Jak reagować na kradzież tożsamości?

Na czym polega kradzież tożsamości w Internecie?

Kradzież tożsamości polega na przechwyceniu i wykorzystaniu Twoich danych osobowych bez Twojej wiedzy i zgody. Może to być np. imię i nazwisko, adres e-mail, a nawet zdjęcie…. Twoja tożsamość może być wykorzystana np. do zaciągnięcia kredytu, wykupienia abonamentu lub popełnienia innych oszustw i zaszkodzenia Twojej reputacji.

Po co ktoś kradnie Twoją tożsamość?

W Internecie dominują dwa rodzaje kradzieży tożsamości.

• W pierwszym przypadku złodziej chce zaszkodzić reputacji osoby, której dane osobowe ukradł. Tworzy fałszywy profil, blog lub pisze komentarze w imieniu swojej ofiary.
• W drugim przypadku złodziej wysyła swojej ofierze wiadomość, podszywając się pod wybraną przez siebie popularną organizację i przechwytuje cudze dane osobowe za pośrednictwem fałszywej strony internetowej lub wiadomości e-mail. Informacje te są wykorzystywane np. do uzyskiwania dostępu do kont internetowych (poczty elektronicznej, social mediów) i wykonywania różnych operacji z wykorzystaniem tożsamości ofiary.

Oszust może podszywać się także pod konkretną osobę fizyczną (spear phishing), na przykład wynajmującego nieruchomość – w tym przypadku może pozyskać od potencjalnego najemcy kserokopię dowodu osobistego lub inne dane osobowe, takie jak numer konta bankowego. Taki typ ataku jest często poprzedzony dokładnym rozpoznaniem przez atakującego naszej firmy, urzędu lub dostępnych o nas danych w mediach społecznościowych.

Jak chronić się przed kradzieżą tożsamości w sieci?

Ogólnie rzecz biorąc, należy zachować ostrożność podczas wprowadzania swoich danych
w formularzach internetowych lub odpowiadania na wiadomości mailowe z prośbą o podanie lub aktualizację danych. Nie odpowiadaj na podejrzane e-maile i natychmiast je usuwaj. Nigdy nie klikaj w linki zawarte w wiadomościach, których źródła nie jesteś pewny.

Szczególnie cenną umiejętnością jest zdolność do identyfikacji stron starających się wyłudzić Twoje dane. W tym zakresie warto zwrócić uwagę na zalecenia Ministerstwa Cyfryzacji:

• Wiele wiadomości phishingowych ma niepoprawną gramatykę, interpunkcję, pisownię, czy też brak jest polskich znaków diakrytycznych np. nie używa się „ą”, „ę” itd.
• Sprawdź, czy mail pochodzi z organizacji, na którą powołuje się nadawca. Często adres mailowy nadawcy jest zupełnie niewiarygodny lub też nie jest tożsamy np. z podpisem pod treścią maila czy aliasem (nazwą) nadawcy.
• Oceń, czy wygląd i ogólna jakość e-maila może pochodzić z organizacji / firmy, od której powinna pochodzić taka wiadomość, użyte logotypy, stopki z danymi nadawcy itd.
• Sprawdź, czy e-mail jest adresowany do Ciebie z imienia i nazwiska, czy odnosi się do „cenionego klienta”, „przyjaciela” lub „współpracownika”? Może to oznaczać, że nadawca tak naprawdę Cię nie zna i że jest to część oszustwa typu phishing. 
• Sprawdź, czy e-mail zawiera ukryte zagrożenie, które wymaga natychmiastowego działania. Bądź podejrzliwy w stosunku do słów typu „wyślij te dane w ciągu 24 godzin” lub „padłeś ofiarą przestępstwa, kliknij tutaj natychmiast”. 
• Jeśli wiadomość brzmi zbyt dobrze, aby mogła być prawdziwa, prawdopodobnie nie jest ona prawdziwa. Jest mało prawdopodobne, aby ktoś chciał Ci dać pieniądze lub dostęp do tajnej części Internetu. 
• Twój bank lub jakakolwiek inna instytucja nigdy nie powinna prosić Cię o podanie w wiadomości e-mail danych osobowych.  
• Urzędy administracji publicznej nigdy nie proszą Cię przy pomocy SMS, czy e-maili o dopłatę do szczepionki, czy uregulowanie należności podatkowych.
• Sprawdź wszelkie polecenia lub pytania w wiadomości e-mail, na przykład dzwoniąc do banku z pytaniem, czy rzeczywiście została wysłana do Ciebie taka wiadomość lub wyszukaj w wyszukiwarce Google (lub podobnej) wybrane słowa użyte w wiadomości e-mail. 
• Zwracaj uwagę na linki przekazywane również między znajomymi, sprawdź czy link faktycznie prowadzi do właściwej strony. Coraz częściej przestępcy, uzyskując w nielegalny sposób kontrolę nad naszymi kontami społecznościowymi, podszywają się pod naszych znajomych i rodzinę.

Szczególną uwagę powinniśmy zwrócić na adres strony internetowej, która stara się nas przekonać do ujawnienia naszych danych. Co ważne, jeżeli zaczyna się on od szyfrowania „https” (legendarna zielona kłódka), nie oznacza to, że strona internetowa jest bezpieczna (praktycznie wszystkie strony przestępców mają dzisiaj kłódkę)! Oczywiście, jeżeli takiego szyfrowania nie ma, to w naszej głowie powinna zapalić się czerwona lampka, ale nawet jeżeli widzimy zieloną kłódkę, nie zwalnia nas to z dalszej analizy. Najważniejsze jest ustalenie nazwy domeny, na której mielibyśmy podać nasze dane. Jest ona zapisana między trzema ukośnikami (znak „/”) na pasku adresu. Dwa pierwsze ukośniki są po „https:”, trzeci (najważniejszy) wyznacza koniec nazwy domeny (więcej na ten temat na stronie: Zaufana trzecia strona).

Jeśli zauważysz podejrzany e-mail, oznacz go w skrzynce odbiorczej jako spam, wiadomości-śmieci lub jako podejrzany. Spowoduje to usunięcie e-maila ze skrzynki odbiorczej, a także poinformowanie dostawcy poczty e-mail, że zidentyfikowałeś go jako potencjalnie niebezpiecznego. 

Co powinieneś zrobić, jeśli skradziono Twoją tożsamość w sieci?

Jeżeli pomimo podjętych środków ostrożności padłaś/-eś ofiarą kradzieży tożsamości, nie jesteś na straconej pozycji! Zobacz, jakie działania możesz podjąć, aby chronić swój interes.

Zbierz dowody   

Jednym z częstszych przykładów kradzieży tożsamości jest nieuprawnione wykorzystanie naszych zdjęć. Aby ustalić, czy padłeś ofiarą takiej kradzieży, skorzystaj z wyszukiwarki grafiki (takiej jak TinEye lub Google Images), wklej obraz lub podaj jego adres URL: wyszukiwarka zidentyfikuje wszystkie witryny, które publicznie wykorzystują Twój obraz.

Jeśli udowodniłeś kradzież, utwórz plik zawierający elementy, które potwierdzają, że są to rzeczywiście Twoje własne informacje:

• adresy URL odpowiednich stron/profili,
• zrzuty ekranu fałszywego profilu i jego postów,
• dodatkowe dokumenty, które wydają Ci się istotne.

Poproś administratora witryny o interwencję

Jako ofiara kradzieży tożsamości masz prawo żądać zaprzestania rozpowszechniania Twoich danych osobowych w Internecie i ich usunięcia, kontaktując się bezpośrednio z operatorem witryny internetowej.  

O tym, jak to zrobić w najpopularniejszych portalach, dowiesz się z poniższej tabeli:

Koniecznie będziesz musiał przedstawić dowód, że Twoja tożsamość została skradziona. Serwis internetowy może poprosić Cię o dodatkowe dokumenty, które mogą być wykorzystane tylko w tym konkretnym celu.

Zgłoś przestępstwo

W Polsce tę kwestię reguluje Art. 190a. [Uporczywe nękanie. Kradzież tożsamości] Kodeksu karnego:
§ 1.
Kto przez uporczywe nękanie innej osoby lub osoby jej najbliższej wzbudza u niej uzasadnione okolicznościami poczucie zagrożenia, poniżenia lub udręczenia lub istotnie narusza jej prywatność, podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
§ 2.
Tej samej karze podlega, kto, podszywając się pod inną osobę, wykorzystuje jej wizerunek, inne jej dane osobowe lub inne dane, za pomocą których jest ona publicznie identyfikowana, w celu wyrządzenia jej szkody majątkowej lub osobistej.
§ 3.
Jeżeli następstwem czynu określonego w § 1 lub 2 jest targnięcie się pokrzywdzonego na własne życie, sprawca podlega karze pozbawienia wolności od lat 2 do 12.
§ 4.
Ściganie przestępstwa określonego w § 1 lub 2 następuje na wniosek pokrzywdzonego.

Ofiary oszustwa mogą zgłosić to przestępstwo na policję w miejscu zamieszkania lub do prokuratury.

Ktoś wykorzystał dane z dowodu - jak reagować?

Bezpłatna wiedza o RODO.
Korzystaj do woli!

Webinary, artykuły, poradniki, szkolenia, migawki i pomoc. Witaj w bazie wiedzy ODO 24.

WCHODZĘ W TO

W zgłoszeniu uprawdopodobnij, że takie zdarzenie miało miejsce. Urzędnik może cię poprosić o przedstawienie informacji uzasadniających zgłoszenie.

Zgłoszenia możesz dokonać osobiście lub przez Internet. Po zgłoszeniu urzędnik unieważni dowód.

Jeśli chcesz zgłosić przez Internet nieuprawnione wykorzystanie danych osobowych (kradzież tożsamości) – potrzebujesz profilu zaufanego, certyfikatu kwalifikowanego lub e-dowodu. Pozwalają one potwierdzić Twoją tożsamość. Chodzi o to, żeby nikt nie mógł się pod Ciebie podszyć.

Jeśli masz w swoim dowodzie wgrany dodatkowo kwalifikowany podpis elektroniczny od prywatnego dostawcy, skontaktuj się z dostawcą. Zgłoszenie kradzieży tożsamości w urzędzie gminy nie spowoduje unieważnienia tego podpisu.

Mamy nadzieję, że już wiesz, jak skutecznie reagować na kradzież tożsamości. Jednak jeśli kwestie związane z ochroną danych wzbudzają Twoje wątpliwości, nie zwlekaj – skontaktuj się z Cezarym Lutyńskim, naszym doradcą ds. ochrony danych. Udzieli Ci wsparcia i potrzebnych informacji.