Hasło w portfelu

Kradzież tożsamości i wykorzystanie jej do przestępczych celów nie jest nowością związaną z rosnącą popularnością Internetu i technologii IT. Systematycznie jednak rosną obawy, że rozwój i upowszechnienie technologii hakerskich może wkrótce zagrozić popularyzacji handlu internetowego i bankowości online, powodując odwrót od klasycznych metod zawierania transakcji.

Kradzież tożsamości i wykorzystanie jej do przestępczych celów nie jest nowością związaną z rosnącą popularnością Internetu i technologii IT. Systematycznie jednak rosną obawy, że rozwój i upowszechnienie technologii hakerskich może wkrótce zagrozić popularyzacji handlu internetowego i bankowości online, powodując odwrót od klasycznych metod zawierania transakcji.

Hasło w portfelu

Mniej ofiar, większe straty

Na razie taka perspektywa jest jeszcze tylko teoretyczna. Przykładowo straty związane z kradzieżą tożsamości w Stanach Zjednoczonych są oceniane w raporcie opublikowanym przez amerykańską komisję handlu FTC (Federal Trade Commision) na 50 mld USD rocznie, ale tylko 10% z nich jest związane z kradzieżą tożsamości w Internecie. Oznacza to, że w dalszym ciągu bardziej prawdopodobna jest utrata portfela na ulicy lub w komunikacji miejskiej niż danych osobowych podczas przeprowadzania transakcji online. Sytuacja ta jednak zmienia się bardzo szybko, niestety na niekorzyść Internetu.

Więcej fałszywych stron

Tylko w pierwszych dwóch miesiącach tego roku nastąpił 200-proc. wzrost zagrożeń związanych z kradzieżą tożsamości w Internecie - uważa firma Cyveillance, zajmująca się badaniem bezpieczeństwa stron WWW. Według przeprowadzonych przez nią analiz, liczba stron zawierających szkodliwe kody wzrosła w lutym br. do 60 tys. dziennie, a więc była dwa razy większa niż w grudniu 2006 r. Jednocześnie widać wyraźną tendencję do zmiany techniki ataków ze standardowych mechanizmów phishingowych na listy e-mail bezpośrednio zawierające adresy URL do stron WWW ze szkodliwymi kodami. "Choć jest to bardzo prosta metoda, aby nie powiedzieć prymitywna, w praktyce okazuje się bardzo efektywna" - zauważa Todd Bransford, wiceprezes Cyveillance.

Do tej zmiany taktyki hakerów przyczyniła się niewątpliwie rosnąca efektywność oprogramowania antyphishingowego, które w coraz większym stopniu blokuje pocztę zawierającą standardowe teksty służące do wyłudzania prywatnych informacji, w tym szczególnie dotyczących internetowych kont bankomatowych. W przypadku gdy list zawiera tylko link do fałszywej strony, filtrom znacznie trudniej jest sprawdzać na bieżąco, czy jest to strona ze szkodliwymi kodami. Jednocześnie w trakcie analiz kanałów IRC oraz logów rejestrowanych w serwerach zarządzających sieciami botnet, tylko w styczniu i lutym br. Cyveillance wykryła zapisy zawierające ponad 320 tys. numerów kart kredytowych, 1,3 mln danych i haseł logowania oraz 1,4 mln numerów identyfikacyjnych amerykańskiego systemu ubezpieczeń społecznych - odpowiednika polskiego numeru dowodu osobistego lub numeru PESEL.

W 2004 r. ChoicePoint, firma zajmująca się legalnym zbieraniem i sprzedażą baz z informacjami o konsumentach ujawniła, że 163 tys. takich informacji trafiło ewidentnie do hakerów, tzn. zostało sprzedanych nieistniejącym firmom, których przedstawiciele posługiwali się sfałszowanymi danymi. Jednocześnie odnotowano i udowodniono 800 przypadków wykorzystania tych danych do kradzieży tożsamości. Należy podkreślić, że wypadek ten nie wynikał z zaniedbania zabezpieczeń związanych z technologiami informatycznymi, a jedynie nieodpowiedniej dbałości o bezpieczeństwo procedur biznesowych.

Dane spisane z klawiatury

Z kolei McAfee Avert Labs opublikowała raport na temat tendencji w obszarze kradzieży tożsamości, w tym dramatycznego wzrostu liczby kradzieży tożsamości w Internecie. Według raportu liczba keyloggerów - szkodliwych programów zapisujących wpisywane na klawiaturze hasła i inne prywatne informacje - wzrosła pomiędzy styczniem 2004 r. a majem 2006 r. o blisko 250%. W tym samym czasie liczba alarmów sygnalizujących możliwość ataku phishingowego wzrosła aż 100-krotnie!

Przykładowo w marcu 2005 r. w londyńskim biurze japońskiego banku Sumitomo wykryto, że przez kilkanaście miesięcy następowała w nim regularna kradzież haseł i wrażliwych informacji o klientach. Początkowo analizowano system podejrzewając, że zainstalowane w nim muszą być konie trojańskie. Po kilkunastu dniach bezowocnych poszukiwań okazało się jednak, że po prostu klawiatura jednego z komputerów jest podłączona do gniazda w obudowie za pośrednictwem miniaturowego urządzenia służącego do rejestracji uderzeń palców w klawisze.

W Internecie można obecnie bez problemu znaleźć co najmniej kilkanaście ofert sprzedaży tego typu urządzeń. Są to sprzętowe keyloggery wyposażone np. w 2 MB pamięci, przezroczyste dla systemu operacyjnego, niewykrywalne przez oprogramowanie w cenie od 20 USD do 200 USD.

Techniki kradzieży tożsamości

Klasyczne metody fizyczne:

  • kradzież komputera,
  • bezpośredni dostęp do danych (np. wykorzystywany przez sprzątaczki, pomoc domową itp.),
  • przeszukiwanie śmieci (jest to metoda wykorzystywana częściej niż się wydaje),
  • klasyczna kradzież portfela i dokumentów (kart kredytowych),
  • kradzież listów e-mail z informacjami prywatnymi z niedostatecznie zabezpieczonych skrzynek pocztowych,
  • podglądanie haseł wprowadzanych np. do bankomatu,
  • fałszywe lub wyposażone w kamery i czytniki kart bankomaty,
  • marketingowe telefony — efektywną metodą jest wykonywanie telefonów o charakterze telemarketingu lub żądających np. weryfikacji danych bankowych.
Nowoczesne metody internetowe:
  • przechwytywanie informacji przesyłanych w sieci przy wykorzystaniu skanerów lub urządzeń do podsłuchiwania transmisji,
  • phishing — oszukańcze listy e-mail kierujące użytkownika na fałszywe strony WWW,
  • pharming — zaawansowana metoda phishingu polegająca na modyfikacji adresów zapisanych w serwerach DNS lub komputerze lokalnym i w ten sposób automatyczne przekierowywanie połączeń z legalnych stron na strony utworzone przez hakerów,
  • przekierowywanie — metoda podobna do pharmingu, polega na modyfikacji adresu serwera DNS w komputerze PC na serwer fałszywy, zarządzany przez hakera,
  • fałszywe formularze — metoda stosowana głównie w Stanach Zjednoczonych, a polegająca na przesyłaniu formularzy wzorowanych na oficjalnych dokumentach urzędowych (najczęściej związanych z podatkami) z żądaniem ich wypełnienia i odesłania na podany numer faksu,
  • programy szpiegujące,
  • rozwiązania sprzętowe — np. keyloggery do rejestracji uderzeń klawiszy.
Zabezpiecz własną tożsamość

Specjaliści z McAfee Avert Labs opracowali kilka rad, które mogą ustrzec nas przed kradzieżą tożsamości:

  1. Należy uważać na pułapki phisherów — podejrzaną korespondencję e-mail i strony WWW podszywające się pod legalną działalność tylko po to, aby zdobyć dane osobowe.
  2. Powinno się unikać otwierania linków zawartych w podejrzanych listach e-mail. Jeżeli ktoś chce się dostać na stronę firmową, to należy wpisać jej nazwę do przeglądarki.
  3. Trzeba korzystać z kompleksowego oprogramowania zabezpieczającego, zawierającego moduł antywirusowy, program antyspamowy i zaporę firewalla, a także systematycznie aktualizować te aplikacje.
  4. Należy szczególnie rozważnie otwierać załączniki poczty e-mail i to bez względu na źródło ich pochodzenia.
  5. Warto bardzo rozważnie publikować w Internecie swój adres e-mail.
  6. Dane ze starego komputera, którego ktoś chce się pozbyć, powinny być dokładnie wykasowane.
  7. Należy zawsze upewnić się, że strony, na których mają być pozostawione dane osobowe, są skutecznie zabezpieczone.
  8. Szczególnej ostrożności wymaga korzystanie z komunikatorów.
W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200