Nasze życie staje się coraz bardziej cyfrowe. Zakupy, komunikacja, kontakty ze znajomymi, czy granie w gry komputerowe ― wszystkie te czynności chętnie wykonujemy na komputerach lub urządzeniach mobilnych. Korzystanie z takich usług często wymaga jednak podania danych osobowych. Czasem wystarczy nazwisko i adres e-mail, kiedy indziej trzeba wprowadzić bardziej wrażliwe informacje, jak numer ubezpieczenia społecznego czy karty kredytowej. Udostępnianie takich danych, określanych jako „informacje umożliwiające identyfikację osób”, naraża nas na ryzyko. Dlaczego? Ponieważ hakerzy cały czas się zastanawiają, jak ukraść te dane i na nich zarobić.
Centrum Zgłaszania Przestępczości Internetowej FBI (IC3) zilustrowało w swoim najnowszym raporcie skalę takich zagrożeń. W 2018 r. wycieki danych osobowych znalazły się wśród najczęściej zgłaszanych cyberprzestępstw. Ich ofiarą padło 50 642 użytkowników, którzy stracili łącznie ponad 148,8 mln USD. Prawdopodobnie jest to tylko czubek góry lodowej, ponieważ wiele incydentów nigdy nie zostaje zgłoszonych. Kradzież tożsamości, będąca częstym następstwem kradzieży danych, kosztuje ofiary ponad 100 mln USD rocznie. Z kolei ataki phishingu, polegające na wyłudzaniu haseł i wrażliwych informacji umożliwiających identyfikację osób, przekroczyły 48 mln USD.
Płynie stąd jasny wniosek: użytkownicy muszą podjąć pilne kroki, aby ochronić przed hakerami swoje najbardziej wrażliwe dane dotyczące tożsamości i dane finansowe. Przedstawiamy przewodnik, z którego można się dowiedzieć, gdzie znajdują się najważniejsze dane, w jaki sposób hakerzy mogą je ukraść i jak należy je zabezpieczyć.
Które dane są zagrożone?
Hakerzy chcą przede wszystkim zdobyć pieniądze. Choć mogą to zrobić poprzez wymuszenia online lub za pomocą oprogramowania ransomware, najczęściej decydują się na kradzież danych. Gdy mają już informacje umożliwiające identyfikację osób oraz dane finansowe, sprzedają je w internetowym podziemiu oszustom, którzy wykorzystają je do kradzieży tożsamości. Na przykład dane logowania mogą posłużyć do przejęcia rachunku bankowego i wyczyszczenia go z pieniędzy lub otwarcia nowych kart kredytowych na nazwisko ofiary i zaciągnięcia długów na jej konto.
Konsumenci ze Stanów Zjednoczonych są coraz bardziej narażeni na kradzież danych. W 2018 roku jej ofiarą padło 14,4 mln osób, które straciły łącznie 1,7 mld USD — ponad dwukrotnie więcej niż w roku 2016.
Jak już wspomnieliśmy, hakerzy dążą do przejęcia jak największej ilości informacji umożliwiających identyfikację osób. Im więcej mają takich danych, tym łatwiej jest im stworzyć przekonującą wersję tożsamości oraz oszukać firmy i instytucje, z którymi ofiara kontaktuje się przez internet. Może chodzić o nazwiska, adresy i daty urodzenia, a także bardziej wrażliwe informacje, jak numery ubezpieczeń społecznych i zdrowotnych, dane kont bankowych czy numery kart płatniczych.
Większość takich informacji jest przechowywana na kontach internetowych chronionych hasłem, więc hakerzy często wkładają duży wysiłek w odgadnięcie lub kradzież danych logowania. Zyski mogą przynieść nawet te konta, które wydają się być mało interesujące dla przestępców. Na przykład przejęte konto w serwisie Uber można sprzedać przez internet ― nabywca chętnie zapłaci odpowiednią cenę, aby później bezpłatnie korzystać z przejazdów. Z pewnością znajdą się też amatorzy usług streamingowych, którzy kupią skradzione dane logowania do serwisu Netflix.
Hakerzy mogą okradać z danych osobowych zarówno indywidualnych użytkowników, jak i całe firmy. W przeszłości miały miejsce masowe wycieki danych z Ubera (57 mln użytkowników na całym świecie) i Yahoo (3 mld użytkowników). Czasem hakerzy wykorzystują posiadane już informacje o konkretnej osobie, aby wyłudzić od niej metodą phishingu jeszcze więcej danych. Przykładem są oszustwa podatkowe lub szantażowanie ujawnieniem nagich, kompromitujących zdjęć (tzw. sextorsion). Przestępcy mogą również wykorzystywać złamane wcześniej hasła do przejęcia innych kont tego samego użytkownika, ponieważ wiele osób używa tych samych danych logowania w różnych serwisach.
Choć banki najczęściej wyrównują swoim klientom straty poniesione na skutek kradzieży tożsamości, nie można zapominać o innych skutkach takich incydentów. Oto możliwe następstwa kradzieży danych i opartych na niej oszustw:
- Koszty odzyskania skradzionego konta
- Stres emocjonalny: 75% ofiar odczuwa silne stany stresowe
- Obniżenie oceny kredytowej
- Czas i energia stracone na toczenie sporów o koszty i odzyskanie pieniędzy: szacuje się, że na odzyskanie skradzionego konta potrzeba średnio 6 miesięcy i 200 godzin pracy
Jak kradną?
Hakerzy stosują różne techniki kradzieży danych i pieniędzy. Korzystają przy tym ze wsparcia cyberprzestępczego podziemia i serwisów w sieci darkweb. Podziemie to nie tylko zapewnia im gotową platformę umożliwiającą sprzedaż skradzionych danych, lecz także zaopatruje ich w narzędzia hakerskie oraz porady i usługi cyberprzestępcze. Ta czarnorynkowa gospodarka może mieć obroty sięgające 1,5 bln USD rocznie.
Hakerzy mogą:
- atakować metodą phishingu, wysyłając fałszywe e-maile, które wyglądają jak napisane przez oficjalną instytucję lub firmę (urząd skarbowy, bank, firmę ubezpieczeniową, operatora Internetu itp.);
- organizować zautomatyzowane ataki, wykorzystując dane logowania ofiary skradzione z innych serwisów lub używając narzędzi internetowych do przetestowania wielu kombinacji łatwych do odgadnięcia haseł, takich jak „hasł0”;
- wykorzystywać luki w zabezpieczeniach odwiedzanych przez ofiarę serwisów WWW, aby uzyskać dostęp do jej konta;
- infekować szkodliwym oprogramowaniem wiarygodnie wyglądające aplikacje mobilne i czekać, aż nieświadomy użytkownik je pobierze;
- przechwytywać prywatne dane ofiary przesyłane w publicznych sieciach Wi-Fi; przykładowo, jeśli ofiara loguje się do swojego konta bankowego w publicznej sieci Wi-Fi, haker może monitorować wszystkie wykonywane przez nią operacje.
Jak się zabezpieczyć?
W celu zabezpieczenia swoich danych można zrobić wiele prostych rzeczy, z których większość nic nie kosztuje. Na przykład:
- używać długich, silnych i unikatowych haseł dla każdego serwisu WWW i aplikacji. Pomocny jest menedżer haseł online, który umożliwia przechowywanie danych oraz przypominanie ich sobie w razie potrzeby;
- zmieniać swoje hasła natychmiast, gdy dostawca usług poinformuje o możliwości włamania na konto;
- używać dwu- lub wieloelementowego uwierzytelniania MFA (2FA/MFA), jeśli jest dostępne, w celu zwiększenia bezpieczeństwa logowania;
- informacje umożliwiające identyfikację osób wprowadzać tylko w tych serwisach WWW, których adresy zaczynają się od „HTTPS”;
- nie klikać odsyłaczy i nie otwierać załączników w tekstach i wiadomościach e-mail z nieznanych źródeł;
- nie podawać zbyt wielu informacji osobowych i finansowych w mediach społecznościowych;
- pobierać aplikacje tylko z oficjalnych sklepów, takich jak Apple App Store lub Google Play;
- nie udostępniać kont wrażliwych (bankowych, pocztowych itd.) w publicznej sieci Wi-Fi bez używania sieci VPN;
- zainwestować w dobre oprogramowanie antywirusowe od zaufanego dostawcy dla wszystkich komputerów i urządzeń mobilnych. Powinno ono obejmować ochronę przed phishingiem i spamem;
- aktualizować do najnowszej wersji wszystkie systemy operacyjne i aplikacje w celu ograniczenia do minimum luk w zabezpieczeniach, które mogłyby stać się celem hakerów;
- śledzić swoje transakcje finansowe w celu szybkiego wykrywania ewentualnych oszustw opartych na kradzieży tożsamości;
- w przypadku incydentu, który może wpłynąć na ocenę kredytową) należy sprawdzić swój raport kredytowy i status bezpieczeństwa, a w razie potrzeby zablokować swoje raporty kredytowe w celach bezpieczeństwa.