Pstryk i mamy cię! Syntetyczna kradzież tożsamości brzmi wirtualnie. Ale dotyka coraz częściej Polaków

„Wysłali mi instrukcję, jakich zdjęć chcą za oddanie konta na Instagramie. Miałam być naga, w kadrze amerykańskim, stać na tle białej ściany, włosy miałam mieć spięte”. Tak tworzy się awatary do filmów pornograficznych.

Miliardy. Tyle fałszywych tożsamości jest tworzonych i publikowanych w internecie. Miliardy kont, postaci, twarzy, nazwisk, historii życia. Ogromna część z nich została ukradziona prawdziwym ludziom.

Sylwia Czubkowska

27.10.2020 07.10

Pstryk i mamy cię! Syntetyczna kradzież tożsamości brzmi wirtualnie

dyskusja

– Kiedy doszedłem do siebie? Trudno powiedzieć. Wszystko ciągnęło się wiele tygodni. Każde włączenie komputera, smartfona było dla mnie okropnym stresem. Nie spałem po nocach. Oglądałem się za siebie na ulicy. Był moment, że realnie bałem się o siebie i moich bliskich – Damian ma 30 lat, jest PR-owcem ze sporym doświadczeniem pracy w social mediach, młody, nowoczesny i z ogromną zajawką wędkarza. Tak dużą, że z powodzeniem prowadził bloga i profile społecznościowe dla innych fanów wędkarstwa.

Rok temu jego tożsamość ukradł pewien sklep internetowy. Na wizerunku mężczyzny, jego wędkarskich dokonaniach i rozpoznawalności postanowił ubić interes. A z życia Damiana na kilka długich miesięcy zrobił piekło.

Syntetyczna kradzież tożsamości – tak właśnie mówi się o tym zjawisku. W klasycznej kradzieży tożsamości przestępcy zdobywają prawdziwe dane ofiary i za ich pomocą dokonują oszustw, np. biorą kredyty w bankach. Tyle że walka z takimi kradzieżami jest coraz bardziej zaawansowana. Przestępcy wypracowali więc nowy rodzaj oszustwa: syntetyczną kradzież tożsamości na bazie fragmentów prawdziwych ludzi.

„Złowił masę ryb w godzinę. Patent, dzięki któremu podbija serca wędkarzy” – post reklamowy opatrzony zdjęciem z wyraźnie widoczną twarzą Damiana reklamował cud środek o nazwie Aktywator Fish XXL, czyli sprej, który miał tak zwiększać apetyt u ryb, że właściwie „same się biorą”.

– To była więcej niż kradzież samego zdjęcia do oszukańczej reklamy. Środowisko wędkarzy jest dosyć małe i szybko skojarzono mnie osobiście. A że post został na Facebooku opłacony jako reklama, to mimo setek zgłoszeń o łamaniu regulaminu i tak wciąż wisiał – opowiada nam mężczyzna. W tym czasie dla Damiana zaczęło się istny koszmar. Setki komentarzy pod reklamami, często z imienia i nazwiska wyzywały go od oszustów i złodziei. Kolejni znajomi, piszący czasem w dobrej woli, zawiadamiali, że widzieli dziwną reklamę. Ale odzywali się i tacy dopytujący, czy przypadkiem wędkarz jednak na tym nie zarabia. – W ogóle nie mogłem pracować. Każde wibrowanie telefonu mnie rozbijało – wspomina mężczyzna.

Pojawiały się groźby, odezwy, by podać adres oszusta naciągającego ludzi na sprej, który nie działa. – Do dyskusji pod tymi postami włączyła się moja mama, która, no cóż, z dobroci serca chciała bronić mojego wizerunku. Niestety tym samym i na nią spłynął ściek.

Damian usunął niemal wszystkie ślady o sobie z internetu. Nazwisko i zdjęcia z Facebooka, prosił znajomych, by wykasowali fotki, na których był. Apelował też do wszystkich, by zgłaszali oszustwo do adminów portalu Zuckerberga. – Niestety bezskutecznie. Jedna reklama znikała, pojawiała się kolejna. I to z totalnie przypadkowych kont, nie mających nic wspólnego z wędkarstwem, jak mogłoby się wydawać. Takich ze zdjęciami profilowymi słodyczy, o abstrakcyjnych nazwach. A ja ciągle odbijałem się od bota, algorytmu serwisu, który nie przyjmował moich argumentów – wspomina mężczyzna.

Gdy wreszcie wygasły reklamy na Facebooku i mężczyzna już myślał, że będzie miał spokój, otworzyły się przed nim nowe kręgi piekieł. Tym razem jego zdjęcia pojawiły się w reklamach wykupionych na największych portalach internetowych. – Wiem, że powinienem pójść z tym na policję, zgłosić do Urzędu Ochrony Danych Osobowych. Ale nie wierzyłem w ich skuteczność. Zależało mi nie na sprawiedliwości i ukaraniu winnych, a tylko na tym, by to wreszcie ustało. Zabrałem się więc do sprawy inaczej. Postanowiłem zagrać w grę oszustów i udać, że kupuję ten magiczny środek. Zostawiałem im moje dane do kontaktu, a gdy zadzwonili, to wypytałem, jakim prawem kradną moja tożsamość i uprzedziłem, że rozmowa jest nagrywana. Wystraszony konsultant rozłączył się, ale reklamy zniknęły.

Póki co.

Podobno każdy człowiek ma swojego sobowtóra. Niestety dziś każdy z nas może go mieć w internecie. I każdemu z nas może on zburzyć spokój i ukraść życie.

Zanim przydarzy się to tobie czytelniku przeczytaj opowieści ludzi, którym ukradziono tak tożsamość i dowiedz się co zrobić by samemu zapobiec podobnym kłopotom.

Benita Jakubowska-Antonowicz, szefowa firmy New Media, w biznesie czyszczenia internetu jest od 2012 roku. Nie jest anonimowa, bo wymaga od niej tego jej praca, ale robi, co może, by nie zostawiać po sobie za wielu śladów. Jak sporo z nas ma mnóstwo zdjęć rodziny w telefonie, ale żadnego z nich nie ma w internecie. – Nie pozwalam też publikować moich i moich bliskich zdjęć nikomu z rodziny i znajomym. Wiedzą, jakie mam do tego podejście. Choć w większości nie wiedzą lub nie chcą wiedzieć, dlaczego jest to dla mnie tak istotne – dodaje ekspertka.

A jest uparta, bo wie, co się dzieje i wie, jakie mogą być skutki.

– Miliardy. Tak nie pomyliłam się: miliardy fałszywych tożsamości tworzonych automatycznie, ukradzionych prawdziwym ludziom, skompilowanym z ich zdjęć, historii i danych kont funkcjonuje w sieci. Ciężko w to uwierzyć? Spójrzmy choćby w oficjalne dane Facebooka, który co kwartał raportuje, ile fałszywych kont usunął – mówi Jakubowska-Antonowicz.

I rzeczywiście z raportu przejrzystości Facebooka wyłania się przerażający obraz. W ciągu roku – od połowy 2019 do połowy 2020 – serwis Zuckerberga wykasował 6 mld fałszywych kont. Czyli niemal tyle, ilu jest ludzi na świecie, a prawie dwa razy więcej niż oficjalnie osób ma swoje prawdziwe konta w tym portalu społecznościowym. A to tylko jeden z portali społecznościowych.

Facebook usuwa miliardy fałszywych kont
^{Najedź kursorem na wykresy i kliknij w wybrane kategorie, by zobaczyć dokładne liczby.}

Liczba kasowanych kont oraz liczba aktywnych użytkowników liczona w setkach milionów.
FB w ciągu niecałych trzech lat skasował ich niemal 17 mld. Cały czas jednak powstają nowe. 99 proc. z nich administratorom Facebooka udaje się usunąć, zanim ich treść dotrze do prawdziwych użytkowników.

^{Źródło danych: Facebook Transparency/Statista}

Nie widzimy tego całego fałszywego, żerującego na nas internetu po części dlatego, że algorytmy kolejnych serwisów społecznościowych je na okrągło usuwają. – Tyle że tych śmieciowych tożsamości przybywa. Automaty usuwają i wyłapują te najłatwiejsze do wykrycia i namierzenia. Prawdziwie trudne sprawy pozostają niestety często nieusuwalne – rozkłada ręce Jakubowska-Antonowicz.

Szczególnie, że sami ochoczo dostarczamy oszustom, wyłudzaczom czy czasem po prostu ludziom kierującym się dziwnymi popędami wręcz gotowy materiał do ich działań. Ładujemy do internetu miliony zdjęć, publikujemy o sobie często bardzo osobiste i prywatne informacje. Wielu z nas wydaje się, że jak nie jesteśmy osobami publicznymi, to i tak nikogo o złych intencjach to nie zainteresuje.

Nasz wizerunek, nasza cyfrowa tożsamość jest niezwykle cennym dobrem. A jej przejęcie może być początkiem traumatycznej drogi do odzyskania prawa do samych siebie.

Karolina Siudyła, właścicielka agencji marketingowej magnifiCo, ponad rok temu dostała maila informującego o tym, że jej profil na Instagramie zostanie za 24 godziny usunięty, bo naruszyła prawa autorskie. Niemal 30 tys. obserwujących miało zniknąć, chyba że szybko podejmie kroki naprawcze. Kliknęła więc wysłany w mailu link, podała login, hasło i... w tym momencie przestępcy przejęli jej konto. Po chwili dostała wiadomość na WhatsAppie proponującą, że może odzyskać konto w zamian za nagie zdjęcia.

– Wysłali mi dokładną instrukcję, jakich zdjęć chcą. Miałam być roznegliżowana w kadrze amerykańskim, stać na tle białej ściany z rękami wzdłuż ciała, włosy miałam mieć spięte albo założone za uszy. Dopiero później dowiedziałam się, że w ten sposób wyciąga się awatary, które potem wykorzystuje się do filmów pornograficznych. To jest obrzydliwe, aż mnie mdli – wspomina kobieta z obrzydzeniem.

Zdjęć oczywiście nie wysłała, dzięki temu jest szansa, że jej ciało i twarz nie odgrywają erotycznych scen w deepfeakowych pornosach. Siudyła za to od razu zgłosiła sprawę do prawdziwych adminów Instagrama i na policję. Ta druga nigdy nie odezwała się w tej sprawie, nie wysłała żadnych informacji. – Nie wiem, czy w ogóle podjęto jakieś działania.

Instagram na wieść o kradzieży najpierw konto zablokował. Gdy kobieta próbowała je odzyskać, przesłano jej nieaktywny formularz, a po kolejnym zgłoszeniu odblokowano oszustom dostęp do konta. Przechodziła procedurę numeru sprawy wraz ze swoim zdjęciem sześć razy, Instagram nie był w stanie jej pomóc. Nie skasował także jej konta.

W oszustwach na potrzeby deepfaków ukraść można nawet głos. Przestępcy wykorzystują go potem w autoryzacjach głosowych lub dzwonią do rodzin ofiar i wyłudzają pieniądze.

Robert Lewandowski jest twarzą już tylu produktów, że można się pogubić. Dlaczego nie miałby więc, szczególnie podczas wywiadu u Kuby Wojewódzkiego, zachwalać platformy do inwestowania w bitcoiny. Przecież wszyscy wiedzą, że ma równie duży dryg do robienia dobrych biznesów, jak i do strzelania bramek.

W takim tonie utrzymane są pojawiające się regularnie reklamy cudownego sposobu na zbicie małej fortuny i możliwości zarabiania tysięcy złotych dziennie. Lewandowski ostrzega w nich, że widzowie muszą się spieszyć, bo banki, zazdrośnie strzegące wszystkich szybkich metod zarobku, mogą w każdej chwili interweniować i odciąć Polaków od możliwości uzyskania łatwego i szybkiego zarobku.

Nową giełdę kryptowalut reklamowali „osobiście” Zygmunt Solorz i Dominika Kulczyk. Właściwie jeśliby uwierzyć w umieszczane w sieci reklamy, mało który celebryta nie dorobił się milionów na obrocie różnej maści coinami lub inwestycjach na kolejnej cudownej platformie.

Tego typu przypadków jest tak dużo, że za ich ściganie biorą się nie tylko poszczególni celebryci, ale także ich pracodawcy. W związku z wykorzystaniem wizerunku pracujących dla niej dziennikarzy i prezenterów stacja TVN już rok temu złożyła zawiadomienie do prokuratury.

Cierpi też wizerunek mediów, pod które podszywają się oszuści. Wyłudzające reklamy regularnie wykorzystują loga i layouty szanowanych tytułów, szczególnie tych o gospodarczym profilu.

– Zgłaszaliśmy sprawę na policję, współpracując przy tym z prawnikami znanych osób, których wizerunek był wykorzystywany. Sygnalizowaliśmy też problem KNF. Jednak zdajemy sobie sprawę, że to niezwykle trudne przypadki dla śledczych, bo pod wskazanym adresem URL następnego dnia pojawia się już zupełnie inna treść, a podmioty czy osoby parające się tym procederem są trudne do namierzenia – przyznaje Grzegorz Nawacki, redaktor naczelny Pulsu Biznesu. I dodaje, że portale społecznościowe nie chcą współpracować w zakresie eliminowania takich treści. – Nasze zgłoszenia i prośby spotkały się z minimalnym zainteresowaniem – rozkłada ręce Nawacki.

– Treść jest na wyciągnięcie ręki. To jest wręcz produkowana masowo sztampa. Domeny zakłada się automatycznie w kilka minut – opowiada Robert Grabowski, kierownik CERT Orange.

Grabowski, szefujący zespołowi ds. cyberbezpieczeństwa, tłumaczy, że w kilkanaście minut można stworzyć i opublikować nawet kilkadziesiąt takich witryn. – Można je skutecznie rozprowadzać wiarygodnymi kanałami, np. Google Adwords czy mediami społecznościowymi. Facebook jest istnym królem phishingu i scamu – opowiada ekspert.

Sprawa jest tak powszechna, że oszustwo to zdobyło już nawet swoją nazwę. Mówi się o nim „Dragon’s Den Scam”, bo pierwsze głośne kradzieże tożsamości do fałszywych reklam wykorzystywały inwestorów występujących w tym telewizyjnym show szukających biznesowych talentów.

Widzowie jurorom-biznesmenom tak ufają, że faktycznie zaczęli zostawiać swoje dane oszustom, a nawet wpłacać na fałszywe fundusze inwestujące w bitcoiny. – To jest jak ze scamem nigeryjskim, niby nie do uwierzenia, że ktoś się na to nabierze, a jednak socjotechnika takich przestępstw jest tak skonstruowana, że ludzie tracą ogromne kwoty – przyznaje Grabowski.

I wcale nie jest tak, że takie kradzieże tożsamości to jakiś lokalny polski problem. Przed kilkoma dniami irlandzki przedsiębiorca Gavin Duffy przyznał, że był wręcz przerażony odkryciem wykorzystania jego tożsamości przez przestępców do zbudowania siatki click-baitowego scamu. W reklamach na Facebooku opisywano, że Duffy zmarł. Po kliknięciu w zajawki tekstu użytkowników kierowano do reklam bitcoinowego biznesu, przekonując, że to na nim przedsiębiorca zbił swój majątek.

Według wyliczeń biznesmena oszuści miesięcznie wkładają ok. 40 tys. dolarów w opłacenie tych reklam na Facebooku. I, no cóż, musi im się ta inwestycja opłacać. – Na początku cała sprawa mnie śmieszyła, bo przecież wiedziałem, że żyję. Ale gdy zacząłem sprawdzać i odkryłem jej drugie dno, już nie było mi tak do śmiechu – mówił Duffy irlandzkim mediom. Przyznał, że kontaktowały się już z nim ofiary oszustwa z Tipperary i Zachodniej Irlandii, które straciły setki euro.

– W świecie COVID-19 niestety ludzie łatwiej nabierają się na takie oszustwa – podsumował biznesmen.

Duffy zatrudnił specjalistyczną firmę zajmująca się cyberbezpieczeństwem do zwalczania procederu wykorzystującego jego wizerunek. Okazało się, że strony były zakładane w Singapurze, następnie dane właścicieli przechodziły przez kilka chmur, a adres mailowy wydobyty z jednej z nich prowadzi do numeru w Panamie.

Nie każdy jest milionerem, który może zatrudnić cyber-detektywów do wyśledzenia, kto korzysta z ukradzionego wizerunku. Czy ktoś pomaga odzyskać skradzioną tożsamość?

Naturalnym kierunkiem do szukania pomocy wydaje się być Urząd Ochrony Danych Osobowych. UODO odpisuje nam długą wykładnią, z której wynika tyle, że jak już dojdzie do kradzieży tożsamości, to ofiara „może skorzystać z praw, jakie daje jej RODO”.

– Może więc domagać się od administratora spełnienia wobec niej obowiązku informacyjnego. Administrator powinien zatem wykazać, na jakiej podstawie i w jakim celu przetwarza jej dane osobowe (np. jej imię i nazwisko oraz wizerunek), jak długo w tych celach będzie je przetwarzał, skąd ma nasze dane, komu je przekazuje. RODO pozwala też domagać się usunięcia naszych danych (tzw. prawo do bycia zapomnianym), gdy np. dane osobowe były przetwarzane niezgodnie z prawem – tłumaczy rzecznik UODO.

Dopiero gdy uznamy, że administrator nie postępuje właściwie z naszymi danymi, to można złożyć skargę do UODO. Patrząc na skomplikowanie odpowiedzi od rzecznika prasowego, nie dziwimy się, że ofiary niemal nigdy nie sięgają po tę ścieżkę.

Pod koniec września Facebook ogłosił, że wprowadza nowe narzędzie, które ma pomóc w walce z plagą kradzieży obrazów w mediach społecznościowych należących do giganta. Niestety jest ono przeznaczone przede wszystkim dla twórców, których prawa autorskie są często na platformach łamane. Żeby z niego skorzystać, trzeba się jednak najpierw w nim zarejestrować, a potem zgłosić wszystkie materiały, które chcemy chronić za jego pomocą do biblioteki odniesień.

Dobrych wiadomości nie ma też UOKiK, który radzi: – W sprawie kradzieży wizerunku proszę zgłosić się do organów ścigania.

Jednocześnie urząd przyznaje, że w związku z pandemią, zagrożenie nieuczciwymi praktykami i oszustwami wzrosło i podkreśla, że stara się chronić konsumentów, prowadząc kampanie informacyjne. – Apelowaliśmy, aby konsumenci podchodzili ostrożnie do reklam rzekomych leków czy urządzeń chroniących zdrowie i nie dali się nabrać, nawet jeśli naciągacze podszywają się pod lekarzy, ekspertów, renomowane instytuty badawcze czy osoby „uzdrowione”.

Jednak w telewizyjnych spotach akcji nie ma mowy o fałszywych ekspertach, podszywaniu się pod znane osobistości świata mediów czy biznesu. Ani o tym co zrobić, gdy ktoś ukradnie i wykorzysta zdjęcia dziecka.

Digital kidnapping – to coraz powszechniejsze zjawisko kradzieży wizerunków dzieci. Dzieci się klikają, więc na podstawie skradzionych tożsamości tworzone są fejkowe profile zarabiające na ukradzionych treściach.

Rdzeniowy zanik mięśni typu I atakuje rzadko. Szacuje się, że co roku w Polsce rodzi się z nim ok. 30-40 dzieci. W rdzeniu kręgowym obumierają neurony, które odpowiadają za skurcze i rozkurcze mięśni, zanik impulsów prowadzi najpierw do osłabienia mięśni, a potem ich zaniku. Ostatnim etapem choroby jest paraliż, a w ostateczności, jeśli leczenie nie odbędzie się dość szybko, śmierć.

Walka z chorobą to nieustanny wyścig z czasem i walka, by znalazły się pieniądze na leczenie. Wprowadzony zaledwie w zeszłym roku na rynek lek kosztuje aż 9 mln zł. Dlatego właśnie zdesperowani rodzice dzieci chorych na SMA funduszy na lek szukają na zbiórkach internetowych.

W ten sposób walczą rodzice ledwie półrocznej Sandry Wolniak. By zbiórka miała choćby najmniejszą szansę na powodzenie, są po prostu zmuszeni publikować zdjęcia swojej córki. Dla rodziców życie dziecka jest bezcenne. Tyle że dla oszustów ich dramat miał konkretną wartość. Wartość fotografii chorego dziecka, które można wykorzystać w przestępstwie.

W internecie jeden z wolontariuszy znalazł kopie profilu Sandry. W alternatywnej rzeczywistości miała ona na imię Anna i pochodziła z Rosji. – Napisali do nas administratorzy z grupy licytującej dla Sandry. Podesłali żonie link, w którym były zbiórki takie jak nasza, ukradzione zdjęcia Sandry i mojej żony, podrobione dokumenty szpitalne. Wszystko było napisane po rosyjsku – z goryczą opisuje Rafał Wolniak, tata Sandry.

Wśród publikowanych na jej koncie dokumentów znajdował się nawet fałszywy akt urodzenia nieistniejącego dziecka i dokumenty medyczne Sandry skrupulatnie przetłumaczone na rosyjski. Na podstawie konta dziewczynki założono kilka fałszywych zbiórek i wyłudzono co najmniej kilkanaście tysięcy złotych.

– Próbowaliśmy to na własną rękę zablokować. Pisaliśmy do administratorów Instagrama. Dwie mniejsze zbiórki udało nam się zamknąć, ale co z tego, jeśli na następny dzień powstały kolejne. Od tego czasu zabezpieczamy zdjęcia logiem, ale nie wierzę, że to pomoże – rozkłada ręce mężczyzna i dodaje z goryczą.

W czerwcu tego roku Wolniakowie zgłosili kradzież tożsamości na policję. – Długo nie mieliśmy żadnego sygnału, co się dzieje ze sprawą, mimo moich telefonów i dopytywania. Postępowanie w tej sprawie zostało wszczęte dopiero pod dwóch miesiącach od zgłoszenia. Od tamtego czasu dostaliśmy jedno pismo. Jeśli ktoś jest biedny i nie ma znajomości, to jest poniewierany.

Art. 190a § 2. Kto podszywając się pod inną osobę, wykorzystuje jej wizerunek lub inne jej dane osobowe w celu wyrządzenia jej szkody majątkowej lub osobistej, podlega karze pozbawienia wolności od 6 miesięcy do 8 lat.

Polskie prawo już od 9 lat wskazuje wyraźnie, że to nie są jakieś drobnostki, zabawa czy niewinne żarty. Nowelizacją kodeksu karnego w 2011 roku przywłaszczenie tożsamości zostało potraktowane jako forma uporczywego nękania, mogąca polegać na zamieszczeniu zdjęć pokrzywdzonego i komentarzy ujawniających informacje o nim w internecie, zamawianiu na jego koszt niechcianych towarów i usług, przede wszystkim zaś rozpowszechnianiu informacji o pokrzywdzonym.

– Bardzo ważne jest zrozumienie, że nie tylko sama kradzież zdjęć i danych osobowych jest tu przestępstwem. Przecież podszywanie się i kradzież tożsamości może być znacznie bardziej wielowymiarowa – podkreśla podkomisarz Łukasz Pawełoszek z biura do walki z cyberprzestępczością Komendy Głównej Policji.

Co więcej, w marcu tego roku w ramach pierwszej tarczy antykryzysowej widełki kar za to przestępstwo podniesiono i to dosyć drastycznie. Do niedawna maksymalną karą, jaka groziła za kradzież tożsamości, były trzy lata więzienia teraz aż 8. Oficjalny powód: zaostrzone przepisy mają chronić przed fałszywymi komunikatami pochodzącymi od rzekomych przedstawicieli personelu medycznego, władz lub służb sanitarnych. Na początku pandemii oszuści próbowali zarobić na strachu, namawiając do zarejestrowania się w fałszywych systemach, przekazywania swoich danych czy uiszczenia przelewów na rzecz szczepionki czy testów.

– Owszem prawo często nie nadąża za cyberprzestępczością, ale w tym wypadku trzeba przyznać, że mamy je nieźle sformułowane. Tyle że jeszcze trzeba je zacząć stosować. Niestety wiele ofiar nie zgłasza się na policję, nie alarmuje służb o swoim problemie – podkreśla Pawełoszek.

Policjant dodaje: – Zdaję sobie sprawę z tego, że nie każdy spośród 100 tys. funkcjonariuszy musi być biegły w takich tematach. Jednak dopóki poszkodowani nie będą wyraźnie walczyć o ukaranie sprawców, to będzie złudzenie, że nie ma problemu. A tym samym nie będzie też wśród samych policjantów przekonania, że to ważne sprawy. Naprawdę namawiam, by nie pozostawiać takich spraw bez zgłoszenia policji. Wiem, jak to może być trudne i po ludzku nieprzyjemne, bo sam wśród bliskich miałem ofiarę takiej kradzieży – opowiada specjalista z KGP.

Mimo że zgłoszenia na policję są wciąż rzadkością, to i tak w policyjnych statystykach widać wyraźny ich wzrost.

Ofiary kradzieży tożsamości coraz częściej zgłaszają się na policję
^{Najedź kursorem na wykresy, by zobaczyć dokładne dane.}

Z roku na rok coraz więcej skarg trafia do policji. W pierwszej połowie tego roku takich zgłoszeń było 1766. Czyli niemal tyle samo, co przez cały 2016 rok.

Wykrywalność tych przestępstw szybko rośnie
Wciąż jednak jest o wiele niższa niż wykrywalność stalkingu.

Procent spraw zgłoszonych na policję, które skończyły się wykryciem sprawcy.

^{Źródło danych: Komenda Główna Policji. Sprawy z art. 190a § 1 (stalking) i art. 190a § 2 (kradzież tożsamości)}

– A to i tak tylko część zjawiska. Bo gdy obok kradzieży tożsamości dochodzi do wyłudzenia i oszustwa finansowego, to sprawy podpadają raczej pod artykuł 286 par 1. kodeksu karnego – tłumaczy Pawełoszek.

– Dramat. Naprawdę dramat. Tego, co zostaje na sprzęcie prywatnych osób, nie można właściwie inaczej opisać – Wojciech Maniak z polskiego startupu WIPERAPP wie, o czym mówi. Firma, w której pracuje, od niemalże dwóch dekad zajmuje się czyszczeniem starego sprzętu komputerowego z danych i informacji, jakie na nim zapisujemy.

WIPERAPP stworzono dla klientów biznesowych – takich, którzy jednorazowo oddają lub odsprzedają po kilkadziesiąt czy kilkaset komputerów i laptopów. Sprzętów, na których mogą być cenne korporacyjne informacje, dane osobowe pracowników i współpracowników, faktury, rachunki.

– Owszem teoretycznie są one wstępnie usuwane, ale praktycznie niestety zazwyczaj mało skutecznie. W efekcie z takiego starego sprzętu można wyciągnąć ogromne i często bardzo wrażliwe dane, nawet całe bazy informacji. Ci, którzy wiedzą, że coś trzeba zrobić, ale nie znają dobrych sposobów na usunięcie danych, imają się metod w rodzaju przewiercenie dysku. To nie jest skuteczne rozwiązanie, bo uszkadzamy dysk, ale nie niszczymy danych. Dodatkowo jest to równocześnie marnotrawstwo dysku, który można przecież ponownie użyć nawet w innym komputerze, dać mu drugie życie i nie powiększać gigantycznej góry elektrośmieci, jaką każdy z nas wytwarza – opowiada Maniak.

Firmy, które jednak chcą zadbać o to, by stary sprzęt nie był tykająca bombą pełną informacji do odzyskania przez sprawnego informatyka, oddają oddają go w ręce HitITgroup, czyli firmy, która stworzyła WIPERAPP. – Oprogramowanie powstało lata temu i jest ciągle rozwijane, udoskonalane. Powstało dla naszych bezpośrednich klientów, od których odkupujemy używany sprzęt firmowy.

Zapotrzebowanie jest ogromne, czyli rośnie świadomość. Niestety rośnie głównie w dużych firmach, takich, które mają na stanie setki i tysiące komputerów i zatrudniają działy IT, bezpieczeństwa IT. Mimo to wciąż i tak zdarzają się takie historie. – Odebraliśmy komputery od pewnego oddziału medycznego, a tam wśród elektrośmieci były nośniki danych, płyty z wynikami badań, z opisami chorób i danymi pacjentów – mówi gorzko ekspert i dodaje. – Dobrze, że to trafiło do nas, a nie w jakieś niepowołane ręce.

Jeszcze gorzej jest z nami, zwykłymi zjadaczami kolejnych smartfonów. Choć mamy w nich całe nasze życie – zdjęcia, czasem bardzo prywatne, aplikacje społecznościowe z automatycznie zapisanymi hasłami, maile, aplikacje bankowe, skany dokumentów, dokumentację medyczną – to gdy pozbywamy się telefonu, bo już jest nowszy model lub po prostu „upadł i nieszczęśliwie się roztrzaskał”, to jak wielu z nas faktycznie czyści go do ostatniej danej?

– Niestety normą jest oddawanie telefonu komórkowego, laptopa czy komputera do serwisu, bo coś nie działa, ale bez świadomości, że ten serwisant jak już ów sprzęt naprawi (a zazwyczaj jest to o wiele prostsze, niż nam się wydaje), może mieć dostęp do naszych najbardziej skrywanych tajemnic. A przynajmniej do takiej ilości informacji o nas, że spokojnie wystarczy to do skompilowania fałszywej tożsamości opartej na prawdziwych danych – tłumaczy ekspert.

Nawet cząstka takich danych jest dla przestępców wystarczająca, by mogli zacząć tworzyć wirtualnego sobowtóra. I choć to zjawisko jeszcze dosyć świeże, nie jest już niszowe. Rok temu amerykański Departament Sprawiedliwości ujawnił, że w Stanach prowadzonych jest 11 postępowań w stosunku do oskarżonych o spowodowanie strat o wartości 3 mln dolarów. Po tym, jak wyhodowali wirtualne osoby, brano na nie mikropożyczki, robiono zakupy internetowe, wynajmowano mieszkania i... nigdy za to nie płacono.

Benita Jakubowska-Antonowicz wpisuje adres (specjalnie go nie podajemy, by nie ułatwiać sprawy), pod którym widnieje generator numerów PESEL. – Wybierasz datę urodzenia, płeć, zakładasz NIP i REGON i voilà, już masz zalążek osobowości prawnej. Teraz wystarczy dołożyć zdjęcie. Można oczywiście je wygenerować w specjalnych serwisach, które tworzą tzw. fałszywe twarze. Algorytm jest pasiony naszymi prawdziwymi zdjęciami i generuje fake. Ale równie dobrze można do tożsamości dołożyć prawdziwe zdjęcie jakiejś osoby, która ma już swoją cyfrową historię. Zakłada się jej potem konto w mediach społecznościowych i zaczyna hodowanie – ekspertka opowiada o tym z pewną lekkością.

– To dziś naprawdę nie jest jakaś tajemna wiedza. Takich fałszywych tożsamości tworzonych na bazie prawdziwych ludzi jest zatrzęsienie. Nigdy się do końca nie wie, co się może zadziać ze zdjęciami i naszymi danymi, które trafiają do internetu – przestrzega ekspertka.

Spora ich część jest potem masami trolli, które opowiadają, że COVID-19 to spisek Billa Gatesa. Inne są wykorzystywane w oszustwach, choćby jako niesławni „amerykańscy żołnierze” uwodzący i wyłudzający ogromne sumy przez internet.

Czytelniku wciąż nie wierzysz, że to może spotkać każdego z nas? Poznaj historię autorki tego tekstu.

Ukraść cyfrową tożsamość można każdemu. Jeśli jesteś przekonany, że ten problem cię nie dotyczy, bo takie rzeczy przytrafiają się tylko celebrytom, osobom szafującym swoimi danymi w internecie lub wyjątkowym pechowcom, to nawet cię rozumiem. Ale mam złą wiadomość – jesteś w błędzie. Nigdy nie brałam serio pod uwagę tego, że mogę stać się jedną z ofiar takiego oszustwa. Aż do marca 2018 r., kiedy odebrałam od wydawcy jeden z najdziwniejszych telefonów w moim życiu.

Wypytywał, czy mam konto na popularnym serwisie aukcyjnym, czy sprzedawałam ostatnio telefon, czy miałam iPhone'a?

Okazało się, że do naczelnego wpłynął mail informujący, że niejaka „Matylda Grodecka, autorka pracująca dla Spider's Web” okradła młodą dziewczynę na kilkaset złotych. Oszust, podając się za mnie, wystawił na sprzedaż nowego iPhone'a i jego niską cenę uzasadniał tym, że jako blogerzy mamy pełne szafki drogich telefonów testowych.

Byłam skołowana, wściekła i, co najdziwniejsze, czułam wstyd. Bo choć nie zrobiłam nic złego, ktoś pod moim imieniem i nazwiskiem przez kilka godzin oszukiwał młodą dziewczynę, która po prostu chciała trochę zaoszczędzić, kupując używany telefon.

Nikt się do mnie nie włamał, nie ściągnął informacji z mediów społecznościowych, wystarczyło to, co jest dostępne publicznie na stronie Spider's Web – moje imię, nazwisko i nazwy firmy, dla której pracuję. Macie konto na Linkedinie? To by mu wystarczyło. Wasza firma chce być bardziej otwarta i ma zakładkę „o nas”? To też. To tylko trzy dane, które jednak identyfikują nas niezawodnie w oczach postronnych i które mogą narobić problemów.
Sprawa trafiła do prokuratury. Jednak została umorzona.

Życie po kradzieży tożsamości

– Wiem, że to może wydawać się zabawne. Ale nie jest, gdy samemu się padnie ofiarą takiego procederu. To więcej niż kradzież wizerunku. W świecie dzisiejszych mediów społecznościowych kradnąc zdjęcie człowieka, kradnie się jego całe życie – Damian ciężko wzdycha.

– Byłem kiedyś socialowym ekstrawertykiem. Wrzucałem zdjęcia swoje, żony, naszego synka, z wakacji, z plaży, z domu. Dzisiaj się tego wstydzę.

Mężczyzna zachował sobie normalne konto na Instagramie, bo przydaje mu się wciąż w hobby.

– Po kilku miesiącach przywróciłem też Facebooka z moim pełnym imieniem i nazwiskiem. Ale bez żadnego zdjęcia, nawet profilowego. Wszystkie usunąłem, żadnego nie opublikowałem i nie mam zamiaru już nigdy publikować.

Rodzice Sandry wciąż zbierają pieniądze na ratowanie córeczki. Jej życie jest dla nich na pierwszym miejscu, więc wciąż publikują zdjęcia dziecka.

Karolina Siudyła zrezygnowała ze skradzionego konta na Instagramie. – To przejęte przez hakerów konto nadal istnieje. Mimo próśb, mimo wysyłania setki maili. Moja historia, historia moich dzieci nadal jest w rękach hakera i ja nic z tym nie mogę zrobić – opowiada Siudyła.

- Dla kogoś, kto pracuje w mediach społecznościowych, kto żyje z doradzania w strategiach budowania wizerunku w mediach społecznościowych, takie zdarzenie jest ciosem w brzuch – dodaje z rozgoryczeniem.

Skończyło się utratą followersów i zdjęć, które dziś nie wiadomo, gdzie mogą służyć do kolejnych przestępstw. Mogło być znacznie gorzej, gdyby kobieta zgodziła się na szantaż.

Po jakimś czasie założyła nowe konto i powoli odbudowuje bazę obserwujących.