Scam Detector to usługa online, która automatycznie przypisuje ocenę wiarygodności w skali do 100 dowolnej stronie internetowej, na podstawie około trzydziestu kryteriów technicznych (wiek domeny, HTTPS, listy blokujące, IP, WHOIS itp.). Pomysł jest kuszący, ale metodologia narzędzia i jego model biznesowy budzą poważne wątpliwości, do tego stopnia, że wiele całkowicie legalnych stron jest klasyfikowanych jako niebezpieczne. Oto, co narzędzie naprawdę robi, czego nie robi oraz jakie kontrole techniczne należy przeprowadzić samodzielnie.
Co dokładnie robi Scam Detector
Narzędzie udostępnia validator publiczny pod adresem scam-detector.com/validator/{domena}. Dla każdej przesłanej domeny automatycznie generowana jest strona z oceną w skali do 100 oraz werdyktem od „Verified. Safe” do „Untrustworthy. Risky. Danger”. Można to zobaczyć na dowolnym testowanym adresie URL, na przykład strona wygenerowana dla effetpapillon.fr: brak ingerencji człowieka, strona indeksowalna tworzona na bieżąco.
Algorytm łączy, zgodnie z dokumentacją wydawcy, szereg publicznych sygnałów technicznych:
- wiek domeny i dane WHOIS;
- obecność na czarnych listach antywirusowych lub antyphishingowych;
- ważność i typ certyfikatu SSL/TLS;
- ranking popularności (typ Alexa, Tranco itp.);
- ocena Web of Trust (WOT);
- podstawowa analiza kodu źródłowego strony głównej;
- geograficzna lokalizacja IP i hostingu;
- obecność informacji prawnych, ogólnych warunków i sposobów kontaktu.
Otrzymany wynik jest następnie indeksowany przez Google, co wyjaśnia, dlaczego strony z opiniami często pojawiają się w wynikach wyszukiwania, gdy szuka się nazwy strony wraz ze słowami takimi jak „opinia” lub „oszustwo”.
Metodologiczne ograniczenia narzędzia
Na papierze siatka Scam Detector przypomina standardowy zautomatyzowany audyt techniczny. Problem wynika z trzech czynników.
Czysto statyczna i powierzchowna analiza
Sprawdzenia są wykonywane bez kontekstu. Legalna strona hostowana na Litwie, za Cloudflare, z domeną młodszą niż rok, może zgromadzić „negatywne sygnały”, chociaż jest to standardowa konfiguracja dla młodego europejskiego startupu. Przypadek karty jobba.fr jest typowy: młoda francuska platforma jest oceniana według tych samych kryteriów co oszukańcza strona długo funkcjonująca, bez uwzględnienia jej realiów operacyjnych. Z drugiej strony, niedawna oszukańcza strona, która zadbała o HTTPS i WHOIS, może uzyskać przyzwoity wynik.
Ocena ignorująca realia operacyjne
Narzędzie nic nie wie o rzeczywistej działalności: wolumenie transakcji, satysfakcji klientów, zgłoszeniach do DGCCRF lub Signal Conso, opiniach na platformach handlowych. Ocenia podpis techniczny, nie działalność handlową. To odpowiednik SEO skanowania portów: przydatne, ale niezdolne do ocenienia charakteru usługi. Szybkie porównanie kilku kart generowanych przez narzędzie — na przykład karty cyroco.fr — pokazuje, że strony o bardzo różnych profilach otrzymują werdykty oparte na tej samej sztywnej siatce, bez uwzględnienia specyfiki branżowej.
Model biznesowy budzący wątpliwości
To najpoważniejszy problem dla każdego pracującego w IT lub cyberbezpieczeństwie. Na Trustpilot schemat dokumentowany przez dziesiątki właścicieli stron jest powtarzalny: początkowa bardzo niska ocena (często 10 do 30 na 100) z oznaczeniem „Untrustworthy”, po czym szybki wzrost wyniku — czasem do 100/100 w ciągu kilku dni — po nawiązaniu kontaktu z wydawcą i dostarczeniu dokumentów. Granica między niezależnym walidatorem a narzędziem do wywierania presji handlowej jest bardzo cienka.
Jak naprawdę zweryfikować wiarygodność strony, od strony technicznej
Dla zespołu IT, bezpieczeństwa lub e-commerce chcącego przeprowadzić audyt strony (własnej lub partnera) żadne pojedyncze narzędzie nie wystarczy. Oto minimalny, darmowy i znacznie bardziej wiarygodny zestaw audytowy niż agregowany wynik.
1. WHOIS i historia domeny
Przede wszystkim sprawdzenie surowego WHOIS za pomocą who.is, rejestru AFNIC dla .fr lub polecenia whois w terminalu. Sprawdzamy datę utworzenia, rejestratora oraz spójność kontaktów. Wayback Machine pozwala dodatkowo zobaczyć, czy strona istniała wcześniej w innej formie i od kiedy.
2. Audyt certyfikatu TLS
Referencyjnym testem pozostaje SSL Labs (Qualys): ocenia łańcuch certyfikacji, zestawy szyfrów, wsparcie TLS 1.3, odporność na znane ataki (BEAST, POODLE, Heartbleed) i przyznaje ocenę od A+ do F. Poważna strona celuje przynajmniej w ocenę A. Bardzo wątpliwa domena często wystawia niedawny certyfikat Let’s Encrypt na wildcardowym subdomenie, bez informacji o organizacji.
3. Nagłówki HTTP i konfiguracja zabezpieczeń
Narzędzie securityheaders.com sprawdza obecność nagłówków HSTS, Content-Security-Policy, X-Frame-Options, Referrer-Policy, Permissions-Policy. Sklep internetowy przyjmujący płatności bez HSTS i CSP jest co najmniej niedbały. Mozilla Observatory daje dodatkowe użyteczne uzupełnienie.
4. Reputacja i wskaźniki zagrożeń
Koniecznie do wgłębnego sprawdzenia:
- VirusTotal (URL i domena): agreguje ponad 70 silników detekcji.
- Google Safe Browsing: baza wykorzystywana przez Chrome, Firefox i Safari.
- URLVoid i AbuseIPDB: raporty społecznościowe.
- Signal-Arnaques dla kontekstu francuskojęzycznego.
5. Tabela podsumowująca kontrole
| Kontrola | Narzędzie | Co sprawdzamy |
|---|---|---|
| Tożsamość domeny | WHOIS, AFNIC | Data utworzenia, rejestrator, kontakty |
| Szyfrowanie | SSL Labs | Ocena A+/A, TLS 1.3, ważność łańcucha |
| Wzmocnienie sieci | securityheaders.com | HSTS, CSP, X-Frame-Options |
| Reputacja | VirusTotal, Safe Browsing | Wykrycia wielosilnikowe |
| Historia | Wayback Machine | Spójność w czasie |
| Opinie użytkowników | Trustpilot, Signal-Arnaques | Wolumen i charakter skarg |
A co jeśli Twój serwis ma niską ocenę w Scam Detector?
Pierwsza rzecz do wiedzenia: zły wynik nie ma bezpośredniego wpływu na pozycjonowanie w Google. Strony Scam Detector to treści stron trzecich, traktowane jak każda opinia. Problemem może jednak być ich widoczność w wynikach wyszukiwania, gdy potencjalny klient szuka Twojej marki.
Kilka rozsądnych działań:
- Obiektywnie audytuj swoją stronę przy użyciu narzędzi wymienionych powyżej, aby zidentyfikować techniczne sygnały, które mogły wywołać niską ocenę (słaby certyfikat, brak informacji prawnych, podejrzany hosting itd.).
- Popraw to, co wymaga poprawy: opublikuj zgodne informacje prawne, zabezpiecz TLS, dodaj strony z regulaminem i warunkami, przedstaw realny kontakt.
- Pracuj nad swoją e-reputacją równolegle: opinie na Trustpilot, Google Business Profile, wzmianki na autorytatywnych stronach branżowych. Im częściej Twoja marka pojawia się pozytywnie gdzie indziej, tym mniej znaczącą wagę ma strona Scam Detector w wynikach wyszukiwania.
- Poproś o ponowną ocenę w Scam Detector, jeśli chcesz, ale nie rób z tego priorytetu: wynik może się zmieniać, ale narzędzie jest kontrowersyjne.
FAQ
Czy Scam Detector to oficjalna lub uznana strona?
Nie. To prywatna usługa wydawana przez firmę komercyjną, bez oficjalnej akredytacji jakiegokolwiek organu ochrony konsumentów lub cyberbezpieczeństwa. Jej oceny nie mają wartości prawnej.
Czy należy traktować poważnie złą ocenę Scam Detector?
Nie jako werdykt, lecz jako sygnał do zbadania. Jeśli ocena jest niska, samodzielnie sprawdź punkty techniczne za pomocą SSL Labs, VirusTotal i WHOIS przed wyciągnięciem wniosków.
Czy Scam Detector może mieć wpływ na moje SEO?
Wyłącznie pośrednio. Google nie karze strony za niską ocenę przyznaną przez osobę trzecią. Jednak dobrze wypozycjonowana strona Scam Detector na nazwę Twojej marki może wpłynąć na decyzję klienta, zanim trafi na Twoją stronę.
Jaka jest najlepsza alternatywa do weryfikacji strony?
Żadne pojedyncze źródło nie jest wystarczające. Połączenie SSL Labs + VirusTotal + Google Safe Browsing + WHOIS + Wayback Machine daje znacznie dokładniejszy i użyteczny obraz niż agregowany wynik i to bez kosztów.
Czy wynik 100/100 na Scam Detector gwarantuje, że strona jest wiarygodna?
Nie. Wysoki wynik oznacza jedynie, że automatyczne kontrole przeszły pomyślnie. Wiele niedawnych oszustw uzyskuje wysokie wyniki, bo dbają o swoją techniczną powłokę. Wiarygodność strony ocenia się na podstawie jej realiów operacyjnych, a nie algorytmicznej oceny.
