Gdy mówimy o wycieku danych osobowych, wyobraźnia od razu podsuwa obrazy wielkich korporacji — Facebooka, Allegro czy banków. Tymczasem coraz więcej incydentów bezpieczeństwa dotyka małych, wyspecjalizowanych sklepów internetowych, które działają w niszowych branżach: sprzedają używane monety, stare fotografie, rzadkie książki, akcesoria vintage albo — jak to bywa coraz częściej — dokumenty o charakterze kolekcjonerskim.
Problem polega na tym, że właściciele takich sklepów często nie traktują cyberbezpieczeństwa jako priorytetu. Skupiają się na produkcie, pasji, kliencie. Bezpieczeństwo danych jest dla nich zagadnieniem abstrakcyjnym — do czasu, gdy staje się problemem bardzo konkretnym, zarówno dla nich, jak i dla ich klientów.
Specyfika niszowych rynków sprawia też, że klienci są bardziej ufni. Trafiają tam z polecenia, z forów tematycznych, ze środowisk kolekcjonerskich. Ta ufność bywa przez nieuczciwych sprzedawców — lub podszywające się pod nich osoby trzecie — bezwzględnie wykorzystywana.
Co tak naprawdę podajesz, kupując gadżet online?
Kupując cokolwiek w internecie, zostawiamy znacznie więcej niż tylko adres dostawy. Imię, nazwisko, numer telefonu, adres e-mail, adres zamieszkania, a niejednokrotnie — numer dowodu osobistego lub PESEL, jeśli sprzedawca wymaga weryfikacji tożsamości. W sklepach działających poza głównymi platformami zakupowymi dane te trafiają bezpośrednio do bazy prowadzonej przez właściciela witryny.
Dla przeciętnego użytkownika ten zestaw danych wydaje się niegroźny. Dla kogoś, kto chce wyłudzić kredyt albo zawrzeć umowę na raty — jest bezcenny. W połączeniu z numerem PESEL i adresem zameldowania pozwala w wielu przypadkach na skuteczne podszywanie się pod ofiarę w instytucjach finansowych.
Branża dokumentów kolekcjonerskich — studium przypadku
Jedną z branż, w której zagrożenie jest szczególnie wysokie, jest rynek dokumentów kolekcjonerskich. Chodzi o repliki dawnych dowodów osobistych, praw jazdy, legitymacji czy innych papierów, które zbieracze traktują jak ciekawe memorabilia. Sam w sobie jest to legalny rynek hobbystyczny. Problem pojawia się wtedy, gdy pod szyldem legalnej firmy kolekcjonerskiej działa podmiot, którego faktycznym celem jest wyłudzenie danych osobowych od klientów.
O tym mechanizmie mówi wprost podcast ostrzegający przed oszustwami w branży dokumentów kolekcjonerskich. Autorka materiału zwraca uwagę, że pewna grupa przestępcza podszywa się pod legitne firmy produkujące dokumenty kolekcjonerskie. Klient zamawia gadżet, podaje wszystkie potrzebne dane — i nieświadomie staje się ofiarą oszustwa kredytowego. Co gorsza, może się o tym nie dowiedzieć przez wiele miesięcy.
Tego rodzaju schematy są szczególnie trudne do wykrycia, ponieważ strona internetowa fałszywego sklepu wygląda profesjonalnie, transakcja jest obsługiwana sprawnie, a towar — przynajmniej w części przypadków — faktycznie dociera do odbiorcy. Celem nie jest bowiem zwykłe wyłudzenie pieniędzy za nieistniejący produkt, lecz pozyskanie danych, które można spieniężyć w zupełnie inny sposób.
Ten przykład dobrze pokazuje, że niszowe zainteresowania — takie jak kolekcjonowanie dokumentów — mogą być skutecznie instrumentalizowane przez cyberprzestępców. Im bardziej specjalistyczny rynek, tym mniejsza czujność kupujących i tym łatwiej ukryć się przestępczemu podmiotowi wśród drobnych, lokalnych sprzedawców.
Jak zweryfikować sklep przed podaniem danych?
Podstawowym krokiem jest sprawdzenie danych rejestrowych sprzedawcy. Każdy sklep internetowy w Polsce działający w formie działalności gospodarczej powinien podawać NIP i REGON. Te numery można zweryfikować w bezpłatnych bazach takich jak CEIDG lub KRS. Brak tych informacji lub podanie nieprawdziwych to sygnał alarmowy.
Warto też sprawdzić, czy sklep stosuje protokół HTTPS i ma ważny certyfikat SSL — to minimum techniczne, które świadczy o tym, że właściciel zadbał choćby o szyfrowanie transmisji danych. Sam certyfikat nie gwarantuje jednak uczciwości sprzedawcy — można go wyrobić w kilka minut, nawet dla oszukańczej witryny.
Nie bez znaczenia są też opinie w niezależnych serwisach. Ważne jednak, żeby szukać ich poza samą stroną sklepu — najlepiej w branżowych grupach, forach tematycznych i porównywarkach, gdzie trudniej o moderowanie nieprzychylnych komentarzy. Kilka autentycznych negatywnych recenzji warte jest więcej niż setka pochlebnych opinii opublikowanych przez samego sprzedawcę.
Kupuj świadomie — Twoje dane to nie tylko wygoda
Dane osobowe mają realną wartość rynkową. Na forach cyberprzestępczych komplety danych — imię, nazwisko, PESEL, adres, seria dowodu — kosztują kilkadziesiąt złotych. Oznacza to, że już pojedyncze zakupy online w nieuczciwym sklepie mogą wystarczyć, aby stać się ofiarą kradzieży tożsamości. Banki i firmy pożyczkowe nie zawsze są w stanie zweryfikować, czy osoba składająca wniosek to rzeczywiście jej właściciel.
Świadomy konsument to taki, który przed każdym zakupem zadaje sobie pytanie: czy ta witryna naprawdę potrzebuje ode mnie wszystkich tych danych? Jeśli mały sklep z gadżetami kolekcjonerskimi wymaga podania numeru PESEL lub kopii dokumentu tożsamości — warto się zastanowić, zanim klikniemy „potwierdzam".
