Identitetstyveri: Din søppel, deres skatt

Forfatter Jim Stickley har stjålet kredittkort, opprettet falske minibanker, hacked personnummer og røvet banker. Men han er ikke kriminell. Stickley ble ansatt av selskaper for å finne sine sikkerhetsfeil. I sin bok “The Truth About Identity Theft” skriver Stickley om hvordan sårbare mennesker kan ha sin identitet stjålet. I dette utsnittet advarer han om at folk skal tenke to ganger om hva de kaster bort.

Del II: Sannheten om søppel

En manns søppel er en annen manns identitet
Gjennom årene har jeg brutt inn i mange banker gjennom hundrevis av forskjellige angrep. Selv om hver var annerledes, var hovedformålet ofte det samme: Å få tilgang til kontanter eller konfidensielle opplysninger. Jeg ble engang nærmet av en stor finansinstitusjon som ikke bare var bekymret for sikkerheten til de fysiske stedene og nettverket, men også bekymret for risikoen forbundet med overordnet ledelse. Denne institusjonen ba om at jeg også undersøker om ledelsesteamet kunne bli angrepet på en måte som muliggjør en identitetstyv større tilgang til organisasjonen.

Så hver ettermiddag ventet jeg på parkeringsplassen og så på at medlemmer av ledelsen kom inn i kjøretøyet. Så fulgte jeg dem hjem. Innen et par uker hadde jeg hver av sine hjemmeadresser. Siden jeg ikke hadde tillatelse til å bryte inn i sine hjem og peke gjennom sine personlige eiendeler, valgte jeg det nest beste: deres søppel.

Gjennom årene har jeg blitt overrasket over de tingene du finner i søpla. Det er stor virksomhet for identitetstyver i personlig søppel. Enda viktigere, når du setter bort søppelet på gaten for søppelhenting, blir det vanligvis åpent for publikum. Dette betyr at hvis jeg er så tilbøyelig, kan jeg ta det søppel og bringe det hjem, noe som egentlig gjorde. Hver uke vil jeg stikke på min gummihansker og gå gjennom hvert eneste søppel: dagligvarebutikk pinglister, notater med telefonnumre, en privat invitasjon til en liten jente til en venns bursdagsfest og mye mer. Da jeg fortsatte å gå gjennom lederens søppel, kunne jeg kompilere en liste over deres tjenesteleverandører: vannregning, telefonregning, gass og elektrisk, kabel og så videre. Jeg kunne bruke denne informasjonen ikke bare for å få tilgang til sine liv, men hvis jeg ville, for å overta sine liv.

Til slutt bestemte jeg meg for å bruke faktureringsinformasjonen til bankforvalternes internettleverandører som et tilgangspunkt for angrepet mitt. Ved å bruke den informasjonen jeg fikk fra regningene, kontaktet jeg lederne og forklarte at jeg var fra firmaet. Jeg fortalte dem at vi oppdaterte tjenestene våre, og at de for å fortsette å ha Internett-tjeneste ville bli pålagt å installere oppdatert programvare. Jeg forklarte at programvaren skulle ankomme innen neste uke.

Fordi jeg også kunne referere til deres tidligere faktureringsinformasjon under samtalen, mistenkte ofrene aldri noe. Innen en uke mottok de hver en pakke i posten som inneholdt “oppgraderingsprogramvare” og instruksjoner. En etter en installerte lederne programvaren.

Selvfølgelig var programvaren de nettopp hadde installert, faktisk skadelig og designet spesielt for å tillate meg å få tilgang til datamaskinen via Internett fra hvor som helst i verden. Kort tid etter at de installerte programvaren, var jeg på datamaskinene sine gjennom alle filene sine. Innen noen få dager hadde jeg brukernavn og passord til bedriftens systemer og til og med VPN-tilgang, som tillot meg å koble direkte til finansinstitusjonens interne nettverk.

Da jeg sendte inn rapporten til ledelsen i organisasjonen, var de åpenbart gulvet. Ingen av dem hadde noen gang mistanke om at jeg hadde målrettet dem hjemme, selv om de hadde alle signerte avvik som tillater meg å gjøre det. De sa at de var forsiktige med e-postmeldinger som ble sendt til dem, da de var overbeviste om at jeg skulle prøve å komme inn; men ideen om at jeg ville gå gjennom sin søppel og bruke det mot dem, hadde aldri krysset sine tanker.

Nå kan du spørre deg selv hva historien har å gjøre med identitetstyveri. Sikkert, jeg var i stand til å få tilgang til den finansielle institusjonen ved å angripe sine ansatte hjemme, men teknisk sett ble ansatt aldri satt direkte i fare, bare arbeidsgiveren. I virkeligheten viste de ansatte seg å være langt mer sårbare enn jeg ville ha forestilt meg. Men siden jeg ikke ble ansatt for å teste dem personlig, gikk jeg bare bortom disse mulighetene og ble fokusert på mitt primære mål: banken.

Hvis du eier et kredittkort, er du sannsynligvis vant til rot av søppelpost som kommer på vegne av kredittkortselskapet. Mens det meste av søppelet som følger med regningen din er ufarlig, oppstår problemet når kredittkortselskapet bestemmer seg for å gjøre det lettere for deg å bruke penger. Kredittkort sjekker har blitt en lukrativ bedrift for kredittkortselskaper. Disse kontrollene kan brukes som regelmessige sjekker for å betale alt fra andre kredittkortregninger til å kjøpe mat i matbutikken. Fordi du kan bruke disse kontrollene i situasjoner der kredittkort ikke ville ha blitt akseptert, gir de deg en ny frihet til å fortsette å hente kredittkortgjeld. Disse kontrollene følger ofte med mange andre dokumenter som er fylt ut i ditt månedlige kredittkortoppsummering.

Mens jeg angrep bankens ledergruppe, fant jeg mange av disse kontrollene fremdeles inne i den åpne setningen konvolutten, som hadde blitt droppet i søppelet. Alt jeg måtte gjøre var å ta disse kontrollene og gå på en ping spree. (Det gjorde jeg ikke selvfølgelig, men skulle jeg vært en ekte tyv, jeg hadde nettopp tappet inn i en ekte gullgruve.)

Det var andre identitetstyveri-angrepsmuligheter som ble gjort tilgjengelig for meg under disse testene. Hver regning som jeg fant inneholdt god informasjon. For eksempel, på kabelregningen var offerets navn, adresse og kontonummer tilgjengelig. I tillegg kunne jeg se summen av gjeldende regning, beløpet for forrige regning, og hvis de betalte det. Ved å bruke bare denne informasjonen, kunne jeg ringe offeret, forklare at jeg var fra kabelselskapet, og si at vi ikke hadde mottatt en betaling for denne månedenes regning. Ofret ville selvsagt si at han hadde betalt det, og jeg ville hevde at han kanskje har sendt en sjekk, men vi hadde ikke mottatt det, så det kan gå tapt i posten. Jeg ville forklare at, uheldigvis, ble hans tjeneste slått av, og han måtte pådra seg et gebyr for å få det aktivert.

Jeg vil da tilby offeret muligheten til å betale regningen via et kredittkort eller sjekke over telefonen. Jeg ville forklare at hvis hans andre betaling til slutt skulle dukke opp, ville det bli ødelagt. Igjen er det viktig å merke seg at å nevne offerets forrige betalingsbeløp og da det ble mottatt, bidro til å gi meg troverdighet. Offeret vil avlaste og gi sitt kredittkortnummer eller kontonummer og banktrafikknummer. Når du er ferdig, kunne jeg bare ha tatt den informasjonen og gått på en kjøpeskamp.

Det er en enkel løsning for å unngå denne typen angrep: Tøm alt. Jeg mener det. Alt! Hvis du kaster bort noe papir som inneholder personlig informasjon, skal du kutte den først. Shredders kommer i noen forskjellige typer, men jeg anbefaler på det sterkeste at du bruker litt ekstra for å sørge for at det krysser kuttet og kan rive CDer og kredittkort. Denne typen shredder løper raskere og makulerer flere elementer om gangen, slik at du kan bruke mindre tid foran den.

Husk: En manns søppel kan virkelig være en annen manns skatt. Dessverre kan en manns skatt faktisk bli stjålet fra en annen manns identitet. Så begynn shredding.

Dumpster dykker for fortjeneste
I den forrige sannheten snakket jeg om hva folk kaster bort når de er hjemme og risikoen som følger med det. Imidlertid er disse risikoene ingenting i forhold til hva mine kolleger og jeg har oppdaget mens dumpster-dykking gjennom årene. Mens mange stater har begynt å påtalte selskaper for å kaste forbrukerens konfidensielle opplysninger usikkert, ser det ut til at flertallet av verden ganske enkelt ikke har betalt oppmerksomheten.

I begynnelsen av 2007 dømte Radio Shack dumpet mer enn 20 bokser som inneholdt privat informasjon for tusenvis av kunder. En mann som rømte gjennom dumpsteren fant boksene og rapporterte det. I april arkiverte staten Texas en sivilrettegods mot Radio Shack for å ha utsatt sine kunder for identitetstyveri. Drakten hevdet at selskapet “unnlot å beskytte informasjonen ved å kutte, slette eller på andre måter, for å gjøre det ulæselig eller undecipherable før avhending av forretningsdokumentene.”

Det faktum at dataene ble oppdaget, kommer ikke som noen overraskelse. Det enkle faktum er at i løpet av de hundrevis av dumpsters at jeg har hatt gleden av å “besøke”, har det vært en sjelden dag at jeg kommer unna tomhendt. Ofte forlater jeg med nok konfidensiell informasjon for å holde den gjennomsnittlige identitetstyven i virksomheten i flere måneder eller til og med år. Jeg har funnet personnummer, kopier av førerkort, kredittapplikasjoner, kredittkortnumre, komplette navn og adresser og telefonnumre – alt i søppel. Og det er bare de åpenbare tingene.

Et selskap som vi nylig testet, kaster faktisk bort doktorgradsdokumentasjonen på alle mulige nye hyringer. Hvert dokument inkluderte navn, adresse, personnummer og resultatene av testen. Ikke bare var selskapet å sette den personen i fare for identitetstyveri, men det var også en gangtidsbombe for en søksmål. Tenk deg om en av de potensielle ansatte hadde mislyktes den testen, og informasjonen ble offentliggjort? Fallout kunne ha vært ødeleggende på alle sider.

På et annet sted var en finansinstitusjon avhende konfidensiell informasjon, inkludert kopier av låneansøkninger, personnummer, bankkontonumre og mer. Men i dette tilfellet, istedet for å plassere varene i søppelpumpen, plasserte institusjonen informasjonen i hyller som ligger utenfor anlegget som er utpekt for resirkulering. Jeg har lagt merke til at dette ser ut til å være en del av en økende trend i konfidensiell informasjonslekkasje. Generelt er folk interessert i den grønne bevegelsen, og i stedet for å kaste elementer som må rives inn i de aktuelle utpekte ristene, plasserer de dokumentene i papirkurven.

Gjenvinning mot makulering
Når jeg har snakket med ansatte som har blitt tatt med å plassere sensitive dokumenter i resirkuleringsdokumenter, har deres forklaring vært at de trodde at gjenvinning var forskjellig fra søppel og derfor på en eller annen måte trygt. Når du blir bedt om å forklare videre, forteller ansatte generelt at når avfallet slutter på deponier hvor noen kan få hendene på det, blir resirkulering tatt til et sted der det vil bli gjenbrukt. De forteller meg ofte at de føler at det er trygt å plassere konfidensielle dokumenter i en resirkuleringsboks siden dokumentet vil bli ødelagt i stedet for å bli sendt til deponi. La meg være helt klar: Gjenvinning er ikke mer sikker enn å kaste elementene i søpla. For de der ute som er bekymret for å være grønne, resirkulerer de fleste store shredding-selskaper når de har strimlet dokumentene.

Gjenvinning er ikke mer sikker enn å kaste elementene i papirkurven.

Hva er bedriftens linje?
Jeg har funnet ut at mengden konfidensiell informasjon jeg oppdager i søppelet, er direkte relatert til hvor mye organisasjonen forkynner dydene til makulering til sine ansatte.

Min personlige teori er dette: Gå opp til en ansattes skrivebord og hold armen rett ut som vinger på et fly. Spinn nå i en sirkel. Er det et sted for den ansatte å plassere konfidensielle dokumenter som krever shredding i armspenningen din? Hvis ikke, kan jeg love deg at medarbeiderne sannsynligvis ikke makulerer alt de trenger.

Problemet er dette: Ofte plasserer en organisasjon et tønnefat på hver etasje av anlegget. Medarbeiderne forventes da å stå opp gjennom dagen og legge alle papirer de har med konfidensiell informasjon om dem i de hyllene. Det som selvfølgelig skjer, er at medarbeiderne begynner å bygge en haug på sine arbeidssteder av tvilsomme ting. Da dagen går på, begynner papirene å komme i veien. Siden de ansatte er opptatt og ikke villige til å ta stabelen til tønnefeltet, legger de ofte bare dem i søppelet eller gjør det jeg refererer til som den “stakkars mannen”. Det er at de fysisk riper opp papiret selv. Når jeg finner dokumenter som har blitt revet for hånd, tar jeg dem hjem og gir dem til min 7 år gamle sønn og forteller ham at det er et puslespill. Han setter dem alltid sammen igjen.

I andre tilfeller, hvis ansatte ender med bare ett dokument som trenger shredded, vil de kanskje ikke kaste bort turen til shred fatet, så igjen, slutter dokumentet i søpla.

Shredders for alle
Den beste løsningen er å ha en liten shredder på hvert skrivebord. Dette gjør det enkelt for ansatte å kutte hver arbeidsdokument, eliminere forvirring av hva som er og ikke regnes som konfidensielt. Hvis det ikke er et mulig alternativ, legg til en ekstra søppelkanne på hvert skrivebord som er utpekt for shredding. Hvis du velger dette andre alternativet, vær oppmerksom på at det kommer med ekstra risiko. Du må sørge for at resirkuleringen på hver ansattes skrivebord er fjernet på slutten av hver dag. Du vil ikke forlate en åpen boks med konfidensielle dokumenter ved hvert skrivebord der rengjøringspersonalet eller andre besøkende kan ha tilgang.

Mitt siste forslag er det viktigste. Jeg anbefaler på det sterkeste at du får deg noen gummihansker og et par tomme søppelposer og hodet ut til din egen dumpster. Finn ut selv hva som slutter i søpla. Du vil sannsynligvis bli overrasket og muligens enda litt bekymret for hva du finner.

Din brukte datamaskin er verdt sin vekt i gull
For flere år siden jobbet jeg for et selskap som hadde salgsrepresentanter i hele USA. En dag fikk jeg en samtale fra en kollega som var ekstremt opprørt over en telefonsamtale han nettopp hadde mottatt. En mann i Las Vegas hadde ringt for å informere ham om at han så på filene for en rekke av våre bedriftskunder. I tillegg hadde han tilgang til flere måneders e-postadresse og mange andre notater og proprietær informasjon. Mens det hørtes ut som om denne mannen prøvde å true vårt firma, viste det seg at han bare var irritert på et slikt latterlig brudd på sikkerheten og følte seg forpliktet til å ringe og fortelle noen.

Flere måneder tidligere kjøpte en annen salgsrepresentant som hadde bodd i Las Vegas en personlig bærbar PC. Mens han faktisk eide den bærbare, brukte han den til å telecommute hjemmefra til bedriftens kontor. Å være en salgsrepresentant, hadde tilgang til mange bedriftsfiler, e-post, kundekontoer og så videre. Etter et par måneder bestemte han seg for at den bærbare datamaskinen ikke lenger var tilstrekkelig. Så gikk han tilbake til butikken der han kjøpte den og krevde tilbakebetaling. Utrolig, han fikk refusjonen og returnerte datamaskinen til butikken med alle konfidensielle filene som fortsatt var på den. Alle brukernavn og passord lagret på systemet ble etterlatt [md] e-post, notater, filer, dokumenter, alt.

Nå kan man tro at denne bærbare datamaskinen ville blitt omformatt og returnert til fabrikkdetaljer før de ble videresolgt. Det var klart at det hadde vært brukt i flere måneder. Dessverre ble den bærbare datamaskinen solgt til en annen kunde, som likevel inneholdt alle salgsrepresentantens konfidensielle filer.

Jeg kan bare forestille seg den andre eierens sjokk da han åpnet Outlook, og det ble automatisk logget inn i bedriftsnettverket og startet nedlasting av salgsrepresentantens siste e-post. Heldigvis viste den andre kjøperen seg for å være ærlig, og dataene på systemet ble til slutt ødelagt. Men ikke alle er så heldige, og enda viktigere, ikke alle situasjoner er ganske så åpenbare.

Hver dag blir tusenvis av datamaskiner som inneholder sensitive data, slått i papirkurven eller donert til enkeltpersoner og organisasjoner. Problemet er at datamaskinene ofte blir slått av og pakket opp uten å tenke på eksisterende data fremdeles på harddiskene. Disse datamaskinene slutter ofte ikke i deponier. I stedet blir de samlet sammen med andre datamaskiner, plassert på en palle, og så solgt i bulk på auksjoner for pennies på dollaren.

Identitetstyver har i mange år vært godt oppmerksomme på disse praksiser og oppsøkt auksjoner der disse pallene av datamaskiner tilbys. De tar deretter datamaskinene hjem, og en etter en går gjennom alle dataene på harddiskene. Noen mennesker innser risikoen knyttet til harddiskene deres og sletter konfidensielle filer før de slår dem inn. Dessverre forventer tyverne dette, og i tillegg til å bare se på eksisterende data kjører de feil programvare som går gjennom harddisken og finner filer som tidligere var slettet.

Selv om tyvene ikke er garantert å få konfidensiell informasjon på denne måten, er utbetalingen av risiko-til-belønning definitivt til deres fordel. Selv om bare en datamaskin inneholder bare en persons konfidensielle opplysninger, vil identitetstyven gjøre langt mer enn den lille investeringen han betalte for den palle av datamaskiner.

Selvfølgelig er det ikke bare datamaskiner som du gir bort. I andre tilfeller kjøper tyver gamle laptops og datamaskiner via nettsteder som eBay. Disse datamaskinene tilbys ofte av både hjemmebrukere og store selskaper. Igjen er målet for tyven å angre på noen filer på datamaskinen når den kommer med håp om å få informasjon han kan bruke til å begå identitetsstyveri.

Selv om identitetstyveri er av stor bekymring, er det også de juridiske problemene som kan komme fra data som blir igjen på datamaskinen. For eksempel kan en advokat som forlater konfidensiell sakinformasjon på harddisken, være verdt sin vekt i gull til en identitetstyv. Igjen, bare å slette informasjonen betyr ikke at den er borte. Hvis det skulle ende opp i feil hender, kan kostnadene være millioner eller milliarder til det berørte selskapet.

Ødelegge dataene dine før du drar en datamaskin
Mens forslaget mitt er å bare ødelegge harddisken (åpner stasjonen og tar en hammer på stasjonen, vil disketten gjøre det lurt) før du fjerner en datamaskin, vil du ikke nødvendigvis ha dette alternativet hvis du selger datamaskinen. Hvis du selger en datamaskin med harddisken (e) som fortsatt er installert, er det neste beste alternativet å reformatere harddisken ved hjelp av programvare som er designet for å sikkert slette dataene.

Når du sletter en fil fra en datamaskinens harddisk, går filen ikke teknisk bort. I stedet er pointerrekordet som viser hvor filen ligger, fjernet, men selve filen gjenstår. Over tid vil noen eller alle filene overskrives ettersom nyere programmer lagres på stedet. Med små stasjoner kan dette skje raskt, men med store stasjoner kan dette ta mye lengre tid. Tallrike programvareprogrammer er utformet for å finne og slette de slettede filene dine. Disse programmene er svært enkle å bruke og tar bare noen få minutter å spore opp hundrevis av tidligere slettede filer.

Det er imidlertid programvare som er designet for å tørke de valgte filene på harddisken på en sikker måte. I de fleste tilfeller flagger programvaren hvor filen var på harddisken og skriver deretter nye data til den plasseringen flere ganger. Jo flere ganger det skriver data til den forrige filens plassering, desto mindre sannsynlig kan noen gjenopprette den opprinnelige filen. Både gratis og bedriftens versjoner av disse programmene er tilgjengelige for å permanent slette data og programvare. Selv om de frie versjonene kanskje ikke er like brukervennlige, er de generelt like sikre.

Det er enkelt for meg å si at du bør slette alt som er konfidensielt; Til slutt, det kan vise seg vanskeligere enn du tror. Ofte lagrer operativsystemer data, inkludert sikkerhetskopiering av det du skriver, mens du jobber med dem. Selv om du sletter den primære filen, kan sikkerhetskopien fortsatt eksistere gjemt på disken din, men du finner det lett av “angrepet” -programvaren. Derfor foreslår jeg, når det er mulig, aldri å gi den gamle datamaskinen med harddisken fortsatt installert og intakt til alle som du ikke helt kan stole på. Og vær sikker på at du ødelegger stasjonene dine før du slenger dem i søpla.

Utdrag fra “The Truth About Identity Theft” av Jim Stickley. Opphavsrett (c) 2008 av Pearson Education. Gjengitt med tillatelse fra Pearson.