Przeskocz do treści

2

Jeśli w ostatnich kilku latach:

  • udostępniliście komuś dane ze swoich dokumentów (np. dowodu osobistego)
  • zostawiliście swoje dokumenty komuś w depozycie
  • utraciliście swoje dokumenty (i nawet je odzyskaliście)
  • ktoś miał do Waszych dokumentów dostęp
  • korzystacie z autoryzacji SMSowej

To powinniście ten wpis przeczytać.

Wpis zainspirowany jest artykułem w Gazecie Wyborczej, który serdecznie polecam:

http://wyborcza.pl/7,155287,24369036,jozef-kruk-kiedy-byl-u-rehabilitanta-stracil-z-konta-1-1-mln.html

Dla tych, którzy nie mogą uzyskać dostępu do artykułu, bądź mniej ich interesuje konkretne human story, poniżej opisuję mechanizm lawinowo przyrastających przypadków kradzieży.

Ten wpis jest o tym, co może spotkać każdego z nas. O zdarzeniu, o którym każdy "ktoś, coś słyszał", ale nie bierzemy go serio, póki nie spotka właśnie nas. O czymś co przytrafia się kilkudziesięciu tysiącom ludzi w Polsce każdego roku. O czymś, co będzie mieć wiele nieprzyjemnych konsekwencji, z którego skutkami trzeba będzie walczyć wiele lat i zawsze będzie nas słono skosztować.

Zjawisko zwane "kradzieżą tożsamości" jest szeroko opisywane na Zachodzie - zarówno w prasie, jak i w popkulturze. Wiele osób uważa, że nas ono nie dotyczy, bo nasz system bankowy jest nowoczesny (słusznie!), stworzony już w epoce internetowej i na pewno o wszystkim pomyślano. Tymczasem jest zupełnie inaczej. Nowoczesność, szybkość i wygoda obsługi są cechami wysoko cenionymi przez klientów. Banki, starając się wyjść naprzeciw potrzebom klientów uruchamiają nowe produkty, które choć wydają się bezpieczne (i banki zapewniają, że takie właśnie są) to mogą być przyczyną wielu problemów. Nie tylko dla klientów banków. Ofiarą przestępstw związanych z kradzieżą danych osobowych może paść ktoś, kto nigdy z usług banku nie korzystał. Dosłownie KAŻDY.

Jak to możliwe?

Jak zwykle w złożonych systemach jeden czynnik nie wystarcza do skutecznego przeprowadzenia wyłudzenia. Ale kombinacja dwóch, pozornie niezwiązanych czynników już w zupełności wystarcza.

Pierwszy czynnik jest dość unikalny dla Polski. To tak zwane dokumenty kolekcjonerskie. To dokumenty (dowody osobiste, prawa jazdy itp.) identyczne z prawdziwymi, ale o treści dowolnie modyfikowanej. Możliwe jest zamówienie np. dowodu osobistego z prawdziwymi danymi, ale wydrukowanym innym zdjęciem. Produkcja takich dokumentów jest zgodna z prawem, ofert w internecie nie brakuje, do niedawna można je było zamawiać nawet na allegro. Nielegalne jest używanie takich dokumentów do popełniania przestępstw, ale to przecież nie jest coś, co mogłoby złodziei zniechęcać. Koszt wyrobienia to do kilkuset złotych. Wygląd jest identyczny z oryginalnym (także hologramy itp.) zaś wpisywane dane dowolne:

To jest print ze strony jednej z firm dostarczających "karty kolekcjonerskie"
Przykładowy dowód ze strony jednej z firm oferujących "karty kolekcjonerskie"

Drugi czynnik, który w założeniu miał ułatwić i przyspieszać klientom banków weryfikację tożsamości jest smsowa autoryzacja. Wiele pisze się o tym, ile zagrożeń dla naszego bezpieczeństwa finansowego stanowią smartfony. Oszustom, którzy chcą nas okraść dostęp do naszego smartfona - nieważne czy fizyczny, czy poprzez na przykład zhackowane aplikacje - w ogóle nie jest potrzebny.  Kluczowa jest nasza karta SIM, którą... niezwykle łatwo uzyskać.

Mechanizm

Chcąc kogoś okraść, złodziej musi wyrobić sobie dokumenty kolekcjonerskie zawierające nasze poprawne dane ale ze zdjęciem osoby, która będzie brała udział w przestępstwie. Wielu z Was w tym momencie pewnie stwierdzi, że jest bezpieczna, bo przecież nikt nie ma dostępu do danych z Waszego dowodu osobistego. Nic bardziej mylnego. Wiele firm, z których usług korzystamy domaga się, bądź jeszcze niedawno domagało się, możliwości zrobienia kopii naszych dokumentów. Czy to kserokopii, czy przysłania zdjęcia naszych dokumentów. Operatorzy telefonii komórkowej, hotele, czy nawet banki przechowywały obrazy naszych dokumentów. Wielu z nas się na to godziło, wychodząc z założenia, że przecież to czarno-białe kopie, z którymi nic nie można zrobić. Nie bierzemy wtedy pod uwagę, że te kopie zawierają pełen zestaw danych potrzebny do stworzenia pełnego dokumentu kolekcjonerskiego, którego żaden szeregowy pracownik nie odróżni od oryginału. I nawet jeśli te kserokopie są właściwie przechowywane i odpowiednio niszczone, a żaden pracownik ich nie wyniósł celem sprzedaży zainteresowanym przestępcom, a Wam wydaje się, że sprawa Was nie dotyczy... jesteście w błędzie.

Nigdy nie zostawiliście swoich dokumentów w miejscu, do którego ktoś niepowołany może mieć dostęp? Złodziejowi danych wystarczy kilka sekund by skopiować dane Waszych dokumentów, a potem je Wam nawet z uśmiechem oddać - "zostawiła Pani torebkę...". Wy w akcie radości, że nic Wam nie zginęło szybko o sprawie zapomnicie. A dowód osobisty jest ważny 10 lat...

Mając Wasze dane, złodziej wyrabia sobie "kolekcjonerski dowód osobisty" z Waszymi danymi, ale zdjęciem osoby przez siebie wybranej i udaje się do salonu operatora GSM. Jego głównym celem wcale nie jest zakup telefonów na raty na Wasz koszt, celem jest wyrobienie sobie duplikatu Waszej karty SIM z numerem, którego używacie do otrzymywania haseł SMSowych, służących do autoryzacji operacji z wielu obszarów Waszego życia. Otrzymawszy duplikat (pracownik punktu sprzedaży nie ma prostego sposobu weryfikacji Waszej tożsamości, a tym bardziej motywacji by to zrobić skoro złodziej przedstawił wiarygodny dokument) złodziej ma wiele możliwości działania. Wy dostajecie tylko SMSa o zrealizowanej dyspozycji wymiany karty SIM, po czym Wasz telefon przestaje działać. Tymczasem przestępca:

  • Może uzyskać dostęp do Waszego istniejącego konta (na przykład legitymując się Waszym dowodem i mając kontrolę nad numerem do haseł autoryzacyjnych może otrzymać w oddziale banku pakiet startowy umożliwiający dostęp do konta online)
  • Może dokonać zakupów na raty, bądź działając szybko wziąć wiele kredytów gotówkowych bo metodą, którą banki i spółki kredytowe stosują by potwierdzić Waszą tożsamość przy udzielaniu kredytów online jest żądanie podania danych z dowodu osobistego i dokonanie przelewu "na 1 złoty" z istniejącego już konta (vide punkt pierwszy). Decyzja o wypłacie środków i ich wypłata zazwyczaj zapada w mniej niż godzinę.
  • Może założyć sobie online konto bankowe na Wasze dane, z którego będzie mógł korzystać do "potwierdzania" swojej (a właściwie to Waszej) tożsamości jeszcze bardzo długo i kompletnie poza Waszą kontrolą

Brzmi skomplikowanie? Dla złodziei to pestka, w końcu to ich zawód.

Wy w tym czasie, jeśli nawet już zauważyliście, że Wasz telefon przestał działać (a jeśli korzystacie z netu po wifi, może to potrwać całkiem długo, bo kto dziś czyta SMSy?) to jeśli jest to Wasz jedyny telefon, to nie bardzo macie jak zareagować.

Jakie są skutki dla Was?

Złodzieje działają na dwa sposoby. Jeśli trafią na osobę zamożną, to najpierw czyszczą jej konto, a potem biorą tyle kredytów ile zdążą, stosując różne zabiegi. Muszą się spieszyć, bo dane o nowych umowach są często przekazywane do BIK z opóźnieniem, a im zależy przecież na maksymalnym wykorzystaniu Waszej zdolności kredytowej, która spada wraz z każdym zobowiązaniem.

Jeśli ich ofiarą padnie osoba niezamożna, próbują wziąć tyle kredytów ile im się uda w parabankach.

Kwoty mogą być różne - od pożyczek po kilkaset złotych, po przelewy idące w miliony. Problem polega na tym, że działalność naszych służb w tego typu sprawach jest powolna, a banki są niewspółpracujące.

Okradziona osoba staje przed koniecznością udowodnienia, że to nie ona zaciągała zobowiązanie. Procedura sądowa jest długotrwała, wymaga determinacji i... pieniędzy. Jeśli zostaliśmy okradzeni na niewielkie kwoty (ale w kilku transakcjach), to droga przez sądy niewarta jest świeczki. Szybciej i łatwiej jest po prostu spłacić nieswoje zobowiązanie.

Przy dużych kwotach nie pozostaje nic innego, niż walka w sądzie z bankami i udowodnienie, że nie jest się wielbłądem, a jedynym naszym błędem był brak dbałości o ochronę danych osobowych.

Jak się chronić?

  • jeśli w ostatnich kilku latach zdarzyło się Wam udostępnić komuś Wasze dokumenty, pozwoliliście mu sfotografować swoje dokumenty, bądź wynotować z nich dane - wymieńcie dowód osobisty, a stary zastrzeżcie. Wymiana dowodu jest obecnie bezpłatna, tak samo jak zastrzeżenie go w międzybankowych bazach danych
  • jeśli w ostatnich kilku latach straciliście kontakt ze swoimi dokumentami i ktoś niepowołany mógł mieć do nich dostęp bez nadzoru- wymieńcie dowód osobisty.
  • jeśli macie jakiekolwiek wątpliwości czy powyższe sytuacje miały miejsce, pobierzcie z BIK swój raport kredytowy. Raz na pół roku jest on w wersji podstawowej bezpłatny.
  • jeśli w raporcie znajdziecie cokolwiek wzbudzającego wątpliwości możecie w BIK założyć usługę powiadamiania o każdym nowym zapytaniu kredytowym przesłanym przez banki i inne instytucje, i każdym nowym zobowiązaniu. Umożliwi Wam to szybkie działanie w sytuacji kryzysowej. Jest to usługa płatna, ale uważam, że każdy powinien ją mieć.

Wpis ten dedykuję również politykom i urzędnikom którzy od lat nie są w stanie doprowadzić do tego, by nasze podstawowe dokumenty były lepiej zabezpieczone. Zmiana dowodów z papierowych na plastikowe w żaden sposób nie poprawiła ich zabezpieczeń. Nadal wszystkie dane są na nich zapisane w sposób umożliwiający pełny ich odczyt każdemu, kto je widzi.