Podczas pandemii koronawirusa przeszliśmy w tryb zdalny. Jaka jest skala cyberprzestępczości?
Dr hab. inż. Agnieszka Gryszczyńska: Na pewno pandemia zmieniła sposób, w jaki pracujemy, uczymy się, kupujemy czy płacimy. Lockdown sprawił, że użytkownicy przenieśli się online, a za nimi poszli przestępcy. Żeby było jasne – przestępcy w cyberprzestrzeni byli zawsze. Jednak od rozpoczęcia pandemii mocno zintensyfikowali swoje działania w przestrzeni cyfrowej.
Mówimy o przestępstwach tradycyjnych, ale inaczej popełnianych, czy o zupełnie nowym charakter przestępstw?
Z jednej strony mamy zmienione działania przy dotychczasowych „tradycyjnych” przestępstwach – np. zmieniły się kanały dystrybucji środków odurzających. Z drugiej strony mamy do czynienia z wyłudzaniem środków finansowych, włamaniami do rachunków bankowych czy atakami phishingowymi.
W jaki sposób działają tu przestępcy?
Sprawcy np. tworzą strony podszywające się pod agentów rozliczeniowych i banki w celu wyłudzenia danych do logowania do bankowości elektronicznej. Pokrzywdzonym wysyłają wiadomości SMS np. aby dopłacić do szczepienia na COVID-19, albo dopłacić do dezynfekcji przesyłki np. 50 groszy. Bardzo skuteczne były też wiadomości SMS z prośbą o dopłacenie ośmiu złotych do rachunku za prąd, bo w przeciwnym razie prąd zostanie wyłączony. Wiele osób uważało, że lepiej zapłacić osiem złotych, a potem wyjaśnić sprawę, niż nie zapłacić i narażać się na odłączenie prądu w czasie pandemii.
W sumie sprawa jest drobna – osiem złotych to niewielka suma.
Problem polega na tym, że ta osoba nie przelewała tak naprawdę ośmiu złotych, ale logowała się na stronie obsługiwanej przez przestępców, myśląc, że to strona banku. Przestępca logował się wtedy na rzeczywiście istniejące konto bankowe pokrzywdzonej osoby, która otrzymywała sms z potwierdzeniem o poprawnym logowaniu. Utwierdzało ją to w przekonaniu, że wszystko jest w porządku. Przestępcy, po zalogowaniu się do konta pokrzywdzonego, dodają odbiorcę zdefiniowanego, w tym celu potrzebują jednak uzyskać kod z SMS-a. Ponieważ pokrzywdzony jest przekonany, że dopłaca do rachunku za prąd – podaje na stronie obsługiwanej przez przestępców kod, który otrzymuje SMS-em. Pozwala to przestępcy potwierdzić dodanie odbiorcy zdefiniowanego, czyli rachunku bankowego, na który będą transferowane pieniądze, należącego do tak zwanego „słupa”. Słupami zazwyczaj zostają ludzie w trudnej sytuacji finansowej, nadużywający alkoholu bądź substancji psychoaktywnych. Na rachunki takich osób przekazywane są pieniądze. Osób okradzionych w ten właśnie sposób jest bardzo wiele. Drugim z modeli, który cały czas jest wykorzystywany, są fałszywe sklepy internetowe.
Jak one działają?
To sklepy dobrze wypozycjonowane w przeglądarkach internetowych, korzystające z dobrze wypromowanych ciągów znaków nawiązujących do znanych marek, np. pojawiają się tam słowa „euro”, albo „AGD”, jeszcze w innych słowo „media”. Osoba, która nie jest dobrze zorientowana myśli, że jest na stronie prawdziwego sklepu. I płaci za konkretny towar. Rzecz w tym, że żaden towar do niej nie dociera, bo „sklep” nigdy niczego nie miał w sprzedaży – chodzi jedynie o wyłudzenie pieniędzy. Tych sklepów działa jednocześnie kilka lub kilkanaście w języku polskim. Jedne są zamykane, inne się pojawiają. Na skalę zjawiska wskazują dość przerażające statystyki.
W 2019 roku CERT Polska zarejestrował 6484 incydenty i był to wzrost o 73 proc. w stosunku do 2018 roku. Nie ma jeszcze raportu za 2020 rok. W pierwszej połowie w 2020 roku NASK w mediach społecznościowych poinformował, że zarejestrował ponad 5 tysięcy incydentów. Jest więc prawdopodobne, że w 2020 roku ilość incydentów się podwoi. Problem narasta i widać to także w postępowaniach karnych. Ciekawa może być analiza tego, jak zmieniło się przestępstwo oszustwa. Dziś oszustwa internetowe stanowią około 30 proc. wszystkich oszustw. To bardzo dużo.
Co zatem zrobić, aby uniknąć stania się ofiarą tego typu przestępstw?
Niezbędne jest podjęcie działań na różnych płaszczyznach. Przede wszystkim konieczna jest działalność edukacyjna i informacyjna. Uczulanie ludzi na to, czego nie robić w sieci i na co zwrócić uwagę – jak sprawdzić wiarygodność sklepu, czy strony internetowej. Te zagrożenia czekają zarówno na ludzi młodych, jak i starszych, które nie chcą narażać się na infekcję, więc wolą robić zakupy online. Edukacja i kampanie informacyjne to zadanie stojące przed różnymi instytucjami. Drugie zadanie stoi przed organami ścigania. I tu pewne działania są podejmowane. W 2020 roku organy ścigania informowały o wielu postępowaniach, w których zatrzymano osoby podejrzane o tzw. przestępstwa komputerowe - oszustwa, oszustwa komputerowe, hacking, włamania do rachunków bankowych, pranie pieniędzy pochodzących z przestępstwa. Dla przykładu wskazać można skuteczne działania Prokuratury Regionalnej w Warszawie, Gdańsku, Poznaniu, Prokuratury Okręgowej w Warszawie czy Gorzowie Wielkopolskim.
Prokuratura się zmienia. W Prokuraturze Krajowej w specjalnie powołanym Dziale do Spraw Cyberprzestępczości nadzorowane są najpoważniejsze postępowania z tego zakresu, organizowane są szkolenia czy zapewniana jest koordynacja działań oraz współpraca pomiędzy jednostkami prokuratury a wyspecjalizowanymi w zwalczaniu cyberprzestępczości jednostkami policji i ABW. W prokuraturach okręgowych powstają działy do walki z cyberprzestępczością, w prokuraturach regionalnych powołano koordynatorów. Widzimy, że specjalizacja prokuratorów i funkcjonariuszy policji w zakresie zwalczania cyberprzestępczości przynosi efekty. Walka z cyberprzestępczością i podnoszenie poziomu cyberbezpieczeństwa wymaga również międzyinstytucjonalnej współpracy. Dla przykładu, w związku z pandemią w ramach porozumienia zawartego pomiędzy ministrem cyfryzacji, NASK, prezesem UKE oraz czterema największymi operatorami telekomunikacyjnymi, utworzono listę ostrzeżeń przed złośliwymi stronami internetowymi, wyłudzającymi dane do logowania. Na przykład strona podszywająca się pod Facebooka, czy bank trafia na taką listę. Co bardzo ważne – tu nie chodzi o żadną cenzurę internetu, ale właśnie o ochronę użytkownika. Chodzi o to, by ochronić tego użytkownika najsłabszego. Powinniśmy podejmować wielopoziomowe działania – w tym również legislacyjne.
Co powinno być przede wszystkim zrobione?
To, że sprawcy cyberprzestępstw są tak trudni do namierzenia wynika z faktu, że korzystają z danych innych osób. Mówiąc potocznie – kradną cudzą tożsamość. Powinniśmy dążyć zatem do wypracowania skutecznych mechanizmów ochrony tożsamości. Drugim problemem jest słaba weryfikacja tożsamości użytkowników e-usług. Podczas rejestracji najczęściej można podać jakiekolwiek dane. Na dane każdego z nas można założyć konta poczty elektronicznej, czy zarejestrować nazwę domenową, którą następnie sprawcy wykorzystają do prowadzenia fałszywego sklepu internetowego itd. Należałoby skupić się na tym, by nałożyć obowiązki weryfikacji pewnych danych podczas np. rejestracji nazw domenowych.
No tak, ale przecież to tylko można zrobić w domenie.pl. W przypadku innych domen przestępcy będą mogli założyć stronę i działać bez problemu.
Tak, jednak to domeny.pl wzbudzają w Polsce największe zaufanie. I znacznie szybciej użytkownik zaufa im, niż jakiejś domenie bardzo egzotycznej. Na podmioty świadczące usługi drogą elektroniczną dotychczas nie nałożono obowiązków związanych z przechowywaniem logów. Jeżeli do organów ścigania zgłosi się pokrzywdzony i powie, że włamano mu się na konto poczty elektronicznej, to w zależności od usługodawcy może się okazać, że nie da się określić czy faktycznie mu się włamano, ani z jakich adresów IP logowano się do tego konta.
Problem mógłby zostać rozwiązany poprzez wprowadzenie określonego terminu obowiązkowego przechowywania logów. Na marginesie dodam, że przestępstwo z art. 267§ 1 kk, czyli tzw. hacking zagrożony jest relatywnie niską kara – maksymalnie do dwóch lat pozbawienia wolności. Należy rozważyć, czy jak niskie zagrożenie karne realizuje cele prewencji generalnej. Na pewno celowe jest prowadzenie dalsze listy ostrzeżeń przed stronami wyłudzającymi dane. Warto ten mechanizm zachować również na czas po pandemii, bo przyczynia się do ochrony najsłabszych użytkowników internetowych. Co bardzo ważne – cyberprzestępcy zazwyczaj nie łamią haseł. Oni działają tak, by użytkownik sam hasło im podał. Stosują socjotechnikę, żeby przekonać użytkowników o tym, że strona jest bezpieczna np. zabezpieczają strony wyłudzające dane certyfikatami SSL. Pokrzywdzeni, widząc tzw. „zieloną kłódkę” na stronie są przekonani, że są bezpieczni, ponieważ połączenie jest szyfrowane. Zielona kłódka na stronie, nie oznacza, że strona jest bezpieczna. Jeśli jest to strona administrowana przez przestępców i tak pozyskają oni dane do logowania. Dlatego tak ważne jest podnoszenie wiedzy i umiejętności w zakresie rozpoznawania ataków u wszystkich użytkowników Internetu – od dzieci po osoby starsze. Do tego dodać należy przemyślane rozwiązania legislacyjne podnoszące nasze cyberbezpieczeństwo i przeciwdziałające kradzieży tożsamości oraz stałe podnoszenie skuteczności organów ścigania w zwalczaniu cyberprzestępczości. Tylko wtedy możliwe będzie skuteczne przeciwdziałanie nowym zagrożeniom.