Zazwyczaj nie analizuję zawartości niechcianej poczty elektronicznej. Czasem jednak jakaś przesyłka wpadnie mi z niewiadomych względów w oko i wówczas czytam przynajmniej wstęp. Tym razem też tak było. Nie wiem, czy skusił mnie temat, czy nadawca - ale gdyby nie moja rozwaga i dobre nawyki padłbym niechybnie ofiarą oszustwa.

Jedną z moich żelaznych zasad jest niepodawanie numeru karty płatniczej nigdzie, a na pewno już niekorzystanie z niej przy jakichkolwiek transakcjach internetowych. W ogóle jestem niezwykle uważny przy jakichkolwiek płatnościach w sieci, bo wiem o słabościach zabezpieczeń, w tym także bankowych, ale to już sprawa na inny felieton. Ponadto znam osobiście ludzi, których karta płatnicza wskutek braku hermetyczności transakcji posłużyła w efekcie komuś innemu do obstawiania zakładów internetowych. Jak dla mnie to już wystarczająca nauczka.

Wspomniany na wstępie e-mail, sygnowany niby przez eBay, obwieszczał w tytule: "Your account has been limited", a następujące w treści wytłumaczenie mówiło, że ze względu na zdarzające się przypadki wykradania numerów kart płatniczych itd., moje konto zostało losowo wybrane w celu zweryfikowania tożsamości jego właściciela. Jeszcze trochę zamydlających oczy i rozum okrągłych zdań i wreszcie instrukcja prosząca o zalogowanie się poprzez podany link na stronęhttps://www.paypal.com . Pod tą mylącą przykrywką - co po najechaniu nań kursorem ukazywało się oczom - krył się w rzeczywistości adreshttp://www.yellowrant.com/update/ , i - jak widać - osiągalny już nie szyfrowanym protokołem. Jeśli nie zauważyło się tej zmyłki i mimo wszystko brnęło się dalej, to po kliknięciu na łącze pojawiała się strona żywcem wzięta z serwisu PayPal, tyle że jako jej statyczny obraz ujęty z oryginału jakieś 10 mln kont użytkowników temu (PayPal - www.paypal.com - ma obecnie 96 mln kont). Podstawiona strona sprawiała wrażenie tej właściwej. Jednak to tylko pozory. Nieczynne były elementy funkcjonalne (zakładki i przyciski) oprócz jednego, umożliwiającego zalogowanie, a w zasadzie przejście do następnej fazy, gdzie żądano podania numeru karty płatniczej oraz PIN-u. Ponadto zmieniały się ustawienia przeglądarki, a konkretnie paska adresowego - w sposób dosyć subtelny, ale dla wprawnego oka wykrywalny. Nie mówiąc już o tym, że pasek adresowy tracił swe właściwości związane z edycją wpisu.

Nie pamiętam, czy mam konto na eBay (bo to różne rzeczy człowiek wyczynia w chwilach zapomnienia), jednak jestem pewny, że nigdzie i nigdy nie podaję numeru karty płatniczej, stąd wszelkie zawracanie głowy w celu jej weryfikacji z góry skazane są na niepowodzenie.

Osoby nieco obeznane z zasadami panującymi w Internecie wiedzą, że z chwilą przechodzenia na stronę szyfrowaną pojawia się kłódeczka, pozwalająca sprawdzić ważność certyfikatu. Osoby takie potrafią także zorientować się, co jest podszywaniem się (tzw. phishing), a co prawdą. Pomyśleć ilu też ludzi, zupełnie nieznających tych reguł, zostało okradzionych w opisany tu sposób.

Jeśli ktoś z Państwa nie czuje się zbyt uświadomiony w kwestii bezpieczeństwa transakcji internetowych, polecam odwiedzenie poglądowej strony www.dzienbezpiecznegokomputera.pl/bankowosc.htm, gdzie także można obejrzeć przygotowaną przez Microsoft pogadankę tematyczną. Opisywany w felietonie oszukańczy adres był czynny kilka dni - czyli o kilka dni za długo i nie wiadomo o ile tysięcy okradzionych ludzi za długo.