Kradzież i oszustwo to zjawiska, które towarzyszą ludzkości od przysłowiowego zarania dziejów. Praktycznie w każdej większej społeczności pojawiały się jednostki, które były gotowe użyć wszelkiej maści socjotechnik i technik manualnych aby wzbogacić się czyimś kosztem. Wraz z postępem technicznym i ułatwieniami w komunikacji proceder ten tylko się nasilał by w ostatnich latach, dzięki rozwojowi Internetu, osiągnąć swoiste apogeum. Najczęściej kradzione są w ten sposób dane osobowe, które następnie są wykorzystywane w celu wyłudzenia okupu, wyczyszczenia konta bankowego lub wzięcia kredytu.
Najpopularniejsze sposoby kradzieży danych
W tym pierwszym przypadku przestępcy albo używają tzw. oprogramowania typu ransomware i szyfrują dysk ofiary, albo kopiują zawartość dysku i grożą ujawnieniem lub sprzedażą pozyskanych danych. Jedną z ofiar takiego ataku padł chociażby CDProjekt, tracąc przy tym dostęp do części posiadanych informacji.
Innym, bardziej popularnym wektorem ataku jest próba wyłudzenia danych osobowych i ich wykorzystanie do przetransferowania zgromadzonych środków pieniężnych lub podpisania umowy pożyczki. Może do tego dojść na wiele różnych sposobów. Najpowszechniejszą metodą jest zastosowanie tzw. phisingu, czyli oszustwa mającego na celu skłonienie ofiary do własnoręcznego podania kluczowych danych osobowych. Najczęściej dochodzi do niego poprzez przesłanie do potencjalnej ofiary wiadomości z linkiem prowadzącym do sfałszowanej strony Internetowej. Zazwyczaj w treści takiego e-maila lub smsa pojawia się prośba o dopłacenie niewielkiej kwoty do przesyłki lub o zmianę hasła do konta bankowego.
Jeśli ofiara da się nabrać, to atakujący może zarobić na tym od kilkunastu złotych wzwyż. W najgorszym scenariuszu złodziej wyczyści nam całe konto i nie pomogą tu żadne metody dwustopniowej weryfikacji. Wystarczy przecież, że po zalogowaniu na podstawioną stronę ofiara wpisze jeszcze dwa kody jakie otrzymała od banku i jest posprzątane. Sfałszowana strona zadziała tu jako swoisty pośrednik. Po wpisaniu na nią loginu i hasła bot od razu wykona logowanie do prawdziwego systemu bankowego i poprosi o zniesienie limitów. Tu dostajemy pierwszego SMSa, z kodem, który wpisujemy oczywiście na podstawionej stronie. Następnie ten sam bot zleci przelew wszystkich środków na konto atakującego, błyskawicznie informując przy tym ofiarę, że pomyliła się przy wpisywaniu kodu i że musi go wpisać jeszcze raz. Oczywiście tym razem, z przyczyn bezpieczeństwa dostanie zupełnie nowy ciąg znaków. Całość jest zaskakująco prosta i trwa raptem kilkadziesiąt sekund.
A co jeśli skradzionych danych będzie więcej?
Jeszcze gorzej będzie w momencie gdy oszust uzyska dostęp do danych z naszego dowodu osobistego, takich jak PESEL, adres zamieszkania czy numer dowodu osobistego. Dzięki tym konkretnym informacjom będzie w stanie podpisać umowę kredytu lub pożyczki, a następnie ulotnić się z pozyskanymi pieniędzmi, zostawiając swoją ofiarę na przysłowiowym lodzie. Co gorsza osoba ta może przez długi czas nie dowiedzieć się, że do oszustwa w ogóle doszło. Złodzieje mają w zwyczaju podawać fikcyjne adresy do korespondencji, więc ewentualne wezwania do zapłaty czy inne ponaglenia nigdy nie trafią do poszkodowanego. Zrobi to dopiero komornik działający w imieniu banku, firmy pożyczkowej lub windykacyjnej, która w tzw. międzyczasie odkupiła od wierzyciela zaciągnięty dług. Jak nietrudno się domyślić nie jest to zbyt komfortowa sytuacja. Co gorsza z uwagi na panujący od lat trend upraszczania procedur zobowiązanie może być zaciągnięte bez konieczności przedstawienia dokumentu tożsamości, a cała procedura może być przeprowadzona w formie onlineowej z wykorzystaniem kilku kluczowych danych, które znajdują się na samym dowodzie.
Dlatego też dobrze kierować się zasadą ograniczonego zaufania i nigdy nie klikać w linki – żadne, wpisywać adresy www ręcznie i weryfikować to na jakiej stronie się znajdujemy. Być może wyda się Wam to banałem, ale mimo wszystko warto w tym miejscu zaznaczyć, że symbol kłódeczki wyświetlanej obok adresu nie oznacza, że jesteśmy bezpieczni. Symbol ten mówi nam jedynie, że połączenie jest szyfrowane i nie da się go podsłuchać/podejrzeć, ale nie mówi o tym z kim rozmawiamy. To zdradza natomiast szczegółowa informacja o certyfikacie i osobie lub instytucji, z którą wymieniamy informacje. Zawsze warto to sprawdzać, bo może się okazać, że nasz login i hasło wysyłamy co prawda w sposób bezpieczny, ale nie do Banku ING, tylko do Ahmeda Abin Sayeda z Burkina Faso.
Gdyby jednak ta jedna rada mogła w pełni nas ochronić, to byłoby zdecydowanie zbyt prosto, a nie muszę Was chyba przekonywać, że na tym świecie nie ma nic prostego. Podobnie jest i w tym przypadku. Oszust może bowiem kluczowe dane pozyskać nie tylko na skutek kradzieży danych osobowych w Internecie metodą phisingu czy bardziej tradycyjnymi metodami, jak wyłudzenie danych osobowych przez telefon czy bezpośrednią kradzież dowodu osobistego.
Nielegalne pozyskanie danych może się odbyć chociażby poprzez zainfekowanie naszego komputera lub routera złośliwym oprogramowaniem. Nie od dziś wiadomo, że sprzęt się starzeje i wraz z wiekiem jest odnajdowanych coraz więcej luk, które nie są już łatane. Znane są przecież przypadki ataków na sieć wewnętrzną firm i instytucji z wykorzystaniem luk w „inteligentnych” drukarkach. Ba, dotyczy to nie tylko antycznego sprzętu, ale i całkiem nowych urządzeń – tu szczególne pozdrowienia dla niebieskich. Poza tym dużym zagrożeniem jest samo oprogramowanie, które też powinno być sukcesywnie aktualizowane i łatane. Trzeba też powiedzieć wprost, że ogromnym źródłem problemu są nielegalne kopie oprogramowania. Korzystając z takiego rozwiązania często nie możemy mieć pewności, czy przypadkiem nasz nielegalny Photoshop nie zacznie za jakiś czas interesować się tym co akurat wpisujemy i dzielić się tym z twórcą cracka. Taką komunikację da się co prawda wychwycić i zablokować, ale mimo wszystko jest to kolejne, potencjalne źródło problemu.
Zwykła ostrożność nie wystarczy!
Niestety nawet jeśli będziemy rygorystycznie przestrzegać wszelkich zasad bezpieczeństwa i dobrych praktyk to wciąż nie możemy być w 100% pewni, że nie padniemy ofiarami oszustwa. Choćbyśmy się nie wiem jak zabezpieczyli, to wciąż nie mamy wpływu na to, jak nasze wrażliwe dane są przetwarzane przez inne podmioty. A tych jest sporo i nie zawsze mają dobrze zabezpieczone bazy danych. Pal licho, jeśli problem ten dotyczy sklepu internetowego takiego jak np. Morele czy GOG, które mają tylko część naszych danych. Znacznie gorzej będzie jeśli nasze dane wyciekną z instytucji, które wiedzą jaki mamy PESEL czy numer dowodu osobistego. A tych wbrew pozorom jest całkiem sporo.
Nie wiem czy wiecie, ale w naszym pięknym kraju są rejestry niemal wszystkiego. I tak mamy np. zbiór Kół Gospodyń Wiejskich, kilka odrębnych systemów przetwarzających dane uczestników projektów ze środków Unii Europejskiej, bazy rolników i przedsiębiorców, którzy otrzymali dofinansowanie, KRS, w którym można łatwo poznać PESEL udziałowców spółek, rejestr ksiąg wieczystych, a nawet bazy nagrobków. Do tego trzeba dodać molochy takie jak GUS, ZUS, KRUS czy US, a także szereg mniejszych instytucji rządowych, które też mają swoje rejestry. I o ile zgromadzone przez nich dane można uznać za przechowywane w sposób raczej bezpieczny, tak co do danych gromadzonych przez lokalne instytucje nie byłbym taki pewien.
Osoby, które często śledzą różnego rodzaju serwisy dot. Cyberbezpieczeństwa zapewne doskonale pamiętają przypadki wycieków całych baz danych pacjentów konkretnych przychodni, w których aż roiło się od „tłustych” danych osobowych. Problem leży nawet nie w tym, że one mogą wyciec, a w tym, że możemy się nigdy o takiej sytuacji nie dowiedzieć. Zwłaszcza, że prywatne instytucje często starają się uniknąć rozgłosu i dogadać się z przestępcami, co niestety nie jest żadną gwarancją tego, że Ci faktycznie nie odsprzedadzą pozyskanych danych dalej.
Moje dane wyciekły! Co teraz?
Tu rodzi się pytanie jak sprawdzić czy nasze dane wyciekły i czy ktoś np. wziął kredyt lub pożyczkę na skradziony nam dowód osobisty. Po pierwsze warto co jakiś czas weryfikować czy nasz e-mail gdzieś nie wyciekł (np. na stronie: Have I been pwned), a także korzystać z cyklicznych raportów z powiadomieniami dot. wycieków i naszej sytuacji kredytowej. W tym drugim przypadku można skorzystać z usług BIKa. Warto też za w czasu zapoznać się też z artykułem na stronie https://www.eurolege.pl/kradziez-danych-osobowych/, gdzie znajdziecie więcej informacji na ten temat.
Na koniec trzeba też wiedzieć gdzie zgłosić wyłudzenie danych osobowych. Jeśli padliśmy ofiarą oszustwa w sieci i mamy plastikowy dowód ze sobą, a nasze dane nie zostały jeszcze przez nikogo użyte to wystarczy zgłoszenie sprawy w banku i urzędzie miasta/gminy. W bardziej ekstremalnych przypadkach trzeba też odwiedzić policję. Pamiętajcie przy tym, że zastrzec danych musicie jak najszybciej, a zrobić to można nawet przez Internet. Czas gra tu kluczową rolę!
Gdyby jednak okazało się, że jest już za późno, to koniecznie należy skorzystać z porady prawnika. Najlepiej takiego, który specjalizuje się w podobnych sprawach. Jedną z instytucji, która pomaga osobom poszkodowanym jest przytoczona już w tym artykule Kancelaria EUROLEGE. Mam nadzieję, że kontakt do nich nigdy Wam się nie przyda, ale tak czy siak lepiej go mieć niż nie mieć.
K O M E N T A R Z E
Jeszcze nikt nie napisał komentarza.
D O D A J K O M E N T A R Z
Aby dodawać komentarze, należy się wpierw zarejestrować, ewentualnie jeśli posiadasz już swoje konto, należy się zalogować.
