Portal prowadzi Kancelaria
Babiaczyk Skrocki i Wspólnicy

Ochrona przed cyberprzestępczością – czyli jak nie zostać złowionym

Dane osobowe 21.12.2016

Dynamiczny rozwój Internetu umożliwił szybką i nieograniczoną wymianę informacji. Wykorzystujemy go nie tylko do komunikacji, przeglądania serwisów internetowych i pozyskiwania informacji o towarach oraz usługach, ale również do obracania pieniądzem w drodze elektronicznych transakcji handlowych czy polecenia przelewu. Niestety rodzi to pewne niebezpieczeństwa. Do najczęściej spotykanych zagrożeń możemy zaliczyć oszustwo internetowe określane mianem phishingu, które polega na kradzieży tożsamości poprzez podszywanie się pod autentyczne osoby, firmy czy organizacje w celu podstępnego wyłudzenia poufnych danych tj. hasła, numery kart kredytowych, a nawet dostępu do kont społecznościowych. Nazwa tego zjawiska wywodzi się od połączenia angielskich słów fishing (wędkowanie) oraz phreaking (łamanie zabezpieczeń sieci telefonicznych). Phishing nie jest w polskim systemie prawnym przedmiotem żadnej szczególnej regulacji, tylko traktowane jest jako jedna z metod oszustwa i w takim charakterze podlegająca ściganiu. Stąd też, chcąc zwalczać tego rodzaju ataki należy użyć dostępnych instrumentów prawa karnego oraz prawa cywilnego.

Odmiany phishingu

Ataki phishingowe wykorzystują co raz bardziej wyrafinowane metody socjotechniczne. Wybór „ofiary” może być przypadkowy lub ukierunkowany. W drugim przypadku wiąże się do dla phishera z koniecznością poniesienia dużo większego nakładu pracy oraz kosztów, ale też prawdopodobieństwo sukcesu jest o wiele wyższe. Najczęściej celem phisherów są banki, elektroniczne systemy płatności oraz aukcje internetowe.

Phishing oparty jest zazwyczaj na wysyłaniu fałszywych e-maili, które rzekomo mają pochodzić z banków, od dostawców systemów e-płatności lub innych poważanych organizacji. Oszuści próbują strachem wymusić na odbiorcy ujawnienie swoich danych osobistych. Wiadomości zawierają często groźbę, że w przypadku nie spełnienia przez odbiorcę określonych poleceń, zostanie zablokowany dostęp do konta, nastąpi utrata istotnych danych lub awaria sytemu. E-maile mogą również zawierać linki czy odnośniki do fałszywych stron internetowych. Jeszcze inną odmianą jest podszywanie się pod pracownika firmy i kontaktowanie się z klientem lub kontrahentem w celu uzyskania od niego pożądanych danych lub np. polecenia przelania należności na rachunek bankowy przestępcy. Tego typu operacje mogą być również przeprowadzane drogą sms-ową, za pomocą wyskakujących okienek czy witryn internetowych, a ponadto drogą telefoniczną, co wówczas określa się mianem vishingu – phishingu głosowego.

Kolejna metoda, którą określa się jako spoofing, polega na rejestrowaniu stron internetowych imitujących oficjalne witryny różnych wiarygodnych podmiotów. Aby uzyskać dostęp do strony, użytkownik musi wprowadzić swoje dane dotyczące logowania. Jego czujność może zostać uśpiona, ponieważ na pierwszy rzut oka fałszywa strona wygląda tak samo jak oryginalna. W ten sposób, oszuści uzyskują dostęp do kont bankowych czy skrzynki e-mail. Z uwagi na filtry antyphishingowe, fałszywe witryny utrzymują się najwyżej kilka dni i muszę być często zmieniane na nowe.

Szczególnie niebezpiecznym trendem jest tzw. phaming, który polega na kradzieży danych dostępu, za pośrednictwem oficjalnych stron internetowych, z których następuje przekierowanie do fałszywych witryn, co dla użytkownika jest w zasadzie niedostrzegalne.

Ofiarą phishingu można również paść, robiąc zakupy w sklepie internetowym, kiedy to dane zamiast trafić do odpowiedniej instytucji, trafiają do cyberprzerstępcy. Phisherzy coraz częściej przejmują również konta na portalach społecznościowych, by za ich pośrednictwem rozsyłać złośliwe oprogramowanie.

Ściganie cyberprzestępców

Pociągnięcie phishera do odpowiedzialności może okazać się niezwykle trudne, z uwagi na konieczność ustalenia jego tożsamości. Bez wykorzystania drogi postępowania karnego, może to okazać się niemożliwe. Organy ścigania dysponują uprawnieniami, które umożliwiają pozyskanie niezbędnych informacji. Aby uruchomić procedurę karnego ścigania oszusta, konieczne jest złożenie zawiadomienia o popełnieniu przestępstwa. Niezależnie od oceny szans na powodzenia takiego działania, należy pamiętać każda osoba która dowiedziała się o popełnieniu przestępstwa ściganego z urzędu (w tym przypadku mamy do czynienia z takim przestępstwem) ma społeczny obowiązek zawiadomić o tym prokuratora lub policję. Podstawą prawną pociągnięcia phishera do odpowiedzialności karnej jest zarzut oszustwa komputerowego lub ewentualnie nielegalnego pozyskania informacji. Po ustaleniu tożsamości sprawcy przestępstwa w postępowaniu karnym, możliwe będzie dochodzenie roszczeń na drodze powództwa cywilnego za wyrządzenie szkody majątkowej. Za to z perspektywy podmiotu, pod którego cyberprzestępca próbował się podszyć, w grę wchodzi odpowiedzialność za naruszenie dóbr osobistych tj. dobra renoma, zaufanie w oczach kontrahentów, dobre imię etc., a jeśli okaże się, że sprawcą był przedsiębiorca to kradzież tożsamości może być również uznana za czyn nieuczciwej konkurencji, polegający na oznaczaniu przedsiębiorstwa w sposób, który może wprowadzić klientów w błąd.

Jak nie dać się oszukać?

W ochronie przed oszustwami internetowymi może pomóc przestrzeganie kilku podstawowych zasad tj. ochrona haseł dostępu czy nie przekazywanie nikomu – przez telefon, osobiści czy przez e-miał poufnych danych. Należy z ostrożnością podchodzić do wszelkich wiadomości e-mail od nieznanych nadawców, zwłaszcza takich, w których proszeni jesteśmy o podanie danych osobowych, czy finansowych. Nie powinniśmy pod żadnym pozorem otwierać załączników, które budzą nasze podejrzenia. Lepiej również nie wchodzić na żadne linki przesłane na facebooku czy w niechcianych e-mailach. Dokonując po raz pierwszy zakupów w nowym sklepie internetowym, warto sprawdzić dane kontaktowe i upewnić się kto jest jego właścicielem. Bardzo istotne jest również regularne robienie aktualizacji systemu oraz korzystanie z oprogramowania antywirusowego, który powinien zaalarmować o podejrzanej witrynie internetowej. Regularne sprawdzanie stanu konta bankowego pozwoli na wykrycie, czy nie została wykonana niezlecone przez nas transakcja. W razie podejrzenia, że staliśmy się ofiarą phishingu, niezwłocznie poinformujmy o tym podmiot, za jaką cyberprzestępca się podawał. Pozwoli to zminimalizować straty i uniknąć kolejnych prób oszustwa.

Podsumowując, należy podkreślić że nawet doświadczeni użytkownicy Internetu są narażeni na ataki cyberprzestępców, którzy posługują się co raz bardziej zaawansowanymi technologiami i metodami oszustw. Może się okazać, że nawet bardzo dobrej jakości oprogramowanie zabezpieczające korzystanie z przeglądarki nie będzie wystarczającym środkiem ochronnym. Dlatego surfując w Internecie czy dokonując elektronicznych transakcji, najlepiej kierować się zasadą ograniczonego zaufania i zachować czujność. 

Karina Wronka
Konsultant prawny w kancelarii BSiW