Za cenu pouhého šálku kávy lze na internetu zakoupit citlivé osobní údaje o konkrétních uživatelích, ať už jde o jejich lékařské zprávy nebo různé identifikační údaje. Vyplývá to z výzkumu společnosti Kaspersky, která se zaměřila na obchodování se sdílenými osobními daty na černém trhu prostřednictvím Darknetu. Bezpečnostní analytici kromě prodeje dat také sledovali dopady doxingu, což je zveřejňování souhrnu osobních dat zjištěných z různých zdrojů na internetu o někom, koho chce útočník na webu zbavit anonymity nebo jej poškodit.
I když obecné povědomí lidí o potřebě zachování určité míry soukromí v online světě stoupá, většina z nás ví jen povrchně, proč je to tak důležité. Například 37 % uživatelů internetu z generace mileniálů má pocit, že nejsou natolik zajímaví, aby se stali oběťmi kybernetických zločinců. To je však omyl. Například doxing, což je do určité míry druh kyberšikany, může mít zásadní dopad na jakéhokoli uživatele, který zveřejňuje na internetu svoje názory nebo není v souladu se subjektivními normami jiných uživatelů.
Největší zájem je o data kreditních karet a bankovních účtů
Doxing znamená, že někdo sdílí soukromé údaje o jiné osobě bez jejího svolení a chce ji tak uvést do rozpaků, zranit ji nebo ji vystavit nebezpečí. Typičtí uživatelé internetu neočekávají, že by jejich osobní data unikla do veřejného prostoru, a i kdyby se tak stalo, podceňují, jaké škody by to mohlo napáchat. Jenže, jak se ukazuje v praxi, u některých záškodníků a osob, které chtějí škodit, může doxing vyústit až v napadání účtů obětí. Takovou službu nabízejí černá tržiště na internetu zvaná Darknet.
Analytici společnosti Kaspersky chtěli uživatelům internetu pomoci lépe pochopit, jak lze jejich osobní data zneužít, dostanou-li se do nesprávných rukou. Provedli analýzu 10 mezinárodních fór a tržišť na Darknetu. Ukázalo se, že cena za přístup k osobním údajům může začínat na pouhých 50 centech (americké dolary), což odpovídá desetikoruně za jednoho uživatele (ID) podle toho, jaký záběr a podrobnosti nabízené informace obsahují. Některé osobní údaje zůstávají stejně žádané jako téměř před deseti lety, kdy Kaspersky provedl podobný průzkum. I tehdy šlo zejména o údaje o kreditních kartách, přístupu k internetovému bankovnictví a elektronickým platebním službám. A ani jejich ceny se v posledních letech příliš nezměnily.
Za kolik se prodávají osobní data na černém trhu? |
|
Údaje o platebních kartách: |
6-20 USD |
Naskenovaný řidičský průkaz: |
5-25 USD |
Naskenovaný cestovní pas: |
6-15 USD |
Přístup k předplaceným službám: |
0,5-8 USD |
Identifikační údaje (celé jméno, rodné číslo, datum narození, e-mail, číslo mobilního telefonu): |
0,5-10 USD |
Vlastní fotografie s dokumenty (cestovní pas, řidičský průkaz): |
40-60 USD |
Lékařské zprávy: |
1-30 USD |
Účet internetového bankovnictví: |
1-10 % hodnoty |
Účet PayPal: |
50-500 USD |
Cenové rozpětí v dolarech pro různé typy dat zjištěné analýzou nabídek na tržištích v Darknetu
Objevila se však také poptávka po nových typech dat. Jde například o osobní lékařské záznamy a fotografie uživatelů s osobními doklady, jako jsou cestovní pasy nebo identifikační karty, které vyjdou až na 40 dolarů (v přepočtu přes 800 Kč). Nárůst počtu fotografií s dokumenty v ruce a schémat, která je využívají, odráží trend obchodování s "kybernetickým zbožím". Zneužití těchto údajů může mít fatální důsledky, jako jsou ukradení identity oběti nebo využívání různých služeb na jejím základě.
Závažné jsou také důsledky zneužití dalších typů osobních údajů. Data prodávaná na Darknetu lze využít k vydírání, páchání podvodů a phishingových útoků, ale i k přímým krádežím peněz. Některé typy údajů, jako například přístup k osobním účtům nebo databázím hesel, lze zneužít nejen kvůli finančnímu zisku, ale také k poškození dobré pověsti a dalším druhům škození, včetně doxingu.
Ohroženi jsou skutečně všichni. Jak se bránit?
"Mnoho oblastí našeho života prošlo během několika posledních let digitalizací a některé z nich, například agendy týkající se našeho zdraví, jsou zvláště citlivé. Vzhledem k tomu, že neustále narůstají počty případů úniků dat, je zřejmé, že porostou i rizika pro samotné uživatele. Zaznamenáváme však i pozitivní vývoj: mnoho organizací podniká důrazné kroky k zabezpečení dat svých uživatelů. Významného pokroku v tomto ohledu dosáhla zejména sociální média, protože v současné době je mnohem obtížnější odcizit účet konkrétního uživatele. Na základě těchto skutečností jsem přesvědčen o tom, že náš výzkum dokáže dostatečně zdůraznit, jak důležité je uvědomit si fakt, že o naše osobní data je mezi zločinci opravdu zájem a že je lze zneužít ke škodlivým účelům. A nemusíte být zrovna boháč, nemusíte vyjadřovat kontroverzní názory a ani nemusíte být obecně na internetu příliš aktivní," poznamenává Dmitry Galov, bezpečnostní expert z celosvětového týmu pro výzkum a analýzy společnosti Kaspersky (Global Research and Analysis Team, GReAT).
"Internet nám umožnil vyjadřovat své individuální názory a sdílet příběhy, což je fantastické. Člověk však musí mít na paměti, že pohybovat se na internetu a vyjadřovat se online není vůbec soukromá činnost. Je to spíš jako vykřikovat své názory na přeplněné ulici, kdy nevíte, kdo vám může přijít do cesty, včetně těch, co s vámi nesouhlasí, a jak zareaguje. A to znamená jasné riziko," říká Vladislav Tushkanov, odborník na soukromí ve společnosti Kaspersky. "Samozřejmě to neznamená, že bychom měli okamžitě smazat a uzavřít svoje účty na sociálních sítích. Jde pouze o to, abychom si byli vědomi potenciálních důsledků a rizik, a byli na ně připraveni. Nejlepším řešením, pokud jde o vaše osobní data, je vědět, co o mě už lidé na internetu vědí, odstranit, co můžu, a převzít kontrolu nad tím, jaké informace o mě na internetu budou. O nic víc nejde, vyžaduje to však trochu úsilí."
Chcete-li se o technikách doxingu a zneužívání osobních údajů na internetu dozvědět víc, přečtěte si kompletní zprávu s názvem Dox, steal, reveal. Where does your personal data end up? (Doxing, krádež, odhalení. Kde končí vaše osobní data?), která je k dispozici na severu Securelist.com.
Pokud chcete minimalizovat riziko odcizení svých osobních dat, společnost Kaspersky má několik doporučení.
- Dávejte si pozor na phishingové e-maily a webové stránky.
- Vždy si zkontrolujte nastavení oprávnění v používaných aplikacích, abyste minimalizovali pravděpodobnost, že svá data budete sdílet s třetími stranami nebo si je dokonce budou ukládat – a hlavně bez vašeho vědomí.
- Používejte dvoufaktorové ověřování. Nezapomeňte, že používání aplikace, která generuje jednorázové kódy, je bezpečnější než přijetí druhého ověřovacího faktoru prostřednictvím SMS. Pokud potřebujete vyšší zabezpečení, investujte do dvoufaktorového hardwarového klíče.
- Používejte spolehlivé bezpečnostní řešení pro generování a zabezpečení jedinečných hesel pro každý účet, jako je správce hesel Kaspersky Password Manager, a vyhněte se pokušení opakovaně používat stejné heslo pro přístup do více různých účtů.
- Ověřte si, zda nebylo některé heslo k vašim internetovým účtům kompromitováno – použijte například nástroj Kaspersky Security Cloud. Obsahuje funkci Account Check (Kontrola účtů), díky níž mohou uživatelé odhalit případné úniky dat ze svých účtů. Pokud se ukáže, že data skutečně unikla, nástroj Kaspersky Security Cloud poskytne informace o kategoriích dat, jež mohou být veřejně přístupná, a napadený uživatel může následně podniknout vhodná opatření.
- Vždy zvažujte, jak by si obsah, který sdílíte na internetu, mohly vykládat cizí osoby a jak by ho mohly využívat.
Publikováno: 8. 12. 2020