Zapisywanie danych kart w przeglądarce internetowej nie jest w pełni bezpieczne
Przekonanie o pełnym bezpieczeństwie danych zapisanych w przeglądarce wynika często z faktu, że twórcy tego typu oprogramowania kładą duży nacisk na szyfrowanie i bardzo często o tym przypominają. Rzeczywiście, dane kart płatniczych przechowywane na dysku twardym komputera są chronione kluczami powiązanymi z profilem użytkownika w systemie operacyjnym. Problem pojawia się jednak w momencie, gdy przeglądarka zostaje uruchomiona i odblokowana. W tym stanie staje się ona de facto pośrednikiem, który chętnie udostępnia wrażliwe informacje każdemu formularzowi, który „rozpozna” jako pole płatności. Kluczową słabością jest tutaj brak rozróżnienia między zaufanym sklepem internetowym a spreparowaną stroną phishingową, która pod warstwą wizualną ukrywa niewidoczne dla człowieka pola tekstowe.
Warto przeczytać: Jak poprawić bezpieczeństwo domowej sieci Wi-Fi? Podpowiadamy
Jednym z najbardziej przebiegłych zagrożeń jest atak typu hidden form fields. Polega on na tym, że użytkownik odwiedza witrynę, która pozornie prosi jedynie o błahe informacje, na przykład adres e-mail do newslettera lub imię do personalizacji oferty. Pod tymi widocznymi polami cyberprzestępcy umieszczają ukryte pola na numer karty, datę ważności i kod CVV. Gdy przeglądarka rozpozna okazję do autouzupełniania, może wypełnić wszystkie te pola jednocześnie, w tym te niewidoczne. Jeśli użytkownik zatwierdzi formularz, nieświadomie wyśle kompletne dane swojej karty prosto na serwer przestępców. Automatyzm działania przeglądarki wygrywa tu z czujnością człowieka, ponieważ proces ten dzieje się w ułamku sekundy, bez wyświetlania dodatkowych ostrzeżeń o zakresie przesyłanych danych.
Kolejny aspekt dotyczy specyfiki złośliwego oprogramowania typu infostealer, które w ostatnich latach stało się plagą w polskiej przestrzeni cyfrowej. Wirusy te są projektowane specjalnie pod kątem baz danych popularnych przeglądarek. Choć dane są szyfrowane, klucz deszyfrujący znajduje się zazwyczaj na tym samym urządzeniu. Jeśli złośliwy kod zostanie uruchomiony w kontekście naszego profilu użytkownika, może on uzyskać dostęp do mechanizmów deszyfrujących systemu operacyjnego i wyeksportować wszystkie zapisane karty w formie czystego tekstu. W takiej sytuacji fakt, że dane były „bezpieczne” na dysku, przestaje mieć znaczenie, ponieważ zostały wykradzione w momencie ich użycia lub poprzez przejęcie sesji przeglądarki.
Nie można pominąć również ryzyka związanego z ekosystemem rozszerzeń. Wiele osób instaluje wtyczki do blokowania reklam, porównywania cen czy zarządzania kartami lojalnościowymi. Każde takie rozszerzenie operuje wewnątrz przeglądarki i często posiada uprawnienia do odczytywania i zmieniania zawartości odwiedzanych stron. Jeśli twórca popularnego rozszerzenia sprzeda swój projekt nieuczciwemu podmiotowi lub jeśli wtyczka padnie ofiarą włamania, może ona zostać zaktualizowana o skrypt śledzący pola formularzy. Wówczas dane wprowadzane automatycznie przez przeglądarkę są natychmiast kopiowane i przesyłane na zewnętrzny serwer, co dzieje się poza kontrolą systemów antywirusowych, które traktują działanie wtyczki jako proces autoryzowany przez użytkownika.
Jak zwiększyć bezpieczeństwo płatności w sieci?
Zwiększenie poziomu ochrony podczas zakupów w sieci wymaga zmiany nawyków i przejścia z „automatu” na osobisty nadzór nad danymi. Kluczową czynnością jest rezygnacja z zapisywania kodu CVC/CVV w pamięci przeglądarki. Nawet jeśli zdecydujemy się na pozostawienie numeru karty dla własnej wygody, brak trzech cyfr z jej rewersu stanowi skuteczną zaporę przed automatycznymi skryptami. Warto również zweryfikować ustawienia prywatności w samej aplikacji i włączyć wymóg uwierzytelnienia przed każdorazowym wypełnieniem formularza. Oznacza to, że zanim przeglądarka wpisze nasze dane, będzie trzeba przyłożyć palec do czytnika biometrycznego lub podać kod PIN do komputera, co drastycznie ograniczy ryzyko w przypadku kradzieży urządzenia lub dostępu osób trzecich.
Znacznie wyższy stopień izolacji oferują dedykowane menedżery haseł, które działają niezależnie od przeglądarki internetowej. W przeciwieństwie do systemów wbudowanych w popularne programy do przeglądania sieci, profesjonalne narzędzia przechowują dane w zaszyfrowanym kontenerze, do którego klucz posiadamy tylko my. Takie rozwiązanie sprawia, że nawet jeśli nasza przeglądarka zostanie zainfekowana złośliwym rozszerzeniem, dane karty pozostaną niedostępne, dopóki celowo nie odblokujemy sejfu i nie skopiujemy potrzebnych informacji. Dodatkowym atutem menedżerów jest funkcja generowania unikalnych haseł, co chroni konto w sklepie przed przejęciem w wyniku wycieku danych z innej witryny.
Współczesna bankowość mobilna dostarcza narzędzi, które niemal całkowicie eliminują potrzebę podawania danych fizycznej karty płatniczej. Stosowanie kart wirtualnych lub jednorazowych to jedna z najskuteczniejszych metod walki z oszustwami. Wiele polskich aplikacji bankowych pozwala na wygenerowanie cyfrowego odpowiednika karty, który można doładować konkretną kwotą tuż przed zakupem lub który ulega zniszczeniu zaraz po sfinalizowaniu transakcji. Dzięki temu, nawet jeśli dane takiej karty wyciekną do sieci, stają się one bezużyteczne dla złodzieja, ponieważ nie są powiązane z głównym saldem konta.
Ostatnią linią obrony jest mechanizm 3D Secure, czyli dodatkowe potwierdzenie transakcji w aplikacji mobilnej banku. Nigdy nie należy ignorować powiadomień push na telefonie ani traktować ich jako formalność. Dokładne sprawdzenie kwoty oraz nazwy odbiorcy przed zatwierdzeniem płatności pozwala na wykrycie próby oszustwa w ostatnim momencie.
Jest jeszcze inna możliwość. Wykorzystanie cyfrowych portfeli, takich jak Apple Pay czy Google Pay, łączy wygodę autouzupełniania z bezpieczeństwem tokenizacji. Sprawia to, że faktyczny numer karty nigdy nie opuszcza bezpiecznego środowiska naszego urządzenia i nie jest zapisywany w bazach danych sklepów internetowych, co chroni cię przed skutkami ewentualnych włamań do systemów transakcyjnych sprzedawców.
Szczególnie groźne jest zapamiętywanie numeru CVC w ustawieniach przeglądarki internetowej. Fot. HotGear.
Jak skonfigurować przeglądarkę internetową?
Google Chrome (Windows, macOS, Android)
W najpopularniejszej przeglądarce na świecie zarządzanie finansami odbywa się w sekcji profilu użytkownika. Aby wyłączyć autouzupełnianie, należy kliknąć ikonę trzech kropek w prawym górnym rogu i wybrać Ustawienia. Następnie w menu po lewej stronie wybieramy zakładkę Autouzupełnianie i hasła, a potem klikamy w Metody płatności. Główny przełącznik o nazwie Zapisuj i wypełniaj formy płatności powinien zostać przesunięty w pozycję wyłączoną. To działanie sprawi, że Chrome przestanie pytać o zapamiętanie danych przy każdej nowej transakcji.
Jeśli na liście poniżej przełącznika znajdują się już zapisane karty, warto poświęcić chwilę na ich usunięcie. Przy każdej pozycji widnieje ikona trzech kropek, która pozwala na wybranie opcji Usuń. W przypadku użytkowników zalogowanych na konto Google, dane te mogą być synchronizowane z usługą Google Pay – warto wtedy sprawdzić również panel zarządzania kontem Google w sekcji płatności, aby upewnić się, że informacje nie są przechowywane w chmurze.
Microsoft Edge
Przeglądarka systemowa Windows posiada strukturę ustawień zbliżoną do Chrome, jednak z kilkoma dodatkowymi funkcjami promującymi zakupy. Po wejściu w Ustawienia (ikona trzech kropek) należy przejść do sekcji Profile, a następnie wybrać pozycję Płatności. Tutaj kluczowe jest odznaczenie opcji Zapisuj i wypełniaj informacje o kartach. Edge często domyślnie sugeruje również funkcje takie jak „Express Checkout”, które warto dezaktywować, aby ograniczyć automatyczne przekazywanie danych sklepom.
W tej samej sekcji można zarządzać zapisanymi już instrumentami płatniczymi. Microsoft pozwala na edycję lub całkowite usunięcie rekordów. Jeśli korzystamy z synchronizacji między urządzeniami, zmiana wprowadzona na komputerze powinna zostać automatycznie uwzględniona na telefonie z zainstalowaną przeglądarką Edge, o ile jesteśmy zalogowani na to samo konto Microsoft.
Mozilla Firefox
Firefox od lat pozycjonuje się jako przeglądarka dbająca o prywatność, dlatego jej ustawienia są bardzo przejrzyste. Aby odciąć funkcję płatności, należy otworzyć menu (trzy poziome kreski), wejść w Ustawienia i wybrać zakładkę Prywatność i bezpieczeństwo. Przewijając stronę w dół, dotrzesz do sekcji Formularze i autouzupełnianie. Należy tam odznaczyć pole Autouzupełnianie form płatności.
Mozilla oferuje również przycisk Zapisane karty płatnicze, który otwiera osobne okno z listą zapamiętanych danych. Można tam ręcznie wyczyścić całą historię finansową przechowywaną przez program. Co ważne, Firefox pozwala na zabezpieczenie dostępu do tych danych hasłem głównym – jeśli jednak zdecydujemy się na całkowitą rezygnację z autouzupełniania, najlepiej po prostu pozostawić tę listę pustą.
Safari (macOS oraz iOS)
Użytkownicy urządzeń Apple zarządzają płatnościami w nieco inny sposób, ponieważ przeglądarka Safari jest ściśle zintegrowana z systemowym pękiem kluczy. Na komputerze Mac należy wejść w menu Safari, wybrać Ustawienia, a następnie zakładkę Wypełnianie. Tam odznaczamy opcję Karty płatnicze. Jeśli chcemy usunąć stare dane, klikamy przycisk Edytuj, co przeniesie nas do systemowego menedżera haseł, gdzie można bezpiecznie wykasować numery kart.
W systemie iOS (iPhone) ścieżka prowadzi przez systemową aplikację Ustawienia, gdzie należy odnaleźć pozycję Safari, a następnie wejść w Wypełnianie. Wyłączenie przełącznika Karty płatnicze zablokuje podpowiadanie danych podczas zakupów mobilnych. Warto pamiętać, że Apple intensywnie promuje usługę Apple Pay jako bezpieczniejszą alternatywę, która nie wymaga fizycznego przechowywania numeru karty w formularzach przeglądarki.
Podsumowanie
Rezygnacja z automatycznego uzupełniania danych kart w przeglądarce to nie tylko kwestia ostrożności, ale świadomego zarządzania własnym bezpieczeństwem. Choć technologia ta oferuje dużą wygodę, jej luki konstrukcyjne oraz podatność na ataki czynią ją rozwiązaniem obarczonym ryzykiem. Przejście na bezpieczniejsze alternatywy, takie jak portfele cyfrowe Apple Pay i Google Pay czy dedykowane menedżery haseł, pozwala na skuteczną izolację wrażliwych danych od środowiska przeglądarki, które z natury jest wystawione na liczne zagrożenia internetowe. Warto poświęcić zaledwie minut na zmianę ustawień i wyczyszczenie pamięci programu, gdyż to prosty krok, który realnie ogranicza szanse na utratę środków w wyniku wycieku danych lub działania złośliwego oprogramowania. Wybór między szybkością płatności a ich bezpieczeństwem powinien zawsze rozstrzygać się na korzyść ochrony naszych pieniędzy.
Tomasz Sławiński
