Cyberprzestępczość

Rozmiar tekstu: A A A

Ochrona informatyczna danych –„phishing” i kradzież tożsamości

Wraz ze wzrostem znaczenia informacji we współczesnym świecie oraz z rozwojem technik przetwarzania tych informacji istotnym zagadnieniem w dzisiejszym świecie jest zapewnienie ich bezpieczeństwa.

W sposób szybki, niebywale płynny i niedostrzegalny dokonały się wraz ze wzrostem informatyzacji w naszym społeczeństwie zmiany, które doprowadziły do przewartościowania pewnych pojęć. Okazuje się, że miarą społecznego sukcesu jest nie tylko okazały dom, prestiżowy samochód i liczba zer na koncie bankowym.

Informacje będące w posiadaniu firm, urzędów, a także osób prywatnych mają swoją realną wartość i mogą być podatne na zagrożenia takie jak, np.: kradzież, zniszczenie czy zafałszowanie. Z rozwojem informatyki i Internetu pojawiły się nowe zagrożenia, takie jak wirusy komputerowe, oprogramowanie szpiegujące, włamania dokonywane przez hakerów, kradzieże numerów kart kredytowych i bankomatowych, kradzieże tożsamości, szpiegostwo przemysłowe. Zjawiska te mogą narazić instytucje jak i osoby fizyczne na utratę konkurencyjności, reputacji oraz na duże straty finansowe.

Ryzyko utraty informacji zwiększa się wraz ze wzrostem ilości przetwarzanych przez osoby prywatne oraz instytucje informacji i stosowaniem coraz bardziej skomplikowanych technologii do tego przeznaczonych. Zwiększa się ono wraz ze wzrostem informatyzacji społeczeństwa i rozwojem zaawansowanej techniki, w tym z ilością łączących się w „globalną sieć” komputerów.

Liczba komputerów w Internecie:

1992 – 600.000

1995 – 6.000.000

2000 – 60.000.000

2003 – 600.000.000

2009 – 1.700.000.000 (ok. 25% ludności ziemi)

 

Do zapewnienia bezpieczeństwa przetwarzanych informacji dotyczących osób prywatnych, firm jak i urzędów obligują różne akty prawne, takie jak m.in :

·        Ustawa o ochronie danych osobowych,

·        Ustawa o ochronie informacji niejawnych,

·        Ustawa o dostępie do informacji publicznej,

·        Ustawa o prawie autorskim i prawach pokrewnych,

·        Rozdział XXXIII Kodeksu Karnego obejmujący takie przestępstwa jak szpiegostwo komputerowe – hacking, cracking, sniffing, phishing.

 

Szpiegostwo informatyczne, jako kradzież danych, precyzyjnie wymierzone jest w komputery osobiste, laptopy, sieci komputerowe, a także w różne nośniki danych.

Dlaczego środki bezpieczeństwa są tak ważne:

·        Konieczność zastąpienia utraconego lub zniszczonego sprzętu informatycznego nie jest jedynym i największym kosztem przestępstwa;

·        Dane są wartościowe nie tylko dla ich właściciela lub wytwórcy, niejednokrotnie informacje te są bardziej wartościowe dla złodzieja lub konkurencji;

·        Czas jaki jest niezbędny do odtworzenia utraconych informacji znacznie przekracza czas jaki został poświęcony na wytworzenie i zebranie dokumentów, danych, a w wielu przypadkach jest to już niemożliwe.

 

Dane strategiczne, a także dane osobowe, kody i hasła często są zapisane na dyskach komputerów prywatnych, komputerów podłączonych do Internetu lub połączonych w sieć (wewnętrzną) intranet w firmie – włamanie do takiej sieci może doprowadzić do:

·        kradzieży danych strategicznych dla firmy, instytucji lub bezpieczeństwa państwa;

·        kradzieży danych prywatnych zgromadzonych na komputerach firmowych, które niejednokrotnie wykorzystywane są również do dokonywania prywatnych operacji finansowych, wymiany poczty elektronicznej, dokonywania zakupów;

·        sabotażu (zniszczenia lub utrudnień w dostępie do danych) z wykorzystaniem złośliwego oprogramowania.

 

„Kradzież tożsamości” - podstawowy aspekt naruszenia bezpieczeństwa danych informatycznych

 

Kradzież tożsamości – jest to ogół przedsięwziętych czynności polegających na pozyskaniu prawdziwych danych realnie istniejących osób. Dane te są pozyskiwane na wiele różnych sposobów, z wykorzystywaniem różnych środków, tak technicznych, teleinformatycznych, jak i socjotechniki. Generalną zasadą jest to, że dane te są pozyskiwane w sposób niezgodny z obowiązującym prawem i w celu dalszego jego łamania, najczęściej w celu osiągnięcia korzyści majątkowej, ale również w celu naruszenia dóbr osobistych.

Samo pojęcie „kradzieży tożsamości” nie jest spenalizowane w obowiązującym w Polsce kodeksie karnym, gdyż nie występuje samoistnie, a jedynie, jako etap inicjujący i umożliwiający dokonanie przestępstwa finalnego. „Kradzież tożsamości” może mieć różne formy. Poniżej przedstawiono zestawienie dwóch form „kradzieży tożsamości”, które najlepiej i w sposób najbardziej esencjonalny obrazują zagadnienie:

1.     Atak zmasowany – „na ślepo”. Uzyskiwanie danych poprzez wprowadzanie w błąd, co do autentyczności portali internetowych, przez wprowadzanie w błąd co do autentyczności źródła wiadomości elektronicznych przekierowujących lub nakłaniających do odwiedzania fałszywych stron internetowych (phishing), a także uzyskiwanie danych poprzez dokonywanie przekierowań automatycznych na fałszywe strony phishingowe dzięki zmianom na serwerach DNS (pharming).

Art. 287. § 1. (oszustwo komputerowe gospodarcze) Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Dane zbierane w ten sposób najczęściej stanowią informacje umożliwiające dokonywanie elektronicznych transakcji finansowych – dane personalne, numery kart płatniczych, daty ich ważności, numery CVV, itp.

2.     Atak kierunkowy. Uzyskanie informacji poprzez włamanie ukierunkowane na konkretną osobę, która jest wcześniej obserwowana i podsłuchiwana, a także zbierane są o niej informacje ze wszystkich dostępnych źródeł. Włamanie do jej komputera dokonane jest celem zdobycia pewnych informacji (ale nie jest to typowy phishing, który łączy się ze „ślepym” i zmasowanym atakiem na dużą grupę społeczeństwa):

Art. 267. §1. (hacking i sniffing) Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

§ 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.

§ 3. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem.

 

Tak uzyskane informacje mogą stanowić dane personalne, bazę kontaktów, dane umożliwiające dokonywanie elektronicznych transakcji finansowych, zawieranie umów kupna-sprzedaży, uczestnictwo w aukcjach organizowanych przez internetowe serwisy aukcyjne. Ataki kierunkowe najczęściej są przeprowadzane, gdy sprawca zna ofiarę osobiście lub ma o niej już jakieś informacje i w dużej części takich przypadków nad chęcią uzyskania korzyści materialnych biorą górę względy osobiste (naruszenie dobrego wizerunku, szkalowanie, formy prześladowania i znęcania psychicznego). Często ma to miejsce przy przejmowaniu profili użytkowników portali społecznościowych.

W opisanych powyżej obu przypadkach, może dochodzić do popełnienia kolejnego przestępstwa, a mianowicie do wykorzystywania złośliwego oprogramowania komputerowego – koni trojańskich (art. 269a kk - rozpowszechnianie złośliwych programów oraz cracking).

            W związku z tym, że „kradzież tożsamości”, jako kombinacja różnych działań przestępczych (komputerowe oszustwo gospodarcze, oszustwo pospolite z wykorzystaniem mediów, nieuprawniony dostęp do danych, podsłuch komputerowy, wykorzystanie „narzędzi hackerskich” – złośliwego oprogramowania, zmiany zapisu na informatycznym nośniku danych) jest pierwszą fazą przestępstwa głównego, jakim z reguły jest oszustwo - wyłudzenie lub kradzież środków finansowych, brak jest możliwości aby w oparciu o statystykę policyjną ocenić dokładnie skalę zjawiska. Jedno jest pewne – liczba takich incydentów stale wzrasta i będzie nadal rosnąć wraz z powiększającą się liczbą komputerów tworzących „globalną pajęczynę”.

 

Phishing – specyficzna forma pozyskiwania danych newralgicznych

 

Nazwa „phishing” (spoofing), wywodząca się z języka angielskiego, jest skrzyżowaniem słów „fishing” – łowić ryby, z „personal data” – dane osobowe lub termin phishing jest niekiedy tłumaczony jako password harvesting fishing (łowienie haseł). Phishing polega na tworzeniu fałszywych wiadomości e-mail i witryn WWW, które wyglądają identycznie jak serwisy internetowe znanych firm, aby skłonić klientów tych firm do podania swoich danych osobowych, numeru karty kredytowej lub informacji o elektronicznym rachunku bankowym – kodów i haseł potrzebnych do zalogowania i autoryzacji transakcji.

Bardziej niebezpieczną, bo trudną do wykrycia bez posiadania specjalistycznej wiedzy, odmianą phishingu jest pharming - w której przestępcy wykorzystują dodatkowo serwer DNS celem ukrycia prawdziwego adresu IP spreparowanej strony internetowej.

 

DNS (ang. Domain Name System, system nazw domenowych) to system serwerów oraz protokół komunikacyjny zapewniający zamianę adresów znanych użytkownikom Internetu na adresy zrozumiałe dla urządzeń tworzących sieć komputerową. Dzięki wykorzystaniu DNS nazwa mnemoniczna, np. www.policja.gov.pl, może zostać zamieniona na odpowiadający jej adres IP, czyli 195.164.254.6. Adresy DNS składają się z domen internetowych rozdzielonych kropkami. Dla przykładu w adresie Policja gov.- oznacza domenę funkcjonalną organizacji, a Policja domenę należącą do Policji, a pl polską domenę w sieci tej instytucji. W ten sposób możliwe jest budowanie hierarchii nazw, które porządkują Internet. DNS to złożony system komputerowy oraz prawny. Zapewnia z jednej strony rejestrację nazw domen internetowych i ich powiązanie z numerami IP. Z drugiej strony realizuje bieżącą obsługę komputerów odnajdujących adresy IP odpowiadające poszczególnym nazwom.

 

Dane newralgiczne są najczęściej pozyskiwane przy wykorzystaniu:

·        rozsyłanych sfałszowanych wiadomości e-mail, „udających” komunikaty z działu bezpieczeństwa bankowości elektronicznej, administratorów serwerów poczty elektronicznej lub serwisów aukcyjnych, z prośbą o przesłanie pinów, haseł lub kodów jednorazowych w celu weryfikacji poprawności działania serwisu po np. pracach konserwacyjnych na serwerze,

·        rozsyłanych fałszywych wiadomości e-maili z odnośnikami (linkami) do spreparowanej strony WWW e-banku, serwisu płatności elektronicznej, serwera poczty elektronicznej, serwisu społecznościowego lub serwisu aukcyjnego,

·        złośliwego oprogramowania komputerowego (konie trojańskie, keyloggery),

·        zmiany adresu IP przedmiotowej strony  na serwerze DNS i przekierowanie ruchu sieciowego na inny serwer, na którym „postawiono” wcześniej spreparowaną fałszywą stronę, np. banku,

·        zmiany pliku HOSTS znajdującego się na komputerze ofiary, który jest odpowiedzialny za interpretację adresów IP i przypisanych im nazw domenowych.

 

Potencjalna ofiara przestępstwa, poprzez odwiedzanie stron internetowych o określonych treściach. (m. in. strony o tematyce porno, serwery FTP z zasobami zawierającymi nielegalne oprogramowanie), a także o niskiej wiedzy i świadomości dotyczącej obsługi komputera, bądź posiadająca nielegalne (często nieskuteczne) oprogramowanie komputerowe, w sposób nieświadomy ściąga na swój komputer oprogramowanie typu trojan, malware, które jest specjalnie przygotowane do wykradania danych. Następnie, kiedy ofiara loguje się na stronę internetową swojego banku, oprogramowanie to uaktywnia się, kierując najczęściej użytkownika do fałszywej strony banku, która jest łudząco podobna do prawdziwej, lub też przechwytuje wprowadzane przez niego dane, które są przesyłane na wcześniej ustalony serwer.

W konsekwencji sprawcy posiadają komplet informacji pozwalających na zalogowanie się do strony internetowej bankowości elektronicznej i dokonanie operacji bankowych praktycznie z każdego miejsca na świecie z dostępem do Internetu.

Pozyskane w ten sposób dane wykorzystywane są do oszukańczych transakcji internetowych lub kradzieży pieniędzy z rachunków bankowych, a także do procederu „prania pieniędzy”.

 

 

Wskazówki – jak zmniejszyć ryzyko utraty danych i ich poufności

 

·        Ograniczać fizyczny dostęp do komputerów osób trzecich. Pamiętać należy, że nośniki danych z pamięcią typu flash mogą mieć przeróżne kształty i rozmiary – mogą to być pendrive’y o różnym wyglądzie (zabawki, breloki, zapalniczki, zegarki, biżuteria, scyzoryki, itp.), aparaty fotograficzne, telefony komórkowe, nawigacje samochodowe, długopisy, najróżniejsze odtwarzacze plików multimedialnych…;

·        Ograniczać dostęp do oprogramowania (nośników) osób trzecich;

·        Zabezpieczać dane wykonując kopie bezpieczeństwa (regularnie);

·        Podnosić świadomość dot. bezpieczeństwa teleinformatycznego;

·        Aktualizować na bieżąco programy antywirusowe, „ściany ogniowe” oraz używać oprogramowania z wiadomych i sprawdzonych źródeł (programy pirackie, ściągane z serwisów typu „rapidshare” w dużej części zawierają ukryte złośliwe oprogramowanie);

·        Nie odwiedzać „podejrzanych” witryn internetowych (są to głównie witryny pornograficzne lub oferujące nielegalne oprogramowanie) i nie używać występujących na tych stronach przekierowań (linków), które często w kodzie źródłowym posiadają złośliwe oprogramowanie;

·        Weryfikować, czy połączenia ważne odbywają się z wykorzystaniem protokołów bezpieczeństwa SSL (w większości przeglądarek sygnalizuje to pojawienie się „kłódki” i początek adresu winien rozpoczynać się od https://), sprawdzać treść certyfikatów bezpieczeństwa witryn;

·        Nie korzystać z odnośników w wiadomościach e-mail, adresy znacznie bezpieczniej jest wpisywać „z palca”;

·        Używać jakościowych haseł (składających się z małych i wielkich liter, cyfr i znaków specjalnych, o długości powyżej 8 – 10 znaków)! Nie stosować haseł domyślnych, ani jednego hasła do wielu programów i portali. Zmieniać co pewien czas hasła, zwłaszcza po wykryciu przez program antywirusowy złośliwego oprogramowania. Nie zapisywać haseł i pinów w nieszyfrowanych plikach tekstowych na twardym dysku. W przypadku kłopotów z zapamiętywaniem dużej liczby skomplikowanych haseł, zamiast je zmieniać na jedno hasło lub je upraszczać, lepiej zainwestować w urządzenia wykorzystujące biometrię do szyfrowania, np. pendrive z czytnikiem linii papilarnych;

·        Odchodząc od komputera dokonywać zakończeń sesji;

·        Raportować każde podejrzane zachowanie sprzętu lub oprogramowania osobom odpowiedzialnym za bezpieczeństwo informatyczne w firmie;

·        Usuwać dane newralgiczne zawsze, gdy nie są w użyciu – w sposób permanentny (nie polegać na komendach systemowych usuwania danych);

·        Nie wysyłać pocztą e-mail newralgicznych danych, pamiętajmy, że żaden bank, żaden administrator serwisu społecznościowego lub aukcyjnego nigdy nie prosi o przesłanie haseł lub pinów drogą elektroniczną;

·        Zabezpieczać fizycznie nośniki danych, a jeśli to możliwe również programowo;

·        Dyski „czyścić” profesjonalnie przez nadpisywanie danych przed ich wyrzuceniem, przekazaniem do naprawy itp. (np. Eraser);

·        Używać tylko autoryzowanego, oryginalnego i aktualizowanego na bieżąco oprogramowania;

·        Nie wymieniać informacji na temat systemów bezpieczeństwa informatycznego, nawyków informatyków w firmie, terminów konserwacji systemu, aktualizacji oprogramowania, itp.;

·        Pocztę elektroniczną szyfrować (np. PGP);

·        Rozważyć posiadanie komputera niepodłączanego do sieci do tworzenia i przechowywania danych newralgicznych;

·        Używać oprogramowania kryptograficznego (np. TrueCrypt)‏.

 

Źródła:

1.     Wikipedia, Wolna Encyklopedia., http://pl.wikipedia.org/

2.     Phishing - czyli jak się łowi hasła w Internecie- Arkadiusz Skowron - Politechnika Wrocławska, Wydział Informatyki i Zarządzania, Wrocław 2006

 

 

 

 

Opracowano:

Wydział Wsparcia Zwalczania Cyberprzestępczości

Biura Kryminalnego

Komendy Głównej Policji

 

 

 

 

 

 

Warszawa, 12 października 2010 r.

Ocena tekstu:

Ocena: 5/5 (3)

Tagi:

Poleć artykuł:

Kategorie: