Poznaj niepokojącą historię właściciela jednego z polskich sklepów internetowych i dowiedz się, jak liczba domen może wpłynąć na bezpieczeństwo twojej firmy w sieci.
Miłe złego początki
Piotr od dawna chciał uruchomić sklep internetowy z elektroniką. Wreszcie zebrał kapitał, kupił hosting i domenę, zainstalował oprogramowanie do sklepu i zainwestował w pozycjonowanie. Pierwszym krokiem była domena. Poszło gładko. Na stronie niemal każdego operatora hostingu znalazł mechanizm do wyszukania i zarejestrowania wolnej nazwy domenowej. Wiedział, że wybierając ten aspekt powinno kierować się następującymi zasadami:
1. Możliwie krótkim brzmieniem.
2. Prostą pisownią wg zasady – piszemy tak, jak słyszymy.
3. Nazwą odpowiadającą marce.
4. Nazwą odpowiadającą kategorii produktowej lub produktowi.
5. Nazwą odpowiadającą potrzebie klienta, którą zaspakaja produkt lub usługa.
Po zarejestrowaniu domeny Piotr odetchnął z ulgą. Co roku opłacał abonament, aby nie doprowadzić do jej wygaśnięcia. Interes się rozkręcał, zamówień przybywało. W ciągu trzech lat jego sklep stał się bardzo znany. Pierwszy telefon od klienta, który chciał złożyć reklamację z powodu niezrealizowania opłaconego zamówienia Piotr odebrał w poniedziałek. Po kilku miesiącach, utracie zaufania i śledztwie prokuratorskim żałował, że w ogóle zabrał się za biznes w sieci.
Dlaczego jedna domena to za mało?
Jak to możliwe, że uczciwy sklep stracił tak wiele czasu, nerwów, zaufania klientów i zamówień? Zanim to wyjaśnimy, spójrzmy na marketingowe aspekty posiadania więcej niż jednej domeny. Oczywiście, im więcej nazw domenowych wykupimy tym lepiej, choć nie ma co popadać w przesadę. Bardzo dobrze, jeśli mając domenę główną „krewdlapsa.pl” (przykładowy adres, dobry dla weterynaryjnego banku krwi), udałoby się zarejestrować dodatkowe opcje, jak np. domenę „krewdlapsa.com.pl” i może kilka regionalnych, np.: „krewdlapsa.waw.pl”, „krewdlapsa.wroc.pl”. W wypadku, gdy zakres działania firmy wykracza poza granice kraju, dobrze jest także zarejestrować domenę „.com” lub „.eu”, z tym, że pula domen „.com” jest już dość mocno wykorzystana i bardzo trudno o znalezienie atrakcyjnej nazwy z tą końcówką, zwłaszcza w oparciu o słowa angielskie.
Ale uwaga – w zależności od spodziewanej oglądalności serwisu i jego podatności na działania wrogie, mniej lub bardziej legalne, możliwe, że warto zarejestrować jeszcze więcej nazw domenowych. Tego właśnie nie zrobił bohater pierwszej części artykułu i ten jeden błąd kosztował go tak wiele.
Jak konkurenci i przestępcy mogą wykorzystać twoją domenę?
Lubisz pracować i widzieć, jak inni korzystają z owoców twojego wysiłku? Jeśli nie, to szczególnie uważnie przeczytaj tę część artykułu. Gdy dany serwis zyskuje popularność, to domeny o brzmieniu podobnym do niego automatycznie stają się atrakcyjne:
- dla konkurencji,
- jako przestrzeń reklamowa,
- jako domena do zmylenia użytkownika w celach przestępczych.
O ile dość oczywiste są dwa pierwsze wypadki, o tyle warto zwrócić uwagę na działania przestępcze, bo o tym mówi się rzadko. Aktualnie można rejestrować domeny wraz z narodowymi znakami diakrytycznymi. Wyobraź sobie, że polskie „m” wygląda przecież identycznie, jak rosyjskie „t”. Nasze „c” to rosyjskie „s” – nietrudno więc zgadnąć, że stosując określony alfabet można „podrobić” nazwę domenową pisaną w innym języku. Poza literami identycznymi, są też litery bardzo podobne. Na przykład istnieje co najmniej kilkanaście odmian litery „i”, w tym – z kropką, bez kropki, z apostrofem w miejscu kropki lewym oraz prawym – tę różnicę zauważy góra kilka procent ludzi.
Następnym zagrożeniem jest metoda tzw. „literówki” – skuteczna zwłaszcza w długich nazwach domenowych, gdzie przestawienie jednej litery pozostaje często niezauważone. Jak mówi dr inż. Artur Pajkert z Ogicom: Metoda ta jest jeszcze bardziej skuteczna, kiedy pisownia liter się nie różni. Dla przykładu: Iluzjonista.pl oraz lluzjonista.pl wyglądają łudząco podobnie, prawda? Tyle tylko, że w pierwszym wypadku nazwa zaczyna się literą „i” a w drugim małym „L” (czyli identycznym w druku znakiem pionowej kreski „l”). Technicznie to dwie odrębne nazwy: „iluzjonista” i „lluzjonista”. Nikt raczej nie pomyli się wpisując adres „z ręki”, ale nietrudno o to, by ktoś nie zorientował się, że w mailu otrzymał link do niewłaściwej strony. Dlatego tak ważna jest ostrożność w klikaniu w otrzymywane drogą elektroniczną linki.
Mało tego – domena „wroga”, czy zarejestrowana z użyciem znaków narodowych, z „literówką”, czy też po prostu z inną końcówką nazwy – może być nawet zabezpieczona certyfikatem SSL, co dodatkowo osłabi czujność użytkownika! Oczywiście, w szczegółach certyfikatu znajdziemy wówczas informację, przez kogo jest on wystawiony. Mimo że mało osób czyta te szczegóły przed podaniem na stronie swoich danych, warto stosować ochronę SSL-ową – ale to temat na odrębny artykuł.
Zakres możliwych strat…
… wynika oczywiście z zakresu prowadzonej działalności, skali i rodzaju ataku, itp. W najmniej bolesnym wypadku konkurent po prostu przejmie część ruchu twoich potencjalnych klientów, którzy zrobią zakupy u niego, a nie u ciebie. Być może już tam zostaną i staną się stałym odbiorcą firmy, której raczej nie chciałbyś wspierać.
Znacznie gorzej, jeśli przestępcy wyślą mailing do twoich klientów, podszywając się pod ciebie i wyłudzą na przykład loginy i hasła, którymi posługują się w twoim serwisie. Najbardziej atrakcyjnymi celami wydają się serwisy bankowości elektronicznej (co kilka miesięcy słyszymy o tego rodzaju ataku wymierzonym w któryś z większych banków w Polsce). Wiarygodność każdego serwisu znacznie spadnie w razie wydostania się z niego loginów i haseł – fakt, że użytkownicy sami podają je hackerom będzie okolicznością łagodzącą tylko dla osób z wysokim poziomem wiedzy informatycznej.
Wyobraź sobie, że użytkownicy złożyli zamówienia w przestępczej „kopii” twojego sklepu internetowego i zapłacili za towary. Oczywiście ty nic o tym nie wiesz, a towar nigdy nie dotarł do odbiorcy. Jak sądzisz, do kogo klienci będą mieć pretensje w pierwszej kolejności? Do kogo zwrócą się z reklamacją i od kogo będą domagać się przesłania towaru? I ilu z nich stracisz, ponieważ dali się oszukać podrobionemu mailowi? Nie licz na to, że taki incydent nie zrujnuje zaufania klientów do twojej marki. Mimo że nie robisz niczego złego, to nikt nie zwróci ci nerwów i czasu poświęconych na tłumaczenie się przed klientami lub organami ścigania.
Skuteczna ochrona nie musi być droga
Rejestracja większej liczby domen to sensowna ochrona przed konkurencją oraz atakami o charakterze przestępczym. Zarejestrowanie kilku nazw domenowych kosztuje grosze, a przedłużenie ważności domen jest bardzo tanie w firmach, które stosują progresywne (malejące) cenniki domenowe. Sprawdziliśmy, ile może kosztować np. utrzymanie kilku domen „.pl” w czołowych firmach w Polsce:
Ceny jednostkowe za odnowienie domen krajowych na rok
Domeny Ogicom.pl, Home.pl, Az.pl
3 domeny krajowe „.pl” 79 zł/rok, 99 zł/rok, 99 zł/rok
6 domen krajowych „.pl” 69 zł/rok, 89 zł/rok, 99 zł/rok
(Ceny na podstawie cenników standardowych, bez promocji, na stronach internetowych operatorów w dniu 2012-06-13).
Jak widać, posiadanie kilku domen to w skali roku koszt o wiele mniejszy, niż jedno „hackerskie” zamówienie w twoim sklepie internetowym. Jednocześnie widać, że starannie wybierając operatora możesz zaoszczędzić kwotę rzędu 20-30 zł rocznie, co pomnożone przez liczbę domen daje już odczuwalną korzyść finansową.
Co jeśli masz domeny u kilku operatorów?
Najlepiej dokonać ich transferu tak, aby skumulować domeny w jednej firmie. Wtedy uzyskasz najbardziej atrakcyjne ceny odnowień. Ciekawy cennik domenowy mają np. Ogicom.pl i Blink.pl – do puli domen liczą się bowiem wszystkie ich rodzaje, łącznie z europejskimi i globalnymi. To powoduje, że jest tu o wiele łatwiej osiągnąć lepsze progi rabatowe niż u operatora, który np. liczy wyłącznie domeny krajowe.
Sam musisz ocenić, czy cena utrzymania kilku domen jest większa niż wartość twojej, często kilkuletniej pracy nad zaufaniem użytkowników serwisu. Tak czy inaczej decyzję o transferze warto podjąć wcześniej niż później, bo nawet jeśli nie zdecydujesz się rejestrować kolejnych nazw, to nie ma sensu przepłacać za przedłużenia abonamentów domen, które już posiadasz.
Dlatego też zawsze robiąc nowy serwis rezerwuję wszelkie domeny z końcówkami pl, com, com.pl itp… Te najpopularniejsze oczywiście + rejestruję blogi na popularnych serwisach z ta domeną… blogger wordpress 🙂