Dariusz Podufalski - kto wygra w sieci: geek kontra socjotechniczny oszust

Migracja przestępczości z realu do wirtualu trwa w najlepsze.

Aktualizacja: 22.12.2018 19:20 Publikacja: 22.12.2018 13:57

Dariusz Podufalski - kto wygra w sieci: geek kontra socjotechniczny oszust

Foto: shutterstock

Przestępczość w sieci, zwana potocznie cyberprzestępczością, to zjawisko dla organów ścigania i wymiaru sprawiedliwości czysto praktyczne, z niewielką niestety podbudową teoretyczną. Definicje niewiele mówią o naturze takiej przestępczości. W szerokim ujęciu pod pojęciem przestępczości komputerowej początkowo rozumiano „wszelkie zachowania przestępne związane z funkcjonowaniem elektronicznego przetwarzania danych, polegające zarówno na naruszaniu uprawnień do programu komputerowego, jak i godzące bezpośrednio w przetwarzaną informację, jej nośnik i obieg w komputerze oraz cały system połączeń komputerowych, a także w sam komputer" (K.J. Jakubski, „Przestępczość komputerowa – zarys problematyki", „Przegląd Policyjny" 1996, nr 12).

Definicja ta daleko odbiega od rzeczywistości w sieci, bo tak naprawdę cała przestępczość z „realu" migruje w coraz większej skali do rzeczywistości wirtualnej i nie dotyczy to tylko przestępczości czysto technologicznej czy z prawa autorskiego, ale wszystkich jej rodzajów, ze szczególnym uwzględnieniem najbardziej opłacalnej, jak handel zakazanymi używkami, handel ludźmi czy wreszcie wszelkiego rodzaju przestępczość przeciwko mieniu.

Drapieżnicy z sieci

Skalę zagrożenia przestępczością w sieci obrazują następujące dane. W 2018 r. Ziemię zamieszkuje 7,6 mld osób, z których 4 mld to użytkownicy internetu, 3 mld użytkownicy portalów społecznościowych, a liczba urządzeń mobilnych z dostępem do internetu, głównie smartfonów, przekracza 5 mld sztuk (Komputer Świat Dawid Długosz 30 stycznia 2018). Internet nie dość, że dociera do prawie wszystkich ludzi, to nie dotyczą go fizyczne ograniczenia odległości, polityczne granice ani ekonomiczne możliwości przemieszczania, a ponadto zapewnia użytkownikom tak cenioną przez przestępców anonimowość. Ogrom danych i operacji, jakie tworzy środowisko big data, z natury bardzo utrudnia pracę organów ścigania i wymiaru sprawiedliwości i służy przestępcom jak dżungla drapieżnikom. Według szacunkowych danych za rok 2016 ponad 0,5 mld osób na świecie padło ofiarą cyberprzestępców. Z raportu FBI wynika, że w 2017 r. internauci w USA zostali oszukani na kwotę 1,4 mld dol. głównie przy transakcjach online (brak płatności lub niedostarczenie opłaconego produktu). Na drugim miejscu są włamania do poczty e-mail, podszywanie się pod kontrahenta w celu uzyskania nienależnej zapłaty lub wezwania do zapłaty od nadawców udających zagranicznych kontrahentów. Główne kierunki przestępczości to wyłudzenia z wykorzystaniem e-maili, które w 2017 r. spowodowały straty 676,1 mln USD.

Drugie miejsce zajęły oszustwa związane z nadużyciem zaufania (pozorowany romans) 211 mln USD, trzecie niedostarczenie opłaconego produktu lub brak zapłaty za wysłany towar – 141,1 mln USD. Tak medialny ransomware spowodował niewiele szkód. W USA zidentyfikowano 1,8 tys. ataków tego typu, które spowodowały 2,3 mln dol. strat. (FBI, IC3 2017 Internet Crime Report). Dane FBI dotyczą konsumentów. Straty firm są o wiele większe. W 2018 r. na świecie szacowano je na ponad 400 mld USD.

Lepiej się nie przyznać

Z praktyki wynika jednak, że szacunki wartości cyberprzestępczości z raportów korporacji odbiegają od rzeczywistości. Korporacje mianowicie nie dość, że odnotowują tylko czyny o określonej skali dokonywane przez wysoko wyspecjalizowanych przestępców, to jeszcze manipulują tymi danymi, aby nie ponieść strat wizerunkowych. Na przykład firmy pożyczkowe nie zawiadamiają o wyłudzeniach pożyczek, tylko sprzedają takie należności firmom windykacyjnym i traktują je jako naturalny koszt działalności prowadzonej w rzeczywistości wirtualnej. Za takie przestępstwa płacimy wszyscy w cenie pożyczki. W jednej ze spraw z 12 wyłudzonych pożyczek żadna nie była przedmiotem zawiadomienia organów ścigania.

Podobna prawidłowość dotyczy pokrzywdzonych w drobnych transakcjach w sieci. Ich aktywność ogranicza się do zgłaszania reklamacji na portalu, wystawienia negatywnego komentarza, udzielania się na forach internetowych. Bardzo rzadko osoby te zgłaszają się do organów ścigania, a ciemna liczba tego rodzaju przestępstw przekracza 90 proc. W sprawie wcześniej wspomnianej, z oszukanych przy mikrotransakcjach na Allegro prawie 1800 osób przestępstwo zgłosiło 50 (3 proc.). Pozostali często zaprzeczali, aby byli pokrzywdzeni, lub nie pamiętali transakcji.

W narracji mediów największe zagrożenie tworzą mityczni hakerzy, informatyczni geniusze posługujący się najlepszymi komputerami i wymyślnym oprogramowaniem, surfujący po sieci jak korsarze po Morzu Karaibskim. W rzeczywistości sytuacja jest o wiele mniej romantyczna. Oszuści w sieci otrzymali po prostu zwielokrotnione możliwości dokonywania przestępstw. Nie używają do tego bynajmniej szczególnie wyszukanych cyfrowych technik, raczej prostej socjotechniki. Przykłady są następujące.

Technologie oszukiwania

Przykład pierwszy. Sprawca oferuje na Allegro w imieniu przedsiębiorstwa drobne gadżety elektroniczne w najniższej na rynku cenie bez opłaty za dostawę przy płatności z góry. Alternatywą jest płatność przy odbiorze z płatną dostawą. Sprawca otwiera kilkanaście aukcji jednocześnie z jednego konta. Wabikiem jest cena. Gdy operator po negatywnych opiniach zamyka konto (dwa–trzy dni), sprawca otwiera kolejne, wykorzystując zmodyfikowane dane „słupów" lub osób, których dane uzyskał na własnym portalu pożyczkowym utworzonym wyłącznie do pozyskiwania danych osobowych i otwierania kont. Konta otwiera, żądając od wnioskujących o pożyczkę wpłaty weryfikacyjnej. W tym czasie występuje do banku o zdalne utworzenie konta (obecnie ograniczone), wskazując dane poczty mailowej i telefon do kontaktów, a po dokonaniu wpłaty przez wnioskującego o pożyczkę otrzymuje z banku na pocztę lub esemesem dane dostępowe do konta. Wnioskujący o pożyczkę otrzymuje zwrot wpłaty z informacją od sprawcy o odmowie pożyczki. Pozyskane konta sprawca wykorzystuje do zakładania kolejnych kont, na których modyfikuje dane właścicieli i kontaktowe. Konta wykorzystuje zarówno do wyłudzeń na Allegro, jak i do wnioskowania o pożyczki. Jedynym technologicznym zabezpieczeniem, jakie wykorzystywał do maskowania tożsamości w sieci, był VPN.

Przykład drugi. Sprawca przejmuje korespondencję między dwoma podmiotami gospodarczymi w ten sposób, że wysyła e-mail z adresu łudząco podobnego do adresu kontrahenta danego podmiotu (zamiana liter, litera więcej itp.). W mailu znajduje się treść poprzedniej korespondencji. Z maila wynika, że płatności za dostarczone towary mają być dokonywane na nowe konto bankowe. Płatnik bezkrytycznie przyjmuje informacje i dokonuje płatności.

Przykład trzeci. Sprawca zawiera umowę z podmiotem udostępniającym numery SMS PREMIUM. Następnie podstawione osoby „słupy" podpisują umowy na usługi telekomunikacyjne i z wyłudzonych numerów wysyłają kilkaset SMS PREMIUM, uzyskując premię od wpływających esemesów.

Przykład czwarty. Sprawca kontaktuje się z ofiarą wyłącznie mailowo (masowy spam). Przedstawia się jako lekarz z organizacji Lekarze bez Granic pracujący w rejonie objętym wojną. Po uzyskaniu odpowiedzi zbiera dane o rozmówcy. Sugeruje zaangażowanie uczuciowe. Gdy spotyka się z odzewem, przedstawia swoją „dramatyczną" sytuację. Prosi o pomoc w ucieczce z kraju ogarniętego wojną dla siebie i dzieci, które chce ratować, a później o pieniądze na jedzenie, leki, przelot. Wyłudza w ten sposób znaczne środki od ofiary.

Skutki rewolucji

Odrywając się od jednostkowych przypadków, należy wskazać, że oszustwa w internecie to 91 proc. wszczętych postępowań z przestępczości komputerowej. Pozostałe 8 proc. to czyny z art. 268 kodeksu karnego, a 1 proc. z art. 268a k.k. (udaremnienie uzyskania informacji lub dostępu do danych informatycznych) oraz szeroko pojęty hacking. Jeżeli więc w pierwszym półroczu 2016 r. odnotowano 25 824 przestępstwa dokonane przy wykorzystaniu sieci komputerowych, to 23 500 to oszustwa. To 40–50 proc. wszystkich przestępstw kwalifikowanych z art. 286 i art. 287 k.k. Statystyka potwierdza więc, że migracja przestępczości z „realu" do „wirtualu" trwa w najlepsze, a zważywszy, że cyberoszustwa w większości nie są zgłaszane i pozostają poza statystyką, już teraz można założyć, że przestępczość tego typu zdarza się głównie w rzeczywistości wirtualnej. Takie są skutki rewolucji cyfrowej.

Już teraz widać jednak, że większość przestępstw dotykających użytkowników w sieci związana jest z szeroko pojętą manipulacją. Najbardziej medialne ataki na banki, wykrywane szybko, monitorowane przez bankowe i państwowe służby bezpieczeństwa, tworzą niewielu rzeczywiście pokrzywdzonych indywidualnych klientów (banki przejmują odpowiedzialność) i często są likwidowane w zarodku. Nierozpoznane zagrożenie to miliony zdarzeń i niewielkie, wręcz niezauważalne straty w mikrotransakcjach. Prawie nikt z pokrzywdzonych ich nie zauważa, a co za tym idzie – nie widzą ich też, a przynajmniej nie widzą ich skali, organy państwa. Ściganie tych zdarzeń, najczęściej rozproszone, nie daje efektów odstraszających. Procedura karna, statystyka, brak zintegrowanych baz i niska jakość danych nie ułatwiają ścigania i osądzania tej przestępczości. Organy państwa powinny jak najszybciej przenieść wykrywanie i ściganie przestępczości do rzeczywistości wirtualnej, bo trzeba być tam, gdzie tworzy się nowa rzeczywistość przestępczości. Oczywiście potrzebny jest czas, procedury, narzędzia informatyczne, wyspecjalizowane podmioty, a przede wszystkim pomysł, jak przekonać do tego decydentów. ?

Autor jest prokuratorem Prokuratury Okręgowej w Bydgoszczy. Od 2004 r. zajmuje się problematyką IT i cyberprzestępczości. Obecnie prowadzi sprawy klasyfikowane umownie jako cyberprzestępczość

Przestępczość w sieci, zwana potocznie cyberprzestępczością, to zjawisko dla organów ścigania i wymiaru sprawiedliwości czysto praktyczne, z niewielką niestety podbudową teoretyczną. Definicje niewiele mówią o naturze takiej przestępczości. W szerokim ujęciu pod pojęciem przestępczości komputerowej początkowo rozumiano „wszelkie zachowania przestępne związane z funkcjonowaniem elektronicznego przetwarzania danych, polegające zarówno na naruszaniu uprawnień do programu komputerowego, jak i godzące bezpośrednio w przetwarzaną informację, jej nośnik i obieg w komputerze oraz cały system połączeń komputerowych, a także w sam komputer" (K.J. Jakubski, „Przestępczość komputerowa – zarys problematyki", „Przegląd Policyjny" 1996, nr 12).

Pozostało 93% artykułu
2 / 3
artykułów
Czytaj dalej. Kup teraz
Prawo karne
Przeszukanie u posła Mejzy. Policja znalazła nieujawniony gabinet
Prawo dla Ciebie
Nowe prawo dla dronów: znikają loty "rekreacyjne i sportowe"
Edukacja i wychowanie
Afera w Collegium Humanum. Wykładowca: w Polsce nie ma drugiej takiej „drukarni”
Edukacja i wychowanie
Rozporządzenie o likwidacji zadań domowych niezgodne z Konstytucją?
Praca, Emerytury i renty
Są nowe tablice GUS o długości trwania życia. Emerytury będą niższe