Raport Specjalny | Cyberbezpieczeństwo | Stale rosnące zagrożenie

„Karze pozbawienia wolności od 6 miesięcy do lat 8 podlega ten, kto, podszywając się pod inną osobę, wykorzystuje jej wizerunek, inne jej dane osobowe lub inne dane, za pomocą których jest ona publicznie identyfikowana, przez co wyrządza jej szkodę majątkową lub osobistą” – tak brzmi art. 190a § 2 polskiego kodeksu karnego. Rzecz w tym, że ściganie tego czynu następuje na wniosek pokrzywdzonego. W 2023 r. Policja odnotowała w naszym kraju 2247 takich przestępstw. Można przypuszczać, że jest to jedynie wierzchołek góry lodowej.

W Stanach Zjednoczonych, w minionym roku, sieć ochrony konsumentów Federalnej Komisji Handlu (FTC) przyjęła ponad 5,39 mln zgłoszeń, z czego 48% dotyczyło oszustw, a 19% kradzieży tożsamości. Według rocznego raportu dotyczącego naruszeń danych, przygotowanego przez Centrum Badań nad Kradzieżą Tożsamości (ITRC), w 2023 r. w USA odnotowano rekordową liczbę naruszeń danych w ciągu 365 dni. Trzeba zatem zgodzić się z opinią, że wykorzystywanie cudzej tożsamości będzie ewoluowało; nie można przy tym wykluczyć tworzenia syntetycznych tożsamości na podstawie pozyskanych fragmentarycznych danych lub wizerunku realnych osób. To szybko rozwijająca się grupa zagrożeń.

Tymczasem już obecnie sporym problemem dla banków stały się kradzieże tożsamości i związane z nimi fraudy. Zapytaliśmy więc przedstawicieli instytucji na co dzień mających kontakt z tego typu procederem o to, jak skutecznie zapobiegać oszustwom z wykorzystaniem cudzej tożsamości.

Łukasz Gracki
kierownik Wydziału Zarządzania Ryzykiem Nadużyć w Banku Millennium:

Wszystko zależy od tego, jak zdefiniujemy kradzież, a jak przejęcie. Kradzież to otwarcie nowego rachunku na czyjeś dane, podczas gdy przejęcie dotyczy znanej nam już tożsamości. Przyjmijmy, że oba pojęcia mówią o tym samym. Kradzież lub inaczej przejęcie tożsamości jest bardzo popularnym zdarzeniem w polskim sektorze bankowym. Możemy wyróżnić dwa ich typy. W jednym przejęta tożsamość służy do oszukania banku i zainicjowania transakcji, a w drugim do uwiarygodnienia się w oczach ofiary i nakłonienia jej do podjęcia jakiegoś działania.

Przejęcie tożsamości klienta to w świecie analogowym sfałszowanie dowodu osobistego na dane klienta, udanie się do placówki i wypłata środków z konta. Obecnie takie oszustwa są marginalne, ale dotkliwe, bo kradziona jest tożsamość klientów z dużym osadem na koncie. Najczęstszym schematem jest dzisiaj przejęcie tożsamości cyfrowej, czyli loginu i hasła do bankowości elektronicznej lub aktywacja aplikacji mobilnej banku na dane klienta. Jest to konsekwencją ataku socjotechnicznego z wykorzystaniem phishingu, vishingu czy smishingu.

Sposobem na pozyskanie danych jest SMS skłaniający do dokonania dopłaty do paczki, faktury itp. Przykładem może być przekonanie klienta, by zalogował się do bankowości internetowej w celu otrzymania zapłaty za sprzedany produkt na portalu aukcyjnym. Zmanipulowana ofiara przekazuje oszustowi dane do logowania lub wpisuje je na spreparowanej stronie internetowej, dzięki temu sprawca ma już dostęp do konta ofiary. Często dochodzi do aktywacji aplikacji mobilnej na urządzeniu oszusta, bo oszukany klient nie słucha komunikatu, jaki przekazuje mu IVR lub nie czyta wiadomości, jakie otrzymuje na swój telefon i akceptuje wszystko. Nazywamy to Account Takover – czyli przejęciem konta. Jest to punkt wyjścia do nieautoryzowanych transakcji, czyli transakcji wykonanych nie przez klienta.

Drugim typem jest przejęcie tożsamości osoby trzeciej i skontaktowanie się z ofiarą – klientem jakiegoś banku. W tym schemacie ponownie wykorzystuje się phishing np.: „twoje konto na portalu społecznościowym zostało zablokowane i żeby je odblokować, musisz się ponownie zalogować” albo, że ktoś ci wysłał wiadomość/zamieścił nowe zdjęcia, żeby je obejrzeć, zaloguj się na portalu, i tu podany jest link. Po jego kliknięciu jesteśmy przekierowani na stronę łudząco przypominającą oryginalną, podajemy login i hasło…. i nic się nie dzieje. Strona się przeładowuje i trafiamy na tę prawdziwą. Po jakimś czasie oszust, który pozyskał login i hasło, loguje się i wysyła do wszystkich naszych znajomych prośbę o pożyczkę, informując, że stoi w kolejce do kasy, a karta mu siadł...