Groźba kradzieży wrażliwych danych, za pomocą których jesteśmy identyfikowani istnieje od wielu lat. W takim przypadku możemy mówić o kradzieży tożsamości. W dzisiejszych czasach, gdy dostęp do Internetu i jego usług jest powszechny, złodzieje mają ułatwione zadanie, a brak świadomości tego zjawiska jedynie potęguje ryzyko. W jaki sposób możemy zostać okradzeni i co możemy stracić? W jaki sposób można się zabezpieczyć?

Czym jest kradzież tożsamości

Wiele ustaw i dokumentów na całym świecie podaje definicję kradzieży tożsamości. Polskie prawo definiuje ją jako podszywanie się pod inną osobę i wykorzystywanie jej wizerunku lub innych danych osobowych w celu wyrządzenia jej szkody majątkowej lub osobistej (art. 190a § 2 k.k.). W dokumencie Komisji Wspólnot Europejskich “W kierunku ogólnej strategii zwalczania cyberprzestępczości“ kradzież tożsamości jest zdefiniowana jako wykorzystywanie identyfikujących danych personalnych np. numer karty kredytowej, jako narzędzia do popełnienia innych przestępstw. Z kolei amerykańska ustawa o kradzieży tożsamości mówi o świadomym transferowaniu, posiadaniu lub użyciu bez upoważnienia informacji służących do identyfikacji innej osoby w celu popełnienia czynu zabronionego [3]. W każdej z definicji cechą wspólną jest bezprawne wejście w posiadanie i wykorzystywanie danych osobowych innej osoby w celu popełnienia przestępstwa.

Podatności i sposoby na kradzież

Kradzież tożsamości staje się coraz powszechniejszym zjawiskiem, którego skala pogłębia się wraz z rosnącym rozwojem technologicznym. Obecnie kradzież tożsamości jest jednym z największych zagrożeń związanych z aktywnością w sieci. Nowoczesne technologie informacyjne opierają się na nowych sposobach identyfikacji, w których często nie ma bezpośredniego kontaktu pomiędzy osobą, która podaje dane osobowe, a tą, która je weryfikuje. Częściej też weryfikuje się, co dana osoba posiada (login, hasło, dokument tożsamości), a nie to, kim dana osoba jest (sprawdzenie linii papilarnych lub wzoru siatkówki oka). To powoduje, że kradzież tożsamości jest ułatwiona, a także ryzyko wykrycia przestępstwa jest mniejsze. Dodatkowo dane osobowe są przetwarzane na coraz większą skalę i dostępne są w różnych bazach danych. Podmioty publiczne, a także prywatne są w posiadaniu ogromnych baz danych osobowych, co może być celem ataku przestępców. W takim przypadku ofiary ataku nawet nie wiedzą skąd zostały skradzione ich dane osobowe.

Samych sposobów na kradzież jest wiele, ale z tych “najpopularniejszych” można wyróżnić:

1. metody elektroniczne – sprawca pozyskuje wrażliwe dane za pomocą technik komputerowych czyli programów szpiegowskich typu spyware, koni trojańskich, wirusów lub tzw. phishingu,
2. wyłudzenie danych – sprawca poprzez różnego rodzaju pozorne działania (np. zainteresowanie CV danej osoby) uzyskuje dane bezpośrednio od ofiary,
3. podejrzenie danych – sprawca pozyskuje dane wskutek obserwacji ofiary (np. przy bankomacie),
4. zakup danych na czarnym rynku – sprawca kupuje już ukradzione dane np. w celu podszycia się i dokonania czynu zabronionego,
5. przejęcie słabo chronionych kont internetowych – takie konto może mieć przypisane różne wrażliwe dane.

Możliwe konsekwencje

“Rzeczpospolita” pod koniec 2019 podawała, że ponad jedna piąta Polaków była ofiarą kradzieży tożsamości [4]. Osoba, która posiada komplet danych, wymaganych do uwierzytelnienia w danym systemie ma dostęp do możliwości oferowanych przez ten system, które mogą wpłynąć na korzyść atakującego. Badania wykonane przez biuro GIODO (Generalny Inspektor Ochrony Danych Osobowych) w 2014 roku [5] przedstawiają konsekwencje, którymi zostały dotknięte ofiary kradzieży tożsamości. Poniższe sekcje przyglądają się im z bliska.

Straty moralne

Osoba, która podszywa się pod kogoś innego może np. celowo łamać netykietę i regulaminy na stronach internetowych, publikować niecenzuralne treści czy publikować prywatne dane ofiary. Prowadzi to do strat moralnych, która są związane z emocjami i ludzką psychiką i które są ciężkie do odbudowania.

Straty finansowe

Jest to główny cel atakujących. Będąc w posiadaniu odpowiednich danych można wykraść pieniądze z konta bankowego lub wziąć kredyt. Przy wykorzystaniu cudzych danych można również wynająć mieszkanie lub samochód. W Stanach Zjednoczonych istnieje zjawisko kradzieży tożsamości medycznej, gdzie dane ofiary są wykorzystywane do opłacania kosztownych terapii.

Straty własności intelektualnej

Podszycie się pod kogoś innego może umożliwić dostęp do repozytoriów, w których znajdują się prywatne dane stanowiące własność intelektualną. Przykładem może być serwis GitHub, w którym programiści przechowują kod aplikacji.

W marcu 2022 roku, hakerzy z grupy Lapsus$, posługując się kontem jednego z inżynierów wykradli od Microsoftu kod źródłowy wyszukiwarki Bing oraz asystenta głosowego Cortana. [6]

Strata czasu

Osoba, która podszywa się pod kogoś innego może celowo podejmować akcje, które nie prowadzą do strat moralnych czy finansowych, jednak potrzeba czasu na rozwiązanie problemu. Przykładem jest robienie niechcianych zamówień ze sklepów internetowych.

Strata zdrowia

Każda z powyższych strat może doprowadzić do utraty zdrowia psychicznego.

 

Jak się zabezpieczyć

Z roku na rok rośnie świadomość ryzyka jakie niesie ze sobą kradzież tożsamości. Dodatkowo, na przestrzeni ostatnich lat powstało wiele metod na zabezpieczenie się przed wykradzeniem danych. Przede wszystkim należy pamiętać o tym żeby dokumenty takie jak dowód osobisty, paszport czy prawo jazdy przechowywać w bezpiecznym miejscu. Nie należy przekazywać tych dokumentów osobom trzecim, gdy nie jest to konieczne. Kopiowanie dokumentów powinno być uzasadnione.

W przypadku korzystania z internetu istnieje szereg reguł, których spełnianie zwiększa nasze bezpieczeństwo:

• należy korzystać ze sprawdzonego programu antywirusowego,
• zakupy należy robić w sprawdzonych i bezpiecznych sklepach internetowych,
• nie powinno się odczytywać maili niewiadomego pochodzenia i otwierać przypadkowych linków,
• hasła powinny być różnorodne i zmieniane co kilka miesięcy,
• nie należy korzystać z automatycznego zapamiętywania haseł w przeglądarce (zamiast tego lepiej użyć zaszyfrowanego managera haseł),
• po dokonaniu transakcji należy się wylogować z aplikacji bankowej.

Kolejnym czynnikiem wpływającym na bezpieczeństwo naszej tożsamości i prywatność w globalnej sieci są pliki cookies, czyli tzw. ciasteczka. Służą one do zapisu informacji na temat naszej aktywności w internecie. Dzięki nim nie musimy każdorazowo uzupełniać koszyka w e-sklepie po ponownym wejściu na stronę, przed finalizacją zakupu. Służą również do automatycznego zapamiętywania naszego logowania w różnych serwisach. Mają swoje zalety, jednakże ich obecność może nieść za sobą też pewne niebezpieczeństwa.

Ciasteczka są wykorzystywane również przez portale takie jak Facebook czy Google do gromadzenia bardzo precyzyjnych informacji na nasz temat, które później pozwalają na dokładne targetowanie reklam. Dane te wpływają negatywnie na nasz poziom prywatności. Ponadto przestępcy mogą je wykorzystać od innych celów, które przekładają się na nasze bezpieczeństwo. Z tego powodu warto korzystać z trybu incognito (który jednak nie zabezpiecza nas w 100% przed śledzeniem!), a także uważać na to, jakie zgody wyrażamy po wejściu na stronę.

Osoby podróżujące oraz biznesmeni w delegacji często zapominają o zagrożeniach, jakie niesie za sobą korzystanie z bezpłatnych, ogólnodostępnych sieci Wi-Fi na dworcach kolejowych i autobusowych, stacjach metra i lotniskach, a także w restauracjach czy hotelach. Warto odpowiednio się zabezpieczyć i łączyć się z internetem jedynie poprzez tzw. hotspot, który jest popularną funkcją nowoczesnych telefonów komórkowych. Będąc w podróży, nie zostawiajmy także naszego laptopa bez opieki.

Niezależnie od tego, czy jesteśmy przekonani o bezpieczeństwie sieci bezprzewodowej, z którą się łączymy, dobrą praktyką jest stosowanie tunelu VPN. Stanowi on dodatkową ochronę przed kradzieżą naszej tożsamości w wirtualnym świecie. W istocie rozwiązanie polega na tym, że łączymy się bezpośrednio z określoną infrastrukturą sieciową (np. domową lub firmową), a transmisja pomiędzy naszym komputerem a routerem brzegowym nie może być w żaden sposób podsłuchana.

Dodatkowo, wiele stron i serwisów internetowych stosuje dwuetapowe logowania oparte o kody jednorazowe, tokeny i hasła przesyłane sms-em lub e-mailem. Coraz większą popularność zyskują podpisy elektroniczne. Mimo tych wszystkich zabezpieczeń, nie ma stuprocentowej gwarancji bezpieczeństwa. Jednakże współczesny rozwój techniczny umożliwia wprowadzenie zabezpieczenia, które w znacznym stopniu powinno ograniczyć przypadki kradzieży tożsamości w bankowości internetowej, mianowicie identyfikacji opartej na cechach biometrycznych. Dostęp do konta możliwy będzie po uprzedniej autoryzacji cechy biometrycznej zapisanej na karcie chipowej z wzorem przyłożonym do specjalnego czytnika na odcisk palca, układ żył palca czy dłoni. Choć metoda ta gwarantuje jak dotąd najwyższy poziom bezpieczeństwa uniemożliwiając przypadkowe przejęcie cechy biometrycznej, pamiętać należy, iż nie wyeliminuje ona całkowicie kradzieży tożsamości. Przestępcy trudniący się przejmowaniem tożsamości z czasem niewątpliwie znajdą sposób na ominięcie zabezpieczeń. Jednak będzie to wymagało dużego nakładu czasu i pieniędzy. Pocieszające jest więc to, iż tylko niewielka grupa przestępców będzie mogła sobie na to pozwolić [7].

 

Źródła

[1] https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU19970880553/U/D19970553Lj.pdf, art. 190a § 2.

[2] https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:52007DC0267&from=PL

[3] https://www.congress.gov/bill/105th-congress/senate-bill/512

[4] https://www.rp.pl/sady-i-trybunaly/art1027921-kradziez-tozsamosci-co-piaty-polak-padl-ofiara-przestepcow

[5] https://archiwum.giodo.gov.pl/pl/file/6594

[6] https://www.computerworld.pl/news/Microsoft-potwierdza-padl-ofiara-ataku-hakerskiego,437176.html

[7] https://blog-daneosobowe.pl/kradziez-tozsamosci-w-internecie/