Kimlik hırsızlığı: Çöpün, onların hazinesi

Yazar Jim Stickley, kredi kartlarını çaldı, sahte ATM’ler oluşturdu, sosyal güvenlik numaralarını ve soyguncu bankaları ele geçirdi. Ama o bir suçlu değil. Stickley, güvenlik açıklarını bulmak için şirketler tarafından işe alındı. “Kimlik Hırsızlığı Hakkındaki Hakikat” adlı kitabında, Stickley savunmasız insanların kimliklerini çaldırdıklarını yazıyor. Bu alıntıda, insanların attığı şey hakkında iki kez düşünmesi gerektiği konusunda uyarıyor..

Bölüm II: Çöp hakkındaki gerçek

Bir adamın çöpü başka bir erkeğin kimliğidir.
Yıllar boyunca yüzlerce farklı saldırı ile çok sayıda bankaya girdim. Her ne kadar farklı olsa da, ana hedef çoğu kez aynıydı: nakit veya gizli bilgilere erişim kazanmak. Bir zamanlar sadece fiziksel konumlarının ve ağının güvenliği ile ilgili değil, aynı zamanda üst yönetim ile ilgili riskler hakkında endişeleri olan büyük bir finans kurumuyla da görüştüm. Bu kurum, yönetim ekibinin bir kimlik hırsızının kuruluşuna daha fazla erişmesine izin verecek şekilde saldırıya uğrayıp uğramadığını araştırmamı istedi..

Böylece her öğleden sonraları otoparkta bekledim ve yönetim ekibinin üyeleri izlediler. Sonra onları eve kadar takip ettim. Birkaç hafta içinde her ev adresim vardı. Evlerine girmeye ve kişisel eşyalarını karıştırmaya izin almadığım için, en iyi şeyi seçtim: çöpleri.

Yıllar boyunca çöplükte bulabileceğiniz şeylere hayran kaldım. Kişisel çöplerde kimlik hırsızları için büyük bir iş var. Daha da önemlisi, çöplerinizi çöp toplama için sokağa koyduğunuzda, genellikle halka açık hale gelir. Bu demektir ki, eğer bu kadar eğimliysem, o çöpü alıp eve getireceğim, ki tam olarak yaptığım şey bu. Her hafta lastik eldivenlerimi çırpıp çöp kutusunun her yerine geçebilirdim: bakkal ping listeleri, telefon numaraları ile yapışkan notlar, küçük bir kızın bir arkadaşının doğum günü partisi için özel bir davetiyesi ve çok daha fazlası. Yöneticilerin çöp kutusuna gitmeye devam ederken, servis sağlayıcılarının bir listesini derledim: su faturası, telefon faturası, gaz ve elektrik, kablo vb. Bu bilgiyi sadece hayatlarına erişim kazanmak için değil, eğer istesem hayatlarını devralmak için kullanabilirim..

Sonunda, banka yöneticilerinin İnternet servis sağlayıcıları için fatura bilgilerini saldırmam için bir erişim noktası olarak kullanmaya karar verdim. Faturalardan edindiğim bilgileri kullanarak yöneticilerle temasa geçtim ve o şirketten olduğumu açıkladım. Servislerimizi güncellediğimizi ve İnternet servisine devam etmeleri için güncellenmiş yazılımları yüklemeleri gerektiğini söyledim. Yazılımın önümüzdeki hafta içinde geleceğini açıkladım..

Ayrıca, arama sırasında geçmiş faturalandırma bilgilerini referans gösterebildiğim için, kurbanlar hiçbir şeyden şüphe duymadılar. Bir hafta içinde, her biri postada “yükseltme yazılımı” ve talimatlar içeren bir paket aldı. Tek tek, yöneticiler yazılımı yüklediler.

Tabii ki, yeni yükledikleri yazılım aslında kötü niyetliydi ve bilgisayarlarına dünyanın her yerinden Internet üzerinden erişebilmem için özellikle tasarlanmıştı. Yazılımı yükledikten kısa bir süre sonra, bilgisayarlarında tüm dosyalarından geçiyordum. Birkaç kısa gün içinde, doğrudan doğruya finans kurumunun dahili ağına bağlanmamı sağlayan kurumsal sistemler ve hatta VPN erişimi için kullanıcı adları ve şifrelerim vardı..

Raporumu kuruluştaki yöneticilere sunduğumda, açıkça belliydi. Hiçbiri, onları imzalamama izin veren tüm feragatnameleri imzalamış olsalar bile, onları hiçbir zaman evde hedeflediğimi hiç düşünmemişti. Kendilerine gönderilmekte olan e-postalar konusunda temkinli olduklarını söylediler, çünkü ikna etmeye çalışacaklarıma ikna olduklarından; ama onların çöplerinden geçip ona karşı kullandıkları düşüncesi asla akıllarını aşmamıştı..

Şimdi, bu hikayenin kimlik hırsızlığı ile ne ilgisi olduğunu kendinize soruyor olabilirsiniz. Tabii ki, çalışanlarına evde saldırarak bu finans kurumuna erişebildim, ama teknik olarak çalışan asla doğrudan işverene değil doğrudan riske atılmıştı. Gerçekte, bu çalışanlar hayal ettiğimden çok daha savunmasız hale geldi. Ancak, onları kişisel olarak test etmek için işe alınmadığı için, bu fırsatları atladım ve ana hedefime odaklanmıştım: banka.

Kredi kartınız varsa, muhtemelen kredi kartı şirketi adına gelen gereksiz postaların dağınıklığına alışkınsınızdır. Faturanızla birlikte gelen çöplerin çoğu zararsız olsa da, kredi kartı şirketi para harcamanızı kolaylaştırmaya karar verdiğinde sorun oluşur. Kredi kartı çekleri kredi kartı şirketleri için kazançlı bir iş haline gelmiştir. Bu çekler, diğer kredi kartı faturalarından bakkaldaki yiyecekleri satın almak için düzenli olarak yapılan çekler gibi kullanılabilir. Bu çekleri kredi kartlarının kabul edilmediği durumlarda kullanabildiğiniz için, kredi kartı borcunu yükseltmeye devam etmeniz için size yeni bir özgürlük sağlar. Bu çekler genellikle aylık kredi kartı ekstrenize doldurulmuş çok sayıda başka belgeyle birlikte gelir..

Bankanın yönetim ekibine saldırırken, bu kontrollerin çoğunu hala çöp kutusuna bırakılmış olan açık zarfın içinde buldum. Tek yapmam gereken bu çekleri almak ve bir ping çılgınlığı yapmaktı. (Tabi ki yapmadım, ama gerçek bir hırsız olduğum için, gerçek bir altın madeni haline gelmeliydim.)

Bu testler sırasında bana sunulan diğer kimlik hırsızlığı saldırı fırsatları vardı. Bulduğum her fatura büyük bilgi içeriyordu. Örneğin, kablo faturasında, kurbanın adı, adresi ve hesap numarası mevcuttu. Ayrıca, mevcut faturanın toplamını, önceki faturanın tutarını ve ödemesini yaptıklarını görebiliyordum. Sadece bu bilgiyi kullanarak kurbanı arayabilir, kablo şirketinden olduğumu açıklayabilir ve bu ayın faturası için ödeme almadığımızı söyleyebilirim. Kurban, tabii ki, ona ödeme yaptığını söylerdi ve bir çek göndermiş olabileceğini iddia edecektim, fakat onu almadık, bu yüzden postada kaybolabilir. Talihsiz olsa da, hizmetinin kapatıldığını ve tekrar aktif hale getirilmesi için bir ücret ödemek zorunda olacağını açıklarım..

Öyleyse mağdura faturayı kredi kartıyla ödeme veya telefon üzerinden kontrol etme olanağı sunarım. Diğer ödeme nihayet ortaya çıktığında, yıkılacağını açıklardım. Yine, mağdurun önceki ödeme tutarından bahsetmenin ve alındığında bana güvenilirlik kazandırılmasının önemli olduğunu belirtmek önemlidir. Mağdur, kredi kartı numarasını ödeyebilir ve verebilir, hesap numarasını ve banka yönlendirme numarasını kontrol edebilir. Tamamlandığında, bu bilgiyi aldım ve bir satın alma çılgınlığına gidebilirdim..

Bu tür saldırılardan kaçınmak için basit bir çözüm var: Her şeyi parçalayın. İçtenlikle söyledim. Herşey! Kişisel bilgileri içeren herhangi bir kağıdı atıyorsanız, önce parçalara ayırın. Öğütücüler birkaç farklı tipte gelir, ancak çapraz kesim parçalama ve CD ve kredi kartlarını parçalayabilir emin olmak için biraz fazladan harcamanızı tavsiye ederim. Bu tip bir öğütücü daha hızlı çalışır ve bir kerede daha fazla öğeyi parçalara ayırır, bunun önünde daha az zaman harcamayı sağlar.

Unutmayın: Bir adamın çöpü gerçekten başka bir adamın hazinesi olabilir. Ne yazık ki, bir adamın hazinesi aslında başka bir adamın kimliğinden çalınabilir. Yani parçalamaya başla.

Dumpster kar için dalış
Bir önceki Gerçekte, insanların evde olduklarında ve onunla birlikte gelen riskleri ne zaman attığından bahsettim. Ancak, bu riskler, iş arkadaşlarım ve ben yıllar boyunca çöplük dalışı yaparken keşfettiklerim ile karşılaştırıldığında hiçbir şeydir. Pek çok eyalet, tüketicilerin gizli bilgilerini güvenli bir şekilde atmak için şirketlere dava açmaya başlamış olsa da, dünyanın çoğunluğunun dikkati çekmediği görülüyor..

Radio Shack, 2007’nin başında, binlerce müşteri için özel bilgi içeren 20’den fazla kutu attığını iddia etti. Çöp kutusundan çıkan bir adam kutuları buldu ve rapor etti. Nisan ayında Teksas Eyaleti, müşterilerini kimlik hırsızlığına maruz bıraktığı iddiasıyla Radio Shack’a karşı bir medeni hukuk davası açtı. Giysi, şirketin “bilgileri, imha edilmeden, silinmeden veya başka yollardan koruyarak, iş kayıtlarını elden çıkarmadan önce okunamaz ya da kabul edilemez kılmadığı” iddiasında bulundu.

Verilerin keşfedilmiş olması sürpriz değil. Basit gerçek şu ki, yüzlerce çöplüğümde “ziyaret etmekten” keyif aldım, boş bir yere geldiğim nadir bir gün oldu. Çoğu zaman, ortalama kimlik hırsızını aylar ve hatta yıllar boyunca işte tutmak için yeterli gizli bilgi ile ayrılırım. Çöp kutusunda, sosyal güvenlik numaralarını, ehliyetlerin kopyalarını, kredi başvurularını, kredi kartı numaralarını, tam adları ve adresleri ve telefon numaralarını buldum. Ve bunlar sadece belli şeyler.

Yakın zamanda test ettiğimiz bir şirket, uyuşturucu testi belgelerini, potansiyel yeni iş alanlarının hepsine atıyordu. Her belge adı, adresi, sosyal güvenlik numarasını ve testin sonuçlarını içermiştir. Sadece bu kişiyi kimlik hırsızlığı riski altına sokmakla kalmadı, aynı zamanda bir dava için bir yürüyüş bomba da vardı. Potansiyel çalışanlardan birinin bu testi başarısız olup olmadığını ve bilginin kamuya açıklandığını düşünün. Serpinti her tarafta yıkıcı olabilirdi.

Başka bir yerde, bir finans kurumu kredi başvurularının kopyaları, sosyal güvenlik numaraları, banka hesap numaraları ve daha fazlası dahil olmak üzere gizli bilgileri atıyordu. Ancak bu durumda, çöp çöplüğüne yerleştirmek yerine, kuruluş, geri dönüşüm için belirlenen tesisin dışında bulunan kutulara bilgi yerleştiriyordu. Bunun, gizli bilgi sızıntılarında artan bir eğilimin parçası gibi göründüğünü fark ettim. Genel olarak, insanlar yeşil hareketle ilgilenirler ve uygun belirlenen parçalanmış alanlara parçalanması gereken maddeleri atmak yerine, belgeleri geri dönüşüm kutusuna yerleştirirler.

Parçalama karşı geri dönüşüm
Hassas dokümanları geri dönüşüm kutularına yerleştirerek yakalanan çalışanlarla konuştuğumda, açıklamaları, geri dönüşümün çöplerden farklı olduğunu ve bu nedenle de bir şekilde güvenli olduğunu düşünmeleriydi. Daha fazla açıklamak istendiğinde, çalışanlar genellikle çöplerin çöpleri birilerinin eline geçebileceği çöplüklerde bittiğini, geri dönüşümün yeniden kullanılacağı bir yere götürüldüğünü söylüyor. Çoğu zaman, gizli bir belgeyi bir çöp kutusuna götürmek yerine güvenli bir şekilde bir geri dönüşüm kutusuna yerleştirmenin güvenli olduğunu düşündüklerini söylüyorlar. Mükemmel bir şekilde açık olalım: Geri dönüşüm, eşyaları çöp kutusuna atmaktan daha güvenli değil. Yeşil olmaktan endişe duyanlar için, çoğu büyük parçalama şirketi, belgeleri parçaladıktan sonra geri dönüşüm yapıyor.

Geri dönüşüm, eşyaları çöp kutusuna atmaktan daha güvenli değil.

Şirket hattınız nedir?
Çöpte bulduğum gizli bilgi miktarının, kuruluşun çalışanlarına parçalama erdemlerini ne kadar vaaz ettiği ile doğrudan ilişkili olduğunu buldum.

Kişisel kuramım şudur: Bir çalışanın masasına kadar yürüyün ve kolunuzu bir uçaktaki kanatlar gibi dik tutun. Şimdi bir daire içinde dönün. Çalışanın, kolunuzun kapsamı içinde parçalanması gereken gizli belgeleri yerleştirmesi için bir yer var mı? Aksi takdirde, çalışanların muhtemelen ihtiyaç duydukları her şeyi parçalamadıklarına dair söz verebilirim..

Sorun şu: Bir kuruluş, tesisinin her katına parçalanmış bir varil yerleştirir. Çalışanların daha sonra gün boyunca ayağa kalkmaları ve üzerlerine gizli bilgileri olan tüm kağıtları bu kutulara yerleştirmeleri beklenir. Tabii, sonuçta ortaya çıkan şey, çalışanların sorgulanabilir eşya masalarında bir yığın oluşturmaya başlamasıdır. Gün geçtikçe gazeteler yoluna girmeye başlar. Çalışanlar meşgul ve parçalanmış namluya yığılmaya istekli olmadıklarından, genellikle onları çöp kutusuna atıyorlar ya da “fakir adam parçalamak” olarak adlandırdığım şeyi yapıyorlar. Yani, onlar fiziksel olarak kendileri kâğıtları yırtıyorlar. El ile yırtılan belgeleri bulduğumda, onları eve götürüp 7 yaşındaki oğluma ver ve ona bir bulmaca olduğunu söyle. Onları hep bir araya getirir..

Diğer durumlarda, eğer çalışanlar parçalanmış bir belgeyle sonuçlanırsa, parçalanmış varil ile seyahat etmek istemeyebilirler, bu nedenle belge çöpte biter..

Tüm için öğütücüler
Mümkün olan en iyi çözüm, her masada küçük bir öğütücüye sahip olmaktır. Bu, çalışanların her çalışma belgesini parçalamalarını kolaylaştırır ve neyin gizli olduğu düşünülen şeyin karışıklığını ortadan kaldırır. Bu uygun bir seçenek değilse, parçalama için belirlenen her masada bir ikinci çöp kutusu ekleyin. Bu ikinci seçeneği belirlerseniz, bunun ek risklerle geldiğini unutmayın. Her çalışanın masasındaki geri dönüşümün her günün sonunda kaldırıldığından emin olmalısınız. Temizlik masasının veya diğer ziyaretçilerin erişebileceği her masada bir açık kutu gizli belge bırakmak istemezsiniz..

Son önerim en önemlisidir. Kendinize bazı lastik eldivenler ve birkaç boş çöp torbası almanızı ve kendi çöplüğünüze gitmenizi tavsiye ederim. Çöpünüzde neyin bittiğini kendiniz öğrenin. Muhtemelen şaşıracaksınız ve muhtemelen ne buldunuz hakkında biraz endişe duyacaksınız.

Kullanılan bilgisayarınız altın ağırlığındadır.
Birkaç yıl önce, ABD genelinde satış temsilcilerinin bulunduğu bir şirkette çalışıyordum. Bir gün, daha önce aldıkları bir telefon görüşmesinden dolayı çok üzülen bir iş arkadaşından çağrı aldım. Las Vegas’taki bir adam, bir takım kurumsal müşterilerimiz için dosyalara baktığını ona bildirmeye çağırmıştı. Buna ek olarak, birkaç aylık kurumsal e-postaya ve çok sayıda diğer notlara ve tescilli bilgilere erişime sahipti. Bu adam, şirketimizi tehdit etmeye çalışıyormuş gibi gelse de, güvenlik konusunda bu kadar saçma bir ihlalde sadece tahriş olduğu ortaya çıktı ve birini aramakla görevlendirildiğini söyledi..

Birkaç ay önce, Las Vegas’ta yaşayan başka bir satış temsilcisi kişisel bir dizüstü bilgisayar satın aldı. Aslında dizüstü bilgisayara sahipken, evden şirket ofisine telekomünikasyon yapmak için kullandı. Satış temsilcisi olarak, çok sayıda şirket dosyasına, e-postaya, müşteri hesabına vb. Erişebiliyordu. Birkaç ay sonra, dizüstü bilgisayarın artık yeterli olmadığına karar verdi. Bu yüzden satın aldığı mağazaya geri döndü ve geri ödeme talebinde bulundu. İnanılmaz bir şekilde, para iadesi aldı ve bilgisayarı hala üzerinde bulunan tüm gizli dosyalar ile mağazaya iade etti. Sisteme kaydedilen tüm kullanıcı adları ve şifreler [md] e-postaları, notları, dosyaları, dokümanları, her şeyi geride bıraktı.

Şimdi, bu dizüstü bilgisayar yeniden satılmadan önce yeniden biçimlendirilmiş ve fabrika özelliklerine geri dönmüş olabilir. Birkaç ay boyunca kullanılmış olduğu belliydi. Ne yazık ki, dizüstü bilgisayar hala tüm satış temsilcilerinin gizli dosyalarını içeren başka bir müşteriye satıldı..

Sadece Outlook’u açarken ikinci sahibinin şokunu hayal edebiliyorum ve otomatik olarak şirket ağına giriş yaptım ve satış temsilcilerinin en son e-postalarını indirmeye başladım. Neyse ki, ikinci alıcı dürüst oldu ve sistemdeki veriler eninde sonunda yok edildi. Ancak, herkes çok şanslı ve daha önemlisi, her durum çok açık değil.

Her gün, hassas veri içeren binlerce bilgisayar, çöp kutusuna atılır veya bireylere ve kuruluşlara bağışlanır. Sorun şu ki, çoğu zaman bilgisayarlar hala sabit disklerdeki mevcut veriler için herhangi bir düşünce olmaksızın kapatılmakta ve paketlenebilmektedir. Bu bilgisayarlar genellikle depolama alanlarına girmez. Bunun yerine, diğer bilgisayarlarla birlikte bir palete yerleştirildikten sonra dolar cinsinden pennies için açık artırmalarda toplu olarak satılıyorlar..

Kimlik hırsızları yıllardır bu uygulamaların farkındaydı ve bu bilgisayar paletlerinin sunulduğu açık artırmaları aradılar. Daha sonra bilgisayarları eve götürürler ve birer birer sabit disklerde bulunan tüm verileri kullanırlar. Bazı insanlar, sabit diskleriyle ilgili riskleri fark eder ve herhangi bir gizli dosyayı açmadan önce siler. Maalesef, hırsızlar bunu bekler, bu yüzden sadece mevcut verilere bakmanın yanı sıra, sabit diskten geçen gizli yazılımları çalıştırırlar ve önceden silinmiş dosyaları bulur.

Hırsızlar bu şekilde gizli bilgi elde etmeyi garanti etmese de, risk-kazanç ödemesi kesinlikle kendi lehlerine olacaktır. Sadece bir bilgisayar sadece bir kişinin gizli bilgilerini içeriyor olsa bile, kimlik hırsızı bilgisayarların paleti için ödediği küçük yatırımdan çok daha fazlasını yapacaktır..

Tabii ki, sadece verdiğiniz bilgisayarlar değil. Diğer durumlarda, hırsızlar eBay gibi siteler aracılığıyla eski dizüstü bilgisayarları ve bilgisayarları satın alır. Bu bilgisayarlar genellikle hem ev kullanıcıları hem de büyük şirketler tarafından sunulmaktadır. Yine hırsızın amacı, kimlik hırsızlığı yapmak için kullanabileceği bilgileri kazanma umuduyla, bilgisayardaki herhangi bir dosyayı geri almaktır..

Kimlik hırsızlığı büyük bir endişe kaynağı olsa da, bilgisayarda bırakılan verilerden gelebilecek yasal sorunlar da vardır. Örneğin, sabit sürücü hakkında gizli durum bilgisi bırakan bir avukat, bir altın hırsızı için bir kimlik hırsızlığına değebilir. Yine, sadece bilginin silinmesi, onun gittiği anlamına gelmez. Eğer yanlış ellerde olsalardı, maliyetler etkilenen şirkete milyonlarca hatta milyarlarca olabilirdi..

Bilgisayarı kullanmadan önce verilerinizi yok edin
Benim önerim, bir bilgisayarı elden çıkarmadan önce sabit sürücüyü (sürücüyü açmak ve sürücü plaklarını çekiçlemek) hileli bir şekilde imha etmek olsa da, bilgisayarı satıyorsanız bu seçeneğe sahip olmazsınız. Hala yüklü olan sabit sürücü (ler) içeren bir bilgisayar satıyorsanız, en iyi seçenek, verileri güvenli bir şekilde silmek için tasarlanmış yazılımı kullanarak sabit sürücüyü yeniden biçimlendirmektir..

Bir dosyayı bir bilgisayarın sabit diskinden sildiğinizde, dosya teknik olarak gitmez. Bunun yerine, dosyanın bulunduğu yeri gösteren işaretçi kaydı kaldırılır, ancak dosyanın kendisi kalır. Zamanla, yeni programlar yerine kaydedildikçe dosyaların bir kısmı veya tamamı yazılacaktır. Küçük sürücülerle, bu hızlı bir şekilde gerçekleşebilir, ancak büyük sürücülerle, bu daha uzun bir zaman alabilir. Silinen dosyalarınızı bulmak ve silmek için çok sayıda yazılım uygulaması tasarlanmıştır. Bu programların kullanımı son derece kolaydır ve daha önce silinmiş dosyaların yüzlerce kez izlenmesi için sadece birkaç dakika sürer.

Ancak, seçilen dosyaları sabit diskten güvenli bir şekilde silmek için tasarlanmış bir yazılım vardır. Çoğu durumda, yazılım, dosyanın sabit diskte bulunduğu ve daha sonra bu konuma yeni veriler yazdığı bayrakları işaretler. Verileri bir önceki dosyanın konumuna yazdığında ne kadar çok olursa, orijinal dosyanın geri alınması daha az olasıdır. Bu programların hem ücretsiz hem de kurumsal sürümleri, verilerinizi ve yazılım uygulamalarınızı kalıcı olarak silmek için kullanılabilir. Ücretsiz sürümler kullanıcı dostu olmamalarına rağmen, genellikle güvenli.

Gizli olan her şeyi silmeniz gerektiğini söylemek benim için kolay; eninde sonunda, düşündüğünden daha zor olabilir. Genellikle, işletim sistemleri üzerinde çalışırken yazdıklarınızın yedekleri de dahil olmak üzere verileri kaydeder. Birincil dosyayı silseniz bile, yedekleme hala diskinizde gizli olabilir, ancak “geri alma” yazılımı tarafından kolayca bulunabilir. Bu nedenle, mümkün olduğunda, eski bilgisayarınızı asla tam olarak güvenemediğiniz birisine takılı ve sağlam sabit sürücülere asla vermemenizi öneriyorum. Ve sürücülerinizi çöp kutusuna atmadan önce imha ettiğinizden emin olun..

Jim Stickley’den “Kimlik Hırsızlığı Hakkındaki Hakikat” ten alıntı. Pearson Education tarafından Telif Hakkı (c) 2008. Pearson’ın izniyle basılmıştır..

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

− 6 = 1

map