Kradzieże tożsamości online

Obecnie chyba każdy zdaje sobie sprawę ze znaczenia dbałości o ochronę danych osobowych przetwarzanych w Internecie. Zwłaszcza że do rzadkości nie należą przypadki "kradzieży tożsamości" (ID theft), a specyfika elektronicznych usług sprzyja próbom wyłudzania danych od internautów.

Obecnie chyba każdy zdaje sobie sprawę ze znaczenia dbałości o ochronę danych osobowych przetwarzanych w Internecie. Zwłaszcza że do rzadkości nie należą przypadki "kradzieży tożsamości" (ID theft), a specyfika elektronicznych usług sprzyja próbom wyłudzania danych od internautów.

Manipulacje tożsamością internauty

Podszycie się pod inną osobę w Internecie jest o wiele prostsze niż w realnym świecie. Czasem wystarczy umiejętne wykorzystanie cudzych danych osobowych. Wszak osoby, z którymi stykamy się w wirtualnej przestrzeni, nie mają z reguły możliwości zweryfikowania przedstawianych przez nas informacji. Zdarza się, iż na potrzeby nadużyć wystarczy przechwycenie hasła i loginu użytkownika. Cudze dane osobowe mogą być wykorzystywane w Internecie w różnoraki sposób. Kradzieży tożsamości muszą szczególnie wystrzegać się klienci banków i elektronicznych systemów płatności. Zwłaszcza w przypadku Paypal wręcz nagminne jest preparowanie wiadomości e-mailowych z prośbą o zalogowanie się na podanej witrynie, z uwagi na nowe mechanizmy zabezpieczeń przed nadużyciami.

Nie oznacza to, że pozostali internauci nie są narażeni na zagrożenia. Wystarczy wskazać choćby na pozyskanie zeskanowanego cudzego dowodu tożsamości, który bywa niezbędny przy korzystaniu z niektórych usług elektronicznych. Wyjątkowo dotkliwe są wyłudzenia danych w przypadku korzystania z aukcji internetowych. Podszywanie się pod sprzedającego towary może wprowadzić w nie lada kłopoty. Wszystko to powinno wzmagać potrzebę zabezpieczenia się przed przypadkami elektronicznych kradzieży tożsamości. Najbardziej prymitywnym sposobem wyłudzenia danych osobowych będzie zastosowanie tradycyjnej inżynierii społecznej. Biorąc pod uwagę przezorność większości użytkowników sieci, ta nieco już zamierzchła metoda działania hakerów odchodzi w zapomnienie. O wiele większym zagrożeniem jest odpowiednie preparowanie komunikatów poczty elektronicznej bądź całych witryn internetowych.

Złowieni użytkownicy

Modus operandi internetowych przestępców koncentruje się coraz częściej na praktykach określanych jako phishing. Generalnie mianem tym określa się przypadki "wychwytywania", czy też "złowienia" danych osobowych użytkowników. E-mail zawierający prośbę o kontakt z działem obsługi klienta banku, wskazanie na odnośnik prowadzący do strony, na której zweryfikujemy dane dotyczące zakupionych biletów na imprezę sportową, to tylko niektóre przykłady. Przekazanie danych przez ofiarę manipulacji jest wstępem do dokonania oszustwa.

W przypadku kradzieży tożsamości mamy do czynienia z relatywnie wysokim wskaźnikiem "ciemnej" liczby przestępstw - nie wszystkie zdarzenia są bowiem zgłaszane organom ścigania. Opublikowany w październiku 2006 r. raport dotyczący phishingu, sporządzony przez kanadyjskie Ministerstwo Bezpieczeństwa Publicznego oraz Prokuratora Generalnego USA, wskazuje na dwie przyczyny takiego stanu rzeczy (http://www.usdoj.gov/opa/report_on_phishing.pdf ).

Przede wszystkim wielu pokrzywdzonych nie zdaje sobie sprawy, w jaki sposób pozyskano ich dane osobowe. Ponadto firmy, pod które podszywają się internetowi oszuści, nie zawsze są skłonne zawiadamiać o tym fakcie. Biorąc pod uwagę szczególne zainteresowanie phishingu sektorem finansowym, ujawnienie funkcjonowania spreparowanej strony WWW nie przyczynia się do budowania zaufania klientów.

Bez wątpienia dochodzi do tego niewielka wiedza rzeszy użytkowników o technicznych aspektach komunikacji elektronicznej. Świadczą o tym wyniki eksperymentu przeprowadzonego w ubiegłym roku przez informatyków z uniwersytetów w Harvardzie i Berkeley (dostępne w publikacji: "Why phishing Works?"). Dwudziestu dwóm użytkownikom Internetu przedstawiono dwadzieścia stron WW, w celu rozpoznania spreparowanych witryn. Najlepiej przygotowane "fałszywki" były w stanie zmylić 90% uczestników badania.

W Internecie dostępne są co prawda narzędzia pozwalające na weryfikację, czy nie mamy do czynienia z "fałszywką" witryny (np.http://www.trustwatch.com ). Oferowane są nawet ""wstawki" do przeglądarek internetowych, chroniące przed phishingiem.

Nie rozwiązuje to rzecz jasna całkowicie problemu. Nie podważając zalet automatycznej analizy witryn pod kątem działalności elektronicznych oszustów, pozostawienie kwestii phishingu jedynie technice nie jest możliwe. Podobnie jak w przypadku oprogramowania antywirusowego, trzeba liczyć się z pomyłkami. Zarówno przy pozytywnej, jak i negatywnej weryfikacji witryn.

Wykorzystywanie domen

Zwalczający phishing powinni pamiętać jeszcze o jednym. Preparowane witryny w zasadzie muszą wiązać się z wprowadzeniem w błąd zarówno użytkowników, jak i mechanizmów technicznych. W pierwszym przypadku chodzi o zbliżoną do oryginalnej szatę graficzną, informacje dla klientów, interfejs użytkownika. Drugi aspekt to przede wszystkim ukrycie oryginalnego adresu strony. Nawet dla początkującego użytkownika podejrzana będzie przecież witryna o egzotycznej nazwie domenowej lub umieszczona w ramach darmowego hostingu.

Dla przykładu, w lutym 2004 r. polskie media donosiły, że w rodzimym Internecie rozsyłane były e-maile z informacjami dla klientów banku Inteligo. Wiadomości wskazujące konieczność weryfikacji danych osobowych użytkowników banku podawały adres internetowy o rozszerzeniu .friko.pl. Jeśli w ramach próby wyłudzenia nie zastosowano technik ukrywających prawdziwy adres strony, zaradzić może jego szczegółowa analiza. Phishing może opierać się na błędach literowych, wykorzystywanych do niedawna jedynie w ramach cybersquattingu. Ponadto struktura adresów domenowych pozwala w zasadzie na nieograniczone łączenie nazwy banku z innymi terminami.

Czasem problemem mogą być też wygasłe domeny, które wcześniej należały do instytucji finansowej, pod którą podszywają się wyłudzający dane osobowe. Zapobiegliwe instytucje mogą co prawda monitorować rynek wtórny obrotu domenami, które są atrakcyjne dla phishingu. W tej kwestii nie ma jednakże nałożonych na nich żadnych obowiązków natury prawnej.

Środki prawne

Phishing jest w istocie specyficznym przygotowaniem do popełnienia oszustwa. Gromadzone w ten sposób informacje mogą być wykorzystane do wyłudzenia pieniędzy bezpośrednio na szkodę osoby przekazującej swoje dane osobowe bądź innych użytkowników. W większości państw brak jest przepisów bezpośrednio penalizujących samo pozyskanie informacji w celu późniejszego dokonania kradzieży tożsamości. Wyjątkiem nie jest w tym wypadku Polska. Karalne jest rzecz jasna samo dokonanie oszustwa. Można posiłkować się jednak innymi środkami. W przypadku korespondencji e-mailowej w grę wchodzą zakazy odnoszące się do nadsyłania niezamawianych informacji handlowych. Wszak większość wiadomości, proszących o nadesłanie danych osobowych bądź odwiedzenie spreparowanej witryny, jest w istocie formą przesyłki reklamowej.

Można pokusić się o uderzenie w phishing już w chwili wprowadzenia do sieci imitacji strony WWW. Preparowane witryny, nawet jeśli nie rozpoczną działalności, zawierają z reguły zastrzeżone znaki towarowe instytucji finansowych. Może być to logo, czy też nazwa banku. Operatorzy imitacji oficjalnych stron internetowych mogą więc spodziewać się pociągnięcia do odpowiedzialności w związku z naruszeniem praw własności przemysłowej.

W maju 2005 r. Microsoft wystąpił z pozwami przeciwko nieustalonym 117 operatorom witryn podróbek stron WWW. Ich podstawą było między innymi naruszenie praw do znaków towarowych. Innym środkiem skierowanym przeciwko phishingowi mogą być przepisy chroniące dane osobowe. Pobieranie od użytkowników informacji prowadzi do stworzenia bazy danych, zaś jej składniki są przetwarzane pomimo braku zgody użytkowników.

Radykalne inicjatywy

Projektowane ustawodawstwo federalne USA zakłada wprowadzenie karalności "oszustwa internetowego". Miałoby ono polegać na tworzeniu strony WWW lub adresu domenowego wskazujących na podmiot prowadzący działalność gospodarczą online bez jego zgody. Na równi traktowane byłoby wykorzystywanie takiej witryny lub adresu. Karalne ma być też przykładowo podawanie się za przedstawicieli internetowego banku w celu pozyskania informacji od użytkowników. Osobom trudniącym się phishingiem groziłaby kara pozbawienia wolności do 5 lat.

Z kolei dyskutowany obecnie w Wlk. Brytanii projekt wprowadzenia zmian w prawie karnym przewiduje penalizację posiadania narzędzi służących do popełnienia oszustw (Fraud Act 2006). Wśród nich wskazuje się na oprogramowanie komputerowe. Dotyczyć ma to oczywiście narzędzi konstruowanych specjalnie na potrzeby phishingu. Karalne będzie też samo tworzenie oprogramowania we wspomnianym celu.

Wprowadzenie takiego instrumentu prawnego bez wątpienia utrudni możliwość preparowania witryn internetowych. Nie wyeliminuje jednak całkowicie problemu. Pojawią się przy tym dylematy z oceną, kiedy program został stworzony w celu popełnienia oszustwa. Phishing może opierać się przecież także na gronie powszechnie dostępnych aplikacji. Na rodzime przepisy karne odnoszące się bezpośrednio do phishingu trzeba będzie jeszcze poczekać.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200