アイデンティティ盗難:ごみ、宝物

著者Jim Stickleyは、クレジットカードを盗んだり、偽のATMを作成したり、社会保障番号をハッキングしたり、銀行を奪ったりしています。しかし、彼は犯罪者ではありません。 Stickleyは企業のセキュリティ上の欠陥を見つけるために採用されました。彼の著書「アイデンティティ盗難についての真実」では、スティッキーは脆弱な人々がアイデンティティを盗まれている可能性について書いている。この抜粋では、人々は捨てるものについて何度も考えなければならないと警告しています.

第2部:ゴミに関する真実

ある人のゴミは別の人の身元です
長年にわたり、私は何百もの異なる攻撃を通じて多数の銀行に壊れました。それぞれが異なっていましたが、現金や機密情報にアクセスするための主な目的はしばしば同じでした。私は一度、物理的な場所とそのネットワークのセキュリティについて懸念するだけでなく、上層部の管理に関連するリスクについても懸念していた大手金融機関にアプローチしました。この機関は、私の経営陣がアイデンティティの泥棒の組織へのより多くのアクセスを可能にする方法で攻撃される可能性があるかどうかについても調査するよう求めました.

だから毎午後、私は駐車場で待っていて、管理チームのメンバーが車に乗るのを見ました。それから私は彼らを家に追いました。数週間後、私はそれぞれの自宅の住所を持っていました。私は自分の家に侵入する許可がなく、自分の身の回り品を突き刺すことができなかったので、次の最良のものを選んだ.

長年にわたり、私はあなたがごみ箱で見つけることができるものに驚いています。個人のごみにはアイデンティティの泥棒にとって大きなビジネスがあります。さらに重要なのは、ゴミをゴミ箱に出してゴミ箱に出したら、一般に公開されることです。これは、もし私がそんなに傾けられたら、そのゴミを家に持ち帰ることができるということです。それはまさに私がやったことです。毎週私はゴム手袋をはめ、ごみ箱の各項目、食料雑貨店のpingリスト、電話番号付きの付箋、友人の誕生日パーティーへの少女のプライベートな招待状などを通っていきます。私は引き続き管理者のゴミ箱を通過すると、水道料金、電話料金、ガス、電気、ケーブルなどのサービスプロバイダのリストを作成することができました。私はこの情報を使って自分の人生にアクセスできるだけでなく、もし私が欲しいのであれば、彼らの人生を引き継ぐことができます.

結局のところ、私は銀行管理者のインターネットサービスプロバイダの請求情報を攻撃のアクセスポイントとして使用することに決めました。私が法案から得た情報を使用して、私はマネージャーに連絡し、私がその会社にいることを説明しました。私たちはサービスを更新していると言いました。インターネットサービスを継続するためには、更新されたソフトウェアをインストールする必要があります。私は、ソフトウェアが来週に到着すると説明した.

私も電話中に過去の課金情報を参照することができたので、犠牲者は決して物事を疑っていませんでした。彼らは1週間以内に、それぞれ「アップグレードソフトウェア」と説明書が入ったパッケージをメールで受け取った。 1つ1つ、マネージャーがソフトウェアをインストールしました.

もちろん、彼らがインストールしたばかりのソフトウェアは実際には悪意のあるもので、世界中のどこからでもインターネット経由でコンピュータにアクセスできるように特別に設計されています。彼らがソフトウェアをインストールした直後に、私は彼らのコンピュータ上ですべてのファイルを調べていました。短期間で企業のシステムにユーザー名とパスワード、さらにはVPNアクセスがあったため、金融機関の社内ネットワークに直接接続することができました.

私が報告書を組織の役員に提出したとき、彼らは明らかに床が詰まっていました。彼らの誰も私が自宅でそれらを目標としていたと疑ったことはありませんでした。彼らは、彼らが私がどのように入り込むかと確信していたので、彼らに送られていた電子メールについて慎重であると言いました。私がゴミ箱を通過してそれらを使用するという考えは、決して彼らの心を越えたことはありませんでした.

さて、あなたは、その物語がアイデンティティ盗難と関係していることを自分自身に尋ねているかもしれません。確かに、私は自宅の従業員を攻撃してその金融機関にアクセスすることができましたが、技術的にはその従業員は決して直接雇用者である危険にさらされませんでした。現実には、私の想像以上の被害を受けていました。しかし、私は個人的にそれらをテストするために雇われなかったので、私はちょうどそれらの機会を迂回し、私の主要な目標に集中していた:銀行.

クレジットカードを所有している場合は、クレジットカード会社に代わって迷惑メールが混雑している可能性があります。あなたの請求書に含まれるほとんどの迷惑メールは無害ですが、クレジットカード会社があなたのお金を使いやすくすることを決定したときに問題が発生します。クレジットカードの小切手は、クレジットカード会社にとって有益なビジネスとなっています。これらの小切手は、通常の小切手のように、他のクレジットカード請求書から食料品店での食品購入まで何でも支払うことができます。クレジットカードが受け入れられない状況でこれらの小切手を使うことができるので、クレジットカードの借金を引き続き払うことができます。これらの小切手は、多くの場合、毎月のクレジットカード明細書に詰め込まれた他の多数の書類に含まれています.

銀行の経営陣を攻撃している間、私はこれらの小切手の多くが依然としてゴミ箱に落とされた開かれた声明の封筒内にあることを発見しました。私がしなければならなかったのは、これらの小切手を取ってping spreeに行くことだけでした。 (私はもちろん、本当の泥棒であったことはありませんでしたが、真の金鉱山にたどり着いただけです)。

これらのテスト中に他のID盗難攻撃の機会が私に与えられました。私が見つけた各請求書には素晴らしい情報が含まれていました。たとえば、ケーブル請求書では、被害者の氏名、住所、口座番号が利用可能でした。さらに、現在の請求書の合計、前の請求書の金額、およびそれらが支払われたかどうかを見ることができました。この情報を使用して、私は被害者に電話をし、私がケーブル会社から来たと説明し、今月の請求書に対する支払いを受けていないと言います。もちろん、犠牲者は彼が支払ったと言うでしょう。私は彼が小切手を送ったかもしれないと主張しますが、私たちは受け取っていないので、郵便で失われる可能性があります。残念ながら、彼のサービスはオフになっていて、彼はそれを再び有効にするための料金を負担しなければならないと説明しました.

私は、被害者にクレジットカードで請求するか、電話で確認することができます。彼の他の支払いが最終的に現れたら、それは破壊されるだろうと私は説明するだろう。再度、犠牲者の前払い金額とそれが受け取られた時に言及すると、私に信頼性を貸すのに役立つことに注意することが重要です。犠牲者は、払い戻しをして、クレジットカード番号または当座預金口座番号と銀行振込番号を渡します。完了したら、私は単にその情報を取って買い物をしていた.

この種の攻撃を避ける簡単な解決法があります。すべてを粉砕します。私は真剣です。すべて!個人情報を含む紙を捨てている場合は、まずそれを細断してください。シュレッダーはいくつかの種類がありますが、クロスカットシュレッダーやCDやクレジットカードの細断ができることを確認するために少し余分に使うことを強くお勧めします。このタイプのシュレッダーは、より速く動作し、一度に多くのアイテムを細断し、その前に立つ時間を減らすことができます.

覚えておいてください:ある人のゴミは本当に別の人の宝物になることができます。残念なことに、ある人の宝は別の人のアイデンティティから実際に盗まれる可能性があります。だからシュレッダーを始める.

ダンスタースキーダイビング
前の真実で、私は、人々が家にいるときに捨てるものとそれに伴うリスクについて話しました。しかし、これらのリスクは、何年にもわたってゴミ箱ダイビングをしている間、私の同僚と私が発見したものに比べて何もありません。多くの州では、消費者の機密情報を不当に廃棄するために企業を起訴し始めているが、世界の大部分は単に注目を集めていないようだ.

2007年初めに、Radio Shackは、数千の顧客に対して個人情報を含む20個以上のボックスを投棄したと言われています。ゴミ箱を見つけた男が箱を見つけ、それを報告した。 4月に、テキサス州は、ラジオ・シャック(Radio Shack)に対して、顧客を個人情報の盗難にさらしたとして、民事訴訟を起こした。この訴訟では、会社が「情報を破棄したり、消去したり、他の手段で情報を保護しなかったため、事業記録を破棄する前に判読できない、または判読不能になった」と主張した。

データが発見されたという事実は驚くことではありません。シンプルな事実は、私が “訪問”の喜びを持っている何百もの捨て場全体に、私が空手を手に入れている稀な一日であったということです。ほとんどの場合、数か月、あるいは何年もの間、ビジネスにおける平均的な身元窃盗を守るために十分な機密情報を残しています。私は、社会保障番号、運転免許証のコピー、クレジットアプリケーション、クレジットカード番号、完全な名前と住所、電話番号などをごみ箱に入れました。そしてそれらはちょうど明白なものです.

私たちが最近テストした会社は、実際にそのすべての潜在的な新規採用に関する薬物テストの文書を投げ捨てていました。各文書には、氏名、住所、社会保障番号、および試験の結果が含まれていました。その人物を個人情報の盗難の危険にさらしているだけでなく、訴訟のための歩行時の爆弾でもありました。その潜在的な従業員の1人がそのテストに失敗し、その情報が公開されたとしたらどうでしょうか?落下はあらゆる面で壊滅的だったかもしれない.

別の場所では、金融機関は、ローン申請書、社会保障番号、銀行口座番号などの機密情報を破棄していました。しかし、このケースでは、ゴミ箱に置く代わりに、施設はリサイクル用に指定された施設の外にあるビンに情報を置いていました。私は、これが機密情報漏えいの増加傾向の一部であるように見えることに気付きました。一般に、人々は緑の動きに興味があり、適切な指定された細断区域に細断処理が必要な物品を投げる代わりに、文書をごみ箱に入れる.

リサイクル対細断
敏感な文書をリサイクルビンに入れている従業員と話をしたところ、リサイクルはゴミとは違って安全だと思っていたという説明がありました。さらに説明するように頼まれたとき、従業員は一般に、ごみが手に入る可能性のある埋立地でゴミが終わる一方で、リサイクルが再利用される場所にリサイクルされると伝えています。彼らはしばしば、機密文書をリサイクルビンに入れることは安全だと感じていると私に伝えます。これは、文書が埋め立て地に送られる代わりに破壊されるためです。私は完全に明確にしましょう:リサイクルは、物をゴミ箱に投げることより安全です。グリーンになることを心配している人々のために、ほとんどの主要な細断処理会社は、文書を細断したらリサイクルを行います.

リサイクルは、ゴミ箱にアイテムを投げるより安全です.

あなたの会社のラインは何ですか?
私がごみの中で発見した機密情報の量は、組織が従業員に細断することの長所.

私の個人的な理論は次のとおりです。従業員の机の上を歩いて飛行機の翼のように腕をまっすぐに伸ばします。今度は円で回転する。従業員が腕の範囲内で細断を必要とする機密文書を置く場所はありますか?そうでなければ、私は従業員が必要とするすべてのものを細断していない可能性があることを約束することができます.

問題はこれです:組織が施設の各フロアに細断樽を置くことがよくあります。従業員は一日中立ち上がって、機密情報を持った書類をそれらのビンに入れなければなりません。もちろん、起きることは、従業員が疑わしい品物の机の上に積み重ねを作り始めることです。日が進むにつれて、論文は途中で始まります。従業員は忙しく、細断された樽に積み重ねる意思がないので、それらをゴミ箱に入れたり、「貧しい人の細断師」と呼んでいるだけです。つまり、彼らは物理的に紙を引き裂きます。手で引き裂かれた書類を見つけたら、私はそれらを家に持ち帰って7歳の息子に渡し、それがパズルだと伝えます。彼はいつも一緒に戻します.

他のケースでは、従業員が細断処理が必要な文書が1つだけで終わると、細断されたバレルへの旅行を無駄にしたくないかもしれないので、文書はゴミ箱に入れられます.

すべてのシュレッダー
最良の解決策は、各机に小さなシュレッダーを置くことです。これにより、従業員はあらゆる作業用紙を細断することが容易になり、秘密とみなされるものと思われないものが混乱することはなくなります。それが実行可能なオプションでない場合は、シュレッダー用に指定された各机に2番目のごみ箱を追加してください。この2番目のオプションを選択した場合、追加のリスクが伴うことに注意してください。各従業員の机のリサイクルは、毎日の終わりに削除されることを確認する必要があります。清掃作業員や他の訪問者がアクセスする可能性がある各机に機密文書の箱を残すことは望ましくありません.

私の最後の提案が最も重要です。私は非常にあなた自身のゴム手袋といくつかの空のごみ袋を取得し、自分のゴミ箱に頭をお勧めします。自分のゴミ箱に終わるものを自分で見つけてください。あなたはおそらく驚かれるでしょうし、恐らくあなたが見つけるものについて少しは心配しています.

使用しているコンピュータの金額は重宝します
数年前、私は米国全土に営業担当者を配置していた会社のために働いていました。ある日、彼はちょうど彼が受け取った電話について非常に動揺した同僚から電話を受けました。ラスベガスのある男性が、多くの企業顧客のファイルを見ていることを彼に知らせるために電話をかけました。さらに、彼は数ヶ月間の企業の電子メールや数多くのメモや独自の情報にアクセスできました。この男が会社を脅かしようとしているかのように聞こえていたのですが、そのようなばかばかしいセキュリティ違反でちょっと苛立ち、誰かに電話して告げる義務があると感じました.

数ヶ月前に、ラスベガスに住んでいた別のセールス担当者がパーソナルラップトップを購入しました。彼は実際にラップトップを所有していましたが、自宅から本社への在宅勤務に使用しました。営業担当者であったため、多数の企業ファイル、電子メール、顧客アカウントなどにアクセスできました。数ヶ月後、彼はラップトップがもう適切ではないと判断しました。そこで、彼は店に戻り、購入して払い戻しを要求した。信じられないほど、彼は払い戻しを受け取り、機密ファイルが残っている状態でコンピュータを店に戻した。システムに保存されたすべてのユーザー名とパスワードは、[md]メール、メモ、ファイル、文書、すべて.

さて、このノートパソコンは再フォーマットされ、再販される前に工場仕様に戻されると思うかもしれません。数ヶ月間使用されたことは明らかでした。残念なことに、ラップトップは別の顧客に売却されましたが、依然として営業担当者の機密ファイル.

私は、Outlookを開いたときに第2の所有者のショックを想像するだけで、自動的に企業ネットワークにログインし、営業担当者の最新の電子メールのダウンロードを開始しました。幸いにも、2番目のバイヤーは正直であることが判明し、システム上のデータは最終的に破壊されました。しかし、誰もがとても幸運ではなく、もっと重要なことに、すべての状況がかなり明白ではない.

毎日、機密データを含む数千のコンピュータがゴミ箱に投棄されたり、個人や組織に寄付されたりします。問題は、ハードディスクドライブに残っている既存のデータを気にせずに、コンピュータの電源を単に切って箱詰めすることが多いということです。これらのコンピュータはしばしば埋め立てに終わらない。代わりに、彼らは他のコンピュータと一緒にバンドルされ、パレットに置かれ、そしてドルでペニーのオークションで一括販売される.

アイデンティティの泥棒は​​、このプラクティスを長年にわたってよく認識しており、これらのコンピュータのパレットが提供されているオークションを探しています。次に、コンピュータを家に持ち帰り、ハードドライブにあるすべてのデータを1つずつ順番に調べます。残念なことに、泥棒はこれを期待しているので、既存のデータを見るだけでなく、ハードドライブを通過するソフトウェアを元に戻すことができます。また、ハードドライブに関連するリスクを認識し、以前に削除されたファイルを検索する.

泥棒はこのように機密情報を取得することは保証されていませんが、リスク報酬の支払いは確かに有利です。たとえ1台のコンピュータにただ1人の機密情報が含まれていても、そのIDパッシングは、彼がコンピュータのパレットに支払ったわずかな投資以上のものになります.

もちろん、それはあなたが捨て去るコンピュータだけではありません。他のケースでは、泥棒はeBayなどのサイトを通じて古いノートパソコンやコンピュータを購入します。これらのコンピュータは、多くの場合、家庭のユーザーと大企業の両方から提供されます。再び、泥棒の目標は、身元情報の盗難を行うために使用できる情報を得ることを期待して、コンピュータ上のファイルを元に戻すことです.

個人情報の盗難は大きな懸案事項ですが、データがコンピュータに残っていることから生じる法的な問題もあります。たとえば、機密情報をハードドライブに残しておいた弁護士は、身分証明書の窃盗犯に金を払う価値があります。再度、情報を削除しても、情報がなくなったというわけではありません。もしそれが間違った手で終わるならば、その費用は影響を受けた企業に何百万から何十億というものになる可能性があります.

コンピュータを退職する前にデータを破壊する
私の提案は、コンピュータを廃棄する前に、ハードドライブ(ドライブを開き、ドライブをハンマーで引っ張って賭ける)を単に破壊することですが、コンピュータを販売する場合は必ずしもこのオプションがありません。まだハードドライブがインストールされているコンピュータを販売している場合は、データを安全に削除するように設計されたソフトウェアを使用してハードドライブを再フォーマットすることをお勧めします.

コンピュータのハードドライブからファイルを削除すると、ファイルは技術的に消えません。代わりに、ファイルがどこにあるかを示すポインタレコードは削除されますが、ファイル自体は残ります。時間が経つと、新しいプログラムがその場所に保存されると、ファイルの一部またはすべてが上書きされます。小さなドライブでは、これはすぐに起こる可能性がありますが、大きなドライブでは、これにはかなりの時間がかかります。削除されたファイルの検索と復元を行うために、多数のソフトウェアアプリケーションが設計されています。これらのプログラムは非常に使いやすく、削除された何百ものファイルを追跡するのに数分しかかかりません.

ただし、ハードドライブから選択したファイルを確実に消去するように設計されたソフトウェアがあります。ほとんどの場合、ソフトウェアはファイルがハードドライブ上にあった場所にフラグを立て、その場所に新しいデータを複数回書き込みます。以前のファイルの場所にデータを書き込む回数が増えるほど、元のファイルを元に戻す可能性が低くなります。これらのプログラムの無料版と企業版は、データとソフトウェアアプリケーションを完全に消去するために使用できます。無料のバージョンはユーザーフレンドリーではないかもしれませんが、一般的には安全です.

あなたが秘密のものをすべて消去すべきだと言うのは簡単です。最終的に、それはあなたが思うよりも難しくなるかもしれません。多くの場合、オペレーティングシステムは、作業中に入力したもののバックアップを含むデータを保存します。プライマリファイルを削除しても、ドライブ上に隠れているバックアップが残っている可能性がありますが、「削除の取り消し」ソフトウェアによって簡単に検出されます。そのため、可能であれば、私はあなたの古いコンピュータに、まだ完全に信頼できない人にはまだハードドライブがインストールされていることを知らせないでください。そして、ゴミ箱に投げ込む前にあなたのドライブを破壊するようにしてください.

ジムスティックリーの「アイデンティティ盗難についての真実」から抜粋Pearson Educationによる著作権(c)2008。ピアソンの許可を得て転載.