Az ellopott személyazonosság: a szemetet, a kincset

A szerző Jim Stickley ellopta a hitelkártyákat, hamis ATM-ket hozott létre, feltörte a társadalombiztosítási számokat és kirabolta a bankokat. De nem bűnöző. Stickley-t bérelték a vállalatok, hogy megtalálják a biztonsági hibákat. Könyvében: “Az identitás lopásról való igazság”, Stickley írja, hogy a sebezhető emberek milyen módon képesek ellopni identitásukat. Ebben a kivonatban figyelmeztet arra, hogy az emberek kétszer gondolkodjanak el arról, hogy mit dobnak el.

II. Rész: Az igazság a szemetet illetően

Az egyik ember szemét egy másik ember identitása
Az évek során több száz különböző támadással több bankra törtem be. Bár mindegyik más volt, a fő cél gyakran ugyanaz volt: hozzáférni a készpénzhez vagy a bizalmas információkhoz. Egyszerre egy nagy pénzügyi intézmény fordult hozzá, amely nemcsak aggodalmát fejezi ki a fizikai helyszínek és hálózatának biztonsága miatt, hanem aggodalmai is voltak a felső vezetéssel kapcsolatos kockázatokkal kapcsolatban. Ez az intézmény azt kérte, hogy vizsgálja meg, hogy az irányítási csoportot megtámadhatják-e olyan módon, amely lehetővé tenné az azonosító tolvaj számára a szervezethez való nagyobb hozzáférést.

Így minden délután várakoztam a parkolóban, és figyeltem, hogy a menedzsment-tagok tagjai a járművükbe kerülnek. Aztán hazatértem őket. Néhány héten belül minden egyes otthoni címem volt. Mivel nem volt engedéllyel behatolni az otthonaikba, és megpróbálni a személyes holmiján keresztül, a következő legjobb dologról döntöttem: a szemetet.

Az évek során csodálkoztam azon dolgokon, amelyeket a szemetesben találhatok. A személyi szemétben nagy ügyek vannak az identitás tolvajok számára. Ennél is fontosabb, ha egyszer a szemetet az utcára rakja a szemetet, akkor általában nyilvános lesz. Ez azt jelenti, hogy ha olyan hajlandó vagyok, el tudom venni azt a szemetet, és hazahozni, ami pontosan azt tette. Minden héten felkapasztam a gumikesztyömre, és átnéztem minden hulladékot: élelmiszerbolt pinglistákat, ragadós jegyzeteket telefonszámokkal, privát meghívást egy kislánynak egy barátja születésnapjára, és még sok másra. Ahogy folytattam a menedzserek szemétszámait, sikerült összeállítanom a szolgáltatók listáját: vízszámlát, telefonszámot, gáz- és elektromos kábelt, stb. Ezt az információt felhasználhatnám nemcsak azért, hogy belépjenek az életükbe, hanem ha akarják, átvehetik az életüket.

Végül úgy döntöttem, hogy a banki vezetők internetszolgáltatói számlázási adatait a támadási pontként használom. A számlákból nyert információk felhasználásával felkerestem a vezetőket, és elmagyaráztam, hogy én vagyok a cégtől. Megmondtam nekik, hogy frissítjük szolgáltatásainkat, és hogy számukra továbbra is internetes szolgáltatásra van szükség, friss szoftver telepítésére lesz szükségük. Megmagyaráztam, hogy a szoftver a következő héten érkezik.

Mivel a hívás során is tudtam hivatkozni múltbeli számlázási adatairól, az áldozatok soha nem gyanítottak valamit. Egy héten belül mindegyikük megkapott egy csomagot az e-mailben, amely tartalmazza a “frissítési szoftvereket” és az utasításokat. Egyenként, a menedzserek telepítették a szoftvert.

Természetesen az általuk telepített szoftver valójában rosszindulatú és kifejezetten arra lett tervezve, hogy internetemről bárhonnan hozzáférhessen a számítógéphez. Röviddel azután, hogy telepítették a szoftvert, rájöttem, hogy a számítógépeik átmennek az összes fájlukon. Néhány rövid napon belül volt felhasználói nevek és jelszavak a vállalati rendszerekhez, és még a VPN hozzáférést is, ami lehetővé tette számomra, hogy közvetlenül kapcsolódjam a pénzügyi intézmény belső hálózatához.

Amikor jelentést küldtem a szervezet vezetőinek, nyilvánvalóan padlón voltak. Egyikük sem gyanította, hogy otthonosan céloztam meg őket, annak ellenére, hogy mindegyikük aláírta a mentességet, ami lehetővé tette számomra. Azt mondták, óvatosak voltak az e-mailekről, amelyeket elküldtek nekik, mivel meg voltak győződve arról, hogy hogyan akartam bejutni; de az az ötlet, hogy átmegyek a szemétbe, és ezt használják ellenük, soha nem jutottak eszükbe.

Most talán megkérdeznéd magadtól, hogy mi a történet a személyazonosság-lopással kapcsolatban. Biztos vagyok benne, hogy hozzáférést kaptam ehhez a pénzügyi intézményhez azáltal, hogy megtámadtam az alkalmazottait otthon, de technikailag a munkavállalót soha nem helyezték veszélybe, csak a munkáltató. A valóságban ezek a munkavállalók sokkal kiszolgáltatottabbak voltak, mint azt elképzeltem volna. Azonban, mivel nem voltam felvenni, hogy teszteljük őket személyesen, csak megkerülhettem ezeket a lehetőségeket, és továbbra is az elsődleges célomra koncentráltam: a bank.

Ha Ön rendelkezik hitelkártyával, valószínűleg a hitelkártyatársaság nevében jön létre a levélszemét. Bár a számláján szereplő levélszemét nagy része ártalmatlan, a probléma akkor fordul elő, amikor a hitelkártya-társaság úgy dönt, hogy könnyebbé teszi a pénzt. A hitelkártya-ellenőrzések jövedelmező üzleti vállalkozásokká váltak a hitelkártya-társaságok számára. Ezeket az ellenőrzéseket ugyanúgy használhatja, mint a rendszeres ellenőrzéseket, hogy bármit fizethessenek az egyéb hitelkártya számlákról, hogy élelmiszert vásároljanak a boltban. Mivel ezeket az ellenőrzéseket olyan helyzetekben használhatja, ahol a hitelkártyákat nem fogadták volna el, lehetővé teszik számodra új szabadságát a hitelkártya-tartozások feltöltéséhez. Ezeket az ellenőrzéseket gyakran számos más dokumentum tartalmazza, amelyek mind a havi hitelkártya nyilatkozatában szerepelnek.

Miközben támadta a bank vezetőségét, sok ilyen ellenőrzést találtam még a kinyitott nyilatkozat borítékán belül, amelyet a szemétbe dobtak. Mindössze annyit kellett tennie, hogy ezeket az ellenőrzéseket elvégeztem és egy ping-lengetésen megyek. (Természetesen nem voltam, de valóban igazi tolvaj voltam, én csak egy igazi aranybányába vágtam volna.)

Volt olyan személyazonosság-lopás támadási lehetősége is, amelyet ezek a tesztek tettek elérhetővé számomra. Mindegyik számlám tartalmazott nagyszerű információkat. Például a kábeles számlán az áldozat neve, címe és fiókszáma elérhető volt. Ezenkívül láttam a jelenlegi számlát, az előző számlát, és ha kifizették. Ezekkel az információkkal felhívhatnám az áldozatot, elmagyarázhatnám, hogy én vagyok a kábeltársaságtól, és azt mondom, hogy nem kaptunk kifizetést a hónap számlájára. Az áldozat természetesen azt mondaná, hogy kifizette, és azt állítanám, hogy küldött egy csekket, de nem kaptuk meg, így elveszhet az e-mailben. Megmagyarázni fogom, bár szerencsétlen, a szolgáltatását kikapcsolták, és neki díjat kell fizetnie ahhoz, hogy újra eljusson.

Aztán felajánlom az áldozatnak, hogy képes fizetni a számlát egy hitelkártyával vagy átnézni a telefont. Megmagyarázom, hogy ha a másik fizetése végül megjelenik, akkor elpusztulna. Ismét fontos megjegyezni, hogy az áldozat korábbi fizetési összegének megemlítése, és a beérkezéskor hitelességet adott nekem. Az áldozat elnyerte és megadta a hitelkártya számát, vagy a számla számát és a banki átirányítási számot. Miután befejeztem, egyszerűen el tudtam volna adni ezeket az információkat, és elmentem vásárolni.

Egyszerű megoldás az ilyen típusú támadások elkerülésére. Úgy értem. Minden! Ha személyes adatokat tartalmazó személyes papírt dob, vágja először. Az iratmegsemmisítők néhány különböző típushoz érkeznek, de nagyon ajánlom, hogy egy kis extraet töltsön el, hogy megbizonyosodjon róla, hogy átfedő darabolással rendelkezik, és széttörheti a CD-ket és a hitelkártyákat. Ez a fajta aprítógép gyorsabban fut, és több darabot szétszed egy időben, így kevesebb időt tölthet el előtted.

Ne felejtsd el: az egyik ember szemét valójában egy másik ember kincse lehet. Sajnos az egyik ember kincsét ellophatják egy másik személy identitásától. Szóval indítsa el a foszlást.

Dumpster búvárkodás nyereségért
Az előző Igazságban arról beszéltem, hogy mi emberek dobják el otthon otthon és az ezzel járó kockázatokat. Azonban ezek a kockázatok nem hasonlítanak ahhoz, amit a munkatársaim és az évek során felfedeztem, miközben a búvárkodás során. Míg sok állam elkezdte eljárni a vállalatokat, hogy a fogyasztók bizalmas információit bizonytalanná tegyék, úgy tűnik, hogy a világ többsége egyszerűen nem fordított figyelmet.

2007 elején a Radio Shack állítólag több mint 20 fiókot bocsátott ki, amelyek több ezer ügyféllel rendelkeztek személyes adatokkal. Egy ember, aki átrohant a dumpsteren, megtalálta a dobozokat, és jelentette. Áprilisban Texas állam polgári pert indított a Radio Shack ellen, mert állítólag kitiltott ügyfeleit a személyazonossággal való visszaélés miatt. Az ügy azt állította, hogy a vállalat “nem törölte, törölte vagy más módon védte meg az információt, hogy olvashatatlanná vagy megfejthetetlenné tegye az üzleti nyilvántartásai elbírálása előtt”.

Nem meglepő, hogy az adatokat felfedezték. Az egyszerű tény az, hogy a több száz fogorvosban, ahol a “látogatás” öröme volt, ritka nap volt, amikor üres kézzel jöttem el. Legtöbbször elegendő bizalmas információval hagyom, hogy az átlagos személyazonosító tolvaj hónapokig, sőt évekig az üzleti életben maradhasson. Megtalálták a társadalombiztosítási számokat, a járművezetői engedélyek másolatát, a hitelkérelmeket, a hitelkártyaszámokat, a teljes neveket és címeket, valamint a telefonszámokat – a kukába. És ezek csak a nyilvánvaló dolgok.

Egy cég, amelyet nemrég teszteltünk, valójában elvetette a kábítószer-vizsgálati dokumentációt az összes potenciális új bérlőjén. Minden dokumentum tartalmazza a név, cím, társadalombiztosítási szám és a vizsgálat eredményeit. Nem csak a cég vette veszélybe a személyazonosság-lopás veszélyét, hanem egy pergő bomba volt a pert. Képzeld el, hogy a potenciális munkavállalók közül az egyik kudarcot vallott-e, és az információkat nyilvánosságra hozták? A széthullás minden oldalról pusztító lehetett.

Egy másik helyen egy pénzügyi intézmény bizalmas információkat, köztük hitelkérelmek, társadalombiztosítási számok, bankszámlaszámok stb. De ebben az esetben ahelyett, hogy az elemeket a szemétlerakóba helyezte volna, az intézmény az információt az újrahasznosításra kijelölt létesítményen kívül található tartályokba helyezte. Észrevettem, hogy ez a bizalmas információs szivárgások növekvő tendenciájának része. Általában az emberek érdeklődnek a zöld mozgalom iránt, és ahelyett, hogy olyan tárgyakat dobálna, amelyeket meg kell aprítani a megfelelő kijelölt foszlányterületekre, a dokumentumokat a gyűjtőtartályba helyezik.

Újrahasznosítás és aprítás
Amikor olyan alkalmazottakkal beszélgettem, akiket érzékeny dokumentumokat helyeztek el az újrahasznosítási tárolóedénybe, azzal magyarázható, hogy az újrahasznosítás különbözik a szemetetől, és így valahogy biztonságos. Felkérni, hogy elmagyarázzam, az alkalmazottak általában azt mondják nekem, hogy míg a szemetet a hulladéklerakókon végzik, ahol bárki meg tudja kapni a kezét, az újrahasznosítás helyre kerül, ahol újrahasznosítják. Gyakran azt mondják nekem, hogy úgy érzik, hogy biztonságosan helyezheti bizalmas dokumentumokat egy újrahasznosító tálcába, mivel a dokumentum megsemmisül, ahelyett, hogy egy hulladéklerakóba szállítana. Hadd tükröződjek: az újrahasznosítás nem biztonságosabb, mint a tárgyakat a kukába dobni. Azok számára, akik aggódnak, hogy zöld, a legtöbb nagy aprító cégek újrahasznosítani, miután megdarálták a dokumentumokat.

Az újrahasznosítás nem biztonságosabb, mint az elemek dobása a szemetesbe.

Mi a céged vonala?
Megállapítottam, hogy a szemétben felfedezett bizalmas információ mennyisége közvetlenül összefügg azzal, hogy a szervezet mennyire becsületi meg az aprítások erényeit az alkalmazottai számára.

Az én személyes elméletem ez: Menj fel az egyik dolgozó asztalára, és egyenesen a karodhoz simítsd ki a repülőgép szárnyait. Most forduljon körbe. Van-e olyan hely, ahol a dolgozó olyan bizalmas dokumentumokat helyezhet el, amelyek megpróbálják megsemmisíteni a karját? Ha nem, ígérem, hogy az alkalmazottak valószínűleg nem aprítanak el mindent, amire szükségük van.

A probléma az, hogy a szervezet gyakran helyez el egy hordó hordót a létesítmény minden egyes szintjén. A munkatársaknak ezután várhatóan napközben felkelnek, és minden bizonylattal ellátott papírokat be kell rakniuk a tartályokba. Természetesen az, ami véget ér, az, hogy a dolgozók elkezdenek egy halomtáblát felállítani a kérdéses elemek asztalára. Ahogy a nap folytatódik, a papírok elkezdenek úton járni. Mivel a munkatársak elfoglalták és nem hajlandóak a kötegbe vinni a törmelék hordóját, gyakran csak a szemetesbe teszik őket, vagy azt teszik, amit a “szegény ember szétvágnak”, vagyis azt tennék, hogy fizikailag feltörik a papírt. Amikor találok kézzel szakadt dokumentumokat, hazaviszem őket, és megadom nekik a 7 éves fiamat, és elmondom neki, hogy ez egy puzzle. Mindig visszahozza őket.

Más esetekben, ha a munkatársak csak egy olyan dokumentumot kapnak, aminek szüksége van az aprított, akkor nem akarnák elpazarolni az ömlesztett hordóba vezető utat, így a dokumentum végül a szemétbe kerül.

Űrlők mindenkinek
A legjobb megoldás az, hogy mindegyik asztalon egy apró aprítógép legyen. Ez megkönnyíti a munkatársak számára, hogy minden munkadarabot feltörjenek, és ezáltal elkerüljék az esetleges bizalmatlanságot. Ha ez nem megvalósítható lehetőség, adjon hozzá egy második szemetescsomagot minden aprítékra kijelölt pultnál. Ha ezt a második lehetőséget választja, ügyeljen arra, hogy további kockázatokkal jár. Meg kell bizonyosodnia arról, hogy az egyes dolgozók íróasztalán végzett újrahasznosítás minden nap végén megszűnik. Nem akarsz elhagyni egy nyitott bizalmas dokumentumot minden olyan asztalon, ahol a tisztító személyzet vagy más látogatók hozzáférhetnek.

Az utolsó javaslatom a legfontosabb. Nagyon ajánlom, hogy szerezzen be néhány gumikesztyűt és egy pár üres szemetes zsákot, és menj ki a saját konténerébe. Tudja meg magának, mi végződik a szemétben. Valószínűleg meg fogsz lepődni és esetleg még egy kicsit aggódni, amit találsz.

A használt számítógép érdemes az arany súlyát
Néhány évvel ezelőtt dolgoztam egy olyan cégnél, ahol az Egyesült Államokban értékesítési képviselők voltak. Egy napon egy munkatársamtól érkeztem hívást, aki rendkívül felborította az általa kapott telefonhívást. Egy Las Vegas-i férfi felhívta, hogy tájékoztassa őt arról, hogy számos vállalati ügyfelünk számára nézett a fájlokra. Emellett hozzáférhet több hónapos vállalati e-mailhez és számos egyéb emlékeztetőhöz és tulajdonosi információhoz. Bár úgy hangzott, mintha ez a férfi megpróbálta volna fenyegetni a cégünket, kiderült, hogy éppen ingerült a biztonságban ilyen nevetséges megszegés miatt, és úgy érezte, köteles hívni és közölni valakivel.

Néhány hónappal korábban egy Las Vegasban lakó másik értékesítési képviselő vásárolt egy személyi laptopot. Míg ő tulajdonában volt a laptop, otthoni távmunkát használta a vállalati irodába. Mint értékesítési képviselő, számos vállalati fájlhoz, e-mailhez, ügyfélszámlához és így tovább. Néhány hónap múlva úgy döntött, hogy a laptop már nem megfelelő. Ezért visszatért a boltba, ahol megvásárolta, és követelést követelt. Hihetetlenül megkapta a visszatérítést, és visszajuttatta a számítógépet a boltba, a benne maradt összes bizalmas fájllal. A rendszeren tárolt összes felhasználónevet és jelszót md e-mailek, emlékeztetők, fájlok, dokumentumok, mindent mögött hagytak.

Most azt gondolhatnánk, hogy ezt a laptopot formázni és visszaállítani a gyári specifikációba, mielőtt újraértékesítenék. Nyilvánvaló volt, hogy több hónapig használták. Sajnos azonban a laptopot egy másik ügyfélnek értékesítették, még mindig az összes értékesítési megbízott bizalmas fájljaival.

Elképzelhetem a második tulajdonos sokkot, amikor megnyitotta az Outlookot, és automatikusan bejelentkezett a vállalati hálózatba, és elkezdte letölteni az értékesítési képviselő legújabb e-mailjeit. Szerencsére a második vevő kiderült, hogy őszinte legyek, és a rendszer adatai végül megsemmisültek. Azonban nem mindenki olyan szerencsés, és ami még fontosabb, nem minden helyzet teljesen nyilvánvaló.

Naponta több ezer érzékeny adatot tartalmazó számítógépet dobnak ki a szemetet, vagy adományoznak magánszemélyeknek és szervezeteknek. A probléma az, hogy gyakran a számítógépeiket egyszerűen kikapcsolják és bezárják a merevlemezen lévő meglévő adatok nélkül. Ezek a számítógépek gyakran nem érnek el hulladéklerakókban. Ehelyett más számítógépekkel együtt kerülnek csomagolásra, raklapra rakva, majd árverésen értékesítették a dollár fillérekért.

Az azonosító tolvajok már évek óta tisztában vannak ezekkel a gyakorlatokkal és keresnek aukciókat, ahol ezeket a raklapokat kínálják. Ezután visszaküldi a számítógépeket, és egyenként átmegy a merevlemezeken található összes adaton. Néhányan észlelik a merevlemezekkel kapcsolatos kockázatokat, és törlik a bizalmas fájlokat, mielőtt bekapcsolják őket. Sajnos a tolvajok ezt várják, így a meglévő adatok mellett csak a merevlemezen átesett, visszafordíthatatlan szoftvereket futtatnak. megtalálja a korábban törölt fájlokat.

Bár a tolvajok nem garantálják bizalmas információ megszerzését ilyen módon, a kockázat-jutalom kifizetés határozottan kedvező. Még akkor is, ha csak egy számítógép tartalmaz egy ember bizalmas információt, az azonosító tolvaj sokkal többet fog tenni, mint a kis összegű befektetés,.

Természetesen nem csak a számítógépet adod el. Más esetekben a tolvajok megszerzik a régi laptopokat és számítógépeket olyan helyeken, mint az eBay. Ezeket a számítógépeket gyakran használják otthoni felhasználók és nagyvállalatok. Ismét a cél a tolvaj, hogy visszavonja a fájlokat a számítógépen, amikor megérkezik azzal a reménnyel, hogy olyan információkat szerezhet, amelyeket a személyazonosság-lopás elkövetésére használhat.

Bár a személyazonosság-lopás nagy jelentőséggel bír, vannak olyan jogi problémák is, amelyek a számítógépről érkező adatokból származhatnak. Például egy ügyvéd, aki bizalmas esetinformációkat hagy a merevlemezen, érdemes aranyat érni a személyazonosító tolvaj számára. Ismét az információ törlése nem jelenti azt, hogy eltűnt. Ha rossz kezekbe kerülne, akkor a költségek akár milliók, akár milliárdok lehetnek az érintett vállalatnál.

Távolítsd el az adatokat, mielőtt visszavonulnál egy számítógépet
Miközben az a javaslatom, hogy egyszerűen megsemmisítem a merevlemezt (a meghajtó megnyitása és egy kalapáztatás a meghajtó lemezekbe), mielőtt a számítógépet eldobnák, akkor nem feltétlenül lesz rá lehetőségem, ha a számítógépet értékesíted. Ha a merevlemez-meghajtót még mindig telepíti, akkor a következő legjobb megoldás a merevlemez újraformázása olyan szoftverrel, amely biztonságosan törli az adatokat.

Ha töröl egy fájlt a számítógép merevlemezéről, akkor a fájl technikailag nem megy el. Ehelyett a pointer rekord eltávolítja a fájl helyét, de a fájl maga is megmarad. Idővel a fájlok egy része vagy az összes fájl felül lesz írva, mivel az újabb programok a helyükön kerülnek mentésre. Kis meghajtók esetén ez gyorsan megtörténhet, de nagy meghajtók esetén ez sokkal hosszabb időt vehet igénybe. Számos szoftveralkalmazást terveztek a törölt fájlok megtalálásához és visszaállításához. Ezek a programok rendkívül könnyen kezelhetők, és csak néhány percet vesz igénybe, hogy nyomon kövesse a korábban törölt fájlok százát.

Vannak azonban szoftverek, amelyeket úgy terveztek, hogy biztonságosan törölje a kiválasztott fájlokat a merevlemezről. A legtöbb esetben a szoftver jelzi, hogy a fájl a merevlemezen tartózkodik, és többször írja az új adatokat erre a helyre. Minél több alkalommal ír az adatokat az előző fájl helyére, annál kevésbé valószínű, hogy valaki visszavonhatja az eredeti fájlt. Mindkét program ingyenes és vállalati verziója elérhetővé teszi az adatok és a szoftverek végleges törlését. Bár az ingyenes verziók nem elég felhasználóbarátak, általában ugyanolyan biztonságosak.

Könnyű azt mondani, hogy törölni kell mindazt, ami bizalmas; végső soron ez nehezebbnek bizonyulhat, mint gondolná. Gyakran előfordul, hogy az operációs rendszerek az adatok mentését, beleértve a gépelés közben végzett biztonsági másolatokat, miközben dolgozik rájuk. Még akkor is, ha törli az elsődleges fájlt, a mentés továbbra is rejtve marad a meghajtón, de könnyen megtalálható a “visszavonás” szoftver segítségével. Emiatt, ha lehetséges, javaslom, hogy soha ne adjon régi számítógépét a merevlemezek még telepítettnek és épnek, bárkinek, akit nem tud megbízni. És győződjön meg róla, hogy megsemmisíti a meghajtókat, mielőtt eldobja a szemetet.

Kivonat a Jim Stickley “Az igazságtalanságról való igazságtól”. Szerzői jog (c) 2008 a Pearson Education. Pearson engedélyével újranyomtatva.