Ile kosztują dane osobowe online i jak są wykorzystywane w doxingu
Obserwowane obecnie wzajemne przenikanie się życia cyfrowego z tym, które prowadzimy offline, sprawia, że nasze działania online mają bezpośredni wpływ na to, co dzieje się w “realu”. Dotyczy to szczególnie komunikacji i udostępniania informacji osobowych, ponieważ wszelkie dane użytkowników mogą zostać użyte przeciwko nim. Badacze z firmy Kaspersky wzięli pod lupę dwie główne konsekwencje intencjonalnego i nieintencjonalnego udostępniania publicznie danych osobowych: doxing, który oznacza publiczną dezanonimizację osoby online, oraz sprzedaż danych osobowych w tzw. dark webie. Okazuje się, że uzyskanie dostępu do wrażliwych danych, takich jak dokumentacja medyczna czy informacje identyfikacyjne, może kosztować mniej niż filiżanka kawy.
Mimo wzrostu świadomości w kwestii prywatności większość z nas wciąż nie do końca rozumie, dlaczego ma ona tak istotne znaczenie: 37% milenialsów uważa się za zbyt nudnych, aby paść ofiarą cyberprzestępczości. Nic bardziej mylnego. Doxing, który stanowi swego rodzaju metodę cybernękania, może spotkać każdego użytkownika, który wypowiada się online lub nie spełnia subiektywnych standardów innych użytkowników.
Doxing ma miejsce wtedy, gdy ktoś udostępnia prywatne informacje innej osoby bez jej zgody, po to by postawić taką osobę w kłopotliwej sytuacji, zaszkodzić jej lub w inny sposób narazić na ryzyko. Użytkownicy zwykle nie spodziewają się, że ich prywatne informacje staną się publicznie dostępne, a nawet jeśli tak się stanie, nie zdają sobie sprawy, jaką krzywdę może im to wyrządzić. Jednak doświadczenie pokazuje, że w przypadku szczególnie zdeterminowanych sprawców lub szkodliwych użytkowników doxing może potencjalnie oznaczać włamanie się do kont osób, które są jego celem – usługa ta jest oferowana obecnie na czarnym rynku.
Aby lepiej zrozumieć, jak mogą zostać wykorzystane dane osobowe użytkowników, które wpadły w niepowołane ręce, badacze z firmy Kaspersky przeanalizowali aktywne oferty na 10 międzynarodowych forach i rynkach darknetu. Badanie ujawniło, że cena dostępu do danych osobowych zaczyna się już od około 2 zł za dokument tożsamości, w zależności od zakresu oferowanych danych. Na niektóre informacje osobowe istnieje tak samo duży popyt jak niemal dziesięć lat temu – są to głównie dane dot. kart kredytowych, dane dostępu do serwisów bankowych oraz płatności elektronicznych, których ceny nie zmieniły się w ostatnich latach.
Oto kilka przykładowych zakresów cenowych:
- szczegóły związane z kartą kredytową: 22 – 75 zł,
- skan prawa jazdy: 19 – 95 zł,
- skan paszportu: 22 – 55 zł,
- dane dostępowe do usług subskrypcyjnych: 2 – 30 zł,
- tożsamość (imię i nazwisko, adres e-mail, numer telefonu, data urodzenia itd.): 2 – 40 zł,
- zdjęcie osoby trzymającej własny dokument (paszport, prawo jazdy itp.): 150 – 225 zł,
- dane medyczne: 4 – 110 zł,
- dane konta bankowości online: 1 – 10% środków zgromadzonych na koncie,
- dane konta PayPal: 190 – 1 900 zł.
Jednocześnie w sprzedaży pojawiły się nowe rodzaje danych. Przykładem może być dokumentacja medyczna oraz zdjęcie, na którym widać twarz właściciela danego dokumentu wraz z tym dokumentem (często wykorzystywane jako potwierdzenie tożsamości w różnych usługach online), które kosztują do 110 zł. Wykorzystanie takich danych może prowadzić do poważnych konsekwencji.
Równie poważne mogą być skutki wykorzystania innych rodzajów danych osobowych. Informacje sprzedawane na czarnym rynku mogą być wykorzystywane do wyłudzeń, przeprowadzania oszustw i ataków phishingowych, jak również bezpośredniej kradzieży pieniędzy. Niektóre rodzaje danych, takie jak te umożliwiające dostęp do prywatnych kont czy bazy haseł, mogą być wykorzystane nie tylko w celu osiągnięcia korzyści finansowych, ale również wyrządzenia krzywd wizerunkowych lub innych rodzajów szkód o charakterze społecznym.
W ostatnich latach cyfryzacji uległo wiele obszarów naszego życia, łącznie z tymi, które mają szczególnie prywatny charakter, np. nasze zdrowie. To prowadzi do wzrostu zagrożeń dla użytkowników, o czym świadczy rosnąca liczba wycieków informacji. Widzimy jednak również zmiany na plus – wiele organizacji podejmuje dodatkowe działania w celu zabezpieczenia danych swoich klientów. Szczególnie duży postęp poczyniły w tym zakresie platformy mediów społecznościowych – obecnie kradzież konta określonego użytkownika jest znacznie trudniejsza niż dawniej. Ważne jest to, byśmy mieli świadomość, że istnieje popyt na nasze dane i że mogą one zostać wykorzystane do szkodliwych celów, nawet jeśli nie posiadamy wielkiego majątku, nie wyrażamy kontrowersyjnych opinii i ogólnie nie jesteśmy zbyt aktywni online – powiedział Dmitrij Gałow, badacz ds. cyberbezpieczeństwa z zespołu GReAT firmy Kaspersky.
Internet pozwala nam wyrażać naszą indywidualność oraz opowiadać naszą osobistą historię i to jest fantastyczne. Powinniśmy jednak zdawać sobie sprawę, że bycie i wyrażanie siebie online nie jest do końca prywatną sprawą. Przypomina bardziej krzyczenie na zatłoczonej ulicy – nigdy nie wiadomo, kto pojawi się na naszej drodze, nie zgodzi się z nami i jak zareaguje. To rodzi zagrożenia – dodaje Władysław Tuszkanow, ekspert ds. prywatności w firmie Kaspersky. Naturalnie nie oznacza to, że wszyscy powinniśmy skasować nasze konta na portalach społecznościowych. Trzeba jednak zdawać sobie sprawę z potencjalnych konsekwencji oraz zagrożeń i być na nie przygotowanym. Najlepszy sposób postępowania, jeśli chodzi o własne dane, jest następujący: zorientuj się, co inni wiedzą, usuń to, co możesz, oraz przejmij kontrolę nad tym, jakie informacje o Tobie krążą w sieci. To proste, jednak wymaga pewnego wysiłku.
Pełny raport firmy Kaspersky poświęcony doxingowi jest dostępny na stronie https://r.kaspersky.pl/ZLlEt.
Porady bezpieczeństwa
Eksperci z firmy Kaspersky zalecają następujące działania pozwalające zminimalizować ryzyko kradzieży informacji osobowych:
- Uważaj na wiadomości i strony phishingowe.
- Zawsze sprawdzaj ustawienia uprawnień w wykorzystywanych przez siebie aplikacjach. W ten sposób zminimalizujesz prawdopodobieństwo przekazania Twoich danych osobom trzecim lub przechowywania ich przez osoby trzecie bez Twojej zgody.
- Stosuj uwierzytelnienie dwuskładnikowe. Pamiętaj, że stosowanie aplikacji, która generuje jednorazowe kody, jest bezpieczniejsze niż otrzymywanie drugiego składnika uwierzytelnienia za pośrednictwem SMS-a. Jeśli potrzebujesz dodatkowego zabezpieczenia, zainwestuj w sprzętowy klucz 2FA.
- Stosuj niezawodne rozwiązanie do zarządzania hasłami, takie jak Kaspersky Password Manager, które generuje i zabezpiecza unikatowe hasła dla każdego konta. Nie korzystaj z tego samego hasła do różnych kont online.
Zastanów się, jak publikowane przez Ciebie treści online mogą zostać zinterpretowane i wykorzystane przez innych.