Zdjęcia dowodów, paszportów, a nawet mandatów. Sprawdziliśmy, co Polacy wrzucają do sieci

Wniosek? Bycie internetowym przestępcą to dziś bułka z masłem. Nie trzeba się nawet starać. Wszelkie niezbędne do oszustw dane Polacy udostępniają sami. Wystarczy chwila w mediach społecznościowych, by znaleźć zdjęcia dowodów osobistych, legitymacji szkolnych, biletów lotniczych, a nawet mandatów. A to już prosta droga do tego, żeby wykorzystać je do kradzieży.

Maciej Budzich, założyciel portalu MediaFun, przeprowadził kontrolowany wyciek danych ze swojej karty kredytowej. Został okradziony po pięciu minutach. "Pieniądze z konta zniknęły błyskawicznie, po niecałych 5 minutach od publikacji zdjęcia w sieci odnotowałem pierwszą skuteczną transakcję. Potem były mniejsze drobne zakupy i próby" – pisał Budzich w podsumowaniu swojej akcji. Zdjęcia ze specjalną edycją karty debetowej trafiły na Facebooka, Instagram i Twittera – bloger umieścił fotografię przodu i tyłu, nie zasłaniając żadnych informacji z karty. Podpisy sugerowały, że po prostu cieszy się nowym nabytkiem i chce się podzielić tym ze światem, jednak wszystko było zaplanowane jako część pewnego eksperymentu.

Bloger liczył się z tym, że szybko znajdą się osoby, które zechcą wykorzystać okazję. Niestety wielu Polaków nie jest tego świadomych i beztrosko publikują wrażliwe informacje. Wystarczy chwila w mediach społecznościowych, by znaleźć zdjęcia dokumentów ujawniających dane, które nie powinny być publiczne. A są na wyciągnięcie ręki. Co może się stać, gdy wrzucimy je do sieci?

Niektórzy chcą pochwalić się dorosłością, inni ślubem i związaną z tym zmianą nazwiska. W tym celu wrzucają w media społecznościowe zdjęcia świeżutkich dowodów osobistych. Ujawnienie pierwszej strony dowodu to skarbnica danych, które wykorzystać można np. do podrobienia dokumentu i wzięcia chwilówki. To najczarniejszy scenariusz.

Na nowych dowodach na awersie nie ma już numeru PESEL. Znalazłem w sieci - głównie na Instagramie - starsze dokumenty, na których PESEL był, ale wrzucający go zakreślił albo rozmazał. Brawo? Niekoniecznie, bo wciąż widoczne były dane, z których i tak da się zrobić pożytek. Np. imiona rodziców, drugie imię albo nazwisko rodowe. Bardzo często właśnie takie informacje wpisujemy podczas rejestracji w wielu serwisach, jako “pytania pomocnicze”, które w razie czego mają nam pomóc odzyskać konto lub zresetować hasło. Wrzucający swoje dowody do sieci podali je więc cyberprzestępcom na tacy, a ci mogą je wykorzystać do przejęcia konta. Zresztą wiele bankowych oszustw zaczyna się od przejęcia danych osobowych. Przestępcy nie muszą więc specjalnie się silić, wystarczy, że przeszukają Instagram.

Zamazanie wrażliwych danych ma jednak również lukę. To słuszna praktyka, ale… nieskuteczna, czego dowiódł portal Niebezpiecznik. Wystarczy darmowe narzędzie Smart Deblur, by odczytać dane, jeśli do ich rozmazania na obrazku użyto prostego rozmycia Gaussa. Jak więc lepiej się chronić? “Jeśli przygotowujecie grafikę z danymi, które mają zostać ocenzurowane, używajcie wyłącznie czarnych bloków lub jakiegokolwiek elementu graficznego, który skutecznie przykryje pierwotny fragment” - radzi Niebezpiecznik.

Te dokumenty bardzo często lądują na Instagramie - w końcu również można się pochwalić umiejętnościami i wiedzą. Niektórzy dokumentują też złamanie prawa, wrzucając do internetu fotki mandatów. Sęk w tym, że takie pismo zawiera nie tylko imię i nazwisko czy adres zamieszkania, ale i numer PESEL. Podobnie jest z legitymacją czy prawem jazdy. Na dodatek na mandacie jest także imię ojca, a więc kolejny brakujący element do odpowiedzi na pytanie pomocnicze. Nie tylko na stronach internetowych, ale i do banku.

Mandat z numerem PESEL i szczegółowymi informacjami znaleźć można na Instagramie

Takie informacje można wykorzystać również do przygotowania spreparowanej wiadomości mailowej czy facebookowej, podszywając się pod kuriera, bank czy inną firmę. Ofiara wówczas pomyśli, że skoro nadawca ma tak szczegółowe dane, to na pewno można mu zaufać - bo i skąd oszust miałby do nich dostęp? A odpowiedź jest prosta: z mediów społecznościowych.

Oczywiście - samo pozyskanie numeru PESEL na niewiele się zda, jeśli cyberprzestępca nie zna np. adresu mailowego czy numeru telefonu. Ale mając imię i nazwisko, łatwiej jest odszukać takie dane, choćby poprzez Facebooka. Udostępniając nawet tylko numer, PESEL po prostu ułatwiamy zadanie przestępcom. Tym bardziej, że nie wiadomo, co już o nas wiedzą.

Przykład blogera, który udostępnił zdjęcia swojej karty płatniczej, był skrajny, bo autor prowokacji wrzucił do sieci zdjęcia obu stron. Wiele osób uważa, że skoro tył jest niewidoczny, to niczego obawiać się nie trzeba - bo bez kodu CVV i tak nie potwierdzi się transakcji. Na dodatek chronieni jesteśmy przez bank, który wymaga podania np. kodu SMS. Jednak nie we wszystkich sklepach takie zabezpieczenia są stosowane i sam numer karty wystarczy, by zrobić zakupy. Warto więc zadać sobie pytanie, czy chce się ryzykować.

Wpisując w instagramową wyszukiwarkę hasztag “paszport” natkniemy się na mnóstwo dokumentów będących dowodem na to, że użytkownik właśnie wyjeżdza na wakacje. Na szczęście większość wrzuca tylko zdjęcie okładki, ale to nie oznacza, że nic groźnego stać się nie może. Przeważnie obok znajdują się zdjęcia biletów lotniczych lub kart pokładowych, jakby na potwierdzenie, że się nie zmyśla. I właśnie to może popsuć komuś wyjazd.

Karta pokładowa również zawiera prywatne dane. Wystarczy, że ktoś będzie znał nasz numer biletu, rezerwacji oraz imię i nazwisko, by w serwisach linii lotniczych zmienić dane pasażera, anulować bilet czy zmienić daty podróży - przestrzegał autor serwisu lojalnypasazer.pl. Nie mówiąc już o tym, że numer rezerwacji czy Passenger Name Record (PNR) może być przepustką do tego, by z systemu rezerwacyjnego “wyciągnąć” dane paszportowe. Nawet na nalepkach bagażowych znajdują się takie dane jak nazwisko pasażera i numer rezerwacji. To również może być dla cyberprzestępców źródłem cennych informacji o potencjalnej ofierze.

Dotyczy to nie tylko mediów społecznościowych. Po skończonym locie wyrzuca się kartę do kosza na śmieci, w miejscach publicznych. Tymczasem poufne dane zostają i nawet w ten sposób mogą wpaść w niepowołane ręce. Dlatego, na wszelki wypadek, lepiej zniszczyć zużyty bilet. Pozbywanie się karty pokładowej "w całości" jest pewnie nawet powszechniejsze niż chwalenie się nią w mediach społecznościowych. A straty mogą być takie same.

Idziesz na koncert zagranicznego artysty. Swojego ulubionego. Bilet trochę kosztował, ale trudno, raz się żyje. Czemu nie pochwalić się tym w mediach społecznościowych? Wrzucasz zdjęcie, bo przecież nic złego nie może się stać, prawda? Może.

Każdy bilet, zawierający kod kreskowy, może być podrobiony. “Ale przecież bilety są często imienne” - powiedzą niektórzy. To prawda, ale z własnego doświadczenia wiem, że mało który ochroniarz fatyguje się i sprawdza np. dowód. Jeżeli więc wrzucicie zdjęcie biletu do sieci, liczcie się z tym, że ktoś może je skopiować, przyjść wcześniej i wejść zamiast was. Albo komuś odsprzedać, piekąc dwie pieczenie na jednym ogniu.

Jak się chronić? Odpowiedź jest prosta - najlepiej nie wrzucać do sieci dokumentów zawierających wrażliwe dane. One mogą zostać tam na zawsze, o czym sami zapomnimy. Na Instagramie znalazłem zdjęcia legitymacji studenckich z 2014 roku. Dziś autor takiej fotki być może nie jest już tak nieroztropny. Ale co z tego, skoro nadal można odnaleźć jego numer PESEL i wykorzystać do niejednego oszustwa.