Hackere stjæler endnu flere CPR-numre. Hvordan skal du beskytte dig selv?

Endnu en dag, endnu et massivt databrud hævdet af hackere. Dage efter et brud på T-Mobile afslørede omkring 53 millioner menneskers personlige oplysninger, meddelte en hackergruppe kendt som ShinyHunters, at den auktionerede 70 millioner sæt følsomme data, der angiveligt var stjålet fra AT&T.

De oplysninger, der udbydes til salg, var ens i begge brud, herunder fulde navne, adresser, fødselsdatoer og CPR-numre. Kort sagt, det er grundlaget for identitetstyveri.

AT&T svarede fredag ​​ved at så tvivl om påstanden fra den produktive ShinyHunters-kabal, og udtalte, at "baseret på vores undersøgelse i dag, ser den information, der dukkede op i et internetchatrum, ikke ud til at være kommet fra vores systemer."

Uanset hvor dataene kom fra, men hvis de er gyldige, kan det være et mareridt for alle, hvis følsomme oplysninger er afsløret. Her er en hurtig guide til de risici, du kan stå over for, og nogle af de ting, du kan gøre for at beskytte dig selv.

Hvad er risiciene?

CPR-numre er meget brugt af den føderale regering, banker, investeringsselskaber, offentlige fordelsprogrammer og forsikringsselskaber til at bekræfte din identitet. Dit stjålne CPR-nummer kan bruges til at åbne svigagtige kreditkortkonti, omdirigere eller svigagtigt indsamle fordele og begå svindel på arbejdspladsen, blandt andre former for bedrag. Smid dit navn, fødselsdato og e-mailadresse ind (som ShinyHunterne også hævder at have stjålet), og det er betydeligt nemmere for nogen at udgive sig for at være dig.

Identitetstyve kan bruge disse oplysninger til at målrette både dig og de banker, forsikringsselskaber og andre virksomheder, du handler med. For eksempel kunne de bruge det til at få phishing-e-mails til at virke mere realistiske, og hjælpe med at overtale dig til at opgive yderligere følsomme oplysninger såsom en adgangskode eller personligt identifikationsnummer (PIN). Eller de kan bruge det til at narre din bank til at lade dem ændre adgangskoden på din konto, hvilket giver dem adgang til dine penge.

T-Mobile-bruddet afslørede også telefonnumre, enhedsidentifikatorer og SIM-kortnumre for mere end 13 millioner af dets nuværende kunder. Det skaber en åbning for mindst én mere ondartet mulighed:et SIM-swap-angreb. Det er her, nogen overtaler dit mobiltelefonselskab til at overføre dit nummer til en anden enhed, som han eller hun derefter bruger til at forsøge at bryde ind på de konti, du har knyttet til dit telefonnummer.

Det er mere og mere almindeligt, at folk bruger deres mobiltelefonnumre som en måde at bekræfte deres identitet på – for eksempel når de logger ind på deres netbankkonto, eller når de vil nulstille deres adgangskode. Men den bekvemmelighed kan give bagslag, hvis dit nummer bliver kapret og derefter brugt til at efterligne dig online.

Hvorfor ønsker telefonselskaber dit CPR-nummer?

For det er den nemmeste måde at tjekke din kreditvurdering på. Virksomheder som AT&T og T-Mobile vil gerne vide, om du har registreret at betale dine regninger til tiden, før de accepterer at give dig en konto eller sælge dig en telefon i månedlige rater. Og de store kreditvurderingsbureauer bruger CPR-numre til at matche folk til deres kredithistorik.

"SSN er den eneste unikke universelle identifikator på tværs af hele befolkningen," forklarede Francis Creighton fra Consumer Data Industry Association, som repræsenterer kreditbureauerne. "Der er intet andet, der kan erstatte det på dagens marked."

CPR-numre hjælper også med at beskytte mod folk, der opretter svigagtige kreditrapporter, sagde Creighton. Og selvom der er måder at etablere en kreditscore på, der ikke er afhængig af dit CPR-nummer, sagde han, er det første skridt for en långiver eller tjenesteudbyder ikke at bede om det. Du kan ikke tvinges af et telefonselskab eller anden privat virksomhed til at afsløre dit nummer, men i Californien og de fleste andre stater kan virksomheden nægte at betjene dig som følge heraf.

Når du har betalt din nye telefon eller skiftet operatør, vil dit mobilselskab dog ikke længere indgive rapporter om dig til kreditbureauerne, sagde Creighton. Ikke desto mindre var hackerne bag det seneste T-Mobile-brud i stand til at stjæle CPR-numre til tidligere T-Mobile-kunder, som virksomheden af ​​en eller anden grund holdt fast i.

I det sidste årti har teknologivirksomheder udviklet alternative måder at identificere personer på for at gøre det lettere at beskytte sig mod identifikationstyveri, sagde André Ferraz, administrerende direktør for Inconia, en af ​​disse teknologivirksomheder. Ideelt set, sagde Ferraz, ville virksomheder supplere identifikatorer, der ikke kan ændres, såsom CPR-numre, med identifikatorer baseret på en persons unikke adfærd, som udvikler sig over tid. Desværre er disse løsninger endnu ikke blevet brugt bredt.

Hvordan beskytter du dig selv?

Den bedste ting at gøre er at sætte en fastfrysning af dine kreditfiler, hvilket vil forhindre nogen i at åbne en ny konto. Det er gratis at placere en fryser og løfte den til dine egne behov. Men du skal kontakte hver af de tre store kreditbureauer individuelt, hvilket du kan gøre online. Cybersikkerhedsekspert Brian Krebs foreslår også at fryse kreditfilerne, der vedligeholdes af en håndfuld mindre, specialiserede bureauer. Du bør også tjekke din kreditscore regelmæssigt, hvilket er en god måde at opdage svindel, efter det er sket.

Kredit- og identitetsovervågningstjenester, som typisk bærer et månedligt gebyr, kan også hjælpe med at afsløre identitetstyvenes arbejde. De giver værktøjer til at forhindre dig i at phishing og andre former for hacking kombineret med scanningstjenester, der leder efter dit CPR-nummer eller din e-mailadresse på steder online, hvor det ikke hører hjemme.

T-Mobile tilbyder to års McAfees overvågningsservice gratis til alle, der er berørt af bruddet. Det har oprettet en hjemmeside, der foreslår flere skridt, folk kan tage for at beskytte sig mod svindel. Enhver med en smartphone ville gøre klogt i at tage dem:

• Opret en pinkode til din mobiltelefonkonto for at give et ekstra lag af sikkerhed mod uautoriserede ændringer på din konto, såsom et ondsindet SIM-bytte. Hvis du er T-Mobile-kunde og har en pinkode, skal du angive en ny.
• Aktiver T-Mobiles funktion til "beskyttelse af kontoovertagelse", som giver et ekstra lag af beskyttelse oven på pinkoden. Verizon går videre og blokerer automatisk SIM-swaps ved at lukke både den nye enhed og den eksisterende, indtil kontoindehaveren vejer ind med den eksisterende enhed.
• Skift den adgangskode, du bruger til at komme ind på din mobiltelefonkonto online. Ændring af adgangskoder med jævne mellemrum er en god praksis for alle dine konti. Og hvis du har problemer med at huske snesevis af adgangskoder, kan du prøve en adgangskodehåndteringsapp, der kan holde styr på dem for dig.

På den positive side er tofaktorautentificering ved at blive standarden online, og det forbedrer sikkerheden på tværs af nettet. Men alt for mange websteder opfordrer dig til at gøre den anden faktor til en tekstbesked, der sendes til dit telefonnummer, hvilket tilskynder til svindel med SIM-bytte. Hvor det er muligt, skal du bruge en godkendelsesapp i stedet.