Większość z nas pilnuje jak oka w głowie kart płatniczych, nie podajemy nikomu PIN-ów, ani haseł do kont bankowych. Kluczy do mieszkania oraz kluczyków samochodowych nie wypuszczamy ręki lub z podręcznej torby. Ale tak naprawdę najważniejszym kluczem do naszych pieniędzy i naszego życia są… nasze dane. Jak ich skutecznie strzec? Dziś podpowiadamy
Nasze imię i nazwisko, zdjęcie, numer PESEL, dowód osobisty – lub choćby jego skan, kopia lub zdjęcie – to dane, które na „czarnym rynku” mają dużą wartość. W oparciu o nie można próbować sklonować czyjąś tożsamość i spróbować wyłudzić na cudze konto pieniądze. Albo wykorzystać posiadane informacje, by dostać się na rachunek bankowy ofiary i ją okraść.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Czytaj więcej na ten temat: Imię i nazwisko, PESEL, dowód osobisty, adres zamieszkania, wizerunek… To wszystko można stracić i bywa to groźniejsze, niż kradzież pieniędzy. Czym jest kradzież tożsamości i jak się przed nią obronić?
Więcej na temat ochrony tożsamości: znajdziesz na stronie cyklu edukacyjnego “Chroń swoje dane”. Zapraszam do jej odwiedzenia!
To ostatnie jest dużo trudniejsze, dlatego większość złodziei tożsamości, polujących na nasze dane, próbuje najzwyczajniej w świecie się pod nas podszyć. Nie jest to łatwe (instytucje finansowe coraz lepiej potrafią rozpoznawać „prawdziwych” klientów od oszustów), ale nie jest też niemożliwe. Niezależnie od tego jak skutecznie działa system antyfraudowy, nie warto zdawać się tylko na niego.
Oczywiście, nie na wszystko możemy mieć wpływ – czasem nasze dane mogą wypłynąć z instytucji, której je powierzyliśmy (co z tym robić – piszę w dalszej części tekstu). Jednak w większości przypadków ofiary kradzieży tożsamości lub pieniędzy (albo jednego i drugiego) same podają złodziejom potrzebne dane na złotej tacy.
Siedem porad dla ochrony tożsamości oraz danych
Jak możemy chronić dane na swój temat oraz swoją tożsamość? Najważniejsza jest oczywiście prewencja. Jest kilka zasad, których warto przestrzegać, by nie ułatwiać życia złodziejom. Oni czasem poszukują ofiar „na ślepo”. Jeśli zauważą, że mają do czynienia z rozsądnym, ostrożnym konsumentem, to zwykle odpuszczają i idą szukać dalej.
Z kolei jeśli zauważą, że ich potencjalna ofiara lekko obchodzi się ze swoimi danymi, to przeważnie się do niej „przytulają” na dłużej. Nawet jeśli za pierwszym razem „obiekt” nie da się nabrać, to za którymś razem w końcu „pęknie”.
Jakie więc zasady warto stosować, by ograniczyć ryzyko sklonowania naszej tożsamości przez złych ludzi? Poniżej wymieniam te najważniejsze, których przestrzeganie najbardziej utrudnia życie złodziejom.
- Pilnuj dowodu osobistego. Nie dawaj kserować jeśli nie musisz, nie zostawiaj w zastaw
W wielu instytucjach, urzędach, bankach, firmach energetycznych i telekomunikacyjnych, u różnych innych usługodawców mają ogromne parcie, żeby kserować i skanować nasze dowody osobiste. Jeśli chodzi o banki, to prawo w tej sprawie staje po ich stronie. Niestety, było pisane jeszcze w czasach, kiedy nikt nie myślał o zakładaniu kont „na słupa”.
Ale nawet jeśli chcą nam kserować lub skanować dowód osobisty w placówce banku, to możemy próbować negocjować zrobienie jakiegoś dopisku (np. “kopia zrobiona dla banku takiego-a-takiego w dniu takim-a-takim), zakrycie fragmentu danych, by nawet w razie wycieku złodziej tożsamości nie otrzymał „dziewiczego” skanu albo kopii naszego dowodu osobistego. Bankowcy nie muszą się na to zgodzić – szczerze pisząc, często się nie chcą godzić na żadną ingerencję w skan – ale warto przynajmniej spróbować, polityka bankowców jest w tej kwestii zróżnicowana.
O ile jednak w bankach pracownicy są wyczuleni na ochronę danych i tajemnicę bankową (za jej złamanie grożą bankom surowe kary), to na pewno trzeba starać się, żeby możliwie niewiele skanów naszego ID „latało” po mieście z tytułu tego, że gdzieś zostawiliśmy dowód osobisty jako zastaw, albo daliśmy go sobie zeskanować w jakimś urzędzie, sklepie, firmie usługowej.
Ogromny problem jest z firmami telekomunikacyjnymi. One, nawet przy standardowych czynnościach takich jak przedłużanie abonamentu na telefon, często chcą skanować lub kserować nasze dowody osobiste. Urząd Ochrony Danych Osobowych jakiś czas temu ogłosił, że telekomy nie mają do tego prawa. Owszem, pracownik może dowód dokładnie obejrzeć, sporządzić z niego notatkę, ale nie może robić kopii, ani skanu. Wciąż dostaję sygnały, że pracownicy firm telekomunikacyjnych nie chcą się stosować do tych reguł.
W kłopocie są też osoby, które prowadzą pod swoim nazwiskiem działalność gospodarczą. W wielu miejscach dowiedzą się, że prawo konsumenckie, ograniczające prawo do kopiowania dowodów osobistych po prostu… ich nie dotyczy. Dość często w firmach telekomunikacyjnych klienci-przedsiębiorcy dowiadują się, że gdyby występowali jako konsumenci, to kserokopii dowodu osobistego nie musieliby zostawiać. A że występują jako przedsiębiorcy – muszą.
Dość popularną praktyką do niedawna było zostawianie dowodu osobistego w zastaw za klucze do szafki na pływalni, w klubie tenisowym albo na klubie fitness. To jest proszenie się o kłopoty. Osoba, która dostaje do ręki nasz dowód osobisty, może z nim zrobić wszystko – skserować, zrobić zdjęcie, zeskanować. I sprzedać na „czarnym rynku” za niemałe pieniądze. Starajmy się – w miarę możliwości – nie wypuszczać dowodu osobistego z rąk.
A co z sytuacją, w której jakaś firma prosi nas o skan dowodu osobistego, żeby założyć konto w jakiejś usłudze? Cóż, jeśli jest to firma finansowa, bank albo organizacja blisko współpracująca z wieloma bankami, a transmisja jest szyfrowana (skan jest „dorzucany” w ramach formularza, a nie wysyłany zwykłym e-mailem) – możemy rozważyć taką weryfikację naszej tożsamości. Jeśli jednak jakaś firma prosi nas o przesłanie skanu przez e-mail, to nie gódźmy się na to.
- Nie dawaj nikomu do ręki karty płatniczej
Uważasz, że transakcje zbliżeniowe to zło? Owszem, jak się zgubi kartę, to można stracić parę złotych (bo przy małych transakcjach zbliżeniowych nie trzeba podawać PIN-u), ale szybko powinien włączyć się „alarm”. A dzięki płaceniu przez zbliżenie ani na moment nie wypuszczam karty z rąk (nawet jeśli jest to zakup powyżej 50 zł, to tylko zbliżam kartę do terminala, a potem wbijam PIN).
Dzięki temu nikt nie zobaczy numeru karty, imienia i nazwiska, daty ważności karty oraz numeru CVC na odwrocie. Mając komplet tych danych (wystarczy mała kamerka nad kasą i sprawne rączki nieuczciwego kasjera), można robić na nasze konto zakupy w sklepach internetowych (przynajmniej w niektórych, tych najsłabiej zabezpieczonych).
A więc: nie ujawniamy naszego PIN-u do karty (zasłaniamy ręką klawiaturę terminala lub bankomatu przy wpisywaniu PIN-u), nie pozwalamy nikomu wziąć do ręki naszej karty, dla pewności możemy też zakleić kolorową taśmą klejącą np. numer karty (żadna kamera wtedy go nie zarejestruje) oraz deaktywować możliwość płacenia kartą w internecie (do takich transakcji możemy mieć osobną kartę, którą w razie potrzeby ładujemy potrzebną kwotą). Wyjątek to karty, które wymagają przy transakcjach internetowych procedury 3D Secure (zatwierdzanie zakupu internetowego SMS-em weryfikacyjnym albo odciskiem palca w ramach bankowości mobilnej) lub takie, które „włożyliśmy” do usługi typu Visa Checkuot lub Masterpass. Takie karty są bezpieczniejsze.
- Przelewem weryfikacyjnym potwierdzaj tożsamość tylko wiarygodnym firmom
Dość popularnym sposobem kradzieży naszej tożsamości jest namawianie nas za pośrednictwem e-maila, żebyśmy przesłali – na wskazane przez piszącą do nas osobę konto – przelew w wysokości np. 1 zł. Obiecują nam, że w ten sposób potwierdzimy, że my to my i że jesteśmy zainteresowani poważnie np. jakąś pracą, zleceniem, zarabianiem pieniędzy.
Taki przelew może służyć kradzieży naszej tożsamości. Ktoś – na nasze dane, zapisane automatycznie w przelewie – po prostu może założyć konto. Jeśli ten ktoś jednocześnie poprosił nas o przesłanie skanu dowodu osobistego, to znaczy, że na nasze konto może wziąć kredyt lub pożyczkę.
Oczywiście: są firmy, w których przelew na 1 zł albo inną małą kwotę rzeczywiście jest elementem weryfikacji naszej tożsamości. Jeśli firma jest wiarygodna, a przelew jest pobierany za pośrednictwem platformy typu Przelewy24, PayU czy podobnej – ryzyko jest drastycznie mniejsze. W takim przypadku przelew weryfikacyjny rzeczywiście służy tylko potwierdzeniu, że dane, które sami podaliśmy przy rejestracji do jakiejś usługi zgadzają się z tymi, które występują na przelewie (imię, nazwisko, adres).
Zasada jest prosta: jeśli ktoś podsyła nam link do płatności e-mailem to ryzyko jest bardzo duże. Jeśli to my inicjujemy zakładanie konta w wiarygodnej, renomowanej usłudze – jesteśmy bezpieczni.
- Uważaj na otwarte sieci wi-fi
W miarę możliwości nie korzystaj z konta bankowego ani poczty elektronicznej przez internet w publicznych sieciach wi-fi (przeciętnie inteligentny haker może przejąć hasła i loginy nie tylko do konta bankowego, ale np. do poczty e-mail, w której trzymasz swoje dane, niekiedy cenniejsze niż pieniądze – a także hasła, dane adresowe, identyfikacyjne). Są złodzieje, którzy właśnie poprzez dostanie się do czyjejś poczty elektronicznej zdobywają większość potrzebnych danych do sklonowania tożsamości.
Za pośrednictwem „złamanego” e-maila można przecież dowiedzieć się z jakich usług korzysta dana osoba, w jakich platformach VOD ma pozakładane konta. Na tych platformach zwykle nie ma przesadnie silnego uwierzytelniania, więc złodziej może próbować dostać się na nie choćby po to, by poznać dane, które tam zostawiliśmy.
Także dlatego warto ustawiać w bankach i innych miejscach, w których trzymamy pieniądze, hasła i PIN-y, które nie są oczywiste do rozszyfrowania (każdy złodziej zaczyna „zabawę” od próby wejścia na nasze konto dzięki hasłu z dniem naszych urodzin, albo od „1234” – to bardzo fajna kombinacja, której nie trzeba zapamiętywać, prawda? ;-).
Bardzo często złodzieje tożsamości i pieniędzy stosują następującą sekwencję: zdobywają skądś nasze dane z dowodu osobistego, za pomocą cyferek z dowodu (data urodzenia) próbują złamać hasło do poczty e-mail, a stamtąd dowiadują się np. z jakich usług korzystamy i w którym banku mamy konto. Mając dostęp do e-maila mogą np. próbować podszyć się pod bank i wyłudzić od nas hasła.
Dlatego ważne jest, by hasła do usług, z których korzystamy nie były kombinacjami cyferek, które łatwo ustalić na podstawie danych z naszego dowodu osobistego albo np. numeru PESEL.
- Nie ufaj Facebookowi. Nawet jeśli to przyjaciel
Z Facebooka łatwiej wykraść hasła, niż z banku, więc lepiej żeby hasła w portalach społecznościowych i do konta bankowego nie były takie same. Nie przechowujmy i nie podawajmy w portalach społecznościowych wrażliwych danych, nie wysyłajmy przez messengera żadnych skanów dokumentów.
Dość popularną formą okradania ludzi z tożsamości i pieniędzy jest wysyłanie im próśb o ratunkowy przelew kilku złotych. Wystarczy złamać hasło do czyjegoś konta na Facebooku, a potem wysłać do jego najlepszych znajomych komunikat typu „kliknij ten link i prześlij mi 5 zł, bo ukradli mi portfel i nie mogę zapłacić za kawę”. Link oczywiście jest wirusem albo formularzem, do którego podgląd mają złodzieje. Jeśli np. otworzymy załącznik albo podamy w takim formularzu hasło do banku – mamy kłopoty. Można stracić znacznie więcej niż 5 zł.
- Nie odpowiadaj na e-maile „z banku”, „od kuriera”
Podchodź z nieufnością do każdej komunikacji, która przychodzi do ciebie przez e-mail i jesteś w niej nakłaniany, żeby coś ściągnąć lub kliknąć. Ja osobiście stosuję zasadę, iż nie odpowiadam w ogóle na takie e-maile. Nigdy nie mogę mieć pewności, że e-mail nie został specjalnie spreparowany, a w linku lub załączniku nie ma złośliwego oprogramowania.
- Pilnuj sterylności komputera i smartfona
Nasza elektronika jest non-stop podłączona do internetu. A więc narażona na podchody oszustów i złodziei. Z drugiej zaś strony na naszych komputerach i w smartfonach przechowujemy dokumenty, zdjęcia, czasem też hasła. Przejmując nasz komputer albo smartfona można ustalić bardzo dużo rzeczy na nasz temat, a czasem i sklonować naszą tożsamość.
Podstawa to dobry, aktualizowany na bieżąco program antywirusowy (to dla komputera), unikanie ściągania jakichkolwiek programów i aplikacji spoza oficjalnych sklepów (oraz z przysłanych SMS-em linków, o ile sami ich nie zamawialiśmy – to dla smartfonów).
Podwajamy krycie, czyli dwa sposoby na dobry kontrwywiad
Długa lista, prawda? Powiem szczerze: bardzo trudno jest w 100% wykonać tych siedem punktów. Zaryzykowałbym stwierdzenie, że to prawie niemożliwe. Z drugiej zaś strony nawet gdyby było możliwe wykonanie tych wszystkich zaleceń od A do Z, to i tak nie wyeliminujemy ryzyka próby kradzieży naszej tożsamości. Nasze dane są w firmach, którym je powierzyliśmy, w serwisach internetowych, w urzędach, w portalach społecznościowych. Każde z tych miejsc może być „nieszczelne”.
Trzeba więc „podwoić krycie”. I oprócz stosowania podstawowych zasad higieny ochrony danych – zrobić też drugą rzecz: włączyć sobie system wczesnego ostrzegania. Co mam na myśli? Każdy złodziej tożsamości tak na koniec chce zarobić na tym pieniądze. Niemal na pewno ostatnim etapem jego działalności będzie próba kradzieży lub wyłudzenia pieniędzy na nasze dane.
Trzeba więc zrobić dwie rzeczy. Po pierwsze wykupić w banku, w którym trzymamy najwięcej pieniędzy, usługę SMS-ów powiadamiających o wszystkich transakcjach na koncie. Jeśli ktoś dostanie się na nasz rachunek i będzie chciał z niego wytransferować pieniądze – powinniśmy dostać o tym powiadomienie z banku (wyjątek: złodziej przejął nasze konto bankowe oraz smartfona).
Po drugie: wykupić SMS-y z powiadomieniem, że ktoś na nasze dane próbuje pobrać pieniądze z banku lub firmy pożyczkowej. Takich usług jest kilka na rynku. Jedną z nich oferuje Biuro Informacji Kredytowej. Zaglądają do jego baz wszystkie banki i duża część firm pożyczkowych. Jeśli zgłasza się klient X i prosi o pieniądze, to kredytodawca z reguły (a w przypadku banków – niemal na 100%) pyta bazę BIK o jego wiarygodność.
Jeśli wykupimy usługę, dzięki której dostaniemy SMS-a zawsze jeśli do bazy BIK zostanie złożone zapytanie kredytowe zawierające nasze dane, to jesteśmy kuci na cztery kopyta. Jeśli ktokolwiek posłuży się naszymi danymi w jakimkolwiek banku, to będziemy o tym powiadomieni w czasie rzeczywistym. Możemy zaalarmować ten bank, że to nie my wnioskujemy o kredyt, możemy też od razu zastrzec na stronie BIK dowód osobisty.
Nie jesteśmy w stanie w 100% zapobiec kradzieży tożsamości, ale możemy błyskawicznie zareagować na to, że ktoś się pod nas podszywa i próbuje na nasze dane wyłudzić pieniądze. Roczny abonament za „Alerty BIK” kosztuje 24 zł, czyli de facto koszt takiej „tarczy ochronnej” sprowadza się do 2 zł miesięcznie. Osobiście od dłuższego czasu korzystam z tych alertów. Pomagają nie tylko wtedy, gdy ktoś chce na moje dane pożyczyć pieniądze, ale i wtedy, gdy sam zapomnę spłacić jakąś ratę. Wtedy też dostaję SMS-a z komunikatem, że bank zawiadomił BIK o moim opóźnieniu.
Tutaj: więcej o usłudze Alerty BIK
Zerknij też: Błyskawicznie zastrzeżesz dokument tożsamości na stronie BIK-u
Jest jeszcze trzeci sposób na zmniejszenie ryzyka kradzieży tożsamości i swoich danych. To zastrzeżenie kredytowe, które jest de facto informacją, że nie jesteśmy zainteresowani żadnym kredytem, ani pożyczką. Takie zastrzeżenie też można złożyć w BIK-u (w ciągu kilku sekund) i dzięki niemu każdy bank zaglądający do „bazy zastrzeżeń” wie, że jeśli właśnie przyszedł do niego Kowalski po kredyt, to nie jest to żaden Kowalski, tylko oszust.
Niestety, nie wszystkie instytucje zaglądają do bazy zastrzeżeń kredytowych. Więcej na temat zastrzeżeń, jak się ich używa i kiedy mogą się przydać – napiszemy w kolejnym odcinku naszego cyklu.
Partnerem merytorycznym akcji edukacyjnej „Chroń swoje dane” jest Biuro Informacji Kredytowej. Partnerem medialnym akcji jest portal Gazeta.pl
zdjęcie tytułowe: IamMrRob/Pixabay
