Wraz z postępem technologicznym rośnie liczba zagrożeń związanych z ochroną danych osobowych. Jednym z nich jest ich wyłudzenie, które prowadzi do pozyskania przez osoby nieuprawnione informacji dotyczących ofiary. Wyłudzone dane oszuści wykorzystują do popełniania dalszych przestępstw, wywołując negatywne skutki dla podmiotów danych, takie jak przejęcie kont elektronicznych czy zawarcie w imieniu ofiary umów skutkujących poważnymi konsekwencjami finansowymi.
CZYM JEST WYŁUDZENIE DANYCH
Wyłudzenie danych osobowych polega na ich nielegalnym pozyskiwaniu przez osoby trzecie poprzez nakłonienie ofiary do ich podania. Można wyróżnić kilka rodzajów technik mających na celu wyłudzenie danych:
- Phishing – jest związany z podszywaniem się pod zaufane podmioty. Odbywa się to głównie przy wykorzystaniu stron internetowych łudząco przypominających te prawdziwe (np. banków), aby w podstawionych przez oszustów formularzach elektronicznych zwiedzione potencjalne ofiary wpisywały swoje dane osobowe (więcej informacji o phishingu można znaleźć w Komunikacie IOD-y);
- Spoofing – polega na zamaskowaniu tożsamości nadawcy wiadomości (np. SMS) i zastąpieniu jej tekstem alfanumerycznym, wskazującym najczęściej na inny podmiot lub znaną markę (więcej informacji o spoofingu można znaleźć w Komunikacie IOD-y);
- Scam – polega na przesyłaniu (np. w mailach, postach) różnego rodzaju nieprawdziwych informacji, których zadaniem jest przyciągnięcie uwagi ofiary w celu jej zmanipulowania i zdobycia zaufania, a następnie nakłonienia do podania danych lub przekazania pieniędzy.
Poniżej zaprezentowane są przykładowe ataki mające na celu wyłudzenie danych.
PODSZYWANIE SIĘ POD PRACOWNIKÓW BANKU
Bardzo popularną metodą mającą na celu wyłudzenie danych osobowych jest podszywanie się przez cyberprzestępców pod pracowników banku. W listopadzie minionego roku cyberprzestępcy przeprowadzili atak, „na celowniku” którego znaleźli się klienci Santander Bank Polska. W rozsyłanych wiadomościach e-mail przestępcy informowali o rzekomym problemie z rachunkiem w tym banku, zachęcając odbiorcę do kliknięcia linku w celu jego „rozwiązania”. Po kliknięciu w link, ofiara była proszona o wprowadzenie loginu i hasła do bankowości elektronicznej. Gdy przestępcy wprowadzili te dane w prawdziwym serwisie, a klient otrzymał kod autoryzacyjny wysłany SMS-em przez bank, wpisanie go na spreparowanej stronie umożliwiało przestępcom dostęp do konta ofiary. Więcej informacji można znaleźć w artykule Niebezpiecznika.
PODSZYWANIE SIĘ POD PRACOWNIKÓW URZĘDÓW
Bardzo często cyberprzestępcy podszywają się pod pracowników różnego rodzaju urzędów. W Komunikacie IOD-y zaprezentowany został atak polegający na podszywaniu oszustów pod pracowników Urzędu Skarbowego. Miał on na celu wyłudzenie numeru BLIK ofiary, w wyniku czego dokonana przy jego użyciu płatność trafiała w ręce przestępców.
W ostatnim czasie cyberprzestępcy podszywają się pod pracowników Krajowej Administracji Skarbowej. W otrzymanej wiadomości e-mail ofiara jest informowana, że Urząd Skarbowy wydał rzekomo powiadomienie, które jej dotyczy. O jego treści można dowiedzieć się klikając w dołączony link. Następnie ofiara przenoszona jest na stronę internetową, zawierającą informację, że w celu zapoznania się z komunikatem należy zaktualizować Acrobat Readera przy pomocy wyświetlonego przycisku. Następnie ofiara przenoszona jest do formularza, w którym należy wprowadzić adres e-mail oraz hasło logowania do poczty elektronicznej. Po wysłaniu formularza dane te trafiają do cyberprzestępców.
FAŁSZYSZE KODY QR NA PARKOMETRACH
W Komunikacie IOD-y można znaleźć informacje o oszustwach „na parkowanie”. Dla przypomnienia, jedno z nich polegało na umieszczeniu fałszywych kodów QR na parkometrach. Miały one rzekomo prowadzić do strony umożliwiającej uiszczenie opłaty za postój. Ofiara po zeskanowaniu kodu QR przenoszona była na stronę internetową, na której musiała podać dane karty płatniczej.
Drugi opisany w newsletterze atak polegał na tworzeniu fałszywych aplikacji parkingowych. Po ich zainstalowaniu ofiara (w celu umożliwienia korzystania z aplikacji) proszona była o podanie danych (w tym umożlwiających zalogowanie do bankowości elektronicznej). Po ich wprowadzeniu trafiały one w ręce cyberprzestępców.
ZAGROŻENIE DLA ORGANIZACJI
Wyłudzenie danych to zagrożenie nie tylko dla osób fizycznych, ale również organizacji. Cyberprzestępcy w celu przeprowadzenie ataku na organizację zazwyczaj korzystają ze spear phishingu. Jest to metoda bardziej skuteczna niż zwykły phishing, ponieważ atakujący wykorzystują spersonalizowane informacje. Dzięki temu wiadomość wydaje się bardziej autentyczna i wiarygodna. Ponadto z uwagi na to, że atakowany otrzymuje wiadomość od osoby lub organizacji, której może ufać jest bardziej skłonny do kliknięcia w link lub podania poufnych informacji. Atak może polegać np. na podszyciu się pod jednego z członków kierownictwa i nawiązaniu kontaktu z innymi pracownikami organizacji. Miały miejsce oszustwa polegające na przesłaniu wiadomości mailowej, w której adresat został poproszony o podanie numeru telefonu pod pretekstem potrzeby skontaktowania się przez komunikator WhatsApp w celu zlecenia i omówienia pilnego zadania. Po spełnieniu żądania ofiara była dalej manipulowana i nakłaniana (często skutecznie) do wykonania czynności wyrządzających szkodę organizacji, np. przekazania znacznych środków finansowych na rachunki bankowe oszustów.
JAK UCHRONIĆ SIĘ PRZED RYZYKIEM WYŁUDZENIA DANYCH
Oszuści ciągle znajdują nowe sposoby na to, aby wyłudzić dane osobowe, dlatego nie ma jednego „złotego środka”, który stanowiłby ochronę przed próbami oszustwa. Natomiast zawsze należy zachować szczególną rozwagę przed podaniem swoich danych osobowych.
Przed spreparowanymi stronami internetowymi służącymi do wyłudzenia danych uchronić może menadżer haseł (o którym więcej informacji można znaleźć w Komunikacie IOD-y). Jeżeli w narzędziu tym są przechowywane dane do konkretnej witryny, to automatyczne uzupełnienie danych nie zadziała na spreparowanej stronie internetowej, która ma imitować tę prawdziwą.
W przypadku wiadomości mailowej szczególną uwagę należy zwrócić na adres e-mail, z którego została wysłana. Jeżeli nie mamy pewności co do tożsamości nadawcy wiadomości warto ją zweryfikować (np. kontaktując się z organizacją, w której rzekomo on pracuje).