Wirtualny świat oprócz niewątpliwych korzyści związanych z jego funkcjonowaniem przynosi też wiele zagrożeń. Świadczy o tym chociażby liczba kradzieży tożsamości internetowych. Ta według policyjnych statystyk i prowadzonych badań rośnie niemal z dnia na dzień. Oszuści rezygnują bowiem z tradycyjnych metod wyłudzeń. Coraz częściej wykorzystują brak wiedzy internautów na temat zagrożeń czyhających w sieci oraz skutki niezachowania przez nich minimum ostrożności. W konsekwencji coraz więcej osób pada ich łupem. Najczęściej za pomocą podstępnie zdobytych danych posiadacze rachunków bankowych są okradani ze zgromadzonych na nich środków.

Obowiązki stron umowy

Umowa rachunku bankowego oraz nierozerwalnie związany z nią regulamin określa główne obowiązki stron. Nie ulega wątpliwości, że to na instytucji finansowej ciąży obowiązek zagwarantowania bezpiecznego dokonywania transakcji i udostępniania posiadaczowi konta informacji o przeprowadzonych operacjach i zrealizowanych z tego tytułu rozliczeniach, pobranych opłatach i prowizjach.

Zapewniając bezpieczeństwo dokonywanych operacji, bank musi dochować należytej staranności oraz wykorzystywać właściwe rozwiązania techniczne. Dotyczy to zarówno operacji przeprowadzanych w tradycyjnym okienku bankowym jak i tych wykonywanych za pośrednictwem konta internetowego. Z kolei posiadacz konta internetowego jest zobowiązany do nieujawniania informacji o działaniu elektronicznego instrumentu płatniczego udostępnionego w ramach umowy o usługi bankowości elektronicznej. Jego ujawnienie może bowiem spowodować brak skuteczności mechanizmów zapewniających bezpieczeństwo zlecanych operacji.

Niedochowanie należytej staranności przez posiadacza rachunku bankowego może też doprowadzić do obarczenie jego ryzykiem operacji dokonanych przez osoby, którym udostępnił informacje.

Zabezpieczenia transakcji internetowych

Każda transakcja przeprowadzana przez konto internetowe jest zabezpieczana. Standardowo stosowanym rozwiązaniem jest szyfrowanie połączeń, hasła jednorazowe czy tokeny. Banki oferują też systemy antyphishingowe i potwierdzanie przelewów wiadomością SMS.

Standardem jest również podwójna identyfikacja użytkownika. Oznacza ona, że aby zalogować się do konta, należy podać login i hasło. Często zdarza się tak, że jest ono inne dla kanału telefonicznego, a inne dla internetowego. Czasami już przy logowaniu niezbędne jest wypełnienie dodatkowych pól czy przepisanie znaków z obrazka (tzw. captche). W ten sposób otrzymujemy dostęp do naszego rachunku. Aby wykonać jakąkolwiek transakcję, wprowadzane są kolejne zabezpieczenia. Najczęściej wykorzystywanym są hasła jednorazowe, dostarczane w postaci zdrapek lub po prostu listy przysyłanej pocztą. Dodatkowo coraz częściej bank losowo wybiera numer hasła, które musimy podać, aby transakcja była skuteczna.

Banki stosują również hasła SMS-owe. Przy każdym przelewie lub transakcji bank wyśle nam wtedy unikalne hasło umożliwiające dokonanie transakcji. Innym dodatkowym zabezpieczeniem transakcji są również tokeny – generatory haseł. Są one znacznie wygodniejsze w użyciu niż przysyłana lista haseł. Najczęściej jednak korzystanie z nich wiąże się z ponoszeniem dodatkowych opłat.

Liczy się zdrowy rozsądek

Mimo różnorodnych środków strzegących dostępu do rachunków internetowych przestępcy bazują na ludzkiej naiwności. Wykorzystują do tego zarówno wiadomości e-mailowe jak i budowane specjalnie na te potrzeby strony internetowe łudząco przypominające witryny banków. Zdarza się, że w przesyłanych e-mailach przedstawiają różne zmyślone sytuacje np. informujące o tym, że „system komputerowy wykrył nieprawidłowości w Twoich danych osobowych, prosimy o niezwłoczne ich uzupełnienie”.

Oszuści internetowi wysyłają spam kierujący użytkowników na specjalne witryny internetowe. Jeżeli użytkownik postąpi zgodnie ze wskazówkami, zostanie przekierowany na stronę internetową łudząco podobną do strony logowania banku, gdzie jest nakłaniany do ujawnienia swoich danych uwierzytelniających (tj. identyfikatorów, haseł numerów PIN) lub danych potrzebnych do autoryzacji transakcji (kodów jednorazowych). Służą one nie tylko do wyczyszczenia zasobów konta, ale również do przeprowadzenia zakupów. Takie działanie oszustów internetowych jest karalne. Należy bowiem pamiętać, że każdy, kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat trzech (art. 269b par. 1 kodeksu karnego).

Jak się bronić przed kradzieżą

Przed ujawnieniem danych osobowych czy przed zalogowaniem się do banku należy sprawdzić, czy dane są zaszyfrowane i przekazywane w bezpiecznym połączeniu. Innymi słowy chodzi o weryfikację, czy adres strony internetowej w przeglądarce zaczyna się od wyrazu https://,

a w oknie przeglądarki znajduje się żółta kłódka, która odsłoni - po dwukrotnym kliknięciu - informacje o certyfikacie SSL. To jednak nie wszystko. Pod żadnym pozorem nie można ufać e-mailom z prośbami o podanie danych o finansach osobistych.

Dobrym rozwiązaniem jest również nieużywanie żadnych odnośników do stron internetowych, jeśli mamy choćby cień wątpliwości, czy są autentyczne. Przed ewentualnym uzupełnieniem takich informacji, lepiej skontaktować się telefonicznie z bankiem czy inną instytucją która wzywa do uzupełnienia danych. Warto również unikać wypełniania formularzy przesłanych w e-mailu z prośbą o wpisanie numeru karty kredytowej czy dotyczącej konta internetowego. Praktycznym rozwiązaniem jest również regularne sprawdzanie stanu swojego konta bankowego. Dzięki temu będziemy mieli pewność, że nie została wykonana żadna niezlecona transakcja.

Metody działań przestępców

Przestępcy jednak nie pozostają w tyle i wymyślają co raz to nowsze sposoby wyłudzania informacji do naszych kont internetowych. Jednym z nich jest pharming. Pharming to nic innego jak odpowiednie zmanipulowanie działań podejmowanych przez komputer w celu odnalezienia żądanej strony internetowej, które powoduje dyskretne przekierowanie do fałszywej witryny stworzonej przez sprawcę. Jest to możliwe przez ingerencję w pamięć podręczną DNS (specjalny protokół komunikacyjny) komputera lokalnego lub ingerencję w pamięć adresów DNS na serwerze.

Pierwszy sposób dostępu możliwy jest za pomocą tzw. metody konia trojańskiego. W ten sposób sprawca, wykorzystując załączone do e-mali bezpłatne gry, czy programy pornograficzne instaluje na naszym komputerze odpowiednie oprogramowanie umożliwiające mu zdalny dostęp do komputera. Z kolei modyfikacja adresów pamięci podręcznej DNS na serwerze umożliwia przekserowanie na podrobioną przez sprawcę stronę internetową. Ten drugi sposób działania jest znacznie korzystniejszy dla sprawcy. W ten sposób bowiem każdy użytkownik korzystający z danego serwera jest przekierowywany (pomimo podania innego i prawidłowego adresu) na stronę sprawcy. Tam niczego nieświadome ofiary logują się na strony bankowe i przekazują swoje dane. Niekiedy równocześnie ich komputer zostaje zarażony złośliwym oprogramowaniem, które umożliwia sprawcy prowadzenia dalszej działalności przestępczej.

Oszustwo komputerowe

Takie oszustwo dokonane za pomocą systemu informatycznego jest karalne. Zgodnie z art. 287 kodeksu karnego kto w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. W wypadku mniejszej wagi, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Wyjątkowo tylko jeżeli oszustwo popełniono na szkodę osoby najbliższej, ściganie następuje na wniosek pokrzywdzonego.

To właśnie w wyniku świadomych działań przestępcy nieświadomy użytkownik internetu jest odesłany na fałszywą stronę internetową. W tym momencie sprawca zyskuje wypływ na jego proces decyzyjny. W wyniku tego uzyskuje on nieprzeznaczone dla niego dane. Innymi słowy działania sprawcy prowadzą do wykorzystania nieświadomości użytkownika, co do tego, że witryna na której przekazuje swoje dane nie jest oryginalną stroną logowania banku.

W praktyce sprawca takiego przestępstwa nie działa sam. Po uzyskaniu przez niego niezbędnych informacji służących do korzystania z bankowości elektronicznej przelewa on zgromadzone na rachunku bankowym poszkodowanego środki do swoich pośredników. Osoby te określane są potocznie jako słupy. Ich główną zaletą jest to, że posiadają konto internetowe w banku, na którego rachunku bankowym przeprowadzane jest przestępstwo. Dzięki temu przelane środki trafiają na konto niezwłocznie po zakończeniu transakcji. Kolejnym zadaniem tych osób jest ich dalsza dystrybucja na podstawie instrukcji otrzymanych od swoich mocodawców. W ten sposób podstępnie zdobyte środki trafiają na konto pharmerów.

Odpowiedzialność wspólników

Osoby pomagające w tym przestępnym procederze nie są jednak bezkarne. Mogą one odpowiadać bowiem za przestępstwo prania brudnych pieniędzy stypizowane w art. 299 par 1 kodeksu karnego. Za jego popełnienie grozi od 6 miesięcy do lat 8 pozbawienia wolności. W tym miejscu należy jednak zwrócić uwagę, że pranie brudnych pieniędzy jest przestępstwem formalnym. Oznacza to, że czynności podejmowane przez jego sprawcę muszą rzeczywiście udaremniać lub utrudniać wykrycie nielegalnych transakcji (wartości majątkowych). Dodatkowo sprawca musi mieć świadomość, że jego źródłem jest przestępstwo. Tymczasem osoby wyłudzające dane do kont bankowych, poszukując słupów, nie przekazują im żadnych informacji. Za swoje czynności otrzymują oni jedynie prowizyjne, najczęściej zależne od dokonywanej transakcji wynagrodzenie. Z tych względów ocena, czy w danym przypadku doszło do przestępstwa prania brudnych pieniędzy, musi się odbywać po dokładnej ocenie okoliczności każdej sprawy.

Warto również pamiętać, że kodeks karny przewiduje surowszą odpowiedzialność w stosunku do sprawców przestępstwa prania brudnych pieniędzy, którzy czyn zabroniony popełnili w porozumieniu z innymi osobami (co najmniej dwoma) bądź osiągnęły z niego znaczną korzyść majątkową. W takim przypadku sprawca może trafić do więzienia na okres od roku do nawet 10 lat (art. 299 par. 5–6 k.k.). Dodatkowo w przypadku skazania sąd orzeka przepadek przedmiotów pochodzących bezpośrednio albo pośrednio z przestępstwa. Przepadek dotyczy również korzyści z tego przestępstwa lub ich równowartości, chociażby nie stanowiły one własności sprawcy (art. 299 par. 7 k.k.). Sąd nie może orzec przepadku, jeżeli przedmiot, korzyść lub jej równowartość podlega zwrotowi pokrzywdzonemu lub innemu podmiotowi. Przestępstwa te są ścigane z urzędu.

Słownik

Phishing – to próby nakłaniania za pomocą poczty elektronicznej do uruchomienia fałszywej strony internetowej, przypominającej do złudzenia stronę internetową twojego banku. Wpisując tam dane osobowe i dotyczące twoich finansów, przekazujesz je przestępcom.

Pharming – koncentruje się na wydobyciu od użytkownika podobnych informacji. Działa poprzez atakowanie serwerów DNS które przekierowują połączenie do sfałszowanych stron internetowych pomimo wpisania poprawnego adresu strony, którą chciałeś odwiedzić. O ile phishing działa w odniesieniu do jednej konkretnej osoby, która odpowiada na fałszywą wiadomość pocztową, pharming dotyka jednocześnie wielu osób, próbujących dostać się na stronę internetową.

Podstawa prawna

Ustawa z 6 czerwca 1997 r. – Kodeks karny (Dz.U. nr 88, poz. 553 z późn. zm.).