International magazine for security engineering

Security Revue

May 18th, 2007 at 11:08

Krádež identity a sociálne inžinierstvo

in: Information Security

napísal kpt. Ing. Pavol CISÁRIK - Štáb požiadaviek a dlhodobého plánovania, Odbor plánovania použitia ozbrojených síl a doktrín, Generálny štáb Ozbrojených síl Slovenskej republiky. Ministerstvo obrany Slovenskej republiky

Krádež identity a sociálne inžinierstvo spolu úzko súvisia, i keď sa dajú aplikovať každé samostatne a s rôznym cieľom. Po vyslovení „krádež identity“ si zrejme veľa ľudí predstaví Angelinu Jolie vo filme „Zlodej životov“, kde si hlavný hrdina (Ethan Hawke), toho času sériový vrah, užíva slobodu tak, že vždy keď sa cíti ohrozený zlikviduje vhodnú osobu, osvojí si jej životný štýl a presunie sa na opačný koniec krajiny, kde žije v pokoji až do ďalšej výmeny identity. Pri svojej púti pritom hojne využíva prvky sociálneho inžinierstva (manipulačné techniky) aby dosiahol svoj cieľ.

I keď tento príklad znie na prvý pohľad mierne bizarne, nejde o nič nemožné alebo nepredstaviteľné, alebo niečo, čo sa Slovensku zďaleka vyhýba. Keď sa na problematiku krádeže identity a sociálneho inžinierstva pozrieme bližšie zistíme, že možno aj my sami, so značnou dávkou „nadsázky“ povedané, sme už možno niekomu identitu hoci aj nevedomky na chvíľu ukradli, alebo si ju aspoň prepožičali. Metódy manipulácie a získavania a následného využívania informácií sú staré ako ľudstvo samo a okrem bežných ľudí ktorí tieto metódy využívajú nevedome každý deň, používajú ich cielene nielen spravodajské služby ale aj prezentátori na predajných akciách.

TEÓRIA
Podľa servera www.bezpecneonline.cz sa krádež identity dá jednoducho definovať ako trestný čin vydávania sa za niekoho pomocou jeho súkromných informácií za účelom finančného zisku, alebo ako neoprávnené používanie osobných údajov za akýmkoľvek iným účelom.

Najvýraznejším znakom toho, že Vašu identitu používa niekto iný môže byť, že:

  • nedostávate účty ani inú korešpondenciu; čo znamená, že zlodej identity namiesto vašej skutočnej adresy používa inú;
  • doručili vám kreditné karty, o ktoré ste nežiadali;
  • banka vám bezdôvodne odmietla poskytnúť úver alebo pôžičku napriek tomu, že na jeho pridelenie máte všetky predpoklady;
  • zažívate nevysvetliteľné nedorozumenia pri styku s úradmi;
  • telefonujú vám ľudia, firmy alebo banky a vymáhajú uhradenie vecí, alebo služieb ktoré ste si nezakúpili;
  • nedávno vám boli ukradnuté alebo ste „stratili“ vaše osobné doklady napr. cestovný pas, občiansky alebo vodičský preukaz a dosiaľ neboli nájdené.

Osobné údaje
Prv ako sa budeme venovať samotnej krádeži, je treba si vymedziť pojem „osobné údaje“. Podľa zákona 428/2002 Z. z. o ochrane osobných údajov § 3 sa osobnými údajmi rozumejú „údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.“

Vo všeobecnosti sa takýmito údajmi resp. identifikátormi dajú chápať všetky informácie vrátane mena, rodného čísla, dátum narodenia, vodičský preukaz, občiansky preukaz (resp. identifikačná karta), cestovný pas, IČO, DIČO a pod. Teda v podstate všetky údaje a doklady na základe ktorých je možné niekoho identifikovať a následne získať neoprávnené výhody. Jedinečnými biometrickými údajmi sa rozumejú odtlačky prstov (fingerprints), zvukový záznam hlasu (voice print), sietnica oka (retina), obraz dúhovky (iris image) a iné jedinečné fyzické údaje. Taktiež nimi môžu byť jedinečné elektronické identifikačné čísla, adresy, kódy, PIN-y, telekomunikačné identifikačné údaje alebo prístupové zariadenia (Tokeny) a pod.

V reálnom svete je teda identita osoby konkrétna a hmatateľná a je podložená dokumentmi vydanými štátnou správou (rodný list, identifikačné doklady a pod.), teda oficiálnou autoritou, štátnym orgánom. Vo virtuálnom svete je však táto identita menej zrejmá. Niektoré digitálne informácie akými sú heslá, čísla účtov, prihlasovacie mená a pod. sa nemusia považovať za prvky reálnej identity jednotlivca, avšak môžu slúžiť ako prístup k iným osobným údajom. Preto je treba pri narábaní s nimi veľmi obozretný aby nedošlo k ich vyzradeniu neoprávnenej osobe.

Prečo kradnúť identitu?
Je zrejmé, že pokiaľ by z krádeže identity nevyplývali žiadne výhody, pravdepodobne by k nim nedochádzalo. Vzhľadom na rastúci a zrejme nezastaviteľný trend je nutné sa týmto problémom zodpovedne zaoberať a preto si musíme povedať, čo je motiváciou pre takýto druh zločinu.

Falošná identita môže byť v princípe použitá k:

  • vytvoreniu fiktívnej identity;
  • nahradeniu pôvodnej identity (resp. k jej zmene);
  • prevzatiu celej alebo časti existujúcej identity, ktoré môže zahŕňať jej následnú manipuláciu bez ohľadu či je pôvodná osoba živá alebo mŕtva;
  • získaniu finančných prostriedkov a tovaru, služieb alebo iných výhod alebo vyhýbaniu sa záväzkom.

S krádežou identity bezprostredne súvisí sociálne inžinierstvo (Social Engineering) ako spôsob získavania dôverných informácií pomocou psychologickej manipulácie. Ako kontaktné médium používa telefóny, internet alebo dokonca aj osobný kontakt, pričom je zneužívaná dôverčivosť ľudí vydávaním sa za známe a existujúce spoločnosti či inštitúcie (teda všeobecne uznávané autority), využíva prvky psychológie a naopak, zneužíva zložky ľudskej psychiky. Sociálne inžinierstvo je mimoriadne nebezpečné, pretože obete sú manipulované a motivované k vykonaniu nesprávnych krokov ich ochotou, lakomstvom alebo naopak štedrosťou.

Metódy
Aj keď je finančný zisk najpravdepodobnejším a najčastejším motívom krádeže identity (ako napr. posledný prípad kedy došlo k udeleniu hypoúveru falošnej osobe, na základe falošných osobných dokladov) a tvorí pozadie prevažnej väčšiny útokov, nie je jediným dôvodom. Ako je uvedené vyššie, v menšom meradle môže ísť aj o vytvorenie identity s cieľom začať „nový život“, ako v úvode spomínanom filme. Krádež identity môže ovplyvniť všetky aspekty života obete, samozrejme v závislosti od motívu jej krádeže. Napr. pokiaľ dôjde k jej krádeži s cieľom zabezpečiť vytvorenie novej identity pre „nový a ničím nerušený život“ je vysoko pravdepodobné, že „nová“ osoba sa objaví a existuje čo najďalej od tej pôvodnej aby sa predišlo čo i náhodným konfrontáciám.

Ku krádeži identity sa používajú fyzické aj internetové metódy sociálneho inžinierstva:

Tradičná fyzická metóda
Napriek tomu, že sme od mladosti vedení k opatrnosti vo vzťahu k osobnému majetku a pod., existuje veľa metód ako túto prirodzenú obozretnosť prekonať. Zvlášť pri telefonickom kontakte treba byť mimoriadne opatrný, pretože nikdy si nemôžete byť istí s kým v skutočnosti telefonujete. Ten kto sa vydáva za priateľa vášho známeho môže byť obyčajný novinár hľadajúci „pikošky“ na niekoho tretieho, rovnako ako podvodník ktorý sa práve takýmto spôsobom pokúša zostaviť profil pána XY s tým, že sa mu neskôr nejaká informácia bude hodiť, napr. pri vybavovaní úveru, leasingu alebo odbere tovaru na faktúru. Obdobné telefonáty pod tými najrozličnejšími zámienkami môžu nasledovať zamestnávateľovi pána XY, jeho susedom, lekárovi, do plynární, do banky… Pri tomto je dôležité spomenúť, že podvodník musí vedieť čo všetko si môže dovoliť a ako pristupovať k týmto osobám. Je totiž rozdiel telefonovať so starou babkou zo susedstva a úradníkom v banke. Vždy je potrebné prispôsobiť psychológiu prístupu, tón hlasu, slovník, rétoriku… a to všetko s cieľom, aby sa oslovení ľudia cítili príjemne, neohrozene a boli ochotní spolupracovať.

Napr. v článku „Tajné triky zlodejov identity“, ktorý hovorí o „Manuáli podvodníka“ sa uvádza tento príklad prístupu k špecifickým profesiám, citujem:

“Úradníkov z britského ministerstva sociálnych vecí napríklad charakterizujú ako „oddaných dodržiavaniu všetkých pravidiel, s trochu slabšie vyvinutou vlastnou osobnosťou“, ale zároveň „paranoických a podozrievavých voči zvláštnym telefonickým požiadavkám“. Manuál preto radí: „Tento typ ľudí musíte presvedčiť, že ste rovnako poriadkumilovný a naškrobený, ako oni. Nepoužívajte model frajera alebo model idiota, pretože na linke nevydržíte ani päť sekúnd: s idiotmi a povaľačmi sa totiž stretávajú denne. Namiesto toho predstierajte, že ste malý úradníček z iného oddelenia, ktorý sa snaží pomôcť im s ich problémom bez toho, aby sa musel obracať na nadriadených. Buďte slušný a priateľský, hrubý nátlak tu nepomôže.“

Pri takomto zbere informácií sa odporúča „neprepísknuť“ svoje požiadavky, lebo čo je veľa to je veľa a môže sa stať, že človek na druhej strane zachytí podozrenie, preto sa odporúča opakovať a postupne sa dopracovať k vytúženému cieľu.“

Takže teraz si povedzme ako sa k požadovaným informáciám o pánovi XY alebo pani XX možno dostať:

Krádež hardvéru a dokumentov
Táto metóda je najčastejšia, lebo je pomerne jednoduchá. Ľudia často podceňujú elektronický obsah svojich elektronických zariadení a preto na nich majú aj informácie ktoré by tam mať nemali. Z toho dôvodu môže byť aj krádež mobilného telefónu pre dosiahnutia cieľov kľúčová. Sú v ňom telefónne čísla, kontaktné informácie, v pripomienkovači je možné nájsť dátumy narodenín a schôdzok a množstvo iných, zdanlivo nepodstatných informácií, ktoré však môžu byť zručnými manipulátormi veľmi dobre zneužiteľné. Po krádeži techniky z budov, v MHD, peňaženky z tašky na ulici či z hotelov, sú ukradnuté dokumenty a technika podrobne analyzované s cieľom získať akékoľvek použiteľné údaje pre možné neskoršie využitie.

Priamy prístup k informáciám
Táto metóda je časovo náročnejšia ale výsledný efekt býva najlepší, pretože iba osoby ktoré si získali určitú úroveň dôvery cieľovej osoby (zamestnanec, podriadený, obchodný partner, upratovačka, opatrovateľka, ošetrovateľka, priatelia, spolubývajúci a pod.) môžu postupne získať oficiálny prístup do určitých objektov a odcudziť požadované informácie, resp. môžu získať prístup k vašim osobným údajom, informáciám o platoch, poisteniu alebo k bankovým informáciám a môžu získať všetky druhy dôverných informácií ktoré môžu byť ďalej zneužiteľné. Získanie dôvery však vyžaduje dôkladnú prácu so subjektom aby tento „neprehliadol“ ich nekalé záujmy.

Prehľadávanie odpadu alebo odpadkových košov (dumpster diving)
Tento spôsob sa zdá byť dosť nepohodlný a nehygienický, ale takéto získavanie na pohľad neužitočných informácií je častejšie ako by sa mohlo na prvý pohľad zdať. A nemusí sa týkať iba celebrít! Aj vám sa možno stalo, že ste do smetného koša zahodili niečo, čo by vám v prípade, ak by to náhodou objavila napr. vaša manželka, zrejme spôsobilo rozvodové konanie. Preto aj v tomto prípade treba byť opatrný a skôr ako niečo do smetného koša vyhodíte uistite sa, že vám to nemôže uškodiť. Toto v žiadnom prípade nie je navádzanie na paranoju, ale skúste sa na svoj smetný kôš zahľadieť a vidieť v ňom aj niečo viac ako iba „smetný kôš“.

Krádež pošty a jej presmerovania
Krádež korešpondencie z poštovej schránky je veľmi jednoduchá záležitosť, pretože bežná poštová schránka absolútne nechráni bankovú korešpondenciu (bankové karty, výpisy z účtov a pod.), formuláre, ponuky kreditných kariet a pod. rovnako ako vás nechráni pred nepoctivými pracovníkmi pošty. Tieto dokumenty sú neoceniteľné, pretože použitím Vášho mena a zaslaním dokumentov späť môže neznáma osoba požiadať o zmenu adresy, zaslanie platobnej karty a pod. Neverte v obozretnosť bánk a jej personálu!

Čítanie cez plece (shoulder surfing)
Táto, v médiách často opisovaná metóda, kedy sa vám môže stať, že pri výbere hotovosti z bankomatu sa okolo vás ponevierajú ľudia ktorí môžu mať záujem na získaní vašich osobných informácií, akými sú aj vaše PIN-y je stále v hojnej miere využívaná.

Falošný alebo zmenený bankomat (skimming)
S bankomatmi tiež súvisí krádež údajov zo samotnej karty použitím elektronických zariadení. Ako je možné vytvoriť imitáciu bankomatu, tak isto je možné na originálny bankomat nainštalovať zariadenia s cieľom skopírovať údaje z vašej bankovej karty k jej následnej duplikácii, alebo k získaniu vášho PIN-u.

Telemarketing a falošné telefonáty
Toto je účinný spôsob pre zber informácií od dôverčivých ľudí. Volajúci uskutočňuje (údajne z banky) tzv. “cold call” žiada obeť aby okamžite cez telefón potvrdila údaje o svojom bankovom účte, často bez ďalšieho vysvetľovania alebo potvrdenia. Veľké množstvo ľudí pod tlakom autority (banky) neodolá a takmer bez zaváhania zodpovie i tie najbizarnejšie otázky, nad ktorými by sa za iných okolností prinajmenšom zamyslela.

Iným prípadom môže byť telefonát napr. zo strát a nálezov, alebo z mestskej polície, že ste našli batožinu pána XY a v ňom mobil s vašim číslom, ale žiadne osobné doklady. Dáte adresu pána XY aj keď volajúceho osobne nepoznáte? Absolútna väčšina ľudí v snahe pomôcť nezaváha a možno povie aj viac akoby mala.

Obdobne to platí o reklamných telefonátoch oznamujúcich vylosovanie lákavej finančnej výhry, ktorú získate po zatelefonovaní vašich osobných údajov na konkrétne telefónne číslo. V tomto prípade môžu byť ľudia podvedení hneď na dvakrát… prvý raz možným neskorším zneužitím ich osobných údajov a druhý krát samotným telefonátom, ktorý je spoplatnený vyššou sadzbou.

Internetová metóda
narastajúcou popularitou internetu, e-mailu a zvlášť on-line nákupov a elektronického obchodu je zrejmé, prečo sa podvodníci zameriavajú na toto prostredie. Osvojili si pri tom nové techniky ktoré sú použiteľné aj v reálnom svete. Preto sa netreba báť, treba byť zdravo drzý a neveriť slepo autoritám, pretože práve takáto viera je predpokladom na vaše zneužitie.

Hacking - neoprávnený vstup do systémov a krádež databáz
Na rozdiel od krádeže hardvéru ide pri tomto druhu krádeží o narušenie systému, presmerovanie informácií priamo alebo pomocou odpočúvacích zariadení (skener) na sieti. Získané informácie sa prípadne odkódujú a použijú kdekoľvek je potrebné.

Phishing
Kriminálne podsvetie využíva podvodné e-maily a webové stránky predstierajúce legálne obchodné aktivity, aby tak od užívateľov vylákali dôverné informácie. Správy imitujú bankové alebo obchodné listy a ich cieľom je naviesť ľudí k odovzdaniu osobných informácií ako čísla kreditné karty, čísla účtov a heslá k nim.

Príkladom sú napr. tzv. „listy z Nigérie“ alebo falošné stránky bánk alebo on-line obchodov navádzajúce vás k zadávaniu identifikačných údajov.)

Obdobným podvodným spôsobom získania prístupu k Vášmu e-mailu môže poslúžiť „návod“ na tejto linke: http://www.dgx.cz/trine/item/jak-zjistit-heslo-na-seznam-email. Tento príklad je veľmi zaujímavý, pretože názorne ukazuje na črty ľudskej povahy a na spôsob akým vyprovokovať nič netušiace obete.

Príklad stránky vyžadujúce vyplnenie osobných údajov.

Príklad stránky internet bankingu vyžadujúce viacnásobné vyplnenie identifikačných údajov

Pharming

Je to zdokonalená metóda phishing-u ktorá presmeruje internetové spojenie medzi IP adresou a cieľovým serverom. K tomuto môže dôjsť na DNS serveri alebo prostredníctvom sociálneho inžinierstva alebo na lokálnom počítači prostredníctvom „Trójskeho koňa“ ktorý modifikuje príslušné súbory. Po nahradení pôvodnej linky (odkazu) kedykoľvek sa používateľ pokúša na správnu stránku je tajne presmerovaný na zrkadlovú stránku bez toho aby zadal do príkazového riadku prehliadača nesprávnu adresu.

Redirectors
Presmerovávač je škodlivý program, ktorý presmeruje užívateľovu prevádzku (network traffic) do miest v sieti kam nemal záujem ísť.

Advance-fee fraud
Tento druh krádeže identity pozostáva z príbehu, v ktorom ste oslovený členom väčšinou africkej rodiny ktorej majetok je po smrti, väčšinou hlavy rodiny, zablokovaný v krajine pôvodu a na jeho prevedenie do inej je potrebná istá suma, resp. bankové záruky vašej banky. Za vašu pomoc budete samozrejme odmenený.

Tento druh je veľmi podobný vyššie spomínaným „Nigérijským listom“. Pochádza z Nigérie, prvý krát sa objavil v roku 1980 a cirkuloval po svete spočiatku poštou, neskôr faxom a dnes e-mailom. V tejto skupine podvodu sa objavuje aj oznámenie o výhre v lotérii po tom, ako bola vylosovaná vaša e-mailová adresa.

Keyloggers a zlodeji hesiel
Tento termín odkazuje na programy ktorých cieľom je nájsť cestu do užívateľovho počítača. Každý program zbiera určité údery kláves a je schopný získať meno používateľa, heslá a iné osobné a dôverné informácie. Program následne odošle údaje útočníkovi na ďalšie „využitie“. Obdobou softvérovej verzie ktorá je detekovateľná spyvérom je jej hardvérova verzia založená na prvku, ktorý sa vloží medzi klávesnicu a počítač (PS/2 alebo USB). Takýto prostriedok je síce nedetekovateľný avšak na získanie údajov je potrebná fyzická „návšteva“ priestoru jeho použitia. Ako príklad na jeho výrobu môžu poslúžiť návody na jeho zostavenie voľne stiahnuteľné z internetu (napr. http://www.keelog.com/diy.html). Preto si pozorne všímajte svoje PC, zvlášť jeho zadné strany ktoré zvyčajne zostávajú pred vašimi očami ukryté.

Sociálne inžinierstvo a podvody

So sociálnym inžinierstvom súvisia aj podvody pomocou neho páchané. Už v úvode bol spomenutá ľudská slabosť, lakomstvo alebo štedrosť, ako cesta ktorou sa dajú od ľudí vymámiť všetky potrebné informácie na to, aby mohol byť nejaký podvod zrealizovaný. Je samozrejmé, že takáto „pasca“ musí byť nevyhnutne dobre premyslená a podložená „pravdivými a hodnovernými“ informáciami, ktoré dostatočne zahmlia skutočnosť.

V súčasnosti sa môžete stretnúť vo svojej fyzickej ako aj elektronickej pošte s rôznymi oznámeniami o výhre v lotérii, o ponuke možnosti získania podielu z konta afrického diktátora, o utečencovi ktorý potrebuje peniaze pre svoju chorú matku alebo o deťoch trpiacich podvýživou ktorým iba jedna jediná organizácia môže pomôcť. Vy chcete pomôcť a oni pritom žiadajú tak málo… iba zanedbateľnú sumu, ako zálohu na ktorej v konečnom dôsledku práve Vy zarobíte. No nepomôžete?

Ako príklad takýchto trikov môžeme uviesť:

  • prevod prostriedkov z „prefakturovanej “ objednávky;
  • pomoc pri úteku z krajiny;
  • pomoc pri získaní časti zo „zabudnutých“ peňazí bývalého diktátora;
  • pranie špinavých peňazí;
  • dary na charitu;
  • možnosť výhry po zavolaní na konkrétne telefónne číslo a pod.

Ako vidíte, mnohé z týchto príkladov môžete stretnúť aj na Slovensku a to sme nemuseli za nimi cestovať ani do USA ani do afrických krajín. Aj nám sa často ponúkajú charitatívne zbierky z ktorých postihnuté deti nevideli ani korunu, alebo istá relácia v televízii, kde voláte a voláte a stále počujete ten istý syntetický hlas napriek tomu, že moderátorka na obrazovke tvrdí, že stále čaká na nejakého šťastlivca ktorý môže vyhrať za odpoveď na jednoduchú otázku.

Ak pristúpite na takéto nádejne vyzerajúce obchody, alebo sa rozhodnete niekoho finančne podporiť musíte si uvedomiť, že nič nie je zadarmo a že Vám môže hroziť (okrem finančného zisku) aj:

  • strata vašich peňazí;
  • vysoký telefónny účet;
  • prinútenie k odovzdaniu informácií o vašich účtoch, ktoré sa použijú k ich vyprázdneniu alebo k podvodom s bankovými šekmi;
  • možné zatknutie a vyšetrovanie pre podozrenie z podvodu;
  • obeť únosu alebo vydierania ak budete do podvodu zatiahnutý skutočne hlboko;
  • riziko zavraždenia alebo zabitia, ak sa rozhodnete po zlodejoch vašich peňazí pátrať na vlastnú päsť.

Napriek pochmúrnym vyhliadkam existuje však reálna možnosť, že ak budete dostatočne opatrní dokážete včas rozoznať, že nie všetko je v súlade so zdravým rozumom. Avšak vyžaduje to značnú dávku sebaovládania (veľké sumy sú veľkým lákadlom ako aj ľahkosť ich získania) a zdravého úsudku:

  • budú vás lákať veľkými sumami, ktoré môžete získať prakticky zadarmo;
    často omieľaný africký diktátori, africké krajiny a už otrepané švajčiarske bankové kontá;
    sú uvádzané konkrétne overiteľné informácie - takže nesmiete zabudnúť, že nie všetko čo vyzerá ako zlaté kura je ním aj v skutočnosti;
  • máte možnosť telefonovať na konkrétne čísla a všetko si overiť;
  • pod zámienkou prevodu peňazí na váš účet žiadajú od vás informácie o vašich účtoch – nespoliehajte sa, že sa nedajú zneužiť, naopak, môžu vám ho vybieliť;
  • ako adresáti sú často uvádzané funkcie ako napr. Riaditeľ, Generálny riaditeľ a pod. namiesto skutočných mien - budí to lepší dojem;
  • väčšina správ je „urgentná“, „neodkladná“, „dôverné“ a pod. čím vás chcú dostať do časového stresu kedy je predpoklad, že budete konať menej rozvážne;
  • gramatické chyby sú úmyselné, aby vo vás vzbudili pocit nadradenosti alebo ľútosti nad ich pisateľom, aby ste si mysleli, že ste chytrejší a vzdelanejší ako on.

Pokiaľ už dostanete takýto email, alebo vás fyzicky niekto osloví s nejakou lukratívnou ponukou, máte vždy niekoľko možností čo urobiť a nik vás nemôže donútiť robiť hlúposti, iba vaša lakomosť. Najjednoduchšie a najúčinnejšie je okamžité a jednoznačné zavrhnutie akéhokoľvek návrhu, nech už vyzerá akokoľvek lákavo a spoliehať sa na vlastné schopnosti a nie na rýchle šťastie. Dotyčný vás istotne budú ešte chvíľu presviedčať, ale keď zistia, že nemáte záujem budú hľadať niekoho vhodnejšieho.

Čo treba robiť keď sa to stane
Ak zistíte, že vaše osobné údaje, účty a pod. sú zneužívané, nesmiete váhať a trápiť sa otázkami „ako k tomu len mohlo dôjsť?“, ale musíte konať. Treba si uvedomiť, že napr. pre zneužitie platobnej karty sú kľúčové prvotné okamihy po jej strate alebo odcudzení, kedy sa páchateľ čo najskôr pokúsi o výber hotovosti z bankomatu, alebo nákup tovaru na vašu kreditnú kartu na miestach, kde si je istý, že nebude dôsledne preverený (napr. porovnávanie podpisu na karte s podpisom na účtenke…) Obdobne to platí pri osobných dokladoch, ktoré môžu byť zneužité pri nákupoch cez úverové spoločnosti, firmy poskytujúce rýchle pôžičky, alebo dokonca pri vybavovaní bankového úveru, to platí zvlášť vtedy, keď dôjde k odcudzeniu viacerých dokladov súčasne. Takže sa v rámci možností pokúste o nasledovné:

Doklady
Čo najskôr nahláste stratu či krádež všetkých dokladov akými sú:

  • občiansky preukaz;
  • cestovný pas;
  • vodičský preukaz;
  • kreditnú kartu;
  • šekovú knižku a pod.

Bankové údaje a údaje o kreditných kartách

  • kontaktujte svoju banku, ktorá kreditnú kartu vystavila;
  • zablokujte všetky svoje účty, karty a prístup k nim vrátane internetových služieb;
  • požiadajte o výmenu všetkých platobných kariet, účtov, hesiel a PIN-ov;
  • sledujte, či na vašich bankových výpisoch a výpisoch ku kreditným kartám neobjavujú neobvyklé transakcie a všetky nezrovnalosti riešte čo najskôr so svojou bankou.

Vždy…

  • všetko čo nahlásite telefonicky potvrďte aj písomným oznámením;
  • na polícii nahláste krádež osobných údajov;
  • v prípade, že dôjde k zneužitiu Vašej poštovej adresy kontaktujte Slovenskú poštu;
  • predchádzajte neoprávneným výberom z vášho účtu použitím dostupných služieb vašej banky (sms notifikácia a pod.).

Prevencia

  • zastavte sa a porozmýšľajte;
  • nikdy neplaťte nič vopred;
  • odmietnite akúkoľvek možnosť písania si s podvodníkmi – postupom času každý zabudne na ostražitosť a nakoniec vás vhodným postupom dostanú kam chcú;
  • ak sa už do niečoho namočíte, zabudnite na hanbu a obráťte sa na políciu;
  • nikomu neprezrádzajte informácie o svojich účtoch, ani ich čísla, ani banku v ktorej sú vedené;
  • overte si všetky dostupné fakty a aj potom stále pochybujtedávajte si pozor na phishing;
  • neotvárajte odkazy v e-mailových správach a neklikajte na reklamné bannery! - do webového prehliadača zadávajte skutočné adresy ručne;
  • NIKDY neposkytujte žiadne informácie o sebe a iných osobách telefonicky alebo internetom cudzej osobe ktorá ich žiada, ak ju vopred nepoznáme;
  • nezverejňujte na web-e svoje osobné údaje (adresa, mobil…);
  • nainštalujte si komplexný software alebo služby zabezpečujúce bezpečné pripojenie počítača, vrátane antivírusu, antispywaru a ochranné brány firewall, a pravidelne ich aktualizujte;
  • nastavte si váš počítač tak, aby sa pri otváraní e-mailové prílohy zobrazovala varovná správa bez ohľadu na to, kto je odosielateľom e-mailu;
  • NIKDY nezdieľajte svoje e-mailové adresy s nikým ďalším;
  • pred odstránením (predajom, vyhodením…) starého počítača vždy preformátujte obsah pevných diskov, alebo ich (ak sú na nich citlivé informácie) preventívne zničte;
  • pred návštevou webových stránok a pred poskytnutím akýchkoľvek osobných informácií si overte ich zabezpečenie;
  • používajte silné heslá (heslá, ktoré sa dajú ťažko odhadnúť (takže nie svoje meno, rodné číslo, svoj PIN a pod.), alebo prelomiť pomocou softwaru. Obsahujú minimálne 7 - 14 znakov, z toho aspoň jedno číslo a aspoň jedno veľké písmeno. Použitím špeciálnych znakov sa stáva ešte bezpečnejším. Heslo si NIKDY nezapisujte!!! Pre ďalšie posilnenie môžete použiť biometrické zariadenia;
  • sledujte, či na vašich bankových výpisoch a výpisoch ku kreditným kartám neobjavujú neobvyklé transakcie a všetky nezrovnalosti riešte čo najskôr so svojou bankou;
  • buďte opatrní pri komunikácii pomocou „instant messagingu“, na „chate“ a na fórach.

Čo stratím…

Ak nebudete promptní, tak môžete stratiť veľa. Vždy, pokiaľ nebudete konať, sa dá predpokladať, že konečné škody budú vyššie ako prvotné náklady na ich odstránenie. Preto je potrebné urobiť všetko preto, aby ste minimalizovali možnosť zneužitia vašich osobných údajov ako aj možné neskoršie vymáhanie škôd od Vás zo strany iných poškodených.

LITERATÚRA

[1] François Paget, Identity Theft, White Paper, January 2007
http://www.mcafee.com/us/local_content/white_papers/threat_center/wp_id_theft_en.zip
[2] Radek Kummer, HIGH – TECH HROZBY, JEJICH KLASIFIKACE A TRENDY
http://www.securityrevue.com/index.php?ind=news&op=news_show_category&idc=2
[3] Napravte krádež identity http://www.bezpecneonline.cz/sekce4/s4008.htm
[4] Nenechte se napálit podvody se zálohami http://www.bezpecneonline.cz/sekce2/s2010.htm
[5] Nekradou vám náhodou identitu? http://www.computerworld.cz/cw.nsf/print/CDC9ECF819BAAACCC125726A0069222E
[6] Vyrobte si “špióna” pre sledovanie PS/2 klávesníc http://pocitace.sme.sk/clanok.asp?cl=2609499
DIY hardware keylogger http://www.keelog.com/diy.html
[7] Jak zjistit heslo na Seznam Email http://www.dgx.cz/trine/item/jak-zjistit-heslo-na-seznam-email
[8] Tomáš BELLA, Tajné triky zlodejov identity
http://pocitace.sme.sk/clanok.asp?cl=2871707

 

RSS feed for comments on this post

Comment spam protected by SpamBam

  • SK :: TBM dictionary


    Terminológia bezpečnostného manažmentu

  • Guarantors


     
     

  • Partners


     
     

Rexter

Securitaci

Sopciak.com - IT services