- Opłata za przesyłkę kurierską, odłączymy ci prąd oraz inne haczyki
W ostatnim czasie można zaobserwować wzrost aktywności hakerów w ramach tzw. phishingu czyli oszustw skoncentrowanych na wydobycie wrażliwych danych. Przestępcy podszywają się pod rozmaite instytucje – banki, popularne platformy streamingowe, spółki energetyczne, firmy kurierskie i inne. Model działania sprawców zasadniczo polega na rozsyłaniu wiadomości zawierających link, w który należy kliknąć i zalogować się np. na e-konto bankowe lub profil użytkownika portalu. Przyczyną może być np. brakująca opłata przesyłki, czy blokada konta. Strony, na które odsyłają oszuści łudząco przypominają oficjalne witryny WWW. Niestety, „zalogowanie” się oznacza udzielenie danych oszustom.
Phishing nie jest nową formą oszustwa, a jego ofiarą paść może każdy, nawet duże podmioty gospodarcze. O jednej z takich spraw zakończonych happy endem dzięki interwencji kancelarii pisaliśmy tutaj: https://prawokarnewbiznesie.pl/pomocy-wyslalismy-przelew-do-oszusta/
2. Niezwłoczne odcięcie oszustów od naszych danych
Zależnie od rodzaju i przedmiotu ataku hakerskiego oraz o ile jest to jeszcze możliwe (tj. oszust nie pozbawił nas całkowicie dostępu do konta bankowego lub profilu użytkownika) pierwszym krokiem powinno być podjęcie działań zaradczych:
- poinformowanie banku o zaistniałym zdarzeniu z wnioskiem o 72-godzinną blokadę rachunku oszusta;
- zmiana danych logowania (nazwa użytkownika + hasło + mail);
- włączenie uwierzytelniania dwuskładnikowego (np. mail + SMS);
- unieważnienie dowodu osobistego przez Internet, w urzędzie gminy/miasta/dzielnicy, w konsulacie;
- zastrzeżenie lub tymczasowa blokada karty płatniczej w placówce banku, przez telefon lub poprzez bankowość elektroniczną.
3. Zawiadomienie organów ścigania…
Osoby, które wysyłają, odbierają, czy w inny sposób koordynują rozsyłanie wiadomości wyłudzających dane popełniać mogą jedno z kilku przestępstw. Zależnie od okoliczności „łowienia” phishing może kwalifikować się pod kilka przepisów karnych, m.in.:
Art. 267 § 1 Kodeksu karnego: Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie;
Art. 268a § 1 Kodeksu karnego: Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych;
Art. 287 § 1 Kodeksu karnego: Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych.
Teoretycznie zgodnie z art. 304 Kodeksu postępowania karnego, każdy kto powziął informację o przestępstwie ma „społeczny” obowiązek zawiadomienia o tym organów ścigania. Społeczny czyli nieobwarowany odpowiedzialnością karną. Czy warto jednak powiadomić organy ścigania o wyłudzeniu (lub próbie) naszych danych? Odpowiedź jest twierdząca.
Można to zrobić dwojako: ustnie lub pisemnie, w najbliższej jednostce policji lub prokuratury. Postępowanie przygotowawcze prowadzone przez właściwe organy państwa wraz z naszym zaangażowaniem może zmaksymalizować szanse na ujęcie oszustów i odzyskanie pieniędzy. Istnieje szereg instytucji i narzędzi przysługujących organom ścigania mogącym pomóc w sprawie. W szczególności prokurator może wystąpić o udostępnienie i zabezpieczenie danych informatycznych (art. 218a KPK) lub zablokować transakcję bankową (art. 106a Prawa bankowego). Po namierzeniu sprawcy i przedstawieniu zarzutów może nastąpić zabezpieczenie majątkowe (art. 291 KPK) na poczet m.in. zwrotu pieniędzy pokrzywdzonemu przestępstwem.
4. … i ostrzeżenie innych użytkowników. Lista domen CSIRT NASK
CSIRT[1] działający przy NASK[2] to zespół specjalistów odpowiedzialnych za cyberbezpieczeństwo. Ich działania mają przyczyniać się do bezpieczeństwa użytkowników sieci Internetowej.
Jednym ze sposobów na eliminację zagrożeń hakerskich jest zgłaszanie do CSIRT podejrzanych wiadomości, domen internetowych lub innych niebezpiecznych treści. Odbywa się to poprzez formularz zgłoszenia incydentu na stronie WWW: https://incydent.cert.pl/#!/lang=pl lub przez wysłanie wiadomości SMS do instytutu 799-448-084.
W oparciu o weryfikowane zgłoszenia użytkowników, CSIRT aktualizuje listę niebezpiecznych domen WWW. Warto ją przejrzeć zanim klikniemy w nieznany link pochodzący z podejrzanego źródła: https://hole.cert.pl/domains/domains.txt
5. Czy da się odzyskać pieniądze z phishingu?
W teorii jest to jak najbardziej możliwe. Faktyczny skutek zależy jednak od biegłości sprawców w zestawieniu z zaangażowaniem naszym i organów ścigania.
Droga sądowo-prokuratorska – jeżeli uda się namierzyć sprawcę oszustwa i przedstawić mu zarzuty to warto dopilnować, aby w toku postępowania przygotowawczego prokurator ustanowił zabezpieczenie majątkowe tytułem przyszłego zwrotu majątku pokrzywdzonemu. Przed sądem można też złożyć wniosek o naprawienie szkody (art. 46 KK) wyrządzonej przestępstwem lub odrębnie dochodzić naprawienia szkody na drodze cywilnej.
Innym kołem ratunkowym może okazać się reklamacja transakcji w ramach tzw. procedury chargeback oferowanej przez większość banków. Jeżeli zostaliśmy oszukani, a z naszej karty płatniczej nieuprawnienie pobrano kwotę pieniędzy, należy zgłosić ten fakt do banku (np. poprzez formularz internetowy) odpowiednio uzasadniając wniosek i przedkładając dowody bezprawnej transakcji. Po przeprocesowaniu reklamacji wystawca karty może podjąć decyzję o zwrocie pieniędzy na nasze konto.
6. Podsumowanie
Nie da się ukryć, że postępowania w przedmiocie oszustw internetowych często kończą się fiaskiem. Jednakże, nie jest to bezwzględna reguła. Co jakiś czas możemy przeczytać o ujęciu sprawców cyber-wyłudzeń danych i pieniędzy.
Po powzięciu informacji, że padliśmy ofiarą phishingu istotne jest, aby niezwłocznie zablokować przed osobami trzecimi dostęp do naszych profili i środków oraz zgłosić oszustwo organom ścigania. Jednakże, jeśli chcemy zmaksymalizować szanse na odzyskanie środków musimy wykazać się inicjatywą. Z pomocą przychodzi np. możliwość wnioskowania o przeprowadzenie czynności w toku dochodzenia/śledztwa, dzięki którym postępowanie może nabrać tempa tak potrzebnego w przypadkach ujęcia sprawców cyberprzestępstw.
INFOGRAFIKA[1] Computer Security Incident Response Team.
[2] Naukowa i Akademicka Sieć Komputerowa – Państwowy Instytut Badawczy.