W dzisiejszych czasach dobrem o największej wartości jest informacja. Z tego względu liczba prób wyłudzenia danych osobowych lawinowo wzrasta. Kradzież danych osobowych może mieć bardzo daleko idące konsekwencje, dlatego na próby wyłudzenia informacji trzeba reagować szybko i zdecydowanie. Jak bronić się przed wyłudzeniem danych osobowych?
Jak dochodzi do wyłudzenia danych osobowych?
Do większości prób wyłudzenia danych dochodzi w przestrzeni wirtualnej. Przestępcy korzystają z tego, że wiele osób nie korzysta z odpowiednio silnej ochrony antywirusowej/antyphishingowej. Często działamy także w pośpiechu, klikając w linki przesłane wraz z wiadomością mailową czy otwierając załączniki bez zastanowienia się nad tym, od kogo je otrzymaliśmy. Do najpopularniejszych sposobów służących do wyłudzenia danych zalicza się:
- phishing (oraz jego odmiany, jak spear phishing, clone phishing, spoofing czy whaling) polegający na wykorzystaniu efekty psychologicznego i nakłonienia ofiary do określonych działań, np. kliknięcia w link znajdujący się w treści wiadomości czy pobranie i otwarcie załącznika;
- implementację oprogramowania malware, które zbiera dane zapisane na koncie użytkownika i przesyła je do hakera;
- korzystanie z inżynierii społecznej w celu manipulowania zachowaniem osoby fizycznej; inżynieria może być połączona z phishingiem lub polegać np. na wykonywaniu połączeń telefonicznych, kiedy oszust podszywa się pod pracownika banku, Policji lub organ państwowego i żąda podania określonych informacji;
- skimming, czyli skopiowanie danych karty płatniczej w celu ich sprzedaży lub kradzieży środków zgromadzonych na rachunku.
Techniki informatyczne często są łączone z różnego rodzaju atakami, jak chociażby Denial of Service, który powoduje zablokowanie dostępu do danego systemu komputerowego lub usługi internetowej i wymusza zmianę danych dostępowych, które następnie są wykradane.
Ofiarami cyberprzestępców padają przede wszystkim małe i średnie firmy, które nie mogą pozwolić sobie na odpowiednio zaawansowane zabezpieczenia ze względu na wysokie koszty takiego rozwiązania, ale także osoby fizyczne.
W jaki sposób przestępcy wykorzystują dane osobowe?
Przestępcy dążą do pozyskania jak największej ilości danych osobowych. Łupem oszustów najczęściej padają:
- numery kont bankowych wraz z danymi dostępowymi (login i hasło);
- numer PESEL;
- numer i seria dowodu osobistego;
- adres i miejsce zamieszkania/zameldowania.
Wiele przedsiębiorstw nie zdaje sobie sprawy, że wyciek ich danych osobowych może pociągnąć za sobą dotkliwą szkodę majątkową, ale też wizerunkową. W jaki sposób wykorzystywane są pozyskane nielegalnie dane osobowe?
Przede wszystkim mogą posłużyć jako informacje niezbędne do zaciągnięcia zobowiązania – kredytu lub pożyczki lub zawarcia umowy leasingu. Oszuści dysponując odpowiednim zestawem danych mogą również założyć firmę na cudze dane osobowe. Obecnie rejestracja JDG, ale też wybranych spółek prawa handlowego jest bardzo prosta i da się ją zrealizować w całości przez Internet. Taka fikcyjna działalność z formalnego działa jednak legalnie i może zaciągać zobowiązania, które jednak spłacić będzie musiała ofiara oszusta.
Dane osobowe są sprzedawane osobom trzecim, np. w ramach transakcji zawartej przez Darknet. Jeszcze innym ryzykiem jest próba wyłudzenia okupu pod groźbą ujawnienia pozyskanych danych osobowych. Wiele osób łatwo daje się wmanewrować w sieć gróźb, co jedynie eskaluje żądania przestępcy.
Jak skutecznie bronić się przed wyłudzeniem danych?
Metody stosowane przez cyberprzestępców w znacznej mierze wykorzystują zwykłe ludzkie błędy, nieuważność i brak wiedzy. O czym pamiętać korzystając z sieci?
Przede wszystkim zwracajmy uwagę, czy strony internetowe z których korzystamy gwarantują odpowiednio wysoki poziom bezpieczeństwa. Podstawowe znaczenie mają protokoły TLS i SSL (wykorzystują go wszystkie strony z przedrostkiem https). Realizując płatności internetowe należy upewnić, że transakcja jest chroniona przez szyfrowanie AES w standardzie 256-bitowym.
Zdecydowanie warto zainwestować w płatny program antywirusowy. W odróżnieniu od bezpłatnych rozwiązań oferują one regularny update bazy wirusów, wsparcie sztucznej inteligencji, optymalizację zwiększającą płynność działania sprzętu, środowiska sandboxowe, a także wiele różnych modułów – antywirusowy, antyspyware’owy, antyphisingowy, bankowy.
Bezwzględnie należy zachować zdrowy rozsądek przy korzystaniu z rozwiązań nowych technologii. Zwracajmy uwagę, aby:
- nie klikać w podejrzane linki;
- nie otwierać wiadomości i załączników od nieznanych odbiorców;
- nie udostępniać swoich danych osobowych w mediach społecznościowych;
- nie logować się do publicznych sieci Wi-Fi;
- korzystać z silnych haseł oraz uwierzytelniania dwuskładnikowego;
- uruchomić alerty BIK, aby otrzymywać zgłoszenia dotyczące próby zawarcia umowy kredytu lub pożyczki na nasze dane;
- tworzyć backup plików na wypadek uszkodzenia zawartości dysku twardego przez złośliwe oprogramowanie.
Można też rozważyć sięgnięcie po takie narzędzia anonimizujące jak VPN, które ukrywają adres IP przed innymi użytkownikami sieci, ale także podmiotami ISP (ang. Internet Service Provider).
Gdzie zgłaszać próby wyłudzenia danych?
Na wszelkie próby wyłudzenia danych osobowych należy reagować od razu. Kradzież danych osobowych należy zgłosić organom ścigania (Policji), a także inspektorowi ochrony danych, jeżeli został on powołany przez daną firmę. Dzięki temu administrator ochrony danych będzie mógł zgłosić incydent do Prezesa UODO i podjąć niezbędne kroki w celu minimalizacji ryzyka wystąpienia negatywnych konsekwencji wycieku danych.
Trzeba pamiętać, że prawo karne penalizuje zarówno oszustwo (np. w celu wykradzenia pieniędzy z konta), jak i podszywanie się pod inną osobę w celu wyrządzenia jej szkody (np. zaciągnięcie kredytu na firmę). Sankcją może być nawet kara pozbawienia wolności do 10 lat.
W razie podejrzenia próby wyłudzenia danych osobowych warto skontaktować się z doświadczoną kancelarią prawną. Prawnicy z Kancelarii Linke Kulicki dokładnie przeanalizują stan faktyczny i doradzą podjęcie działań, jakie w danej sytuacji będą najskuteczniejsze.