Wykrywanie cyberzagrożeń i zapobieganie im
4. Przejawy cyberprzestępczości
4.16. Kradzież tożsamości
Kradzież tożsamości to atak, w którym dochodzi do kradzieży wirtualnej tożsamości[1] , a raczej do przejęcia kontroli (stałej lub tymczasowej) nad tą tożsamością. Motywem działania atakującego może być zysk finansowy, ale także inne korzyści, takie jak dostęp do informacji o innych osobach, dostęp do danych firmowych itp. które są związane z faktem, że atakujący działa w imieniu innej osoby.
Z reguły działania napastnika polegają na jednoczesnym popełnieniu kilku czynów zabronionych. Pierwszym przestępstwem w kradzieży tożsamości jest złamanie danych uwierzytelniających lub zainstalowanie złośliwego oprogramowania w systemie komputerowym ofiary w celu uzyskania dostępu do tożsamości wirtualnej.
Po uzyskaniu dostępu do tożsamości zaatakowanej osoby, uzyskane informacje mogą zostać wykorzystane do ataku na tę osobę, a także tożsamość może zostać wykorzystana do ataku na inną osobę. Faktyczny atak na inną ofiarę za pomocą skradzionej tożsamości jest dla atakującego znacznie łatwiejszy, ponieważ ta druga ofiara zwykle nie posiada informacji o błędnej tożsamości osoby (pierwszej ofiary), z którą na przykład regularnie się komunikuje i wymienia poufne dane.
Wracając do kwestii botnetów, jednym z typowych zadań złośliwego oprogramowania, które jest instalowane po podłączeniu systemu komputerowego do botnetu, jest automatyczne pozyskiwanie danych o użytkownikach zainfekowanego systemu komputerowego - kradzież tożsamości. Botmaster może następnie wykorzystać pozyskane dane w dowolnym momencie, podszywając się pod konkretną osobę lub sprzedając te dane osobom trzecim.[2]
Zazwyczaj skradzione tożsamości są wykorzystywane do:
- przeprowadzanie ataków typu phishing lub złośliwe oprogramowanie w obrębie listy użytkowników, z którymi komunikuje się osoba o skradzionej tożsamości,
- wysyłanie spamu,
- uzyskanie informacji, które nie są publicznie dostępne (np. informacje o strukturze firmy, ustawieniach zabezpieczeń innych usług itp,)
- uzyskanie dostępu do innych usług. Wiele serwisów internetowych umożliwia zmianę hasła po prostu przez podanie adresu e-mail. Ponieważ osoba atakująca kontroluje konto e-mail atakowanej osoby, może również zmienić wiele innych usług powiązanych z tym kontem.
Możliwości stosowania sankcji karnych w Republice Czeskiej
Jeśli środki bezpieczeństwa zostaną pokonane i uzyskany zostanie nieuprawniony dostęp do tożsamości ofiary, spełnione zostaną znamiona przestępstwa z paragrafu 230(1) (Nieuprawniony dostęp do systemu komputerowego i nośnika informacji) Kodeksu karnego. Używając złośliwego oprogramowania w tym samym celu, atakujący popełnia czyn z paragrafu 230(2) kodeksu karnego. Jeśli celem kradzieży tożsamości jest uzyskanie nieuzasadnionej korzyści dla siebie lub innej osoby, można również zastosować przepisy paragrafu 230(3) kodeksu karnego. Jeśli napastnik kradnie tożsamość w celu oszukania innej osoby, tj. wprowadzenia jej w błąd w celu wzbogacenia się, taki czyn może być również oceniany na podstawie paragrafu 209 (Oszustwo) Kodeksu karnego.
Możliwości ścigania karnego w Polsce
Zgodnie z art. 190a § 2 Kodeksu karnego, kto, podszywając się pod inną osobę, wykorzystuje jej wizerunek lub inne dane osobowe w celu wyrządzenia jej szkody majątkowej lub osobistej, podlega karze pozbawienia wolności do lat trzech
[1] Tożsamość wirtualna to dowolna tożsamość lub awatar wykorzystywany przez daną osobę do interakcji w cyberprzestrzeni (np. poczta elektroniczna, konto w sieci społecznościowej, gra, różne rynki internetowe, system komputerowy itp.) Nie ma znaczenia, czy tożsamość wirtualna jest prawdziwa czy fałszywa, tzn. czy reprezentuje osobę, czy też jest całkowicie sztuczną tożsamością, pozbawioną rzeczywistych podstaw.
[2] Więcej szczegółów w PLOHMANN, Daniel, Elmar GERHARDS-PADILLA i Felix LEDER. Botnety: wykrywanie, pomiar, dezynfekcja i obrona. ENISA, 2011, s. 22 [online]. Dostępne pod adresem: https://www.enisa.europa.eu/publications/botnets-measurement-detection-disinfection-and-defence