Gdzie można kupić fałszywą tożsamość? Oczywiście w sklepie internetowym

Kradzież tożsamości i związane z tym oszustwa finansowe nie są niczym nowym, ale w epoce cyfrowej przebiegają zupełnie inaczej niż dawniej. Cyfrową tożsamość można kupić w sklepie internetowym, podobnie jak e-booka, grę na Steamie czy dane logowania do skradzionego konta PayPal. Trzeba tylko wiedzieć gdzie szukać.

Jednym z takich miejsc był sklep internetowy Genesis, funkcjonujący w darknecie (zwykle tak nazywa się sieć Tor, korzystającą z infrastruktury internetu, ale niewidoczną i działającej na innych zasadach). Na platformie można było kupić jedną z ponad 60 tys. skradzionych, autentycznych tożsamości cyfrowych, dzięki którym można było wykonać oszustwo związane z istniejącą kartą kredytową i zarobić sporo prawdziwych pieniędzy.

W tym przypadku, gdy mówimy o tożsamości cyfrowej, mamy na myśli nie tylko dane osobowe, ale też wzorce zachowań. Za każdym razem, gdy podajemy informacje finansowe w sklepie online, modele uczenia maszynowego sprawdzają, czy wszystko zgadza się z tak zwaną maską cyfrową.

Maska to unikatowy zestaw danych, zebranych na podstawie tego, z jakich urządzeń i oprogramowania korzystamy podczas dokonywania płatności internetowych i korzystania z bankowości online. Pod uwagę brane są modele smartfonów, rozmiar ekranu, przeglądarka, wtyczki, strefy czasowe i wiele innych, a także zapisane ciasteczka, wtyczki przeglądarki i sposób korzystania ze strony bankowości i aplikacji mobilnej.

Część z tych parametrów jest używana także w zabezpieczeniach reCAPTCHA, ale wiele z nich jest wykorzystywanych w autorskich modelach, pilnie strzeżonych ze względów bezpieczeństwa. Dość wspomnieć, że jeśli coś odbiega od normy, bank zostanie powiadomiony i może wymagać potwierdzenia transakcji przez prawowitego właściciela karty płatniczej lub ją odrzucić.

Cyfrowa maska to wciąż tylko dane. Wirtualnego sobowtóra właściciela karty kredytowej można skopiować lub wygenerować od podstaw. Cyberprzestępcy są w stanie tworzyć lub wykradać takie maski na większą skalę. W lutym specjaliści z Kaspersky Lab znaleźli nawet sklep Genesis Darknet, sprzedający skradzione maski cyfrowe i dane logowania.

Maska i dane logowania do konta w jednym lub kilku sklepach internetowych oraz platformach płatniczych to wydatek od 5 do 200 dolarów za sztukę. Dane karty kredytowej zwykle są zapisane w serwisie operatora płatności lub podane w sklepie, zwykle więc oszuści nie muszą się martwić o podwójne uwierzytelnianie, o ile robią zakupy na mniejsze kwoty. Odbiór towaru jest tu najmniejszym problemem.

Stosowanie takiej maski wymaga także specjalistycznego oprogramowania. Maski nie da się dodać do dowolnej przeglądarki internetowej, ale powstały narzędzia, które to umożliwiają. Jeśli przy wykonywaniu operacji online oszust połączy się z nie budzącym podejrzeń serwerem proxy, który przekieruje ruch do odpowiedniego kraju, bank prawdopodobnie się nie zorientuje.

[h2]Jak się bronić?[/h2]Cyfrowe sobowtóry trudno schwytać. Władze mogą próbować utrudniać dostęp do potrzebnych do generowania fałszywych tożsamości narzędzia albo wyśledzić prowadzących sklep Genesis, ale prawdopodobnie nie będzie to miało wpływu na bezpieczeństwo. Rynek nie znosi próżni. W ostatnich dniach darknetowy rynek narkotyków miał sporo problemów, gdyż sklep Dream Market kończy działalność, a kilka innych zostało zamkniętych, ale to zupełnie nie odbiło się na handlu. Klienci po prostu przenieśli się na Wallstreet lub któryś z mniejszych serwisów. Kilka lat temu zamknięty został sklep Silk Road, a mimo tego handel kwitnie i jest o wiele bezpieczniejszy, niż „uliczny”. Z Genesis zapewne będzie to samo. Trzeba też pamiętać, że Genesis nie jest jedynym sklepem z danymi logowania, a sieć Tor nie jest jedynym „ciemnym internetem”.

Kaspersky poleca kilka kroków, które pomogą zapobiec kradzieżom. Na pierwszy plan wysuwa się znów dwuskładnikowa autoryzacja, która, choć nie jest idealna, przynajmniej zaalarmuje właściciela konta. Warto też rozważyć połączenie jej z biometrią. W tym pomogą także powiadomienia o transakcjach.

Jeśli zaś mamy wybór, warto skorzystać z usług oferujących zabezpieczenia analizujące zachowanie użytkowników. W ten sposób zabezpieczymy się przed prostszymi oszustwami, wymagającymi tylko logowania na konto. W darknecie za kilka dolarów można kupić też zestawy zawierające login i hasło do kont PayPal, gdzie są przechowywane pieniądze.