Na kradzieży haseł oszuści zbijają fortuny

● Polacy wykorzystują latami te same loginy i hasła do każdego konta w internecie

● Za nielegalne pozyskiwanie danych, ich zbywanie i udostępnianie grożą kary więzienia

Przestępcy internetowi coraz częściej kradną poufne dane internautów. W zeszłym tygodniu po raz kolejny podszyli się pod Bank BZ WBK i wysłali do jego klientów e-maile z prośbami o podanie haseł do kont bankowych. Kilka dni przedtem hakerzy opublikowali w Internecie dziesiątki tysięcy wykradzionych haseł i loginów do kont poczty elektronicznej, m.in. z Hotmaila i Gmaila. Nieco wcześniej policja zatrzymała siedmiu nastolatków, którzy w sierpniu wykradli około 100 tys. haseł użytkowników serwisu Wykop.pl.

- Osoby korzystające z internetu nie zdają sobie sprawy, jakie zagrożenia czekają na nich w wirtualnym świecie. Informacje pozostawiane przez nas w sieci wydają się nam nieistotne. Środowiska przestępcze dorabiają się jednak na ich kradzieży fortun - mówi Michał Serzycki, generalny inspektor ochrony danych osobowych.

- Loginy i hasła internetowe to dość wartościowa baza danych osobowych. Można ją odsprzedać, np. celem wysyłki spamu. Adresy mogą zostać potraktowane również wybiórczo i użyte do kradzieży wirtualnych tożsamości czy podszywania się pod konkretne osoby - mówi Zbigniew Engiel, specjalista ds. informatyki śledczej z Mediarecovery.

Nielegalne pozyskiwanie danych może stać się również sposobem na oficjalny biznes. Ostatnio powstała strona internetowa, na której zaoferowano płatne pośrednictwo w procesie personalizacji Warszawskiej Karty Miejskiej. Jej twórca zachęca do przesłania zdjęć i zbiera dane osobowe pasażerów - imię, nazwisko i numer PESEL - Zarząd Transportu Miejskiego niezwłocznie złoży do prokuratury zawiadomienie w tej sprawie - mówi rzecznik ZTM w Warszawie Igor Krajnow.

Kradzione dane mogą być wykorzystywane do phishingu, czyli podszywania się np. pod dostawcę usług bankowości elektronicznej. Jak wyjaśnia Tomasz Grzegory z Onet.pl, taki cyberprzestępca może wysłać e-maila od rzekomego banku z prośbą o zalogowanie się na wysłanym linku z uwagi na konieczność zmiany hasła. Jedna nierozważna odpowiedź może sprawić, że nie tylko stracimy wszystkie oszczędności na swoim koncie, ale także nabawimy się długów, o których pochodzeniu nie będziemy mieli pojęcia.

- Kradzież pieniędzy z konta internetowego jest bardzo trudna, bo nawet, gdy użytkownik nieopatrznie poda dane dostępowe, to i tak transakcje wymagają potwierdzenia kodami jednorazowymi. Inaczej jest z danymi do kart. Jeśli ktoś przekaże dane umożliwiające ich użycie, to zgodnie z prawem bank nie ponosi odpowiedzialności za skradzione pieniądze - wyjaśnia Grzegorz Adamski, z banku BZ WBK.

W 2008 roku cyberprzestępcy podszyli się już pod ponad 5 mln internautów, co oznaczało wzrost skali zjawiska o kolejne 40 proc.

W takich sytuacjach wina leży przede wszystkim po stronie oszustów.

- Internautom można zarzucić brak rozwagi i nadmierne zaufanie do korespondencji przesyłanej pocztą elektroniczną - mówi Zbigniew Engiel.

Duża część osób korzystających z kont internetowych używa tego samego hasła do karty kredytowej, serwisu aukcyjnego czy skrzynki e-mailowej.

- Część danych skradzionych z serwisu Wykop.pl posłużyła do wejścia na strony innych serwisów. Nie powinno używać się tych samych loginów i haseł do wielu kont. Po drugie, te hasła są często bardzo proste, np. 12345 i niezmieniane latami - zauważa Michał Serzycki.

Każdy, kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom hasła, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym, podlega karze pozbawienia wolności do lat trzech. Proceder jest ścigany przez policję z urzędu.

@RY1@i02/2009/208/i02.2009.208.183.008a.001.jpg@RY2@

Ochrona danych osobowych w internecie

Adam Makosz

adam.makosz@infor.pl

OPINIA

Panda Security

Ostatnio notowany jest znaczący wzrost sieci botnetowych (bot, czyli komputer zainfekowany złośliwym oprogramowaniem, może być sterowany przez cyberprzestępców). Infekcje obejmują jednorazowo nawet kilkadziesiąt tysięcy komputerów. W sieci pojawia się wtedy specjalna aplikacja, która będzie oczekiwała na określoną aktywność użytkownika, np. logowanie do portalu pocztowego, i dopiero w tym momencie wykonują określoną akcję, np. przechwytują hasła. Do przeprowadzania procederu wykorzystywane są najczęściej wynajęte serwery np. w Rosji lub na Ukrainie. Głównym problemem w schwytaniu sprawców pozostaje tutaj ułomność policji, która nie jest w stanie nawiązać skutecznej, międzynarodowej współpracy.