Zapraszam do przeczytania kolejnego tekstu z cyklu Nie daj się okraść. Tym razem kwestia tożsamości i jej ochrony.

Kiedy rozmawiam z ludźmi o cyberbezpieczeństwie zazwyczaj pada stwierdzenie, że nie ma mi czego ukraść. To reakcja na przedstawiane przeze mnie, różne, metody oszustw, w kontekście ataków, jakie stosują przestępcy, aby wytransferować środki z konta swojej ofiary. Jest jednak coś znacznie cenniejszego, co cyberprzestępca może przejąć, nawet jeśli nie posiadamy żadnych materialnych środków. To nasza tożsamość, która na pozór może nie wydawać się czymś szczególnie atrakcyjnym, a tak naprawdę jest łakomym kąskiem wśród sieciowych włamywaczy.

Jedno hasło to (not) rule them all

Jednym z głównych grzeszków internautów jest używanie jednego hasła do wszystkich lub wielu serwisów internetowych. To prosta droga do przejęcia konta przez atakującego. Nie jest chyba dla nikogo zaskoczeniem, że potężne bazy danych loginów, adresów mail i haseł wypływają co jakiś czas i nawet najwięksi mieli z tym problem, chociażby Facebook, Dropbox, LinkedIn i inne. Używając jednego hasła do wielu serwisów narażasz się więc na przejęcie wielu swoich kont jednocześnie. Atakujący, który nie musi posiadać jakiejś szczególnie skomplikowanej wiedzy technicznej, mając dostęp do skradzionej lub takiej bazy danych, która z jakichś przyczyn znalazła się w przestrzeni publicznej. Jeśli więc wyciekła baza danych użytkowników LinkedIn, a ty masz takie samo hasło do tego serwisu, Facebooka i jeszcze kilku innych, to nie są to już twoje konta. Szczególnie, jeśli zasadę jedno hasło do jednej usługi traktujesz tak samo poważnie jak zasadę zmiany haseł nie rzadziej niż raz na 30 dni.

I co mi zrobisz?

Przejęcie konta w jakimś serwisie społecznościowym może wiązać się z wieloma nieprzyjemnościami. Atakujący otrzymując do niego dostęp może publikować kompromitujące treści i wysyłać takowe do znajomych ofiary. Może także wykorzystać zaufanie znajomych ofiary i poprosić ich, w jej imieniu, o pożyczkę (koniecznie przelewem natychmiastowym), bo akurat zepsuł mu się samochód i nie ma z nikim kontaktu, a nie ma jak wrócić bezpiecznie do domu. Atakujący wybiera drobne kwoty, ale taką prośbę roześle do 20, 50, czy 100 znajomych. Któż nie pomoże przyjacielowi, czy znajomemu, w nagłej potrzebie?

Facebook od jakiegoś czasu udostępnia także usługę Marketplace, czyli miejsce na wzór OLX, gdzie możemy kupić i sprzedać różne przedmioty. Atakujący dysponując czyimś kontem może zastosować tutaj metodę oszustwa phishingowego, opisywaną już przeze mnie w pierwszym tekście z cyklu Nie daj się okraść. W ten sposób uzyskuje dane kolejnych ofiar, które może wykorzystać przygotowując kolejne ataki, czyszcząc przy okazji konto aktualnej ofiary.

Wskazówka: Używaj jednego hasła do jednej usługi czy serwisu. Zmieniaj hasła regularnie, stosuj do tego celu managera haseł. Zastosuj, tam gdzie jest to możliwe, dwuskładnikową weryfikację konta.

Chroń swoje dokumenty

Jednym z najbardziej newralgicznych dokumentów w polskim systemie jest dowód osobisty. To za pomocą tego dokumentu uwierzytelniamy swoją tożsamość w fizycznej placówce banku czy operatora telefonii komórkowej, ale możemy to zrobić także w sieci. Kradnąc fizycznie czyjś dokument możemy przecież założyć na dane ofiary internetowe konto bankowe czy spróbować przejąć jego konto w serwisie społecznościowym. Blankiet dowodu osobistego zawiera wszystkie niezbędne dane do przejęcia czyjejś tożsamości, w tym numer PESEL. O fizycznych aspektach ochrony swoich dokumentów nie trzeba się chyba rozpisywać - należy po prostu nikomu ich nie przekazywać, nie udostępniać, nie zezwalać na kserowanie przez nieuprawnione do tego podmioty, czy nie zostawiać w miejscach w których mogą paść ofiarą złodziejów.

Wskazówka: Podmioty, które mają prawo w toku świadczonych przez siebie usług kserować dowód osobisty klienta wymienione są w Ustawie z dnia 1 marca 2018 roku o Przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Dokumentów klienta nie mają prawa kserować np. siłownie.

Wiele osób do skanu swoich dowodów podchodzi dosyć nonszalancko, pozostawiając ich kopie w przeróżnych usługach chmury, na skrzynkach mailowych, niezabezpieczonych należycie kontach ftp i innych. Dokumenty te, w przypadku włamań, wycieków, czy innej działalności internautów o niezbyt uczciwych zamiarach, trafiają następnie do wielu miejsc do których trafić nie powinny.

Wskazówka: Jeśli już musisz wykonać skan swojego dokumentu tożsamości zasłoń te dane, które nie są konieczne do weryfikacji jakiejś usługi. Możesz także dodać na skanie znak wodny z datą i wpisanym konkretnym celem dla którego został on wykonany.

Dokumenty kolekcjonerskie

To szczególny przypadek. Tak zwane dokumenty kolekcjonerskie były już bohaterami kilku telewizyjnych reportaży. Są to pseudodokumenty, które za kilkaset złotych można zamówić w sieci na dowolne dane, z dowolnym zdjęciem (jak ten dowód osobisty powyżej). Problem tkwi w tym, że tego typu pseudodokument jest praktycznie nie do odróżnienia od prawdziwego. Posłużyć może oszustowi do zakładania kont internetowych na dowolne, wybrane przez siebie (wcześniej skradzione komuś) dane czy przejęcie czyjegoś numeru telefonu - w ten sposób uzyska dostęp np. do jednorazowych haseł SMS uwierzytelniających przelewy bankowe. Tego typu oszustwo polega na wykonaniu duplikatu karty SiM w placówce operatora, podczas której oszust posługuje się opisywanym tutaj dokumentem kolekcjonerskim na dane prawdziwego właściciela numeru i swoim zdjęciem.

Socjotechniki

Dane ofiar mogą być pozyskiwane przez przestępców także z wykorzystaniem socjotechnik. Są to takie działania za pomocą których atakujący nakłania ofiarę do ujawnienia jakichś informacji, które mogą w przyszłości posłużyć do ataku, a które, w normalnych okolicznościach nie zostałyby ujawnione. Atakujący wykorzystuje zazwyczaj jakiś mechanizm uwierzytelniania się i wzbudzenia zaufania: dzwonię z gazowni, w celu aktualizacji danych, proszę o podanie swojego numeru PESEL.

Jak widać metod na przejęcie czyjejś tożsamości jest wiele, a atak może zostać przeprowadzony z wykorzystaniem jednej z opisywanych metod, lub być mariażem kilku takich metod. Kreatywność przestępców jest bardzo wielka i niewykluczone są także takie, które w ogóle nie zostały w tym tekście opisane. Oprócz zasad ograniczonego zaufania i rad zawartych w tekście dostępne są także narzędzia w postaci zastrzegania dokumentów (np. w przypadku ich zgubienia), lub zastrzegania swojego numeru PESEL (bezpiecznypesel.pl). W takim przypadku nie będzie możliwości wzięcia pożyczki, czy kredytu na te dane. Jeśli masz jakieś pytania związane z opisywanym w tym tekście tematem pisz proszę w komentarzach. Na wszystkie postaram się odpowiedzieć.

Nie daj się okraść to cykl artykułów, które mają przybliżyć wam sposoby działania oszustów w sieci. Jeśli macie jakieś pytania, wątpliwości lub chcecie coś dodać to zostawcie komentarz. Obiecuję odnieść się do każdego z nich.

Wpis pochodzi z mojego bloga geeweb.pl

Follow me for more: @geekweb