Ten artykuł czytasz w ramach bezpłatnego limitu
W sobotnią noc Kelly Kerkenbush pochwaliła się zdjęciem nowej karty kredytowej na Twitterze. W niedzielne popołudnie miała już na niej o 1,5 tys. dol. mniej. Gdyby beztroska nastolatka wrzuciła do sieci tylko zdjęcie awersu swej karty, może uniknęłaby kłopotów.

W większości transakcji internetowych, aby zapłacić kartą, należy podać jej numer, datę ważności, imię i nazwisko właściciela (te informacje są widoczne na awersie karty) oraz trzycyfrowy kod CVC2/CVV2 służący do weryfikacji transakcji, a znajdujący się na rewersie. Zdjęcia rewersu Kelly nie wrzuciła. Postanowiła jednak pochwalić się tym, że ów kod jest identyczny z jej datą urodzenia. A urodziła się 27 maja. Ustalenie tego w sieci trwało moment.

Clarksona też okradli

To klasyka gatunku. Internauci - ciśnie się na usta słowo "złodzieje" - którzy szybko zaczęli korzystać z karty Kelly, czają się wszędzie. Na Twitterze istnieje nawet konto podające dalej posty ze zdjęciami kart, które wrzucają sami użytkownicy. Obserwuje je kilkanaście tysięcy osób chętnych, by skorzystać z cudzych pieniędzy i lekkomyślności.

Gdy złodziej - nazwijmy go tradycyjnym - wejdzie do naszego domu, szybko się zorientujemy. Drzwi będą miały zniszczone zamki, szuflady będą powysuwane, a z szafek znikną kosztowności. Rabuś w sieci jest bardziej wyrafinowany. Kradnie naszą prywatność, ale rzadko zostawia ślady.

Nie zostawił ich na przykład złodziej, który w 2008 r. naciągnął Jeremy'ego Clarksona, popularnego prowadzącego motoryzacyjny program "Top Gear". Dziennikarz sam był sobie winien. W felietonie na łamach tabloidu "The Sun" wyśmiał aferę związaną z kradzieżą danych osobowych 25 mln Brytyjczyków, które zaginęły w jednej z rządowych brytyjskich instytucji.

Clarkson stwierdził, że nikomu nie będą one przydatne, a na dowód tego... podał dane swego rachunku bankowego, przekonany, że nic się nie stanie.

Następnego dnia ktoś ustawił stałe zlecenie przelewu 500 funtów z jego konta na konto organizacji charytatywnej Diabetes UK.

Masz pytania związane z tym tematem? Napisz do nas: ekipasamcika@wyborcza.biz



"A imię jego czterdzieści i cztery"

"Po co komu moje dane?" - myśli przeciętny internauta, tłumacząc sobie, że on, szaraczek pośród milionów, nie jest łakomym kąskiem dla sieciowych przestępców i firm zbierających dane. Nic bardziej mylnego. Kolekcjonerzy danych czyhają na każdą informację.

Dane osobowe to wszystko, co pozwala - bezpośrednio lub bez nadmiernych kosztów i czasu - zidentyfikować konkretną osobę: imię, nazwisko, adres, numery identyfikacyjne (np. PESEL, nr dowodu osobistego) czy zdjęcie z utrwalonym na nim wizerunkiem. Są nimi również numer telefonu, IP i adres mailowy z nazwiskiem w nazwie.

Istnieją jeszcze tzw. dane osobowe wrażliwe, czyli DNA, informacje o stanie zdrowia, poglądach politycznych czy orientacji seksualnej (zresztą w 2012 r. w sieci wyciekły dane - imię i nazwisko, adres, miasto, data urodzenia, adres IP - prawie 40 tys. osób z popularnej wśród homoseksualistów strony Gay.pl).

Adam Mickiewicz był dużo bardziej czujny niż współcześni internauci. Zaszyfrowanej przez niego w "Dziadach" informacji o imieniu zbawcy Polski - "a imię jego czterdzieści i cztery" - (a więc danych osobowych!) do dziś nie udało się odgadnąć najtęższym umysłom polonistycznym. My większość tych danych podajemy na co dzień w internecie. Czasem w pełni świadomie, z nadzieją, że nic złego się nie stanie i nikt nie ma złych intencji. Czasem mniej świadomie, nie przeczytawszy drobnych druczków, regulaminów itp. A czasem zupełnie nieświadomie padamy ofiarą cyberprzestępców.

"Za darmo" umarło

Przy zakładaniu konta mailowego zawsze trzeba odhaczyć kilka zgód - na przetwarzanie danych, na ich gromadzenie, czasem także na przekazywanie ich innym podmiotom. Możemy się nie zgodzić, ale wtedy nie będziemy mieli darmowej skrzynki. Zwykle więc odhaczamy wszystko, nie czytając, na co się zgadzamy. Portal daje nam skrzynkę mailową i miejsce na serwerze, my oddajemy swoje dane. I zaczynamy być towarem.

Handel ludźmi to nie przeżytek sprzed stuleci. W XXI wieku nadal istnieje, tylko w cyfrowej formie.

Przy zakładaniu konta mailowego zaznaczamy, jakie mamy zainteresowania. Dzięki temu portal będzie mógł nam przesyłać konkretne oferty reklamowe. Zaznaczymy sport - dostaniemy zaproszenia do odwiedzenia nowego e-sklepu z obuwiem do biegania. Zaznaczymy muzykę - na skrzynkę przyjdzie mail z linkiem do serwisu sprzedającego bilety na koncerty.

Teraz rejestrujemy się na Facebooku, podając założony przed chwilą adres mailowy. Społecznościowy gigant ma więc już nie tylko naszego maila, ale też prawdziwe imię i nazwisko. Facebook wymaga tego, tłumacząc się względami bezpieczeństwa. Za chwilę - gdy zaczniemy lajkować kolejne fanpage's - będzie wiedział, czym się interesujemy. Za kilka chwil zdobędzie informacje o tym, jakich mamy znajomych.

To nie koniec - na Facebooku istnieją setki tysięcy rozmaitych aplikacji: do głosowania w konkursach, do oglądania filmików z kotami czy do gry w farmera. Żądają one dostępu do naszych danych, zanim będziemy mogli z nich skorzystać. Musimy udostępnić swoją listę kontaktów, adres mailowy, imię i nazwisko.

W zeszłym roku popularna była aplikacja, która pokazywała, z kim ze swych przyjaciół na Facebooku rozmawiamy najczęściej i ile wiadomości już wymieniliśmy. Można się było potem pochwalić i opublikować posta o tym, że "z Maćkiem wymieniłem już 3642 wiadomości", i dodać w poście tag "#friends_forever".

Mało kto zwracał uwagę, że aplikacja ta za policzenie naszych wiadomości rościła sobie prawo także do ich... przeczytania i zarchiwizowania. To samo tyczy się aplikacji mobilnych - te z kolei często żądają dostępu do kontaktów telefonicznych, zdjęć czy SMS-ów. Często wiedzą też, gdzie w danym momencie się znajdujemy.

Jak mówi Piotr Konieczny, szef zespołu bezpieczeństwa w serwisie Niebezpiecznik.pl, tego typu dane - gromadzone za naszą zgodą przez Facebooka, aplikacje czy firmy przy okazji podpisywania różnorakich umów - coraz rzadziej są obecnie przedmiotem handlu pomiędzy poszczególnymi przedsiębiorstwami z danej branży: - Danych osobowych na rynku jest za dużo. Firmy, które pozyskują dane zainteresowanych ich usługą użytkowników, mogą raczej samodzielnie wykorzystać je do ulepszenia swojego biznesu. Wtedy zarobią znacznie więcej niż przez odsprzedaż.

"Sprzedam trochę yuppies"

Jeśli jesteś dobrze wykształconym Polakiem w średnim wieku, masz własne mieszkanie, oszczędzasz na rachunkach za wodę i prąd oraz cenisz sobie wygodę, to z dużym prawdopodobieństwem mogę napisać, że masz zmywarkę do naczyń. Prawda? Jeśli zaś tylko wynajmujesz mieszkanie, to szanse na to, że masz taki sprzęt, są typowane na 10:1. Taką wiedzę ma Acxiom, światowy hurtownik danych, który działa także w Polsce. Obecnie ma informacje o 3 mln polskich konsumentów i właśnie na tej podstawie wysnuł wnioski dotyczące zmywarki.

Istnienie i potęga Acxioma oraz wielu podobnych mu firm opiera się na zbieraniu danych i oferowaniu ich firmom sprzedającym towary i usługi. Acxiom w swej ofercie ma różne grupy profilowane klientów. Jeśli sprzedajesz dobra luksusowe, to Acxiom podsunie ci bazę osób o nazwie "Yuppies". Jeśli zaś szukasz klientów na odzież dla dzieci czy zabawki, to możesz zamówić bazę z danymi rodzin z dziećmi w wieku szkolnym. Hurtownicy tacy jak Acxiom nie kradną danych - przeciwnie, proszą o wypełnianie ankiet internetowych na temat upodobań lub wręcz dzwonią do poszczególnych osób i w wywiadzie telefonicznym uzupełniają informacje na ich temat.

Potem do takiego hurtownika zgłasza się sprzedawca i dostaje kilka rodzajów ofert. Hurtownik nie sprzedaje bazy danych, lecz w imieniu sprzedawcy wysyła do określonej grupy maile reklamowe, popularnie zwane spamem.

Hurtownicy zwykle mają kilka rodzajów ofert. Mailing tradycyjny to wysłanie tysięcy wiadomości do grupy opisanej przez zamawiającego usługę - np. sprzedawca odzieży zamówi mailing do osób w wieku 25-49 lat z miast powyżej 200 tys. mieszkańców. Jeśli jednak chce być skuteczniejszy, może skorzystać z oferty mailingu behawioralnego - w takiej bazie znajdują się osoby, które często korzystają z ofert sklepów odzieżowych, interesują się modą, odwiedzają branżowe serwisy. Skąd hurtownik wie, że Jan Kowalski jest fanem Gucciego? Dzięki śledzeniu go w sieci - np. przez pliki cookies, które zapisują odwiedzane przez niego strony w sieci.

Taki system współpracy między hurtownikiem a sprzedawcą można by nazwać wynajmem baz danych. Do sprzedaży baz hurtownicy się nie przyznają - to jest w Polsce prawnie zabronione. Właściciel danych osobowych musi być poinformowany, jeśli jego dane mają być sprzedane przez jedną firmę innej.

"Ktoś zamówił mi wibrator!"

Poza oddawaniem danych portalom i przekazywaniem ich zajmującym się tym firmom informacje o nas mogą także paść łupem złodziei. W lipcu zeszłego roku wykradli bazę klientów firmy cateringowej FitAndEat.pl. Była ona pełna danych o klientach firmy, w tym o celebrytach: numery telefonów, adresy, historie chorób, kody do apartamentowców takich gwiazd, jak Borys Szyc, Ewa Farna, Dariusz Michalczewski czy Maciej Stuhr.

Ofiarami kradzieży padają też pojedyncze osoby, tak jak w przypadku opisywanej na początku Kelly Kerkenbush. Swego czasu branżowy serwis Niebezpiecznik.pl zaledwie przez kilkanaście minut grzebał na publicznych kontach Polaków w portalu Instagram, by znaleźć kilkadziesiąt zdjęć praw jazdy, dowodów osobistych, kart bankowych czy paszportów. Tylko w dwóch przypadkach internauta, który wrzucił zdjęcia dokumentów, zasłonił na nich swoje dane. Reszta pokazywała ich całą paletę - od nazwiska, przez numer dokumentu, datę urodzenia, adres zamieszkania, PESEL, po imiona rodziców (np. na mandacie od policji). To raj dla oszustów. Z takimi danymi mogą zaciągać szybkie pożyczki przez internet, zakładać konta w różnych serwisach i na cudze nazwisko prowadzić rachunki bankowe.

Sieciowy ekshibicjonizm wykorzystują też windykatorzy. Jeśli próbują ściągnąć dług od osoby, która twierdzi, że nie ma żadnego majątku, odwiedzają jej profil na portalach społecznościowych. Tam rzeczywisty majątek często wychodzi na jaw. Dłużnik jeździ na wakacje do ciepłych krajów? Na zdjęciach w jego mieszkaniu widać najnowszy sprzęt elektroniczny i drogie obrazy?

Na pewno więc nie ma problemu z pieniędzmi, wystarczy go tylko lepiej przycisnąć.

Czasem nie potrzeba całego zestawu danych - wystarczy sam adres mailowy. Niebezpieczna, choć na szczęście bez przykrych konsekwencji historia spotkała Karola, 32-letniego muzyka z Kielc. Pewnego dnia dostał maila z banku z informacją o zablokowanym dostępie do jego konta. W wiadomości były też instrukcje: Karol ma się zalogować swoim loginem i hasłem przez podany w wiadomości link, wypełnić kilka rubryk i odblokować dostęp. Gdy mężczyzna to zrobił, okazało się, że mail nie był wcale od banku, lecz od oszusta. Prowadził na fałszywą stronę wyglądającą identycznie jak ta bankowa. Oszust miał już hasło i login, więc mógł się zalogować na jego prawdziwe konto bankowe. Nie zdążył jednak wyłudzić kodów jednorazowych pozwalających dokonywać przelewów pieniężnych. Karol najadł się zatem tylko strachu i szybko zmienił wszystkie hasła.

Jak do tego doszło? Kilka dni wcześniej pracownica banku, w którym konto ma Karol, wysłała maila do kilkuset adresatów. Ich adresy, zamiast ukryć, wkleiła w widocznej dla wszystkich rubryce. Ta drobna pomyłka spowodowała, że oszust miał nie tylko adresy mailowe (czyli dane osobowe) odbiorców, ale również stuprocentową pewność, że mają oni konta akurat w tym banku. Mógł więc spreparować stronę bankową i próbować wyłudzać pieniądze, tak jak od Karola.

W ciągu kilku godzin za pieniądze Kelly Kerkenbush ktoś kupił sobie konsolę Xbox. Nie brakowało też żartownisiów. "O Boże! Ktoś zamówił wibrator na moje nazwisko i adres mojego domu rodzinnego!" - napisała na Twitterze przestraszona nastolatka. f

Jak oszust zaciągnął kredyt, podszywając się pod Katarzynę


Kliknij w zdjęcie, aby zobaczyć powiększenie

Ile kosztują dane?

65 groszy tyle kosztuje jeden numer telefonu w firmie handlującej danymi osobowymi, u której klient zamawia wykonanie telefonów reklamowych do 5-10 tys. osób

55 groszy tyle kosztuje jeden adres pocztowy w tej samej firmie, jeśli klient zamawia pocztową wysyłkę ulotek do 5-10 tys. osób

30 zł tyle w firmie handlującej danymi osobowymi kosztuje wysyłka e-maili reklamowych do tysiąca odbiorców

Po zimowej przerwie wracamy do akcji "Po stronie klienta". W zeszłorocznej odsłonie walczyliśmy z telefonicznymi naciągaczami, sprzedawcami garnków na pokazach i domokrążnymi oszustami. W ciągu najbliższych dwóch miesięcy przyjrzymy się wyłudzaniu i sprzedawaniu naszych danych osobowych. Pozornie jest to mniej groźny proceder niż wyjmowanie nam z kieszeni żywej gotówki, ale tak naprawdę jest równie niebezpieczny. Dzięki skradzionym nam danym ktoś może np. wyłudzić na nasze konto kredyty.

Więcej tekstów czytaj na wyborcza.biz/klient






"Internet. Czas się bać?" O zagrożeniach w sieci przeczytaj w książce Wojciecha Orlińskiego >>

Artykuł otwarty w ramach bezpłatnego limitu

Wypróbuj prenumeratę cyfrową Wyborczej

Nieograniczony dostęp do serwisów informacyjnych, biznesowych,
lokalnych i wszystkich magazynów Wyborczej.