Na podstawie raportu Bank of America Merrill Lynch, Polska znajduje się w pierwszej dwudziestce krajów zagrożonych cyberprzestępczością. Na ataki hakerskie są narażone w równym stopniu osoby prywatne jak i firmy. Najwięcej cyberprzestępstw notuje się w branży finansowej oraz ubezpieczeniowej. Tuż za nimi znajdują się firmy z sektora teleinformatycznego, wytwórczego oraz handlu detalicznego.

Szacuje się, że już za 10 lat z Internetu będzie regularnie korzystać ok. 80% Polaków, co sprawi, że nasz kraj dołączy do grona państw o najlepiej rozwiniętej cyfryzacji. Obecnie epoka spamu, koni trojańskich i wirusów powoli jest wypierana przez erę kradzieży danych, a także spreparowanego przez hakerów oprogramowania atakującego urządzenia mobilne. Oszuści internetowi nie śpią i zwykle są o krok do przodu względem firm tworzących zabezpieczenia w oprogramowaniu. Ilość doniesień medialnych na temat ataków w sieci wyraźnie się w ostatnim czasie zwiększyła. Co gorsza, według wyżej wymienionego raportu ok. 70% przypadków pozostaje niewykrytych.

Istotnym problemem z punktu widzenia bezpieczeństwa danych jest kradzież tożsamości. Polega ona na tym, że sprawca lub grupa sprawców wchodzi w posiadanie danych osobowych poszczególnych osób w sposób bezprawny. Do tych danych zalicza się: imię i nazwisko, adres, data urodzenia, nr PESEL itp. Dane bankowe są również niezwykle atrakcyjnym towarem dla cyberprzestępców. Można je np. kupić na czarnym rynku. Najdroższe są informacje zdefiniowane jako „Fullzinfo”, czyli adres rozliczeniowy, numer PIN, numer ubezpieczenia społecznego, data urodzenia, nazwisko panieńskie matki, a nawet nazwa użytkownika oraz hasło używane w celu uzyskania dostępu, zarządzania i zmiany danych rachunku internetowego właściciela karty. Z przygotowanego przez Intel Security raportu „The Hidden Data Economy” wynika, że w USA za podstawowy zestaw informacji, w skład którego wchodzi: wygenerowany przez program numer zawierający numer karty płatniczej (PAN), jej datę ważności oraz numer CVV2 płaci się raptem kilka dolarów. Korzyści dla cyberprzestępców są znaczne, bo posiadając cyfrowy odpowiednik fizycznej karty mogą dokonywać zakupów, a także pobierać pieniądze do czasu, gdy właściciel nie zorientuje się o nieautoryzowanych transakcjach realizowanych z poziomu jego konta i tej karty nie zablokuje.

Z kolei dane osobowe przestępcy mogą wykorzystać w celu np. wynajęcia lokalu przeznaczonego na przechowywanie kradzionych towarów lub wyłudzenia kredytu. Jak wynika z raportu Związku Banków Polskich, w I kwartale 2015 r. odnotowano 1 877 prób wyłudzeń kredytów na łączną kwotę ponad 67 mln zł. To i tak spadek w porównaniu do analogicznego okresu zeszłego roku. Ponadto, sprawcy kradzieży tożsamości wykorzystując dane osobowe mogą m.in.: zakładać fałszywe konta internetowe i adresy pocztowe, podrabiać karty płatnicze oraz dokumenty ofiary zakładając w jej imieniu nieprawdziwe konta bankowe, pod fikcyjnymi danymi zatrudniać tzw. „muły pieniężne”, które to osoby bez żadnej świadomości biorą udział w procesie prania brudnych pieniędzy.

Bogactwo możliwości, jakie niesie ze sobą posiadanie cudzych danych osobowych, sprawia, że kwitnie handel fałszywymi dowodami osobistymi. Obecnie można sobie kupić kolekcjonerski dowód osobisty, który wygląda identycznie jak oryginał, a w dodatku może zawierać prawdziwe dane. Cena za tego typu dokument oscyluje wokół tysiąca złotych. Trudno sobie wyobrazić, aby osoba kupująca dokument kolekcjonerski, za którego wydała sporo pieniędzy, miała zamiar odłożyć go do szuflady. Niestety wiele wskazuje na to, że nabywca posłuży się dokumentem do celów niezgodnych z prawem. Lista możliwości przestępców otwiera się przy działaniach, przy których wymagany jest dokument, np. zaciąganie kredytu czy podpisywanie umów. Wykorzystując dowód osobisty, na którym widnieje prawidłowe zdjęcie właściciela, ale fałszywe dane, można na przykład założyć konto w banku. Na domiar złego, nawet jeśli podpisujemy umowę w placówce bankowej, pracownik nie weryfikuje autentyczności dowodu w sposób skrupulatny. Spisuje jedynie dane i sprawdza dokument pod kątem jego wystąpienia w bazie dokumentów zastrzeżonych. Stanowi to pole do działania dla sprawców, którzy posiadając już jedno konto bankowe założone na fikcyjne dane, mogą się nie patyczkować i otwierać kolejne konta. Co więcej, niektóre banki umożliwiają zdalne zakładanie kont bez konieczności składania wizyty kuriera u klienta. Wówczas tożsamość klienta jest potwierdzana poprzez realizację przelewu z innego banku. Takie konta mogą służyć przestępcom do prania brudnych pieniędzy, wyłudzania chwilówek z firm pożyczkowych czy przyjmowania należności za towar „sprzedany” na aukcjach internetowych. Dlatego tak ważna jest weryfikacja tożsamości osoby, która posługuje się dokumentem.

Obecnie na rynku dostępnych jest wiele rozwiązań informatycznych, które wspierają sposoby weryfikacji dokumentów tożsamości. Kluczową funkcjonalnością tego typu systemów jest sprawdzenie poprawności linii MRZ (kod odczytu maszynowego), które sprowadza się do weryfikacji cyfr kontrolnych, a także określenie czy dany dokument znajduje się na liście dokumentów zgubionych i skradzionych. Istnieją różne typy narzędzi do weryfikacji dokumentów; zarówno aplikacje mobilne instalowane na smartfonie jak i aplikacje webowe dostępne z poziomu przeglądarki na komputerze. Niektóre systemy pozwalają na przeglądanie szczegółowych informacji o dokumentach tożsamości właściwych dla danego kraju. Wybierając interesujący nas kraj możemy obejrzeć używany w tym kraju dowód osobisty, paszport lub prawo jazdy. Dla znacznej części krajów dostępne są także dokumenty mniej znane jak na przykład paszport dyplomatyczny, karta stałego pobytu czy wizy. Ponadto, takie systemy mogą zawierać listę cech specjalnych dokumentów, które są dokładnie opisane i sfotografowane. Pozwala to np. pracownikowi banku na sprawdzenie cech bezpieczeństwa, które są charakterystyczne dla danego dokumentu, a mogą być niedostępne w przypadku, gdy ma do czynienia z fikcyjnym dokumentem kolekcjonerskim.

W zależności od potrzeb, pracownicy banku mogą używać systemu, który weryfikuje poprawność danych na dokumencie poprzez wypełnienie formularza i ręczne wpisanie kluczowych informacji: daty urodzenia, daty ważności dokumentu oraz numeru dokumentu. Wówczas system weryfikacji wygeneruje prawidłowy kod MRZ, który należy porównać z kodem widniejącym na dokumencie. Wszelkie niezgodności z dużym prawdopodobieństwem świadczą o fałszerstwie. W dodatku, uzyskany rezultat można wyeksportować do pliku PDF. System może również sprawdzić dany dokument pod kątem jego obecności w bazie dokumentów zgubionych i skradzionych. Korzystając z tej opcji zmniejsza się ryzyko, że osoba okazująca paszport lub dowód osobisty posługuje się fałszywym dokumentem.

Kolejna grupa narzędzi wspierających proces weryfikacji tożsamości klienta opiera się na aplikacjach mobilnych. Są one szczególnie przydatne, gdy proces weryfikacji dokumentów odbywa się poza biurem. Korzystając z aplikacji instalowanej na smartfonie lub tablecie można szybko sprawdzić poprawność dokumentu tożsamości – paszportu lub dowodu osobistego. Wystarczy wykonać zdjęcie za pomocą smartfona, aby dane znajdujące się na dokumencie zostały zweryfikowane. W krótkim czasie pracownik banku otrzymuje prezentację informacji zawartych w linii kodu MRZ. Można je następnie łatwo porównać z tymi wydrukowanymi na dokumencie i sprawdzić jego autentyczność. Istnieje także możliwość skorzystania ze zdjęcia znajdującego się już w pamięci telefonu. Tego typu narzędzie nie ogranicza się jedynie do zautomatyzowanego procesu weryfikacji, ale pozwala również na ręczne wprowadzenie danych. Wystarczy wpisać numer dokumentu, jego datę ważności oraz datę urodzenia właściciela, a system wygeneruje prawidłowy kod MRZ. Jeśli jest on różny od zamieszczonego w okazanym dowodzie osobistym lub paszporcie, istnieje wysokie prawdopodobieństwo, że dokument jest fałszywy. Wyniki weryfikacji mogą zostać zarchiwizowane na urządzeniu mobilnym lub przesłane na serwer. Aplikacja mobilna pozwala także na integrację z bazami dokumentów zgubionych i skradzionych. Dla urządzeń mobilnych z czytnikiem NFC istnieje też funkcja odczytywania danych zapisanych w chipie RFID paszportu. Zawiera on informacje na temat właściciela dokumentu wraz z jego zdjęciem. Czytnik RFID umożliwia szybką weryfikację dokumentu klienta, bez konieczności ręcznego wpisywania danych. Porównanie informacji zapisanych w formie elektronicznej z wydrukowanymi na dokumencie zapewnia szybkie wykrycie próby fałszerstwa. Kolejną z interesujących funkcjonalności jest możliwość weryfikacji tożsamości poprzez sprawdzenie zdjęcia właściciela. Wystarczy wówczas zrobić zdjęcie fotografii zamieszczonej w dokumencie przy pomocy zamontowanego w smartfonie lub tablecie aparatu. System, korzystając z aplikacji do rozpoznawania twarzy, porówna oba wizerunki i oceni ich zgodność.

Istnieją również narzędzia pozwalające na automatyczną weryfikację tożsamości klienta z poziomu przeglądarki internetowej na komputerze. Podczas wizyty klienta, pracownik banku lub innej instytucji weryfikujący dokument tożsamości wykonuje zdjęcie dokumentu za pomocą kamery internetowej lub aplikacji na smartfonie. Dane uzyskane po wykonaniu zdjęcia są analizowane i weryfikowane. Dodatkowo istnieje możliwość przeszukania numeru dokumentu pod kątem jego występowania w bazie dokumentów zgubionych i skradzionych. Wynik weryfikacji może zostać wyeksportowany i przesłany na wskazany adres lub zapisany w systemie. Takie narzędzie może być również użyte jako element weryfikacji klienta w systemie online lub podczas rejestracji konta użytkownika. Zamiast potwierdzania tożsamości osoby na przykład poprzez wykonanie przelewu rejestracyjnego, klient może wziąć udział w procesie weryfikacji jego tożsamości. Wtedy to on sam wykonuje zdjęcia dokumentu (za pomocą kamery internetowej lub aplikacji mobilnej). Proces weryfikacji może także obejmować rozmowę wideo z przedstawicielem instytucji weryfikującej klienta. W ramach narzędzia dostępna jest także aplikacja mobilna, która może być użyta do wykonania zdjęcia dokumentu w lepszej jakości.
Mniej popularne z uwagi na wysokie koszty są systemy weryfikacji oparte na dedykowanym skanerze dokumentów tożsamości oraz obsługującej go aplikacji. Po wykonaniu zdjęcia dokumentu skanerem, weryfikowana jest jego poprawność. W zależności od wyboru urządzenia, w procesie weryfikacji możliwe jest wykorzystanie następujących rozwiązań:

● odczytanie kodu MRZ,
● odczytanie danych właściciela, takich jak: imię, nazwisko, data urodzenia, pesel, data ważności i numer dokumentu, miejsce wydania, adres itd.
● wykonanie zdjęcia w ultrafiolecie (UV),
● wykonanie zdjęcia w podczerwieni (IR),
● wykonanie skanu hologramów (OVD),
● usunięcie refleksów świetlnych,
● odczytanie kodów kreskowych,
● odczyt danych zawartych w chipie RFID w paszportach,
● obsługę polskich znaków specjalnych.

Po zeskanowaniu dokumentu, w zależności od opcji dostępnych w wybranym skanerze, system dokonuje procesu weryfikacji zawierającego m.in. porównanie zgodności danych zapisanych w liniach kodu MRZ z danymi zapisanymi w pozostałych polach dokumentu, sprawdzenie znaków specjalnych widocznych w UV lub IR, poprawność znaków odczytanych w OVD. Ponadto istnieje możliwość automatycznego przeszukania bazy dokumentów zgubionych i skradzionych, archiwizacji, a także drukowania rezultatu weryfikacji.

Ostatnimi czasy dużą popularnością cieszą się systemy integrowane z usługami zewnętrznymi (tzw. web services). Dzięki zastosowaniu takiej architektury firmy posiadające własne systemy mogą uzyskać dostęp do zewnętrznego serwisu bez konieczności instalowania żadnego oprogramowania na swoich komputerach. Tego typu narzędzie może zapewnić usługę sprawdzenia dokumentu tożsamości pod kątem poprawności linii kodu MRZ, a także uzyskania odpowiedzi czy dany dokument znajduje się w bazie dokumentów zgubionych i skradzionych.

Mimo ciągłego rozwoju oprogramowania do weryfikacji tożsamości cyberprzestępcy znajdują sobie nowe drogi do wykradania danych osobowych lub bankowych oraz omijania ścieżek przy sprawdzaniu tożsamości. Ich metody cały czas ewoluują. Oszuści najczęściej wykorzystują naiwność i łatwowierność swoich ofiar, a także ich brak znajomości podstawowych zasad bezpieczeństwa w Internecie. A strzeżenie się przed procederem kradzieży danych jest niezwykle skomplikowanym i złożonym procesem. Oprócz pilnowania swoich dokumentów osobistych oraz kart płatniczych należy zwracać uwagę na to, aby nie podawać pochopnie swoich danych osobowych w Internecie. Czynnik ludzki jest w końcu najsłabszym ogniwem, a cyberprzestępcy próbują to wykorzystać.

Krzysztof Kuźniar
Identt Sp. z o. o.