Obecnie, grupą docelową mechanizmu rejestracji na szczepienia są seniorzy, nie zawsze superobyte z najnowszymi technologiami, nie zawsze posiadające dostęp do Internetu.
Prawdopodobnie, właśnie dlatego rejestrację oparto o powszechniejszy (i łatwiejszy w obsłudze dla seniorów?) telefon komórkowy. System rejestracji SMS-owej pozwala też ograniczyć koszty i zwiększa wydajność zgłaszających.
Pod kątem bezpieczeństwa…
…każda forma zgłoszeń/rejestracji/komunikacji może zostać wykorzystana do ataków polegających na wyłudzeniu danych osobowych.
W przypadku obecnie stosowanego kontaktu przez SMS:
Ktoś może wysłać prośbę o dane osobowe seniora z innego numeru telefonu niż ten oficjalny, a nawet z nadpisu w stylu SZCZEPIENIE (tak jak robią to non stop złodzieje w atakach „na dopłatę” lub „na kwarantannę“) i informacją:
zostałeś zakwalifikowany, teraz musisz wypełnić ten formularz/teraz musisz odesłać skan dowodu MMS-em.
Najbardziej prawdopodobnym celem ataków jest wyłudzenie PESEL-u (bo o to pyta też rząd), ale ponieważ sam PESEL bardzo rzadko pozwoli na zaciągnięcie zobowiązania finansowego, to pewnie również: numeru dokumentu tożsamości lub jego skanu, albo wprost – danych pozwalających na przejęcie czyjegoś konta w banku (login, hasło, nazwisko panieńskie matki, itp.).
Ale należy zwrócić uwagę, że, gdyby rząd stosował inne kanały rejestracji niż SMS, to przestępcy dalej mogliby wyłudzać dane z ich użyciem. Innymi słowy – nie ma znaczenia jaki jest kanał komunikacji, atak wyłudzenia danych można dostosować do każdego z nich i sprawić, aby seniorowi wydał się on wiarygodny.
Czy przesyłanie PESEL-u SMS-em jest bezpieczne?
Po pierwsze, komunikacja SMS-owa w ogóle nie jest bezpieczna, bo nie jest zaszyfrowana pomiędzy nadawcą a odbiorcą. To jak wysyłać coś na „pocztówce” – każdy kto dostarcza kartkę może to odczytać. Lepiej korzystać z szyfrowanych komunikatorów (por. Whatsapp, Signal czy Telegram?). Ale operatorzy telefonii komórkowej przecież i tak znają PESELE swoich abonentów (a nawet więcej ich danych), a atak polegający na stawianiu fałszywego BTS-a w celu przechwycenia SMS-ów z PESEL-em chyba można pominąć w tym przypadku…
Ryzyko związane z przesyłaniem PESEL-u SMS-em można więc w tym przypadku zaakceptować. Największy problem jaki widać, to ewentualnie to, że ten PESEL zostanie w historii SMS-ów i ktoś potem (po kradzieży, znalezieniu, odkupieniu) telefonu może się z PESEL-em zapoznać. Więc może po prostu skasujcie bliskim Wam seniorom tę wiadomość z historii, a przy okazji nauczcie korzystać z kodu blokady ekranu.
Po drugie, niechże to w końcu do wszystkich dotrze!
PESEL to nie jest sekret, tajna dana i nie powinien być jako coś takiego traktowany! NIGDY!
Niestety w naszym kraju wiele firm idzie na łatwiznę i zakłada, że tylko posiadacz PESEL-a go zna, a to umożliwia wiele poważnych nadużyć. Tu właśnie leży problem i z tą patologią należy walczyć, a nie z ujawnianiem PESEL-i bo do PESEL-u innych osób można dotrzeć na wiele sposobów (np. da się go wyciągnąć z ksiąg wieczystych, petycji, podpisów elektronicznych, KRS-u, dokumentów sądowych, systemów ZUS-u, baz medycznych, i wielu innych miejsc). Dlatego o swoim PESEL-u najlepiej myśleć jako o czymś, co inni znają. I zawsze należy się buntować, jeśli jakaś firma identyfikuje Was i pozwala na zmiany w świadczonej Wam usłudze jedynie na podstawie PESEL-u.
Niestety, póki firmy w Polsce traktują PESEL nie jako „identyfikator” a jako hasło, sami zalecane jest chronienie PESEL-u i nie podawanie go nigdzie, o ile to możliwe. Obawa jest jednak taka, że w przypadku szczepienia niepodanie PESEL-u nie jest możliwe. Trzeba więc trzymać kciuki, że z rządowych serwerów nie wyleci baza zgłoszeń na szczepienia, bo wtedy ktoś otrzyma fajny zestaw danych: numer telefonu, PESEL i lokalizację (a w przypadku nie-seniorów także adres e-mail i imię oraz nazwisko).
Co robić, jak żyć?
Sukces ewentualnych ataków wyłudzeniowych zależy od tego ilu seniorów nie będzie świadomych jak dokładnie wygląda prawidłowa, oficjalna procedura rejestracji. A ta niestety do najprostszych nie należy…
…i póki co jest chyba tylko w Internecie.
Dlatego uczulcie bliskim Wam seniorów na to, żeby:
- IGNOROWALI wszystkie prośby o podanie danych, jeśli wcześniej sami nie wysłali zgłoszenia na szczepienie.
- NIE WYSYŁALI DANYCH na inny numer niż 664 908 556, jeśli na szczepienie się zgłosili
A najlepiej, pomóżcie im przejść przez tę procedurę lub wyślijcie zgłoszenie za nich.
Na marginesie, nie tylko od seniorów da się wyłudzać dane. Na ataki łapią się też obyci z nowoczesnymi technologiami młodzi ludzie. Problem wyłudzeń dotyczy każdego.
Źródło: Niebezpiecznik.
Bądź pierwszy, który skomentuje ten wpis