Instytut Kościuszki: Zwyczajny obraz cyberprzestępczości – jak problem ten dotyka „przeciętnego” obywatela?

Większość takich spotkań skupia się na cyberprzestępczości w skali makro (państwa, regionu, całego świata), gdyż są to tematy nośne, cechuje je znaczna ogólnikowość i łatwiej wzbudzić nimi zainteresowanie odbiorców. Ostatnio „modne” są kwestie związane z internetem rzeczy, bezpieczeństwem infrastruktury krytycznej państwa, czy przyszłym obrazem wojny cybernetycznej. Jednak codzienna twarz cyberprzestępczości jest o wiele bardziej banalna i rzeczywiście dotyka „przeciętnego” obywatela – pisze dr Paweł Opitek, ekspert Instytutu Kościuszki, prokurator Prokuratury Rejonowej Kraków-Podgórze, członek Polskiego Towarzystwa Kryminalistycznego oraz Strumienia Blockchain/DLT i Kryptowaluty przy Ministerstwie Cyfryzacji. 

Poniżej zaprezentowano subiektywny, ale oparty na wieloletnim doświadczeniu prokuratora liniowego, ranking cyberprzestępstw, które najczęściej spotyka się w pracy dochodzeniowo-śledczej organów ścigania. W pierwszej kolejności użytkownicy internetu narażeni są na różnego rodzaju oszustwa; stanowią one ponad połowę przestępstw popełnianych w wirtualnym świecie. Schemat działania jest prosty: amator sieci odnajduje na portalach typu Allegro lub OLX interesujący go towar (odzież, sprzęt elektroniczny, kosmetyki, części samochodowe itp.), kontaktuje się telefonicznie lub za pomocą komunikatora z oferentem i uzgadnia warunki zakupu. Następnie, wpłaca umówioną cenę na rachunek bankowy i czeka na przesyłkę. Okazuje się jednak, że paczka nie nadchodzi, sprzedawca coraz bardziej pokrętnie tłumaczy powody opóźnienia, aż w końcu przestaje odbierać telefony i odpisywać na e-maile. Niekiedy okazuje się, że w doręczonej przesyłce, zamiast wymarzonego smartfona, znajduje się jakieś warzywo, kamień lub po prostu śmieci. Z kolei, konta bankowe, na które pokrzywdzeni wpłacali pieniądze, zakładane są na „słupy” lub wykorzystuje się wirtualne karty przedpłacone; coraz częściej skradzione środki zamieniane są na bitcoiny i ślad po nich ginie. Chociaż wysokość jednorazowo wyłudzonych środków wynosi zazwyczaj od 50 zł do 1500 zł, to realizacja wielu przestępstw może przynieść oszustowi o wiele wyższe dochody. Wcale nierzadkie są przypadki, kiedy przekraczały one kilkaset tysięcy złotych. Sprawcy stosują przy tym metody socjotechniczne i ataki hakerskie. Włamują się na konta użytkowników serwisów aukcyjnych, przejmują na kilka lub kilkanaście godzin ich tożsamość i m.in. dzięki pozytywnej historii transakcji zhakowanego konta, zyskują zaufanie wśród potencjalnych ofiar.

Czytaj też: IK: Krytyczna ocena granic legalnego hakingu na tle nowego art. 269c Kodeksu karnego [ANALIZA]

W prokuraturach całego kraju, codziennie rejestrowanych jest setki podobnych spraw, a duża część z nich kończy się umorzeniem dochodzenia z powodu nie wykrycia sprawcy. Efektywne ściganie takich przestępstw jest trudne, bowiem oszuści, przy pomocy różnego rodzaju aplikacji i programów, maskują swój nr IP, stosują urządzenia mobilne i anonimowe numery telefonów, posługują się tożsamością osób trzecich.  W rezultacie, policjanci docierają do użytkowników komputerów, których maszyny przypadkowo zostały wykorzystane do maskowania danych. Innym sposobem jest wynajęcie mieszkania z zainstalowanym Internetem i wykorzystanie go przez krótki czas do realizacji czynów zabronionych. 

Oprócz wspomnianych już włamań na konta portali aukcyjnych i społecznościowych oraz do skrzynek pocztowych, hakerzy obierają sobie także inne cele. Sporadycznie zdarzają się na przykład nielegalne przełamania centrali telefonicznych i generowanie wartych dziesiątki tysięcy złotych połączeń. Niekiedy użytkownik komputera nie wie nawet o tym, że jego maszyna została przyłączona do sieci botnetu i służy do popełniania czynów niezgodnych z prawem.

Kolejna „plaga” wirtualnych przestępstw polega na różnorakim naruszeniu prawa do prywatności. Przybierają one postać włamań do skrzynek poczty internetowej i zapoznania się z korespondencją ofiary, przejęcia kont na portalach społecznościowych, nękania telefonami, e-mailami lub SMS-ami. Typowy schemat polega na tym, że odtrącony przez dziewczynę adorator potrafi przez dłuższy czas wysyłać do niej (pisząc na Facebooku, dzwoniąc, używając SMS-ów) dziesiątki wiadomości dziennie, wyznając swoją miłość lub grożąc pozbawieniem życia i wulgarnie wyzywając swoją ofiarę. Niebezpieczne okazują się znajomości zawierane w sieci. W jednej sprawie mieszkanka Krakowa zaufała poznanemu na portalu społecznościowym Libijczykowi; na profilu mężczyzna prezentował się bardzo ciekawie, prowadził działalność artystyczną, był przystojny i romantyczny. Jednak po pewnym czasie, chcąc „zniszczyć” kobietę, upublicznił jej nagie zdjęcia w sieci wspólnym znajomym.

Cyberprzestępcy potrzebują do prowadzenia swojej działalności dane osobowe innych osób: imiona i nazwiska, daty urodzenia, numery pesel, adresy zamieszkania itp. Dzięki nim potrafią zakładać fałszywe konta bankowe, zaciągać pożyczki (tzw. chwilówki) przez Internet, czy wyłudzać świadczenia medyczne z NFZ. Dlatego umieszczają w sieci atrakcyjne ogłoszenia o pracę i wymagają od osób zainteresowanych przysłania CV oraz skanu dowodu osobistego. Nieświadoma niczego ofiara bezskutecznie oczekuje na odpowiedź pracodawcy, a na koniec dowiaduje się od komornika, że nie spłaca pożyczki, której nigdy nie zaciągnęła.  

Czytaj też: Polska może stać się światowym liderem sektora cyberbezpieczeństwa. Raport Instytutu Kościuszki

Kradzież danych kart płatniczych, to kolejny rodzaj cyberprzestępczości dotykający „przeciętnego” użytkownika Internetu. Numery kart i dane ich posiadaczy oraz kody służące do autoryzacji transakcji przechwytywane są podczas płatności kartą za bilet lotniczy, pokój hotelowy lub przy zakupie towarów w sieci. „Wyciek” danych może nastąpić u akceptanta karty, innym razem służy do tego podmieniona strona internetowa banku (phishing), rzadziej informacje „kradnie” zainstalowane w komputerze ofiary złośliwe oprogramowanie. Wciąż popularny jest skimming paska magnetycznego karty podczas transakcji w bankomacie lub terminalu POS. Omawiana przestępczość jest zagrożeniem dla każdego: autorowi opracowania znane są przypadki dwóch krakowskich prokuratorów, którzy w ten sposób stracili po kilka tysięcy złotych (w jednym przypadku dane zostały przechwycone podczas płatności kartą za bilety lotnicze w Internecie, a w drugim zeskimmowane z paska magnetycznego w parkomacie). Ściganie takich przestępstw jest bardzo trudne: w pewnym momencie nieświadomy niczego użytkownik „plastikowego pieniądza” dowiaduje się, że dane jego karty zostały wykorzystane do transakcji w innej części globu. Jedyne, co mu pozostaje, to liczyć na pozytywne rozpatrzenie reklamacji i zwrot przez bank (wydawcę karty) utraconych środków. 

Naruszenie praw autorskich w sieci, to kolejny rodzaj nielegalnych działań mieszczących  się w kanonie „codziennej” cyberprzestępczości. Chodzi przede wszystkim o nielegalne kopiowanie i rozpowszechnianie filmów i muzyki, a także o kradzież programów komputerowych. Prowadzone w tym zakresie postępowania karne odznaczają się dużymi trudnościami dowodowymi w perspektywie ustalenia sprawcy przestępstwa i przypisania mu winy. Jak stwierdzić, kto „ściągał” utwory, skoro z wykorzystanego do tego komputera korzysta kilku domowników i żaden nie przyznaje się do popełnienia przestępstwa? W Polsce nie obowiązuje odpowiedzialność zbiorowa i każde oskarżenie musi opierać się na „mocnych” dowodach.

Przedstawiony powyżej obraz cyberprzestępczości skłania do wniosku, że jej medialny obraz odbiega nieco od tego, czym zajmuje się na co dzień większość policjantów i prokuratorów. Chociaż istnieje pilna potrzeba budowania ogólnopolskich strategii bezpieczeństwa cybernetycznego przed atakami „dużego kalibru”, to niezbędne jest także wypracowanie skutecznych mechanizmów walki z oszustwami i innymi nadużyciami w skali mikro.  Przykładowo, postuluje się utworzenie bazy danych, która pozwoli powiązać informacje (numery telefonów i kont bankowych, adresy e-mailowe, nazwy użytkowników stosowane na platformach) z osobami dokonującymi czynów zabronionych. Zamiast prowadzić kilkadziesiąt spraw o drobne oszustwo przez wiele prokuratur w całym kraju, po zebraniu danych w jednej bazie, może okazać się, że mamy do czynienia z „profesjonalnym” przestępcą i stratami liczonymi w dziesiątkach tysięcy złotych. Ustalenie takie ma kluczowe znaczenie dla efektywnego i skutecznego prowadzenia śledztwa.  

Autor: dr Paweł Opitek, ekspert Instytutu Kościuszki, prokurator Prokuratury Rejonowej Kraków-Podgórze, członek Polskiego Towarzystwa Kryminalistycznego oraz Strumienia Blockchain/DLT i Kryptowaluty przy Ministerstwie Cyfryzacji