Securitatea pe Internet [618376]

-1 –

CAPITOLUL VIII
Securitatea pe Internet

Vulnerabilit ățile mediului Internet care afecteaz ă comerțul electronic
Un factor principal care frâneaz ă oarecum dezvoltarea comer țului electronic îl
constituie insecuritatea. Ini țial, serviciile din Internet au fost proiectate pentru
cercetare și nu pentru desf ășurarea unor tranzac ții comerciale. Se pot identifica
mai multe probleme specifice de securitate , care pot fi considerate obstacole în
dezvoltarea comer țului pe Internet.

Probleme de concep ție:
Internetul opereaz ă într-un mediu de încredere, în care este permis tuturor
utilizatorilor situa ți la distan ță să acceseze fi șierele și resursele critice de pe
computere din întreaga lume. La începuturile erei Internet, securitatea era l ăsată
mai mult pe respectul recipr oc al utilizatorilor, pe " gentlemen agreement "-ul
stabilit între ace știa decât pe m ăsuri tehnice și administrative. O protec ție
minimă, considerat ă mult timp suficient ă, dar dovedit ă ulterior cu sl ăbiciuni de
concepție, au constituit-o sistemele de parole care creau o anumit ă barieră la
părtunderea pe un sistem aflat la distan ță. Pe măsură însă ce Internetul s-a
extins, comunitatea utilizatorilor a crescut foarte mult, iar între ace știa se găsesc
numeroase persoane care nu mai respect ă regulile de compor tament stabilite
inițial de cercet ători. Cateva exemple celebre au atras atentia opiniei publice și a
ridicat semne de întrebare asupra securit ății online :
– Viermele Internet, care a afectat câteva mii de computere în 1988;
– Incidentul "Berferd" de la AT&T, din 1991;
– Furtul de parole ale fu rnizorilor de servicii Inte rnet din anii 1993-1994;
– Interceptarea pachetelor IP la Ce ntrul de supercomputere de la San
Diego, din 1994;
– Furturile de fonduri de la Citibank, din 1995.

Toate atacurile speculeaz ă proasta configurare a unor sisteme, unele erori în
scrierea programelor, ad ministrarea neglijent ă a unor noduri sau chiar
neglijența unor utilizatori autoriza ți. De asemenea, unele atacuri mai sofisticate
profită de lipsa total ă a unor servicii de securitate în ierarhia de protocoale
TCP/IP, folosit ă de toate computerele co nectate la Internet.

-2 –
De exemplu, multe protocoale la nivelul de jos al TC P/IP, inclusiv Ethernet,
sunt de tip difuzoare ( broadcast ). Ca urmare este posibil pentru orice ma șină
conectată la un LAN ( Local Area Network – rețea locală) să "asculte" traficul
destinat altor ma șini. În acela și context, este posibil pentru orice computer
conectat la Internet, cum ar fi de exemplu un furnizor de servicii, s ă "asculte"
legătura de comunica ții ce se stabile ște între dou ă alte computere. Aceste
ascultări, însoțite de memorarea traficului, sunt destinate atât încerc ărilor de
aflare a unor parole, cât și de înregistrare a unor date confiden țiale.
De asemenea, nici un protocol din suita TCP/IP nu con ține mijloace de
autentificare reciproc ă a părților comunicante. Ca urmare, este imposibil s ă se
determine cu precizie dac ă adresa de pe un pachet de date este original ă sau nu.
Acest lucru creeaz ă posibilitatea ca un sistem s ă se dea drept un altul și să
obțină informații cu caracter privat.

Protocoalele men ționate nu con țin nici mijloace de autentificare a con ținutului
pachetelor. Se folosesc doar ni ște simple sume de control pentru detectarea
erorilor de transmisie. Ca ur mare, se pot opera modific ări în con ținutul
pachetelor, cu urm ări dezastroase, de exemplu, pentru ni ște tranzac ții
comerciale.

Multe implement ări TCP utilizeaz ă algoritmi u șor predictibili de generare a
numerelor de secven ță a pachetelor. Acest lucru, corelat cu incapacitatea de
autentificare, creeaz ă premisele unor fraude privin d interceptarea, modificarea
sau furtul unor pachete.
Se pot stabili conexiuni frauduloase la sisteme, pentru accesarea unor fi șiere
importante sau, mai subtil, pent ru instalarea unor "trape" preg ătitoare ale unor
accese ulterioare nestinghe rite pe acel sistem.

În contextul comer țului electronic, atacurile la securitate se manifest ă cu
precădere prin urm ătoarele căi:

• Ascultarea comunica țiilor. Acest tip de atac poate conduce la furtul unor
informații importante ale clien ților, cum ar fi num ărul cărții de credit,
numărul de cont bancar, note de plat ă sau bala țe financiare. Atacurile de

-3 -acest tip conduc la furtul unor servicii, accesibile în mod normal numai celor
care plătesc, cum ar fi cele de info rmare sau de distribuire de software .
Aceste lucruri pot, de exemplu, informa o firm ă despre tratativele de afaceri
ale altor firme competitoare sau pot genera deconspirarea unor date cu
caracter personal ale cump ărătorilor, date transmise doar pentru firmele cu
care aceștia fac afaceri.

• Furtul paroleleor. Atacurile de acest tip pot fi folosite pentru a permite
accesul la sisteme unde se afl ă informații sau servicii importante. Folosirea
unor algoritmi criptografici tot mai puter nici pentru protejarea acestor date a
mutat ținta atacurilor de la încerc ările de a "sparge" protocolul la încerc ările
de obținere a unor informa ții "în clar" de la nodurile mai pu țin protejate.

• Modificarea datelor. Aceste atacuri folosesc la schimbarea con ținutului
unor tranzac ții, ca de exemplu suma transferat ă din contul unei b ănci,
persoana pl ătită pe un cec electronic, va loarea unor comenzi etc.

• Înregistrarea. Acest tip de atac poate fi folosit pentru a permite unei p ărți
comunicante s ă se dea drept alta. Atacatorul plaseaz ă în Internet un computer
destinat colect ării a sute de mii de numere de c ărți de credit, numere de cont
sau alte informa ții despre diferi ți clienți utilizatori ai comer țului electronic.
Folosind aceste informa ții, atacatorii pot executa pl ăți în numele unor
persoane care nici nu b ănuiesc sau pot colecta taxe de la diver și comercian ți
în numele statului.

• Repudierea. Repudierea sau refuzul de recunoa ștere a unor tranzac ții făcute
prin rețea creează serioase daune p ărților implicate. Considera ți, de exemplu,
situația unui cec bancar, refuzat nu pentru c ă nu are acoperire în cont, ci
pentru simplul fapt c ă banca nu are mijloace de au tentificare ale acestuia.

Analiza riscurilor legate de securitate
Numeroase spargeri de site-uri apar în urma neglijen ței sau a ignoran ței
personalului care administreaz ă sistemul. Hacker-ii pot dobândi acces
neautorizat datorit ă greșelilor din algoritmul (programul) site-ului sau deoarece
acesta este incorect configurat . Cu alte cuvinte, într-o m ăsură semnificativ ă, la
baza infrac țiunilor legate de securitate care ap ar pe Internet, este eroarea uman ă.

-4 -O a doua problem ă este reprezentat ă de programele de "mirosit" care sunt
utilizate de hackeri pent ru a vizualiza informa ția care circul ă între computerele
legate la Internet. Un astfel de progr am de "mirosit" perm ite utilizatorului s ă
fure numere de c ărți de credit în timp ce acestea sunt trimise pe Internet, de la
consumator la comerciant.

Securizarea comer țului electronic desf ășurat prin mijloci rea Internetului
necesită implicare personal ă din partea managerilor magazinelor virtuale. În
urma specializ ării și divizării muncilor legate de ad ministrarea unui magazin
online , se pune problema responsabilit ății: cine r ăspunde se securitatea
tranzacțiilor desf ășurate, comerciantul (managerul) sau organiza ția care a
proiectat și găzduiește magazinul online . Cheia asigur ării protec ției site-ului
este implicarea personal ă a managerului acestuia în rezolvarea problemelor de
securitate, ceea ce presupune atât o în țelegere perfect ă a riscurilor implicate, cât
și asigurarea lu ării măsurilor necesare securiz ării tranzac țiilor.

Principial, implementarea securit ății în mediul Internet este asem ănătoare cu
asigurarea securit ății într-un magazin real. Putem s ă ne imagin ăm un magazin
real, amplasat într-un cartier nesigur. Dac ă îl construim f ără nici o m ăsură de
securitate, f ără personal de supraveghere, secur itatea magazinului se va spulbera
odată cu deschiderea u șii (situație similar ă mediului Internet). Oricine poate s ă
intre, să meargă direct la cas ă și să o goleasc ă!

Spargerea site-urilor Internet

La prima vedere cel ma i mare risc legat de securitatea informa țiilor pe Internet
apare în timpul derul ării vânzărilor online , în momentul în care num ărul cărții
de credit al cump ărătorului este trimis via Internet c ătre computerul
vânzătorului. În primii ani ai In ternetului oamenii erau obseda ți de gândul c ă
numerele c ărților de credit pot fi intercepta te de hackeri în timpul efectu ării
tranzacției. Ca rezultat, comercian ții online și-au concentrat eforturile din
domeniul securit ății asupra protej ării numerelor c ărților de credit astfel încât
acestea să poată fi transmise în siguran ță prin Internet, f ără a fi interceptate.
Soluția găsită presupune schimbarea format ului inteligibil al informa ției prin
diverse metode denumite generic criptare.

-5 -În realitate îns ă, majoritatea infrac țiunilor online se comit dup ă încheierea
tranzacțiilor de vânzare în urma c ărora numerele c ărților de credit ale
cumpărătorilor rămân stocate neprotejat pe comp uterul comerciantului. Acest
lucru s-a întâmplat și în cazul Western Union: numerele c ărților de credit au fost
furate din computerele companiei și nu în timp ce erau transmise c ătre site-ul
Western Union.

Tipologia riscurilor care afecteaz ă securitatea comer țului electronic
În urma unei analize se pot identifica nenum ărate riscuri din domeniul
securității comerțului electronic care greveaz ă dezvoltarea și proliferarea acestui
sector. În continuare sunt prezentate cele mai important e dintre acestea.
¾ Intercept ări (ascultări). Un atac folosind metoda intercept ării înseamn ă
că cineva supravegheaz ă site-ul magazinului și "trage cu urechea",
așteptând ca datele de identif icare ale consumatorilor s ă fie trimise c ătre
site-ul comerciantului. Cea mai eficient ă metodă de protejare a
magazinelor online împotriva unor asemenea at acuri presupune criptarea
informației transmise f ăcând-o astfel indescifrabil ă. Cu toate c ă
probabilitatea acestor at acuri este foarte mic ă și se reduce continuu (odat ă
cu dezvoltarea criptografiei), ele reprezint ă teama cea mai mare a
cumpărătorilor online .

Cea mai u șoară și populară metodă de deghizare a numerelor c ărților de credit
transmise de c ătre cumpărători este fososirea unei tehnici de criptare denumit ă
SSL ( Secure Sockets Layer ). Cele mai multe aplica ții legate de magazinele
online folosesc SSL pentru a garanta c onsumatorilor transmiterea în siguran ță a
informațiilor personale (incluzând num ărul cărții de credit) c ătre computerul
comerciantului.

¾ Spargeri de site-uri. Spargerea site-urilor online presupune c ă cineva
forțează intrarea, sp ărgând sistemul de secur itate, în vederea acces ării
unor informa ții sensibile, cum ar fi numere de c ărți de credit, parole sau
înregistrări ale facturilor. Solu ția cea mai r ăspândită pentru combaterea
acestui tip de risc o constituie a șa numitul firewall (pasarel ă de
securitate). În linii mari un firewall este un sistem care impune o politic ă
de control a accesului între dou ă rețele (de exemplu LAN și Internet). El
reprezintă implementarea politicii de secur itate în termeni de configurare
a rețelei.

-6 -¾ Breșe în securitate . Găurile în securitate apar în momentul în care
informațiile confiden țiale apar accesibile pe un site Intenet sau magazin
online . De obicei acest lucru se întâmpl ă deoarece nu s-au luat toate
măsurile necesare securiz ării site-ului respectiv. De asemenea aceste
găuri în sistemul de securitate pot s ă apară și în urma accesului
neautorizat al unei persoane din in teriorul companiei sau din partea
furnizorului de servicii Internet.

¾ Distrugeri deliberate de date. Câteodat ă se sparg site-urile Internet
numai cu inten ția de a vandaliza una sau mai multe pagini constituente.
De obicei, în acest fel se opereaz ă modificări în conținutul grafic al unor
pagini Web ștergând unele imagini, deformandu-le sau ad ăugând imagini
proprii. Con ținutul informa țional este de asemenea modificat, f ăcându-se
afirmații în numele companiei. În unele cazuri hackerii anun ță mari
reduceri de pre ț, oprirea produc ției din cauza lipsei de fiabilitate a
produselor, sistarea vânz ărilor sau pur și simplu falimentul companiei,
prin intrarea în in capacitate de plat ă. Mai grav este îns ă faptul că adesea
compania victimn ă nu poate dovedi c ă nu ea este autoarea afirma țiilor,
mesajelor publicitare sau promo ționale făcute în site-ul ei (de exemplu c ă
nu cu bun ă știință a promis 50% reducere pe ntru primii 1.000 de
cumpărători). Astfel, aceste atacuri pot afecta negativ imaginea firmei,
generând adesea adev ărate scandaluri publice și dovedindu-se extrem de
costisitoare. Chiar și celebra CIA ( Central Intelligence Agency ) din SUA
a fost victima unor asemenea atacuri, prin care s-a anun țat desfiin țarea
agenției (CNN – www.cnn.com ).

¾ Pierderi accidentale de date . Se impune protejarea magazinelor online
în eventualitatea unei c ăderi a sistemului informatic, pene de curent,
inundații sau alt gen de dezastre care pot afecta furnizorul de servicii
Internet, firma care g ăzduiește site-ul companiei sau îns ăși compania în
cauză. De asemenea se pot pierde date sau chiar întregul site al
magazinului în urma unor erori um ane din partea celor responsabili cu
administrarea magazinului online . De exemplu, unele comenzi ale
sistemului de operare UNIX/LINUX sunt atât de puternice încât o simpl ă
comandă accidental ă poate provoca ștergerea întregului site cu toate
înregistrările aferente. Aceste riscuri pot fi prevenite prin limitarea
accesului la computerul care g ăzduiește magazinul online cât și prin
backup -uri periodice.

-7 -¾ Refuzul func ționării. În ultimii ani au fost nenum ărate cazuri în care
site-uri au fost închise sau f ăcute să funcționeze inutilizabil de încet în
urma unor atacuri ale hackerilor. Aceste atacuri presupun ca cineva s ă
blocheze deliberat accesul la site-ul magazinului online , "bombardând"
computerul gazd ă cu solicit ări de informa ții supradimensionate. Cererea
de informa ții suprasolicit ă computerul, cauzând oprirea acestuia sau
funcționarea la cot ă de avarie. Un asem enea atac exploateaz ă un punct
slab al sistemului de operare sau al software -ului de creare a site-ului.

¾ Viruși. Un virus este un prog ram creat care poate s ă distrugă sau să
șteargă datele din computer, s ă modifice fi șierele, să fure password -uri
(parole), sau pur și simplu s ă transfere datele dintr-un computer pe
Internet, f ără știrea posesorului.

Cea mai bun ă metodă de protec ție împotriva viru șilor o reprezint ă instalarea și
rularea periodic ă de programe antivirus pe co mputer. Companiile care ofer ă
programe antivirus au în site-urile lor informa ții detaliate despre modul de
operare a viru șilor precum și despre metodele de ap ărare împotriva lor.

De asemenea este foarte important ca toate informa țiile relevante stocate pe
computerul magazinului online să fie salvate periodic ( backup ) pe medii de
stocare (CD, DVD etc.).

¾ Furturi de domenii (domain name -uri). Asist ăm la furt de domenii în
momentul când cineva transfer ă proprietatea asupra unui domeniu (de
exemplu nike.com) la o alt ă entitate f ără consimțământul de ținătorului de
drept. În acest caz, hackerul pr eia controlul asupra adresei Web a
companiei vizate și astfel, în momentul în care consumatorii acceseaz ă
acea adresa, ei sunt conecta ți la un alt site, de exemplu al concuren ței.
Acest tip de atac presupune ca ci neva, prin falsificarea identit ății sau prin
alte metode, acceseaz ă registrul central care p ăstrează datele legate de
domeniul companiei. Spre deosebire de celelate tipuri de atacuri, în cazul
deturnărilor de domenii comerc iantul nu poate lua m ăsuri preventive de
protecție deoarece ținta atacului este computerul registrului de nume de
domenii. Securitatea domeniilor trebuie asigurat ă de diversele organiza ții
(registre cu nume de domenii) care se ocup ă de gestionarea și alocarea
acestora c ătre utilizatorii individuali și afacerile prezente pe Internet.

-8 -¾ Șantaj cibernetic . Șantajul cibernetic pr esupune ca un hacker s ă spargă
un site Internet și să amenințe cu distrugerea datelor, s ă fure numere de
cărți de credit, s ă împiedice func ționarea paginilor Web sau s ă amenințe
cu comiterea unui alt tip de atentat dac ă firma vizat ă nu plătește o
"răscumpărare".

Toate bresele în securitate enumerate mai sus pot fi evitate de catre proprietarii
de magazine si afaceri pe Internet asigurandu-se ca au r ăspuns pozitiv la câteva
întrebari elementare ce se pot reuni intr-o list ă de verificare a securit ății
serviciilor de g ăzduire de magazine online :

1. Compania de g ăzduire con știentizeaz ă problemele legate de securitate?
2. Este firma de g ăzduire dispus ă să răspundă la întreb ările utilizatorului
(magazin online)?
3. Sunt speciali știi companiei la zi cu problemele și noutățile din domeniul
securității?
4. Este gestionat ă corespunzator rota ția și fluctuația personalului de c ătre
firmă?
5. Este restric ționat accesul la computere?
6. Aplicațiile nefolosite de pe computere se închid sau nu?
7. Software-ul folosit de c ătre firma de g ăzduire are sl ăbiciuni cunoscute?
8. Stocarea informa țiilor legate de clien ți, în special numerele c ărților de
credit este securizat ă?
9. Sunt utilizte proceduri de backup?
10. Transmiterea datelor este protejata?

Consecin țele securit ății inadecvate
Adesea se pune întrebarea: ce se întâmpl ă în cazurile când comercian ții eșuează
în implementarea unui sistem eficace de asigurare a securit ății tranzacțiilor?

A face public existen ța unor fraude comise pe site-ul unei firme, implicit a unui
magazin virtual, poate afecta destul de serios imaginea public ă a acesteia. Un
caz, amintit deja, este cel al Western Union al carui site a fost atacat de hakeri,
iar numerele de cont ale persoane lor ce trimiteau bani la distan țe reltiv mari, au
fost furate. Firma a avut de suferit de pe urma acestor evenimente devenite
publice și a înregistrat o sc ădere a volumului tranzac țiilor. Totusi, s-a men ținut
pe linia de plutire datorit ă filialelor deschise în multiple ora șe din diferite țări.

-9 -Orice afacere trebuie s ă-și asume un anumit gr ad de risc în momentul în care se
decide să pătrundă pe piața virtuală. Securitatea tranzac țiilor trebuie asigurat ă la
cele mai înalte standarde, altfel clien ții vor sta departe de ma gazin, iar a repara o
reputație negativ ă durează mult mai mult decât a crea o imagine pozitiv ă și
încrezatoare de la bun început.

De-a lungul timpului, pe masur ă ce afacerile virtuale au luat amploare, multe
companii, mai mari sau mai mici, au preferat s ă ascundă de opinia public ă
fraudele și atacurile din interior sau din exterior, au renun țat la deferirea în
justiție a vinova ților și la urmărirea lor doar pentru a- și proteja imaginea și
pentru a nu afecta grav profitul.

O altă urmare a insuficien ței securiz ări a magazinului online o constituie
retragerea conturilor de comerciant. Co ntul de comerciant nu este un simplu
cont bancar ci mai degrab ă un cont special, care este deschis pentru a permite
acceptarea pl ăților cu c ărți de credit. Majo ritatea conturilor de comerciant
acceptă toate mărcile importante de c ărți de credit (MasterCard, Visa etc.). În
cazul unor tranzac ții frauduloase, cum ar fi pl ăți cu cărți de credit furate, dup ă
ce deținătorul de drept al c ărții de credit descoper ă neregula, comerciantul care a
acceptat aceste pl ăți este nevoit s ă restituie suma încasat ă, cu toate c ă marfa a
fost livrat ă.

Visa USA a ini țiat un program numit CISP1 (Cardholder Information Security
Program – Program privind Securitatea Informa țiilor Deținătorilor de Carduri),
care prevede cerin țele minime care trebuie îndeplinite de c ătre orice organiza ție
(comercian ți online , furnizorii serviciilor de g ăzduire, creare de site-uri etc.)
care proceseaz ă, stocheaz ă sau are acces la informa ții legate de tranzac țiile cu
cărți de credit efectuate prin mijlocirea me diului Internet. Programul are la baz ă
o listă "Top Ten" a cerin țelor logice pentru protejarea datelor de ținătorilor de
cărți de credit:
1. Instalarea și menținerea firewall-urilor în vederea protej ării datelor
accesibile prin Internet.
2. Actualizarea domeniilor și informațiilor legate de securitate.
3. Criparea datelor stocate.
4. Criptarea datelor trimise prin re țele deschise (de exemplu Internet).
5. Utilizarea și actualizarea periodic ă a software-urilor antivirus.

1 Sursa: Visa’s Merchant Resource Center (www.visa.com)

-1 0 -6. Restricționarea accesului la date cu ajutorul paroleleor și cheilor.
7. Alocarea unui ID specific fiec ărei persoane care are acces la datele
stocate în computere.
8. Evitarea paroleleor predefinite, furnizate de produc ătorii software-urilor.
9. Monitorizarea accesului prin intermediul ID-urilor unice.
10. Testarea periodic ă a sistemelor și procedurilor de securitate.

Două cerințe suplimentare au fost elabor ate vizând securitatea administrativ ă și
cea fizică:
1. Implementarea unei politici care s ă gestioneze securitatea informa țiilor
care sunt accesibile angaja ților și furnizorilor.
2. Restricționarea accesului fizic la informa țiile legate de c ărțile de credit.

Asigurarea securit ății tranzac țiilor online

Sisteme de criptare
Există o mare varietate de program e utilizate pentru criptarea fi șierelor sau
comunica țiilor, însă toate se bazeaz ă pe câteva sisteme:

A. Criptografia simetric ă (cu cheie secret ă)
În criptografia simetric ă, este folosit ă aceeași cheie atât la criptare cât și la
decriptare. Aceasta înseamn ă că între persoanele care comunic ă există un acord
prin care s-a stabilit o cheie unic ă, pe care expeditorul o folose ște la criptarea
textului ini țial, iar destinatarul o folose ște la decriptarea mesajului recep ționat.
Pe Internet îns ă, se pune problema comunic ării între persoane care nu s-au
întâlnit niciodat ă, deci nu se pot pune de acord în prealabil asupra cheii. Aceast ă
metodă poate fi utilizat ă în grupuri restrânse de utilizatori.

Criptografia cu cheie public ă
Fiecare participant la criptare are o pereche de chei personale unice:
• Cheia public ă, distribuit ă oricui o dore ște;
• Cheia privat ă, pe care nu o cunoa ște decât utilizatorul respectiv.

Mesajele criptate cu cheia privat ă pot fi decriptate numai cu cheia public ă și
invers. Pentru a trimite cuiva un mesaj, trebuie g ăsită cheia public ă a persoanei
respective și criptat mesajul. Mesajul astfel cr iptat nu va putea fi decriptat decât
cu ajutorul cheii private a destinatarului.

-1 1 -Semnăturile digitale
Semnăturile digitale sunt rezultatul invers ării mecanismului de criptare cu chei
publice. Utilizatorul î și creează propria semn ătură digitală criptând un text
anume cu cheia sa privat ă. Această semnătură o atașează apoi oric ărui mesaj pe
care îl trimite, criptând pachetul cu cheia public ă a destinatarului. Destinatarul
decripteaz ă mesajul cu cheia privat ă, apoi decripteaz ă semnătura expeditorului
cu cheia public ă. Reușita decript ării garanteaz ă identitatea expeditorului.

Plicuri digitale
Deși sistemele de criptografie asimetric ă par foarte potrivite pentru Internet, ele
totuși au un mare dezavantaj: sunt prea lente pentru transmiterea unor fi șiere de
dimensiuni mari. Solu ția o reprezint ă combinarea celor dou ă sisteme.
Expeditorul genereaz ă o cheie secret ă aleatoare numit ă cheie de sesiune,
deoarece ea dispare dup ă terminarea comunic ării. Cripteaz ă mesajul folosind
cheia de sesiune și un algoritm simetric la alegere. Cripteaz ă cheia de sesiune cu
cheia public ă a receptorului, creând un "plic di gital". Trimite mesajul criptat,
împreună cu plicul digital. Când receptorul prime ște mesajul, folose ște cheia sa
privată pentru a decripta chei a de sesiune, apoi o folose ște pe aceas ta din urm ă
pentru a decripta mesajul propriuzis. Mesajul este asigurat, pentru c ă este criptat
cu algoritm simetric, cunoscut numai de emi țător și receptor, iar cheia de
sesiune este, de asemenea, asigurat ă pentru că este criptat ă în așa fel încât doar
receptorul o poate decripta (cu cheia sa privat ă).

Autoritățile de certificare
În cazul utiliz ării criptării cu cheie public ă se ridica o probelm ă: aceasta
funcționează doar dac ă știi cheia public ă a receptorului. Întrucât pe Internet
există sute de mii de servere și milioane de persoane conectate, o persoan ă nu
poate avea la îndemân ă o listă cu toate cheile tuturor persoanelor. Pe de alt ă
parte nici nu poate cere cheia sa printr-o conexiune neasigurat ă, pentru c ă nu are
nici o garan ție că persoana de la cap ătul firului este într-adev ăr cine pretinde c ă
este. Cea mai bun ă soluție găsită până acum este bazarea pe o a treia persoan ă,
numită "autoritate de certificare" (AC) și care se ocup ă cu validarea cheilor
publice. AC-urile sunt întrep rinderi comerciale cunoscute și de încredere care
garanteaz ă pentru identitatea persoanelor fizice sau juridice. Înainte de a se
trimite un mesaj cuiva, se poate cere certif icatul digital, semnat de una dintre
aceste AC, certificat din care reiese identitatea și cheia public ă a persoanei. Cea
mai cunoscut ă firmă care se ocup ă cu eliberarea de certificate digitale este
VeriSign. Exist ă două tipuri mari de certificate: personale și pentru servere.2

2 Sursa: VeriSign (www.verisign.com)

-1 2 -Certificatele personale (sau identitatea digital ă – Digital ID ) sunt legate de o
adresă de poștă electronic ă și pot fi utilizate pentru a semna mesajele e-mail sau
pentru a primi mesaje crip tate. De asemenea, pot fi u tilizate pe post de "pa șaport
electronic" pentru identificarea la intrarea pe site-uri cu acces restric ționat.
Certificatele VeriSign criptează datele utilizând SSL, st andardul de protejare a
comunica țiilor pe Internet creat de Netsc ape. Tehnologia SSL este inclus ă în
majoritatea browser -elor și serverelor, astfel încât simpla instalare a unui
certificat digital permite oricui cripta rea de date folosind acet protocol.
SET ( Secure Electronic Transactions ). Este un protocol specializat pentru
criptarea tranzac țiilor bazate pe c ărți de credit, creat de un grup de companii
condus de Visa și Mastercard. El asigur ă:
a) Autentificarea (clientulu i, comerciantului, a b ăncii care a emis cardul, a
băncii comerciantului);
b) Confidențialitatea;
c) Integritatea mesajelor (nu pot fi modificate de ter ți);
d) Legătura (permite trimiterea unei pe rsoane a unui mesaj cu o anex ă ce nu
poate fi citit ă decât de alt ă persoană – pentru a împiedica citirea
numărului de card, permi țând doar aprobarea tranzac ției).
Protocolul SET reprezint ă o suită de contacte între 4 p ărți: posesorul c ărții de
credit, comerciantul, banca emitent ă a cărții de credit, banc a comerciantului.
SET utilizeaz ă perechi de chei publice/private și certificate semnate pentru
stabilirea identit ății părților și pentru a permite comunicarea între acestea.

Achiziții frauduloase
Achizițiile frauduloase deriv ă din două riscuri la cere este expus comerciantul
online . Primul presupune c ă cineva încearc ă să cumpere un produs cu o carte de
credit care a fost anun țată furată, este nefunc țională, retrasă sau a dep ășit limita
de creditare. Combaterea ac estui fenomen este o problem ă de autorizare. În al
doilea rând, exist ă riscul ca cineva s ă încearce s ă foloseasc ă o carte de credit
valabilă, care însă nu îi apar ține, dar furtul nu a fost (înc ă) raportat. Aceasta este
o problem ă de autentificare.

-1 3 -Autorizarea
Magazinele online pot cere autorizarea tranzac țiilor cu c ărți de credit manual,
folosind un terminal de tranzac ții, sau în timp real, folosind gateway -uri
(portaluri) de plat ă. Un gateway de plăți este un serviciu care leag ă magazinul
online la un procesor de pl ăți, denumit și rețea de plăți. Acest procesor de pl ăți
este legat la re țeaua băncilor și a companiilor de c ărți de credit, asigurând astfel
procesarea în timp real a pl ăților. Dacă respectiva carte de credit a fost anulat ă,
furată (și anunțată) sau nu are acoperire suficient ă, plata va fi refuzat ă de
compania financiar ă emitentă a cărții de credit. Acest proces, de autorizare a
plății este asem ănător cu cel desf ășurat în cadrul magazinelor obi șnuite când
cumpărătorii plătesc cu cărți de credit.

Autentificarea
Așa cum s-a ar ătat mai sus, ob ținerea autoriz ării plății nu este suficient ă pentru
a asigura securitatea tranzac ției și a elimina frauda. Din moment ce
comerciantul nu poate iden tifica persoana care pl ătește, riscul unei fraude
persistă în ciuda autoriz ării plății. Mai grav este faptul c ă, în cazul unei
tranzacții frauduloase b ăncile retrag ulterior autorizarea, cerând returnarea
plății, caz în care comerciantul r ămâne cu marfa livrat ă și cu plata returnat ă.

Metode de autentificare manuale
Este recomandat ca fo rmularul de comand ă să ceară specificarea atât a
numărului de telefon de acas ă cât și a numărului de la locul de munc ă. Astfel
comerciantul are posibilitatea s ă sune pentru confirmare a comenzii, mai ales în
cazul unor m ărfuri scumpe sau cantit ăți mari.

Verificarea atât a adresei de livrare cât și a adresei de facturare.

• Comenzile plasate folosind adrese (conturi) de e-mail gratuite (gen Hotmail,
Yahoo!Mail) reprezint ă alt potențial semn de fraud ă. Folosirea acestor adrese
arată dorința cumpar ătorului de a nu fi g ăsit, sau inten ția de a îngreuna
verificarea identit ății folosite.

Verificarea dac ă adresa de e-mail folosit ă de către cumpărător este situat ă în
apropierea adresei de facturare. Dac ă de exemplu se prime ște o comand ă de la o
adresă de e-mail din Israel iar adresa de facturare se afl ă în SUA, exist ă o șansă
foarte mare ca acea comanda s ă fie frauduloas ă.

-1 4 -• Primirea de comenzi neobi șnuite, ca de exemplu co menzi pentru mai multe
obiecte high-tech de mare valoare, cantit ăți mari de produse sau combina ții
de produse care de obicei nu sunt comandate împreun ă trebuie s ă trezească
suspiciunea comerciant ului, determinându-l s ă inițieze verific ări
suplimentare. Livrare rapid ă cerută pentru o cantitate mare de bunuri sau
mărfuri de mare valoare este de asemenea semnul unei poten țiale fraude.

Se impune o aten ție sporită în cazul livr ărilor către anumite țări care sunt
recunoscute pentru rata ridicat ă a criminalit ății online . Cele mai cotate țări în
acest sens sunt Columbia, Macedonia, Belarus, Rusia și din păcate România.

Premoniții asupra fraudelor
Sunt prezentate mai jos cele mai frecvente semne ale fraudelor. Unul dintre cele
mai importante indicii este țara de origine. Co menzile primite din țări ca
Macedonia, Belarus sau România sunt foarte probabile ca fiind fraude.

Frauda are o relevan ță mai mic ă în cazul comenzilor primite din America de
Nord, Europa de Vest sau Japonia. Dar totu și reprezint ă o posibilitate. În
continuare sunt prezenta te semnele generale ale unei comenzi frauduloase:

1. Adresă de livrare suspect ă. Cele mai multe comenz i frauduloase provin din
Malaezia, Indonezia, Macedonia, Be larus, Pakistan, Rusia, Lituania și
România.
2. Adrese de e-mail imposibil de verificat . În cazul comenzilor frauduloase de
obicei se folosesc adrese de e-mail de pe servere gratuite, cum sunt Hotmail
sau Yahoo!Mail.
3. Mărfuri foarte scumpe . Cele mai multe fraude vizeaz ă obiecte scumpe, în
special de marc ă.
4. Cantități mari . Este un semn foarte relevant de fraud ă dacă cineva comand ă
trei ceasuri de mân ă și cinci casetofoane.
5. Livrări urgente . Comenzile frauduloase specific ă termene de livrare foarte
scurte, în general "peste noapte" sau cel mult "d e la o zi la alta".
6. Adresa de livrare difer ă de adresa de facturare . Dacă un comerciant vinde
mărfuri foarte valoroase, este o politic ă foarte util ă să livreze bunurile numai
la adresa de facturare.

-1 5 -7. Adrese de facturare suspicioase . Dacă adresa de facturare este 123 Strada
Principală, comanda probabi l este o fraud ă. Se pot folosi h ărți electronice
(online ) pentru a verifica dac ă adresa exist ă în realitate sau nu (de exemplu
Yahoo!Maps).
8. Site nou . Site-urile de comer ț electronic nou deschise sunt mai des atacate
poate în speran ța că vânzătorul este neexperimentat.
9. Abandoneaz ă în fața ușii! Dacă cineva plaseaz ă o comand ă foarte valoroas ă
și indică ca modalitate de livrare "abandoneaz ă în fața ușii", poate însemna
că se folose ște adresa unei pers oane neimplicate ca loc de livrare a
mărfurilor. Solu ția o reprezint ă cererea unei semn ături la livrare.

Rcomadarea general ă este să nu se livreze niciodat ă obiecte scumpe pân ă nu
sunt verificate toate detaliile come nzii. Trebuie avut în vedere c ă (mai ales
pentru livr ări internaționale) ob ținerea autoriz ării din partea companiei emitente
a cărții de credit nu este o garan ție că banii vor fi încasa ți în realitate.

Metode de autentific are computerizate

Verificarea adreselor
Pe lângă metodele manuale de verifi care a comenzilor se dovede ște foarte util ă
folosirea unor servicii de verificare a adre selor. Aceste servicii sunt oferite de
bănci și organiza ții independente de comercian ți, costul lor fiind de obicei
inclus în costul de închiriere a contului de comerciant.
Un asemenea serviciu verific ă dacă adresa de facturare și codul po ștal furnizat
de cumpărător pe formularul de comand ă online coincide sau nu cu adresa și
codul poștal al deținătorului cărții de credit din înregistr ările băncii/companiei
emitente. În cazul comenzilor online , comerciantul înregistreaz ă atât adresa de
facturare, cât și adresa de livrare. Dac ă cineva a furat cartea de credit sau
deținătorul acesteia a pierdut -o, persoana care intr ă în posesia c ărții de credit va
încerca s-o foloseasc ă pentru a achizi ționa bunuri de pe Internet.

Algoritm de verificare a comenzilor suspicioase
În cazul în care o comand ă primită este suspicioas ă sau prime ște cod de
verificare a adreselor nefavorabil, cei mai mul ți comercian ți recurg la c ărțile de
telefoane, clasice sau online , cum sunt Switchboard ( www.switchboard.com ) și

-1 6 -InfoSpace ( www.infospace.com ) pentru a verifica adresele (atât de facturare cât
și de livrare) și numerele de telefon ale cump ărătorilor. De asemenea se pot
folosi așa numitele servicii de c ăutare invers ă de pe Internet (ca de exemplu
serviciul AnyWho al companiei AT&T), care determin ă numele și numărul de
telefon pentru o adres ă dată. Site-urile de h ărți online , cum este MapQuest
(www.mapquest.com ), pot ajuta la localizarea adresei și verificarea acesteia.

Având în vedere c ă numai numerele publice de telefoane apar în c ărțile de
telefoane, iar în cazul în care proprietarul c ărții de credit s-a mutat, în cartea de
telefoane va apare în continuare ad resa veche, nu se poate presupune c ă o
comandă este frauduloas ă numai datorit ă faptului c ă nu poate fi verificat ă cu
ajutorul unei c ărți de telefoane.

Dacă informațiile primite pe comand ă coincid cu cele din cartea de telefoan,
comerciantul poate fi sigur în privin ța deținătorului num ărului de telefon. Dac ă
în urma contact ării, persoana respectiv ă respinge (neag ă) acea comanda,
comerciantul va știi imediat c ă tranzacția este frauduloas ă. Pe de alt ă parte, în
cazul în care de ținătorul num ărului de telefon confirm ă comanda, incertitudinea
comerciantului persist ă, acesta ne știind dacă persoana respectiv ă este deținătorul
cărții de credit folosit sau nu. Cu toate c ă este puțin probabil ca un ho ț să-și
completeze adresa și numărul de telefon propriu pe o comand ă frauduloas ă, și
această posibilitate trebuie luat ă în calcul. Pentru verificarea identit ății
persoanei (de ținătorului num ărului de telefon verificat mai înainte), de obicei se
cere adresa pe care o are înregistrat ă banca și astfel se declan șează din nou
procedura de verificare a adresei. Dac ă persoana în cauz ă este cu adev ărat
deținătorul cărții de credit trebuie s ă fie în măsură să precizeze o adres ă care să
coincidă cu cea înregistrat ă la bancă, asigurând astfel un cod de verificare a
adresi favorabil.

Programe de detectare a fraudelor
Majoritatea programelor de de tectare a fraudelor se bazeaz ă pe tehnologiile
rețelelor neuronale, având capacitatea de a analiza structura și componen ța
datelor furnizate în cadrul unei comenzi online și de a distinge o comand ă
legitimă de una poten țial frauduloas ă. Aplicațiile de detectare a fraudelor
analizează mai mu ți factori în vederea identific ării tranzac țiilor poten țial
frauduloase. Printre altele, acest pr ogram va verifica adresa de IP a
cumpărătorului și va determina dac ă această adresă este în apropierea adresei de

-1 7 -facturare. Dac ă, de exemplu, adresa IP este în Cairo iar adresa de facturare în
New York, tranzac ția va primi statutul de poten țială fraudă. Utilizatorii unor
asemenea aplica ții (comercian ții) vor primi un scor asociat fiec ărei comenzi
primite, care arat ă probabilitatea ca comanda s ă fie frauduloas ă. Bazându-se pe
aceste informa ții, comerciantul poate s ă decidă dacă acceptă sau nu comanda.

Autentificarea pl ătitorului
În 2000, Visa ( www.visa.com ) a anunțat implementarea unui serviciu online de
identificare a pl ătitorului denumit VPAS ( Visa Payer Authentication Service ).
Acest serviciu a fost supranumit Verified by Visa (Verificat de Visa). Verificat
de Visa este o metod ă de confirmare a faptului c ă persana care plaseaz ă o
comandă online folosind o carte de credit, este de ținătorul real al acesteia.
Avantajul major al serviciul ui Verificat de Visa rezid ă în faptul c ă este mult mai
simplu de implementat, mult mai u șor de în țeles și răspunde nevoilor
comercian ților în ce prive ște prevenirea fraudelor pe Internet.

În vederea folosirii servic iului Verificat de Visa, de ținătorii cărților de credit nu
trebuie să dețină un program informatic sau un echipament special. În vederea
obținerii Certificatului Verificat de Visa, de ținătorul cărții de credit trebuie s ă
parcurgă un simplu proces de completare a unei fi șe de pe site-ul băncii
emitente a c ărții de credit. Întregul pro ces de înregistrare dureaz ă câteva minute,
parcurgerea lui fiind facultativ ă. Participarea b ăncilor în programul Verificat de
Visa este de asemenea facultativ ă. Este evident c ă pentru ca un client s ă poată
participa este necesar ca și banca emitent ă a cărții de credit la rândul ei s ă
participe la program.

Asigurarea consumatorilor c ă magazinul online este sigur
Din statisticile care pot fi consultate pe Internet rezult ă:
• "Aproape 2/3 din utilizatorii Internetului sunt îngijora ți că numerele
cărților lor de credit sunt stocate pe site-urile magazinelor online în
vederea utiliz ării viitoare".
• "81% din comercian ții online consideră că vânzările ar cre ște vertiginos
dacă consumatorii nu ar fi atât de îngrijora ți de frauda online .”

Este important ca firmele care vând bunuri și servicii pe Internet, pe lâng ă
efortul de vânzare, s ă acționeze și în următoarele dou ă direcții:
1. Să reaminteasc ă tuturor că tranzactiile lor online sunt sigure;

-1 8 -2. Să arate exact ce demersuri au f ăcut pentru a proteja informa țiile legate de
cărțile de credit ale consumatorilor.

În primul rând, comerciantul trebuie s ă-și asigure cump ărătorii, că tranzacțiile
pe Internet în general și cele desf ășurate pe site-ul comerciantului în special sunt
sigure. Ca urmare a dezvolt ării criptografiei, la ora actual ă se estimeaz ă că un
hacker ar avea nevoie de ma i multe milione de ani ca s ă spargă cea mai sigur ă
formă de criptare, și anume SSL-ul de 128 bi ți, care este folosit ă în cadrul
majorității magazinelor online . Chiar și în cazul în care magazinul online nu
folosește SSL, șansa ca cineva s ă obțină numere de c ărți de credit în timp ce
acestea sunt transmise pe Intern et este nesemnif icativ de mic ă. Cu toate c ă zilnic
au loc sute de mii de tranzac ții cu cărți de credit pe Internet, în ultimii ani s-au
raportat numai câteva cazuri în care numerele c ărților de credit au fost furate în
tip ce erau transmise pe Internet , de la un computer la altul.
Comerciantul trebuie s ă arate consumatorilor c ă a făcut demersuri importante
pentru a asigura siguran ța tranzacțiilor cu c ărți de credit pe site-ul propriu. În
încercarea de a câ știga încrederea consumatorilor, comercian ții adesea pun la
punct politici de "cl ădire a credibilit ății online ".
În primul rând trebuie explicat modul de desf ășurare a unei tranzac ții online și
etapele pe care aceasta le presupune. Etapele unei tranzac ții trebuie prezentate
făcând referire și la măsurile de securitate care s-au luat pentru evitarea
fraudelor. În sfâr șit se impune o trecere în revist ă a tehnologiei utilizate,
insistând asupra siguran ței acesteia.

Recent, marile companii de c ărți de credit – Visa, Ma sterCard, American
Express – au implementat o politic ă de "responsabilitate zero" în favoarea
deținătorilor de c ărți de credit. Acest lucru înseamn ă că în toate cazurile,
consumatorii sunt absolvi ți de orice vin ă pentru tranzac țiile frauduloase cu
cărtile de credit de ținute.
Este o idee bun ă ca comerciantului s ă promoveze pe propriul site aceste politici
de "responsabilitate zero" implem entate de companiile de c ărți de credit,
asigurând consumatorii c ă nu au de ce s ă se teamă când fac cump ărături online .

-1 9 -Și nu în ultimul rând, securitate a în mediul Internet înseamn ă vigilență continuă.
Managerul trebuie s ă se informeze asupra noilor pr obleme care apar în domeniu
și asupra modului în care furn izorii de servicii Internet și firmele de g ăzduire a
site-urilor încearc ă să le combat ă. Cel mai important lucru este monitorizarea
continuă a riscurilor și ameninărilor care apar în mediul Internet și care ar putea
afecta tranzac țiile online . În acest sens se poate ob ține gratuit caliatea de
membru în cadrul Re țelei Interna ționale de Prevenire a Fraudei în Domeniul
Comerțului Electronic ( Worldwide E-Commerce Fr aud Prevention Network –
www.merchantfraudsquad.com ), înființata de către companii ca Amazon.com,
American Express și o varietate de alte companii de comer ț electronic,
obiectivul organiza ției fiind de a ajuta comercian ții online de toate dimensiunile
să combată frauda.

În final, trebuie recunoscut c ă securitatea online este o problem ă care nu va
dispărea niciodat ă. Serviciile de g ăzduire a site-urilor, furnizorii de servicii
Internet, companiile de c ărți de credit, institu țiile financiare, companiile
producătoare de programe informatice de securitate și proprietarii de magazine
online vor continua s ă introducă tehnologii noi, inovatoare pe pia ță care să ajute
comercian ții în demersul lor de a proteja integritatea și securitatea tranzac țiilor.
Deoarece pia ța tehnologiilor de securitate online se schimb ă foarte rapid, este
important ca întreprinzatorii s ă o monitorizeze permanent în vederea
identificării produselor și serviciilor noi care pot asigur a atât securitatea proprie,
cât mai ales securitatea consumatorilor. Cel mai simplu mod de monitorizare a
schimbărilor tehnologice este analiza concuren ților, eviden țiind solu țiile și
aplicațiile implementate de ace știa.

Interesant de prezentat în continuare est e un studiu realizat în anul 2001 de c ătre
Centrul de Monotorizare a Fraudei pe Inte rnet, studiu realizat în urma primirii
unui numar de 16.775 de plâ ngeri privind fraudele online .

• Fraudarea licita țiilor pe Internet ocup ă primul loc în topul abuzurilor
raportate, reprezentând 42,8% din total sesiz ărilor. Neprimirea m ărfurilor sau
neîncasarea pl ăților reprezint ă 20,3%, iar fraudele de tip Scrisoare din
Nigeria 15,5% (Acest tip de fraude sunt prezente șî în anul 2005!). Fraudele
cu cărți de credit/debit și încălcările confiden țialității rotunjesc lista celor 5
categorii de fraude care au avut cea mai mare rat ă de inciden ță și de
raportare în 2001. În râ ndul indivizilor care au raportat o pierdere b ănească,

-2 0-cele mai mari pierderi medii pe pl ângere s-au înregistrat în cazul
înșelătoriilor de tipul Scrisoare din Nigeri a (5.575 de dolari), furtul identit ății
(3.000 de dolari) și fraudele legate de investi ții (1.000 de dolari).

• Aproape 76% din presupu șii infractori sunt indivizi (persoane fizice), 81%
sunt bărbați, jumătate dintre ei având domicilul în urm ătoarele state:
California, Florida, New York , Texas, and Illinois. De și majoritatea lor sunt
din SUA, infractorii sunt bine reprezenta ți și în China, Nigeria și Anglia.
• Peste 70% din victimele fraudelor sunt b ărbați, jumătate cu vârsta cuprins ă
între 30 și 50 de ani (vârsta medie fiind de 38,6 ani), mai mu lt de 1/3 având
rezidența în unul dintre statele cele mai populate din S UA: California, Texas,
New York și Florida. Cu toate c ă majoritatea plângerilor provin de pe
teritoriul SUA, CMFI a primit un num ăr considerabil de sesiz ări și din
Canada, Anglia, Australia, Europa și Japonia.
• Rata pierderilor pe o plângere este influen țată de o mul țime de factori.
Afacerile tind s ă piardă mai mult decât victimele individuale, iar b ărbații tind
să piardă mai mult decât femeile. Aceste diferen țe pot fi generate atât de
obiceiurile de cump ărare online diferențiate pe sexe cât și de tipurile de
fraude care afecteaz ă în mod specific persoanele fizice. Cu toate c ă nu există
o relație concludent ă între vârst ă și pierderi raportate, ponderea indivizilor
care au raportat pierderi de 5.000 de dolari sau mai mari este maxim ă pentru
categoria celor peste 60 de ani.
• Mesajele de po ștă electronic ă și site-urile Web reprezint ă mijlocul preferat
de comitere a fraudelor. Aproape 70 % din totalul plângerilor au raportat
contact prin e-mail cu infractorul.

Tehnici de prevenire a fraudei pe Internet

Fraudarea licita țiilor online
• Înțelegerea cât mai bun ă a modului în care func ționează licitațiile pe
Internet, atât a obliga țiilor cump ărătorilor cât și a vânzătorilor.
• Cercetarea modalit ății de acțiune a companiei (proprietarul site-ului Web) și
în măsura posibilit ăților asigurarea m ărfurilor atât în timpul tranzac țiilor cât
și a transportului.
• Examinarea vânz ătorului, în special dac ă singura informa ție despre acesta
este o adres ă de poștă electronic ă. În cazul în care acesta în spatele adresei

-2 1 -este o companie, se pot consulta pagin ile Better Business Bureau, în vederea
verificării localiz ării și trecutului firmei.
• Evaluarea feedback -ului oferit de c ătre firmă. Dacă vânzătorul nu r ăspunde
la unele întreb ări sau ofer ă explicații evazive, sau ține anumite informa ții
secrete, trebuie evitat ă orice tranzac ție cu acesta.
• Verificarea modalit ății de plată cerute de vânz ător și a destina ției plăților. Se
impun măsuri suplimetare de precau ție în cazul în care adresa de destina ție
este de genul O.P. Nr.x.
• Trebuie avut grij ă în legătură cu diferen țele dintre legile diverselor state din
domeniul licita țiilor online . În cazul în care cump ărătorul și vânzătorul sunt
localizați în țări diferite, eventualele dispute și neînțelegeri pot avea rezolv ări
imprervizibile.
• Verificarea termenului de livrare stipulat de c ătre vânzător precum și a
garanțiilor produsului și a modalit ăților de returnare a acestuia.
• Pentru a evita unele costuri nea șteptate, trebuie verificat dac ă transportul și
livrarea sunt incluse în pre țul de strigare sau se vor pl ăti separat.
• Trebuie evitat ă furnizarea unor informa ții suplimentare de genul num ărul de
asigurare social ă, numărul permisului de conducere, aceste nefiind necesare
în cursul proces ării tranzac ției, chiar dac ă sunt cerute de vânz ător.

Nelivrarea m ărfurilor/neîncasarea contravalorii
• Cea mai bun ă practică preventiv ă este de a nu cump ăra din surse (magazine
online ) nesigure, necunoscute. Ca și în cazul licita țiilor, se impune
verificarea reputa ției și seriozității vânzătorului.
• Trebuie cerute adrese fizice ale comerc iantului, în locul de adresa de po ștă
electronic ă, OP sau un num ăr de telefon. În cazul ob ținerii unui num ăr de
telefon, se impune verificarea acestuia sunând efectiv la vânz ător.
• Se pot trimite mesaje de po ștă electronic ă vânzătorului pentru a verifica dac ă
aceasta este activ ă sau nu. În cazu l în care vânz ătorul folose ște conturi de
poștă electronic ă gratuite (de exemplu hotmail.co m sau usa.net) trebuie luate
măsuri suplimentare de precau ție.
• Verificarea prin mijlo cirea Better Business Bureau a comerciantului prin
prisma trecutului lui și a practicilor comerciale folosite.
• Investigarea altor site-uri Web pentru a afla mai multe informa ții despre
persoana/comerciantul/magazinul în cauz ă.

-2 2 -• Persoanele/comercian ții nu pot fi judecate pe baza designului site-ului lor
Web, calitatea superioar ă a realizării grafice în unele cazuri acoper ă nereguli
grave sau chiar fraude.
• Se impune aten ție suplimentar ă în cazul ofertelor special e, în special în cazul
ofertelor prin e-mail nesolicitat.
• Tranzacțiile cu comercian ți din țări străine necesit ă analiză suplimentar ă, mai
ales sub aspectul legilo r comerciale care guverneaz ă țara respectiv ă.
• Verificarea clauzelor de garan ție și de returnare a m ărfurilor.
• Cea mai sigur ă metodă de a cump ăra bunuri prin Internet este cea clasic ă, cu
plata cu c ărți de credit, deoarece în cazul unei evolu ții nefavorabile a
tranzacției, cump ărătorul poate renun ța, retrăgând plata (chiar și după
efectuarea acesteia, primindu- și înapoi banii în ba za politicii de obliga ție
zero practicat ă de către băncile emitente ale c ărților de credit).
• Trebuie cercetat ă/evaluată securitatea site-ului în special în cazul în care
cumpărătorul este solicitat s ă trimită numărul cărții de credit prin e-mail.

Tranzacții frauduloase cu c ărți de credit
• Transmiterea online a numărului cărții de credit este recomandat ă numai în
cazul în care securitatea și reputația site-ului comerciantului poate fi
verificabil ă. În cazul unor site-uri apar diverse simboluri iconice sau c ăsuțe
cu text menite s ă-i asigure pe cump ărători că magazinul respectiv este sigur.
Cu toate c ă aceste declara ții nu reprezint ă o garanție a securit ății, prezen ța
lor genereaz ă încredere.
• Înainte de a folosi un site comercial, trebuie verificat pachetul software de
securitate/criptare folosit, care este menit s ă asigure siguran ța tranzacțiilor.
• Comercian ții trebuie selecta ți cu atenție, făcând cump ărături numei din surse
sigure, cu o reputa ție impecabil ă.
• Obținerea unei adrese fizice în locul celor de tip e-mail, O.P. sau numere de
telefon. Adresele prezentate pe site-ul Internet al firmei pot fi confruntate cu
informațiile privitoare la localizarea site-ului, deduse din numele de domenii.
• Vânzătorii care nu furnizeaz ă aceste informa ții sau răspund evaziv la unele
solicitări de informare ale clien ților, trebuie evita ți.
• Se impune verificarea unor eventuale plângeri primite de institu țiile abilitate
cu privire la comerciantul în cauz ă. Cercetarea altor site-uri cu privire la
reputația și identitatea comerciantul ui poate preveni frauda.

-2 3 -• Este recomandat ă evitarea ofertelor speciale, în special a celor venite sub
forma mesajelor de po ștă electronic ă nesolicitate.
• Tranzacțiile dintre comercian ți și consumatori din țări diferite impun aten ție
specială.
• În cazul cump ărăturilor prin Internet se recomand ă folosirea c ărții de credit,
deoarece de ținătorul poate renun ța ulterior la plata efectuat ă.
• Trebuie verificat ă securitatea transmiterii num ărului cărții de credit pe cale
electronic ă.
• Deținătorii cărților de credit sunt sf ătuiți să verifice din când în când soldul
și să păstreze informa țiile de contact ale b ăncii emitente. În cazul în care î și
pierd cărțile de credit, emitenul trebuie anun țat cu operativitate.

Fraude investi ționale

• Trebuie evitate luarea unor deciz ii de investire pe baza aparen țelor. Aspectul
grafic al site-ului nu reprezint ă o garanție a legitimit ății tranzacțiilor derulate.
Crearea unui site necesită câteva doar zile, costuri aproape nule și nici o
autorizație. După o perioad ă scurtă de func ționare, timp în care atrage
fonduri, acesta poate s ă dispară fără urme.
• În cadrul deciziilor de investire, trebuie analizat ă atât legitimitatea cât și
securitatea instrumentul ui de investire propus.
• Se impune cercetarea trecutului compan iei/individului în vederea verific ării
credibilității și legitimit ății acesteia. Trebuie investigate și alte site-uri cu
privire la comapina în cauz ă.
• Trebuie respinse ofertele speciale de in vestire sau de econom isire, în special
cele primite sub forma mesajelor de po ștă electronic ă nesolicitate. Se impune
cunoașterea cât mai aprofundat ă a companiei ofertante.
• Este recomandat ă verificarea tutu ror termenelor și clauzelor contractului, atât
în ce prive ște drepturile consumatorului cât și obligațiile care îi revin.
• Regula general ă: dacă sună prea frumos s ă fie adevărat, probabil nici nu este!

Înșelătoria "Scrisoare din Nigeria"
• Se impune scepticism și atenție special ă în legătură cu indivizi care se
prezintă ca oficiali ai Guvernului Nigerian sau ai oric ărui alt guvern, cerând
ajutor în plasarea unor sume uria șe de bani în conturi str ăine.

-2 4 -• Ne trebuie acordat ă încredere ofertelor generoase de bani în schimbul
cooperării în plasarea sau sp ălarea banilor.
• Trebuie evitat ă divulgarea unor informa ții confiden țiale cum ar fi num ărul
cărții de credit, num ărul conturilor de econom ii sau a altor situa ții financiare.
• Cea mai bun ă soluție în cazul primirii unor asemenea oferte este sesizarea
imediată a autorităților.

Frauda organiza țională
• Se recomand ă cumpărarea de bunuri și servicii numai din surse autentice, cu
reputație bună și cu un nivel de se curizare acceptabil.
• Trebuie cerut ă adresă fizică a comerciantului, în locul acelora de po ștă
electronic ă, OP sau un num ăr de telefon. În cazul ob ținerii unui num ăr de
telefon, se impune ve rificarea acestuia sunând efectiv la vânz ător.
• Se pot trimite mesaje de po ștă electronic ă pentru a verifica starea activ ă a
contului comerciantului; conturile din site-uri gratuite trebuie s ă trezească
suspicii în rândul consumatorilor.
• Vânzătorii care resping cererile de informare ale clien ților trebuie eviata ți.

-2 5 -• Este recomandat ă achiziționarea m ărfurilor direct de la compaina care de ține
marca, licen ța sau patentul. Trebuie evitate m ărfurile contraf ăcute sau care
arată numai similar cu cea original ă.

Bugete de securitate
În urma celor prezentate în acest capitol rezult ă necesitatea impulsion ării
managerilor (care vor s ă-și deschidă un magazin virtual sau care îl au deja) în
sensul de a acorda o mai mare importan ță problemelor de securitate. Este
adevărat că orice afacere se dore ște a fi cât mai profitabil ă și cu costuri cât mai
mici, deci implicit se impune reducer ea bugetelor alocate diferitelor ac țiuni ce
influențează în final profitul. Dar în acest caz (cel al afa cerii pe Internet), când
se pune problema cheltuielilor justificate cu securitatea site-urilor, ideea de baz ă
este ca vizitatorul s ă revină și a se transforme în cump ărător, nu să fie alungat
de teama furtului num ărului carților de credit. Orice investi ție în asigurarea
securității magazinelor virtuale este la fel de justificat ă ca și cea a angaj ării unui
paznic într-un magazin real . Deci, pentru ca afacerea s ă fie și profitabil ă (nu
numai să existe în mediul Internet), nu ezita ți asupra m ăririi bugetului care v ă
poate aduce garan ția că vizitatorii dumneavoastr ă sunt perfect încrez ători în
capacitatea firmei de a-i proteja.
"Consumatorii insist ă pe securitate ca pe o problem ă de viață și moarte, și astfel
aceasta devine o component ă esențială a vânzării", spune un consultant pe
probleme de securitate al unei institu ții financiare din No rd-Estul Americii.

Totuși, virușii, viermii și caii troiani reprezint ă în continuare cel mai frecvent tip
de atac, cu 90% din organiza ții afectate de aceste incidente. Impactul infect ării
sistemului cu viru și este măsurat pornind de la pier derile de date, resurse și de
productivitate datorate întreruperii par țiale sau totale a activit ății. Dar, pe lâng ă
acestea, o rat ă ridicată a infecțiilor cu viru și implică riscuri uria șe în ceea ce
privește reputația firmei.

Analiza statistic ă a demonstrat înc ă o dată că incidentele de securitate interne
sunt mult mai frecvente decât atacurile ex terne. Astfel, semnificativ mai multe
corporații au raportat înc ălcări interne ale protocoalelo r de acces sau furturi de
echipamente de c ătre angaja ți decât refuzuri ale func ționării sau spargeri de
parole de c ătre străini.

-2 6 -Este foarte clar, c ă mediul Internet, leag ănul comer țului electronic, prezint ă
unele vulnerabilit ăți și riscuri, în mare parte izvorâte din caracterul s ău de
sistem deschis, care, r ăsfrângându-se asupra comer țului electronic, pot duce la
trunchierea acestuia din urm ă.

Este lesne de remarcat c ă relația dintre secu ritatea tranzac țiilor și economia
afacerii online este simetric ă, reciproc ă. Securizarea tranzac țiilor presupune
finanțare extensiv ă pe de o parte, iar pe de alta are ca rezultat cre șterea cifrei de
afaceri care duce la cre șterea profitabilit ății și la dezvoltarea afacerii. Mult
simplificând realitatea, secur itatea înghite bani ca s ă aducă bani. Întrebarea
firească este: cu ce rat ă se întorc banii imvesti ți? În momentul de fa ță se
estimează că investiția în securitate este cea mai eficient ă alternativ ă de
investire, fiecare dolar cheltuit cu securizarea comer țului electonic aducând
firmelor între cinci și zece dolari în urma cre șterii vânz ărilor.

Oricât de sigure ar fi tranzac țiile online , fără o conștientizare adecvat ă a
acestora în rândul consumatorilor, investi țiile în securitate se dovedesc
zadarnice. Implementarea securit ății trebuie s ă fie urmat ă de comunicarea și
promovarea acesteia, avizând consumatorii c ă nu se expun la nici un risc f ăcând
cumpărături online prin intermediul site-ului în cauz ă.