Příchod hackerů: sbohem, identito

19. 8. 2014
Doba čtení: 6 minut

Sdílet

Zamysleli jste se nad tím, co se vlastně děje po úspěšném útoku viru, červa, trojana nebo jiného malware? Jak nakládají hackeři například s odcizenými čísly platebních karet a dalšími citlivými údaji? Vítejte ve světě krádeží identit a jejich zpeněžování, kde se s vašimi údaji kupčí opravdu ve velkém.

K číslu cizí kreditní karty se pochopitelně můžete dostat, aniž byste byli hackeři – třeba když ji někde najdete. Ostatně krádeže identit, zahrnující nejen platební či přístupové údaje, ale i doklady a jejich následné zneužití například pro získání úvěru jsou starým „analogovým“ fenoménem. I samotný pojem “odcizení identity” je shodou okolností přesně půl století stár a v klasické literatuře je fenomén vydávání se za někoho jiného a jeho zneužití znám už od antických dob.

Míra rizika

S příchodem počítačů a hackerů se ale zásadně změnil objem, v jakém se platební a osobní údaje kradou. To ale vedlo k poměrně zásadnímu posunu: to že jsou něčí osobní (či platební) údaje na internetu odcizeny, ještě automaticky neznamená, že budou použity – zneužita je obvykle jen část (zlomek) ze všech údajů, které jsou každoročně odcizeny. Například podle studie provedené na Carnegie Mellonově univerzitě jsou skutečně zneužita v průměru jen dvě procenta odcizených údajů. V případě největších úniků v řádech milionů záznamů to pak mohou být jen promile. S tím, jak roste objem odcizených čísel kreditních karet a dalších citlivých informací, tak paradoxně může klesat skutečné riziko, které obětem hrozí. Důvodem je ale i to, že se zjištěné úniky mnohem aktivněji a ve větším měřítku řeší – ostatně snad každý z nás se někdy setkal s “nucenou” preventivní výměnou kreditní či platební karty.

Některé případy zneužití kreditních karet jsou skutečně bizarní. Například H. Majeed, veterán amerického námořnictva, se nestal  obětí červa ani trojana – svou kartu prostě upustil na parkovišti před obchodním domem. Kartu našel jistý zubař Dr. Ludwig – který přesto, že měl u sebe 250 dolarů v hotovosti (a celkový majetek v hodnotě 4 milionů dolarů), použil nalezenou kartu k zaplacení v místní pizzerii a účet dokonce podepsal vlastním jménem. Samostatnou kapitolou je, že za tento “hrůzný” zločin čelil Dr. Ludwig stíhání s možným trestem až 15 let vězení.

To že je skutečně zneužito jen relativně malé procento odcizených “identit” souvisí především s obrovským objemem, ve kterém se tyto krádeže v současné době dějí. Některé odhady uvádějí, že do roku 2013 bylo napsáno na 130 milionů různých škodlivých aplikací a nástrojů pro krádeže čísel kreditek a dalších údajů (v roce 2007 to byl pouhý milion). Odhady celosvětových přímých ročních škod z počátku letošního roku hovoří o částce 3 miliardy dolarů, plus další 3,6 miliardy za škody nepřímé.

Karty vedou

Počty odcizených čísel platebních karet jdou u jednotlivých incidentů často do desítek milionů a jejich ceny na černém trhu se pohybují od deseti či desítek dolarů za běžnou kartu až po stovky dolarů za bezlimitní kartu Amex. Další důležitý aspekt celého “trhu” se odcizenými identitami je, že ti, kteří čísla kreditních karet (a další údaje) kradou, je obvykle prodávají dále a nezneužívají sami. To činí jejich případné dopadení složitějším.

Jako největší případy odcizení platebních údajů jsou obvykle udávány kauzy obchodů TJX (2005–7, 45 milionů karet), platebních systémů Heartland (2008, 130 milionů karet), Adobe (2012, 40 milionů karet), Target (2013, 40 milionů karet) a další. Za dvěma z těchto kauz (TJX a Heartland) byl Albert Gonzales – hackerská celebrita odsouzená v roce 2010 ke dvaceti letům vězení. Další obří kauzou byl případ čtyř Rusů a jednoho Ukrajince, kteří byli v New Jersey obviněni z ukradení více než 160 milionů čísel kreditních karet.

Celebritou mezi hackery specializovanými na krádeže čísel kreditních karet je Albert Gonzales. V roce 2010 byl odsouzen na 20 let.

Celebritou mezi hackery specializovanými na krádeže čísel kreditních karet je Albert Gonzales. V roce 2010 byl odsouzen na 20 let.

Jak může fungovat organizovaná skupina nakupující a následně využívající cizí identitu ukázal případ manželů Singhových, kteří řídili skupinu více než 110 osob. Těm byly s použitím údajů nakoupených od hackerů z Ruska, Číny a amerických “skimmerů” (ti kopírují údaje z platební karty při platbě v ochodech či restauracích) vyráběny falešné kreditní karty a osobní doklady, s nimiž následně prováděli nákupy luxusního zboží a služeb (podařilo se jim údajně pronajmout i soukromý tryskáč). Celá skupina nakonec “roztočila” přes 13 milionů dolarů. Přesto Amar Singh nakonec vyvázl jen s desetiletým trestem a jeho žena Neha dokonce s podmínkou.

Ztráta peněz ale není tím největším rizikem, které se odcizením identity souvisí. V některých případech jsou pomocí kradených kreditek placeny služby či zboží nelegální povahy nebo předměty, které následně slouží k trestné činnosti. A tak zatímco ztráta karty na parkovišti vás může stát 40 dolarů za nákup pizzy, kterou jste nejedli, nákup ve špatně zabezpečeném obchodě vás může stát dobře placené místo, bezesné noci a případně i několik týdnů, měsíců či let svobody.

Právě tak dopadl Simon Bunce, bývalý pilot RAF a úspěšný manažer, když jej v roce 2004 zatkla britská policie za šíření dětské pornografie. Operace Ore, při níž byli zatčeni i slavní hudebníci z kapel Who (Pete Townshend) nebo Robert Del Naja (Massive Attack) měla ale drobný háček. Přinejmenším některé z nákupů na americkém serveru poskytujícím dotčený obsah byly provedeny kýmsi z Indonésie pomocí čísel kreditních karet odcizených v roce 1999 – a mezi nimi byla i karta Simona Bunce. Tomu se sice po půl roce podařilo prokázat, že jeho platební údaje byly mezi odcizenými, že v době, kdy údajně „sjížděl“ dětské porno, byl v londýnské restauraci a policie na jeho počítači nenašla žádný závadný obsah, nicméně zničenou kariéru a osobní život mu to nevrátilo.

Na zvláštní způsob, jak zneužívat odcizené identity (zejména osobní údaje a čísla sociálního zabezpečení, která mají podobný způsob využití jako naše rodná čísla), přišli “odborníci” v USA. Ukradené identity používají k falešným žádostem na daňové vratky americkému federálnímu finančnímu úřadu IRS. Ten je podle všeho schopen odhalit jen malou část (necelou pětinu) podvodných žádostí – v roce 2012 bylo odhadem takto vyplaceno (po relativně malých částkách v řádech tisíců) celkem na 5 miliard dolarů (tedy více, než kolik činí celkové roční škody zneužití platebních karet).

Jedny z největších škod způsobuje zneužití zcizených identit federálnímu finančnímu úřadu IRS (zde jeho pobočka v NYC).

Jedny z největších škod způsobuje zneužití odcizených identit federálnímu finančnímu úřadu IRS (zde jeho pobočka v NYC).

Nejen hackeři

To, že když číslo vaší platební karty, nebo jiné osobní údaje, ukradnou hackeři, ještě neznamená, že budou zneužity, pochopitelně neplatí v případě, kdy útok pro odcizení identity (například přístupových údajů) byl proveden cíleně. Tématům jako je whaling, který často míří na špičkové manažery, jsme se už věnovali, nicméně nevinnou obětí se může stát prakticky kdokoliv – a nemusí být ani online.

Třebas Australanka Nicole McCabová, která byla zrovna v šestém měsíci těhotenství, když se ze zpráv dozvěděla, že je jednou z 26 osob zapojených do likvidace šéfa organizace Hamás Mahmouda al-Mabhouha a její jméno je na seznamu osob hledaných Interpolem. V jejím případě ovšem nešlo o kybernetický útok – ukázalo se, že její pas, stejně jako pas zbývajících 25 osob, které se ocitly na seznamu Interpolu, odcizila izraelská výzvědná služba Mossad a zneužila jej pro krytí svých agentů. McCabové nezbývá než doufat, že pro to bude mít Hamás pochopení.

bitcoin_skoleni

Identita jako na talíři

Jedním ze zdrojů citlivých osobních údajů, na který často zapomínáme, jsou mobilní zařízení. Množství citlivých osobních informací, hesel a dalších cenných dat, která v nich ukládáme často bez jakéhokoliv zabezpečení, je zarážející. Nedávno publikovaná studie Apopego Esteem uvádí jako hlavní rizika, která při odcizení nebo ztrátě mobilního zařízení, případně jeho napadení malwarem hrozí běžnému uživateli, především získání přístupu do mobilního bankovnictví, zpeněžení dat, vydírání a ztrátu identity (u firemních zařízení je to pak především přístup k citlivým firemním datům, jejich zpeněžení nebo vydírání).

Ještě, že jsou nás na všechna ta rizika a hrozby online téměř tři miliardy.

Odkazy

Autor článku