Detecção e prevenção de ameaças cibernéticas

O roubo de identidade é um ataque em que uma identidade virtual é roubada[1] , ou é uma tomada de controlo (permanente ou temporária) desta identidade. O motivo da acção de um agressor pode ser um ganho financeiro, mas também outros benefícios, tais como acesso a informações sobre outras pessoas, acesso a dados da empresa, etc., que estão associados ao facto de um agressor agir em nome de outra pessoa.

As acções de um agressor consistem geralmente em várias acções ilegais ao mesmo tempo. O primeiro crime de roubo de identidade é o hacking nos dados de acesso ou a instalação de malware no sistema informático de uma vítima a fim de obter acesso a uma identidade virtual.

Depois de obter acesso a uma identidade de uma pessoa atacada, a informação obtida pode ser mal utilizada para atacar essa pessoa e a identidade pode ser mal utilizada para atacar outra pessoa. Um ataque a outra vítima através de uma identidade roubada é muito mais fácil para um agressor porque esta segunda vítima por defeito não tem qualquer informação sobre a alteração da identidade da pessoa (a primeira vítima), com a qual, por exemplo, comunica e troca regularmente dados sensíveis.

Se voltar à questão das botnets neste contexto, uma das tarefas típicas do malware que é instalado quando um sistema informático é ligado a uma rede de botnets é a extracção automática de dados sobre os utilizadores do sistema informático infectado - ou seja, roubo de identidade. O botmaster pode então utilizar os dados obtidos em qualquer altura, fazendo-se passar por uma certa pessoa ou vendendo esses dados a terceiros.[2]

Tipicamente, as identidades roubadas estão habituadas:

-       realizar ataques de phishing ou malware dentro da lista de utilizadores com os quais uma pessoa com uma identidade roubada comunica,

-       envio de spam,

-       obter informações que não estão disponíveis publicamente (por exemplo, informações sobre a estrutura de uma empresa, configurações de segurança para outros serviços, etc.),

-       obter acesso a outros serviços. Muitos serviços em linha permitem-lhe alterar a sua palavra-passe apenas através da introdução do seu endereço de correio electrónico. Devido ao facto de um atacante controlar uma caixa de correio electrónico de uma pessoa atacada, os dados de acesso podem ser alterados numa série de outros serviços que estão associados a esta caixa de correio electrónico.

Possibilidades de sanções penais na República Checa

Se uma medida de segurança for ultrapassada e for obtido o acesso não autorizado à identidade da vítima, as características do crime de acordo com a Secção 230 (1) (Acesso não autorizado a sistemas informáticos e meios de informação) do Código Penal serão cumpridas. Ao utilizar malware para o mesmo fim, um agressor comete um acto nos termos do artigo 230 (2) do Código Penal. Se o objectivo do roubo de identidade for obter um benefício injustificado para si próprio ou para outro, é também possível aplicar as disposições da Secção 230 (3) do Código Penal.  No caso de um agressor roubar uma identidade com o objectivo de enganar outro, ou seja, enganar alguém para se enriquecer a si próprio, tal conduta poderia também ser avaliada de acordo com o Artigo 209 (Fraude) do Código Penal.

Possibilidades de sanções penais na Polónia

Nos termos do Art.190 a § 2 do Código Penal, qualquer pessoa que, fazendo-se passar por outra pessoa, utilize a sua imagem ou outros dados pessoais a fim de lhe infligir danos materiais ou pessoais enfrenta uma pena de prisão até três anos.

Possibilidades de sanções penais em Portugal

Fingir ser outra pessoa já não é criminalizado. Contudo, a criação de dados não autênticos para fins juridicamente relevantes seria considerada como uma falsificação relacionada com a informática (art. 3 da Lei sobre o Cibercrime). Além disso, sendo a finalidade de tal falsificação uma intenção fraudulenta ou desonesta de obter, sem direito, um benefício económico para si próprio ou para outra pessoa, sobre as despesas da vítima, também seria considerada como uma fraude informática (art. 221(1) do Código Penal).