Atpažink

Tapatybės vagystės skaičiuoja ne vieną šimtmetį – jų pasitaikydavo net viduramžiais. Pavyzdžiui, už antspaudo padėjimą apsimetus kitu žmogumi būdavo baudžiama mirties bausme sudeginant. Panašios praktikos būta ir viduramžių Lietuvoje. Taigi jau tuomet visuomenė suprato, kaip svarbu žinoti, su kuo bendrauji, sudarai sutartis, ar kita šalis prisistato savo, o ne svetimu vardu.

Ir šiandien mums vienodai svarbu žinoti, ar kas nors mūsų vardu nesudaro sandorių, neapsiperka parduotuvėje, nedaro bet kokių kitų veiksmų, kurie mums turi neigiamų finansinių, teisinių, socialinių ar kitokių pasekmių. 

Atkreiptinas dėmesys, kad praktikoje tapatybės vagys renka informaciją ne tik apie gyvus, bet ir mirusius asmenis!

Tapatybės vagystės atvejai elektroninėje erdvėje daug sudėtingesni. Svarbiausia, kad tai vyksta prieš pat nosį, o Jūs nė neįtariate. Statistiškai tapatybės vagystės elektroninėje terpėje kur kas dažnesnės, jos mažiau pavojingos tapatybės vagišiams dėl jų sudėtingo susekamumo, be to, nusikalstamos veikos atliekamos niekur fiziškai nedalyvaujant, pvz., nusikaltėliams patogiai įsitaisius namuose.

Kasdieniniame gyvenime Jūsų konfidenciali informacija pasisavinama šiais tradiciniais būdais:

  • Renkama informacija sąvartynuose (angl. dumster diving). Kartais privačios bendrovės, valstybės institucijos, o ir patys vartotojai nesunaikina arba naikina netinkamai (dokumentai perplėšiami rankomis, nesinaudojama patikimais dokumentų naikinimo aparatais) dokumentus su asmens duomenimis, o blogiausiu atveju, tiesiog išmeta juos į šiukšlių dėžę. Kai kuriose valstybėse net samdomi asmenys, kad tokius dokumentus surinktų. Vėliau duomenys yra panaudojami nusikaltimų tikslais.

                                                                                            

  • Vagiamos piniginės, laiškai, bet kokia kita informacija su asmens duomenimis (angl. stealing). Svarbus bet koks asmeninės informacijos šaltinis.

    Asmenys gali būti sekami, stebimi siekiant nužiūrėti asmens ranka renkamus PIN kodus, įvairius slaptažodžius, kitą konfidencialią informaciją. Kartais tiesiog siekiama pasiklausyti telefoninių pokalbių, t. y. jų metu perduodamos informacijos, kuria vėliau būtų galima pasinaudoti. Kai kurie autoriai šį būdą vadina žiūrėjimu per petį (angl. shoulder surfing).

    Asmens duomenys išgaunami tiesiogiai iš paties asmens telefonu (Nusikaltėliai apsimeta tyrimus atliekančia kompanija, prisistato kaip bankų ar bet kokių kitų finansinių įstaigų atstovai ir išvilioja iš vartotojų jiems reikalingus asmens duomenis.) arba, atvirkščiai, sukčiai, prisidengdami melu siekia gauti informaciją apie kitą asmenį iš finansų įstaigų, mobilaus ar interneto ryšio operatorių. Kai kurie autoriai šį būdą vadina dingsties ieškojimu (angl. pretexting). 

  • Kyšininkaujama (angl. bribing), t. y. siekiama papirkti darbuotoją (privataus ar viešojo sektoriaus atstovą), kuris turi prieigą prie asmens duomenų ir kitos konfidencialios informacijos, tikslu gauti rūpimą informaciją.

Dažniausiai pasitaiko šie nusikaltimai pasitelkiant modernias technologijas:

Įsibrovimas (angl. hacking). Dažniausiai sukčius apeidamas sistemos slaptažodžius, saugumo priemones, patenka į sistemą. Ypač stengiamasi pasinaudoti saugumo spragomis, neapsaugotais bevieliais, intraneto tinklais, taip pat ieškoma sistemų, kuriose dauguma apsaugos funkcijų yra išjungtos [1].

Šnipinėjimo programa (angl. spyware). Tai programinė įranga, kuri be asmens žinios renka ir siunčia jo asmeninius duomenis nurodytu adresu. Dažniausiai pažeidinėjami privatumo lygiai. Renkami ir fiksuojami asmens naršymo įpročiai, dažnai lankomų svetainių adresai. Rinkodaros kompanijos kasmet išleidžia milijonus dolerių bandydamos nustatyti naudotojų išlaidų įpročius. Naršymo įpročiai paprastai nusiunčiami reklamos kompanijai, kuri ateityje pateikia tuos įpročius atitinkančią reklamą [1].

Slaptažodžio žvejyba (angl. phishing, Password phishing). Pasinaudojant nepageidaujamomis elektroninio pašto žinutėmis ar netikrais internetiniais tinklalapiais bandoma išgauti prisijungimo prie informacinių sistemų slaptažodžius, kitus asmeninius duomenis. Dažniausiai tokio sukčiavimo aukos būna banko klientai, siekiama sužinoti jų prisijungimo prie elektroninės bankininkystės sistemų slaptažodžius ar kreditinių kortelių duomenis. Gauta informacija gali būti panaudota pasipelnymo tikslais vykdant nusikalstamas veikas, neteisėtus prisijungimus prie informacinių sistemų, vagystes iš sąskaitų ar elektroninėje erdvėje atsiskaitant už prekes svetimomis mokėjimo kortelėmis. Taip pat egzistuoja trumpųjų žinučių sukčiavimai (angl. Smishing), internetinės balso telefonijos sukčiavimai (angl. vishing), apgaulingas laiškas (angl. scam). Tai nėra baigtinis sukčiavimų sąrašas, kiti būdai ir metodai labai panašūs į ką tik aptartuosius [1].

Trojos arklys (angl. trojans). Programa, sprendžianti kokį nors naudingą uždavinį, tačiau iš tikrųjų atliekanti kitą darbą. Naikina, sugadina Kompiuteryje esančius duomenis, programas. Dažniausiai trojos arkliai skirstomi į kirminams artimas programas, jos platina savo kopijas kompiuterių tinkluose. Kita rūšis – nuotolinio valdymo programos. Tai įprastos programos, kurias piktavaliai naudoja nuotoliniam sistemų administravimui. Pavojingiausios programos pasisavina informaciją, ją persiunčia tretiems asmenims, dažnai net naudoja paprastą el. paštą ar svetaines [1]. 

Apgaulinga IP taktika (angl. pharming). Siekiama nukreipti vienos svetainės srautą į kitą. Tai gali būti atliekama pakeitus pagrindinio kompiuterio nustatymus arba pasinaudojus sričių vardų serverių (DNS) eksploatavimo pažeidimais. Pažeisti sričių vardų serveriai vadinami užnuodytais (angl. dns cache poisoning) [1].

Kenkimo programinė įranga (angl. malware). Įdiegus vartotojo kompiuteryje kenkimo programas, jos pačios surenka ir persiunčia reikalingus duomenis. Paprastai interneto vartotojo kompiuteris užkrečiamas, kai vartotojas apsilanko specialiai tam skirtose interneto svetainėse. Nuorodos į šias svetaines vartotoją pasiekia  su nepageidaujamais  elektroninio pašto laiškais, per internetinių pokalbių programas ir pan. Kenkimo programos taip pat gali būti platinamos su nemokama programine įranga arba programėlėmis, skirtomis apsaugotoms mokamoms programoms nulaužti (angl. crack). Vienos jų stebi ir fiksuoja klaviatūros mygtukų paspaudimus, labiau ištobulintos perima informaciją, kurią vartotojas įveda į internete pateikiamas formas, arba net pačios modifikuoja tokias duomenų įvedimo formas [1].

Pakartojimo ataka (angl. replay attack) – mėginama prisijungti prie kompiuterio tinklo, siekiant pakartotinai išsiųsti vartotojo informaciją. Jeigu informacija koduojama, galima pakartoti tą patį duomenų siuntimą tikintis, kad serveris patikės, jog tai tas pats vartotojas [2].

Nepageidaujami elektroniniai laiškai (angl. spam) – elektroninio pašto laiškai, siunčiami dideliais kiekiais be gavėjų sutikimo. Vartotojui tai tiesiog laiškai, kurių jis nenori matyti el. pašto dėžutėje. Didžiąją dalį srauto sudaro laiškai, siunčiami komerciniais arba reklaminiais tikslais, t. y. tiesioginės rinkodaros pranešimai. Labiausiai reikia saugotis kenkėjiško pobūdžio laiškų, kai su jais keliauja ir kenkėjiška programinė įranga: kompiuterių virusai, vadinamieji interneto kirminai bei Trojos arkliai ar pan. Dažnai tai būna kompiuterių programos, skenuojančios viruso pažeisto kompiuterio atmintį ir ieškančios el. pašto adresų, kuriais būtų galima persiųsti virusą kitai potencialiai aukai.

Duomenų, įrašytų magnetinėje juostelėje, nuskaitymas (angl. skimming). Mokėjimo ar kitose kortelėse naudojama magnetinė juostelė leidžia lengvai įrašyti kortelės turėtojo duomenis ir užprogramuoti ją tam tikriems veiksmams atlikti, tačiau taip pat nesunkiai šie duomenys gali būti ir nuskaitomi. Tam naudojami savadarbiai įtaisai (angl. skimmer), kurie užmaskuojami (daromi kuo mažesni, parenkama spalva) ir montuojami ant bankomatų. Pasinaudojus tokiu bankomatu kortelės duomenys, PIN kodas nuskaitomas, tačiau pats bankomatas veikia įprastai. Panašūs įrenginiai gali būti montuojami ir kitose atsiskaitymo mokėjimo kortelėmis vietose [1]. 

Kriptografija – tai mokslas tiriantis, kaip užšifruoti ir iššifruoti įvairius pranešimus, kad tik pasirinkti gavėjai galėtų juos suprasti. Paskutiniais metais kriptografija taikoma konfidencialių duomenų rinkimo ir saugojimo, elektroninės bankininkystės ir pan. srityse.

Falsifikuoti internetiniai tinklalapiai (angl. scam), tai atakos pagrįstu padirbtu kokios nors institucijos (pvz., finansų įstaigos) tinklalapiu. Toks tinklalapis būna tiksliai nukopijuotas bei funkcionuoja visiškai kaip reali svetainė. Paprastai juose siūlomos prekės ar paslaugos neįprastai žema kaina.

Apgaulės ataka (angl. spoofing), tai tokie veiksmai, kuriais siekiama išsiųsti nepageidaujamą informaciją plačiam gavėjų ratui, naudojamas netikras elektroninis paštas.

Elektroninių šiukšlių rinkimas (angl. dumster diving). Kaip kasdieniniame gyvenime galimas fizinių šiukšlių rinkimas, taip elektroninėje erdvėje įmanomas elektroninių šiukšlių rinkimas. Peržiūrimi jau ištrinti dokumentai ir kitokia informacija.

Netikro profilio socialiniame tinkle sukūrimas. Kito asmens vardu užpildoma ir socialiniame tinkle užregistruojama anketa.[3].

Pasaulyje egzistuoja daug kitų metodų, bet visi jie veikia panašiai, išnaudodami tinklų, sistemų saugumo ar technologines spragas.

Atsirandantys nauji metodai verčia informacinių technologijų gamintojus keisti saugumo, duomenų perdavimo ar apsikeitimo standartus. Vienintelis galimas būdas užtikrinti tapatybę elektroninėje erdvėje – galinga kriptografija. Būtent kriptografijos metodas labai sumažina tapatybės vagystės riziką [2].

Tapatybės vagystės rūšys

Tapatybės vagystės paprastai skirstomos į tam tikras rūšis. Nors akademinėje literatūroje nėra nusistovėjusio tapatybės vagysčių skirstymo į konkrečias rūšis, išskyrus, kai jos skirstomos pagal įvykdymo vietą, t. y. elektroninėje erdvėje (panaudojant šiuolaikines technologijas) ir neelektroninėje erdvėje (kasdieniniame gyvenime), tačiau saugumo specialistai ar akademikai šias veikas rūšiuoja pagal įvairius kriterijus. Pavyzdžiui, atsižvelgdami į jų tikslus, kurių siekiama konkrečia veika, pasekmes, tikslines aukų grupes ir kt.

Dažniausiai ieškant informacijos apie tapatybės vagystes galima sutikti šias tapatybės vagystės rūšis:

Finansinė (angl. Financial Identity Theft). Bene labiausiai paplitusi tapatybės vagysčių rūšis, kurios baiminasi kiekvienas. Paprastai nuimami nuo bankinės sąskaitos pinigai, apsiperkama internetinėse parduotuvėse, paimami greitieji kreditai, atliekamos veikos, kurios tiesiogiai susijusios su vartotojo finansiniais nuostoliais.

Banko operacijų (angl. Banking Identity Theft). Aukos, apgautos sukčių, prisijungia prie netikrų banko svetainių per elektroniniuose laiškuose pateiktas nuorodas. Šiose svetainėse paprastai prašoma pateikti konfidencialią informaciją.

Medicinos (angl. Medical Identity Theft). Medicinos tapatybės vagys pasinaudodami pacientų duomenimis fiktyviai sukuria netikrą gydymo istoriją, kurios pagalba sukčiai gauna sveikatos draudimo išmokas. Paciento sveikatos duomenys naudojami receptiniams vaistams išrašyti, mokamoms sveikatos paslaugoms gauti ir pan. Plačiau galite pasiskaityti čia.

Baudžiamoji (angl. Criminal Identity Theft). Nusikaltėliai pasinaudoja gyventojų duomenimis sukurdami sau naują tapatybę, kuria naudojasi bendraudami su teisėsaugos institucijomis (pavyzdžiui, prisistatydami arešto metu) arba maskuodami savo nusikalstamas veikas, kad nebūtų galima atskleisti jų nusikaltimų.

Verslo (taikoma išimtinai juridiniams asmenims) (angl. Corporate Identity Theft). Pasitaiko atvejų, kai sukčių taikiniu tampa juridiniai asmenys, turintys verslo partnerių užsienyje. Sukčiai, surinkę pakankamai informacijos apie įmonės verslo partnerius, jų duomenis, sąskaitų numerius, o neretai ir įsilaužę į elektroninio pašto paskyras, įmonei atsiunčia elektroninio pašto laišką nuo verslo partnerio, kuriame praneša, kad už paslaugas reikia pervesti lėšas į kitą sąskaitą negu įprasta. Prašymas motyvuojamas pasikeitusia banko sąskaita ar jos areštu dėl teisėsaugos ar antstolio veiksmų. Tokiu būdu įmonė lėšas perveda ne verslo partneriams, o sukčiams ar jų bendrams.

Sintetinė (angl. Synhtetic Identity Theft). Turbūt tai pati sudėtingiausia tapatybės vagystės forma. Tapatybės vagišiai sukuria naują tapatybę derindami fiktyvią ir tikrą asmens konfidencialią informaciją. Šiam naujam asmeniui sukuriamas naujas gyvenimas (paskyros, sąskaitos ir pan.). Naujos tapatybės gali būti kuriamos ir iš netikros informacijos, tačiau šiuo atveju galima kalbėti apie fiktyvią tapatybę, o ne apie tapatybės vagystę.

Tapatybės klonavimas (angl. Identity Theft Cloning). Tapatybės vagišius gyvena tikro žmogaus gyvenimą (aukos vardu tuokiasi, sumoka sąskaitas), tik kitoje vietoje. Paprastai tai būna asmenys, besislapstantys nuo teisėsaugos. Tapatybės klonai žino daug konfidencialios informacijos apie kito žmogaus gyvenimą.

Dokumentų, pavyzdžiui, vairuotojo pažymėjimo (angl. Driver‘s Licence Identity Theft), socialinio draudimo (angl. S.S. Identity Theft), kreditinių kortelių (angl. Credit Cards Identity Theft), paso (angl. Passport Identity Theft)...

Atrodytų vienos tapatybės vagystės rūšys yra pavojingesnės už kitas, tačiau taip manyti būtų klaidinga. Kiekvienu konkrečiu atveju nukenčia ir žmogus, ir valstybė įvairiose gyvenimo srityse.

Informacijos šaltiniai

1. Vaidas Kalpokas, Renata Marcinauskaitė, Tapatybės vagystė elektroninėje erdvėje: technologiniai aspektai ir baudžiamasis teisinis vertinimas, Teisės problemos, 2012, Nr. 3(77)

2. dr. Darius Štitilis, Marius Laurinaitis, Tapatybė ir identifikavimas: grėsmės elektroninėje erdvėje

3. Mokslo monografija „Tapatybės vagystė elektroninėje erdvėje: socialiniai, elektroninio verslo ir teisinio aspektai“ (autoriai Darius Štitilis, Paulius Pakutinskas, Marius Laurinaitis, Inga Dauparaitė, Vilnius, 2011)

4. Mokslo monografija „Tapatybės vagystė elektroninėje erdvėje: socialiniai, elektroninio verslo ir teisinio aspektai“ (autoriai Darius Štitilis, Paulius Pakutinskas, Marius Laurinaitis, Inga Dauparaitė, Vilnius, 2011)