Krađa identiteta: Vaš otpad, njihovo blago

Autor Jim Stickley ukrao je kreditne kartice, stvorio lažne bankomate, srušio brojeve socijalnog osiguranja i opljačkala banke. Ali on nije kriminalac. Tvrtke su angažirale tvrtke Stickley da pronađu svoje sigurnosne nedostatke. U svojoj knjizi “Istina o krađi identiteta”, Stickley piše o tome kako ranjive osobe mogu ukrasti svoje identitete. U ovom izvatku upozorava da bi ljudi trebali dvaput razmišljati o onome što bacaju.

Dio II: Istina o otpadu

Jedan čovjekov otpad je identitet drugog čovjeka
Kroz godine sam razbio brojne banke kroz stotine različitih napada. Iako je svaki bio drukčiji, glavni je cilj često bio isti: dobiti pristup gotovini ili povjerljivim informacijama. Jednom sam se približila velika financijska institucija koja nije bila samo zabrinuta za sigurnost svojih fizičkih lokacija i mreže, već je imala i zabrinutosti oko rizika povezanih s gornjim upravljanjem. Ova institucija zatražila je da također istražim može li se njegov tim za upravljanje napasti na način koji bi mogao dopustiti kradljivcu identiteta veći pristup svojoj organizaciji.

Svakog poslijepodneva čekao sam na parkiralištu i gledao članove uprave da uđu u svoje vozilo. Tada sam ih slijedio kod kuće. U roku od nekoliko tjedana imala sam svaku od njihovih kućnih adresa. Budući da nisam imao dozvolu za ulazak u svoje domove i probijanje kroz svoje osobne stvari, odlučio sam za sljedeću najbolju stvar: smeće.

Tijekom godina, zadivila sam se onih stvari koje možete pronaći u smeću. Veliki posao za kradljivce identiteta u osobnom smeću. Što je još važnije, nakon što stavite smeće na ulicu za sakupljanje smeća, obično postaje otvoren za javnost. To znači da, ako sam tako sklon, mogu uzeti taj smeće i donijeti ga kući, što je upravo ono što sam učinio. Svaki bi tjedan pušio svoje gumene rukavice i prolazio kroz svaku stavku smeća: ping liste trgovine, ljepljive bilješke s telefonskim brojevima, privatni poziv za malu djevojčicu na rođendan prijatelja i još mnogo toga. Dok sam nastavio prolaziti kroz smeće menadžera, uspio sam sastaviti popis svojih davatelja usluga: vodeni račun, telefonski račun, plin i struju, kabel i tako dalje. Mogla bih upotrijebiti ove informacije ne samo da bih imala pristup njihovim životima, nego, ako sam htjela, preuzeti njihove živote.

Na kraju sam odlučio koristiti podatke o naplati davateljima internetskih usluga bankovnih menadžera kao pristupnom točkom za moj napad. Koristeći podatke dobivene iz računa, kontaktirala sam s menadžerima i objasnila da sam iz te tvrtke. Rekao sam im da ažuriramo naše usluge i da im, kako bi i dalje imali internetsku uslugu, trebali instalirati ažurirani softver. Objasnio sam da će softver doći sljedećeg tjedna.

Zato što sam tijekom poziva bio u mogućnosti upućivati ​​na prošle podatke o naplati, žrtve nikada nisu sumnjivale na to. U roku od tjedan dana, svaki je primio paket u poruci koji sadrži “softver za nadogradnju” i upute. Jedan po jedan, upravitelji su instalirali softver.

Naravno, softver koji su upravo instalirali bio je zlonamjeran i posebno dizajniran da mi dopusti pristup svom računalu putem interneta s bilo kojeg mjesta na svijetu. Ubrzo nakon što su instalirali softver, bio sam na svojim računalima prolazio kroz sve svoje datoteke. U roku od nekoliko kratkih dana imala sam korisnička imena i lozinke za korporacijske sustave, pa čak i VPN pristup, što me je omogućilo izravno povezivanje s internom mrežom financijske institucije.

Kad sam poslala svoje izvješće rukovoditeljima organizacije, oni su očito bili podne. Nitko od njih nikada nije sumnjao da sam ih ciljala kod kuće, iako su svi potpisani odricanja dopustili da to učinim. Rekli su da se oprezno bave e-porukama koje su im poslani, jer su bili uvjereni da je to kako ću pokušati ući; ali ideja da ću proći kroz smeće i koristiti ih protiv njih nikada nije prešao njihov um.

Možda se pitate što ta priča ima vezana uz krađu identiteta. Naravno, uspio sam pristupiti toj financijskoj instituciji napadajući svoje zaposlenike kod kuće, ali tehnički, zaposlenik nikada nije bio izravno izložen riziku, samo poslodavac. U stvarnosti, ti zaposlenici su se pokazali daleko ranjivijima nego što sam to zamišljao. Međutim, budući da nisam angažiran da ih osobno testirate, samo sam zaobišao te mogućnosti i ostala usredotočena na moj primarni cilj: banka.

Ako posjedujete kreditnu karticu, vjerojatno ste naviknuti na zbrku bezvrijedne pošte koja dolazi u ime tvrtke kreditne kartice. Dok je većina otpada uključena u račun bezopasna, problem se događa kada tvrtka kreditne kartice odluči olakšati potrošnju novca. Provjere kreditnih kartica postale su unosan posao za tvrtke s kreditnim karticama. Ove provjere mogu se koristiti kao i redovite provjere kako bi platili nešto od drugih računa s kreditnim karticama na kupnju hrane u trgovini. Budući da te provjere možete koristiti u situacijama u kojima kreditne kartice ne bi bile prihvaćene, dopuštaju vam novu slobodu da nastavite s podizanjem dugova kreditne kartice. Ove provjere često su uključene u brojne druge dokumente koji su sve napunjeni u vašu mjesečnu izjavu o kreditnoj kartici.

Dok su napadali bankovnog menadžmenta, pronašao sam mnoge od tih čekanja i dalje unutar otvorene omotnice, koja je bila ispuštena u smeće. Sve što sam morao učiniti je da se provjere i idem na ping spree. (Naravno, nisam, ali da sam bio pravi lopov, upravo bih probudio u pravi rudnik zlata.)

Postoje i druge mogućnosti napada na krađu identiteta koje su mi dostupne tijekom ovih testova. Svaki račun koji sam pronašao sadržavao je velike informacije. Primjerice, na kabelskom računu bilo je dostupno ime, adresa i broj računa žrtve. Osim toga, mogao sam vidjeti ukupni iznos tekućeg računa, iznos prethodnog računa i ako su to platili. Koristeći samo ove informacije, mogao bih nazvati žrtvu, objasniti da sam iz kabelske tvrtke i reći da nismo primili uplatu za račun ovog mjeseca. Žrtva bi, naravno, rekla da je to platio, a ja bih tvrdio da je možda poslao ček, ali ga nismo primili, pa bi to moglo biti izgubljeno u pošti. Objasnio bih da je, iako nesretni, njegova usluga bila isključena i morat će platiti naknadu kako bi se ponovno omogućila.

Tada bih žrtvama pružio mogućnost plaćanja računa kreditnom karticom ili provjerom preko telefona. Objasnio bih da bi se, ako bi se njegovo drugo plaćanje konačno pojavilo, uništilo. Opet, važno je napomenuti da je spominjanje prethodne količine žrtve i kada je primljeno, pomoglo mi je vjerodostojnost. Žrtva bi se prepustila i dala broj svoje kreditne kartice ili broj tekućeg računa i bankovni broj. Jednom kad sam završio, mogao sam jednostavno uzeti te informacije i otići na kupnju kupovine.

Postoji jednostavno rješenje za izbjegavanje takvog napada: uništiti sve. Mislim to. Sve! Ako bacate bilo koji papir koji sadrži osobne podatke, prvo uklonite. Shredders dolaze u nekoliko različitih tipova, ali preporučujem vam da potrošite malo dodatne kako biste bili sigurni da se križi križići i mogu uništiti CD i kreditne kartice. Ova vrsta brusilice brže se pokreće i istovremeno skuplja više predmeta, omogućujući vam da manje vremena provedete ispred nje.

Zapamtite: smeće jednog čovjeka zaista može biti blago čovječanstva. Nažalost, blago jednog čovjeka zapravo može biti ukradeno iz identiteta drugog čovjeka. Zato počnite shredding.

Ronjenje za zaradu
U prethodnoj Istini govorio sam o tome što ljudi bacaju kad su kod kuće i rizici koji dolaze s njom. Ipak, ti ​​rizici nisu ništa u usporedbi s onim što su mi suradnici i ja otkrio dok smo imali ronjenje za kavu tijekom godina. Dok su mnoge države započele procesuiranje tvrtki zbog nesigurno odbacivanja povjerljivih podataka potrošača, čini se da većina svijeta jednostavno ne obraća pažnju.

Početkom 2007. godine Radio Shack navodno je bacio više od 20 kutija s privatnim informacijama za tisuće korisnika. Čovjek koji je pretraživao kontejner pronašao je kutije i izvijestio. U travnju je država Texas podnijela građansku tužbu protiv Radio Shacka zbog navodnog izlaganja svojih klijenata krađi identiteta. Tužba je tvrdila da je tvrtka “propustila očuvati podatke brisanjem, brisanjem ili drugim sredstvima, kako bi je učinila nečitljivim ili nedokazivim prije odlaganja poslovnih evidencija”.

Činjenica da su podaci otkriveni nije iznenađenje. Jednostavna činjenica je da je tijekom stotina kontejnera s kojima sam imala zadovoljstvo “posjećivati”, bio je rijedak dan kad sam se vratio praznih ruku. Najčešće ostavljam s dovoljno povjerljivih informacija da prosječni kradljivac identiteta ostane u poslovanju mjesecima ili čak godinama. Pronašao sam brojeve socijalnog osiguranja, kopije vozačkih dozvola, kreditne prijave, brojeve kreditnih kartica, potpune nazive i adrese i telefonske brojeve – sve u smeću. A to su samo očite stvari.

Tvrtka koju smo nedavno testirali zapravo je odbacila dokumentaciju o testiranju na sve potencijalne nove zaposlenike. Svaki dokument sadrži ime, adresu, broj socijalnog osiguranja i rezultate testa. Ne samo da je tvrtka stavila tu osobu u opasnost od krađe identiteta, već je također bila i bomba za pješačenje za tužbu. Zamislite da je jedan od tih potencijalnih zaposlenika propustio taj test i informacije su bile javne? Izbacivanje bi moglo biti razorno sa svih strana.

Na drugom mjestu financijska je institucija odbacila povjerljive informacije, uključujući kopije zahtjeva za kredit, brojeve socijalnog osiguranja, brojeve bankovnih računa i još mnogo toga. No, u ovom slučaju, umjesto stavljanja predmeta u skladište otpada, ustanova je stavila podatke u posude koje su smještene izvan objekta određenog za recikliranje. Primijetio sam da se čini da je to dio rastućeg trenda gubitka povjerljivih informacija. Općenito govoreći, ljudi su zainteresirani za zeleni pokret, a umjesto bacanja predmeta koji se trebaju kopirati u odgovarajuće namjensko područje, stavljaju dokumente u koš za smeće.

Recikliranje nasuprot uništavanju
Kad sam razgovarao s zaposlenicima koji su uhvaćeni da stavljaju osjetljive dokumente u košare za recikliranje, njihovo je objašnjenje bilo da misle da je recikliranje bilo drugačije od smeća i stoga je sigurno. Kad se od mene traži objašnjenje, zaposlenici obično kažu da, dok se otpad završava na odlagalištima gdje bi netko mogao dobiti ruke na njemu, recikliranje će se odvesti na mjesto gdje će se ponovno koristiti. Često mi kažu da smatraju da je sigurno staviti povjerljive dokumente u kantu za recikliranje budući da će dokument biti uništen umjesto da bude otpremljen na odlagalište. Dopustite mi da budem sasvim jasan: reciklaža nije sigurnija od bacanja predmeta u smeće. Za one koji su zabrinuti zbog zelenosti, većina velikih tvrtki za uništavanje tvrtke recikliraju nakon što su shrvili dokumente.

Recikliranje nije više sigurno nego bacanje stavki u smeće.

Koja je linija vaše tvrtke??
Otkrila sam da je količina povjerljivih informacija koje otkrijem u smeću izravno povezana s koliko organizacija propovijeda vrline brisanja zaposlenicima.

Moja osobna teorija je ovo: Šetnja do radnog stola i stavite ruku ravno poput krila na avionu. Sada se vrti u krug. Postoji li mjesto zaposlenika da stavlja povjerljive dokumente koji zahtijevaju uništavanje unutar vašeg dosega? Ako ne, mogu vam obećati da zaposlenici vjerojatno ne skidaju sve što im je potrebno.

Problem je ovo: Često puta organizacija stavlja usitnjenu bačvu na svaki kat svojeg postrojenja. Očekuje se da će se zaposlenici tijekom dana ustajati i postavljati sve dokumente s povjerljivim informacijama o njima u te sanduke. Naravno, ono što se završi događa se da zaposlenici počinju graditi hrpu na svojim deskovima upitnih stavki. Kako dan prolazi, papiri se počinju približavati. Budući da su zaposleni zaposleni i nisu spremni zauzeti stog u bačvu, često ih stavljaju u smeće ili rade ono što ja nazivam “siromašnim čovjekom”. To znači da fizički sami raščlanjuju papir. Kad nađem dokumente koji su ručno rastrgani, odvodim ih kući i dajem im svom 7-godišnjem sinu i reci mu da je to zagonetka. Uvijek ih vraća zajedno.

U drugim slučajevima, ako zaposlenici završe sa samo jednim dokumentom koji je potreban za usitnjavanje, možda ne žele gubiti putovanje u bačvu strugotine, pa opet, dokument završava u smeću.

Shredders za sve
Najbolje je rješenje imati mali šišar za svaki stol. To olakšava zaposlenicima da unište svaki radni dokument, uklanjajući svaku zbunjenost onoga što je i ne smatra se povjerljivima. Ako to nije izvedivo, dodajte drugi kantu za smeće na svaki stol namijenjen za uništavanje. Ako odaberete ovu drugu opciju, budite svjesni da dolazi s dodatnim rizicima. Morate se uvjeriti da se recikliranje na radnom stolu svakog zaposlenika ukloni krajem svakog dana. Ne želite ostaviti otvorenu kutiju povjerljivih dokumenata na svakom stolu gdje bi posada za čišćenje ili drugi posjetitelji mogli imati pristup.

Moj zadnji prijedlog je najvažniji. Preporučujem vam da dobijete neke gumene rukavice i nekoliko praznih vrećica za smeće i izađite na svoj vlastiti dumpster. Saznajte za sebe što završava u vašem otpadu. Vjerojatno ćete biti zaprepašteni i možda čak i malo zabrinuti za ono što ste pronašli.

Vaše rabljeno računalo vrijedi njezinu težinu u zlatu
Prije nekoliko godina radio sam za tvrtku koja je imala prodavače koji su se nalazili diljem SAD-a. Jednog dana primio sam poziv od suradnika koji je bio jako uzrujan zbog telefonskog poziva koji je upravo primio. Muškarac u Las Vegasu pozvao ga je da ga obavijesti da gleda dokumente za nekoliko naših korporativnih klijenata. Osim toga, imao je pristup nekoliko mjeseci korporativne e-pošte i brojne druge dopise i vlasničke informacije. Dok je zvučalo kao da ovaj čovjek pokušava ugroziti našu tvrtku, pokazalo se da je uplašen zbog takvog smiješnog prekršaja u sigurnosti i osjećao dužan nazvati i reći nekome.

Nekoliko mjeseci ranije, drugi prodajni zastupnik koji je živio u Las Vegasu kupio je osobni laptop. Dok je zapravo posjedovao prijenosno računalo, radio je na daljinu iz kuće u korporativni ured. Budući da je bio predstavnik prodaje, imao je pristup brojnim korporativnim datotekama, e-poštom, korisničkim računima i tako dalje. Nakon nekoliko mjeseci odlučio je da laptop više nije adekvatan. Zatim se vratio u trgovinu gdje ju je kupio i zatražio povrat novca. Nevjerojatno, dobio je povrat novca i vratio računalo u trgovinu sa svim povjerljivim datotekama na njemu. Sva korisnička imena i lozinke spremljene na sustavu ostale su iza [md] e-poruka, bilješki, datoteka, dokumenata, sve.

Sada bi se moglo pomisliti da bi ovaj laptop bio preoblikovan i vraćen u tvornicu prije nego što se preprodati. Bilo je jasno da su ga koristili nekoliko mjeseci. Nažalost, ipak, laptop je prodan drugom kupcu koji još uvijek sadrži sve povjerljive datoteke prodajnog predstavnika.

Mogu samo zamisliti šok drugog vlasnika kada je otvorio Outlook i automatski se prijavio na korporativnu mrežu i počeo preuzimati najnovije e-poruke prodajnog predstavnika. Srećom, drugi kupac pokazao se iskrenim, a podaci o sustavu konačno su uništeni. Međutim, nije svatko sretan i, što je još važnije, nije svaka situacija sasvim očita.

Svakodnevno tisuće računala koja sadrže osjetljive podatke završavaju bacanjem u smeće ili doniraju pojedincima i organizacijama. Problem je u tome što se često računala jednostavno isključuju i spremaju bez ikakve muke za postojeće podatke koji su još uvijek na tvrdim diskovima. Ta računala često ne završavaju na odlagalištima. Umjesto toga, oni se grupiraju zajedno s drugim računalima, postavljeni na paletu, a zatim se prodaju u rasutom stanju na aukcijama za novčana jedinica na dolaru.

Kradljivci identiteta već godinama svjesni su ove prakse i traže aukcije gdje se nude ove palete računala. Zatim se računalo vraćaju kući i, jedan po jedan, prolaze kroz sve podatke koji se nalaze na tvrdim diskovima. Neki ljudi shvaćaju rizike povezane s njihovim tvrdim diskovima i izbrišu sve povjerljive datoteke prije nego što su ih pretvorili. Nažalost, lopovi to očekuju, pa osim što samo gledaju postojeće podatke, pokreću softver koji se ne vraća, a koji prolazi kroz tvrdi disk i pronalazi datoteke koje su prethodno bile izbrisane.

Iako lopovi nisu zajamčeni za dobivanje povjerljivih informacija na ovaj način, rizik za nadoknadu isplata je definitivno u njihovu korist. Čak i ako samo jedno računalo sadrži samo jednu osobu povjerljive informacije, identitet lopov će učiniti daleko više od male investicije koju je platio za onu paletu računala.

Naravno, to nije samo računala koju dajete. U drugim slučajevima, lopovi kupuju stare prijenosnike i računala putem web mjesta kao što je eBay. Ta računala često nude i kućni korisnici i velike korporacije. Opet, cilj lopova je povratiti sve datoteke na računalu kada stigne s nadom dobivanja informacija koje može koristiti za krađu identiteta.

Dok je krađa identiteta od velike važnosti, tu su i pravni problemi koji mogu doći iz podataka koji ostaju na računalu. Na primjer, odvjetnik koji ostavlja povjerljive podatke o slučaju na tvrdom disku mogao bi vrijediti svoju težinu u zlato kradljivcu identiteta. Opet, samo brisanje informacija ne znači da je nestalo. Ako bi završili u pogrešnim rukama, troškovi bi mogli biti milijuni ili čak milijardi za pogođene korporacije.

Uništite svoje podatke prije odustajanja od računala
Iako je moj prijedlog jednostavno uništiti tvrdi disk (otvaranje pogona i uzimanje čekića na pogonske pločice, to će napraviti trik) prije odlaganja računala, nećete nužno imati tu opciju ako prodajete računalo. Ako prodajete računalo s tvrdim diskom koji je još instaliran, sljedeća najbolja opcija je preoblikovanje tvrdog diska pomoću softvera dizajniran za sigurno brisanje podataka.

Kada izbrišete datoteku s tvrdog diska računala, datoteka tehnički ne odlazi. Umjesto toga uklanja se zapis pokazivača koji pokazuje gdje se datoteka nalazi, ali sama datoteka ostaje. S vremenom će neke ili sve datoteke biti prepisane dok se novi programi spremaju na njegovo mjesto. S malim pogonima to se može dogoditi brzo, ali s velikim pogonima, to može potrajati dulje vremensko razdoblje. Brojne softverske aplikacije dizajnirane su za pronalaženje i poništavanje brisanja izbrisanih datoteka. Ovi programi su izuzetno jednostavni za uporabu i traju samo nekoliko minuta za praćenje stotina prethodno izbrisanih datoteka.

Tu je, međutim, softver koji je dizajniran da sigurno uklanja odabrane datoteke s tvrdog diska. U većini slučajeva softver zastave gdje je datoteka bila na tvrdom disku, a zatim više puta zapisuje nove podatke na tu lokaciju. Što više puta piše podatke na lokaciju prethodne datoteke, manje je vjerojatno da netko može poništiti originalnu datoteku. Ove besplatne i korporativne verzije tih programa dostupne su za trajno brisanje vaših podataka i softverskih aplikacija. Iako besplatne verzije možda nisu prilično korisne, uglavnom su jednako sigurne.

Lako mi je reći da trebate izbrisati sve što je povjerljivo; u konačnici, to može biti teže nego što mislite. Često, operativni sustavi spremaju podatke, uključujući i sigurnosne kopije onoga što upisujete dok radite na njima. Čak i ako izbrišete primarnu datoteku, sigurnosna kopija još uvijek može biti skrivena daleko na vašem pogonu, ali ga lako može pronaći pomoću softvera “undelete”. Iz tog razloga, ako je moguće, predlažem vam da nikad ne dajete svoje starije računalo s tvrdim diskovima koji su još uvijek instalirani i netaknuti za svakoga tko se ne možete potpuno pouzdati. I budite sigurni da uništite svoje pogone prije nego što ih bacite u smeće.

Izvadak iz “Istine o krađi identiteta” Jima Sticklevja. Autorska prava (c) 2008 od strane Pearson Education. Ponovno ispisano s dopuštenjem Pearson.