Pierwszy września za pasem, sprzęty i elektroniczne pomoce edukacyjne znalazły się zapewne na wielu listach „wyprawkowych”. Ten rok szkolny będzie także przełomowy pod względem kontaktu z technologią dla ok. 400 tys. uczniów klas czwartych szkół publicznych i niepublicznych, którzy otrzymają „z urzędu” darmowe laptopy do nauki. – To ostatni moment, aby przypomnieć, zarówno dzieciom, jak i rodzicom m.in. o tym, jak i dlaczego cyberprzestępcy chcą kraść dane osobowe najmłodszych i jak się przed tym uchronić. Chodzi przecież zarówno o bezpieczeństwo, jak i pieniądze – podkreślają eksperci ds. cyberbezpieczeństwa.
Kradzież tożsamości najmłodszych jest poważniejszym zagrożeniem, niż mogłoby się to wydawać. W 2022 roku w USA ofiarami takich incydentów padło prawie milion dzieci, koszty pojedynczego zdarzenia wyniosły średnio 1128 dolarów, a rozwiązanie każdej takiej sytuacji zajęło około 16 godzin. Oznacza to problem, który kosztuje Amerykanów ponad 1 miliard dolarów rocznie[1]. Dlatego także w Polsce, w obliczu coraz bardziej cyfrowych procesów nauczania, edukacja dotycząca tego, jakie są metody działań cyberprzestępców, powinna stać się ważnym elementem zaznajamiania dzieci z wirtualnym światem. Pełną wiedzę na ten temat powinni mieć także rodzice, którzy niejednokrotnie nie widzą żadnych zagrożeń, udostępniając w sieci szczegółowe informacje o swoich pociechach – przestrzegają eksperci ds. cyberbezpieczeństwa z firmy ESET.
Kredyt na dane dziecka? Trudne, ale możliwe
Dlaczego dane osobowe dzieci cieszą się tak dużym zainteresowaniem, w jaki sposób dochodzi do ich kradzieży i co rodzice mogą zrobić, aby temu zapobiec? Oszuści mogą wykorzystać dane dotyczące tożsamości dzieci do tych samych celów, co dane dorosłych, a więc m.in. do oszustw finansowych, prania brudnych pieniędzy czy wyłudzania świadczeń socjalnych i pożyczek. Dużym atutem dla nich może być fakt, że w przypadku takich oszustw mało prawdopodobne jest, że sama ofiara zauważy, że skradziono jej tożsamość. Dzieci nie są przyzwyczajone do regularnego sprawdzania swojego konta bankowego lub raportu kredytowego. Oszustwa mogą pozostać niezauważone przez lata. Z kolei w przypadku tzw. syntetycznej kradzieży tożsamości, wykorzystującej dane dzieci tylko częściowo, dużym atutem jest dla cyberprzestępców to, że najmłodsi nie są obciążeni żadną historią kredytową.
– Polski system prawny i bankowy stara się chronić najmłodszych i ich rodziców przed sytuacjami takimi jak otwarcie nowego konta czy założenie karty kredytowej na dane dziecka, które wyciekły. Do takich procedur każdorazowo potrzebna jest zgoda rodziców, a kredytów nawet w firmach oferujących „chwilówki” nie można brać przed przekroczeniem osiemnastego roku życia. Mimo tego cyberprzestępcy mają swoje sposoby, aby wykorzystać dane dzieci. Jednym z możliwych scenariuszy jest np. ten, w którym cyberprzestępca teraz kradnie dane dziecka, a w przyszłości on (lub ktoś, kto odkupi od niego te informacje) w jego imieniu bierze kredyt. To bardzo niefortunny „prezent” na start w dorosłe życie. Stosowaną przez oszustów popularną techniką, która niestety dobrze sprawdza się w przypadku danych dotyczących tożsamości najmłodszych, jest też tzw. syntetyczna kradzież tożsamości. Polega na łączeniu przez oszustów danych osobowych z kilku źródeł: niektórych prawdziwych, innych fałszywych. W ten sposób tworzona jest zupełnie nowa tożsamość, aby zapewnić oszustom czystą historię kredytową – wyjaśnia Kami Sadkowski, ekspert ds. cyberbezpieczeństwa ESET.
Jak wyłudzane są dane dzieci?
Niektórzy z cyberprzestępców atakujących dzieci nie zajmują się dopracowanymi mechanizmami tego typu oszustw. Ich celem jest po prostu wyłudzenie danych, a następnie sprzedaż danych na czarnym rynku tak, aby inni oszuści mogli je wykorzystać w kolejnych atakach. Jakie metody mogą stosować?
- Phishing za pośrednictwem poczty elektronicznej, mediów społecznościowych, a nawet SMS-ów. Dzieci są namawiane do klikania fałszywych linków, co może spowodować zainstalowanie złośliwego oprogramowania kradnącego informacje. Bywają też bezpośrednio nakłaniane do przekazania swoich danych osobowych – np. pod pretekstem wzięcia udziału w nieistniejącym losowaniu nagród.
- Naruszenia z winy firm trzecich. Statystyki pokazują, że w zeszłym roku dane osobowe około 1,7 miliona amerykańskich dzieci, czyli 1 na 43, zostały ujawnione nie z ich własnej winy.
- Przejęcie konta: konta do gier, mediów społecznościowych, a nawet do nauki online mogą być cennymi źródłami informacji o tożsamości. Mogą zostać naruszone poprzez phishing, łamanie/odgadywanie haseł metodą brute-force i inne techniki.
- Nadmierne udostępnianie informacji w mediach społecznościowych: Zarówno dzieci, jak i ich rodzice mogą być źródłem wycieku, jeśli udostępniają zbyt wiele danych osobowych za pośrednictwem kont społecznościowych. Nawet daty urodzenia i szczegóły wykształcenia mogą zostać wykorzystane w kolejnych oszustwach, mających na celu wyłudzenie większej ilości informacji.
- Członkowie rodziny: Oszustwa przeprowadzane przez osoby z bliskiej rodziny są szokująco powszechne. Szacuje się, że w 67% gospodarstw domowych w USA, w których doszło do oszustwa związanego z tożsamością dziecka, ofiara osobiście znała sprawcę(-ów).
- Kradzież fizyczna: nadal popularne są także „klasyczne” sposoby, takie jak kradzież dokumentów z kosza na śmieci lub nawet bezpośrednio ze skrzynki pocztowej.
[1] Źródło: https://javelinstrategy.com/press-release/17-million-us-children-fell-victim-data-breaches-according-javelins-2022-child
