W jaki sposób można uchronić się przed kradzieżą e-tożsamości

Przed kradzieżą danych osobowych nie uchroni internautów nawet najlepszy program antywirusowy. Jedna nierozważna odpowiedź na podejrzanego e-maila może skończyć się nie tylko utratą oszczędności, ale także powstaniem długów, o których pochodzeniu nie będziemy mieli pojęcia.

Phishing (password harvesting fishing, czyli łowienie haseł) jest dzisiaj popularnym sposobem na wyłudzanie zastrzeżonych informacji przez oszustów internetowych. Ofiarą phishingu może paść każdy z nas. Celowe wykradanie i używanie danych personalnych innej osoby, adresu zameldowania, numeru PESEL, kont bankowych i haseł dostępu to ostatnio jedno z ulubionych zajęć osób dopuszczających się wyłudzeń przy użyciu sieci.

Oszuści, wykorzystując pocztę elektroniczną, informują klientów banków o konieczności dokonywania różnego rodzaju logowań (najczęściej w celu potwierdzenia danych właściciela konta). Gdy takie informacje uzyskają, mogą wykorzystać je do przestępstwa, np. do podejmowania pieniędzy z rachunków bankowych, zakupu towarów, ubiegania się o nową kartę kredytową. Brak rozwagi przy dokonywaniu transakcji elektronicznych może narazić na utratę danych, którymi oszuści posłużą się, aby wykraść nasze oszczędności. Ta rozwaga wymaga przestrzegania zasad ochrony loginów, haseł i PIN-ów do systemów bankowych, a także zaopatrzenia się w skuteczne oprogramowanie antywirusowe.

Podstawową zasadą, którą stosują obecnie wszystkie banki, jest to, że nie wysyłają wiadomości elektronicznych z prośbą o podanie poufnych danych. Mogą to natomiast robić niektóre firmy czy osoby podszywające się pod właścicieli sklepów internetowych. Jak więc poznać, czy cyberprzestępca zastawił na nas sidła? Przede wszystkim trzeba zwracać uwagę na standardowe sformułowania, których używają phisherzy, i zaufać trochę swojemu instynktowi. Jeśli wiadomość e-mail wygląda podejrzanie, prawdopodobnie jest podejrzana.

Jeśli już otrzymamy e-maila, w którym jesteśmy proszeni o przesłanie haseł, nazw użytkownika, numerów PESEL czy innych informacji osobistych, potraktujmy go z ostrożnością. Jak podaje Microsoft, phisherzy używają najczęściej utartych sformułowań. Wiadomość e-mail związana z phishingiem może być na przykład uprzejma i stonowana, jednak często wiadomości takie mają ponaglający wydźwięk, aby na nie odpowiedzieć bez zastanowienia, np.: w przypadku braku odpowiedzi w ciągu 48 godzin, Pani/Pana konto zostanie zamknięte. E-maile oszustów są zwykle rozsyłane masowo i nie zawierają imienia ani nazwiska (zaczynają się od zwrotu Szanowny Kliencie). Istnieje jednak możliwość, że oszuści posiadają i nasze dane osobowe. Wiadomości od phisherów mogą zawierać łącza lub formularze, które można wypełniać tak jak formularze zawarte na stronach internetowych.

W internecie krąży coraz więcej tzw. trojanów bankowych. Największe zagrożenie polega w ich przypadku na tym, że niebezpieczne programy instalują się i działają bez naszej wiedzy. Ofiary nie są więc świadome, że ich komputery są wykorzystywane do okradania właścicieli lub nawet osób trzecich. Trojany bankowe służą do podglądania każdej próby logowania do serwisów bankowości internetowej i kradzieży poufnych informacji: nazwy użytkownika, hasła, PIN-u, numeru konta i karty kredytowej itd. Informacje te są później wykorzystywane do działalności przestępczej.

W tym przypadku ostrożne korzystanie z internetu może okazać się niewystarczające. Potrzebne będzie dodatkowo dobre oprogramowanie antywirusowe zawierające aktualizowany na bieżąco system zabezpieczeń. Należy również regularnie aktualizować zainstalowane programy w celu naprawienia luk w zabezpieczeniach.

Część internautów używa tego samego hasła dla każdego konta, karty kredytowej, serwisu aukcyjnego czy skrzynki e-mailowej. Taka wygoda może kosztować, bo dane są gorzej chronione w przypadku zwykłych serwisów, które nie mają szyfrowanych połączeń. Oszust wykradnie je tam, gdzie nie będzie miał z tym większych problemów. Najlepiej więc tworzyć odmienne hasło dostępowe w każdym serwisie.

Stopień bezpieczeństwa haseł zależy od użytej przez nas kombinacji liter i cyfr. Unikajmy podawania w nich swoich imion, dat urodzenia, adresów. Ponadto należy je często zmieniać (przynajmniej raz na pół roku) i nie ujawniać osobom postronnym. Przed podaniem hasła upewnijmy się też, że logujemy się do prawdziwej strony. Często błędnie wpisana nazwa domeny czy jej rozszerzenie może skierować na stronę łudząco podobną do tej, którą chcemy odwiedzić. W rzeczywistości może okazać się pułapką, którą zastawili na nas przestępcy. Logując się do systemu bankowego, musimy także sprawdzać, czy używamy bezpiecznego połączenia. W adresie musi pojawić się https://, a na pasku stanu przeglądarki symbol kłódki.

Loginy i hasła internetowe to dość wartościowa baza danych osobowych. Można ją odsprzedać, np. w celu wysyłki spamu. Adresy mogą zostać potraktowane również wybiórczo i użyte do kradzieży wirtualnych tożsamości czy podszywania się pod konkretne osoby

Nielegalne pozyskiwanie danych może stać się również sposobem na oficjalny biznes. W 2009 r. powstała strona internetowa, na której zaoferowano płatne pośrednictwo w procesie personalizacji Warszawskiej Karty Miejskiej. Jej twórca zachęcał do przesłania zdjęć i zbierał dane osobowe pasażerów - imię, nazwisko i numer PESEL

Każdy, kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom hasła, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym, podlega karze pozbawienia wolności do lat trzech. Proceder jest ścigany przez policję z urzędu.

W październiku 2009 r. internauta otrzymał wiadomość z banku BZ WBK, w którym bank miał prosić klientów o podanie haseł do kont bankowych. Autorem e-maila okazał się phisher. Oszust nie zdążył jednak wykraść oszczędności bankowych, gdyż internauta zaniepokojony dziwną treścią e-maila skontaktował się z bankiem, gdzie ustalił, że e-mail jest fałszywy, a następnie zmienił hasła dostępu do wszystkich swoich rachunków i zablokował kartę kredytową.

● Loguj się do systemu bankowego tylko ze sprawdzonych komputerów (unikaj logowania w miejscach publicznych, kafejkach internetowych).

● Logując się do systemu bankowego, sprawdzaj, czy używasz bezpiecznego połączenia (w adresie pojawi się https://, a na pasku stanu przeglądarki symbol kłódki).

● Nie udostępniaj nikomu hasła do konta ani listy haseł jednorazowych.

● Zawsze opuszczaj system bankowy, wylogowując się z niego i poczekaj na załadowanie się strony potwierdzającej tę operację.

● Zadbaj o dobry program antywirusowy zawierający opcje chroniące przed phishingiem.

● Przed wyborem banku sprawdź, czy oferuje on dwustopniową autoryzację operacji (np. kody jednorazowe, certyfikaty cyfrowe itp.).

● Regularnie uaktualniaj system i oprogramowanie (najczęściej klienta poczty e-mail i przeglądarkę).

● Nie zapisuj loginu i hasła na dysku twardym komputera.

Typowe sformułowania spotykane w wiadomościach phishingowych

● Zweryfikuj swoje konto

● Odpowiedz w ciągu 48 godzin, by zapobiec zablokowaniu konta

● Szanowny ceniony Kliencie, kliknij poniższe łącze, by zalogować się do swojego konta

Adam Makosz

adam.makosz@infor.pl

Ustawa z 21 sierpnia 1997 r. o gospodarce nieruchomościami (Dz. U. z 2004 r. nr 261, poz. 2603 z późn. zm.).

Ustawa z 6 czerwca 1997 r. - Kodeks karny (Dz.U. z 1997 r. nr 88, poz. 553 z późn. zm.).