Liczba przypadków kradzieży danych osobowych w sieci rośnie o kilkadziesiąt procent rocznie. Polacy wykorzystują latami te same loginy i hasła do każdego konta w internecie. Za nielegalne pozyskiwanie danych, ich zbywanie i udostępnianie grożą kary więzienia.
Przestępcy internetowi coraz częściej kradną poufne dane internautów. W zeszłym tygodniu po raz kolejny podszyli się pod Bank BZ WBK i wysłali do jego klientów e-maile z prośbami o podanie haseł do kont bankowych. Kilka dni przedtem hakerzy opublikowali w Internecie dziesiątki tysięcy wykradzionych haseł i loginów do kont poczty elektronicznej, m.in. z Hotmaila i Gmaila. Nieco wcześniej policja zatrzymała siedmiu nastolatków, którzy w sierpniu wykradli około 100 tys. haseł użytkowników serwisu Wykop.pl.
– Osoby korzystające z internetu nie zdają sobie sprawy, jakie zagrożenia czekają na nich w wirtualnym świecie. Informacje pozostawiane przez nas w sieci wydają się nam nieistotne. Środowiska przestępcze dorabiają się jednak na ich kradzieży fortun – mówi Michał Serzycki, generalny inspektor ochrony danych osobowych.

Dane mają swoją cenę

– Loginy i hasła internetowe to dość wartościowa baza danych osobowych. Można ją odsprzedać, np. celem wysyłki spamu. Adresy mogą zostać potraktowane również wybiórczo i użyte do kradzieży wirtualnych tożsamości czy podszywania się pod konkretne osoby – mówi Zbigniew Engiel, specjalista ds. informatyki śledczej z Mediarecovery.
Nielegalne pozyskiwanie danych może stać się również sposobem na oficjalny biznes. Ostatnio powstała strona internetowa, na której zaoferowano płatne pośrednictwo w procesie personalizacji Warszawskiej Karty Miejskiej. Jej twórca zachęca do przesłania zdjęć i zbiera dane osobowe pasażerów – imię, nazwisko i numer PESEL – Zarząd Transportu Miejskiego niezwłocznie złoży do prokuratury zawiadomienie w tej sprawie – mówi rzecznik ZTM w Warszawie Igor Krajnow.



Naiwność kosztuje

Kradzione dane mogą być wykorzystywane do phishingu, czyli podszywania się np. pod dostawcę usług bankowości elektronicznej. Jak wyjaśnia Tomasz Grzegory z Onet.pl, taki cyberprzestępca może wysłać e-maila od rzekomego banku z prośbą o zalogowanie się na wysłanym linku z uwagi na konieczność zmiany hasła. Jedna nierozważna odpowiedź może sprawić, że nie tylko stracimy wszystkie oszczędności na swoim koncie, ale także nabawimy się długów, o których pochodzeniu nie będziemy mieli pojęcia.
– Kradzież pieniędzy z konta internetowego jest bardzo trudna, bo nawet, gdy użytkownik nieopatrznie poda dane dostępowe, to i tak transakcje wymagają potwierdzenia kodami jednorazowymi. Inaczej jest z danymi do kart. Jeśli ktoś przekaże dane umożliwiające ich użycie, to zgodnie z prawem bank nie ponosi odpowiedzialności za skradzione pieniądze – wyjaśnia Grzegorz Adamski, z banku BZ WBK.
W 2008 roku cyberprzestępcy podszyli się już pod ponad 5 mln internautów, co oznaczało wzrost skali zjawiska o kolejne 40 proc.

Zbyt proste hasła

W takich sytuacjach wina leży przede wszystkim po stronie oszustów.
– Internautom można zarzucić brak rozwagi i nadmierne zaufanie do korespondencji przesyłanej pocztą elektroniczną – mówi Zbigniew Engiel.
Duża część osób korzystających z kont internetowych używa tego samego hasła do karty kredytowej, serwisu aukcyjnego czy skrzynki e-mailowej.
– Część danych skradzionych z serwisu Wykop.pl posłużyła do wejścia na strony innych serwisów. Nie powinno używać się tych samych loginów i haseł do wielu kont. Po drugie, te hasła są często bardzo proste, np. 12345 i niezmieniane latami – zauważa Michał Serzycki.
Każdy, kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom hasła, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym, podlega karze pozbawienia wolności do lat trzech. Proceder jest ścigany przez policję z urzędu.
OPINIA
Maciej Sobianek
Panda Security
Ostatnio notowany jest znaczący wzrost sieci botnetowych (bot, czyli komputer zainfekowany złośliwym oprogramowaniem, może być sterowany przez cyberprzestępców). Infekcje obejmują jednorazowo nawet kilkadziesiąt tysięcy komputerów. W sieci pojawia się wtedy specjalna aplikacja, która będzie oczekiwała na określoną aktywność użytkownika, np. logowanie do portalu pocztowego, i dopiero w tym momencie wykonują określoną akcję, np. przechwytują hasła. Do przeprowadzania procederu wykorzystywane są najczęściej wynajęte serwery np. w Rosji lub na Ukrainie. Głównym problemem w schwytaniu sprawców pozostaje tutaj ułomność policji, która nie jest w stanie nawiązać skutecznej, międzynarodowej współpracy.