E-PUNKT Punkt kontaktowy dla Usługodawców i Usługobiorców

Pułapki w Internecie – jak je rozpoznać i jak się bronić?

Na internetowe zagrożenie szczególnie narażone są osoby, które nie są świadome zasad bezpieczeństwa panujących w Sieci. Jednak tak naprawdę każdy musi liczyć się z tym, że cyberprzestępca zlokalizuje i wykorzysta jego słabe punkty. Pomocne okazuje się informowanie o wirtualnych niebezpieczeństwach, ale wciąż przybywa zagrożeń nowego typu. Inwencja informatycznych przestępców jest imponująca, a do mniej doświadczonych użytkowników Internetu informacje o nowych zagrożeniach docierają z opóźnieniem.

 

Katalog internetowych występków

Większość zagrożeń należy do jednej z dwóch kategorii: ataki z Sieci lub cyberoszustwa. Pierwsza kategoria wiąże się z reguły z zainstalowaniem na komputerze ofiary złośliwego oprogramowania. Z kolei na internetowe oszustwa składają się wszystkie działania mające na celu kradzież lub wyłudzenie pieniędzy bezpośrednio od użytkownika.

Dziesięć danych najczęściej wykradanych przez cyberprzestępców

Złośliwym oprogramowaniem można się zainfekować przez odwiedzenie zarażonej strony internetowej lub przez kliknięcie na załącznik do maila od nieznanego nadawcy. Przed zagrożeniami tego rodzaju chronią programy antywirusowe, które blokują podejrzane witryny lub pozwalają na skanowanie załączników lub plików przenoszonych z komputera na komputer. Jednak eksperci zajmujący się wirtualną przestępczością podkreślają, że najsłabszym ogniwem w najlepszym nawet systemie zabezpieczeń zawsze okazuje się człowiek. Dlatego cyberprzestępcy specjalizują się w socjotechnice. Chodzi o takie zmanipulowanie użytkownika, by wykonał zaplanowane przez przestępcę czynności.

Przykładem jest tu tzw. phishing. Polega on na zdobywaniu danych niezbędnych do logowania się na konta banków internetowych. Właściciel konta otrzymuje wiadomość do złudzenia przypominającą oficjalną korespondencję. Przestępca podszywający się pod bank informuje na przykład o konieczności ponownej aktywacji konta. Celem jest zdobycie kodów PIN, identyfikatorów i haseł. Wiadomość może również posiadać załącznik z oprogramowaniem, które ukradnie dane z komputera nieostrożnego odbiorcy. Warto pamiętać, że podejrzany plik rzadko posiada rozszerzenie EXE blokowane zazwyczaj przez filtr pocztowy - należy się spodziewać raczej rozszerzeń RTF lub ZIP. Do złośliwych programów należy natomiast na przykład keylogger, który rejestruje klawisze naciskane przez użytkownika danego komputera. Inny niebezpieczny software znalazł się niedawno w skrzynkach klientów mBanku. Otrzymali oni wiadomość o zaległościach w spłacie kredytu. Otworzenie załącznika uruchamiało oprogramowanie modyfikujące listę odbiorców zdefiniowanych przypisaną do danego konta. W rezultacie przy okazji wykonywania standardowych opłat pieniądze trafiały na rachunki oszustów. Zdarza się też, że niebezpieczny mail zawiera link, który odsyła do spreparowanej przez przestępców strony banku (to wykroczenie nosi nazwę pharming). Logując się na konto przez taką witrynę, internauta sam udostępnia wszystkie dane niezbędne do pobrania pieniędzy.

Przed wykroczeniami w sektorze bankowości internetowej można się obronić przede wszystkim dzięki własnej ostrożności. Trzeba pamiętać, że banki w komunikacji z klientem nie proszą go o logowanie na konto poprzez link wysłany w mailu – jedyny bezpieczny sposób na uzyskanie dostępu do własnego konta to zalogowanie się na stronie banku. Warto przy tym sprawdzić, czy bankowa witryna została zabezpieczona szyfrowaną wersja protokołu http (https). Usługodawcy podnoszą bowiem poziom bezpieczeństwa transakcji stosując protokół https, dzięki któremu zapobiegają przechwytywaniu i zmienianiu przesyłanych danych[1]. Jednak zdarza się, że przestępcy działający w Internecie wykupują certyfikat SSL, dzięki któremu adres witryny zaczyna się od https. Jeśli użytkownik nie zweryfikuje adresu URL bankowej strony, szyfrowana wersja protokołu nie zagwarantuje mu ochrony przed nadużyciem. Podobnie będzie w przypadku, gdy ofiarą przestępstwa stanie się sam wystawca certyfikatu lub gdy zainfekowana złośliwym oprogramowaniem przeglądarka przekieruje użytkownika na spreparowaną stronę nawet po wpisaniu prawidłowego adresu URL[2].

Cyfrowi przestępcy sięgają też po coraz bardziej wyrafinowane metody nakłaniania internautów do wejścia na stronę ze złośliwym oprogramowaniem. Przykładem była imitacja strony FIFA, na której można było podpisać petycję przeciwko dyskwalifikacji Urugwajczyka Luisa Suareza, który podczas jednego z meczów ugryzł włoskiego napastnika. Sygnatariusze petycji trafiali na listę wysyłkową spamerów i otrzymywali zainfekowane szkodliwym oprogramowaniem wiadomości. Byli też zachęcani, aby udostępniać link do strony znajomym na Facebooku, przez co fałszywa petycja szybko rozpowszechniła się w Internecie. Jej podpisanie wymagało wypełnienia formularza, w którym podawano m.in. numer telefonu. Umożliwiło to przestępcom działającym w Sieci przeprowadzanie tzw. ataków ukierunkowanych na urządzenia mobilne. Do szkodliwych witryn odsyłają również zmodyfikowane kody QR. Przestępcy naklejają je na oryginalne kody umieszczone w miejscach publicznych (na przykład na plakatach reklamowych). Przy pomocy fałszywego kodu QR próbowano m.in. rozprzestrzenić wirusa w systemie Android. Sposobem na przemycenie szkodliwego kodu do smartfonów może być również osadzenie go w grach.

Anonimowość przestępcy, która osłabia czujność potencjalnych ofiar, sprawia, że Internet jest przestrzenią często wybieraną na działalność niezgodną z prawem. Poza wirtualną rzeczywistością wielu zagrożeń ze strony innych osób można uniknąć na przykład dzięki analizie mowy ciała, która ostrzega rozmówcę przed kłamstwem lub próbą manipulacji. W Internecie taka analiza jest niemożliwa, natomiast nieuczciwy przekaz jest wzmocniony przez perswazję przy pomocy słów czy obrazów. Dlatego w Sieci łatwiej paść ofiarą wyłudzenia.

Tego typu oszustwa często dotyczą branży e-handlu. Narażają się na nie osoby wysyłające pieniądze przed otrzymaniem towaru kupionego w sklepie internetowym lub wylicytowanego w serwisie aukcyjnym. Może się zdarzyć, że kupujący zamiast nowego smartfona dostaje puste pudełko lub na próżno czeka na przesyłkę z towarem. Według najnowszego raportu RSA, działu zabezpieczeń firmy EMC produkującej systemy zarządzania i przechowywania danych, jest to sektor najbardziej narażony na nadużycia[3]. Według prognoz firmy doradczej Aite Group straty poniesione w związku z oszustwami w e-handlu wyniosą w tym roku 2,9 mld dolarów[4]. Można się jednak przed nimi bronić np. sprawdzając wiarygodność sklepu: wystarczy przeczytać internetowe komentarze na jego temat. Nie zaszkodzi również zapoznać się z regulaminem e-sklepu, zwracając szczególna uwagę na zasady płatności czy możliwość zwrotu zakupionego towaru[5]. Warto też poznać prawa konsumenta i obowiązki e-sprzedawców, na przykład odwiedzając witrynę Urzędu Ochrony Konkurencji i Konsumentów. Należy podkreślić, że nieuczciwi sprzedawcy stanowią marginalną część w stosunku do uczciwych.

Popularną formą manipulacji jest nakłanianie internauty do tzw. nieświadomego kliknięcia. Na przykład jeden z serwisów rozsyłał do przedsiębiorców mail z linkiem przekierowującym do regulaminu witryny edukacyjnej. Regulamin zaczynał się od informacji dotyczącej cookies - czytelnik przyzwyczajony do tego typu powiadomień automatycznie klikał przycisk “akceptuję”, nie zauważając, że jednocześnie wyraża zgodę na poniesienie kosztów korzystania z serwisu. Po jakimś czasie przedsiębiorcy otrzymywali wezwanie do zapłaty, a ich dane były umieszczane w serwisie rejestrującym dane osób podejrzanych lub oskarżonych o dokonanie oszustwa[6].

Inny przykład to tzw. ukryte subskrypcje. Niektóre strony oferują darmowe oprogramowanie, które można pobrać pod warunkiem wypełnienia formularza rejestracyjnego. Znajduje się w nim pole, którego zaznaczenie potwierdza akceptację warunków pobierania programów. Tych warunków zazwyczaj nikt nie czyta, zakładając, że zawierają mało istotne i powtarzające się na wszystkich podobnych stronach treści. W przypadku ukrytych subskrypcji akceptacja warunków może jednak oznaczać na przykład wykupienie dwuletniego wsparcia technicznego. Po jakimś czasie internauta otrzymuje wezwanie do zapłaty.

W podobny sposób oszukują przedsiębiorców nieuczciwe rejestry internetowe. Wysyłają do potencjalnych ofiar pisma oferujące możliwość darmowego umieszczenia informacji o przedsiębiorstwie na należącej do nich stronie. W rzeczywistości usługa nie jest bezpłatna, ale informacja o tym jest niemal niedostrzegalna lub sformułowana w sposób niejasny. Jeśli przedsiębiorca odeśle do właściciela rejestru wypełniony formularz, otrzyma fakturę opiewającą na kwotę niewspółmiernie wysoką w stosunku do świadczonej usługi.

Pułapki w Internecie – jak je rozpoznać i jak się bronić

Najlepsze metody obrony

Strategia zabezpieczenia przed cyfrową przestępczością zależy od rodzaju zagrożenia. W przypadku ataków z Sieci dobrą ochronę zapewnia oprogramowanie antywirusowe. Trzeba jednak dbać o jego częstą aktualizację - tylko dzięki temu wykryje ono najnowsze wersje zagrożeń. Można też zrezygnować z aplikacji i platform zawierających luki w systemie bezpieczeństwa i szczególnie ulubione przez wirtualnych przestępców. Należy do nich popularna niegdyś Java: nawet programistom znanych firm zdarzało się zainfekować swoje narzędzia pracy tak zwanymi trojanami ukrytymi na stronach przeznaczonych dla użytkowników Javy. O bezpieczeństwo w Sieci dbają na szczęście nie tylko prywatni użytkownicy. Niektóre firmy finansowe stosują narzędzia chroniące własną infrastrukturę informatyczną przed oszustwami internetowymi, oferując równocześnie ochronę na urządzeniach klientów. Niestety, 30% takich firm nie rozważało nawet inwestowania w podobne zabezpieczenia[7]. Tymczasem liczba ataków mających na celu dane finansowe indywidualnych klientów nieustannie wzrasta.

Nawet najlepsze cyfrowe zabezpieczenia nie zdejmują odpowiedzialności z użytkowników Internetu. Poruszając się w globalnej Sieci, należy jako standard postępowania przyjąć zasadę ograniczonego zaufania. Na przykład przeprowadzając operacje finansowe online, lepiej korzystać z własnych, a nie ogólnie dostępnych urządzeń. Cudzy komputer czy smartfon mógł bez wiedzy właściciela zostać zainfekowany trojanem wykradającym dane. Duża doza podejrzliwości przyda się również przy e-zakupach: warto być ostrożnym polując na promocje i niepowtarzalne okazje, bo e-oszuści liczą na osłabienie czujności klientów omamionych niską ceną. Nie warto również wysyłać istotnych danych osobowych (serii i numeru dowodu osobistego) komuś, kto przez Internet oferuje wyjątkowo atrakcyjną pracę. Obietnica wysokich zarobków przy niewielkim obciążeniu obowiązkami to socjotechniczny wabik. Poszkodowany przez tego typu nadużycie powinien jak najszybciej złożyć zawiadomienie o popełnieniu przestępstwa na najbliższej komendzie policji. Warto też uzyskać potwierdzenie zgłoszenia zdarzenia z wypisana na nim datą. W Kodeksie karnym takie przestępstwo nosi nazwę kradzieży tożsamości i jest ścigane na mocy art. 190a § 2 kk[8]. Moment zgłoszenia policji wyłudzenia danych może okazać się istotny, jeśli ktoś np. zaciągnie kredyt posługując się skradzionym nr PESEL. W takiej sytuacji to poszkodowany musi udowodnić, że nie brał kredytu, którego spłaty domaga się oszukany bank. Do kategorii „kradzież tożsamości” należy również utrata danych wskutek działania złośliwego oprogramowania. W tej sytuacji znajduje zastosowanie Rozdział XXXIII Kodeksu karnego obejmujący takie przestępstwa jak szpiegostwo komputerowe – hacking, cracking, sniffing, phishing[9].

 

Minimalizowanie strat

Gdy oszust okaże się sprytniejszy, można próbować złagodzić skutki przestępstwa. Internauta, który wykonał tak zwane nieświadome kliknięcie, powinien zignorować kolejne wezwania do zapłaty i jednocześnie wysłać (listem poleconym z potwierdzeniem odbioru) do nękającej go firmy pismo o popełnieniu błędu w oświadczeniu woli. Sprawy tego typu rzadko kończą się w sądzie, bo nieuczciwi przedsiębiorcy z reguły zadowalają się kwotami otrzymanymi od osób, które dadzą się zastraszyć przez monity. Tymczasem wymuszanie pieniędzy przez grożenie wszczęciem postępowania karnego jest nielegalne. W 2013 r. Sąd Ochrony Konkurencji i Konsumentów rozstrzygnął w ten sposób sprawę portalu pobieraczek.pl, potwierdzając stanowisko prezesa Urzędu Ochrony Konkurencji i Konsumentów[10].

Każde nadużycie warto zgłaszać na policję. Szansę na odzyskanie pieniędzy zwiększa dostarczenie wszystkich dowodów związanych z transakcją (korespondencji, faktur, potwierdzenia przelewów). Przestępstwa w Sieci, chociaż dokonywane przez osoby, którym łatwo o anonimowość, nie są bowiem niewykrywalne. W maju tego roku międzynarodowa policja aresztowała 97 hakerów odpowiedzialnych za rozprzestrzenianie trojana Blackshades, 230 przestępców handlujących niebezpiecznymi lekami w nielegalnych aptekach internetowych oraz spamera, który obiecując swoim ofiarom cenną kartę podarunkową zaszkodził reputacji sieci Walmart.

Pojawienie się Internetu nie zwiększyło liczby przestępstw, lecz raczej zmieniło ich charakter. Wraz z nowymi zagrożeniami powstają jednak sposoby na ich zwalczanie. Świadome korzystanie z globalnej Sieci oznacza dziś umiejętne stosowanie wiedzy o potencjalnych niebezpieczeństwach.

 

Autor: Monika Kaczorowska



[1] Taki obowiązek nakłada na nich ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (art. 20 ust. 1 pkt. 2), http://isap.sejm.gov.pl/DetailsServlet?id=WDU20021441204 (dostęp 28.09.2014)

[2] B. Marek, Czy HTTPS daje bezpieczeństwo?, spiderweb.pl, 09.12.2013, http://www.spidersweb.pl/2013/12/https.html (dostęp (22.09.2014)

[3] C. Tchorek-Helm, Trendy w oszustwach w handlu internetowym 2014, 21.08.2014, itreseller.pl, http://itreseller.pl/artykuly/trendy/item/3520-trendy-w-oszustwach-w-handlu-internetowym-2014 (dostęp 22.09.2014)

[4] Ibidem

[5] Jak nie dać się oszukać w sieci?, Biznes.pl, 08.02.2013, http://biznes.pl/magazyny/handel/e-handel/jak-nie-dac-sie-oszukac-w-sieci,5418025,magazyn-detal.html, (dostęp 22.09.2014)

[6] Strona ta, należąca do mężczyzny dokonującego opisanych nadużyć, zniknęła już z Sieci. Strona oszusci.org już nie działa. Przedsiębiorcy mogą odetchnąć, Wyborcza.biz, 18.08.2014,http://wyborcza.biz/biznes/1,100896,16490790,Strona_oszusci_org_juz_nie_dziala__Przedsiebiorcy.html (dostęp 22.09.2014)

[7] Większość firm finansowych nie zabezpiecza swoich klientów, Interia.pl, 07.09.2014, http://nt.interia.pl/internet/news-wiekszosc-firm-finansowych-nie-zabezpiecza-swoich-klientow,nId,1495798, (dostęp 22.09.2014)

[8] Interpelacja w sprawie procederu wyłudzania poufnych danych osobowych w sieci internetowej, MaciejOrzechowski.pl, 29.03.2012, http://www.maciejorzechowski.pl/14502/interpelacja-w-sprawie-procederu-wyludzania-poufnych-danych-osobowych-w-sieci-internetowej.html, (dostęp 22.09.2014)

[9] Ochrona informatyczna danych - "phishing" i kradzież tożsamości, Policja.pl, 12.20.2010, http://www.policja.pl/pol/kgp/bsk/dokumenty/cyberprzestepczosc/58792,Ochrona-informatyczna-danych-phishing-i-kradziez-tozsamosci.html, (dostęp 22.09.2014)

[10] Pobieraczek.pl: UOKiK ponownie wygrywa w sądzie, UOKIK, 12.12.2013, http://83.238.108.13/aktualnosci.php?news_id=10750&news_page=3, (dostęp 22.09.2014)

___ Wydrukuj
PODZIEL SIĘ:


Prawa konsumenta

Mikroporady.pl

CEIDG

EU-GO

Mikroporady.pl



Formularz zgłaszania uwag

Portal "e-PUNKT" - www.e-punkt.gov.pl



Punkt kontaktowy jest skierowany w szczególności do sektora MSP usług elektronicznych oraz internautów - odbiorców tych usług. Jego głównym zadaniem jest świadczenie usług informacyjnych z zakresu prawa obrotu elektronicznego. Zadanie finansowane jest przez Ministerstwo Gospodarki ze środków budżetu państwa.