20 zł za dowód, 100 za paczkę maili. Tyle płacą na czarnym rynku

Handel skradzionymi danymi odbywa się w darknecie - szyfrowanej sieci, która zapewnia użytkownikom anonimowość.

Przeglądanie "ukrytego internetu" wymaga odpowiedniego oprogramowania i pewnej wiedzy. Jednak samo kupienie nielegalnego towaru jest niemal tak proste, jak korzystanie z serwisu aukcyjnego w zwykłej sieci.

Ogłoszenia o sprzedaży dokumentów trafiają na fora lub do serwisów handlowych, przypominających zwykłe sklepy internetowe.

Transakcje przez fora internetowe zabezpieczone są rachunkiem Escrow - usługą pośrednika, który przekazuje środki sprzedającemu dopiero, gdy kupujący otrzyma towar i potwierdzi, że wszystko z nim w porządku.

Wszystko odbywa się anonimowo, sprzedający akceptują jedynie kryptowaluty. Najlepiej te, które nie pozostawiają śladu. Wystarczy kilka kliknięć i można stać się posiadaczem kilkudziesięciu dowodów osobistych.

Ofert sprzedaży danych osobowych szukam na największym polskim forum w szyfrowanej sieci.

Nie muszę długo szukać. Oprócz narkotyków to najpopularniejszy towar, którym wymieniają się użytkownicy.

Pierwsza oferta - skany dowodów osobistych.

"Skany pochodzą z bazy danych ubezpieczalni, wysyłam losowo. Wysyłane są tylko aktualne, za dodatkową opłatą możliwość wybrania spersonalizowanych skanów, tj. wiek, płeć, miejsce zamieszkania" - reklamuje swoją ofertę użytkownik.

Przy zakupie jednego do pięciu skanów, cena wynosi 20 złotych za sztukę. Jeśli ktoś chce kupić więcej, cena jednostkowa będzie niższa.

Inny użytkownik sprzedaje pakiet dokumentów w fizycznej formie, najprawdopodobniej skradzionych lub zagubionych.

W skład pakietu wchodzą dowód, prawo jazdy, karta płatnicza, legitymacja osoby niepełnosprawnej i karta miejska. Dokumenty należą do mężczyzny urodzonego w 1978 roku.

Ceny sprzedający nie podaje, czeka na oferty.

Dowody osobiste sprzedaje się też w sklepie internetowym, stworzonym przez polskich użytkowników darknetu. Do kupienia jest m.in. 45 skanów polskich dowodów osobistych, w cenie 4 dolary za sztukę.

Na dowodach osobistych handel danymi dopiero się zaczyna. Do sprzedaży trafiają też hurtowe ilości adresów e-mail wraz z pasującymi do nich hasłami.

Za 1500 adresów prywatnych jeden z użytkowników chce tylko 40 złotych. Droższe są maile firmowe, 100 sztuk za 100 - 150 złotych.

"Paczka przydatna dla specjalistów, możliwości użycia raczej zarobkowe (szantaż po zmianie hasła, zmiany w fakturach i inne, jakie przyjdą wam do głowy). Choć niektórzy lubią przeglądać dla zabawy i tych też zapraszam" - pisze autor ogłoszenia.

"Cena wysoka, ale pewnie szybko się zwróci zakup" - dodaje.

Na sprzedaż trafia też baza danych pośrednika kredytowego. Są w niej dane 160 tys. klientów z lat 2009 - 2020. Dane są bardzo szczegółowe, zawierają m.in. informacje o zarobkach, wykształceniu, dzieciach czy stanie cywilnym.

Ceny nie podano, sprzedający czeka na oferty.

Ofiary kradzieży danych często nie zdają sobie sprawy z tego, że coś im skradziono.

Skany dowodów czy hasła wykradane są masowo przy pomocy stron typu scam - podróbek innych serwisów internetowych, do których mamy zaufanie (np. bank) lub kuszących bajecznymi nagrodami, typu "iPhone za złotówkę".

O tym, że dane wyciekły, dowiadujemy się zwykle wtedy, gdy ktoś się nimi posłuży.

- Możliwe, że nic się nie stanie. Ale może być tak, że na nasze nazwisko ktoś zaciągnie kredyt czy jakiekolwiek inne zobowiązanie - tłumaczy Jarosław Feliński, prezes Stowarzyszenia Inspektorów Ochrony Danych Osobowych.

Opowiada o eksperymencie, który przeprowadził kilka lat temu w warszawskich instytucjach oferujących pożyczki - chwilówki.

- Miałem ze sobą dokument osoby, która wyglądała podobnie do mnie. Wystarczyło podpisać dokument, nikt nic nie sprawdził - mówi. - Później, gdy przyznałem, że to nie mój dowód, usłyszałem, że pracownik nie ma prawa do jego weryfikacji. Poza tym dostaje 150 złotych prowizji od każdej umowy - dodaje.

Kredyty czy pożyczki to jednak wierzchołek góry lodowej. Mając czyjeś dane, można założyć na nazwisko ofiary działalność gospodarczą i wyłudzać zwroty podatku.

Można też ukraść samochód wypożyczony na nazwisko ofiary. Granicą możliwości jest fantazja złodzieja.

Przed złodziejami w zasadzie nie ma jednej, skutecznej metody ochrony. Są jednak sposoby na to, by ryzyko wycieku danych zminimalizować.

- Potrzebna jest przede wszystkim świadomość. Edukacja i jeszcze raz edukacja - mówi Jarosław Feliński. - Musimy czytać umowy licencyjne, wiedzieć, komu udostępniamy dane, kto ma prawo żądać od nas skanu dowodu czy podania informacji - dodaje.

Błędem jest posiadanie tego samego loginu i hasła do różnych serwisów, zapamiętywanie ich w systemach czy ustawianie haseł łatwych do rozszyfrowania.

Jeśli już musimy przesłać komuś np. skan dokumentu, warto go później usunąć ze skrzynki. W ten sposób nie padnie łupem złodzieja. Pomóc może też uwierzytelnianie dwustopniowe.

A jeśli już padniemy ofiarą złodzieja danych, najlepiej zgłosić się na policję i zastrzec dowód osobisty.