Z danych serwisu ChronPESEl.pl i Krajowego Rejestru Długów wynika, że już co siódmy Polak padł ofiarą kradzieży danych osobowych, a 60 procent z badanych słyszało o takim przypadku wśród rodziny i znajomych.

Na początku tego roku ChronPESEl.pl i Krajowy Rejestr Długów przeprowadzili badanie z którego wynika, że już 60 procent Polaków obawia się kradzieży danych osobowych. Ankietowani wskazali, że największym niebezpieczeństwem jest dla nich włamanie do własnego komputera lub telefonu, phishing i wycieki z baz danych, a także fizyczna kradzież dokumentu. Z naszej perspektywy wydaje się, że najbardziej powinni obawiać się tego, że ktoś wykorzysta po prostu to, co sami wrzucają do sieci.

40 procent ankietowanych Polaków zadeklarowano, że na własnej skórze doświadczyło działalności oszustów podszywających się pod firmy lub instytucje. To oznacza z kolei, że aż 60 procent badanych osób w ogóle tego nie zauważyło, ale spokojnie, z własnego doświadczenia, dojść można do wniosku, że z taką próbą spotkał się każdy regularnie korzystający z Internetu użytkownik. Z przeprowadzonego badania wynika również, że 15 procent osób ma już za sobą nieprzyjemne doświadczenie z kradzieżą danych osobowych. Jeśli dodamy do tego, że 21 procent z osób badanych w ogóle nie wie, czy do kradzieży doszło czy nie, robi nam się z tego dość poważny problem.

Powszechne przyspieszenie transformacji cyfrowej sprzyja aktywności cyberprzestępców. Jednym z bardziej pożądanych przez nich obecnie „towarów” są dane osobowe, dzięki którym mogą zyskać dostęp do wielu dóbr. UODO zaleca zachowanie ostrożności, które może uchronić nasze dane osobowe przed dostaniem się w ręce nieupoważnionych podmiotów lub osób. Pamiętajmy, aby zachować ostrożność podczas podawania danych osobowych przez Internet. Dokładnie analizujmy kierowane do nas komunikaty, zawarte np. w wiadomościach SMS czy e-mail. Nie klikajmy w linki umieszczone w wiadomościach, które budzą nasze podejrzenia, że mogą pochodzić od niezaufanych podmiotów. W ten sposób możemy uniknąć wyłudzenia dodatkowych danych czy utraty danych dostępowych do internetowych systemów bankowych. Aby zapewnić bezpieczeństwo danych osobowych podczas korzystania z urządzeń z dostępem do Internetu zalecane jest posiadanie programu antywirusowego i jego bieżące uaktualnianie. Złośliwe oprogramowanie, przed którym chronią nas takie narzędzia, powstaje codziennie. Dlatego bez aktualnej bazy wirusów i bazy złośliwych aplikacji program antywirusowy nie będzie w pełni spełniał swojej roli – mówi Adam Sanocki, rzecznik prasowy Urzędu Ochrony Danych Osobowych.

Kolejną ciekawą liczbą wynikającą z raportu ChronPESEL.pl i KRD jest 16. Tyle procent ankietowanych osób nie wie, czy ich dane skądś wyciekły. Z jakiego powodu jest to ciekawe? Z prostego powodu, który mówi nam, że osoby te nie są w stanie świadomie poruszać się po sieci, nie znają narzędzi, dzięki którym sprawdzić można skąd i jakie dane wyciekły, prawdopodobnie nie czytają również żadnej automatycznej korespondencji z serwisów, których używają. Stamtąd mogliby przecież dowiedzieć się o jakimś wycieku – taki obowiązek w przypadku zaistnienia incydentu nakłada tzw. RODO.

Trudna walka

Przez wiele lat zwykły użytkownik nie miał praktycznie żadnych szans na zarządzanie tym, co do sieci wyciekło. Obecnie wielkiego wpływu na to również nie ma, chyba, że poprzez własną politykę zarządzania danymi i pozostawianie ich jedynie tam, gdzie jest to absolutnie niezbędne. Dodatkowo śledzić można również wszelkie serwisy branżowe, które wycieki danych raportują, a także bazy danych w których sprawdzić można, czy usługa czy serwis z którego korzystamy ucierpiał w wyniku takiego incydentu. 

Krokiem naprzód (na tę chwilę malutkim) jest również zapowiedź rządu z grudnia ubiegłego roku o wprowadzeniu usługi w aplikacji mObywatel, która pozwoli użytkownikowi zgłosić zastrzeżenie, że nie chce się zaciągać zobowiązań finansowych. Instytucje będą wtedy weryfikować ten fakt przed udzieleniem np. pożyczki. Projektowane przepisy będą blokować możliwość dochodzenia roszczeń udzielonych pomimo dokonanego zastrzeżenia. Zdejmie to z osób, którym skradziono tożsamość, konieczność obrony przed długami, które powstały w wyniku działalności przestępców – podkreślał Janusz Cieszyński, pełnomocnik rządu ds. cyberbezpieczeństwa.

Tobie też można ukraść tożsamość

Wiele osób nie zdaje sobie tak naprawdę sprawy, jakich kłopotów można doznać padnąc ofiarą takiego przestępstwa i jak kuriozalnie jest obecnie zbudowane prawo, według którego, w przypadku np. zaciągnięcia kredytu na nasze dane osobowe, traktowani będziemy jak dłużnik, ze wszystkimi tego złymi konsekwencjami. Jednym z głównych grzeszków internautów, który prowadzić może do utraty danych i ewentualnej kradzieży tożsamości, jest używanie jednego hasła do wszystkich lub wielu serwisów internetowych. o prosta droga do przejęcia konta przez atakującego. Nie jest chyba dla nikogo zaskoczeniem, że potężne bazy danych loginów, adresów mail i haseł wypływają co jakiś czas i nawet najwięksi mieli z tym problem, chociażby Facebook, Dropbox, LinkedIn i inne. Używając jednego hasła do wielu serwisów narażasz się więc na przejęcie wielu swoich kont jednocześnie. Atakujący, który nie musi posiadać jakiejś szczególnie skomplikowanej wiedzy technicznej, mając dostęp do skradzionej lub takiej bazy danych, która z jakichś przyczyn znalazła się w przestrzeni publicznej. Jeśli więc wyciekła baza danych użytkowników LinkedIn, a ty masz takie samo hasło do tego serwisu, Facebooka i jeszcze kilku innych, to nie są to już twoje konta. Szczególnie, jeśli zasadę jedno hasło do jednej usługi traktujesz tak samo poważnie jak zasadę zmiany haseł nie rzadziej niż raz na 30 dni.

Przejęcie konta w jakimś serwisie społecznościowym może wiązać się z wieloma nieprzyjemnościami. Atakujący otrzymując do niego dostęp może publikować kompromitujące treści i wysyłać takowe do znajomych ofiary. Może także wykorzystać zaufanie znajomych ofiary i poprosić ich, w jej imieniu, o pożyczkę (koniecznie przelewem natychmiastowym), bo akurat zepsuł mu się samochód i nie ma z nikim kontaktu, a nie ma jak wrócić bezpiecznie do domu. Atakujący wybiera drobne kwoty, ale taką prośbę roześle do 20, 50, czy 100 znajomych. Któż nie pomoże przyjacielowi, czy znajomemu, w nagłej potrzebie?

Jednym z najbardziej newralgicznych dokumentów w polskim systemie jest dowód osobisty. To za pomocą tego dokumentu uwierzytelniamy swoją tożsamość w fizycznej placówce banku czy operatora telefonii komórkowej, ale możemy to zrobić także w sieci. Kradnąc fizycznie czyjś dokument możemy przecież założyć na dane ofiary internetowe konto bankowe czy spróbować przejąć jego konto w serwisie społecznościowym. Blankiet dowodu osobistego zawiera wszystkie niezbędne dane do przejęcia czyjejś tożsamości, w tym numer PESEL. O fizycznych aspektach ochrony swoich dokumentów nie trzeba się chyba rozpisywać – należy po prostu nikomu ich nie przekazywać, nie udostępniać, nie zezwalać na kserowanie przez nieuprawnione do tego podmioty, czy nie zostawiać w miejscach w których mogą paść ofiarą złodziejów.

Wiele osób do skanu swoich dowodów podchodzi dosyć nonszalancko, pozostawiając ich kopie w przeróżnych usługach chmury, na skrzynkach mailowych, niezabezpieczonych należycie kontach ftp i innych. Dokumenty te, w przypadku włamań, wycieków, czy innej działalności internautów o niezbyt uczciwych zamiarach, trafiają następnie do wielu miejsc do których trafić nie powinny. Tymczasem to, kto może prosić nas o okazanie dokumwentu tożsamości w celu wykonania jego fotokopii jest jasno ustalone w Ustawie z dnia 1 marca 2018 roku o Przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Dokumentów klienta nie mają prawa kserować np. siłownie (co jeszcze do niedawna było dość częstą praktyką).

Dane ofiar mogą być pozyskiwane przez przestępców także z wykorzystaniem socjotechnik. Są to takie działania za pomocą których atakujący nakłania ofiarę do ujawnienia jakichś informacji, które mogą w przyszłości posłużyć do ataku, a które, w normalnych okolicznościach nie zostałyby ujawnione. Atakujący wykorzystuje zazwyczaj jakiś mechanizm uwierzytelniania się i wzbudzenia zaufania: dzwonię z gazowni, w celu aktualizacji danych, proszę o podanie swojego numeru PESEL.

{loadmoduleid 1123}