Próby wyłudzenia danych osobowych
Kradzież danych osobowych może być nawet bardziej dotkliwe niż kradzież rzeczy materialnej. Przestępcy wykorzystują nowe i modyfikują wcześniej stosowane sposoby, żeby wejść w posiadanie wrażliwych danych.
Atak hakera, zgubiona korespondencja, niezabezpieczone dane na serwerze, pochopne przekazanie danych - to sytuacje, w przypadku których osoby do tego nieuprawnione wchodzą (albo potencjalnie jest to możliwe) w posiadanie Twoich danych osobowych.
Phishing - celowo błędny zapis słowa "fishing" (łowienie ryb) - to, najkrócej mówiąc, pozyskanie poufnej informacji osobistej. Jest to metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji[1] (np. danych osobowych, logowania, karty kredytowej), zainfekowania komputera szkodliwym oprogramowaniem[2] czy też nakłonienia ofiary do określonych działań
Popularnym celem oszustów - phisherów są banki czy aukcje internetowe. Przestępca przeważnie rozpoczyna atak od rozesłania pocztą elektroniczną odpowiednio przygotowanych wiadomości, które udają oficjalną korespondencję z banku, serwisu aukcyjnego lub innych portali. Zazwyczaj zawierają one informację o rzekomym zdezaktywowaniu konta i konieczności jego ponownego reaktywowania. W mailu znajduje się odnośnik do strony, na której można dokonać ponownej aktywacji konta. Pomimo że witryna z wyglądu przypomina stronę prawdziwą, w rzeczywistości jest to przygotowana przez przestępcę pułapka. Nieostrożni i nieświadomi użytkownicy ujawniają swoje dane uwierzytelniające (kody pin, identyfikatory i hasła). Bywa również, że przestępcy posługują się prostszymi metodami, które polegają na wysłaniu maila z prośbą, czasem wręcz żądaniem, podania danych służących do logowania na konto i jego autoryzacji.
Innym sposobem działania cyberprzestępców, który ma doprowadzić do poznania poufnych danych, jest wykorzystywanie złośliwego oprogramowania, zwanego w zależności od swojej formy: robakami, koniami trojańskimi (trojanami) lub wirusami. Takiego "robaka" można ściągnąć korzystając z zainfekowanych witryn internetowych.
Bardziej zaawansowaną, a co za tym idzie niebezpieczniejszą dla użytkownika oraz trudniejszą do wykrycia, formą phishingu jest tzw. pharming. Zamiast wysyłania fałszywych wiadomości e-mail, przestępcy przekierowują użytkowników wpisujących prawidłowe adresy np. swojego banku na fałszywe strony internetowe.
Policjanci apelują o zachowanie ostrożność podczas podawania danych przez Internet. Należy dokładnie analizować otrzymywane komunikaty, zawarte np. w wiadomościach SMS, e-mail, by uniknąć np. ataku phishingowego, którego celem może być wyłudzenie dodatkowych danych czy uzyskanie danych dostępowych do internetowych systemów bankowych bądź innych usług, z których korzystamy.
Należy zwracać uwagę, na podejrzane ogłoszenia, witryny i aukcje, gdzie pod pretekstem wypełnienia ankiety, celem nabycia przedmiotu, zgłoszenia swojej aplikacji w procesie rekrutacyjnym na atrakcyjne stanowisko pracy czy wzięcia udziału w losowaniu bądź odbiorze nagrody, przestępcy mogą wejść w posiadanie naszych wrażliwych danych.
Policjanci przypominają, że przestępcy mogą wykorzystać zdobyte informacje np. do wyłudzenia kredytu, prowadzenia fałszywej działalności gospodarczej w celu np. wyłudzenia zwrotu podatku, wynajęcia lokalu lub pokoju w hotelu, kradzieży wypożyczonego pojazdu lub innej rzeczy, zawarcia innego rodzaju umowy z wykorzystaniem skradzionych danych osobowych.
Każdy internauta powinien mieć świadomość zagrożeń, jakie wiążą się z pobieraniem z sieci oprogramowania z niepewnych serwerów czy odpowiadaniem na podejrzaną pocztę elektroniczną. Pamiętajmy, że:
• serwisy nie wysyłają e-maili z prośbą o odwiedzenie i zalogowanie się na stronie;
• nie należy otwierać hiperłączy bezpośrednio z otrzymanego e-maila;
• należy regularnie uaktualniać system i oprogramowanie;
• nie wolno przesyłać mailem żadnych danych osobistych - w żadnym wypadku nie wypełniajmy danymi osobistymi formularzy zawartych w wiadomości e-mail;
• zastanówmy się nad napisaniem wiadomości e-mail zwykłym tekstem zamiast HTML;
• banki i instytucje finansowe stosują protokół HTTPS tam, gdzie konieczne jest zalogowanie do systemu. Adres strony WWW rozpoczyna się wtedy od wyrażenia 'https://', a nie 'http://'. Jeśli strona z logowaniem nie zawiera w adresie nazwy protokołu HTTPS, powinno się zgłosić to osobom z banku i nie podawać na niej żadnych danych.
W przypadku ujawnienia kradzieży danych należy zgłosić sprawę na Policję oraz zastrzec dowód tożsamości a także zawiadomić swój bank.
Wykorzystano materiały KGP i BIK