Ukradli mě!

Dávno tomu, co lidé pocítili potřebu prokazovat svoji identitu. A ruku v ruce s tím chtěli prokazovat svoji identitu i v okamžiku, kdy nebyli fyzicky přítomní. Od různých pečetí či jiných artefaktů jsme postupem času dospěli až k elektronické komunikaci. S ní ale přichází v míře nevídané její zneužívání.r



Napadá nás celkem logická otázka: proč? Proč zažíváme obrovský rozmach falšování elektronických identit, který nemá v historii nebo v jiném oboru obdoby? Odpovědí je několik, ale na prvním místě jde rozhodně o jednoduchost. Jen pro srovnání: vytvoření a rozeslání tisícovky ručně psaných a poštovními známkami frankovaných dopisů je rozhodně úplně jiný úkon (i finanční zátěž), než rozeslání jednoho tisíce elektronických zpráv.

Zcizení identity (identity theft) může přitom mít různou podobu a různé následky, jsou ale vždy nepříjemné nebo až extrémně nepříjemné. Stejně tak příčiny odcizení identity mohou být různé. Faktem nicméně je, že třeba v USA (kde je tato problematika na rozdíl od jiných zemí velmi pečlivě sledovaná) se jedná o neuvěřitelně rychle rostoucí oblast kriminality s meziročním počtem nárůstu případů o patnáct procent! Vzhledem k tomu, že procenta nemusí nic vyjadřovat o skutečném rozměru dotyčného problému, pak vězte, že právě v USA bylo loni zaznamenáno 9,3 miliónů případů odcizené identity! Obětí se tak stal skoro každý dvacátý Američan…

Oč v případě zcizení identity jde? V zásadě o to, že se někdo vydává za někoho jiného než ve skutečnosti je, přičemž jeho nová identita má reálně existující základ (že jde o úkon bez vědomí této reálné osoby, jistě netřeba zdůrazňovat). Jinými slovy: pokud na internetovém chatu budu vystupovat pod přezdívkou, vytvořil jsem identitu novou. Pokud budu vystupovat pod jménem neexistující osoby, tak jsem opět identitu jen vytvořil, ale neodcizil. Pokud se ale budu vydávat za skutečně existujícího člověka (s jakýmkoliv úmyslem: zvýšit svoji důvěryhodnost, poškodit někoho apod.), event. toto tvrzení dokládat skutečnými údaji (nicméně se vztahem k této osobě a nikoliv k uživateli těchto informací), pak už jde o zcizení identity.

Zcizení či zneužití identity přitom máme nejčastěji spojené se ztrátou nebo odcizením osobních identifikačních dokladů (občanský průkaz, pas, řidičský průkaz, rodný list apod.). To je sice správná představa a zahrnuje tu nejnebezpečnější oblast odcizení identity, ale v žádném případě není úplná. Nebezpečí s odcizením identity na nás totiž číhá prakticky na každém kroku. Naše identita totiž není spojena pouze s doklady, na jejichž základě vznikla. V mnoha případech je tato identita prezentována jinými – zástupnými – objekty, a to třeba z důvodů právních, technických, organizačních apod.

Tato krkolomná slova si můžeme vysvětlit na několika příkladech. Když využíváte služeb internetového bankovnictví, neidentifikujete sebe a svůj účet pomocí občanského průkazu nebo pasu, ale pomocí přihlašovacího jména a hesla (resp. jiného mechanismu). Ty vám ale byly přiděleny na základě prokázání vaší identity. Stejně tak do videopůjčovny nebo knihovny chodíme na základě příslušného průkazu, který byl vystaven při jednorázovém prvotním prokázání identity. V hotelu také předkládáte pas pouze při přihlášení k pobytu, později už nikoliv. A takto bychom mohli pokračovat.

Cílem předchozích řádků bylo připomenout, že je mnoho objektů, které slouží v různých situacích k prokázání naší identity a že jejich zneužití nemusí být vůbec složité, protože je nestřežíme tak, jak bychom měli. Zkrátka si jejich důležitost neuvědomujeme.

Situace v kybernetickém světě je přitom ještě horší než ve světě reálném. Důvodů je několik. Jednak díky internetu neexistují hranice, prakticky každý může komunikovat s každým – a právě absence geografických hranic a právní vakuum nahrává mnoha nekalým činnostem. Dalším důvodem je nesmírně jednoduché kopírování elektronických dat – je rychlé a především není možné rozpoznat kopii (první nebo tisící) od originálu. Uživatelé si totiž neuvědomují, co všechno jim vůbec může způsobit potíže, takže se bohužel nechrání.

Abychom věděli, co nás ohrožuje, na co si dát pozor a jak se chránit, zkusme se na celou věc podívat z opačné strany: očima útočníka, který má zájem vaši identitu zneužít. (Ve skutečnosti má zpravidla zájem zneužít identitu kohokoliv, a proto připadá v úvahu i ta vaše.) Jak bude postupovat a co bude potřebovat?

Záleží na typu útoku. Nejčastěji jsou útoky vedené proti kreditním kartám, protože od nich je k finančním transakcím nejblíže. Útoky přímo na bankovní účty už jsou méně časté, protože finanční instituce se snaží chránit (například autentizačními kalkulátory či autorizačními SMS kódy), přičemž získání takové identity znamená dostat se nejen k dotyčným informacím, ale také k dotyčnému hardwaru.

V případě potřeby získat čísla a další identifikační údaje vztahující se ke kreditním kartám (expirace apod.) se nejčastěji používá sociální inženýrství. Krásným příkladem může být e-mailový červ Mimail. Jeho verze „I“ používala jako předmět zprávy „YOUR PAYPAL.COM ACCOUNT EXPIRES“ a přiložený soubor nesl název www.paypal.com.scr. Mimail.J měl zase poněkud strohý předmět „IMPORTANT“ a přiložený soubor www.paypal.com.pif. V textu zprávy je vložena e-mailová adresa příjemce, což může u některých uživatelů vzbudit zdání důvěryhodnosti.

Pokud příjemce červa z přiloženého souboru spustí, zobrazí se mu nejprve falešný webový formulář, který imituje grafický styl platebního systému PayPal. Tímto formulářem se červ snaží uživatele přinutit ke vložení údajů o jeho kreditní kartě. Ty jsou zaznamenány do souboru c:ppinfo.sys, který je později odesílán e-mailem na určité adresy. Jinými slovy poměrně jednoduchou technikou (falšované adresy, napodobená grafika a sociální inženýrství) jsou z nicnetušících uživatelů získávána citlivá data k jejich účtům v platebním systému PayPal.

Další možností získání citlivých dat je zaslání e-mailu „zrušení objednávky“. Představte si, že vám přijde e-mailem zpráva, že jste si v internetovém obchodě eObchod objednali to a to zboží v té a té ceně. Obchodní server ale potkal výpadek, takže si není jistý správností našich dat a nabízí vám možnost na alternativní adrese objednávku zrušit. Pokud ale objednávku nezrušíte do určeného času, bude příslušná částka stržena z bankovního účtu a zboží zasláno poštou.

Vyděsíte se. Nic jste si neobjednávali – a za to byste měli platit? Navíc je zde časový limit, takže je nutné jednat rychle. Alternativní web? Jaképak podezření, „spadlé“ počítače jsou běžnou součástí kybernetického prostoru. Tak honem zadat požadované informace, hlavně abychom se vešli do časového limitu (který zpravidla není nijak velkorysý). Sláva, stihli jsme to a zachránili své drahocenné finanční prostředky.

Anebo to bylo úplně jinak?

Vžijte se nyní do role útočníka, který potřebuje získat třeba jakékoliv přihlašovací jméno a heslo pro přístup do internetového obchodu eObchod. Získat e-mailové adresy (některých) zákazníků není tak složité, jak by se na první pohled mohlo zdát. Většina webových obchodů má u svých produktů i diskusní fóra, kde mohou zákazníci vyjádřit své názory. Vytvořit e-mail s falešnou adresou odesílatele (třeba info@[jméno_firmy].com) také není žádný problém. Vytvořit webovou stránku s rozhraním, které se tváří jako přihlašovací formulář, jistě není na maturitu z programování, stejně jako její umístění na nějaký veřejně přístupný server.

Hotovo. Stačí jen odeslat e-maily a následně si z databáze vybírat přihlašovací jména i hesla, na jejichž kontu hodlám v eObchodě nakupovat a zboží si nechávat posílat na nějakou nastrčenou adresu (P.O.Box). Jakmile mám k dispozici heslo, mohu zpravidla změnit adresu odběratele i komunikační e-mail – ale byl bych blázen, kdybych fakturační údaje měnil.

Dalším nebezpečným zdrojem informací, které mohou posloužit ke zcizení identity, jsou pevné disky počítačů. Tedy pevné disky v počítačích, které dáváme do opravy nebo které vyřazujeme (lhostejno zda do bazaru nebo je darujeme nebo je odstavíme nějak jinak). Musíme si totiž uvědomit, že je nesmírně jednoduché obnovit soubory, které jsme pokládali za smazané. Jak je něco podobného možné? Stačí se jen podívat na způsob, jak operační systémy na bázi Windows vybrané soubory „mažou“. Soubor totiž není fyzicky zlikvidován, ale operační systém pouze upraví hlavičku FAT nebo NTFS. Zde označí místo, kde byl původně umístěný příslušný soubor, jako prázdné. Jinými slovy: (smazaný) soubor dále fyzicky EXISTUJE na disku, jen na něj neexistuje odkaz. Z toho plyne poměrně jednoduchá zákonitost: dojde-li k obnovení příslušného odkazu, dojde zároveň k obnovení „smazaného“ souboru. Na disku zůstává až do víceméně náhodného přepsání jinými daty. (Návod na obnovení smazaných souborů naleznete např. na http://technet.idnes.cz/noconv/sw/sw_utility/restoration_030320.)

Jak to ale zajistit, aby byl soubor odstraněný bez možnosti obnovení? Prostě je nutné ho přepsat (nejlépe několikanásobně) jinými daty. Při běžném provozu počítače se zapisování na volná místa disku děje z hlediska pohledu uživatele náhodně a neexistuje zde možnost, jak ho ovlivnit. Proto musí při provádění bezpečného mazání dat nastoupit specia-
lizovaný software – nebo se data na disku (včetně tzv. prázdného místa) pokuste přepsat nějakými jinými daty. Upozorňujeme ale, že tyto „pokusy na koleně“ nemusí vždy znamenat dosažení kýženého výsledku…

Studenti z Massachusetts Institute of Technology (MIT) provedli zajímavý pokus. Z různých zdrojů získali 158 pevných disků – z bazarů, z hromadných výprodejů velkých firem, darem apod. A na tyto disky se podívali z hlediska hackera, který má zájem o smazaná data. Zjistili, že 28 disků obsahuje přímo nesmazaná data! Šedesát procent testovaných disků bylo sice zformátováno, ale ani ne deset procent z celkového počtu bylo opravdu bez dat. Ze zbývajících devadesáti se data získat dala – ve větší či menší míře.

Co vlastně mezi smazanými daty na disku může být? Než vymýšlet hrůzostrašné příběhy, zůstaňme ještě na chvíli u dat získaných v průběhu výše uvedeného výzkumu MIT. Na discích byla nalezena spousta citlivých informací: přístupová hesla k nejrůznějším aplikacím (odložili si je sem uživatelé či systém), spousta pornografie (mj. soubory z navštívených webových stránek), dále lékařské zprávy, osobní a firemní údaje, tisíce e-mailů… Kardinální úlovek představoval pevný disk, který původně sloužil v bankomatu a který obsahoval soubor s kompletním výpisem výběrů (časy, data, čísla karet, částky…) za poslední rok.

Princip zcizení identity v kybernetickém prostoru je přitom většinou stejný nebo velmi podobný – jde zkrátka o to vylákat pod jakoukoliv záminkou z uživatelů potřebné informace, které se vztahují jen a výhradně k jejich identitě. A ty následně použít.

Odcizení identity se nejčastěji používá právě k výše uvedeným účelům: získání přístupu ke kreditním kartám nebo k nákupům zboží či služeb. Tady dochází „jen“ k ekonomické škodě (byť z pohledu jednotlivce rozhodně ne nezanedbatelné). Mnohem horší jsou ale případy, kdy dojde k odcizení identity pro jiné účely: třeba pro páchání kriminální činnosti. Nebo pro legalizaci této kriminální činnosti (zpravidla pro legalizaci pobytu zahraničních uprchlíků v nejrůznějších profesích).

Zatím jsme se bavili jen o elektronických možnostech zcizení informací. Ale zde se objevuje ještě jedno velmi nebezpečné místo, které si málokdo chrání – mnoho důležitých informací je totiž vytištěno nebo napsáno na papíře. Ostatně mnoho hackerů, chce-li provést cílený útok, začíná svůj průzkum velmi neromanticky – v popelnicích. Možná to zní zvláštně, ale tzv. trashing opravdu přináší ovoce. Do košů totiž putují špatně vytištěné stránky, které mohou obsahovat citlivé informace (třeba cestu k adresáři, z nichž byly vytištěny). Dále pak různé poznámkové papírky a spousta dalších „bezcenností“ – z nichž ovšem lze v konečném důsledku poskládat nesmírně cennou mozaiku.

Zkuste se někdy porozhlédnout v bance u stolků vyčleněných pro vyplňování platebních příkazů. Uspěchaní manažeři zde často nechávají ležet napůl vyplněné formuláře, které se jim nepovedly – nebo když v samopropisovacích blocích vytvořili o jednu kopii navíc. Ani se nenamáhají tyto drahocennosti alespoň zmačkat a hodit do koše. Případnému útočníkovi pak stačí jen přijít a na víceméně předvyplněný formulář s podpisem dopsat číslo nějakého bankovního účtu. Svého nebo kohokoliv jiného, na tom už nesejde…

Co tedy udělat, abyste se nestali obětí zcizení identity? Na následujících řádcích přinášíme několik tipů a rad, jak se (ne)chovat, aby se vám tyto problémy vyhnuly velkým obloukem.

Nesmějí po vás zůstávat žádné dokumenty s osobními údaji nebo podpisovými vzory. Každý takový papír (starý výpis z banky, poznámkový papírek, špatně vyplněný formulář apod.) skartujte nebo spalte.

Pravidelně kontrolujte svůj bankovní účet, letmý pohled na výpis jednou měsíčně nestačí. Čím dříve na případný problém přijdete, tím nižší škodu utrpíte a tím méně času budete
potřebovat k jeho likvidaci.

Nebuďte líní nebo pohodlní ověřovat si některé důležité skutečnosti – třeba požadavky v příchozích e-mailech nebo v telefonátech. Podvodník se zpravidla prozradí tím, že odmítá dát zpáteční kontakt – buď by se musel prozradit, nebo byste na skutečném kontaktu zjistili, že jde o podvodníka. („Na tento e-mail neodpovídejte, byl vytvořený automatickým systémem.“; „Ne, ne, číslo na sebe vám nemusím dávat – rád vám zavolám později.“)

Nesdělujte žádné osobní informace (nebo citlivé údaje) ani po telefonu, ani e-mailem, ani do formulářů na internetu. A to pod žádnou záminkou nebo kvůli sebelákavěji vypadající nabídce.

Sdělujte pouze nezbytně nutné informace. K čemu je v nějakém formuláři číslo bankovního účtu nebo kreditní karty, když jde jen o statistický průzkum a žádnou transakci se nechystáme udělat?

Používejte kvalitní (tzv. silná) hesla, která je obtížné uhodnout/prolomit. Taková hesla jsou dostatečně dlouhá, nemají žádnou spojitost s vaší osobou apod.

Nepředávejte si citlivé informace e-mailem nebo jiným nejistým způsobem. Nekontrolujte stav svého bankovního konta z veřejné internetové kavárny, nepište heslo na podložku od myši či klávesnici zespodu apod.

Pozor na nabídky „zdarma“! Když je něco zdarma, tak proč máte platit manipulační poplatek nebo daň? Jak jste mohli vyhrát v nějaké báječné miliónové loterii, když jste si nekoupili los nebo nevsadili?

Poslední doporučení zní: připravte se na možnost zcizení identity! Ne vždy za ni totiž můžete vy, v nadpoloviční většině případů jde o incident, který se odehraje bez vašeho přičinění (únik dat u zaměstnavatele apod.). Veďte si pečlivé záznamy, počítejte s možností potřeby vytvoření rezervního bankovního konta (nebo už ho raději vytvořte – dostanete-li se na seznam neplatičů, asi už žádnou banku k jeho zřízení nepřesvědčíte), nežijte „od výplaty k výplatě“.

Zcizení identity je velmi nepříjemné, a to z mnoha důvodů. Prokazování viny či neviny totiž vůbec není jednoduché – profesionální zločinec za sebou zpravidla zanechává jen jedinou „stopu“. Vaše osobní údaje. Navíc se už do budoucna s vámi potáhne „škraloup“ osoby, s níž byly problémy. A také je nutné podotknout, že banky zpravidla (a bohužel logicky) nevrací finanční prostředky, které byly zneužity. Nestalo se tak totiž jejich vinou. 05s0005/jp o


příběh 1

V roce 1998 zadržela policie v Rock City ve Wisconsinu překupníka drog, který se prokázal doklady na jméno Malcolm Byrd. Dokumenty byly kradené a pro skutečného Malcolma Byrda je od této doby život skutečnou noční můrou. Překupník byl záhy propuštěn na kauci a k soudu se samozřejmě nedostavil. Policie si pak přišla pro nic netušícího Byrda domů a dva dny jej držela ve vazbě. Přestože opakovaně prokázal pomocí otisků prstů a dalších důkazů, že s inkriminovaným překupníkem drog nemá nic společného, není mu to příliš platné. Policie jej o několik let později znovu zadržela, když chtěl prodloužit platnost svého řidičského průkazu – s tím, že jde o hledanou osobu. Několikrát jeho spořádanou domácnost navštívily sociální pracovnice – „překupníka drog“ vychovávajícího děti je přece nutné pečlivě kontrolovat. A takto bychom mohli pokračovat…


příběh 2

John Watson z městečka Santa Clara v Kalifornii dostal e-mail, který na první pohled po obsahové i grafické stránce vypadal, jako by byl odeslaný od správců platebního systému PayPal. Watson jej považoval za rutinní záležitost, takže přiložený formulář vyplnil a o víc se nestaral. V lednu 2003 ale s hrůzou zjistil, že někdo založil v systému PayPal nový účet na jeho jméno a z Watsonova bankovního účtu převedl 7 600 dolarů.


příběh 3

Robert Korinke z Kalifornie den před Štědrým večerem 2003 měl doma nevítanou návštěvu – u dveří mu zazvonili exeku-
toři, kteří měli v rukou soudní výměr na zaplacení 75 tisíc dolarů plus úroky. Ty si Korinke údajně zapůjčil u společnosti Homecomings Financial Network, Inc. Korinke se ale nedal a záhy vyšlo najevo, že někdo si jeho jménem u dotyčné instituce inkriminovanou částku vypůjčil. Přitom změnil adresu pana Korinka na jistý opuštěný dům v Texasu, takže se samozřejmě o žádných upomínkách k zaplacení nemohl dozvědět. Kdy a jak došlo ke zcizení identity, je zatím nejasné, nicméně pan Korinke měl v Homecomings Financial Network, Inc. už dříve půjčku právě ve výši 75 tisíc USD – kterou ovšem řádně splatil. Vše nasvědčuje tomu, že neznámý pachatel se nějakým způsobem dostal k jeho listinám (vyhozeným do koše?) a o úvěr požádal. Coby „solventní“ klient (jen se změněným kontem a adresou trvalého pobytu) jej pak bez potíží dostal…


příběh 4

Linda Trevinová z předměstí Chicaga se ucházela o práci v jednom z místních hypermarketů. Byla však odmítnuta s překvapivým odůvodněním: „Již u nás jste zaměstnána!“ V hypermarketu byla zaměstnána osoba s jejími identifikačními údaji, včetně čísla sociálního pojištění SSN (Social Security Number – v USA plní podobnou funkci jako u nás rodná čísla). Následné šetření zjistilo, že osobní údaje paní Trevinové byly použity při zaměstnání celkem 37 různých osob!!!


příběh 5

Dosud největší případ odcizených identit se udál v New Yorku. Jistý Philip Cummings pracoval ve společnosti Teledata Communications, Inc., která zajišťovala pro bankovní domy správu databází. Cummings tak měl přístup k velmi citlivým údajům: osobním datům, informacím o bankovních účtech, heslech apod. Nezneužíval je však pro svou potřebu, nýbrž je za úplatu prodával dále. Škodu jím způsobenou se nejspíše nikdy nepodaří vyčíslit, podle kvalifikovaných odhadů se nicméně pohybuje mezi úctyhodnými padesáti a sto milióny dolarů! V lednu 2005 byl Cummings odsouzen ke čtrnácti letům vězení.


Statistika

Ve Spojených státech bylo v letech 2000 až 2004 zaznamenáno 27 miliónů případů zcizení identity. Upozorňujeme, že jde pouze o případy oficiálně oznámené a vyšetřované.

Průměrná doba, kterou postižený musel vynaložit na vyřešení problému a návrat do stavu „před průšvihem“ (bylo-li to vůbec možné), činila 600 hodin! Oběti tak díky tomu přichází o čas, který by mohli věnovat výdělku ve výši 17 tisíc dolarů – a kromě toho musí ještě z vlastního uhradit nutné výdaje ve výši 1 500 USD.

Jen patnáct procent osob, které se stanou obětí odcizení identity, zjistí tuto skutečnost díky vlastní iniciativě (kontrola apod.). Zbývajících 85 procent se o incidentu dozvídá víceméně náhodou!

Sedmdesát procent zlodějů identit jsou pro oběť neznámé osoby. Plných třicet procent pak tvoří příbuzní, přátelé, spolupracovníci apod.










Komentáře