Dzień jak co dzień. Wstajemy, logujemy się do social media i widzimy tweeta, że Elon Musk i Bill Gates rozdają bitcoiny w zamian za małą wpłatę na portel kryptowalut. Brzmi jak coś niewiarygodnego? A jednak, w lipcu 2020 roku osoby przesiadujące na twitterze miały okazję zobaczyć to na własne oczy. Brzmi jak coś tak głupiego, że nikt nie dałby się na to nabrać? Hackerowi udało się zebrać ponad 100 tys. $ na podstawie kilku takich tweetów. Czym jest kradzież tożsamości i czy jest to realne zagrożenie dzisiejszych czasów? Do czego zdolna może być osoba, której uda się pozyskać prywatne dane? Jakie mogą być tego skutki, jakie techiniki stosują oszuści w dzisiejszych czasach i jak można się przed tym chronić?

Co to jest kradzież tożsamości?

Gdy ktoś używa Twoich danych podszywając się pod Ciebie i próbując Cię okraść, to wtedy oczywiście dochodzi do kradzieży tożsamości, ale czy tylko wtedy? Otóż nie, każde przestępstwo, w którym używamy danych innej osoby w nieuczciwym celu możemy nazwać kradzieżą tożsamości. Dotyczy to zarówno kradzieży danych osobistych takich jak imię, nazwisko pesel, jak i loginów i haseł pozwalających dostać się do kont w aplikacjach jak i również prywatnych danych z social mediów.

Rodzaje kradzieży tożsamości

Sposobów na które można popełnić kradzież tożsamości jest wiele, przykładowe oszustwa jakie możemy napotkać to:

1. Kradzież tożsamości na tle kryminalnym
   Z tym sposobem oszustwa mamy do czynienia, gdy ktoś używa nasz dokument aby uniknąć mandatu, bądź też umyślnie chce abyśmy go dostali. W takim wypadku osoba, która oszukuje może zachować czystą kartotekę, a osoba ścigana dowiaduje się o tym dopiero gdy dowie się o mandacie.
2. Tworzenie syntetycznej tożsamości
   Kradzieże przy użyciu tożsamość syntetycznej, jest jedną z najnowocześniejszych metod oszustwa, osobowość syntetyczna jest stworzona na podstawie prawdziwych danych, natomiast cała osobowość nie istnieje.
3. Kradzież danych kart kredytowych lub debetowych
   Ten rodzaj kradzieży dotyczy zdobywania danych kart kredytowych lub debetowych za pomocą których można dokonywać samodzielnie zakupów oraz autoryzacji. Aby zdobyć dane takich kart wcale nie potrzebujemy fizycznej kopii karty, najczęściej dane z kart możemy zdobyć poprzez programy szpiegowskie używane u osób, które dokonują transakcji online.
4. Oszustwa pożyczkowe
   Oszustwa pożyczkowe mają miejsce, gdy fałszywemu kredytobiorcy zostaje udzielona pożyczka bądź ich seria na podstawie fałszywych, podrobionych bądź też skradzionych danych.
5. Kradzież tożsamości medycznej
   Ten rodzaj oszustwa polega na podszywaniu się pod osobę w celu zdobycia przywilejów w sektorze medycznym, może być to zdobywanie niedostępnych recept, czy też wykonywanie usług medycznych na koszt pokrzywdzonego.
6. Kradzież tożsamości za pomocą IoT
   Jest to jedna z najnowszych form oszustwa, za pomocą dostępu urządzeń do IoT hakerzy są w stanie uzyskać dostęp do smartfonów, wyłączyć alarmy czy nawet uruchomić automatycznie samochód.
7. Kradzież kont na portalach społecznościowych
   O ile ten rodzaj oszustwa zazwyczaj nie wiążę się z takimi samymi stratami jak w przypadku kradzieży dostępu do konta bankowego, tak nie trudno sobie wyobrazić sytuację, gdy ktoś w Twoim imieniu wysyła wirusy do znajomych, wystawia obraźliwe posty, komentarze lub opinie w Twoim imieniu czy też publikuje żenujące treści i nikt z nas nie chciałby, żeby to jego spotkało. Jeżeli chodzi o skalę zagrożenia, to zdecydowanie rośnie ona, nim konto należy do osoby rozpoznawalnej, co znacząco zwiększa potencjał na udane oszustwo. Przykładowo w lipcu 2020 roku na twitterze zostały przejęte konta znanych osób jak Bill Gates czy Elon Musk, za pomocą których hacker podjął próbę wyłudzenia bitcoinów za pomocą poniższego tweeta:

   

   W ten sposób udało się zebrać sprawcy ponad 117 tys. dolarów. Biorąc pod uwagę jaką siłę w mediach społecznościowych posiada Elon Musk i jakie możliwości miał włamywacz, to możemy stwierdzić, że ta próba do zbyt udanych nie należała.

Dlaczego oszuści dopuszczają się takich kradzieży, jakie straty może ponieść osoba pokrzywdzona?

Zyski osoby dokonującej kradzieży tożsamości:

Kradzież tożsamości może przynieść złodziejowi wiele korzyści, oczywiście wyrządzonych na krzywdę osoby której tożsamość jest skradziona. Przede wszystkim, wśród motywacji przestępców korzystających z tej techniki, znaleźć można chęć osiągnięcia korzyści finansowych.

Przykładowo, jeżeli nasze dane bankowe, takie jak numer karty kredytowej dostaną się w niepowołane ręce złodzieja – poza możliwością dokonywania płatności online przy pomocy tej karty – może on zaaplikować jednocześnie o kredyt w naszym imieniu w wielu bankach. Szczególnym przypadkiem tego typu kradzieży są dane osoby niepełnoletniej, np. studiującej, gdzie narażona ona jest na to, że złodziej zaczerpnie kredyt studencki w jej imieniu. W innej sytuacji, gdy skradzione nam zostają dane podatkowe, możemy być narażeni na to, że ktoś zwróci się o zwrot naszego podatku.

Poza szkodami finansowymi, są też przypadki kradzieży danych medycznych. W tej sytuacji osoba dokonująca kradzieży może zwyczajnie źle życzyć swojej ofierze i przez ingerencje w ten rodzaj danych, może ona wprowadzić nieprawidłowe informacje do systemów medycznych, które wpłyną na decyzje lekarzy, wyrządzając ofierze krzywdę w postaci utraty zdrowia lub życia.

W innej sytuacji znowu, złodziei może mieć na celu uniknięcia szeroko rozumianej odpowiedzialności za czyny i zrzucić winę na osobę trzecią. Przykładem może być próba uniknięcia mandatu policyjnego lub ucieczka od innej odpowiedzialności cywilnej, takiej jak np. autoryzacja pewnej operacji w miejscu pracy danymi ofiary.

Straty na jakie narażona jest okradziona osoba:

Wśród strat jakie może ponieść ofiara kradzieży tożsamości należy wymienić:

• Szkoda finansowa
• Szkoda zdrowotna
• Szkoda wizerunkowa / reputacyjna
• Utrata zaufania i wiarygodności
• Odpowiedzialność prawna

Należy pamiętać o tym, że nawet jeżeli szybko uda się ofierze wykryć fakt, że została ofiarą kradzieży tożsamości, dochodzenie prawdy może okazać się wyjątkowo trudne, jeżeli nie dysponujemy żadnymi danymi osoby która korzystała z cudzych danych.

W celu dojścia prawdy, konieczne może okazać się kosztowne postępowanie sądowe, które będzie trzeba pokryć z własnej kieszeni, tracąc przy tym swój czas, energię i pieniądze.

Znaki, które mogę wskazywać że padło ofiarą kradzieży tożsamości

Poniżej przedstawiamy infografikę z przykładowymi znakami, które mogą pozwolić ocenić, czy padło się ofiarą:

Sposoby przeciwdziałania kradzieży tożsamości:

W celu zwalczania złodziei tożsamości i niwelowania prób takich ataków, opracowywane są systemy z dziedziny AI/ML, które są w stanie wykrywać przypadki nadużyć.

Wykrywanie fake-kont w serwisach społecznościowych

Jedną z technik kradzieży tożsamości jest zakładanie fikcyjnych kont w serwisach społecznościowych (i nie tylko), gdzie poprzez podanie danych osoby trzeciej złodziej próbuje wykorzystać zaufanie i reputację ofiary na swoją korzyść. Dlatego też ważne jest, by administracja serwisu przykładała dużą wagę do wiarygodności i autentyczności swoich użytkowników ale i do zwalczania nadużyć, celem zdobycia zaufania swoich klientów (Xiao 2015).

Korzystając z technik AI, budowane są rozwiązania które potrafią wykrywać zbiory podejrzanych kont między innymi poprzez:

• Analizę adresów IP, czasów i lokalizacji logowań do systemu
• Wyszukiwanie podobieństw między kontami (np. data rejestracji, podane dane)
• Analizę zachowań w systemie
• Wykrywanie jednakowych wiadomości (SPAMu)

Do niedawna, całkiem skuteczną, a przynajmniej powszechnie stosowaną techniką weryfikacji przy zakładaniu konta lub logowaniu się do systemu były kody CAPTCHA.

Niestety i tutaj znajdują zastosowanie systemy ML, które mogą działać na korzyść atakującego. Istnieją systemy które za symboliczną opłatą są w stanie automatycznie rozwiązywać tego typu kody, które mogą być np. prostą układanką / wykrywaniem obiektów na obrazach.

Poniżej przykładowe strony z których można skorzystać:

• https://2captcha.com/
• https://azcaptcha.com/demo
• https://captchas.io/

Wykrywanie kradzieży tożsamości przez analizę wzorców zachowań użytkowników e-commerce

Do innych zastosowań AI w przeciwdziałaniu przypadkom kradzieży tożsamości w serwisach internetowych, w szczególności platform e-commerce należy wykrywanie podejrzanych wzorców zachowań i blokowanie kont w których rozpoznano nadużycia (Vučković 2018).

W tym celu, korzysta się z modeli detekcji opartych o:

• logikę rozmytą
• sieci neuronowe
• inne modele machine-learning (ML)

Korzystanie z ochrony przed kradzieżą tożsamości stron trzecich

W dzisiejszych czasach wycieki danych personalnych już nikogo nie dziwią, często słyszymy o bazach danych, który zostały wykradzione ze znanych stron, a później wędrują na dark web. W świecie w którym cały świat opiera się na internecie nie trudno jest przewidzieć, że znajdą się osoby, które będą chciały to wykorzystać na swoją korzyść. Wraz z rosnącą popularnością takich ataków pojawiło się również wiele marek oferujących ochronę przed kradzieżą tożsamości. Między innymi jedną z nich jest IdentityForce, za odpowiednią opłatą oferują oni monitorowanie social media czy dark webów w celu wykrywania czy prywatne dane nie zostały ujawnione, również w ofercie znajdziemy różnego typu alarmowania podejrzanych sytuacji, czy też ubezpieczenie na wypadek nieudanej ochrony przed kradzieżą tożsamości. Czy taka ochrona ma sens, to już odrębna kwestia. O ile każdy z nas nie pogardziłby ochroną, ostrzeżeniem o wycieku danych, czy też ubezpieczeniem w razie niechcianego oszustwa, tak nie każdy jest skory do przeznaczenia na to 100zł/miesięcznie sądząc, że my sam jest w stanie się przed taką kradzieżą chronić będą ostrożnym w sieci. 

Dane biometryczne, a kradzież tożsamości:

Coraz częściej obserwuje się użycie biometrii w różnych systemach autoryzacji i zabezpieczeń (Kugler 2019). Przykładem tutaj mogą być:

• skanery linii papilarnych (np.YubiKey BIO)
• autoryzacja audio głosowa
• autoryzacja oparta o rozpoznawanie twarzy (np. wideo weryfikacyjne)

Jeżeli złodziej tożsamości wejdzie w posiadanie naszych danych biometrycznych, również jesteśmy narażeni na atak z wykorzystaniem tych danych. Niektóre z tego typu zabezpieczeń np. wideo są szczególnie narażone na atak w oparciu o DeepFake, jeżeli atakujący dysponuje zdjęciami ofiary.

Wśród zastosowań systemów AI,  do ciekawych rozwiązań należą systemy odprawowe linii lotniczych, które umożliwiałyby w oparciu o facial-recognition bezobsługową odprawę pasażerów na lotniskach. Nie trudno wyobrazić sobie przypadek, w którym poprzez oszukanie tego typu systemów, poprzez podanie się za osobę trzecią, atakujący może np. opuścić kraj korzystając z cudzego obywatelstwa.

AI wykorzystywane jest również eksperymentalnie w niektórych sieciach sklepów stacjonarnych, gdzie na podstawie obrazu z kamery i analizy zachowań klientów, rozpoznawane są osoby które potencjalnie mogą chcieć dokonać kradzieży.

Ekstremalnym przypadkiem wykorzystywania danych biometrycznych są Chiny, gdzie funkcjonują systemy facial-recognition, wykorzystujące AI do:

• monitorowania zachowań społecznych niezgodnych z normami, efektem może być obniżenie tzw. ‘Social credit score’ ofiary
• monitorowania ruchu drogowego i analizowania wypadków drogowych w celu zidentyfikowania sprawcy
• monitorowania wydarzeń publicznych i np. wykrywania osób z banerami przedstawiającymi kontrowersyjne lub opozycyjne hasła

Kradzież tego typu danych i próba oszukania takiego systemu może spowodować przysporzenie ofierze kradzieży tożsamości wiele problemów z tamtejszym prawem.

Podsumowanie

Kradzież tożsamości opisana w tym tekście jest realnym zagrożeniem, którego należy być świadomym by wiedzieć jak temu przeciwdziałać. Przede wszystkim każdy powinien zdawać sobie sprawę jak istotna jest:

• ochrona swoich danych mocnymi sposobami zabezpieczeń
• korzystanie tylko z zaufanych serwisów społecznościowych i platform płatniczych
• świadomość ryzyka i znajomość środków prewencji

Systemy AI są niewątpliwie obiecującym kierunkiem badań, ponieważ mogą one skutecznie wykrywać wszelkiego rodzaju nadużycia i im zapobiegać.

Literatura

• Nerdwallet “Identity Theft: What It Is, How to Prevent It, Warning Signs and Tips” https://www.nerdwallet.com/article/finance/how-to-prevent-identity-theft

• McAfee “5 Common Types of Identity Theft” https://www.mcafee.com/blogs/privacy-identity-protection/5-common-types-of-identity-theft/
• IdentityForce https://www.identityforce.com/personal/resource-articles
• Irshad, Shareen & Soomro, Tariq. (2018). Identity Theft and Social Media. 18.
• Jordan, G., Leskovar, R., & Marič, M. (2018). Impact of fear of identity theft and perceived risk on online purchase intention. Organizacija. Retrieved from https://organizacija.fov.um.si/index.php/organizacija/article/view/609
• Kugler, M. B. (2019). From identification to identity theft: public perceptions of biometric privacy harms. UC Irvine L. Rev., 10, 107.
• Vučković, Z., Vukmirović, D., Milenković, M. J., Ristić, S., & Prljić, K. (2018). Analyzing of e-commerce user behavior to detect identity theft. Physica A: Statistical Mechanics and its Applications, 511, 331-335.
• Xiao, C., Freeman, D. M., & Hwa, T. (2015, October). Detecting clusters of fake accounts in online social networks. In Proceedings of the 8th ACM Workshop on Artificial Intelligence and Security (pp. 91-101).
• Bynagari, N. B. (2015). Machine Learning and Artificial Intelligence in Online Fake Transaction Alerting. Engineering International, 3(2), 115-126. https://doi.org/10.18034/ei.v3i2.566