8 września 2023

Po co cyberprzestępcom dane naszych dzieci?

Pierwszy września za pasem, sprzęty i elektroniczne pomoce edukacyjne znalazły się zapewne na wielu listach „wyprawkowych”. Ten rok szkolny będzie także przełomowy pod względem kontaktu z technologią dla ok. 400 tys. uczniów klas czwartych szkół publicznych i niepublicznych, którzy otrzymają „z urzędu” darmowe laptopy do nauki. – To ostatni moment, aby przypomnieć, zarówno dzieciom, jak i rodzicom m.in. o tym, jak i dlaczego cyberprzestępcy chcą kraść dane osobowe najmłodszych i jak się przed tym uchronić. Chodzi przecież zarówno o bezpieczeństwo, jak i pieniądze – podkreślają eksperci ds. cyberbezpieczeństwa.

Kradzież tożsamości najmłodszych jest poważniejszym zagrożeniem, niż mogłoby się to wydawać. W 2022 roku w USA ofiarami takich incydentów padło prawie milion dzieci, koszty pojedynczego zdarzenia wyniosły średnio 1128 dolarów, a rozwiązanie każdej takiej sytuacji zajęło około 16 godzin. Oznacza to problem, który kosztuje Amerykanów ponad 1 miliard dolarów rocznie1. Dlatego także w Polsce, w obliczu coraz bardziej cyfrowych procesów nauczania, edukacja dotycząca tego, jakie są metody działań  cyberprzestępców, powinna stać się ważnym elementem zaznajamiania dzieci z wirtualnym światem. Pełną wiedzę na ten temat powinni mieć także rodzice, którzy niejednokrotnie nie widzą żadnych zagrożeń, udostępniając w sieci szczegółowe informacje o swoich pociechach – przestrzegają eksperci ds. cyberbezpieczeństwa z firmy ESET.

Kredyt na dane dziecka? Trudne, ale możliwe

Dlaczego dane osobowe dzieci cieszą się tak dużym zainteresowaniem, w jaki sposób dochodzi do ich kradzieży i co rodzice mogą zrobić, aby temu zapobiec? Oszuści mogą wykorzystać dane dotyczące tożsamości dzieci do tych samych celów, co dane dorosłych, a więc m.in. do oszustw finansowych, prania brudnych pieniędzy czy wyłudzania świadczeń socjalnych i pożyczek. Dużym atutem dla nich może być fakt, że w przypadku takich oszustw mało prawdopodobne jest, że sama ofiara zauważy, że skradziono jej tożsamość. Dzieci nie są przyzwyczajone do regularnego sprawdzania swojego konta bankowego lub raportu kredytowego. Oszustwa mogą pozostać niezauważone przez lata. Z kolei w przypadku tzw. syntetycznej kradzieży tożsamości, wykorzystującej dane dzieci tylko częściowo, dużym atutem jest dla cyberprzestępców to, że najmłodsi nie są obciążeni żadną historią kredytową.

Polski system prawny i bankowy stara się chronić najmłodszych i ich rodziców przed sytuacjami takimi jak otwarcie nowego konta czy założenie karty kredytowej na dane dziecka, które wyciekły. Do takich procedur każdorazowo potrzebna jest zgoda rodziców, a kredytów nawet w firmach oferujących „chwilówki” nie można brać przed przekroczeniem osiemnastego roku życia. Mimo tego cyberprzestępcy mają swoje sposoby, aby wykorzystać dane dzieci. Jednym z możliwych scenariuszy jest np. ten, w którym cyberprzestępca teraz kradnie dane dziecka, a w przyszłości on (lub ktoś, kto odkupi od niego te informacje) w jego imieniu bierze kredyt. To bardzo niefortunny „prezent” na start w dorosłe życie. Stosowaną przez oszustów popularną techniką, która niestety dobrze sprawdza się w przypadku danych dotyczących tożsamości najmłodszych, jest też tzw. syntetyczna kradzież tożsamości. Polega na łączeniu przez oszustów danych osobowych z kilku źródeł: niektórych prawdziwych, innych fałszywych. W ten sposób tworzona jest zupełnie nowa tożsamość, aby zapewnić oszustom czystą historię kredytową

Kamil Sadkowski,
ekspert ds. cyberbezpieczeństwa ESET

Jak wyłudzane są dane dzieci?

Niektórzy z cyberprzestępców atakujących dzieci nie zajmują się dopracowanymi mechanizmami tego typu oszustw. Ich celem jest po prostu wyłudzenie danych, a następnie sprzedaż danych na czarnym rynku tak, aby inni oszuści mogli je wykorzystać w kolejnych atakach. Jakie metody mogą stosować?

  • Phishing za pośrednictwem poczty elektronicznej, mediów społecznościowych, a nawet SMS-ów. Dzieci są namawiane do klikania fałszywych linków, co może spowodować zainstalowanie złośliwego oprogramowania kradnącego informacje. Bywają też bezpośrednio nakłaniane do przekazania swoich danych osobowych – np. pod pretekstem wzięcia udziału w nieistniejącym losowaniu nagród.
  • Naruszenia z winy firm trzecich. Statystyki pokazują, że w zeszłym roku dane osobowe około 1,7 miliona amerykańskich dzieci, czyli 1 na 43, zostały ujawnione nie z ich własnej winy.
  • Przejęcie konta: konta do gier, mediów społecznościowych, a nawet do nauki online mogą być cennymi źródłami informacji o tożsamości. Mogą zostać naruszone poprzez phishing, łamanie/odgadywanie haseł metodą brute-force i inne techniki.
  • Nadmierne udostępnianie informacji w mediach społecznościowych: Zarówno dzieci, jak i ich rodzice mogą być źródłem wycieku, jeśli udostępniają zbyt wiele danych osobowych za pośrednictwem kont społecznościowych. Nawet daty urodzenia i szczegóły wykształcenia mogą zostać wykorzystane w kolejnych oszustwach, mających na celu wyłudzenie większej ilości informacji.
  • Członkowie rodziny: Oszustwa przeprowadzane przez osoby z bliskiej rodziny są szokująco powszechne. Szacuje się, że w 67% gospodarstw domowych w USA, w których doszło do oszustwa związanego z tożsamością dziecka, ofiara osobiście znała sprawcę(-ów).
  • Kradzież fizyczna: nadal popularne są także „klasyczne” sposoby, takie jak kradzież dokumentów z kosza na śmieci lub nawet bezpośrednio ze skrzynki pocztowej.

Jak chronić tożsamość dziecka?

  • Unikaj nadmiernego udostępniania informacji o swoim dziecku w mediach społecznościowych. Najlepiej unikać praktyk określanych jako „sharenting”, chyba że Twoje konta są naprawdę dobrze zabezpieczone i dostępne tylko dla zaufanej grupy osób. Nawet w tym przypadku należy jednak zachować ostrożność i mieć na uwadze, że dane (w tym zdjęcia) udostępnione nawet niewielkiej grupie zaufanych ludzi w sieci, mogą wyciec i stać się ogólnodostępne.
  • Monitoruj nietypową aktywność na kontach dziecka.
  • Aktualizuj wszystkie urządzenia domowe oraz oprogramowanie antywirusowe.
  • Wyjaśnij swoim dzieciom niebezpieczeństwa związane z nadmiernym udostępnianiem treści w mediach społecznościowych, atakami typu phishing lub kradzieżą tożsamości.
  • Ogranicz liczbę kont/usług, w których rejestruje się Twoje dziecko. W razie wątpliwości wpisz własne dane kontaktowe, a nie dane dziecka.
  • Zwracaj uwagę na każdą nietypową korespondencję czy inne komunikaty, jakie drogą mailową, telefoniczną czy pocztą tradycyjną dostaje Twoje dziecko.
  • Przypominaj dziecku o maksymalnie ograniczonym zaufaniu do wirtualnych znajomych.

1 Źródło: https://javelinstrategy.com/press-release/17-million-us-children-fell-victim-data-breaches-according-javelins-2022-child

Grzegorz Klocek

Grzegorz Klocek
senior product manager ESET

Masz pytania?
Skontaktuj się ze mną:
klocek.g@dagma.pl
32 259 11 34