Hrozby spojené s krádeží identity se vyvíjejí a přizpůsobují novým technologiím. Množství osobních údajů dostupných online, naše závislost na technologiích a rostoucí důmyslnost kyberzločinců dohromady způsobují, že ke krádežím identity dochází stále častěji.

Jaké jsou současné trendy v kybernetickém prostoru a jak to může ohrozit vás nebo vaši firmu? O moderních metodách kyberzločinců i o ochraně proti nim se rozepsal Martin Bareš, specialista na kybernetické hrozby ve společnosti Trask.

***

Krádež identity: rostoucí hrozba se závažnými důsledky

Kyberzločinci používají ke krádeži citlivých informací řadu pokročilých technik, jako je phishing (podvodná komunikace předstírající, že pochází z důvěryhodného zdroje), vishing (hlasový phishing), malware (škodlivý software) či sociální inženýrství (způsob manipulace lidí například za účelem získání tajných informací či přístupu k systémům firmy). Hlubiny internetu, takzvaný dark web, pak skrývají trh s těmito ukradenými údaji.

Nejen s tím, jak přechází bankovní sektor do digitálu, přitom přibývá příležitostí k ohrožení bezpečnosti a k podvodům, které představují pro instituce a jejich zákazníky významné hrozby. Krádež identity v bankovnictví může vést k závažným následkům, včetně finančních ztrát, poškození bonity, právních problémů i stresu. Ale taky představuje problém pro samotné instituce, a to finanční ztráty, možné sankce i problémy s udržením důvěry zákazníků.

Podle nových pravidel směrnice NIS2 mohou sankce za narušení kybernetické bezpečnosti dosáhnout až 250 milionů korun. Podle GDPR to může být až 20 milionů eur. V případě nedodržení pravidel AML může pokuta dosáhnout až 10 procent ročního obratu. Banky navíc riskují možné odebrání bankovní licence. Řešení problematiky kybernetického zabezpečení je tak zásadní jak pro ochranu zákazníků, tak pro zachování stability a dobrého jména finančního odvětví.

Běžné typy podvodů

Existuje několik typů krádeží identity, jejich množství navíc v budoucnu může růst. Obecně je můžeme rozdělit do šesti hlavních oblastí:

Krádeže finanční identity

Jedná se o nejběžnější formu krádeže identity, kdy jedna osoba využívá údaje jiné osoby k finančnímu prospěchu. Například zneužitím informací o kreditní kartě k nákupům, krádeží finančních prostředků z bankovního účtu nebo otevřením nového účtu s využitím osobních údajů okradeného.

Syntetická krádež identity

Tato metoda spočívá ve vytváření falešných identit pomocí údajů skutečných osob, jako je datum narození, adresa či číslo dokladu, jejichž kombinací se vytvoří falešný profil. Takovou identitu je možné zneužít k žádosti o půjčku nebo kreditní kartu i k páchání další trestné činnosti ve finanční oblasti.

Krádež identity v souvislosti s pácháním trestné činnosti

K tomu dochází, když osoba zatčená policií místo svého jména použije cizí. Za jinou osobu se může vydávat tak, že si vytvoří falešný průkaz totožnosti nebo se prokáže ukradeným, když třeba předloží policii řidičský průkaz. To může mít za následek překvapivé předvolání k soudu nebo neočekávaný záznam v policejní databázi.

Krádež identity ve zdravotnictví

K té dochází v případě, kdy se pachatel vydává za jinou osobu, aby tak získal lékařské a zdravotnické služby. Například recepty na léky, přístup k ošetření včetně drahých operací, nebo aby získal zdravotnické pomůcky a potřeby, jako jsou třeba invalidní vozíky.

Krádež dětské identity

Údaje nezletilého dítěte mohou být zneužity k finančním podvodům, například k otevření nového účtu nebo k půjčce na jeho jméno.

Další krádeže identity

Mezi další metody může patřit krádež daňové identity s využitím vašich osobních údajů. Jinými slovy, k podání daňového přiznání a získání vratky na dani – vaší vratky. V případě krádeže identity v zaměstnání mohou zloději použít vaše údaje i k získání místa nebo k absolvování prověrky. Ke krádeži identity z pozůstalosti pak dochází, když zloděj totožnosti použije osobní údaje zesnulé osoby k odcizení peněz nebo otevření účtu.

Foto: Vygenerováno OpenAI DALL·E-3

Krádeže identity na internetu jsou stále častější

Některé z takových útoků lze zaznamenat nejen v bankovnictví. Přestože nejčastějším přístupem je phishing, stále více se objevují i další metody. Například v rámci onboardingových procesů se využívá technologie deep fake: útočníci připraví falešné video a osloví zákazníky, zaměstnance i další osoby. K vytvoření deep fake je klíčový obličej a duhovka, ty mohou výrazně zlepšit jeho kvalitu.

Je proto potřeba dát si pozor na to, komu poskytujeme třeba přístup k fotkám. Mezi potenciální hrozby patří podezřelé aplikace od pochybných vlastníků, kteří mají obvykle přístup k fotoaparátu v telefonu nebo umožňují přímo skenování duhovky. Existují projekty, které výměnou za skenování duhovky nabízejí peníze. Pokud není původ příjemce jasný a důvěryhodný, každý by měl být na pozoru a zabezpečit jakékoli svoje údaje, které umožňují identifikaci.

Osobní údaje, které vás odhalí

Jakékoli informace sloužící k identifikaci, například biometrické údaje (otisky prstů, obličeje, hlasu, duhovky a dlaně nebo vzory žilek na prstech), datum narození, číslo řidičského průkazu, informace o zaměstnání, finanční údaje, jména, adresy i další čísla z dokladů jsou takzvané PII. To je zkratka pro výraz Personally Identifiable Information, tedy informace, podle kterých jde identifikovat konkrétní osobu. Pokud je k dispozici dostatečný počet těchto údajů, může rychle dojít ke krádeži identity. Je tak potřeba pečlivá ochrana veškerých osobních údajů před odhalením i zveřejněním.

Proč právě teď?

Hrozby kybernetické bezpečnosti narůstají spolu s technologickým pokrokem, ale nezpochybnitelně je to období covidu, kdy krádeže identity výrazně narostly. Třeba u amerického úřadu na ochranu spotřebitele FTC se počet stížností zákazníků souvisejících s krádeží identity mezi roky 2018 a 2020 ztrojnásobil na více než 1,3 milionu. I přes pokles v roce 2022 jejich množství stále přesahuje 1,1 milionu.

Zodpovědný přístup společností k investicím do kybernetické bezpečnosti se zdánlivě vyplácí, ale je daleko od ideálního stavu. V případě Česka jsou nejčastějšími kybernetickými útoky phishing, například e-maily, které předstírají, že příjemci předávají výhru či informují o dědictví, nebo podezřelé zprávy na sociálních sítích. S falešnými hovory tvářícími se jako hovory mimo bankovní sektor se setkalo pouze sedm procent respondentů. S těmi, které předstíraly, že pocházejí z banky, to byla čtyři procenta. Jedná se však o jednoho z hlavních kandidátů krádeží identity v budoucnosti a o hrozbu, která roste.

Co byste měli vy nebo vaše společnost udělat, abyste zůstali v bezpečí?

Do pasti se můžete chytit poměrně snadno. Doporučujeme pravidelně kontrolovat výpisy z kreditních karet, používat pro každou službu jiná hesla a vyhýbat se jejich možnému zveřejnění, kontrolovat svůj e-mail a být ve střehu, pokud jde o stahování podezřelých aplikací nebo zapojení do pochybných projektů.

Firmy by měly zaměstnance řádně a pravidelně školit, nastavit vysoké bezpečnostní standardy a udržovat nástroje v souladu s předpisy a funkční. V Trasku věříme, že zabezpečení dat je základním kamenem pro dosažení robustního a trvalého technologického pokroku. Obrana proti podvodům nestagnuje. V odhalování podvodů pomáhají různé technologie, včetně umělé inteligence. Obezřetnost je ale na místě vždy.

Zvlášť v době, kdy je třeba i s rozšířením sociálních sítí stále jednodušší získat data i o „obyčejném“ člověku. Čím míň jich ale poskytnete, tím lépe.