Furtul de identitate este o infracțiune care implică utilizarea informațiilor personale ale altei persoane pentru a întreprinde acțiuni rău intenționate, cum ar fi frauda sau furtul de fonduri. Informațiile furnizate în acest document sunt concepute pentru a ajuta persoanele să se protejeze împotriva furtului de identitate și să atenueze riscul.
Frecvența furtului de identitate a crescut dramatic. Infractorii pot folosi o multitudine de metode pentru a obține informații de identificare personală , care pot fi utilizate pentru a efectua acțiuni rău intenționate. Protecția personală față de acești actori trebuie abordată pe toate fronturile, ca o abordare pe mai multe niveluri. După cum este menționat în această lucrare, există numeroși pași pe care cineva poate și ar trebui să ia pentru a se apăra împotriva furtului de identitate (ID) în general și a prevalenței țintirii de către hackeri sofisticați și nu atât de sofisticați. Cu toate acestea, niciunul dintre pași, fie singur, fie în ansamblu, nu poate împiedica în mod absolut să deveniți o victimă a furtului de identitate sau să împiedice furtul PII. Informațiile furnizate în acest document sunt concepute pentru a ajuta la protejarea împotriva acestei posibilități și pentru a atenua riscurile care s-ar putea întâmpla. Dacă, în ciuda eforturilor de a se apăra împotriva furtului de identitate, un atacator hotărât reușește să efectueze furtul de identitate, se oferă îndrumări de bază pentru a ajuta la rezolvarea situației.
Obiectivele infractorului pot include (dar nu se limitează la) degradarea caracterului, modificarea situației financiare și/sau crearea de probleme legale. Clasele sau tipurile de actori ai amenințărilor ar putea include hacktiviști (hackeri pentru o cauză socială/politică), angajați nemulțumiți, criminali cibernetici și actori ai statului național. Conectivitatea online de astăzi încurajează o proliferare de locații în care PII pot fi păstrate și (ușor) disponibile. Atacurile de phishing personalizate bazate pe e-mail devin din ce în ce mai sofisticate. Toți factorii menționați anterior au ca rezultat un mediu de risc cibernetic sporit și necesită o vigilență mai mare din partea persoanelor pentru a proteja informațiile private. Poate facilita furtul de identitate cu succes, incluzând obținerea numărului de securitate socială vârsta, salariul și numerele de telefon. Aceste informații sunt esențiale pentru succesul furtului de identitate. Orice, și toate, datele personale publice pot fi utile pentru a realiza furtul de identitate și pentru a ajuta la elaborarea de e-mailuri credibile de tip spear-phishing care pot părea trimise din surse de încredere. Prin phishing, un atacator poate obține controlul de la distanță al unui dispozitiv (desktop, laptop, telefon mobil, tabletă etc.) sau poate obține acces la datele stocate pe site-uri web autentificate; toate acestea pot facilita și mai mult furtul de identitate.
O tehnică comună de furt de identitate, este țintirea directorilor corporativi de rang înalt (peștele mare) prin e-mailuri, link-uri sau atașamente rău intenționate. Scopul este de a compromite rețelele, dispozitivele și/sau de a colecta informații personale/organizaționale. Fără ca victima să știe, atacatorul efectuează cercetări direcționate asupra informațiilor personale expuse pentru a crea e-mailuri înșelătoare. E-mailurile conțin adesea atașamente/linkuri și informații menite să înșele. Acestea par să provină de la o persoană cunoscută, au un aspect profesional și sunt greu de identificat ca fiind rău intenționate. Ținta hoților de identitate va deschide adesea e-mailurile false și apoi „fac clic” pe atașamentele/linkurile rău intenționate. În timp ce nivelul de calificare necesar pentru furtul de identitate cu succes este minim, manipularea datelor/PII sau asumarea ID-ului țintă necesită o sofisticare sporită. Furtul de identitate include, dar nu se limitează la, fabricarea răspunderii penale, distrugerea reputației sau a creditului unei persoane și șantajarea țintei, ceea ce ar putea duce la acțiuni în justiție, pierderea locului de muncă sau arestare.
Informațiile personale pot fi găsite online; indivizii publică în mod activ date despre ei înșiși pentru a include informații din blocuri de semnături, site-uri de rețele sociale, site-uri organizaționale (de exemplu, profesioniști, absolvenți și cluburi), CV-uri, biografii sau interviuri. Informațiile personale pot fi considerate ca ADN de identitate. Poate fi folosit pentru a „marca” în mod unic o persoană pentru urmărire și poate fi folosită pentru a obține puncte de sprijin în viața personală a prietenilor, a membrilor familiei și a colegilor de muncă.
Nume complet/Nume anterioare | Parole/PIN-uri | Sex |
Adresă | Numere de cont | Culoarea părului |
Data de nastere | Adrese de email | Înălţime |
Număr înmatriculare | Numele de fată al mamei | Greutate |
Numărul cardului de asigurare | Informații biometrice | Culoarea ochilor |
Numar de Telefon | Informatii medicale | Rasă |
Majoritatea oamenilor înțeleg necesitatea de a-și proteja numerele personale de identificare (CNP); cu toate acestea, există și alți identificatori care ar putea ajuta un hoț să acceseze aceste date. Tabelul de mai sus enumeră câțiva dintre cei mai puțin gândiți la identificatori. Deținerea acestor informații suplimentare le permite actorilor amenințărilor să construiască un profil personal mai bun care poate fi folosit pentru a-și asuma mai eficient identitatea altei persoane.
Furtul de identitate poate exploata rețelele sau conturile asociaților de încredere de la care să trimită e-mailuri rău intenționate, deoarece aceste rețele și sisteme nu sunt adesea la zi cu procedurile de securitate. E-mailurile trimise în anumite perioade ale anului pot contribui la creșterea credibilității tentativei de phishing, cum ar fi un e-mail al furnizorului de servicii fiscale trimis în primăvară sau un e-mail cu beneficii medicale trimis în toamnă.
Exemple de furnizori de servicii de încredere includ:
Câțiva pași care ajută la protejarea hardware-ului, software-ului și serviciilor, împotriva furtului de identitate includ securizarea sistemelor, limitarea expunerii (electronică și fizică), aplicarea controalelor aplicațiilor și partiționarea serviciilor (de exemplu, utilizarea diferitelor dispozitive/OS/browsere pentru activități cu sensibilități diferite). Zonele specifice care necesită atenție includ rețelele de acasă, dispozitivele mobile, serviciile de e-mail, autentificarea, stocarea, consolele de jocuri și aplicațiile.
Dispozitive mobile
Menține controlul fizic al dispozitivului. Opriți wireless, Bluetooth®6 și GPS atunci când nu sunt utilizate. Exercițiu extrem
prudență atunci când aveți în vedere conectarea la rețele WiFi publice, folosind rețele celulare, dacă sunt disponibile. Creați un dispozitiv robust
PIN. Activați blocarea automată a ecranului (după inactivitate) și criptarea discului dispozitivului, dacă este disponibilă
Rețeaua de domiciliu
Păstrați dispozitivele din rețeaua de acasă (de exemplu, routere WiFi) corecționate și actualizate pentru a ajuta la tratarea celor mai recente atacuri și pentru a proteja
împotriva infecției site-ului web. Utilizați software antivirus și anti-malware pentru a ajuta la eliminarea amenințărilor. Păstrați browserele și pluginurile de browser la zi, activați actualizările automate dacă este posibil și dezactivați Java™7 în browser. Limitați privilegiile (de exemplu, privilegii „oaspeți” sau „utilizator”) pentru conturile folosite de oaspeți, copii și alte accesări zilnice. Schimbați periodic parolele și păstrați un nivel mai ridicat de complexitate. Asigurați-vă că punctele de acces wireless și serverele de nume de domeniu sunt securizate folosind cele mai recente metode
E-mail și cloud
Nu deschideți e-mailuri sau atașamente de e-mail din surse nesigure. Deschiderea atașamentelor de e-mail de la expeditori necunoscuți poate încărca programe malware și poate accesa informații sensibile prin proceduri înșelătoare, cum ar fi vânătoarea de balene. Filtrați e-mailurile; rulați scanări anti-malware și viruși.
Autentificare/Parole
Unele servicii online încep să permită utilizarea jetoanelor fizice ca formă de autentificare. Multe altele permit utilizarea unui al doilea canal de autentificare, cum ar fi un mesaj text cu o parolă. Biometria poate fi asociată ca autentificare secundară atunci când este asociată cu o parolă. Când aceste măsuri sunt disponibile, utilizați-le.
Pentru serviciile online care utilizează autentificarea bazată pe parolă. Faceți parolele complexe și nu utilizați aceeași parolă pentru mai multe conturi. Dacă parolele sunt notate, acestea nu trebuie asociate contului, iar lista scrisă trebuie păstrată într-un loc sigur (de exemplu, într-o cutie închisă acasă). Majoritatea serviciilor oferă, de asemenea, întrebări de resetare a parolei bazate pe diverse informații despre viață. Adesea, aceste întrebări au răspunsuri care pot fi descoperite și utilizate pentru a facilita furtul de identitate.
Stocare (media, card SD, USB, portabil, copii de rezervă, partajare de fișiere, eliminare)
Dezactivați capacitatea de rulare automată. Nu acceptați niciodată suporturi amovibile din surse nesigure, cum ar fi cadouri. Suporturile de stocare gratuite de la conferințe sau din sursă necunoscută pot conține programe malware. Eliminați sau dezactivați hardware-ul de pe mașinile care nu au nevoie de suporturi amovibile. Asigurați și mențineți controlul fizic asupra media, computerelor și dispozitivelor mobile. Viruși scanează toate mediile amovibile. Când accesați acest media, utilizați conturi neprivilegiate; dacă este posibil, accesați astfel de medii de pe o mașină virtuală sau un sandbox. Utilizați vizualizatoare de documente în loc de aplicații complete. Înainte de a arunca mediile amovibile sau un computer sau smartphone cu suport fix, ștergeți toate datele sau distrugeți fizic suportul. Luați în considerare utilizarea stocării USB securizate, în special unități USB bootabile care oferă sisteme de operare securizate cu protecție pentru identitate și parolă.
Protecția cu succes împotriva furtului de identitate necesită planificare și efort. Fiți conștienți de modul în care modul dvs. normal de operare (comportament) ar putea fi utilizat pentru a vă compromite identitatea și implementați măsuri de protecție pentru a reduce amenințarea.
Fiți extrem de precauți când accesați hotspot-uri WiFi publice. De obicei, utilizarea conexiunii de date celulare a unui dispozitiv mobil este mai sigură decât WiFi. Nu faceți schimb de informații cu caracter personal și nu tranzacționați nicio afacere sensibilă pe rețele nede încredere.
Nu faceți schimb de conținut de acasă și de la serviciu. Utilizați nume de utilizator diferite pentru adresele de e-mail de acasă și de la serviciu. Pentru a preveni reutilizarea parolelor compromise, utilizați parole diferite pentru fiecare cont de e-mail. Utilizați recuperarea parolei sau contestați întrebări pe care nimeni altcineva (inclusiv copiii) nu le-ar ști sau nu le-ar putea găsi din căutările de pe Internet sau din înregistrările publice. Utilizați autentificarea cu doi factori atunci când este disponibilă pentru accesarea conturilor webmail, rețelelor sociale, financiare și a altor conturi. Evitați să postați fotografii cu coordonate GPS încorporate, deoarece aceasta oferă informații despre locația persoanelor din fotografie la momentul încorporat în metadatele fotografiei.
Interacțiuni offline
Blocați documentele și înregistrările financiare, inclusiv cardurile de securitate socială, într-un loc sigur acasă și încuiați portofelele sau posetele într-un loc sigur la locul de muncă. Înainte de a împărtăși informații la locul de muncă, în afaceri, în școlile copiilor sau în cabinetul unui medic, întrebați de ce sunt necesare PII. În plus, întrebați cum vor fi protejate informațiile personale și discutați consecințele nedistribuirii. Difuzați întotdeauna chitanțele, ofertele de credit, cererile de credit, formularele de asigurare, extrase de cont, cecuri, extrase de cont bancar, carduri de credit expirate și documente similare referitoare la PII atunci când nu mai sunt necesare. Înainte de a arunca un computer sau un dispozitiv mobil, aruncați întotdeauna toate informațiile personale pe care le stochează.
Interacțiuni online
Fii atent la imitatori. Asigurați-vă că știți cine primește informații personale sau financiare. Cu excepția cazului în care inițierea contactului sau persoana cu care s-a comunicat este cunoscută, PII nu ar trebui să fie furnizate la telefon, prin poștă sau prin internet. Dacă o companie care pretinde că are un cont trimite un e-mail prin care solicită informații personale, nu faceți clic pe linkurile din e-mail. În schimb, introduceți numele companiei direct în browserul web pentru a accesa site-ul lor și/sau contactați-i prin intermediul centrului de servicii pentru clienți pentru a confirma dacă compania a trimis sau nu cererea cu adevărat.
Călătorie
Nu faceți niciodată operațiuni bancare online în locuri publice. Menține un profil scăzut. Dacă este posibil, folosiți numerar pentru achiziționarea de articole personale, cum ar fi suveniruri. Sfătuiți-i pe membrii familiei să nu discute detaliile călătoriei și să nu le posteze pe site-urile de socializare.
Înghețare credit
Luați măsuri pentru a limita ceilalți să deschidă noi carduri de credit și conturi, activând înghețarea creditului. Sunt disponibile măsuri de siguranță care nu permit din timp orice achiziții noi
Monitorizare pentru furtul de identitate
Toată lumea este o potențială victimă a furtului de identitate; prin urmare, toți trebuie să fie foarte conștienți de indicii că au fost victimizați sau că sunt vizați în mod activ. Monitorizarea acestor indicatori potențiali este esențială pentru identificarea, atenuarea și protejarea împotriva amenințării. Există două clase de monitorizare care sunt cheie: personală și comercială.
Monitorizare personală
Monitorizarea personală implică pași individuali pe care o persoană îi poate lua pentru a detecta activitatea de furt de identitate. Pașii implică căutarea de rutină a dovezilor de compromis. Exemplele includ examinarea extraselor de card de credit și bancare, jurnalele de apeluri, istoricul browserului, e-mailul (inclusiv dosarul „Articole trimise”), modificarea setărilor de confidențialitate pentru rețelele sociale și detectarea unei creșteri a numărului de contacte nesolicitate. Fiți atenți la skimmerele cardurilor de credit în locuri publice, cum ar fi benzinării și restaurante. Un val de e-mailuri, apeluri sau scrisori nesolicitate despre efectuarea unei achiziții este un indicator că furtul de identitate poate fi în desfășurare.
Raport de credit
Cea mai importantă monitorizare personală este revizuirea rapoartelor de credit care conțin un istoric al reședințelor, conturi de credit – sold minim și maxim, statutul de deschidere/închidere și istoricul plăților. Orice informație eronată dintr-un raport de credit poate fi un indicator al furtului de identitate. Birourile de credit generează rapoarte de credit și sunt obligate de Fair Credit Reporting ACT (FCRA) să furnizeze o copie gratuită a raportului de credit al unei persoane la fiecare 12 luni.
Monitorizare comercială
Monitorizarea creditului este un serviciu disponibil comercial care oferă unui abonat informații care indică schimbări în profilul său personal. Domeniile de monitorizare pot fi împărțite în două categorii – Financiar (credit și bancar) și Personal. Monitorizarea financiară identifică modificări care sunt specifice creditului unei persoane, nu neapărat activelor acesteia. De exemplu, un nou împrumut bancar ar fi detectat de un raport de monitorizare a creditului, dar un depozit sau o retragere mare nu ar fi detectat. Monitorizarea personală identifică referințe nefiduciare la identitatea unui abonat. Acestea includ informații civile, penale sau alte informații personale disponibile în înregistrările publice. Serviciile de monitorizare comercială s-au dovedit eficiente în utilizarea monitorizării financiare și personale pentru a identifica și atenua activitatea de furt de identitate.