Kto i jak kradnie nasze dane osobowe?
Uczestnicy zastanawiali się nad tożsamością osobistą a cyfrową i skuteczną weryfikacją tożsamości cyfrowej. Marcin Maj, redaktor naczelny serwisu Niebezpiecznik.pl i ekspert z zakresu cyberbezpieczeństwa, przedstawił modelową sytuację kradzieży cyfrowej tożsamości, powiedział co z nią może zrobić cyberprzestępca i jakie mogą być tego skutki.
Jak ukraść cyfrową tożsamość
Niebezpiecznik.pl zajmuje się testowaniem bezpieczeństwa pod względem odporności na ataki i przeprowadza tzw. testy penetracyjne, polegające na włamywaniu się do firm sieci informatycznych firm i wyciąganiu z tego wniosków dotyczących bezpieczeństwa ich struktur IT.
Redaktor Maj nie dzieli dziś już świata na cyfrowy i realny, bo skutki kradzieży w cyberświecie są odczuwane w naszym prawdziwym życiu.
Wiele naszych danych takich jak imię, nazwisko, numer PESEL, miejsce zamieszkania, lub też miejsce urodzenia znajdują się w wielu różnych rejestrach i czasem mają jawny charakter.
Są dostępne w wielu miejscach i nawet nie trzeba ich kraść, a uzyskanie fałszywego tzw. kolekcjonerskiego dowodu tożsamości to koszt od 500 do 700 zł, i było to do niedawna legalne w Polsce.
Sami często też ujawniamy informacje o sobie. Przykładem użytkowniczka Facebooka, która pochwaliła się nowo uzyskanym prawem jazdy, publikując jego skan.
Szacuje się, że od 2013 roku z baz danych wyciekło 14,7 mld rekordów. Czy da się kogoś okraść, znając tylko jego adres — nie, ale dane wyciekają wiele razy i z różnych źródeł i są ludzie, którzy je zbierają. Łączą wycieki z różnych baz i tworzą kompletną informację o danej osobie.
Jak niefrasobliwie podchodzimy do tworzenia haseł widać na fragmencie bazy, która wyciekła z firmy InPost. Były w niej użyte bardzo proste hasła, które ustalili sobie pracownicy banków (co widać z adresów e-mail). Czyli osoby, które powinny być szczególnie uczulone jeśli chodzi o zachowanie bezpieczeństwa.
W świecie Darknetu
Darknet lub Deepweb – to sieć ukryta dla wyszukiwarek takich jak Google, Bing czy Yahoo, ale często wykorzystywana przez przestępców, bo zapewnia im większą anonimowość.
Pojawiają się w niej ogłoszenia np. zakupu danych z baz banków w cenie 3 zł za jeden rekord. Również takie jak oferta sprzedaży dostępu do konta pracownika banku.
Według informacji podanej przez ZBP w pierwszym półroczu tego roku zanotowano, aż 7800 przypadków posługiwania się dokumentem innej osoby w celu wyłudzenia kredytu.
Każdego dnia wyłudza się dane osobowe i do takich zdarzeń często dochodzi nie w Internecie, ale np. w małych punktach usługowych, w agencjach banków i w punktach terenowych firm pożyczkowych.
Na przykład w serwisie internetowym zmniejszacz.pl, do którego przesyła się zdjęcia i można w nim dowolnie zmniejszyć ich rozmiar, osoba z agencji banku używała go do pomniejszania skanów dowodów osobistych…
Oczywiście można się próbować zabezpieczyć, ustawiając sobie np. alerty w BIG lub BIK, i jeśli ktoś sprawdza informacje o nas, to może to być związane z próbą wzięcia na nasze dane kredytu lub pożyczki, jeśli to nie my nie występowaliśmy o nie. To jednak nadal nie gwarantuje pełnego bezpieczeństwa.
Dane uwierzytelniające zagrożone?
Login i hasło najczęściej pozyskiwane są przez przestępców poprzez ich podanie przez ich właściciela. Na przykład wykorzystując tzw. phishing w listach wysyłanych pocztą elektroniczną.
Choć z reguły wiemy o takim zagrożeniu, to jeśli informacja o możliwości zablokowania naszego konta w banku dotrze do nas np. w dniu, w którym musimy wykonać ważną operację bankową, wiele osób w takiej sytuacji korzysta z załączonego do listu linku do podrobionej strony banku i podaje dane przestępcom. Wrócono też do starej metody dzwonienia do osób i pytania ich o login i hasło. Wykorzystuje się do tego możliwość podszywania się pod numer telefonu znany odbiorcy. Może to być numer infolinii banku.
O tym, że jest to możliwe, uczestnicy prelekcji mogli się przekonać w trakcie przeprowadzonej na żywo prezentacji. Dziś można nawet pobrać próbki głosu danej osoby i złożyć z nich nowe wypowiedzi.
Login i hasło mogą ukraść też wirusy, które zainstalują się na komputerze lub w smartfonie z systemem Android. Takie specjalnie przygotowane aplikacje były nawet dostępne w oficjalnym sklepie Google jako normalne programy użytkowe.
Karty płatnicze czyli cenne źródło
Jak się okazuje, mając zdjęcie tylko np. tylnej strony karty płatniczej z wypukłym nadrukiem, można odczytać podstawowe dane z jej drugiej strony.
Zdjęcie może być wykonane np. kamerą ukrytą w długopisie umieszczonym w kieszonce koszuli.
Wykorzystuje się też skimmery zakładane na terminal POS, które sczytują dane z paska magnetycznego karty.
Biometria nie zawsze bezpieczna, a telefony też nas zdradzają
Również biometria nie daje pełnego bezpieczeństwa. Można zeskanować odcisk palca i układ naczyń krwionośnych dłoni i wykorzystać te dane do autoryzacji. Są też sposoby na oszukanie skanerów twarzy i oczu.
Telefony i komputery szukają często sieci Wi-Fi zapisanych w ich pamięciach. Wysyłają informacje o tym. Są urządzenia, które podszywają się pod inne sieci i zbierają dane o sieciach zapisanych w pamięci urządzenia.
Pozwala to np. ustalić przybliżony adres właściciela urządzenia i to, z jakich sieci Wi-Fi korzysta. Można też przechwytywać informacje przesyłane pomiędzy urządzeniem i Internetem.
Pisaliśmy również w serwisie aleBank.pl o uzyskiwaniu duplikatów kart SIM do telefonów komórkowych — co pozwala na przejmowanie konta bankowego i potwierdzanie operacji.
Telekomy nie zapewniają pod tym względzie pełnej szczelności systemu. Powoduje to, że ważny element systemu bezpieczeństwa stosowanego przez banki pozostaje poza ich kontrolą.