1. Socjotechnika i manipulacja

Przestępcy mogą zdobyć informacje o swoich potencjalnych ofiarach na wiele sposobów. Najpowszechniej stosowaną metodą są ataki z wykorzystaniem socjotechniki, czyli pewnego rodzaju manipulacji, za pomocą której przestępcy próbują zdobyć dane osobowe, poufne informacje czy przekonać do podjęcia określonych działań. Oszuści mogą podszywać się pod bliskie osoby, znane instytucje czy firmy. Kusić wyjątkowymi i atrakcyjnymi ofertami, wielkimi wygranymi albo wzbudzać lęk i niepokój. Wykorzystują emocję, presję czasu, zaufanie oraz niewiedzę. Ataki socjotechniczne najczęściej przeprowadzane są za pomocą wiadomości e-mail, SMS i MMS, komunikatorów czy połączeń telefonicznych.

 

2. Wycieki danych

To przypadki, gdy dane (PESEL, adresy, hasła, numery kart) zostają upublicznione w wyniku ataku cyberprzestępców lub błędu po stronie instytucji, która takie dane gromadzi. Informacje z wycieków są cenną walutą na czarnym rynku. Upublicznione dane przestępcy wykorzystują do różnych celów. Między innymi do zaciągania kredytów, do wyłudzeń finansowych, utraty wizerunku, a także żądania okupu. Celem ostatniego z przykładów padają przede wszystkim firmy, którym klienci przekazują informacje na swój temat. Zdarza się również, że przestępcy próbują szantażować osoby indywidualne. W takim przypadku kontaktują się bezpośrednio z potencjalnymi ofiarami dotkniętymi wyciekiem danych. Informują o tym, że mają ich dane, a w zamian za ich nieupublicznienie, wymagają zapłaty określonej kwoty.

 

Do najczęstszych źródeł wycieków należą:

• Ataki cyberprzestępców – włamania do baz danych firm, instytucji czy serwisów internetowych.
• Błędy techniczne i luki w zabezpieczeniach – np. brak szyfrowania, nieaktualne oprogramowanie, brak dwuskładnikowego uwierzytelnienia.
• Nieostrożność użytkowników – przypadkowe przesłanie danych niewłaściwym odbiorcom, pozostawienie ich na niezabezpieczonych urządzeniach lub nośnikach.
• Ujawnienia wewnętrzne (tzw. insiderzy) – świadome działania osób mających dostęp do danych, które wyciekają je z różnych powodów (np. finansowych lub z chęci zemsty).
• Publiczne udostępnienie plików przez pomyłkę – np. błędna konfiguracja ustawień prywatności dokumentów w chmurze.
• Złośliwe oprogramowanie i phishing – użytkownicy sami, nieświadomie, udostępniają dane, np. klikając w fałszywe linki lub logując się na podrobionych stronach.

 

Wycieki danych mogą mieć poważne skutki: od utraty prywatności, przez kradzież tożsamości, po realne straty finansowe. Dlatego tak ważna jest świadomość zagrożeń i stosowanie podstawowych zasad cyberbezpieczeństwa.

 

3. Fałszywe strony i formularze

Fałszywe strony internetowe i formularze to jedna z najczęstszych metod wykorzystywanych przez cyberprzestępców do wyłudzania danych osobowych, loginów, haseł czy danych kart płatniczych. Takie strony często podszywają się pod znane serwisy, banki, firmy kurierskie, sklepy internetowe czy portale społecznościowe, do złudzenia przypominając ich oryginalne wersje.
Użytkownik, wchodząc na taką stronę (np. z linku w mailu czy SMS-ie), może wpisać swoje dane do fałszywego formularza logowania lub płatności. W rzeczywistości dane te trafiają bezpośrednio do oszustów. Tak samo jak dane logowania w fałszywych panelach płatności czy stronach podszywających się pod platformy społecznościowe

Tego typu ataki mogą skutkować nie tylko kradzieżą danych, ale także utraconym dostępem do konta, środków finansowych czy kradzieży tożsamości.

 

4. OSINT – informacje z otwartych źródeł

Istnieje wiele platform i otwartych źródeł danych, z których można zebrać informacje o osobach. Coraz częściej używa się również pojęcia OSINT-u (Open Source Intelligence), który jest procesem zbierania, analizy i wykorzystywania informacji pochodzących z ogólnodostępnych zasobów w celu uzyskania wiedzy na różnorodne tematy, w tym także informacji dotyczących konkretnych użytkowników sieci. Może się również zdarzyć, iż pozyskane w ten sposób treści wykorzystane zostaną w sposób niezgodnym z prawem, np. do stworzenia przekonujących strategii phishingowych.

 

Źródła otwarte to wszelkie dostępne publicznie zasoby informacji, takie jak strony internetowe, portale społecznościowe, fora dyskusyjne, artykuły prasowe, dane geolokalizacyjne, bazy danych publicznych, a nawet publikacje naukowe czy raporty. Oto kilka przykładów:

 

• portale społecznościowe – Facebook, X, Instagram czy TikTok to platformy, z których można pozyskać wiele informacji o osobach, takich jak: imię, nazwisko, miejsce zamieszkania, data urodzenia, informacje o rodzinie, zainteresowania, informacje o pracy, edukacji, zdjęcia, kontakty, wpisy i komentarze;
• zdjęcia zamieszczane na portalach – można z nich wyczytać m.in.: kto i gdzie jest na zdjęciu, czas i miejsce wykonania (jeśli zapisane w danych), okoliczności czy stan majątkowy (np. wakacje, drogie rzeczy), informacje kontekstowe (np. kto je opublikował, kto komentuje), znaki szczególne – tablice rejestracyjne, ubrania z logo, elementy wyposażenia wnętrz, ukryte są też metadane – data, lokalizacja GPS, model telefonu.
• portale pracy i zawodowe – LinkedIn, GoldenLine czy Pracuj.pl. Na tych platformach znajdują się profile zawodowe użytkowników, które mogą zawierać informacje o ich doświadczeniu zawodowym, umiejętnościach, wykształceniu, osiągnięciach i kontaktach;
• publiczne bazy danych i rejestry – Krajowy Rejestr Sądowy (KRS), Centralna Ewidencja Działalności Gospodarczej (CEIDG), Główny Urząd Statystyczny (GUS), Centralna Baza Ksiąg Wieczystych (CBKW) czy Krajowy Rejestr Długów (KRD), Biuletyny Informacji Publicznej (PIB). Bazy te umożliwiają pozyskanie informacji o firmach, przedsiębiorcach, działalności gospodarczej, statystykach społecznych czy zadłużeniu.
• wyszukiwarki internetowe – Google, Bing czy DuckDuckGo. Wykorzystywane są do znalezienia informacji o osobach, firmach, czy też o wydarzeniach w artykułach, wpisach, blogach;
• portale zakupowe – jak Allegro, OLX czy eBay, które umożliwiają pozyskanie informacji o sprzedawcach, kupujących, transakcjach czy opinii o produktach;
• strony internetowe firm, organizacji, instytucji i osób, na których można znaleźć informacje o nich samych, ich produktach, usługach, kontaktach czy aktualnościach;
• fora internetowe i grupy dyskusyjne, na których ludzie dzielą się informacjami, doświadczeniami, poradami i opiniami na różnorodne tematy;
• dane pochodzące z wycieków.

Konsekwencje wycieku danych

W dobie cyfryzacji niemal każda nasza aktywność – od zakupów online, przez korzystanie z bankowości elektronicznej, aż po rejestrację na wydarzenia – wiąże się z podawaniem danych osobowych. I choć na co dzień nie zastanawiamy się nad tym, jak bardzo są one wartościowe, wyciek danych może mieć dla nas poważne, realne konsekwencje.

 

Przenoszenie swojego życia do sieci, dzielenie się każdą swoją aktywnością, może doprowadzić do zbudowania profilu danej osoby w internecie. Zbiór wiadomości może obejmować dane osobowe, personalia bliskich osób, wiele faktów z życia – np. informacje na temat pracy, pochodzenia, poglądów, wyznania, zainteresowań, form spędzania czasu wolnego, podróży. Wszystko to w połączeniu ze zdjęciami i filmami buduje pełen obraz osoby. Powiązanie tych informacji może prowadzić do z kradzieży tożsamości. Wejście w posiadanie czyichś dokumentów może spowodować podszycie się pod daną osobę np. w celu:

• założenia fikcyjnego konta służącego do popełniania różnych przestępstw,
• zaciągnięcia kredytu lub pożyczki,
• założenia konta bankowego,
• dokonywania zakupów na raty,
• zawierania fikcyjnych umów.

 

Kradzież tożsamości może skutkować nie tylko stratami finansowymi, ale także długotrwałymi problemami z udowodnieniem swojej niewinności.

 

Przestępcy, którzy dysponują zebranymi wiadomościami na czyjś temat, mogą tworzyć fałszywe profile w mediach społecznościowych i podawać się za dane osoby. Jest to sytuacja przeciwna do kradzieży konta – tj. cyberprzestępcy, którzy przejęli konto w mediach społecznościowych, podając się za daną osobę, mogą:

• wysyłać wiadomości podszywając się pod właściciela konta,

• żądać pieniędzy od znajomych,

• publikować kompromitujące treści,

• zmieniać dane kontaktowe i utrudniać odzyskanie dostępu.

W przypadku przejęcia konta narażony na negatywne skutki jest zarówno dany użytkownik, jak i wszystkie osoby, które są w jego sieci kontaktów.

 

Zbiory danych osobowych i informacji o użytkownikach często stają się punktem wyjścia do przejmowania loginów i haseł do bankowości elektronicznej. Oszuści, wykorzystując metody socjotechniczne, potrafią wzbudzić zaufanie i wywołać poczucie zagrożenia, by skłonić ofiarę do nieprzemyślanych działań.

 

Typowy scenariusz wygląda tak: osoba podająca się za pracownika banku dzwoni z informacją o rzekomo podejrzanej aktywności na koncie lub próbie zaciągnięcia pożyczki na dane użytkownika. Już sam ten telefon powinien wzbudzić czujność. W kolejnych etapach rozmowy oszust może poprosić o dane uwierzytelniające, takie jak numer PESEL, dane karty płatniczej czy hasło do bankowości internetowej. Często też pojawia się sugestia, że skontaktuje się inny „specjalista” ze wsparcia technicznego, który poprosi o zainstalowanie oprogramowania do zdalnego dostępu i zalogowanie się do konta bankowego.

To wszystko elementy dobrze zaplanowanego ataku, którego celem jest pełne przejęcie kontroli nad kontem ofiary i kradzież środków finansowych.

 

Dane z wycieków mogą zostać wykorzystane w sposób dyskredytujący daną osobę, np. poprzez tworzenie fałszywych profili zawodowych, publikowanie obraźliwych treści lub narażanie na utratę reputacji. W świecie, gdzie cyfrowy wizerunek ma ogromne znaczenie – to realne zagrożenie.

 

Jeśli Twój adres e-mail lub numer telefonu trafi do publicznej bazy, możesz spodziewać się:

• wzmożonej ilości spamu,

• fałszywych wiadomości z próbą wyłudzenia danych,

• ofert „inwestycyjnych”, „wygranych” czy „promocji”, które w rzeczywistości są pułapką.

 

Firmy, które nie potrafią zabezpieczyć danych swoich klientów, narażają się na utratę reputacji, odpływ klientów i realne straty finansowe. Dla osoby prywatnej może to oznaczać np. naruszenie dobrego imienia czy publiczne kompromitacje.

 

Wyciek danych to nie tylko „internetowy problem” – to realne zagrożenie, które może wpłynąć na życie zawodowe, prywatne i finansowe każdego z nas. Im bardziej jesteśmy świadomi zagrożeń i im lepiej potrafimy reagować, tym większa szansa, że nie staniemy się kolejną ofiarą cyfrowych oszustów.

 

Artykuł wyraża jedynie poglądy autorów i nie może być utożsamiany
z oficjalnym stanowiskiem Ministra Cyfryzacji.