Na Sanepid, na telefon z banku, wyszukując dziurawe bazy danych – sposoby przestępców na wyłudzenia w pandemii

Na początku pandemii ponad 60 proc. Polaków obawiało się tego, że ich dane osobowe trafią w niepowołane ręce. Kolejne wycieki danych, jak choćby ujawniony w tym tygodniu przypadek na Uniwersytecie Warszawskim, pokazują, że te obawy nie były bezpodstawne. Z najnowszych badań CERT Polska wynika, że od lipca do września 2020 liczba ataków przy użyciu szkodliwego oprogramowania, w porównaniu z poprzednim kwartałem, wzrosła aż o 42 proc. Ale to nie oznacza, że jesteśmy bezbronni, pomysłowości przestępców możemy przeciwstawić własną zapobiegliwość.

Od lipca do września 2020 r. eksperci CERT Polska przeanalizowali kilka tysięcy incydentów bezpieczeństwa, przypadki zainfekowania urządzeń oraz ataki przy użyciu szkodliwego oprogramowania. Te statystyki potwierdzają obawy Polaków wyrażone na początku pandemii. W przeprowadzonym wówczas przez Krajowy Rejestr Długów i serwis ChronPESEL.pl badaniu, 60 proc. respondentów zadeklarowało, że obawia się utraty danych osobowych, a 54 proc. za największe zagrożenie uznało wycieki z baz danych urzędów i firm.

Czas pandemii koronawirusa to zdecydowanie okres wzmożonej aktywności cyberprzestępców próbujących wyłudzić nasze dane osobowe. Oszuści wykorzystują również naszą nieostrożność oraz poczucie niepewności i chaos komunikacyjny towarzyszące pandemii. Są przy tym bardzo pomysłowi.

Uwaga na telefony i niespodziewane wizyty

W czasie, gdy wiele decyzji dotyczących funkcjonowania poszczególnych instytucji podejmowanych jest z dnia na dzień, a kolejne firmy muszą szybko dostosowywać się do stale zmieniających się zasad, łatwo ukryć schematy działań przestępczych. Szczególnie zagrożeni są seniorzy. Część z nich wypłaciła na początku pandemii dużo gotówki z banku, którą trzymają teraz w domu. Stali się przez to atrakcyjnym celem dla oszustów, którzy wykorzystują to, że osoby starsze rzadziej korzystają z Internetu, dlatego trudniej im zweryfikować potencjalne zagrożenie. Dlatego stale wymyślają nowe sposoby na to, by zdobywać zaufanie nieświadomych ludzi. Jedną z takich metod jest podszywanie się pod pracowników instytucji zaangażowanych w walkę z epidemią, czyli ministerstw, policji, poczty oraz sanepidu. Historie oszukanych w ten sposób osób są zawsze dramatyczne, jednak głównym miejscem działalności przestępców próbujących wyłudzić dane osobowe pozostaje Internet. To tam, w wyniku działań hakerskich lub wykorzystując słabe zabezpieczenia, mogą jednorazowo zdobyć informacje na temat nawet kilkunastu tysięcy osób.

Nieszczelne bazy danych

W czasie pandemii cyberprzestępcy stale szukają luk w systemach bezpieczeństwa serwisów gromadzących dane osobowe klientów lub pacjentów. W wyniku czego, w każdym miesiącu media informują o kolejnym wycieku danych. W kwietniu do sieci trafiły poufne informacje na temat kilkuset pacjentów przebywających na kwarantannie w powiecie gnieźnieńskim. W tym samym miesiącu do podobnego incydentu doszło w sklepie internetowym Cyfrowe.pl, który gromadził dane klientów od 2007 r. Z kolei w sierpniu o wycieku danych z bazy swoich pracowników poinformowała sieć McDonald’s. Jesień przyniosła informacje o tym, że cyberprzestępcy weszli w posiadanie danych klientów dwóch aptek internetowych. Na początku listopada doszło z kolei do wycieku, m.in. numerów PESEL, z bazy jednego z portali medycznego gromadzącego informacje o zdrowiu ponad 15 tys. pacjentów. W tym tygodniu natomiast o kradzieży danych, w tym również numerów PESEL, swoich studentów i pracowników poinformował Uniwersytet Warszawski.

Niestety myśląc o bezpieczeństwie danych w sieci niczego nie można być pewnym. Codziennie czytamy o kolejnych wyciekach, a z doświadczenia wiem, że takie historie mogą mieć bardzo przykry finał. Oszuści wykorzystują zdobyte dane do tego, by podszywając się pod ich właściciela wyłudzić kredyt lub zawrzeć umowę leasingową na samochód lub drogi sprzęt elektroniczny. Niestety z konsekwencjami możemy mierzyć się nawet kilka lat po wycieku. Dlatego warto być zapobiegliwym i oprócz przestrzegania podstawowych zasad bezpieczeństwa, stale monitorować zapytania na swój temat w Krajowym Rejestrze Długów. Tylko wtedy będziemy w stanie szybko zareagować, gdy ktoś spróbuje wykorzystać nasze dane – ostrzega Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.

Przestępcy łowią ofiary w sieci

Ryzyko wycieku, to nie jedyne zagrożenie czyhające na użytkowników Internetu. Jest nim także tzw. phishing, czyli metoda polegająca na podszywaniu się przez oszustów pod inne osoby lub instytucje w celu wyłudzenia poufnych informacji. Zazwyczaj zaczyna się od maila, który w łudzący sposób przypomina wiadomość z naszego banku lub firmy kurierskiej. Internauta jest proszony o kliknięcie w zamieszczony link, żeby sprawdzić swoje dane w serwisie lub zaakceptować nowy regulamin usługi. Wejście na wskazaną stronę kończy się zazwyczaj pobraniem wirusa, dzięki któremu haker zdobywa dostęp do naszego komputera oraz zdradzeniem przez nas naszych danych osobowych. Ostatnio przestępcy zmienili taktykę i teraz dzwonią do potencjalnych ofiar udając pracowników banku i prosząc o podanie danych osobowych, haseł, numerów karty kredytowej itp. Maskują przy tym swój prawdziwy numer telefonu i na ekranie telefonu ofiary pojawia się numer łudząco podobny do numeru telefonu banku. Na początku listopada swoich klientów przed takim działaniem ostrzegał m.in. mBank. Z najnowszych danych CERT Polska wynika, że phishing jest jednym z największych zagrożeń dla bezpieczeństwa naszych danych osobowych w sieci.

Jak się chronić?

Specjaliści zwracają uwagę na to, że nawet zachowanie wszystkich zasad bezpieczeństwa może nie wystarczyć do tego, żeby uchronić się przed wykorzystaniem naszych danych osobowych. Nie wiemy, w jaki sposób zabezpieczone są bazy danych sklepów internetowych lub portali społecznościowych, z których korzystamy. Dlatego Urząd Ochrony Danych Osobowych w swoim komunikacie dotyczącym reagowania w przypadku kradzieży tożsamości rekomenduje m.in. założenie konta w systemie informacji gospodarczej, celem monitorowania swojej aktywności kredytowej. Podobne działania, w komunikacie do osób poszkodowanych ostatnim wyciekiem, zaproponował również Uniwersytet Warszawski. Jak to wygląda?

Mechanizm działania jest prosty. Bank, firma pożyczkowa, operator telefoniczny, dostawca Internetu, telewizja cyfrowa i wiele innych instytucji zanim podpiszą umowę z nowym klientem, sprawdzają, czy nie jest notowany w Krajowym Rejestrze Długów, jako osoba zadłużona. Jednak, żeby to zrobić muszą najpierw uzyskać jego pisemną zgodę. Więc w sytuacji, w której otrzymujemy SMS-a, że właśnie sprawdza nas np. jakiś bank, w którym nie składaliśmy w ostatnim czasie wniosku o kredyt, wiemy, że ktoś próbuje wykorzystać właśnie nasze dane, żeby się wzbogacić i trzeba szybko reagować – tłumaczy Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl, partnera Krajowego Rejestru Długów.

Użytkownicy serwisu ChronPESEL.pl, oprócz powiadomienia o użyciu numeru PESEL, mogą dodatkowo liczyć, w zależności od wybranego pakietu usług, na ubezpieczenie dokumentów oraz pomoc w wyjściu z trudnej sytuacji w przypadku wyłudzenia danych osobowych.