Przyzwyczailiśmy się już, że przez internet mogą nas okraść z pieniędzy. Pilnujemy loginów, haseł, uważnie czytamy SMS-y autoryzacyjne. Ale złodzieje polują nie tylko na nasze pieniądze, ale też i na nasze dane. Kradnąc czyjąś tożsamość można spowodować dużo większe straty, niż kradnąc pieniądze. Czym jest kradzież tożsamości i jak się przed nią ustrzec?
Mój znajomy ma pecha. Nigdy nie zaciągał żadnych kredytów – ani w bankach, ani w firmach pożyczkowych. W 2014 r. zaczęła wydzwaniać do niego firma windykacyjna „z prośbą” o zwrot długu. Ku jego zdziwieniu, okazało się, że na jego koncie jest 1200 zł „chwilówki”. Nic nie dały zapewnienia, że to pomyłka i nic od nikogo nie pożyczał.
- Bezpieczna szkoła i bezpieczne dziecko w sieci, czyli czego nie robić, by nie „sprzedawać” swoich dzieci w internecie? [POWERED BY BNP PARIBAS]
- Wybory w USA: branża krypto wstrzymała oddech. W świecie finansów to ona ma najwięcej do ugrania. Po wyborach nowe otwarcie? [POWERED BY QUARK]
- Pieniądze w rodzinie, jak o nich rozmawiać, żeby nie było niemiło? Natalia Tur i Maciej Samcik [POWERED BY BNP PARIBAS / MISJA OSZCZĘDZANIE]
Sprawę postanowił zignorować. Później dowiedział się, że trafiła do sądu. Nic o tym nie wiedział, bo wezwanie trafiło na inny adres. Rozprawa odbyła się „za plecami” mojego znajomego, ale sąd umorzył sprawę, bo w dokumentacji były ponoć jakieś braki. Myślał, że na tym koniec złych wiadomości. Jakiś czas później odezwał się do niego inny windykator z podobną prośbą – tym razem chodziło o 600 zł pożyczki z innej firmy chwilówkowej.
Przeczytaj też: Gdy bank prosi cię o wysłanie e-mailem skanu dowodu osobistego. Czy możesz zamazać niektóre dane?
Przeczytaj też: RODO tuż-tuż! Serwisy społecznościowe żądają, byś zaakceptował nowe regulaminy. Grożą, że mogą odciąć Cię od usług. Zgodzić się?
W ubiegłym roku dowiedział się, że nie spłacił też trzeciej pożyczki. W tej sprawie zaczęła wydzwaniać do niego firma windykacyjna. Po którymś telefonie zagroziła komornikiem. Za moją namową znajomy poszedł w końcu na policję zawiadomić, że padł ofiarą oszustwa. Ale windykator nie odpuścił i sprawa trafiła do sądu. Na rozprawie nie pojawił się jednak pełnomocnik windykatora i sąd sprawę umorzył.
Koniec koszmaru? Bynajmniej. Kilka tygodni temu znowu rozdzwoniły się telefony z kolejnej firmy windykacyjnej. Powód ten sam – niespłacona pożyczka.
Wyciek danych i cztery pożyczki do spłaty
Mój znajomy wie, że na jego tożsamość zaciągnięto przynajmniej cztery pożyczki na kwotę ok. 4000 zł. Ale może to być dopiero wierzchołek góry lodowej. Wie, że oszuści wykorzystali jego imię i nazwisko, PESEL i datę urodzenia. Posługiwali się natomiast fałszywym adresem zamieszkania i adresem e-mail. To dlatego do mojego znajomego nie docierały listy od wierzycieli, a potem z sądu. Kłopoty sprowadzają się do tego, że ktoś ukradł jego tożsamość. Jak do tego doszło?
„Nie mam pojęcia, ale przecież złodzieje mają mnóstwo okazji. Podejrzewam, że mógł być to kurier, który skanował mój dowód osobisty, gdy przywiózł mi telefon”
– mówi znajomy. Ale to niejedyny trop. Jest przedsiębiorcą. Swoje szczegółowe dane musi podać np., gdy startuje w przetargach. A to oznacza, że sporo rzeczy na jego temat można się dowiedzieć z publicznych rejestrów.
A czy Wy zastanawialiście się, kiedy i gdzie pokazaliście ostatnio dowód osobisty? W hotelach, wypożyczalniach sprzętu, kurierom? Komu go zostawiliście „w zastaw”? Kto mógł go skopiować, zeskanować albo po prostu podpatrzyć na kamerach monitoringu? Nawet jeśli strzeżecie swoich dokumentów jak oka w głowie, możecie wpaść w tę pułapkę.
Przeczytaj też: Koniec ze skanowaniem dowodów w bankach? Pokaż dokument w kamerce, a sprawdzą cię biometrią
Dane z dowodu i klonowanie tożsamości
Przestępcy w przeróżny sposób mogą wejść w posiadanie naszych danych z dowodu osobistego. Nie chodzi tu nawet o fizyczną kradzież plastiku, bo w takiej sytuacji właściciel zapewne go szybko zastrzeże. Wygodne zastrzeganie dowodu osobistego możesz aktywować m.in. na tej stronie
Mając nasze dane, bez problemu mogą wyrobić tzw. dowód kolekcjonerski, który na pierwszy rzut oka przypomina oryginał (można zamówić taki plastik już za kilkaset złotych, rząd chce ustawowo zabronić tej działalności).
Następnie z takim dokumentem idą do oddziału banku albo do firmy pożyczkowej i próbują na nasze konto wyłudzić pieniądze. Albo tylko założyć rachunek. Uda im się, jeśli trafią na nieuważnego pracownika, który nie rozpozna, że ktoś wylegitymował się fałszywką.
Złodziej, klonując naszą tożsamość, może też na nasze dane brać towar na raty (których oczywiście nie spłaci), albo próbować „na krechę” (z odroczoną płatnością) kupować w sklepach internetowych. Niewykluczone jest też, że będzie chciał wykorzystać dane ofiary do zakupu drogiego telefonu komórkowego na raty. Oto opowieść czytelniczki „Subiektywnie o finansach”, dosłownie sprzed kilku dni:
„Właśnie ktoś wyłudził na dane mojego męża dwa telefony. Podał jego imię nazwisko i PESEL, zmienił tylko adres zamieszkania. Mąż dostał teraz trzy rachunki.. Skąd złodziej miał jego dane? Dowodu mąż nie zgubił.. Żeby było zabawniej telekom przyjął zgłoszenie przez infolinię, po czym je zamknął i odesłał mojego męża do salonu. Tam kazali mu czekać 11 dni na tę umowę, której nie podpisał. A na policji nie przyjmą zgłoszenia dopóki mąż nie przyniesie im tej fałszywej umowy!”
Jedno „sfałszowane” konto i… sezamie otwórz się. Online
Oszuści i złodzieje byli zawsze, ale ich sprzymierzeńcem są dziś nowe technologie i… nasza wygoda. Bankowość internetowa, zakupy online stają się naszą codziennością. Coraz rzadziej kontaktujemy się „face to face” ze sprzedawcą, coraz więcej operacji wykonujemy zdalnie. Nasze dane osobowe krążą więc w wirtualnym świecie. Łatwiej się pod nas podszyć.
A gdy złodziej ma już takie konto w garści, dzięki tzw. przelewom weryfikacyjnym może założyć kolejne rachunki w innych bankach i – już online – nabrać kredytów w firmach pożyczkowych. Prawdopodobnie ofiarą tego mechanizmu padł mój znajomy.
O co chodzi z tym przelewem weryfikacyjnym? Bank, żeby otworzyć mi konto zdalnie, musi wiedzieć, że „ja to ja”. Wypełniam wniosek o otwarcie rachunku, podaję w nim swoje dane (m.in. z dowodu osobistego). Ale jak bank zweryfikuje czy mówię prawdę? Żeby konto zostało aktywowane, muszę z innego banku zrobić tzw. przelew weryfikacyjny np. o wartości 1 zł.
Bank, z którego wyślę przelew przecież musiał mnie dobrze zweryfikować. Jeśli jednak przestępcy udało się założyć to konto posługując się moimi danymi, kolejna instytucja finansowa też je może założy, nie podejrzewając fałszerstwa.
Oczywiście: branża bankowa ma systemy antyfraudowe, weryfikuje dokumenty, wymienia się informacjami. Ale ludzie są tylko ludźmi i czasem przez to sito może przemknąć się złodziej.
Przeczytaj też: Oto niefart. Ujawnili dane klientów, które mieli „zapomnieć”. I wyjaśnili, że imię i nazwisko „nie pozwalają określić tożsamości”
Przeczytaj też: Omyłkowy przelew? Pieniądze poszły na konto, na które nie powinny? Wreszcie nie jesteśmy skazani na (nie)łaskę banku. Jak działa nowe prawo?
Rzut rogiem, czyli test oryginalności dowodu
Są oczywiście techniki, które pozwalają sprawdzić, czy dowód jest oryginalny. Nawet bardzo proste, np. test przez upuszczenie. Unosimy dowód jakieś 10 cm nad biurkiem i upuszczamy go rogiem lekko do dołu. Oryginalny dowód osobisty wykonany jest z poliwęglanu. Upuszczony powinien wydać charakterystyczny metaliczny dźwięk i chwilę „zatańczyć” zanim upadnie.
Następnie zróbmy to samo z kartą płatniczą. Dźwięk upadającej karty (wykonana jest z laminowanego PCV) będzie cichszy i jakby przytłumiony. Taka karta szybciej się też „położy” niż poliwęglanowy dowód.
Jeśli dowód osobisty zachowa się jak karta płatnicza, to ostrzeżenie, że może być fałszywką. Wykonanie takiego testu zajmuje kilka sekund. Ten test mogliby obowiązkowo wykonywać pracownicy banku np. przy otwieraniu rachunku.
Oszust buduje historię rachunku, żeby wycisnąć jak najwięcej
Jeśli oszustom uda się otworzyć rachunek w banku na nasze dane, nie powinien mieć problemu z wzięciem „chwilówki”. Ale takie wyłudzenie ma swoje dno. Jeśli nie spłacimy pierwszej pożyczki, firma pożyczkowa nie udzieli nam kolejnej. To dlatego oszuści dokonują zmasowanego ataku – biorą pożyczki we wszystkich możliwych firmach pożyczkowych.
Ale jest jeszcze inny – znacznie groźniejszy – sposób wyłudzenia pieniędzy na nasze nazwisko. I to nie tylko w firmach pożyczkowych. Wyobraźmy sobie, że złodzieje otworzyli na nasze dane konto w banku. Ten „nowicjuszowi” kredytu raczej od razu nie udzieli. Ale jeśli oszust będzie cierpliwy, może zbudować historię rachunku.
Będzie mu łatwiej, jeśli będzie miał kilka takich fejkowych kont, bo może przelewać między nimi środki. Zrobi się ruch na kontach i po jakimś czasie bank sam zaproponuje kredyt na większą kwotę. I dopiero wtedy złodziej zaatakuje.
Przeczytaj też: Telekom może pomóc złodziejowi ukraść pieniądze z twojego konta? To możliwe! Jak się bronić?
Podobną „historię” oszuści mogą wyrobić sobie w firmach pożyczkowych, bo zwykle pierwsza pożyczka ma kwotowe ograniczenie. Ale jeśli ta pierwsza zostanie spłacona w terminie, wartość kolejnej zwykle jest większa.
Konsekwencją kradzieży danych nie jest tylko niechciany dług w banku czy firmie pożyczkowej. Na podstawie sfałszowanego dokumentu tożsamości oszuści mogą wziąć „na nas” np. telefon w firmie telekomunikacyjnej.
Socjotechnika w służbie złodzieja
Często ofiary nie są świadome tego, że ktoś wziął na ich rachunek kredyt. Dowiadują się o tym, gdy zadzwoni windykator. Bywa jednak, że sami się oszustom podkładamy, bo ulegamy wykorzystywanej przez z nich socjotechnice.
Kilka lat temu opisywałem historię pana Marcina (eksperci od bezpieczeństwa twierdzą, że takie oszustwa nadal się zdarzają). Pan Marcin desperacko szukał wówczas pracy. Pech chciał, że dostał spamowego e-maila z propozycją atrakcyjnego zatrudnienia. Oszuści przekonywali, że na potrzeby rekrutacji potrzebują danych osobowych.
Przeczytaj też: I jak tu wierzyć w to, co widzisz w bankowości internetowej? Czytelnik ma saldo zerowe, a bank twierdzi, że… na koncie jest dług!
Pan Marcin przepisał niemal wszystkie dane z dowodu osobistego i odesłał. Ale to jeszcze nie wystarczało do założenia „słupowego” konta w banku. W kolejnym mailu oszuści napisali, że „wszystko jest na dobrej drodze” i pan Marcin ma pracę niemal w garści, ale potrzebują go… zweryfikować. Poprosili o zrobienie przelewu na 1 zł na wskazane konto. Tłumaczyli, że dzięki temu będą też znali jego konto, na które będą przelewać pensję.
Pan Marcin zrobił tak, jak mu kazano. Nie dość, że podał oszustom swoje dane, to jeszcze pomógł im założyć „fejkowe” konto. Jak pewnie się domyślacie, po przesłaniu kompletu danych, nikt już na maile nie odpowiadał.
Zobacz też: Za 2 zł miesięcznie możesz mieć Alerty BIK, które ostrzegą cię przed próbą wyłudzenia kredytu na Twoje dane
Nowe technologie zwiększą ochronę
Czy w starciu z oszustami jesteśmy kompletnie bezbronni? Każdy z nas może wyposażyć się w dodatkowe „bezpieczniki”, które mogą zminimalizować ryzyko związane z kradzieżą tożsamości. Jednym z nich – choć niejedynym – jest oferowana przez Biuro Informacji Kredytowej usługa „Alerty BIK”. To SMS-y, które BIK wysyła za każdym razem, gdy któryś z banków „odpytuje” bazę BIK o nas. Jeśli takie zapytanie nie jest wynikiem złożonego przez nas wniosku kredytowego, może to oznaczać, że ktoś próbuje wziąć pożyczkę na nasze nazwisko.
Innym patentem jest tzw. zastrzeżenie kredytowe. Na czym to polega? Można „wrzucić” do systemu informację, że nie życzymy sobie żadnego kredytu. O tych bezpiecznikach w szczegółach opowiem w kolejnych odcinkach tego cyklu. Będzie też o tym jak zastrzec dokument tożsamości, żeby dla oszustów stał się bezwartościowy. I o tym nad jakimi nowymi „bezpiecznikami” pracują banki i firmy fintechowe, żeby korzystanie z usług finansowych było łatwe, proste i przyjemne, a jednocześnie bezpieczne.
Partnerem merytorycznym akcji edukacyjnej „Chroń swoje dane” jest Biuro Informacji Kredytowej. Partnerem medialnym akcji jest portal Gazeta.pl
Źródło zdjęcia tytułowego: TheDigitalArtist / Pixabay.com