Kraja identitete se nam zdi nekaj kar se sicer dogaja, ne vemo pa komu se dejansko zgodi. Pravzaprav ne vemo niti točno kaj to je.
Kraja identitete je namerna uporaba osebnih podatkov druge osebe brez njegovega vedenja z namenom izvajanja prevar ali ustvarjanja finančnih koristi.
Problem kraje identitet predstavlja vedno večji globalni problem, število primerov raste iz leta v leto tako po številu primerov, kot po številu držav v katerih se primeri pojavljajo. Kljub temu, da je letno oškodovano več milijonov oseb, problema še vedno ne jemljemo resno oziroma si še vedno zatiskamo oči, češ, da so kraje identitet problem nekoga drugega. Globalno je bilo v 2017 število žrtev kraje identitete 16,7 milijonov, kar je nekaj več kot milijon več kot 2016. Samo za področje Amerike se statistika strmo veča, z 444.344 primeri v 2018, 650.523 v 2019 in kar 1.387.615 v 2020. Večina žrtev se kraje identitete zave šele 3 mesece po izvedbi kraje, približno 16% pa se jih tega ne zave nekaj let (več kot 3 leta).
Metode, ki se uporabljajo
Osnovna metoda za krajo identitete je fizičen dostop do podatkov, ki omogočajo pridobivanje osebnih in občutljivih podatkov o posamezniku. Najbolj pogosta metoda je tako imenovan »dumpster-diving«, ki ne predstavlja nič drugega kot iskanje po smeteh in odpadkih, ki jih zavržemo. Seveda se med smetni majde tudi veliko koristnih podaktov, kot so na primer bančni izpiski, elektronske naprave, kot so stari računalniki, prenosniki, mobilni telefoni ali pa podatkovni mediji, s katerih morebiti ni bila izvedna ustrezna odstranitev podatkov.
Nekoliko neprednejša metoda za krajo identitete je uporaba tako imenovanega socialnega inženiringa, ko se napadalec bolj osebno predstavi svoji žrtvi – napadalec se predstavlja kot nekdo drug, kot oseba, v katero žrtev zaupa in ne dvomi. Pogosta metoda pri takšnem napadu je phishing, kjer se napadalec pretvarja da je zaupanja vredna oseba ali organizacija in od žrtve zahteva varnostno občutljive podatke (kot so na primer prijavni podatki).
Tretja metoda izvedbe kraje identitete zahteva nekoliko več strokovnega znanja, saj se za pridobivanje prijavnih podatkov uporablja škodljiva programska oprema ali drugačna oblika varnostnega incidenta. Pri tej metodi, se napadalci pogosteje osredotočijo na večje organizacije, kjer želijo pridobiti informacije od več zaposlenih ali pa od več poslovnih partnerjev. Tako pridobljeni podatki se navadno prodajo na nezakonitih spletnih straneh ali pa so predmet predhodno naročenega napada.
Glede na predstavljene možnosti, ki jih imajo in uporabljajo napadalci, se pojavlja vprašanje ali sploh lahko kaj naredimo, da se zaščitimo pred tovrstnimi napadi. Seveda. Tukaj pride v ospredje egoizem – narediti moramo pravzaprav le malo več, kot naredi na primer naš sosed – večina primerov ti napadi niso konkretno ampak splošno usmerjeni – potrebna je žrtev, ni pa povsem pomembno kdo konkretno ta žrtev tudi je.
Ukrepi za zniževanje tveganja kraje identitete
- Vse papirne dokumente, ki vsebujejo osebne ali občutljive podatke (na primer prijavne podatke) je potrebno pred tem da se jih odvrže v smeti razrezati v razrezovalniku dokumentov,
- vse podatkovne medije (trdi disk, zunanji disk, USB ključek, SD kartica,..) je potrebno pred odstranitvijo ustrezno pobrisati ali uničiti. Večinoma je za to potrebna namenska programska oprema, ponekod je primerno tudi fizično poškodovanje medija,
- osebnih ali občutljivih podatkov nikoli ne pošiljaj preko elektronske pošte, če pa ne gre drugače jih ne pošiljaj v enostavni ali berljivi obliki. Večina organizacij, ki ima skrben in odgovoren odnos do osebnih in občutljivih podatkov niti ne zahteva da se takšni podatki posredujejo v takšni obliki,
- če prejmete elektronski klic, v katerem želi sogovornik razkritja osebnih ali občutljivih podatkov, se opravičite in povejte, da boste klic vrnili. Klic vrnite na splošno številko organizacije in potem zahtevajte, da vas preko centrale zvežejo do ciljne osebe (oseba, ki se je predstavila, da je ravnokar klicala),
- izogibajte se uporabi javno dostopnih nezaščitenih brezžičnih omrežij, saj so ta lahko in enako dostopna tebi, kot tudi napadalcem. Kot že omenjeno – tudi tvoji prijavni podatki do omrežij imajo določeno ceno,
- redno pregleduj bančne izpiske in izpiske prometa plačilnih kartic, da ugotoviš odstopanja od dejanske porabe in tiste, ki se je spomniš. Ker se je uporaba negotovinskega poslovanja v COVID19 času zelo povečala, je takšno spremljanje še posebej pomembno.
Zdaj veš in boš bolj previden, mar ne? Prijetno delo še naprej
