Wykrywanie cyberzagrożeń i zapobieganie im
4. Przejawy cyberprzestępczości
4.8. Nieuczciwe strony internetowe (firmy)
W Internecie można natknąć się na różne działania lub strony[1] prezentujące niesamowite nagrody lub oferujące różne towary po bardzo niskich cenach. Atakujący stosują socjotechnikę i bazują przede wszystkim na ludzkiej naiwności i nieostrożności. Rzeczywiste działania atakującego mogą przybierać dwie formy.
W pierwszym przypadku atakujący próbuje wyłudzić poufne dane (np. imię, nazwisko, adres dostawy, adres e-mail, numer telefonu i hasło), zazwyczaj w celu rejestracji, dostarczenia towarów, nagród itp. Wszystkie te dane użytkownik wprowadza samodzielnie i dobrowolnie. W ten sposób atakujący uzyskuje dostęp do danych, które - podobnie jak w przypadku phishingu - mogą zostać wykorzystane do różnych działań. Na przykład na podstawie wprowadzonego hasła i innych danych użytkownika atakujący może próbować uzyskać dostęp do innych usług, z których korzysta użytkownik.[2]
W drugim, znacznie częstszym przypadku, działanie polega na wyłudzeniu środków od użytkownika. Samochody, motocykle, traktory, inne maszyny rolnicze, a przede wszystkim wszelkiego rodzaju sprzęt elektroniczny są powszechnie oferowane w Internecie po bardzo przystępnych cenach.
W kontekście oszukańczych ofert w Internecie, Europejskie Centrum Konsumenckie[3] wydało zalecenie dla użytkowników, które ma im pomóc w rozpoznawaniu oszukańczych zachowań:
o Wpisz dane swojej firmy (np. nazwę firmy, adres strony internetowej, adres e-mail) do wyszukiwarki internetowej.
o Zastanów się, jak prezentuje się inwestor. Czy wygląd i sposób działania witryny, na której zamierzasz dokonać zakupu, są profesjonalne? Adresy e-mail na bezpłatnych i anonimowych serwerach, takich jak yahoo.com, hotmail.com, gmail.com, live.com, seznam.cz itp. z pewnością nie będą sprawiać wrażenia godnych zaufania. Podobnie, jeśli witryna jest umieszczona na darmowym serwerze hostingowym, nie jest to oznaką profesjonalizmu.
o Płać z góry tylko wtedy, gdy masz do czynienia z naprawdę godnym zaufania handlowcem. Z pewnością nie daje się pieniędzy na ulicy nieznajomemu z obietnicą, że w przyszłości dostarczy nam jakiś przedmiot. Wielu użytkowników robi to jednak w Internecie. Płatności z góry dokonuj tylko wtedy, gdy masz pewność, że masz do czynienia z godnym zaufania dostawcą. Przede wszystkim należy chronić dane kart kredytowych.
o Szczególnie podejrzany jest wymóg dokonywania płatności za pośrednictwem Western Union. W przypadku przelewów bankowych nigdy nie należy wysyłać pieniędzy na konto osoby prywatnej, chyba że jest to konto firmy/spółki sprzedającej.
o Do typowych oznak oszustwa należą: niewyparzony język, żądanie zapłaty z góry w gotówce lub przelewem bankowym, inne żądania zapłaty pod fałszywym pretekstem (cło, ubezpieczenie, pakowanie wielu sztuk produktu) itp. Pamiętaj, że jeśli oferta wydaje się zbyt korzystna, aby była prawdziwa, to prawdopodobnie nie jest!
o Sprawdź w krajowym rejestrze handlowym, czy firma jest tam zarejestrowana (zdarza się też, że ktoś nadużywa nazwy istniejącej firmy i zakłada stronę internetową o podobnej nazwie).
o Sprawdź domenę witryny. Zdarza się, że adres strony internetowej jest taki sam jak adres faktycznie istniejącej i zarejestrowanej firmy. Jest jednak jedna różnica - domena, tj. końcówka adresu internetowego, jest inna (np. nie ".co.uk" dla Wielkiej Brytanii, ale być może ".co.cc" dla Wysp Kokosowych).
o Znajdź siedzibę firmy na stronie internetowej, która oferuje fotografie ulic miast, pod adresem podanym w ogłoszeniach i na stronie internetowej firmy.
o Szanuj swoje dane osobowe. Nie udostępniaj informacji o sobie na niezaufanych lub nieznanych witrynach. Podawaj tylko te informacje, które są naprawdę niezbędne.
o Nie należy odpowiadać na niechcianą pocztę (spam). Nie odpowiadaj na wiadomości-śmieci i w żadnym wypadku nie wysyłaj pocztą elektroniczną danych konta bankowego, numeru karty kredytowej ani danych logowania do bankowości internetowej. Usuwaj niechciane wiadomości e-mail i nigdy nie otwieraj nieznanych załączników.[4]
Wszystkie powyższe oznaki należy traktować jako zwykłe wskazówki, które mogą doprowadzić do wykrycia oszustwa. Atakujący może modyfikować swoje działania w zależności od powodzenia własnego ataku. Oprócz powyższych wskazówek zaleca się również korzystanie z ostrzeżeń publikowanych na innych stronach internetowych, takich jak www.podvodnefirmy.cz itp.
Możliwości stosowania sankcji karnych w Republice Czeskiej
W Republice Czeskiej opisane powyżej postępowanie może być karane na podstawie paragrafu 209 (Oszustwo) Kodeksu karnego. Dopełnieniem oszustwa jest wzbogacenie się. Stworzenie repliki strony internetowej oraz uzyskanie loginów i haseł może być uznane za przygotowanie lub próbę popełnienia przestępstwa z paragrafu 209 Kodeksu karnego. Jeżeli osoba atakująca próbuje (§ 21 TZK) uzyskać nieuprawniony dostęp do konta innego użytkownika na podstawie uzyskanych danych dostępowych, czyn taki można również zakwalifikować jako § 230 (Nieuprawniony dostęp do systemu komputerowego i nośnika informacji) TZK.
Możliwości ścigania karnego w Polsce
W Polsce jest to regulowane przez art. 286 (oszustwo), który mówi, że:
§ 1 Kto, w celu osiągnięcia korzyści majątkowej, doprowadza inną osobę do przywłaszczenia sobie lub innej osobie mienia własnego lub cudzego za pomocą wprowadzenia jej w błąd albo wyzyskania błędu lub niezdolności do należytego pojmowania przedsiębranego działania, podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
[1] Najczęściej są to strony internetowe, portale ogłoszeniowe, ale mogą to być również konta w mediach społecznościowych itp.
[2] Bardzo często zdarza się, że użytkownicy wprowadzają te same lub podobne hasła do różnych usług internetowych. Umożliwia to atakującemu wykorzystanie np. techniki ataku słownikowego do złamania danych uwierzytelniających innych usług. W ten sposób atakujący może również popełnić inne nielegalne czyny (np. zob. rozdz. 4.15 Identity theft, 4.8 Hacking itp.).
Więcej informacji na ten temat można znaleźć np. w Ataku słownikowym. [online]. Dostępne pod adresem: https://managementmania.com/cs/slovnikovy-utok
[3] Więcej informacji można znaleźć na stronie http://www.evropskyspotrebitel.cz/.
[4] Więcej informacji na ten temat można znaleźć w poradach ESC dotyczących wykrywania oszustw internetowych. [online]. Dostępne pod adresem: http://www.evropskyspotrebitel.cz/nakupy-online/esc-radi-jak-poznat-podvod-na-internetu-27250