Z kartą w sieci

Przed posiadaczem karty kredytowej, mającym dostęp do Internetu, stoją otworem setki, jeśli nie tysiące sklepów Internetowych rozsianych po Sieci. Nie wstając od swojego komputera, można kupować praktycznie na całym świecie, praktycznie każdy towar - poczynając od artykułów spożywczych i kwiatów, poprzez najczęściej sprzedawane w Sieci książki czy płyty, aż po samochody. Niektóre sklepy Internetowe - jak np. księgarnia Amazon.com (http://www.amazon.com/) - to prawdziwe giganty, z którymi pod względem bogactwa asortymentu nie może równać się żaden "fizyczny" sklep.

Zakupy przez Internet stanowią w istocie rozwinięcie dobrze znanej idei sprzedaży wysyłkowej, którą można realizować także przyjmując zamówienia listownie lub przez telefon. Istotną różnicą jest jednak zasięg. Firmy wysyłkowe używające "klasycznych" technik rzadko wychodzą swoim zasięgiem poza granice kraju. Dzieje się tak z wielu przyczyn, których omawianie wykracza poza zakres tego artykułu, niewątpliwie jednak jedną z nich są przyjęte w różnych krajach różne metody płatności za takie transakcje. Metody te są na ogół specyficzne dla danego kraju (jak np. w Polsce zapłata "za zaliczeniem pocztowym") i nie nadają się do zastosowania w transakcjach zagranicznych. Stanowi to nie lada problem dla sklepu Internetowego, na którego witrynę zajrzeć może klient dosłownie z dowolnego miejsca świata, i powinien mieć możliwość wygodnego zakupu oferowanych towarów.

Tutaj rozwiązaniem są właśnie karty kredytowe. Podobnie bowiem jak Internet, najważniejsze systemy kart kredytowych, takie jak VISA czy MasterCard, mają zasięg globalny. Posiadacz takiej karty wydanej przez dowolny bank na świecie może zapłacić nią w dowolnej (oczywiście należącej do systemu) firmie, w dowolnym kraju i w dowolnej walucie. Nie trzeba kłopotać się problemami związanymi z wymianą walut i trudnością przesłania pieniędzy za granicę, gdy płaci się kartą.

Ale właśnie: jak zapłacić kartą przez Internet? Gdy płacimy kartą w sklepie, sprzedawca musi ją wszak włożyć do czytnika w elektronicznym terminalu (lub - w mniej zaawansowanym technologicznie rozwiązaniu - "odbić" na papierze przy pomocy tzw. imprintera). W typowym komputerze nie ma jednak czytnika umożliwiającego wczytywanie kart kredytowych. Czy aby płacić kartą przez Internet, musimy komputer w taki czytnik wyposażyć?

Na szczęście nie, choć być może gdyby tak było, byłoby to całkiem niegłupie rozwiązanie... Zapewne nie każdy posiadacz karty kredytowej zdaje sobie sprawę, że tym elementem, który jest istotny w transakcji dokonywanej kartą, jest jej numer (w połączeniu z innymi danymi widniejącymi na karcie, takimi jak nazwisko posiadacza i data ważności). Sama karta w istocie służy tylko jako potwierdzenie autentyczności tych danych. (Sytuacja wygląda trochę inaczej w przypadku mniej popularnych kart tzw. "elektronicznych", takich jak VISA Electron czy Maestro, dla których wymagane jest zawsze fizyczne wczytanie karty przez terminal - dlatego też nie można ich używać do płacenia w Internecie).

Procedura zapłaty kartą przez Internet (podobnie zresztą jak przy płaceniu drogą korespondencyjną czy przez telefon, do czego karty kredytowe również są stosowane) jest zatem zaskakująco prosta, wydaje się nawet, że aż za prosta: podajemy po prostu sprzedawcy (najczęściej za pomocą odpowiedniego formularza na stronie WWW) numer naszej karty (tudzież resztę potrzebnych danych) i przesyłając ten formularz zawieramy tym samym transakcję.

Zwróćmy uwagę, że w przedstawionej powyżej sytuacji, w przeciwieństwie do zakupu w "fizycznym" sklepie, sprzedawca nie ma możliwości sprawdzenia, czy kupujący w istocie jest posiadaczem tej karty! Otwiera się więc pole dla oszustw i nadużyć. Wystarczy np. stojąc w zwykłym sklepie w kolejce za osobą płacącą kartą, podejrzeć jej numer, aby potem móc dokonać - bez wiedzy właściciela karty - zakupu w Internecie na jego rachunek (może to też zrobić nieuczciwy pracownik sklepu). Oszust może też zbierać numery kart wykorzystując sam Internet: czy to poprzez tzw. sniffing, czyli podsłuch danych przesyłanych przez sieć (wymaga to fizycznego dostępu do tych fragmentów sieci, którymi przesyłane są interesujące go numery), czy też "na bezczelnego" - umieszczając w sieci swój własny, fałszywy sklep Internetowy, w istocie zbierający jedynie numery kart wprowadzane w dobrej wierze przez użytkowników! Podobnie bowiem, jak sprzedawca nie może "sprawdzić" klienta, tak samo i klient nie może być pewien, że serwer, który pyta go o numer jego karty kredytowej, jest prawdziwą witryną uczciwego sprzedawcy.

Istnieje oczywiście możliwość reklamacji w banku transakcji, której nie dokonywaliśmy. Choć takie reklamacje zazwyczaj są uwzględniane, trwa to dosyć długo i wymaga z naszej strony dodatkowych zabiegów. Realnej obrony przed wspomnianymi niebezpieczeństwami szukać możemy natomiast w nowoczesnych technikach kryptograficznych. Szyfrowanie danych przesyłanych między użytkownikiem i serwerem zabezpiecza przed podsłuchem; zastosowanie natomiast tzw. certyfikatów cyfrowych umożliwia weryfikację tożsamości tak sklepu, jak i klienta, eliminując możliwość podszycia się pod którąkolwiek ze stron.

Pierwszą firmą, która zrealizowała to w praktyce, była firma Netscape Communications. Już w pierwszej wersji jej przeglądarki WWW zastosowany został protokół bezpieczeństwa o nazwie SSL (Secure Sockets Layer), obejmujący szyfrowanie danych i certyfikaty. Obecnie protokół SSL obsługują wszystkie ważniejsze przeglądarki i serwery WWW (w tym przeglądarka Microsoft Internet Explorer oraz najpopularniejszy na świecie serwer WWW - Apache). Strony WWW zabezpieczane przez SSL możemy poznać po tym, że ich adresy rozpoczynają się od przedrostka "https://", a nie "http://", jak w przypadku zwykłych stron. Gdy łączymy się z taką stroną używając przeglądarki Netscape, nad oglądaną stroną pojawia się niebieski pasek, a u dołu okienka rysunek klucza - znak, że nasza komunikacja z serwerem jest szyfrowana.

W tej chwili każdy poważniejszy sklep Internetowy używa SSL, ale w praktyce nie rozwiązuje to wszystkich problemów. Istniejące realizacje SSL wykorzystują jedynie możliwość sprawdzania tożsamości (certyfikatu) sklepu przez klienta. Sprawdzanie w odwrotną stronę - tożsamości klienta przez sklep - nie jest realizowane z uwagi na trudności organizacyjne: instytucje zajmujące się wystawianiem certyfikatów nie byłyby w stanie poradzić sobie z lawiną zgłoszeń, gdyby każdy klient sklepu Internetowego musiał posiadać certyfikat. Nadal więc można posługiwać się numerem cudzej karty.

Całkowite bezpieczeństwo transakcji w Internecie ma zapewnić zapowiadany już od 1996 r. standard SET (Secure Electronic Transactions). W systemie SET używanie certyfikatów (będą to inne certyfikaty niż w SSL, używane tylko do transakcji finansowych) ma być obowiązkowe dla obu stron transakcji - zarówno sklepu, jak i klienta. Drugim nowym elementem systemu SET ma być fakt, że numer karty klienta nie będzie mógł być rozszyfrowany przez sklep (eliminując w ten sposób niebezpieczeństwo ze strony nieuczciwego sprzedawcy) - zamiast dokonywać autoryzacji karty kredytowej samodzielnie, jak to odbywa się do tej pory, sklep będzie jedynie przekazywał zaszyfrowany numer dalej, do specjalnego serwera autoryzacyjnego obsługiwanego przez centrum kartowe. Dopiero tam numer zostanie odszyfrowany i nastąpi autoryzacja.

Choć o systemie SET wiele się mówi, nadal pozostaje on w fazie prób. Podstawowym problemem jest niewątpliwie wystawianie certyfikatów. W założeniach SET certyfikaty mają być wystawiane na skalę masową, najlepiej automatycznie. Nie wiadomo jednak jak pogodzić wymóg sprawnego i szybkiego wystawiania certyfikatów z koniecznością wiarygodnego zweryfikowania tożsamości użytkownika: łatwo bowiem sobie wyobrazić szkodliwość sytuacji, gdy certyfikat zostanie wystawiony niewłaściwej osobie. Stąd też zapewne do powszechnego zastosowania systemu SET jeszcze dość daleko.

Działa natomiast już inny system o założeniach podobnych do SET (ma on zresztą być zintegrowany z SET, gdy tylko ten ostatni wejdzie do praktycznego użytku) - CyberCash (http://www.cybercash.com/). Jest on w stanie jednak wiarygodnie certyfikować na razie tylko użytkowników amerykańskich, a poza tym jego popularność jest na razie niewielka w stosunku do sklepów używających "zwykłego" SSL.

Jak z tego widać, transakcje kartami kredytowymi w Internecie nie są w chwili obecnej całkowicie bezpieczne. Zwróćmy jednak uwagę, że to niebezpieczeństwo polega na tym, że ktoś obcy może użyć w Internecie numeru naszej karty - a poznać go może różnymi drogami! W takiej sytuacji rady różnych "fachowców", aby nigdy nie płacić kartą w Internecie, są raczej bezsensowne. Możemy paść ofiarą oszustwa, nawet jeżeli nigdy nic nie kupowaliśmy przez Sieć. Aby zagwarantować sobie całkowite bezpieczeństwo numeru naszej karty kredytowej, trzeba byłoby jej nie używać nigdzie - ale wtedy po co w ogóle ją mieć?

Tak więc ostrożnie, ale bez paniki. Podając numer swojej karty poprzez SSL w renomowanym sieciowym sklepie nie jesteśmy narażeni na większe niebezpieczeństwo, niż podając kartę kasjerce w supermarkecie. Miłych zakupów!

Powrót do wykazu artykułów o Internecie

Statystyka