Karalność phishingu
11 Czerwca 2007
Tagi:

thumb_no_fishingKomenda Stołeczna Policji informuje na swojej stronie o działających na terenie Wilanowa oszustach. Dzwonią oni do osób starszych i podając się za pracowników banku informują o awarii systemu komputerowego. Następnie w celu „zabezpieczenia” się sugerują podjęcie wszystkich środków z konta i w trakcie rozmowy wyciągają od swojej ofiary wszelkie informacje mogące im być potrzebne aby „opróżnić” jej rachunek bankowy. Telefoniczne pozyskiwanie informacji nie jest niczym nowym. Tym razem sprawę po prostu nagłaśnia policja. Jednak do tej pory oszuści w większości przypadków pozyskiwali dane dostępowe do kont przy użyciu „komputerowej” techniki phishingu.

Polegało to na wysłaniu do ofiary fałszywego maila z banku, z prośbą o zalogowanie się do systemu. Mail zawierał link do doskonale podrobionej strony internetowej, dzięki czemu oszukiwany był przekonany, że rzeczywiście korzysta z serwisu bankowego i próbował zalogować się na konto. Oczywiście nie udawało mu się to, a wszelkie podane przez niego dane były przesyłane do oszusta.

A jak to wygląda z karalnością phishingu? Pozwolę się skupić w pierwszej kolejności na „tradycyjnym” phishingu. Komenda Główna Policji w tegorocznej publikacji zatytułowanej „Jak złożyć zawiadomienie o przestępstwie – poradnik” wyjaśnia:
Innym przestępstwem komputerowym jest fałszowanie dokumentów. Może ono się odbywać z użyciem komputera (fałszowanie materialne) oraz polegać na fałszowaniu dokumentu elektronicznego. (...) Fałszowanie dokumentów elektronicznych może polegać na stworzeniu strony łudząco podobnej do strony banku lub innej instytucji finansowej w celu uzyskania danych, numerów PIN i kart bankomatowych, haseł dostępu do elektronicznych rachunków bankowych (phishing).

Mamy więc klasyfikację tego czynu jako fałszowanie dokumentów elektronicznych, zobaczmy co mówi w tej materii kodeks karny:
Kodeks Karny, Art. 270.
§ 1. Kto, w celu użycia za autentyczny, podrabia lub przerabia dokument lub takiego dokumentu jako autentycznego używa, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności od 3 miesięcy do lat 5. 
§ 2. Tej samej karze podlega, kto wypełnia blankiet, opatrzony cudzym podpisem, niezgodnie z wolą podpisanego i na jego szkodę albo takiego dokumentu używa.
§ 3. Kto czyni przygotowania do przestępstwa określonego w § 1, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Jak można było się domyślać art. 270. penalizuje nie samą czynność uzyskania danych do konta, lecz wyłącznie czynność przygotowawczą – przygotowanie fałszywego dokumentu i użycie go jako autentycznego. Patrząc na sprawę przez pryzmat Konwencji Rady Europy o Zwalczaniu Przestępczości w Cyberprzestrzeni, należałoby karać phishing tak jak karany jest np. hacking.

Dlaczego? W mojej opinii istotą phishingu jest nieuprawnione uzyskanie dostępu do systemu komputerowego w celu uzyskania korzyści majątkowej. Phishing nie jest więc niczym innym jak jedną z technik hackerskich, zmierzającą do obejścia zabezpieczeń elektronicznych. Obejścia, a nie przełamania, co nie pozostaje bez znaczenia. Pisałem już, że przestępstwa komputerowe nie są domeną polskiego prawa. Otóż dopiero przygotowywana przez Ministerstwo Sprawiedliwości nowelizacja Kodeksu Karnego penalizuje obejście zabezpieczeń:
Projekt zmian w Kodeksie Karnym, Art. 267.
§ 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nie przeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.
§ 3. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem specjalnym.
§ 4. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1-3 ujawnia innej osobie.
§ 5. Ściganie przestępstwa określonego w § 1-4 następuje na wniosek pokrzywdzonego.

W tej chwili zaś, ten sam artykuł wygląda tak:
Kodeks Karny, Art. 267.
§ 1. Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 
§ 2. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem specjalnym.
§ 3. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1 lub 2 ujawnia innej osobie.
§ 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego.

Nie można więc przy użyciu tej regulacji pociągnąć do odpowiedzialności osoby, która przy pomocy socjotechniki uzyskała kody dostępu do systemu i je wykorzystała. Nie przełamuje ona bowiem zabezpieczeń, a jedynie je obchodzi. Tym samym, nie można więc postawić cyberprzestępcy zarzutu wytwarzania narzędzi hackerskich (choć zgodnie z praktyką europejską tak spreparowana strona jest narzędziem hackerskim), gdyż art. 269b. mówi wyłącznie o narzędziach powiązanych ze ściśle określonym, zamkniętym katalogiem przestępstw przeciwko ochronie informacji.
Kodeks Karny, Art. 269b.
§ 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 2, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej,podlega karze pozbawienia wolności do lat 3.
§ 2. W razie skazania za przestępstwo określone w § 1, sąd orzeka przepadek określonych w nim przedmiotów, a może orzec ich przepadek, jeżeli nie stanowiły własności sprawcy.

Proponowana nowelizacja nic nie zmienia w tej materii, lecz w związku z rozszerzeniem zakresu znamion przestępstwa z art. 267 nie jest to konieczne.



Mi nasuwa się jeszcze jeden przepis, w którego znamionach może mieścić się phishing, chodzi o oszustwo komputerowe:
Kodeks Karny, Art. 287.
§ 1.  Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych,podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 2. W wypadku mniejszej wagi, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
§ 3. Jeżeli oszustwo popełniono na szkodę osoby najbliższej, ściganie następuje na wniosek pokrzywdzonego.

W artykule jest mowa o wywoływaniu wpływu na automatyczne gromadzenie danych informatycznych, bez upoważnienia, w celu osiągnięcia korzyści majątkowej. Moim zdaniem, stworzenie fałszywej strony, przez co wprowadzenie w błąd użytkownika, które ma na celu zgromadzenie danych informatycznych w postaci haseł, kodów token, itd., które zaś zostaną wykorzystane dla osiągnięcia korzyści majątkowej jak najbardziej wpisuje się w znamiona tego przestępstwa. Przestępca bowiem realnie wpływa na przetwarzanie danych co do których przetwarzania i gromadzenia nie jest uprawniony.

Nie ma tutaj znaczenia czy owe przetwarzanie i gromadzenie odbywa się wewnątrz właściwego systemu bankowego, czy też na serwerze sprawcy. Uprawniony użytkownik systemu, jest przekonany, że wszystko odbywa się tak jak zawsze, wewnątrz zamkniętego systemu informatycznego, należącego do jego banku.

Gdyby przestępca nie wysłał fałszywej wiadomości z banku, ofiara nie dokonała by logowania, nie doszłoby więc do przetworzenia i ujawnienia danych komputerowych. Tym samym fałszywa wiadomość strona internetowa są tutaj warunkiem sine qua non zaistnienia przetwarzania i gromadzenia danych komputerowych.
 

Powiązane:

Komentarze  

 
0 # Loonatic 2007-06-13 20:53
\"Oczywiście nie udawało mu się to, a wszelkie podane przez niego dane były przesyłane do _ofiary_.\"

Chyba do oszusta?
Odpowiedz | Odpowiedz z cytatem | Cytować
 

Dodaj komentarz

Komentarze podlegają moderacji - zastrzegam sobie prawo do publikacji wyłącznie wybranych treści - przemyśl więc to co chcesz napisać.