w sprawie zasad pozwalających zapobiegać wyłudzeniu lub kradzieży danych osobowych pracowników Uniwersytetu Przyrodniczego we Wrocławiu, prowadzących m.in. do kradzieży ich tożsamości
Z uwagi na rosnące ryzyko odnoszące się do prób wyłudzenia lub kradzieży danych osobowych pracowników Uniwersytetu Przyrodniczego we Wrocławiu, prowadzących m.in. do kradzieży ich tożsamości, przypominam, że kradzież tożsamości jest szczególnym rodzajem zagrożenia wobec danych, którego celem jest uzyskanie nieuprawnionego dostępu do informacji. Osiągnięcie ww. celu zazwyczaj kończy się wyciekiem lub naruszeniem danych i często jest wynikiem zewnętrznego cyberataku bądź umyślnego lub nieumyślnego ujawnienia danych przez użytkownika uczelnianych systemów teleinformatycznych. W efekcie – za sprawą uzyskania danych uwierzytelniających danego użytkownika – możliwe jest podszycie się np. pod pracownika uczelni.
Najczęstszymi przyczynami wyłudzenia lub kradzieży danych prowadzących m.in. do kradzieży tożsamości są:
- kradzież lub zgubienie urządzeń mobilnych (telefonów, laptopów, tabletów, nośników danych);
- techniki hakerskie;
- złośliwe oprogramowanie;
- nieumyślne ujawnienie danych;
- ujawnienie danych przez kontrahenta.
Ze względu na powyższe zaleca się:
- zabezpieczanie użytkowanych urządzeń przed niepowołanym dostępem do ich zawartości, stosując hasła i/lub zabezpieczenia biometryczne;
- korzystanie z urządzeń, na których został zainstalowany program antywirusowy;
- niekorzystanie z jednego hasła do logowania w różnych serwisach;
- nieodbieranie wiadomości e-mail niewiadomego pochodzenia;
- nieotwieranie linków otrzymanych w wiadomościach e-mail lub SMS od nieznanego nadawcy;
- niepodawanie numeru PESEL bez uzasadnienia (numer PESEL należy podawać wyłącznie w sytuacjach, gdy jest to niezbędne do potwierdzenia tożsamości);
- ochronę dokumentów tożsamości przed nieuprawnionym dostępem;
- sprawdzanie adresów URL odwiedzanych stron internetowych oraz ich certyfikatów bezpieczeństwa (SSL);
- potwierdzanie tożsamości rozmówcy, który pyta o dane w rozmowie telefonicznej;
- weryfikowanie adresów e-mail, z których wysyłane jest zapytanie o dane osobowe;
- niekorzystanie z publicznego Wi-Fi.
Ponadto należy zwracać szczególną uwagę na:
- niepoprawną gramatykę, interpunkcję, pisownię, czy też brak polskich znaków diakrytycznych, np. widoczny brak „ą”, „ę” itd., który jest niezwykle charakterystyczny dla wiadomości phishingowych;
- nazwę organizacji, na którą powołuje się nadawca, ponieważ adres mailowy nadawcy bywa zupełnie niewiarygodny lub też nie jest tożsamy, np. z podpisem pod treścią wiadomości e-mail czy aliasem (nazwą) nadawcy;
- layout i ogólną jakość e-maila, użyte logotypy, stopki z danymi nadawcy itd.;
- zwroty charakterystyczne dla korespondencji nieformalnej (tu: osobistej), tj. odniesienia do „cenionego klienta”, „przyjaciela” lub „współpracownika”;
- zwroty typu „wyślij te dane w ciągu 24 godzin” lub „padłeś ofiarą przestępstwa, kliknij tutaj natychmiast”;
- nienaturalnie optymistyczny ton wiadomości i jej temat;
- prośby powszechnie znanych instytucji (np. banków) o podanie w wiadomości e-mail danych osobowych;
- prośby instytucji publicznych (np. urzędów) o wparcie przy wykorzystaniu wiadomości SMS, czy e-mail dot. m.in. uregulowania należności podatkowych;
- wszelkie dołączone do korespondencji linki.
Do potencjalnych konsekwencji ujawnienia danych osobowych zalicza się m.in.:
- podrobienie dowodu osobistego w celu podejmowania różnych czynności prawnych;
- prowadzenie fałszywej działalności gospodarczej i wyłudzenia, np. zwrotu podatku;
- wykorzystanie danych do spamu;
- założenie konta bankowego;
- wyłudzenie kredytu;
- wynajęcie mieszkania lub pokoju hotelowego w celu kradzieży wyposażenia;
- wypożyczenie samochodu itp.;
- zawarcie umowy z operatorem telekomunikacyjnym;
- dokonywanie różnego rodzaju zakupów;
- mandat lub rachunek na konto osoby, której dane pozyskano;
- założenie fałszywego konta internetowego lub fałszywego profilu;
- umieszczanie obraźliwych opinii lub komentarzy z podpisem osoby, której dane pozyskano;
- zakup leków na receptę.
W przypadku jakichkolwiek wątpliwości lub podejrzeń w zakresie prawdziwości otrzymanej wiadomości e-mail, należy zweryfikować umieszczone w korespondencji informacje (np. dzwoniąc do instytucji, na którą powołuje się nadawca).
W sytuacji potwierdzenia się próby wyłudzenia lub kradzieży danych, prowadzących m.in. do kradzieży tożsamości, fakt ten należy niezwłocznie zgłosić do Biura Inspektora Ochrony Danych celem oceny i ustalenia dalszego postępowania ze sprawą.
Inspektor Ochrony Danych
mgr Anna Dłutek