{"id":959,"date":"2019-04-08T18:48:23","date_gmt":"2019-04-08T18:48:23","guid":{"rendered":"http:\/\/newgeekweb.fightcar.webd.pl\/index.php\/2019\/04\/08\/tobie-tez-mozna-ukrasc-tozsamosc\/"},"modified":"2024-05-18T17:05:51","modified_gmt":"2024-05-18T17:05:51","slug":"tobie-tez-mozna-ukrasc-tozsamosc","status":"publish","type":"post","link":"https:\/\/geekweb.pl\/index.php\/2019\/04\/08\/tobie-tez-mozna-ukrasc-tozsamosc\/","title":{"rendered":"Tobie te\u017c mo\u017cna ukra\u015b\u0107 to\u017csamo\u015b\u0107"},"content":{"rendered":"\"\"\n

To drugi z cyklu tekst\u00f3w pod wsp\u00f3lnym tytu\u0142em Nie daj si\u0119 okra\u015b\u0107<\/em>. Tym razem rzecz tyczy si\u0119 kradzie\u017cy to\u017csamo\u015bci.<\/p>\n

<\/p>\n

Kiedy rozmawiam z lud\u017ami o cyberbezpiecze\u0144stwie<\/strong> zazwyczaj pada stwierdzenie, \u017ce nie ma mi czego ukra\u015b\u0107<\/em>. To reakcja na przedstawiane przeze mnie, r\u00f3\u017cne, metody oszustw<\/strong>, w kontek\u015bcie atak\u00f3w, jakie stosuj\u0105 przest\u0119pcy, aby wytransferowa\u0107 \u015brodki z konta swojej ofiary. Jest jednak co\u015b znacznie cenniejszego, co cyberprzest\u0119pca mo\u017ce przej\u0105\u0107, nawet je\u015bli nie posiadamy \u017cadnych materialnych\u00a0 \u015brodk\u00f3w. To nasza to\u017csamo\u015b\u0107, kt\u00f3ra na poz\u00f3r mo\u017ce nie wydawa\u0107 si\u0119 czym\u015b szczeg\u00f3lnie atrakcyjnym, a tak naprawd\u0119 jest \u0142akomym k\u0105skiem w\u015br\u00f3d sieciowych w\u0142amywaczy.<\/p>\n

\"\"<\/figure>\n

Jedno has\u0142o mam<\/h1>\n

Jednym z g\u0142\u00f3wnych grzeszk\u00f3w internaut\u00f3w jest u\u017cywanie jednego has\u0142a do wszystkich<\/strong> lub wielu serwis\u00f3w internetowych. To prosta droga do przej\u0119cia konta przez atakuj\u0105cego. Nie jest chyba dla nikogo zaskoczeniem, \u017ce pot\u0119\u017cne bazy danych login\u00f3w, adres\u00f3w mail i hase\u0142 wyp\u0142ywaj\u0105 co jaki\u015b czas i nawet najwi\u0119ksi mieli z tym problem, chocia\u017cby Facebook, Dropbox, LinkedIn<\/em> i inne. U\u017cywaj\u0105c jednego has\u0142a do wielu serwis\u00f3w nara\u017casz si\u0119 wi\u0119c na przej\u0119cie wielu swoich kont jednocze\u015bnie. Atakuj\u0105cy, kt\u00f3ry nie musi posiada\u0107 jakiej\u015b szczeg\u00f3lnie skomplikowanej wiedzy technicznej, maj\u0105c dost\u0119p do skradzionej lub takiej bazy danych, kt\u00f3ra z jakich\u015b przyczyn znalaz\u0142a si\u0119 w przestrzeni publicznej. Je\u015bli wi\u0119c wyciek\u0142a baza danych u\u017cytkownik\u00f3w LinkedIn<\/em>, a ty masz takie samo has\u0142o do tego serwisu, Facebooka i jeszcze kilku innych, to nie s\u0105 to ju\u017c twoje konta. Szczeg\u00f3lnie, je\u015bli zasad\u0119 jedno has\u0142o do jednej us\u0142ugi traktujesz tak samo powa\u017cnie jak zasad\u0119 zmiany hase\u0142 nie rzadziej ni\u017c raz na 30 dni.<\/p>\n

I co mi zrobisz?<\/h1>\n

Przej\u0119cie konta<\/strong> w jakim\u015b serwisie spo\u0142eczno\u015bciowym mo\u017ce wi\u0105za\u0107 si\u0119 z wieloma nieprzyjemno\u015bciami. Atakuj\u0105cy otrzymuj\u0105c do niego dost\u0119p mo\u017ce publikowa\u0107 kompromituj\u0105ce tre\u015bci i wysy\u0142a\u0107 takowe do znajomych ofiary. Mo\u017ce tak\u017ce wykorzysta\u0107 zaufanie znajomych ofiary i poprosi\u0107 ich, w jej imieniu, o po\u017cyczk\u0119 (koniecznie przelewem natychmiastowym), bo akurat zepsu\u0142 mu si\u0119 samoch\u00f3d i nie ma z nikim kontaktu, a nie ma jak wr\u00f3ci\u0107 bezpiecznie do domu. Atakuj\u0105cy wybiera drobne kwoty, ale tak\u0105 pro\u015bb\u0119 roze\u015ble do 20, 50, czy 100 znajomych. Kt\u00f3\u017c nie pomo\u017ce przyjacielowi, czy znajomemu, w nag\u0142ej potrzebie?<\/p>\n

Facebook od jakiego\u015b czasu udost\u0119pnia tak\u017ce us\u0142ug\u0119 Marketplace<\/em>, czyli miejsce na wz\u00f3r OLX, gdzie mo\u017cemy kupi\u0107 i sprzeda\u0107 r\u00f3\u017cne przedmioty. Atakuj\u0105cy dysponuj\u0105c czyim\u015b kontem mo\u017ce zastosowa\u0107 tutaj metod\u0119 oszustwa phishingowego<\/strong><\/em>, opisywan\u0105 ju\u017c przeze mnie w pierwszym tek\u015bcie z cyklu Nie daj si\u0119 okra\u015b\u0107<\/em><\/a>. W ten spos\u00f3b uzyskuje dane kolejnych ofiar, kt\u00f3re mo\u017ce wykorzysta\u0107 przygotowuj\u0105c kolejne ataki, czyszcz\u0105c przy okazji konto aktualnej ofiary.<\/p>\n

Wskaz\u00f3wka:<\/strong> U\u017cywaj jednego has\u0142a do jednej us\u0142ugi czy serwisu. Zmieniaj has\u0142a regularnie, stosuj do tego celu managera hase\u0142. Zastosuj, tam gdzie jest to mo\u017cliwe, dwusk\u0142adnikow\u0105 weryfikacj\u0119 konta.<\/pre>\n
\"\"<\/figure>\n
Chro\u0144 swoje dokumenty<\/h1>\n
Jednym z najbardziej newralgicznych dokument\u00f3w w polskim systemie jest dow\u00f3d osobisty<\/strong>. To za pomoc\u0105 tego dokumentu uwierzytelniamy swoj\u0105 to\u017csamo\u015b\u0107 w fizycznej plac\u00f3wce banku czy operatora telefonii kom\u00f3rkowej, ale mo\u017cemy to zrobi\u0107 tak\u017ce w sieci. Kradn\u0105c fizycznie czyj\u015b dokument mo\u017cemy przecie\u017c za\u0142o\u017cy\u0107 na dane ofiary internetowe konto bankowe czy spr\u00f3bowa\u0107 przej\u0105\u0107 jego konto w serwisie spo\u0142eczno\u015bciowym. Blankiet dowodu osobistego zawiera wszystkie niezb\u0119dne dane do przej\u0119cia czyjej\u015b to\u017csamo\u015bci, w tym numer PESEL. O fizycznych aspektach ochrony swoich dokument\u00f3w nie trzeba si\u0119 chyba rozpisywa\u0107 – nale\u017cy po prostu nikomu ich nie przekazywa\u0107, nie udost\u0119pnia\u0107, nie zezwala\u0107 na kserowanie przez nieuprawnione do tego podmioty, czy nie zostawia\u0107 w miejscach w kt\u00f3rych mog\u0105 pa\u015b\u0107 ofiar\u0105 z\u0142odziej\u00f3w.<\/p>\n
Wskaz\u00f3wka:<\/strong> Podmioty, kt\u00f3re maj\u0105 prawo w toku \u015bwiadczonych przez siebie us\u0142ug kserowa\u0107 dow\u00f3d osobisty klienta wymienione s\u0105 w Ustawie z dnia 1 marca 2018 roku o Przeciwdzia\u0142aniu praniu pieni\u0119dzy i finansowaniu terroryzmu. Dokument\u00f3w klienta nie maj\u0105 prawa kserowa\u0107 np. si\u0142ownie.<\/pre>\n
Wiele os\u00f3b do skanu swoich dowod\u00f3w podchodzi dosy\u0107 nonszalancko, pozostawiaj\u0105c ich kopie w przer\u00f3\u017cnych us\u0142ugach chmury, na skrzynkach mailowych, niezabezpieczonych nale\u017cycie kontach ftp i innych. Dokumenty te, w przypadku w\u0142ama\u0144, wyciek\u00f3w, czy innej dzia\u0142alno\u015bci internaut\u00f3w o niezbyt uczciwych zamiarach, trafiaj\u0105 nast\u0119pnie do wielu miejsc do kt\u00f3rych trafi\u0107 nie powinny.<\/p>\n
Wskaz\u00f3wka<\/strong>: Je\u015bli ju\u017c musisz wykona\u0107 skan swojego dokumentu to\u017csamo\u015bci zas\u0142o\u0144 te dane, kt\u00f3re nie s\u0105 konieczne do weryfikacji jakiej\u015b us\u0142ugi. Mo\u017cesz tak\u017ce doda\u0107 na skanie znak wodny z dat\u0105 i wpisanym konkretnym celem dla kt\u00f3rego zosta\u0142 on wykonany.<\/pre>\n
Dokumenty kolekcjonerskie<\/h2>\n
To szczeg\u00f3lny przypadek. Tak zwane dokumenty kolekcjonerskie by\u0142y ju\u017c bohaterami kilku telewizyjnych reporta\u017cy. S\u0105 to pseudodokumenty, kt\u00f3re za kilkaset z\u0142otych mo\u017cna zam\u00f3wi\u0107 w sieci na dowolne dane, z dowolnym zdj\u0119ciem (jak ten dow\u00f3d osobisty powy\u017cej). Problem tkwi w tym, \u017ce tego typu pseudodokument jest praktycznie nie do odr\u00f3\u017cnienia od prawdziwego. Pos\u0142u\u017cy\u0107 mo\u017ce oszustowi do zak\u0142adania kont internetowych na dowolne, wybrane przez siebie (wcze\u015bniej skradzione komu\u015b) dane czy przej\u0119cie czyjego\u015b numeru telefonu – w ten spos\u00f3b uzyska dost\u0119p np. do jednorazowych hase\u0142 SMS uwierzytelniaj\u0105cych przelewy bankowe. Tego typu oszustwo polega na wykonaniu duplikatu karty SiM w plac\u00f3wce operatora, podczas kt\u00f3rej oszust pos\u0142uguje si\u0119 opisywanym tutaj dokumentem kolekcjonerskim na dane prawdziwego w\u0142a\u015bciciela numeru i swoim zdj\u0119ciem.<\/p>\n
Socjotechniki<\/h1>\n
Dane ofiar mog\u0105 by\u0107 pozyskiwane przez przest\u0119pc\u00f3w tak\u017ce z wykorzystaniem socjotechnik<\/strong>. S\u0105 to takie dzia\u0142ania za pomoc\u0105 kt\u00f3rych atakuj\u0105cy nak\u0142ania ofiar\u0119 do ujawnienia jakich\u015b informacji, kt\u00f3re mog\u0105 w przysz\u0142o\u015bci pos\u0142u\u017cy\u0107 do ataku, a kt\u00f3re, w normalnych okoliczno\u015bciach nie zosta\u0142yby ujawnione. Atakuj\u0105cy wykorzystuje zazwyczaj jaki\u015b mechanizm uwierzytelniania si\u0119 i wzbudzenia zaufania: dzwoni\u0119 z gazowni, w celu aktualizacji danych, prosz\u0119 o podanie swojego numeru PESEL<\/em>.<\/p>\n
Jak wida\u0107 metod na przej\u0119cie czyjej\u015b to\u017csamo\u015bci<\/strong> jest wiele, a atak mo\u017ce zosta\u0107 przeprowadzony z wykorzystaniem jednej z opisywanych metod, lub by\u0107 maria\u017cem kilku takich metod. Kreatywno\u015b\u0107 przest\u0119pc\u00f3w jest bardzo wielka i niewykluczone s\u0105 tak\u017ce takie, kt\u00f3re w og\u00f3le nie zosta\u0142y w tym tek\u015bcie opisane. Opr\u00f3cz zasad ograniczonego zaufania i rad zawartych w tek\u015bcie dost\u0119pne s\u0105 tak\u017ce narz\u0119dzia w postaci zastrzegania dokument\u00f3w (np. w przypadku ich zgubienia), lub zastrzegania swojego numeru PESEL (bezpiecznypesel.pl<\/em>). W takim przypadku nie b\u0119dzie mo\u017cliwo\u015bci wzi\u0119cia po\u017cyczki, czy kredytu na te dane. Je\u015bli masz jakie\u015b pytania zwi\u0105zane z opisywanym w tym tek\u015bcie tematem pisz prosz\u0119 w komentarzach. Na wszystkie postaram si\u0119 odpowiedzie\u0107.<\/p>\n
Nie daj si\u0119 okra\u015b\u0107 to cykl artyku\u0142\u00f3w, kt\u00f3re maj\u0105 przybli\u017cy\u0107 wam sposoby dzia\u0142ania oszust\u00f3w w sieci. Je\u015bli macie jakie\u015b pytania, w\u0105tpliwo\u015bci lub chcecie co\u015b doda\u0107 to zostawcie komentarz. Obiecuj\u0119 odnie\u015b\u0107 si\u0119 do ka\u017cdego z nich.<\/p>\n","protected":false},"excerpt":{"rendered":"
To drugi z cyklu tekst\u00f3w pod wsp\u00f3lnym tytu\u0142em Nie daj si\u0119 okra\u015b\u0107. Tym razem rzecz tyczy si\u0119 kradzie\u017cy to\u017csamo\u015bci.<\/p>\n","protected":false},"author":1,"featured_media":957,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[54,1093,594,1092,722,1091],"class_list":["post-959","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-internet","tag-cyberbezpieczenstwo","tag-dokumenty-kolekcjonerskie","tag-dowod-osobisty","tag-kradziez-tozsamosci","tag-nie-daj-sie-okrasc","tag-tozsamosc"],"_links":{"self":[{"href":"https:\/\/geekweb.pl\/index.php\/wp-json\/wp\/v2\/posts\/959","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/geekweb.pl\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/geekweb.pl\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/geekweb.pl\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/geekweb.pl\/index.php\/wp-json\/wp\/v2\/comments?post=959"}],"version-history":[{"count":1,"href":"https:\/\/geekweb.pl\/index.php\/wp-json\/wp\/v2\/posts\/959\/revisions"}],"predecessor-version":[{"id":9000,"href":"https:\/\/geekweb.pl\/index.php\/wp-json\/wp\/v2\/posts\/959\/revisions\/9000"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/geekweb.pl\/index.php\/wp-json\/wp\/v2\/media\/957"}],"wp:attachment":[{"href":"https:\/\/geekweb.pl\/index.php\/wp-json\/wp\/v2\/media?parent=959"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/geekweb.pl\/index.php\/wp-json\/wp\/v2\/categories?post=959"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/geekweb.pl\/index.php\/wp-json\/wp\/v2\/tags?post=959"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}