Jak dajemy się oszukać, czyli podszywanie się pod tożsamość drogą cyfrową
January 11, 2021, 12:55
Świat przeszedł w ostatnich dekadach dużą transformację. Nasze życie zawodowe, prywatne, finanse, rozrywka czy nawet nawiązywanie nowych relacji przeniosło się do sieci. Z roku na rok coraz bardziej widzimy integrację naszej pracy i życia ze światem cyfrowym. Można wręcz powiedzieć, że nie znamy i nie wyobrażamy sobie życia bez wirtualnej rzeczywistości. Wszystko to jest oczywiście bardzo praktyczne, ale i niesie ze sobą szereg nowych zagrożeń, które również stają się coraz powszechniejsze, a ich częstotliwość rośnie w zastraszającym tempie.
Największe instytucje powołane do zwalczania przestępczości takie jak FBI, Interpol czy nawet polska Policja, w swoich raportach potwierdzają wzrost działań przestępczych w sieci oraz rosnący problem kradzieży tożsamości i wskazują techniki socjotechniczne jako największy problem. Mimo rosnącej świadomości oraz coraz lepszych zabezpieczeń, przestępcom wciąż udaje się podszywać pod inne osoby i działać na szkodę osób, firm i instytucji. Człowiek był, jest i nadal będzie najsłabszym ogniwem w łańcuchu zdarzeń ataków w sieci.
Widać też pewne trendy, jeśli chodzi o rodzaj ataków, przybywa tych bardziej celowanych, a co za tym idzie skutecznych. Przestępcy również zbierają doświadczenie i adaptują się do nowych sytuacji. Nadal bardzo groźne są ataki typu ransomware, czyli takie w których przestępcy żądają korzyści finansowych za przywrócenie środowiska firmy do stanu sprzed ataku. To, co jest niepokojące to fakt, że ilość tych ataków w pierwszej połowie 2020 roku wzrosła aż o ponad 700% w stosunku do roku poprzedniego.
Kradzież tożsamości w internecie to problem, który również bardzo się nasila, może on wygenerować realne straty finansowe, wizerunkowe czy nawet osobiste. Wszystko zależy od rodzaju ataku, jego skali oraz podmiotu, który staje się celem.
Podszywanie się pod cudzą tożsamość w sieci zaczęło się w roku 2001, kiedy to miał miejsce pierwszy bezpośredni atak na system E-Gold. Oczywiście wykorzystanie danych osobowych w celu podszycia się pod kogoś innego dzieje się już od dawna, tylko wcześniej używano fizycznych dokumentów tożsamości, a dużo dawniej nawet fizycznego podobieństwa pomiędzy osobami.
Ataki dostosowują się również do trendów, zachowań i przyzwyczajeń ludzi. Haker może wykraść dane osobowe, PESEL, hasło oraz login, dane kart płatniczych czy inne bardzo charakterystyczne dane. Problem dotyczy zarówno osób prywatnych, jak i całych organizacji, wtedy oczywiście skala jest dużo bardziej niebezpieczna. Cyberprzestępcy wykorzystują w mechanizmach swoich ataków na przykład ludzką ciekawość, nieostrożność i emocje. Warto pamiętać, że celem ataku możemy stać się zarówno w sposób bezpośredni, jak i całkowicie nieświadomie np. kiedy nasze dane zostaną wykradzione z jakiejś bazy danych. Nie sposób, całkowicie zabezpieczyć się przed wszystkimi metodami ataku, wiele z nich nie zależy tak naprawdę od nas, możemy być jednak czujni i bardziej ostrożni w tym, co robimy w sieci.
Najnowsze dane wskazują, że już ponad 90 procent internautów padło ofiarą ataku polegającego na próbie kradzieży tożsamości osoby atakowanej lub instytucji, która z nim się kontaktuje. Realne straty odczuło około 40%-50% z nich, proporcje te cały czas się zwiększają. Im więcej korzystamy z usług w sieci, tym jesteśmy bardziej narażeni. Przestępcy wykorzystują SMSy, podrobione serwisy WWW np. instytucji finansowych, wiadomości e-mail, połączenia głosowe, komunikatory, serwisy społecznościowe czy aplikacje mobilne. Instytucje tracą przez takie ataki klientów, wizerunek, a tym samym realne pieniądze. Osoba prywatna z kolei może stracić to samo, ale oczywiście w swojej skali, to nadal może oznaczać bardzo poważne konsekwencje z jej punktu widzenia. Jednym z przykładów takiego ataku był atak w 2016 roku na klientów banku BZ WBK. Klienci otrzymali wiadomość e-mail, że dostęp do ich konta został zablokowany po wykryciu nieautoryzowanego dostępu. Po kliknięciu na link w wiadomość, Klient trafiał na fałszywą stronę, stworzoną specjalnie na potrzeby ataku, gdzie podawał swoje dane logowania.
Jak więc chronić się przed tego typu atakami? Przede wszystkim wprowadzając zasadę ograniczonego zaufania! Jak najczęściej sprawdzać dane w dokumentach, które znajdziemy i porównywać je z oryginałami, które wiemy, że są bezpieczne. Zazwyczaj fałszywe wiadomości, faktury czy inne przetwarzane dane zawierają błędy ortograficzne, stylistyczne czy merytoryczne, ponieważ tworzone są przez osoby spoza organizacji, często również innej narodowości. Częsty błąd to np. zamiana litery O na cyfrę 0, brak kropki, obecność „–„ , tak żeby sprytnie nas zmylić. Sama nazwa firmy czy instytucji też często jest przekręcona, znak graficzny również może się różnić. Starajmy się jak najrzadziej udostępniać nasze dane osobiste, róbmy to tylko wtedy, kiedy jest to konieczne. Warto korzystać też z dobrego i aktualnego oprogramowania antywirusowego czy innego zabezpieczenia, które w skali roku wcale nie jest dużym wydatkiem. Najważniejszy jest nasz zdrowy rozsądek i ostrożność, wprowadzając to w nawyk szansa, że padniemy ofiarą takiego ataku jest dużo mniejsza, starajmy się też edukować innych, w szczególności osoby starsze i dzieci.
SS