşi creează propria semnătură digitală criptând un text anume cu cheia sa privată. Această semnătură o ataşează apoi oricărui mesaj pe care îl trimite, criptând pachetul cu cheia publică a destinatarului. Destinatarul decriptează mesajul cu cheia privată, apoi decriptează semnătura expeditorului cu cheia publică. Reuşita decriptării garantează identitatea expeditorului. Plicuri digitale Deşi sistemele de criptografie asimetrică par foarte potrivite pentru Internet, ele totuşi au un mare dezavantaj: sunt prea lente pentru transmiterea unor fişiere de dimensiuni mari. Soluţia o reprezintă combinarea celor două sisteme. Expeditorul generează o cheie secretă aleatoare numită cheie de sesiune, deoarece ea dispare după terminarea comunicării. Criptează mesajul folosind cheia de sesiune şi un algoritm simetric la alegere. Criptează cheia de sesiune cu cheia publică a receptorului, creând un "plic digital". Trimite mesajul criptat, împreună cu plicul digital. Când receptorul primeşte mesajul, foloseşte cheia sa privată pentru a decripta cheia de sesiune, apoi o foloseşte pe aceasta din urmă pentru a decripta mesajul propriuzis. Mesajul este asigurat, pentru că este criptat cu algoritm simetric, cunoscut numai de emiţător şi receptor, iar cheia de sesiune este, de asemenea, asigurată pentru că este criptată în aşa fel încât doar receptorul o poate decripta (cu cheia sa privată). Autorităţile de certificare În cazul utilizării criptării cu cheie publică se ridica o probelmă: aceasta funcţionează doar dacă ştii cheia publică a receptorului. Întrucât pe Internet există sute de mii de servere şi milioane de persoane conectate, o persoană nu poate avea la îndemână o listă cu toate cheile tuturor persoanelor. Pe de altă parte nici nu poate cere cheia sa printr-o conexiune neasigurată, pentru că nu are nici o garanţie că persoana de la capătul firului este într-adevăr cine pretinde că este. Cea mai bună soluţie găsită până acum este bazarea pe o a treia persoană, numită "autoritate de certificare" (AC) şi care se ocupă cu validarea cheilor publice. AC-urile sunt întreprinderi comerciale cunoscute şi de încredere care garantează pentru identitatea persoanelor fizice sau juridice. Înainte de a se trimite un mesaj cuiva, se poate cere certificatul digital, semnat de una dintre aceste AC, certificat din care reiese identitatea şi cheia publică a persoanei. Cea mai cunoscută firmă care se ocupă cu eliberarea de certificate digitale este VeriSign. Există două tipuri mari de certificate: personale şi pentru servere.2 2 Sursa: VeriSign (www.verisign.com)

- 12 -

Certificatele personale (sau identitatea digitală – Digital ID) sunt legate de o adresă de poştă electronică şi pot fi utilizate pentru a semna mesajele e-mail sau pentru a primi mesaje criptate. De asemenea, pot fi utilizate pe post de "paşaport electronic" pentru identificarea la intrarea pe site-uri cu acces restricţionat. Certificatele VeriSign criptează datele utilizând SSL, standardul de protejare a comunicaţiilor pe Internet creat de Netscape. Tehnologia SSL este inclusă în majoritatea browser-elor şi serverelor, astfel încât simpla instalare a unui certificat digital permite oricui criptarea de date folosind acet protocol. SET (Secure Electronic Transactions). Este un protocol specializat pentru criptarea tranzacţiilor bazate pe cărţi de credit, creat de un grup de companii condus de Visa şi Mastercard. El asigură:

a) Autentificarea (clientului, comerciantului, a băncii care a emis cardul, a băncii comerciantului);

b) Confidenţialitatea; c) Integritatea mesajelor (nu pot fi modificate de terţi); d) Legătura (permite trimiterea unei persoane a unui mesaj cu o anexă ce nu

poate fi citită decât de altă persoană – pentru a împiedica citirea numărului de card, permiţând doar aprobarea tranzacţiei).

Protocolul SET reprezintă o suită de contacte între 4 părţi: posesorul cărţii de credit, comerciantul, banca emitentă a cărţii de credit, banca comerciantului. SET utilizează perechi de chei publice/private şi certificate semnate pentru stabilirea identităţii părţilor şi pentru a permite comunicarea între acestea.

Achiziţii frauduloase Achiziţiile frauduloase derivă din două riscuri la cere este expus comerciantul online. Primul presupune că cineva încearcă să cumpere un produs cu o carte de credit care a fost anunţată furată, este nefuncţională, retrasă sau a depăşit limita de creditare. Combaterea acestui fenomen este o problemă de autorizare. În al doilea rând, există riscul ca cineva să încearce să folosească o carte de credit valabilă, care însă nu îi aparţine, dar furtul nu a fost (încă) raportat. Aceasta este o problemă de autentificare.

- 13 -

Autorizarea Magazinele online pot cere autorizarea tranzacţiilor cu cărţi de credit manual, folosind un terminal de tranzacţii, sau în timp real, folosind gateway-uri (portaluri) de plată. Un gateway de plăţi este un serviciu care leagă magazinul online la un procesor de plăţi, denumit şi reţea de plăţi. Acest procesor de plăţi este legat la reţeaua băncilor şi a companiilor de cărţi de credit, asigurând astfel procesarea în timp real a plăţilor. Dacă respectiva carte de credit a fost anulată, furată (şi anunţată) sau nu are acoperire suficientă, plata va fi refuzată de compania financiară emitentă a cărţii de credit. Acest proces, de autorizare a plăţii este asemănător cu cel desfăşurat în cadrul magazinelor obişnuite când cumpărătorii plătesc cu cărţi de credit. Autentificarea Aşa cum s-a arătat mai sus, obţinerea autorizării plăţii nu este suficientă pentru a asigura securitatea tranzacţiei şi a elimina frauda. Din moment ce comerciantul nu poate identifica persoana care plăteşte, riscul unei fraude persistă în ciuda autorizării plăţii. Mai grav este faptul că, în cazul unei tranzacţii frauduloase băncile retrag ulterior autorizarea, cerând returnarea plăţii, caz în care comerciantul rămâne cu marfa livrată şi cu plata returnată. Metode de autentificare manuale Este recomandat ca formularul de comandă să ceară specificarea atât a numărului de telefon de acasă cât şi a numărului de la locul de muncă. Astfel comerciantul are posibilitatea să sune pentru confirmarea comenzii, mai ales în cazul unor mărfuri scumpe sau cantităţi mari. Verificarea atât a adresei de livrare cât şi a adresei de facturare. • Comenzile plasate folosind adrese (conturi) de e-mail gratuite (gen Hotmail,

Yahoo!Mail) reprezintă alt potenţial semn de fraudă. Folosirea acestor adrese arată dorinţa cumparătorului de a nu fi găsit, sau intenţia de a îngreuna verificarea identităţii folosite.

Verificarea dacă adresa de e-mail folosită de către cumpărător este situată în apropierea adresei de facturare. Dacă de exemplu se primeşte o comandă de la o adresă de e-mail din Israel iar adresa de facturare se află în SUA, există o şansă foarte mare ca acea comanda să fie frauduloasă.

- 14 -

• Primirea de comenzi neobişnuite, ca de exemplu comenzi pentru mai multe obiecte high-tech de mare valoare, cantităţi mari de produse sau combinaţii de produse care de obicei nu sunt comandate împreună trebuie să trezească suspiciunea comerciantului, determinându-l să iniţieze verificări suplimentare. Livrare rapidă cerută pentru o cantitate mare de bunuri sau mărfuri de mare valoare este de asemenea semnul unei potenţiale fraude.

Se impune o atenţie sporită în cazul livrărilor către anumite ţări care sunt recunoscute pentru rata ridicată a criminalităţii online. Cele mai cotate ţări în acest sens sunt Columbia, Macedonia, Belarus, Rusia şi din păcate România. Premoniţii asupra fraudelor Sunt prezentate mai jos cele mai frecvente semne ale fraudelor. Unul dintre cele mai importante indicii este ţara de origine. Comenzile primite din ţări ca Macedonia, Belarus sau România sunt foarte probabile ca fiind fraude. Frauda are o relevanţă mai mică în cazul comenzilor primite din America de Nord, Europa de Vest sau Japonia. Dar totuşi reprezintă o posibilitate. În continuare sunt prezentate semnele generale ale unei comenzi frauduloase: 1. Adresă de livrare suspectă. Cele mai multe comenzi frauduloase provin din

Malaezia, Indonezia, Macedonia, Belarus, Pakistan, Rusia, Lituania şi România.

2. Adrese de e-mail imposibil de verificat. În cazul comenzilor frauduloase de obicei se folosesc adrese de e-mail de pe servere gratuite, cum sunt Hotmail sau Yahoo!Mail.

3. Mărfuri foarte scumpe. Cele mai multe fraude vizează obiecte scumpe, în special de marcă.

4. Cantităţi mari. Este un semn foarte relevant de fraudă dacă cineva comandă trei ceasuri de mână şi cinci casetofoane.

5. Livrări urgente. Comenzile frauduloase specifică termene de livrare foarte scurte, în general "peste noapte" sau cel mult "de la o zi la alta".

6. Adresa de livrare diferă de adresa de facturare. Dacă un comerciant vinde mărfuri foarte valoroase, este o politică foarte utilă să livreze bunurile numai la adresa de facturare.

- 15 -

7. Adrese de facturare suspicioase. Dacă adresa de facturare este 123 Strada Principală, comanda probabil este o fraudă. Se pot folosi hărţi electronice (online) pentru a verifica dacă adresa există în realitate sau nu (de exemplu Yahoo!Maps).

8. Site nou. Site-urile de comerţ electronic nou deschise sunt mai des atacate poate în speranţa că vânzătorul este neexperimentat.

9. Abandonează în faţa uşii! Dacă cineva plasează o comandă foarte valoroasă şi indică ca modalitate de livrare "abandonează în faţa uşii", poate însemna că se foloseşte adresa unei persoane neimplicate ca loc de livrare a mărfurilor. Soluţia o reprezintă cererea unei semnături la livrare.

Rcomadarea generală este să nu se livreze niciodată obiecte scumpe până nu sunt verificate toate detaliile comenzii. Trebuie avut în vedere că (mai ales pentru livrări internaţionale) obţinerea autorizării din partea companiei emitente a cărţii de credit nu este o garanţie că banii vor fi încasaţi în realitate. Metode de autentificare computerizate Verificarea adreselor Pe lângă metodele manuale de verificare a comenzilor se dovedeşte foarte utilă folosirea unor servicii de verificare a adreselor. Aceste servicii sunt oferite de bănci şi organizaţii independente de comercianţi, costul lor fiind de obicei inclus în costul de închiriere a contului de comerciant. Un asemenea serviciu verifică dacă adresa de facturare şi codul poştal furnizat de cumpărător pe formularul de comandă online coincide sau nu cu adresa şi codul poştal al deţinătorului cărţii de credit din înregistrările băncii/companiei emitente. În cazul comenzilor online, comerciantul înregistrează atât adresa de facturare, cât şi adresa de livrare. Dacă cineva a furat cartea de credit sau deţinătorul acesteia a pierdut-o, persoana care intră în posesia cărţii de credit va încerca s-o folosească pentru a achiziţiona bunuri de pe Internet. Algoritm de verificare a comenzilor suspicioase În cazul în care o comandă primită este suspicioasă sau primeşte cod de verificare a adreselor nefavorabil, cei mai mulţi comercianţi recurg la cărţile de telefoane, clasice sau online, cum sunt Switchboard (www.switchboard.com) şi

- 16 -

InfoSpace (www.infospace.com) pentru a verifica adresele (atât de facturare cât şi de livrare) şi numerele de telefon ale cumpărătorilor. De asemenea se pot folosi aşa numitele servicii de căutare inversă de pe Internet (ca de exemplu serviciul AnyWho al companiei AT&T), care determină numele şi numărul de telefon pentru o adresă dată. Site-urile de hărţi online, cum este MapQuest (www.mapquest.com), pot ajuta la localizarea adresei şi verificarea acesteia. Având în vedere că numai numerele publice de telefoane apar în cărţile de telefoane, iar în cazul în care proprietarul cărţii de credit s-a mutat, în cartea de telefoane va apare în continuare adresa veche, nu se poate presupune că o comandă este frauduloasă numai datorită faptului că nu poate fi verificată cu ajutorul unei cărţi de telefoane. Dacă informaţiile primite pe comandă coincid cu cele din cartea de telefoan, comerciantul poate fi sigur în privinţa deţinătorului numărului de telefon. Dacă în urma contactării, persoana respectivă respinge (neagă) acea comanda, comerciantul va ştii imediat că tranzacţia este frauduloasă. Pe de altă parte, în cazul în care deţinătorul numărului de telefon confirmă comanda, incertitudinea comerciantului persistă, acesta neştiind dacă persoana respectivă este deţinătorul cărţii de credit folosit sau nu. Cu toate că este puţin probabil ca un hoţ să-şi completeze adresa şi numărul de telefon propriu pe o comandă frauduloasă, şi această posibilitate trebuie luată în calcul. Pentru verificarea identităţii persoanei (deţinătorului numărului de telefon verificat mai înainte), de obicei se cere adresa pe care o are înregistrată banca şi astfel se declanşează din nou procedura de verificare a adresei. Dacă persoana în cauză este cu adevărat deţinătorul cărţii de credit trebuie să fie în măsură să precizeze o adresă care să coincidă cu cea înregistrată la bancă, asigurând astfel un cod de verificare a adresi favorabil. Programe de detectare a fraudelor Majoritatea programelor de detectare a fraudelor se bazează pe tehnologiile reţelelor neuronale, având capacitatea de a analiza structura şi componenţa datelor furnizate în cadrul unei comenzi online şi de a distinge o comandă legitimă de una potenţial frauduloasă. Aplicaţiile de detectare a fraudelor analizează mai muţi factori în vederea identificării tranzacţiilor potenţial frauduloase. Printre altele, acest program va verifica adresa de IP a cumpărătorului şi va determina dacă această adresă este în apropierea adresei de

- 17 -

facturare. Dacă, de exemplu, adresa IP este în Cairo iar adresa de facturare în New York, tranzacţia va primi statutul de potenţială fraudă. Utilizatorii unor asemenea aplicaţii (comercianţii) vor primi un scor asociat fiecărei comenzi primite, care arată probabilitatea ca comanda să fie frauduloasă. Bazându-se pe aceste informaţii, comerciantul poate să decidă dacă acceptă sau nu comanda. Autentificarea plătitorului În 2000, Visa (www.visa.com) a anunţat implementarea unui serviciu online de identificare a plătitorului denumit VPAS (Visa Payer Authentication Service). Acest serviciu a fost supranumit Verified by Visa (Verificat de Visa). Verificat de Visa este o metodă de confirmare a faptului că persana care plasează o comandă online folosind o carte de credit, este deţinătorul real al acesteia. Avantajul major al serviciului Verificat de Visa rezidă în faptul că este mult mai simplu de implementat, mult mai uşor de înţeles şi răspunde nevoilor comercianţilor în ce priveşte prevenirea fraudelor pe Internet. În vederea folosirii serviciului Verificat de Visa, deţinătorii cărţilor de credit nu trebuie să deţină un program informatic sau un echipament special. În vederea obţinerii Certificatului Verificat de Visa, deţinătorul cărţii de credit trebuie să parcurgă un simplu proces de completare a unei fişe de pe site-ul băncii emitente a cărţii de credit. Întregul proces de înregistrare durează câteva minute, parcurgerea lui fiind facultativă. Participarea băncilor în programul Verificat de Visa este de asemenea facultativă. Este evident că pentru ca un client să poată participa este necesar ca şi banca emitentă a cărţii de credit la rândul ei să participe la program. Asigurarea consumatorilor că magazinul online este sigur Din statisticile care pot fi consultate pe Internet rezultă:

• "Aproape 2/3 din utilizatorii Internetului sunt îngijoraţi că numerele cărţilor lor de credit sunt stocate pe site-urile magazinelor online în vederea utilizării viitoare".

• "81% din comercianţii online consideră că vânzările ar creşte vertiginos dacă consumatorii nu ar fi atât de îngrijoraţi de frauda online.”

Este important ca firmele care vând bunuri şi servicii pe Internet, pe lângă efortul de vânzare, să acţioneze şi în următoarele două direcţii: 1. Să reamintească tuturor că tranzactiile lor online sunt sigure;

- 18 -

2. Să arate exact ce demersuri au făcut pentru a proteja informaţiile legate de cărţile de credit ale consumatorilor.

În primul rând, comerciantul trebuie să-şi asigure cumpărătorii, că tranzacţiile pe Internet în general şi cele desfăşurate pe site-ul comerciantului în special sunt sigure. Ca urmare a dezvoltării criptografiei, la ora actuală se estimează că un hacker ar avea nevoie de mai multe milione de ani ca să spargă cea mai sigură formă de criptare, şi anume SSL-ul de 128 biţi, care este folosită în cadrul majorităţii magazinelor online. Chiar şi în cazul în care magazinul online nu foloseşte SSL, şansa ca cineva să obţină numere de cărţi de credit în timp ce acestea sunt transmise pe Internet este nesemnificativ de mică. Cu toate că zilnic au loc sute de mii de tranzacţii cu cărţi de credit pe Internet, în ultimii ani s-au raportat numai câteva cazuri în care numerele cărţilor de credit au fost furate în tip ce erau transmise pe Internet, de la un computer la altul. Comerciantul trebuie să arate consumatorilor că a făcut demersuri importante pentru a asigura siguranţa tranzacţiilor cu cărţi de credit pe site-ul propriu. În încercarea de a câştiga încrederea consumatorilor, comercianţii adesea pun la punct politici de "clădire a credibilităţii online". În primul rând trebuie explicat modul de desfăşurare a unei tranzacţii online şi etapele pe care aceasta le presupune. Etapele unei tranzacţii trebuie prezentate făcând referire şi la măsurile de securitate care s-au luat pentru evitarea fraudelor. În sfârşit se impune o trecere în revistă a tehnologiei utilizate, insistând asupra siguranţei acesteia. Recent, marile companii de cărţi de credit – Visa, MasterCard, American Express – au implementat o politică de "responsabilitate zero" în favoarea deţinătorilor de cărţi de credit. Acest lucru înseamnă că în toate cazurile, consumatorii sunt absolviţi de orice vină pentru tranzacţiile frauduloase cu cărtile de credit deţinute. Este o idee bună ca comerciantului să promoveze pe propriul site aceste politici de "responsabilitate zero" implementate de companiile de cărţi de credit, asigurând consumatorii că nu au de ce să se teamă când fac cumpărături online.

- 19 -

Şi nu în ultimul rând, securitatea în mediul Internet înseamnă vigilenţă continuă. Managerul trebuie să se informeze asupra noilor probleme care apar în domeniu şi asupra modului în care furnizorii de servicii Internet şi firmele de găzduire a site-urilor încearcă să le combată. Cel mai important lucru este monitorizarea continuă a riscurilor şi ameninărilor care apar în mediul Internet şi care ar putea afecta tranzacţiile online. În acest sens se poate obţine gratuit caliatea de membru în cadrul Reţelei Internaţionale de Prevenire a Fraudei în Domeniul Comerţului Electronic (Worldwide E-Commerce Fraud Prevention Network – www.merchantfraudsquad.com), înfiinţata de către companii ca Amazon.com, American Express şi o varietate de alte companii de comerţ electronic, obiectivul organizaţiei fiind de a ajuta comercianţii online de toate dimensiunile să combată frauda. În final, trebuie recunoscut că securitatea online este o problemă care nu va dispărea niciodată. Serviciile de găzduire a site-urilor, furnizorii de servicii Internet, companiile de cărţi de credit, instituţiile financiare, companiile producătoare de programe informatice de securitate şi proprietarii de magazine online vor continua să introducă tehnologii noi, inovatoare pe piaţă care să ajute comercianţii în demersul lor de a proteja integritatea şi securitatea tranzacţiilor. Deoarece piaţa tehnologiilor de securitate online se schimbă foarte rapid, este important ca întreprinzatorii să o monitorizeze permanent în vederea identificării produselor şi serviciilor noi care pot asigura atât securitatea proprie, cât mai ales securitatea consumatorilor. Cel mai simplu mod de monitorizare a schimbărilor tehnologice este analiza concurenţilor, evidenţiind soluţiile şi aplicaţiile implementate de aceştia. Interesant de prezentat în continuare este un studiu realizat în anul 2001 de către Centrul de Monotorizare a Fraudei pe Internet, studiu realizat în urma primirii unui numar de 16.775 de plângeri privind fraudele online. • Fraudarea licitaţiilor pe Internet ocupă primul loc în topul abuzurilor

raportate, reprezentând 42,8% din total sesizărilor. Neprimirea mărfurilor sau neîncasarea plăţilor reprezintă 20,3%, iar fraudele de tip Scrisoare din Nigeria 15,5% (Acest tip de fraude sunt prezente şî în anul 2005!). Fraudele cu cărţi de credit/debit şi încălcările confidenţialităţii rotunjesc lista celor 5 categorii de fraude care au avut cea mai mare rată de incidenţă şi de raportare în 2001. În rândul indivizilor care au raportat o pierdere bănească,

- 20 -

cele mai mari pierderi medii pe plângere s-au înregistrat în cazul înşelătoriilor de tipul Scrisoare din Nigeria (5.575 de dolari), furtul identităţii (3.000 de dolari) şi fraudele legate de investiţii (1.000 de dolari).

• Aproape 76% din presupuşii infractori sunt indivizi (persoane fizice), 81%

sunt bărbaţi, jumătate dintre ei având domicilul în următoarele state: California, Florida, New York, Texas, and Illinois. Deşi majoritatea lor sunt din SUA, infractorii sunt bine reprezentaţi şi în China, Nigeria şi Anglia.

• Peste 70% din victimele fraudelor sunt bărbaţi, jumătate cu vârsta cuprinsă între 30 şi 50 de ani (vârsta medie fiind de 38,6 ani), mai mult de 1/3 având rezidenţa în unul dintre statele cele mai populate din SUA: California, Texas, New York şi Florida. Cu toate că majoritatea plângerilor provin de pe teritoriul SUA, CMFI a primit un număr considerabil de sesizări şi din Canada, Anglia, Australia, Europa şi Japonia.

• Rata pierderilor pe o plângere este influenţată de o mulţime de factori. Afacerile tind să piardă mai mult decât victimele individuale, iar bărbaţii tind să piardă mai mult decât femeile. Aceste diferenţe pot fi generate atât de obiceiurile de cumpărare online diferenţiate pe sexe cât şi de tipurile de fraude care afectează în mod specific persoanele fizice. Cu toate că nu există o relaţie concludentă între vârstă şi pierderi raportate, ponderea indivizilor care au raportat pierderi de 5.000 de dolari sau mai mari este maximă pentru categoria celor peste 60 de ani.

• Mesajele de poştă electronică şi site-urile Web reprezintă mijlocul preferat de comitere a fraudelor. Aproape 70% din totalul plângerilor au raportat contact prin e-mail cu infractorul.

Tehnici de prevenire a fraudei pe Internet Fraudarea licitaţiilor online • Înţelegerea cât mai bună a modului în care funcţionează licitaţiile pe

Internet, atât a obligaţiilor cumpărătorilor cât şi a vânzătorilor. • Cercetarea modalităţii de acţiune a companiei (proprietarul site-ului Web) şi

în măsura posibilităţilor asigurarea mărfurilor atât în timpul tranzacţiilor cât şi a transportului.

• Examinarea vânzătorului, în special dacă singura informaţie despre acesta este o adresă de poştă electronică. În cazul în care acesta în spatele adresei

- 21 -

este o companie, se pot consulta paginile Better Business Bureau, în vederea verificării localizării şi trecutului firmei.

• Evaluarea feedback-ului oferit de către firmă. Dacă vânzătorul nu răspunde la unele întrebări sau oferă explicaţii evazive, sau ţine anumite informaţii secrete, trebuie evitată orice tranzacţie cu acesta.

• Verificarea modalităţii de plată cerute de vânzător şi a destinaţiei plăţilor. Se impun măsuri suplimetare de precauţie în cazul în care adresa de destinaţie este de genul O.P. Nr.x.

• Trebuie avut grijă în legătură cu diferenţele dintre legile diverselor state din domeniul licitaţiilor online. În cazul în care cumpărătorul şi vânzătorul sunt localizaţi în ţări diferite, eventualele dispute şi neînţelegeri pot avea rezolvări imprervizibile.

• Verificarea termenului de livrare stipulat de către vânzător precum şi a garanţiilor produsului şi a modalităţilor de returnare a acestuia.

• Pentru a evita unele costuri neaşteptate, trebuie verificat dacă transportul şi livrarea sunt incluse în preţul de strigare sau se vor plăti separat.

• Trebuie evitată furnizarea unor informaţii suplimentare de genul numărul de asigurare socială, numărul permisului de conducere, aceste nefiind necesare în cursul procesării tranzacţiei, chiar dacă sunt cerute de vânzător.

Nelivrarea mărfurilor/neîncasarea contravalorii • Cea mai bună practică preventivă este de a nu cumpăra din surse (magazine

online) nesigure, necunoscute. Ca şi în cazul licitaţiilor, se impune verificarea reputaţiei şi seriozităţii vânzătorului.

• Trebuie cerute adrese fizice ale comerciantului, în locul de adresa de poştă electronică, OP sau un număr de telefon. În cazul obţinerii unui număr de telefon, se impune verificarea acestuia sunând efectiv la vânzător.

• Se pot trimite mesaje de poştă electronică vânzătorului pentru a verifica dacă aceasta este activă sau nu. În cazul în care vânzătorul foloseşte conturi de poştă electronică gratuite (de exemplu hotmail.com sau usa.net) trebuie luate măsuri suplimentare de precauţie.

• Verificarea prin mijlocirea Better Business Bureau a comerciantului prin prisma trecutului lui şi a practicilor comerciale folosite.

• Investigarea altor site-uri Web pentru a afla mai multe informaţii despre persoana/comerciantul/magazinul în cauză.

- 22 -

• Persoanele/comercianţii nu pot fi judecate pe baza designului site-ului lor Web, calitatea superioară a realizării grafice în unele cazuri acoperă nereguli grave sau chiar fraude.

• Se impune atenţie suplimentară în cazul ofertelor speciale, în special în cazul ofertelor prin e-mail nesolicitat.

• Tranzacţiile cu comercianţi din ţări străine necesită analiză suplimentară, mai ales sub aspectul legilor comerciale care guvernează ţara respectivă.

• Verificarea clauzelor de garanţie şi de returnare a mărfurilor. • Cea mai sigură metodă de a cumpăra bunuri prin Internet este cea clasică, cu

plata cu cărţi de credit, deoarece în cazul unei evoluţii nefavorabile a tranzacţiei, cumpărătorul poate renunţa, retrăgând plata (chiar şi după efectuarea acesteia, primindu-şi înapoi banii în baza politicii de obligaţie zero practicată de către băncile emitente ale cărţilor de credit).

• Trebuie cercetată/evaluată securitatea site-ului în special în cazul în care cumpărătorul este solicitat să trimită numărul cărţii de credit prin e-mail.

Tranzacţii frauduloase cu cărţi de credit • Transmiterea online a numărului cărţii de credit este recomandată numai în

cazul în care securitatea şi reputaţia site-ului comerciantului poate fi verificabilă. În cazul unor site-uri apar diverse simboluri iconice sau căsuţe cu text menite să-i asigure pe cumpărători că magazinul respectiv este sigur. Cu toate că aceste declaraţii nu reprezintă o garanţie a securităţii, prezenţa lor generează încredere.

• Înainte de a folosi un site comercial, trebuie verificat pachetul software de securitate/criptare folosit, care este menit să asigure siguranţa tranzacţiilor.

• Comercianţii trebuie selectaţi cu atenţie, făcând cumpărături numei din surse sigure, cu o reputaţie impecabilă.

• Obţinerea unei adrese fizice în locul celor de tip e-mail, O.P. sau numere de telefon. Adresele prezentate pe site-ul Internet al firmei pot fi confruntate cu informaţiile privitoare la localizarea site-ului, deduse din numele de domenii.

• Vânzătorii care nu furnizează aceste informaţii sau răspund evaziv la unele solicitări de informare ale clienţilor, trebuie evitaţi.

• Se impune verificarea unor eventuale plângeri primite de instituţiile abilitate cu privire la comerciantul în cauză. Cercetarea altor site-uri cu privire la reputaţia şi identitatea comerciantului poate preveni frauda.

- 23 -

• Este recomandată evitarea ofertelor speciale, în special a celor venite sub forma mesajelor de poştă electronică nesolicitate.

• Tranzacţiile dintre comercianţi şi consumatori din ţări diferite impun atenţie specială.

• În cazul cumpărăturilor prin Internet se recomandă folosirea cărţii de credit, deoarece deţinătorul poate renunţa ulterior la plata efectuată.

• Trebuie verificată securitatea transmiterii numărului cărţii de credit pe cale electronică.

• Deţinătorii cărţilor de credit sunt sfătuiţi să verifice din când în când soldul şi să păstreze informaţiile de contact ale băncii emitente. În cazul în care îşi pierd cărţile de credit, emitenul trebuie anunţat cu operativitate.

Fraude investiţionale • Trebuie evitate luarea unor decizii de investire pe baza aparenţelor. Aspectul

grafic al site-ului nu reprezintă o garanţie a legitimităţii tranzacţiilor derulate. Crearea unui site necesită câteva doar zile, costuri aproape nule şi nici o autorizaţie. După o perioadă scurtă de funcţionare, timp în care atrage fonduri, acesta poate să dispară fără urme.

• În cadrul deciziilor de investire, trebuie analizată atât legitimitatea cât şi securitatea instrumentului de investire propus.

• Se impune cercetarea trecutului companiei/individului în vederea verificării credibilităţii şi legitimităţii acesteia. Trebuie investigate şi alte site-uri cu privire la comapina în cauză.

• Trebuie respinse ofertele speciale de investire sau de economisire, în special cele primite sub forma mesajelor de poştă electronică nesolicitate. Se impune cunoaşterea cât mai aprofundată a companiei ofertante.

• Este recomandată verificarea tuturor termenelor şi clauzelor contractului, atât în ce priveşte drepturile consumatorului cât şi obligaţiile care îi revin.

• Regula generală: dacă sună prea frumos să fie adevărat, probabil nici nu este! Înşelătoria "Scrisoare din Nigeria" • Se impune scepticism şi atenţie specială în legătură cu indivizi care se

prezintă ca oficiali ai Guvernului Nigerian sau ai oricărui alt guvern, cerând ajutor în plasarea unor sume uriaşe de bani în conturi străine.

- 24 -

• Ne trebuie acordată încredere ofertelor generoase de bani în schimbul cooperării în plasarea sau spălarea banilor.

• Trebuie evitată divulgarea unor informaţii confidenţiale cum ar fi numărul cărţii de credit, numărul conturilor de economii sau a altor situaţii financiare.

• Cea mai bună soluţie în cazul primirii unor asemenea oferte este sesizarea imediată a autorităţilor.

Frauda organizaţională • Se recomandă cumpărarea de bunuri şi servicii numai din surse autentice, cu

reputaţie bună şi cu un nivel de securizare acceptabil. • Trebuie cerută adresă fizică a comerciantului, în locul acelora de poştă

electronică, OP sau un număr de telefon. În cazul obţinerii unui număr de telefon, se impune verificarea acestuia sunând efectiv la vânzător.

• Se pot trimite mesaje de poştă electronică pentru a verifica starea activă a contului comerciantului; conturile din site-uri gratuite trebuie să trezească suspicii în rândul consumatorilor.

• Vânzătorii care resping cererile de informare ale clienţilor trebuie eviataţi.

- 25 -

• Este recomandată achiziţionarea mărfurilor direct de la compaina care deţine marca, licenţa sau patentul. Trebuie evitate mărfurile contrafăcute sau care arată numai similar cu cea originală.

Bugete de securitate În urma celor prezentate în acest capitol rezultă necesitatea impulsionării managerilor (care vor să-şi deschidă un magazin virtual sau care îl au deja) în sensul de a acorda o mai mare importanţă problemelor de securitate. Este adevărat că orice afacere se doreşte a fi cât mai profitabilă şi cu costuri cât mai mici, deci implicit se impune reducerea bugetelor alocate diferitelor acţiuni ce influenţează în final profitul. Dar în acest caz (cel al afacerii pe Internet), când se pune problema cheltuielilor justificate cu securitatea site-urilor, ideea de bază este ca vizitatorul să revină şi a se transforme în cumpărător, nu să fie alungat de teama furtului numărului carţilor de credit. Orice investiţie în asigurarea securităţii magazinelor virtuale este la fel de justificată ca şi cea a angajării unui paznic într-un magazin real. Deci, pentru ca afacerea să fie şi profitabilă (nu numai să existe în mediul Internet), nu ezitaţi asupra măririi bugetului care vă poate aduce garanţia că vizitatorii dumneavoastră sunt perfect încrezători în capacitatea firmei de a-i proteja. "Consumatorii insistă pe securitate ca pe o problemă de viaţă şi moarte, şi astfel aceasta devine o componentă esenţială a vânzării", spune un consultant pe probleme de securitate al unei instituţii financiare din Nord-Estul Americii. Totuşi, viruşii, viermii şi caii troiani reprezintă în continuare cel mai frecvent tip de atac, cu 90% din organizaţii afectate de aceste incidente. Impactul infectării sistemului cu viruşi este măsurat pornind de la pierderile de date, resurse şi de productivitate datorate întreruperii parţiale sau totale a activităţii. Dar, pe lângă acestea, o rată ridicată a infecţiilor cu viruşi implică riscuri uriaşe în ceea ce priveşte reputaţia firmei. Analiza statistică a demonstrat încă o dată că incidentele de securitate interne sunt mult mai frecvente decât atacurile externe. Astfel, semnificativ mai multe corporaţii au raportat încălcări interne ale protocoalelor de acces sau furturi de echipamente de către angajaţi decât refuzuri ale funcţionării sau spargeri de parole de către străini.

- 26 -

Este foarte clar, că mediul Internet, leagănul comerţului electronic, prezintă unele vulnerabilităţi şi riscuri, în mare parte izvorâte din caracterul său de sistem deschis, care, răsfrângându-se asupra comerţului electronic, pot duce la trunchierea acestuia din urmă. Este lesne de remarcat că relaţia dintre securitatea tranzacţiilor şi economia afacerii online este simetrică, reciprocă. Securizarea tranzacţiilor presupune finanţare extensivă pe de o parte, iar pe de alta are ca rezultat creşterea cifrei de afaceri care duce la creşterea profitabilităţii şi la dezvoltarea afacerii. Mult simplificând realitatea, securitatea înghite bani ca să aducă bani. Întrebarea firească este: cu ce rată se întorc banii imvestiţi? În momentul de faţă se estimează că investiţia în securitate este cea mai eficientă alternativă de investire, fiecare dolar cheltuit cu securizarea comerţului electonic aducând firmelor între cinci şi zece dolari în urma creşterii vânzărilor. Oricât de sigure ar fi tranzacţiile online, fără o conştientizare adecvată a acestora în rândul consumatorilor, investiţiile în securitate se dovedesc zadarnice. Implementarea securităţii trebuie să fie urmată de comunicarea şi promovarea acesteia, avizând consumatorii că nu se expun la nici un risc făcând cumpărături online prin intermediul site-ului în cauză.