Spis treści:
Według Reviews.org w 2020 roku karta kredytowa w sieci była warta około 33 dolarów, prawo jazdy kosztowało około 27 dolarów, a konto PayPal około 42 dolarów. Śmiesznie mało. Sęk w tym, że z takim kontem albo profilem na social media można dalej zrobić naprawdę dużo. I na pewno nie wyniknie z tego nic dobrego.
Cyberprzestępcy, którzy kradną nasze dane osobowe, niekoniecznie wykorzystują informacje osobiście. Często są one sprzedawane po ciemnej stronie Internetu, czyli w dark webie. Właściwie może je kupić i wykorzystać do dalszych kradzieży i nadużyć, a przy tym dobrze zarobić.
Raport otwiera ciekawa infografika w postaci paragonu za szemrane usługi. Okazuje się, że nie jesteśmy warci aż tak wiele dla użytkowników Deep Web , bo około 1200 dolarów. To niecałe cztery i pół tysiąca złotych – w sam raz na jakiś dość wyeksploatowany samochód osobowy i obiad z przydrożnego grilla.
Czym jest kradzież tożsamości?
Kradzież tożsamości jest jasno określona i spenalizowana w kodeksie karnym. Dotyczy tego art. 190 KK. Na czym polega w praktyce i na prostym przykładzie? Załóżmy, że ktoś posłużył się naszym skanem dowodu osobistego i spreparowanym rachunkiem w celu zawarcia jakiejś umowy. Operator albo dana strona będzie się w związku z tym domagać od nas płatności za coś, z czego nie korzystamy. Złodziej osiągnie cel dzięki korzystaniu z jakiejś usługi lub przedmiotu. Często dotyczy to mediów, płatności za usługi komunikacyjne albo umów zakupu-sprzedaży.
Takie problemy są nagminne i warto je wyjaśniać od razu. Zyskujemy wówczas pewność i tak zwany “podkład”, że nie zostaniemy wciągnięci w sprawę jako strona podejrzana. O wielu z takich sytuacji jednak nawet nie wiemy. Być może trafiliśmy właśnie do jakiejś bazy jako kontakt marketingowy – szkodliwość nieporównywalna do przykładu pierwszego, ale jakby nie patrzeć, to jest to zrobienie czegoś wbrew naszej woli.
W Polsce i Unii Europejskiej za dane osobowe uznaje się m.in. imię i nazwisko, numer PESEL, miejsce i datę urodzenia, adresy zamieszkania i zameldowania, nazwisko panieńskie matki, numer karty płatniczej czy numer przypisanego do niej rachunku bankowego. To, jak należy dokładnie rozumieć pojęcie “dane osobowe”, wyjaśnia nowy tekst ustawy o ochronie danych osobowych z 2018 roku oraz rozporządzenie Parlamentu Europejskiego i Rady Europejskiej z 2016 roku.
Zgodnie z zapisami rozporządzenia za dane osobowe można uznać także na przykład adres poczty elektronicznej, zdjęcie przedstawiające wizerunek konkretnej osoby, dokumentację medyczną albo dane biometryczne wykorzystywane do uwierzytelniania tożsamości, na przykład odcisk palca. To bardzo dobrze, że istnieje w zgodzie z literą prawa taka definicja rozszerzona – tożsamość to bowiem nie tylko nasze papierzyska albo to, czym się rozliczamy, ale także wszystko, czym jesteśmy i czym się wymieniamy. Definicji tożsamości zresztą nie brakuje – można wybierać, przebierać i dyskutować do woli i na ławce w parku, i na gruncie akademickiego dyskursu na poważnie.
pozostawiają cyfrowy ślad. Można pójść po nim do naszej
tożsamości jak po sznurku.
Addendum: dane z Polski
…a raczej takiego uzupełnienia brak. Polacy nie zajmują się takimi wyliczeniami na taką skalę, jak Amerykanie i inne kraje. Kwestia tego, czy potrzebujemy takich wyliczeń dla Polski, gdy mówimy o Internecie, a ściślej o ukrytej części sieci, które są najprościej mówiąc międzynarodowe (i ponadnarodowe). Znaczenie dla cen ma z pewnością wysiłek, jaki w kradzież trzeba włożyć, a na serwisie AVLab w artykule Adriana Ścibora Hakerzy do wynajęcia – aktualne cenniki usług cyberprzestępczych czytamy między innymi, że Polska zajmuje zaszczytne miejsce w czołówce zabezpieczeń bankowych.
Serwis Obserwator Finansowy zauważa, że znaczenie cyfrowej tożsamości wzrosło w czasie pandemii. Na początku istnienia tego pojęcia w praktyce wzmożonego ruchu doświadczały serwisy umożliwiające występowanie o świadczenia pomocowe. W wielu krajach brak innych dowodów potwierdzających tożsamość, a na świecie dotyczy to wciąż miliarda osób. W sytuacjach, w której brak dokumentów uniemożliwia dotarcie do najbardziej narażonych na zagrożenia, zdają egzamin cyfrowe ID. Jako przykład wymienia Chile i Tajlandię, które umożliwiały szybką identyfikację i weryfikację beneficjentów pomocy, a tylko w Tajlandii objętych nią było ponad 28 mln osób. W Indiach ponad 200 mln kobiet mogło otrzymać szybkie wypłaty pomocy dzięki przypisaniu ich do cyfrowej tożsamości.
Serwis AVLab sprawdził ile kosztują hakerzy w czasie, gdy w odniesieniu do ubiegłego roku wzrosło zapotrzebowanie na usługi internetowe. Zgodnie z najstarszymi prawidłami rynku umocniły się też dzięki temu cyberprzestępcze oferty. Piszemy o tym, bo jednocześnie pokuszono się o ocenę w kontekście Polski. Wystarczy od 45 do 90 dolarów, by kupić trwający od 30 minut do 4 godzin atak o przepustowości od 60 do 100Gb/s, co skutecznie mogłoby sparaliżować większość polskich firm z sektora małych i średnich przedsiębiorstw.
Według statystyk Biura Informacji Kredytowej (BIK) w Polsce może dochodzić każdego roku od kilkunastu do nawet kilkudziesięciu tysięcy przypadków przejęcia cudzej tożsamości mających na celu wyłudzenie kredytu lub zawarcia sfałszowanej umowy.
Ceny za tożsamość
Pamiętajmy, że dane kont bankowych kosztują ułamek ich rzeczywistej wartości. Podczas gdy przeciętne amerykańskie gospodarstwo domowe miało na koncie 4 500 dolarów, dane bankowe w ciemnej sieci kosztowały średnio… no właśnie, ile?
Dawaj konto!
W ubiegłym roku – i nic nie wskazuje na to, aby to się zmieniło – bardzo cenione były szczegóły kont bankowych. Sprzedawały się za około 260 USD. Następne w kolejce są numery kart debetowych, czyli takich, które wiążą się ściśle z kontem osobistym – osiągały cenę ok. 250 USD. Dalej są konta PayPal – 42,38 USD, a na końcu karty kredytowe – 33,88 USD.
Z debetówką możemy wydawać środki do końca, to znaczy aż się skończą. Z kartą kredytową – jak mówi sama nazwa – możemy wziąć sobie kredyt. Dlaczego więc karta debetowa jest warta więcej niż karta kredytowa? Karta debetowa szybko pobiera niezbędne środki z Twojego konta bankowego. Natomiast obciążenie karty kredytowej czeka na płatność do następnego cyklu rozliczeniowego, co oznacza, że możemy zakwestionować opłaty i taki rodzaj kradzieży staje się bardziej zawiły do przeprowadzenia. A złodziej chce naszych pieniędzy szybko – najlepiej teraz.
Zhakowali mi fejsa, czyli włamy na instagramy
Na początek: to nie jest ta sama definicja kradzieży tożsamości i takie włamanie nie jest tak samo karane. Czym innym jest kradzież finansowa, czym innym na przykład zszarganie wizerunku. Wśród towarzyszących zarzutów może znaleźć się także zniewaga (216 KK). Za ściganie i kwalifikacje czynu odpowiadają wymiar ścigania i wymiar sprawiedliwości. A teraz do rzeczy.
Często słyszymy, że “ktoś komuś włamał się na Instagram” albo że “ukradli mi fejsa”. Dla wszystkich z nas, którzy korzystają z mediów społecznościowych, konto na Facebooku sprzedaje się w Dark Web za nieco ponad 9 dolarów, konto na Reddit za 6,21 dolarów, a konto na Twitterze za 2,02 dolarów. Jeżeli ktoś próbował randek online, to konto w Matchu można utracić, gdy tylko ktoś zechce zapłacić 7,86 dolara. Dalsze operacje i pobierane za nie ceny to najpewniej kwestia tego, co na kontach social media trzymamy.
dla innych osobisty pamiętnik.
Inne dokumenty
W 2020 roku prawo jazdy sprzedawało się w USA za 27,62 USD, podczas gdy paszport za 18,45 USD. Prawo jazdy jest dokumentem poświadczającym tożsamość, ale w USA znaczy jeszcze więcej. Dane do kont mailowych sprzedawały się za niecałe sześć dolarów. Inne, mniej znane w Polsce usługi takie jak Yahoo Mail czy typowo amerykański AOL to ceny naprawdę niewielkie.
Zakres cen kont w szeroko rozumianych platformach i sklepach e-commerce w USA w 2020 roku był raczej szeroki. Na najwyższym poziomie spośród wymienionych stało konto Amazon za $30,36, następnie konto Best Buy za $26,54, a konto eBay za $21,66. Na samym końcu były dane poświadczające do serwisu ogłoszeń drobnych Craigslist (tak drobnych, że pisanych zwykle craigslist), które można było mieć ledwie za $4,66.
Kradli, kradną i kraść będą
Według magazynu Forbes dziennie hakuje się około 30000 stron internetowych. Z kolei dane IBM z 2020 roku wskazują, że do samego zidentyfikowania przerwania zabezpieczeń potrzeba średnio aż 280 dni. Globalna pandemia COVID-19 wpłynęła w znacznym stopniu na cyberbezpieczeństwo – zagrożenia online według Info Security Magazine wzrosły sześciokrotnie względem swojego dotychczasowego poziomu. Mowa tutaj o ich liczbie. Odnotowano wzrost nawet o 37% z miesiąca na miesiąc. Wiele z ataków nazwano “rekreacyjnymi”, czyli “ot tak dla zabawy”, ale wzrosła również liczba poważnych incydentów związanych z instytucjami i osobami fizycznymi. W związku z tym obserwujemy rozwój narzędzi do powstrzymywania automatycznych rejestracji w różnych serwisach, które to odpowiadają za próby wyłudzeń, nadużyć konsumenckich, a nawet sprzedaży podrabianych produktów, a zwłaszcza środków ochrony przed zakażeniem i szemranych farmaceutyków.
Co robić, żeby nie dać się oszukać przez internet
Praktyk jest wiele – bardziej i mniej zaawansowanych. Wiele zakłada wykorzystywanie zewnętrznych narzędzi. Te może omówimy kiedy indziej. Na początek zacznijmy od behawiorystyki – bo jak przy wszystkim, czym się zajmujemy, tak i tutaj są nawyki dobre i nawyki złe. Na szczęście te drugie o wiele łatwiej “wyplenić u siebie”, niż te wynikające z charakteru. Wystarczy trochę rozwagi, uwagi i zwyczajnie myślenia o tym, co robimy i gdzie wściubiamy naszego wirtualnego nosa.
- Chroń swoje hasła. Twórz unikalne i silne hasła dla każdego konta i zaopatrz się w menedżera haseł takiego jak Keeper, który je zachowuje i uzupełnia.
- Ustaw odpowiednie powiadomienia. Usługi powiadamiania o płatnościach z banku ostrzegą Cię przed działaniami związanymi z Twoimi środkami płatniczymi.
- Ustaw wielokrokową identyfikację. Wiele z naszych kont posiada jeden krok identyfikacji – zwykle jest to jakieś hasło. Warto zadbać o dodatkową linię zabezpieczeń na wypadek, gdyby “pierwsza padła”.
- Nie dziel się informacjami. Hakerzy zdobywają informację z wielu źródeł. Również z takich miejsc, w których beztroskie i ufne dzielenie się informacjami wydaje się być bezpieczne. Jest tak tylko na pozór. Nie dajmy się też oszukać – wpisujemy pod tą rubryką techniki scamu, np. wyłudzanie danych (phishing).
- Zapewnij bezpieczeństwo na wszystkich urządzeniach. Telefon jest prosty w obsłudze i zwykle jest pod ręką. Od dawna nie logujemy się do różnych kont wyłącznie z komputerów. Każde z urządzeń powinno posiadać oprogramowanie antywirusowe, aktualizacje i menedżera haseł.
Tożsamość jako integralny zbiór cech, zachowań i dorobku człowieka jest wyceniana jakoś zatrważająco nisko. “Zatrważająco” to może nienajlepsze słowo, a wartość człowieka to nie rynkowa wartości jego danych, ale trudno oprzeć się takiemu wrażeniu, gdy przeczyta się o tysiącu dolarów za praktycznie kompletny pakiet informacji o nas samych.
Nasza tożsamość jest chroniona, ale nie zwalnia nas to od odpowiedzialności za jej chronienie tak, jak nie zwalnia się nas od odpowiedzialności karno-skarbowej, gdy nieświadomie przyłożymy rękę do przekrętu. Powiedzmy to wprost: do procederu handlu żywym towarem dołącza proceder handlu tożsamością na równie alarmującą skalę.
