Kradzież przez Internet
Bankowość elektroniczna, to wynalazek jednakowo wygodny, co niebezpieczny. Na dostęp do naszego konta czyhają elektroniczni przestępcy.
Statystyki kryminalne za ubiegłe lata ukazują w sposób jednoznaczny niepokojącą tendencję. Podczas gdy wskaźnik procentowy kradzieży sklepowych spada, w znacznie szybszym tempie rośnie liczba oszustw internetowych. Wynika to ze zmian w nawykach zakupowych społeczeństwa: ludzie coraz więcej rzeczy kupują przez Internet i w coraz większym stopniu korzystają z usług bankowych online. Przestępczość wkracza za swymi ofiarami do przestrzeni wirtualnej. Stwierdzenie to zawiera jednak tylko część prawdy.
W znacznej liczbie przestępstw internetowych pomagają sami pokrzywdzeni konsumenci, gdyż istotnym powodem gwałtownego przybierania na sile tego rodzaju przestępczości jest niewiedza i naiwność użytkowników – a w efekcie mylna ocena sytuacji. Kto sądzi, że Internet ze swoimi wieloma ofertami jest czymś w rodzaju telewizji, w której bezpiecznie skacze się po programach, popełnia brzemienny w skutkach błąd i naraża się niejednokrotnie na bardzo przykre konsekwencje swojej niewiedzy.
W odróżnieniu od odbieranych bezpośrednio analogowych programów TV, tworzone w technice cyfrowej e-maile i strony www zanim ukażą się na ekranie naszego komputera, przechodzą przez wiele innych komputerów i serwerów. Niektóre e-maile czy witryny internetowe mogą nas mamić informacjami rzekomo godnymi zaufania, w rzeczywistości jednak są one absolutnie niewiarygodne. Nawet prywatna wiadomość z poczty elektronicznej, która wygląda na e-mail z naszego banku lub znanego internetowego domu aukcyjnego, może pochodzić z zupełnie innych źródeł. Nieostrożny odbiorca nie zauważa tego i niczego nie podejrzewając ujawnia swoje dane. W ten sposób trafiają one w niepowołane ręce – a nie pod właściwy adres banku czy serwisu aukcyjnego.
W nomenklaturze fachowców od przestępczości, wyłudzanie poufnych danych od niczego nie podejrzewających klientów stron internetowych nosi nazwy „spoofing” lub „phising” (zwięzłych polskich nazw tego procederu jeszcze nie sformułowano).
Działania takie stały się niebezpiecznym zjawiskiem kryminalnym wywołanym przez stały wzrost liczby operacji bankowych przeprowadzanych przez Internet. Niebezpiecznym, dlatego że często oszustwo wychodzi na jaw dopiero wtedy, gdy własne konto jest już puste.
Phishing funkcjonuje w następujący sposób: najpierw otrzymujemy podrobionego e-maila naszego banku, łudząco podobnego do maili normalnie od niego otrzymywanych. W liście tym prosi się nas o podanie objętych tajemnicą danych dostępowych oraz numerów PIN.
Powodem ma być rzekoma weryfikacja danych, awaria serwera lub też niezwykle atrakcyjna promocja. Informacje te możemy przekazać bezpośrednio w mailu albo przez link internetowy banku. Po kliknięciu znajdujemy się na stronie, która wygląda jak autentyczna witryna internetowa banku, ale w rzeczywistości nią nie jest. Ten, kto teraz niefrasobliwie poda swoje dane dostępu, hasła, numery kart kredytowych lub kody - jest „załatwiony”. Przestępca atakujący metodą phishingu ma już bowiem dostęp do kont ofiary.
Proceder taki nazywa się „kradzieżą tożsamości”, gdyż - w istocie rzeczy, działania przestępcy doprowadzają do zawłaszczenia przez osoby o wrogich wobec nas zamiarach naszych bardzo istotnych dóbr osobistych. Aby zyskać na czasie, złodzieje tożsamości często natychmiast zmieniają nielegalnie zdobyte hasła dostępu, czego skutkiem jest utrata przez prawowitego właściciela możliwości dysponowania własnym kontem.
Najnowszy wariant phishingu nosi nazwę „vishing”. To również wyłudzanie danych, tyle że za pomocą telefonii internetowej. Tutaj sprawcy posługują się tak zwanymi „war dialers”, czyli automatycznymi systemami obdzwaniania przez Internet abonentów w danym regionie. Gdy ktoś odbierze taki telefon, automat puszcza mu informację, aby zadzwonił pod pewien lokalny numer, ponieważ doszło rzekomo do naruszenia jego konta bankowego lub też stwierdzono nieprawidłowości dotyczące kart kredytowych. Otrzymana informacja jest tak niepokojąca, że zazwyczaj bez większego zastanowienia rozmówca natychmiast dzwoni pod wskazany numer. Kiedy tam zadzwoni, usłyszy od zainstalowanej na drugim końcu automatycznej sekretarki prośbę, by podał poufne dane dostępu. Dalej wszystko toczy się jak po sznurku - zgodnie ze schematem działania phishingu.
Innym wariantem oszustwa jest wykorzystanie „konia trojańskiego” – programu, który niepostrzeżenie instaluje się w komputerze, protokołując wstukiwane przez właściciela tajne dane dostępu i wysyłając je skrycie na adres oszusta. Może to się zacząć na przykład od e-maila o całkiem niewinnej treści (słynna na cały świat sprawa wirusa „I love you”) lub też pozornie prywatnej korespondencji. Otwarcie pliku powoduje zainstalowanie się „trojana”. Od tej chwili zainstaluje się on na dysku twardym komputera w sposób niezauważalny dla jego użytkownika i będzie czyhał na wprowadzanie poufnych danych, zarażał komputer wirusami lub od razu przejmie nad nim całkowitą kontrolę, wysyłając jednocześnie wszystkie zapisane tam informacje do komputera oszusta.
W Internecie masowo rozsyłane są też e-maile, w których oszuści zwracają się do odbiorcy w poufnym tonie. Zapowiadają na przykład dokonanie transferu poważnej sumy na konto adresata, podając jednocześnie szczegółową motywację takiego prezentu. Aby deszcz pieniędzy spadł nam na konto, wystarczy podać informacje dotyczące naszego banku i inne dane osobowe. Następnie otrzymuje się liczne formularze, sprawiające wrażenie oficjalnych dokumentów zagranicznych urzędów i instytucji, oraz niekiedy także prośbę o uiszczenie opłat z tytułu honorarium za usługi prawników oraz opłaty manipulacyjnej związanej z przelaniem obiecanych milionów. Kto spełni posłusznie te życzenia, ma kiepskie perspektywy: naciągacz dysponuje teraz internetową tożsamością oszukanego.
Na szczęście w Polsce ten rodzaj przestępczości jeszcze „raczkuje”, lecz na świecie szacunki faktycznych szkód spowodowanych internetowymi oszustwami wahają się między setkami milionów a miliardami dolarów. Użytkownicy Internetu powinni, zatem wziąć sobie do serca zasadę, że nie wierzy się żadnemu źródłu, z którego pada prośba o poufne dane dostępowe. Legalne instytucje nigdy bowiem tego nie robią.