Oddzwonienie na nieznany numer telefonu, który do złudzenia przypomina kierunkowy do Warszawy (22) albo do Płocka (24), może poważnie uszczuplić nasz portfel. To jedna z coraz popularniejszych ostatnio socjotechnik, będąca sposobem na wyłudzenie pieniędzy. To oszustwo, które wykorzystuje ludzki impuls, zwyczajny odruch do oddzwaniania. Skąd oszuści mają nasze numery telefonów? Z jakiej racji mamy im płacić i co jeszcze mogą zrobić z naszymi danymi?
Sposoby nieuprawnionego wykorzystania skradzionych danych mnożą się wraz ze zwiększaniem się ruchu w internecie oraz rosnącą popularnością usług telekomunikacyjnych. Każdego dnia słyszymy o włamaniach na serwery dużych firm, instytucji, uczelni, dostawców usług dla największych linii lotniczych, a ostatnio najpopularniejszych na świecie portali społecznościowych. W wielu przypadkach ataki hackerskie są niezwykle wyrafinowane, ale czasem wystarczy ludzki błąd i nieodpowiednie zabezpieczenie infrastruktury czy systemów. Metod, jakimi posługują się złodzieje danych jest bardzo wiele. Coraz trudniej uprzedzić misternie przygotowane ataki przestępców, zwłaszcza wykorzystujących najnowsze technologie. Problemem staje się zidentyfikowanie takiej próby oszustwa, nie mówiąc już o oparciu się chwytom socjotechnicznym. To, co je łączy, to element zaskoczenia. Nigdy nie wiemy, kiedy i skąd nasze dane zostaną skradzione.
Wyciek danych budzi uzasadnione obawy
W ostatnich tygodniach mieliśmy do czynienia z incydentem o niesłychanej dotychczas skali, zwłaszcza że sprawa dotyczyła gigantów świata cyfrowego. Informacja o wycieku danych z najpopularniejszego serwisu społecznościowego dotknęła ponad stu krajów, w których poszkodowanych było ponad 536 mln użytkowników, w tym ok. 2,6 mln z Polski. Kilka dni później, świat obiegła kolejna wiadomość o wypłynięciu danych z profili ponad 500 mln osób z innego międzynarodowego serwisu. Jak ustaliło Cybernews.com, udostępnione na forum hackerskim próbki skradzionych danych są wiarygodne.
Charakter obu włamań ma na celu uzyskanie korzyści finansowych, obecnie dane są wystawione na sprzedaż.
– Skradziona baza milionów rekordów osób z największych serwisów społecznościowych świata to poważne naruszenie bezpieczeństwa. Wprawdzie wyciek to jeszcze nie wyłudzenie, jednak obserwacje tego typu przestępstwa dowodzą, że dokonywane są one głównie w celach uzyskania korzyści finansowych. Istnieje duże prawdopodobieństwo wykorzystywania skradzionych danych w przyszłości, np. do spoofingu, ataków phishingowych i spamowych czy wymuszania haseł – mówi Andrzej Karpiński, szef bezpieczeństwa w Biurze Informacji Kredytowej.
Dane osobowe i kontaktowe w rękach złodziei oznaczają wysokie niebezpieczeństwo. Mogą one zostać wykorzystane przez przestępców do oszustw, wspomaganych poprzez przebiegłe chwyty socjotechniczne. Należą do nich, m.in. spoofing – metoda telefoniczna lub mailowa, polegająca na podszywaniu się pod prawdziwe organizacje (w tym banki), phishing – np. z wykorzystaniem sms lub połączenia telefonicznego. To sposoby, które bazują na ludzkiej naiwności lub nieuwadze, przenoszą ofiarę na fałszywą, ale łudząco podobną stronę naszej siłowni, ulubionej restauracji czy firmy kurierskiej. Ataki spamowe – rozsyłane linki reklamowe, w które pochopnie klikamy, wszystkie te formy kontaktu mogą wykorzystywać dane pochodzące z wycieku.
Nie znasz numeru, nie oddzwaniaj
Uważajmy, gdzie pozostawiamy swoje dane, rozważnie dokonujmy transakcji płatniczych w sieci, dokładnie sprawdzając adresy portali internetowych. Upewnijmy się, czy oddzwaniamy na znany nam numer, nie odpisujmy anonimowym nadawcom. Niewiedza, może nas dużo kosztować.
– Czasem należy rozważyć, czy ryzyko potwierdzenia swojej tożsamości za pomocą przekazania scanu dowodu osobistego w wypożyczalniach jest warte przyjemności, jakiej się spodziewamy. Zwróciłbym tu szczególną uwagę na wątpliwy sposób weryfikacji podczas procedury wynajmu na godziny hulajnogi lub samochodu w formule car sharing, czy weryfikacji wieku na popularnym portalu streamingowym. Uwiarygodnianie scanem dowodu osobistego lub scanem karty kredytowej, to w moim przekonaniu, wysoce prawdopodobne pola do możliwych nadużyć z wykorzystaniem cudzych danych – przestrzega szef bezpieczeństwa BIK.
Dobre nawyki bezpieczeństwa danych i aktywne Alerty BIK
Pochopne decyzje, nadmierne udostępnianie swoich danych, zakupy dokonywane pod wpływem impulsu, na niesprawdzonych witrynach sklepowych, to zdecydowanie złe nawyki.
– Doniesienia o wycieku danych z największych na świecie portali społecznościowych powinny dać do myślenia. Nie tylko osoby poszkodowane w wyniku wycieku muszą się mieć teraz na baczności. To lekcja dla wszystkich, by zmienić nawyki dotyczące naszej aktywności w serwisach społecznościowych. Korzystajmy z możliwości doboru grona osób, np. zamiast do wszystkich ograniczmy wiadomość do grup, znajomych albo zachowajmy jako prywatną. Nie udostępniajmy wszystkich informacji jako publicznych i korzystajmy chrońmy się przed następstwami wycieków, np. poprzez Alerty BIK – wyjaśnia Andrzej Karpiński.
Alerty BIK to wiadomości sms lub e-mail, które przychodzą w momencie, gdy ktoś próbuje zaciągnąć kredyt lub pożyczkę na nasze dane. Dzięki monitorowaniu zapytań o dane z Rejestru Dłużników BIG InfoMonitor, Alerty BIK powiadomią również w sytuacji, gdy ktoś w naszym imieniu podpisuje umowę, np. z firmą telekomunikacyjną na zakup drogiego telefonu z abonamentem.
Taka wiadomość pomoże uratować przed stratami finansowymi. Pozwala na szybką reakcję, która jest kluczowa. W Alercie podana jest data oraz nazwa instytucji, w której składany był wniosek – informacja ta pomoże anulować kredyt czy pożyczkę, których sami nie zaciągnęliśmy.
Ochrona przed wyłudzeniem to dziś standard – wystarczy zarejestrować się na www.bik.pl i aktywować Alerty. Można to także zrobić za pomocą Aplikacji Mój BIK i mieć ochronę we własnym smartfonie.