17 lutego 2019

Dane z dowodów osobistych i smartfonów, dane osobowe, tożsamość – to dziś cel złodziei. Jak nie dać się okraść z „cyfrowego majątku”?

Dane z dowodów osobistych i smartfonów, dane osobowe, tożsamość – to dziś cel złodziei. Jak nie dać się okraść z „cyfrowego majątku”?

Kiedyś złodzieje przede wszystkim próbowali włamać się do naszych sejfów z pieniędzmi. Dziś najważniejsza bitwa toczy sie o bezpieczeństwo naszych danych. Złodzieje tożsamości chcą szpiegować nasze smartfony, laptopy, komputery. Jeśli uda im się skompletować dane o naszej tożsamości, używają ich niczym „cyfrowego klucza” do naszych pieniędzy w bankach bądź do wyłudzenia kredytów. Jak się bronić?

Zobacz również:

Prezes Apple’a Tim Cook powiedział, że w smartfonie jest więcej informacji o jego użytkowniku niż w mieszkaniu. O mieszkanie dbamy jak o skarbiec – mamy potrójne zasuwy, instalujemy drzwi przeciwwłamaniowe, mamy monitoring, ochronę i bramy na kod. Włamanie do naszego komputera często jest łatwiejsze, niż splądrowanie mieszkania. I można w nim więcej znaleźć: e-maile, hasła, prywatne zdjęcia…

Wielu z nas jeszcze nie jest przystosowanych do tej ery. Nie mamy nawyku dbania o dane, chronienia informacji na nasz temat, a przede wszystkim – nie wykorzystujemy narzędzi, które stanowią system wczesnego ostrzegania o tym, że ktoś zasadza się na nasze pieniądze. Dziś opowiemy o tych narzędziach i doradzimy jak ich używać.

W świecie wirtualnym trwa cyberwojna o nasze dane

Sieci komputerowe są nieustannie celem ataków. Kto atakuje? Hakerzy-amatorzy, hakerzy-zawodowcy działający na zlecenie, cyberjednostki służb specjalnych obcych państw… Wiadomo, że swoje brygady hakerów ma Korea Północna, czy Rosja.

Praktycznie nie ma tygodnia, by jakaś duża baza danych o klientach nie wyciekała do sieci. Ostatnio trafiło się to klientom właściciela luksusowych hoteli Starwood (należą do niej m.in. hotele Sheraton i Marriott, także w Polsce), a nieco wcześniej, na przełomie września i października, ofiarą cyberprzestępców padli użytkownicy Facebooka (ktoś mógł przejąć zawartość profili 50 mln osób).  Ze społecznościowych profili ludzi można wycisnąć mnóstwo informacji ułatwiających sklonowanie ich tożsamości. A w konsekwencji – wyłudzenia na ich dane pieniędzy np. z firm pożyczkowych.

Najgłośniejszy taki atak na polski system informatyczny miał miejsce na początku 2017 r., a źródłem infekcji okazała się strona internetowa Komisji Nadzoru Finansowego, na której ktoś umieścił złośliwe oprogramowanie. Pracownicy banków – niczym nieświadome zagrożenia antylopy, które chciały czerpać wodę ze źródła (czyli wiedzę dot. regulacji bankowych ze strony KNF) – ułatwiali „przeskakiwanie” wirusa na ich komputery, a potem na inne komputery w sieciach banków.

Nie przegap nowych tekstów z „Subiektywnie o finansach”zapisz się na mój newsletter i bądźmy w kontakcie!

Przeczytaj też: Gdy bank prosi cię o wysłanie e-mailem skanu dowodu osobistego. Czy możesz zamazać niektóre dane?

Cyberjednostki na straży naszych danych. I pieniędzy

Firmy, które zarządzają naszymi danymi, stworzyły kilka technologicznych linii obrony. Pierwszy to działający pod auspicjami NASK (Naukowej i Akademickiej Sieci Komputerowej) zespół CERT, który ma reagować na zdarzenia naruszające bezpieczeństwo w sieci. Do zadań CERT należy m.in.:

  • rejestrowanie i obsługa zdarzeń naruszających bezpieczeństwo,
  • alarmowanie użytkowników o wystąpieniu bezpośrednich dla nich zagrożeń.

Własny parasol ochronny nad siecią rozstawiły banki – System Wymiany Ostrzeżeń o Zagrożeniach, w skrócie SWOZ. Dostęp do niego mają tylko wytypowane osoby pracujące w bankowych departamentach bezpieczeństwa, dzięki czemu zwiększona jest poufność nie tylko przechowywanych informacji, ale też ograniczono ryzyko wypływu na zewnątrz cennych informacji. Do zadań jednostki SWOZ należy:

  • analiza schematów oszustwa popełnianych w sektorze bankowym,
  • wykrywanie konkretnych przestępstw,
  • śledzenie międzynarodowego terroryzmu.

Higiena ochrony danych: jak chronić dowód osobisty, kartę i tożsamość?

Ale żaden system nie zwalnia nas z pilnowania danych i pieniędzy w świecie cyfrowym na własną rękę. Niestety, najsłabszym ogniwem w systemach zabezpieczeń zwykle okazuje się człowiek. Poniżej kilka uniwersalnych zasad ochrony naszych danych: zarówno te elektroniczne, jak i te na nośnikach – na karcie płatniczej, czy dowodzie osobistym. Pisaliśmy o nich w tym tekście: „Złodzieje naszych danych grasują. Oto siedem sposobów jak się przed nimi chronić. I dwa pomysły na skuteczny „kontrwywiad, ale warto je przypomnieć:

  • Pilnuj dowodu osobistego. Pozwalaj kserować tylko wiarygodnym instytucjom, nie zostawiaj nikomu w zastaw. Jeśli musisz zostawić skan lub ksero dowodu, to zamaż niektóre dane,
  • Nie dawaj nikomu do ręki karty płatniczej,
  • Przelewem weryfikacyjnym potwierdzaj tożsamość tylko wiarygodnym firmom,
  • Uważaj na otwarte sieci wi-fi, nie korzystaj z nich jeśli logujesz się do banku,
  • Nie klikaj w „linki do płatności” przesłane przez e-mail lub SMS-em,
  • Nie otwieraj załączników do e-maili od nieznanych osób (zwłaszcza innych niż w formacie .pdf),
  • Pilnuj sterylności komputera i smartfona (miej aktualne oprogramowanie antywirusowe).

Smartfon, czyli wrota do danych na nasz temat. Jak przykręcić kurek?

Wrotami do bezpieczeństwa naszych danych jest nasz sprzęt elektroniczny. 75% z nas korzysta ze smartfonów by stale łączyć się z internetem. Liczba informacji, które gromadzą na nasz temat smarfony, jest ogromna. Producenci sprzętu, aplikacji, które instalujemy w smartfonach, firmy telekomunikacyjne dostarczające nam internet wiedzą gdzie, o której godzinie i do jakich sklepów wchodzimy (dzięki temu, że telefony szukają sieci wi-fi i logują się np. w salonie danej marki odzieżowej), śledzą nas na festiwalach muzycznych, konferencjach, czy w pracy.

Dzięki temu jedna z firm poznała szczegółowe dane prawie 120.000 imprezowiczów Open’era, którzy zainstalowali festiwalową apkę. Firma dowiedziała ile w tym tłumie było kobiet, mężczyzn, rodziców, a nawet mniejszości – wszystkie te dane można wyciągnąć z zainstalowanych na telefonie aplikacji. Dane oczywiście były zanonimizowane, to znaczy nie dałoby się przyporządkować rekordów z danego telefonu do Jana Kowalskiego, czy Marysi Nowak, ale i tak po skórze przechodzą dreszcze.

Niestety, nawet aplikacje dostępne w oficjalnych sklepach mobilnych Google Play mogą naruszać naszą prywatność albo stosować nieuczciwe triki. Google dopiero niedawno wyrzucił ze swojego sklepu aplikacje, które wykorzystywały niedozwolone trackingowe kody reklamowe.

Jaki z tego wniosek? Nie traktujmy naszych smartfonów jak „śmietników z aplikacjami”, na których lądują rzeczy od niesprawdzonych, nieznanych nam producentów oprogramowania. Jeśli już mamy zainstalowaną jakąś aplikację, to sprawdźmy jakie dane o nas zbiera (w ustawieniach telefonu, w sekcji „prywatność” wszystko jest wyszczególnione, możemy odwołać zgodę na śledzenie nas przez daną aplikację albo na udostępnianie jej naszych kontaktów w telefonie).

Korzystając ze smartfona nie unikniemy geolokalizacji przez operatora sieci telekomunikacyjnej, ale im rzadziej będziemy korzystali z publicznych sieci wi-fi, tym mniej naszych danych wyjdzie poza telekom. Do banku, czy nawet do e-maila nie logujmy się z  publicznej sieci wi-fi – jeśli z niej korzystamy, to najwyżej do przeglądania ogólnodostępnych stron w internecie.

Czytaj też: Wynajmujesz mieszkanie i płacisz rzetelnie czynsz? Oni dają za to nagrody. I punkty do kredytu!

Zapora dla złodzieja – hasło do aplikacji i katalogów, w których przechowujemy cyfrowe dane

Generalnie wyścig technologiczny w ochronie danych osobowych przypomina próbę otwarcia sejfu – każdy sejf i szyfr można złamać, pytanie tylko ile czasu to zajmie złodziejowi i ile będzie go kosztowało pieniędzy oraz jakie ryzyko za sobą pociągnie.

Na pierwszej linii jest ustawienie hasła do wszystkich sprzętów i miejsc, w których przechowujemy nasze dane w wersji cyfrowej. Czasem stosowana jest już autoryzacja biometryczna (skanowanie palca, układu naczyń krwionośnych lub twarzy) lub dwuskładnikowa – login i hasło plus kod przesłany SMS-em albo wyświetlony w aplikacji na smartfonie. Ta ostatnia opcja jest najbezpieczniejsza – złodziej naszych danych musiałby nie tylko poznać login i hasło, ale i mieć w ręku urządzenie, na które zostało przesłane jednorazowe hasło.

Jest kilka uniwersalnych zasad, żeby zwiększyć technologiczną ochronę danych poprzez dobór odpowiednio skomplikowanego hasła do programów, aplikacji, katalogów lub specjalnych „wirtualnych kontenerów” na smartfonach, w których przechowujemy te dane.

Nieprzypadkowo np. banki proszą o wymyślenie hasła składającego się z co najmniej 8 znaków, w tym dużej i małej litery (a czasem i cyfry oraz znaku specjalnego, czyli „&, %, $, # albo czegoś w tym rodzaju). Niestety, mamy tendencję do upraszczania sobie życia – wybieramy nazwy miejsc, imiona, daty, jakieś charakterystyczne słowa. Programy łamiące szyfry w pierwszej kolejności sprawdzają kombinacje wyrazów z powtarzającymi się cyframi. Jeśli chcemy zwiększyć bezpieczeństwo hasła, należałoby się trzymać kilku zasad:

  • im dłuższe hasło, tym jest  bezpieczniejsze. Hasła sześcioznakowe są dyskwalifikujące, bo są za krótkie i za łatwo je złamać. Absolutne minimum to 8 znaków, a najlepiej 10.
  • jak najwięcej różnych znaków w haśle – czyli jeśli to możliwe nie tylko cyfry, małe i wielkie litery, ale też wszelkie znaki jakie możemy znaleźć na klawiaturze: %#<>{}><
  • unikanie wyrazów, które możemy znaleźć w słowniku: imion, nazw geograficznych, czegokolwiek
  • unikanie haseł składających się z sąsiadujących na klawiaturze z klawiszy: QwErtY, czy PoIuY, choć na pierwszy rzut oka wygląda skomplikowanie, to przecież wpisane po kolei przyciski na klawiaturze.

Przykładowo hasło składające się z samych liter i cyfr,dla przeciętnego programu do odgadywania haseł to kilka sekund „roboty” i sezam jest otwarty. Dla porównania hasło, które wygląda tak: „R8#h81o!” odpowiednio wydajny komputer może złamać w 8 godzin. Ale wystarczy dodać jeden znak i z 8 godzin robi się jeden miesiąc.

Nieprzypadkowo w wielu firmach jest obowiązek zmieniania hasła na nowe, równie silne co 30 dni. Właśnie po to, by nie dać szansy jakiemuś zdeterminowanemu hakerowi na dokonanie włamu, bo po zmianie hasła będzie musiał swoją robotę zaczynać od zera. I nigdy tej roboty nie skończy.

Przeczytaj też: Koniec ze skanowaniem dowodów w bankach? Pokaż dokument w kamerce, a sprawdzą cię biometrią

Jakie narzędzia mogą nam pomóc w walce z ochroną danych osobowych?

Z danych Komendy Głównej Policji za rok 2018 wynika, że przypadków posługiwania się czyimś dokumentem było 7951. W 2014 r. było ich 13.417. W tym przypadku statystyki na szczęście maleją.

Ale jeśli chodzi o fałszerstwa dokumentów lub wyłudzenia pieniędzy, – liczby są wysokie. Z art. 270 § 1 Kodeksu karnego (fałszerstwo dokumentu lub używanie go za autentyczny) w 2018 r. było takich przestępstw 21.861. Z kolei z art. 286 § 1 (oszustwo lub wyłudzenie) mamy w 2018 r. aż 103.033 przypadków, gdy w 2016 r. było 100.529.

Czytaj więcej na ten temat: Imię i nazwisko, PESEL, dowód osobisty, adres zamieszkania, wizerunek… To wszystko można stracić i bywa to groźniejsze, niż kradzież pieniędzy. Czym jest kradzież tożsamości i jak się przed nią obronić?

Wszystkie teksty na temat ochrony tożsamości: znajdziesz na stronie cyklu edukacyjnego “Chroń swoje dane”. Zapraszam do jej odwiedzenia!

Jeśli nasz dowód „wypłynie na mieście”, to z prawdopodobieństwem graniczącym z pewnością można założyć, że ktoś prędzej czy później posłuży się nim, by na nasze dane zaciągnąć zobowiązanie.

W tym przypadku może pomóc m.in. utworzone zawczasu darmowe konto w Biurze Infirnacji Kredytowej. Jeśli utracimy dokument, zgubimy go lub co gorsza podejrzewamy, że ktoś nam go ukradł – trzeba go natychmiast zastrzec. Zakładając konto na www.bik.pl automatycznie otwieramy sobie możliwość zastrzeżenia dokumentu tożsamości. Nie trzeba tej usługi w żaden sposób specjalnie aktywować.

Bywa, że nie mamy pojęcia o tym, że ktoś wyłudza kredyt na nasze dane. Dowód może spokojnie leżeć w naszej torbie czy portfelu, podczas gdy złodziej mógł w inny sposób wejść w posiadanie naszych danych tożsamości.

Z pomocą przychodzi inna usługa Biura Informacji Kredytowej dostępna dla każdego konsumenta – Alerty BIK. Automatycznie nas ona powiadomi SMS-em lub mailem za każdym razem, gdy zostanie złożony wniosek o kredyt lub pożyczkę na nasze dane. Za 2 zł  miesięcznie mamy ochronę, która pomaga w walce z wyłudzeniem kredytu. Można ją zamówić pod tym adresem.

A kiedy dostaniemy już SMS-a ostrzegającego o tym, że bank lub firma pożyczkowa zapytała bazę BIK o naszą wiarygodność w związku z wnioskiem kredytowym – a akurat nie staramy się o kredyt –  to jak najszybciej kontaktujmy się z BIK, który dalej pokieruje nas, jak wyjaśnić sprawę.

Tutaj: więcej o usłudze Alerty BIK

Partnerem merytorycznym akcji edukacyjnej „Chroń swoje dane” jest Biuro Informacji Kredytowej. Partnerem medialnym akcji jest portal Gazeta.pl

 

Subscribe
Powiadom o
14 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
Michał
5 lat temu

Dbać o dowód i pozwalać go skanować tylko wiarygodnym instytucjom. Bijący rekordy popularności Revolut był pierwszym, który wymagał fotki dowodu, a teraz w związku z ustawą antyterrorystyczną wszystkie kantory internetowe wymagają dostarczenia im skanów dowodu w celu „potwierdzenia tożsamości”. Czy wiemy jak dobrze te skany są przez nich zabezpieczone? Takie fintechy są zazwyczaj nieskokosztowe, więc ryzyko włamu do nich i wykradnięcia skanów jest tym większe.

gosc
5 lat temu

Na początku kiedy zainteresowałem się tematyką cyberbezpieczeństwa i kradzieży tożsamości czytałem rady jak te powyżej i nic z tego nie wynikało. Sytuacja zmieniła się kiedy dotarłem do historii osób, które były celem ataków. Wtedy zrozumiałem z czego wynikały te rady i jakie mogą być konsekwencje nie zastosowania się do nich. Polecam historie opisane poniżej. Najważniejsza korzyść z ich przeczytania to lepsze zrozumienie co wykorzystują i jak myślą hackerzy/oszuści aby nam zaszkodzić. The 12+ Internet Crime Stories That Make Cybersecurity Measures Essential https://heimdalsecurity.com/blog/12-true-stories-that-will-make-you-care-about-cyber-security/#ransomwarelock Z tych 12+ artykułów szczególnie polecam: 3. How ethical hackers took over her PC – jak trudno się… Czytaj więcej »

gosc
5 lat temu

Problem z usługą Alerty BIK jest to, że jest to tylko system wczesnego ostrzegania (pomimo tego warto je mieć). Wiele firm udzielających pożyczki przez internet obiecuje możliwość uzyskania pieniędzy nawet tego samego dnia, którego został złożony wniosek. Sprawę znacznie ułatwiają przelewy Express Elixir. Może więc być sytuacja, że o 9:00 dostajemy alert, że firma pożyczkowa wysłała zapytanie do BIK o naszą zdolność kredytową, a po 17:00 kiedy w końcu mamy czas aby zadzwonić do BIK i/lub firmy pożyczkowej i sprawę wyjaśnić oszust ma już pieniądze na swoim koncie. Czeka nas więc odkręcanie całej sprawy – wizyta na policji, korespondencja z… Czytaj więcej »

Net
5 lat temu
Reply to  gosc

A kredyty i pożyczki w 15 minut? Dostajesz alert, a kwadrans później pieniądze są już w rękach złodziei.

gosc
5 lat temu
Reply to  Net

Właśnie o tym mówiłem. Wnioski kredytowe są procesowane tak szybko, że Alert BIK to tylko wczesne informowanie o problemie. Dlatego tak ważne jest aby wszystkie banki i firmy pożyczkowe przystąpiły do systemu Zastrzeżenie Kredytowe BIK.

EWA
4 lat temu
Reply to  gosc

Bo to powinien być obowiązek. Każda instytucja finansowa powinna z urzędu przystąpić do BIK.

zeneusz
5 lat temu

nie da się chronić swoich danych w państwie takim jak Polska skoro ostatnio nawet skycash wymaga podania wszystkich danych osobowych bo wymaga tego głupie, polskie prawo.

Gosia
5 lat temu
Reply to  zeneusz

Realny problem spowodowało państwo wprowadzając do użytku dowody osobiste tak łatwe do podrobienia.

zeneusz
5 lat temu
Reply to  Gosia

nie zgodzę się. nasze dowody osobiste są jednymi z najlepiej zabezpieczonych dokumentów na świecie. problemem jest zezwolenie na tworzenie kopii tych dokumentów i wszechobecne żądania do podawania wszystkich danych osobowych, a także udzielanie kredytów na trefne dokumenty lub nawet na kserokopie.

Krzysztof A.
5 lat temu

Z uporem maniaka będę powtarzał, NAJWAŻNIEJSZYM i niemal jedynym istotnym kryterium bezpieczeństwa jego hasła jest jego długość. Niestety jest to zależność bardzo nieintuicyjna, bo podnosimy wykładnik potęgi, a nie jej bazę, co przy „dużej bazie wyjściowej” jest znacznie istotniejsze. W przypadku znaków alfanumerycznych, dla uproszczenia baza 62 – 26 liter małych, 26 wielkich, 10 cyfr, możliwych jest 62^8 (218 340 105 584 896) unikalnych haseł – wydłużmy hasło o 1, czyli 62^9, wychodzi 13 537 086 546 263 552 unikalnych haseł – dodajmy do bazy znaki specjalne, bez wydłużania hasła, czyli dla uproszczenia, !@#$%^&*() – 72^8 = 722 204 136… Czytaj więcej »

anonymous
5 lat temu
Reply to  Krzysztof A.

Bzdura podobnie jak jeden z fragmentów artykułu. I co z tego że komputer plus oprogramowanie do łamania haseł potrafi w kilka godzin odgadnąć hasło skoro po 3-5 próbach dostęp jest blokowany.

gosc
5 lat temu
Reply to  anonymous

Zmienisz zdanie jak przeczytasz poniższe: https://pl.wikipedia.org/wiki/Atak_brute_force Top 5 Brute Force Attacks https://themerkle.com/top-5-brute-force-attacks/ Hasła do milionów kont zostały złamane dlatego, że użytkownicy używają słabych haseł. Na tej liście (top 5) nie ma banków, ale mechanizm jest taki: 1) Brute Force atak łamie hasło np do platformy z grami albo do sklepu internetowego, 2) w danych gracza/klienta sklepu jest jego email i tak się składa, że konto email miało takie samo hasło ( albo bardzo podobne), 3) przeglądając maile hacker dowiaduje się gdzie użytkownik ma konto bankowe, może znaleźć skan dokumentu tożsamości, info o numerze komórki, 4) pech chciał, że do konta… Czytaj więcej »

Krzysztof A.
5 lat temu
Reply to  anonymous

Mówisz o atakach online i tam faktycznie, zablokowanie dostępu do konta może (choć nie musi – nie każdy to zabezpieczenie stosuje) nastąpić po kilku próbach. Tutaj chodzi o zabezpieczenie się przed atakiem offline, kiedy atakujący ma dostęp do bazy danych z nawet poprawnie zabezpieczonymi hasłami i nie blokuje go nic poza siłą hasła i poziomem zabezpieczeń. Najsilniejsze hasło zostanie „odgadnięte” jeśli został użyty np. hash MD5 – po prostu ta funkcja produkuje tak krótki hash – 128bitów, że zostały znalezione już hasła, które generują każdą możliwą do wygenerowania przez nią wartość, i nawet jeśli Twoje hasło ma i 100 znaków,… Czytaj więcej »

Jan
4 lat temu

Prawda, musimy bardziej zwracać uwagę na zabezpieczanie swoich danych.

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Kontrast

Rozmiar tekstu