Oszustwo komputerowe i jak się przed nim bronić?

Postęp technologiczny wiąże się nie tylko z szeregiem korzyści, ale również ciągnie za sobą wiele nowych zagrożeń. Jednym z takich zagrożeń są ataki hakerskie, które zmierzają do osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody. Szczególnie chodzi o różnego rodzaju włamania na konta internetowe, systemy bankowości elektronicznej czy wyłudzenie danych niezbędnych do logowania.

W celu przeciwdziałania powyższym atakom ustawodawca wprowadził do kodeksu karnego przestępstwo tzw. oszustwa komputerowego. Dodanie do kodeksu karnego nowego przestępstwa stało się niezbędne, ponieważ sprawcy w/w czynu zabronionego swoim zachowaniem nie wyczerpywali znamion tradycyjnego przestępstwa oszustwa z art. 286 k.k., dla którego zaistnienia niezbędne jest doprowadzenie innej osoby do niekorzystnego rozporządzenia własnym lub cudzym mieniem za pomocą wprowadzenia jej w błąd albo wyzyskania błędu lub niezdolności do należytego pojmowania przedsiębranego działania.

W niniejszym artykule omówione zostaną więc szczegółowo znamiona przestępstwa oszustwa komputerowego stypizowanego w art. 287 § 1 k.k. oraz jeden z jego rodzajów, tzw. “phishing”.

Czym jest oszustwo komputerowe?

Zgodnie z treścią art. 287 § 1 k.k., kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Z uwagi na złożony charakter tego przepisu, pociągnięcie do odpowiedzialności sprawcy przestępstwa oszustwa komputerowego uzależnione jest od spełnienia kilku warunków. Dla prawidłowego zrozumienia przesłanek odpowiedzialności karnej sprawcy koniecznym jest omówienie każdej z nich z osobna.

Zachowanie sprawcy przestępstwa oszustwa komputerowego polega na:

• wpływaniu bez upoważnienia na automatyczne gromadzenie, przetwarzanie lub przekazywanie danych informatycznych albo
• zmianie zapisu danych informatycznych,
• usunięciu zapisu danych informatycznych bądź
• wprowadzeniu nowych zapisów danych informatycznych.

Wpływanie to inaczej wywieranie wpływu i to zarówno z sensie negatywnym (w celu wyrządzenia szkody), jak i w sensie pozytywnym (np. korekta błędnych danych).

Automatyczne przetwarzanie to automatyczne, a więc bez udziału czynnika ludzkiego, opracowywanie. Gromadzenie to zbieranie, a przekazywanie to zmiana miejsca przechowywania danych.

Natomiast zmiana zapisu to wprowadzanie nowych treści, eliminowanie fragmentów dotychczasowej treści zapisów.
Usuwanie zapisu to wyeliminowanie go, a wprowadzenie nowych zapisów to zachowanie powodujące stworzenie treści, które nie istniały przed podjęciem zachowania przez sprawcę.

WAŻNE! Czynność sprawcza ma być realizowana bez upoważnienia!

Dane informatyczne w świetle w/w przepisu to zapisy na komputerowych nośnikach informacji, przy czym rodzaj nośnika nie ma znaczenia. Zgodnie z definicją legalną, zawartą w art. 1 lit. b konwencji o cyberprzestępczości, dane informatyczne oznaczają dowolne przedstawienie faktów, informacji lub pojęć w formie właściwej do przetwarzania w systemie komputerowym, łącznie z odpowiednim programem powodującym wykonanie funkcji przez system informatyczny.

Przedmiotem czynności wykonawczej oszustwa komputerowego są informacje, na których automatyczne gromadzenie, przetwarzanie lub przesyłanie sprawca wpływa, lub komputerowy nośnik informacji, na którym sprawca zmienia, usuwa lub wprowadza zapis.

Przestępstwo oszustwa komputerowego jest przestępstwem umyślnym, należącym do kategorii tzw. przestępstw kierunkowych. Ustawa wymaga bowiem, aby zachowanie się sprawcy ukierunkowane było na określony cel, którym jest albo osiągnięcie korzyści majątkowej, albo wyrządzenie innej szkody podmiotowi, którego praw majątkowych dotyczą zakodowane w odpowiedni sposób informacje. Korzyść majątkową postrzegać należy, jako każde przysporzenie majątkowe, tj. zwiększenie aktywów lub zmniejszenie pasywów. Przez szkodę w rozumieniu znamion przestępstwa określonego w art. 287 § 1 k.k. należy rozumieć szkodę majątkową, a więc uszczerbek w majątku albo utracone korzyści.

Do zrealizowania znamion typu czynu zabronionego z art. 287 § 1 k.k. nie jest konieczne powstanie szkody majątkowej po stronie podmiotu, którego stanu majątkowego dotyczą informacje, na które wpływa lub które zmienia sprawca.

WAŻNE! Skutek przestępstwa następuje już w chwili wpłynięcia na automatyczne przetwarzanie, gromadzenie lub przesyłanie informacji albo w momencie dokonania zmiany, usunięcia albo wprowadzenia nowej informacji na komputerowy nośnik informacji.

Z powyższego wynika, że przestępstwo przewidziane w art. 287 § 1 k.k. różni się od klasycznego oszustwa dwoma elementami:

1. przepis art. 287 § 1 k.k. nie wymaga podejmowania przez sprawcę jakiegokolwiek oddziaływania na osobę w celu doprowadzenia jej do niekorzystnego rozporządzenia własnym lub cudzym mieniem,
2. przepis art. 287 § 1 k.k nie wymaga dla dokonania przestępstwa skutku w sferze mienia w postaci niekorzystnego rozporządzenia mieniem lub uzyskania przez sprawcę bądź inną osobę jakiegokolwiek przysporzenia majątkowego lub pogorszenia sytuacji podmiotu, którego prawa majątkowe odzwierciedlane są przez zapisy danych informatycznych.

Phishing jako jeden z rodzajów przestępstwa oszustwa komputerowego.

Do oszustw w cyberprzestrzeni wykorzystywane są przede wszystkim ataki typu phishing. Phishing jest to jedna z najpopularniejszych metod, wykorzystywanych przez cyberprzestępców do wyłudzenia wrażliwych danych.

W wyniku tego typu ataku pokrzywdzony może stracić dostęp do konta mailowego, rachunku bankowego, profilu społecznościowego, itp. Oszuści dążą do uzyskania tą metodą cennych informacji, tj. login, hasło, numer karty kredytowej, PESEL, itp.

Nazwa nie bez powodu budzi skojarzenie z “fishingiem”, czyli łowieniem ryb. Metoda ta opiera się na przynęcie zarzucanej przez sprawcę przestępstwa, jaką jest specjalnie przygotowana wiadomość e-mail lub SMS. Cyberprzestępcy podszywają się w takiej wiadomości najczęściej pod znajomych, operatorów telekomunikacyjnych, banki, firmy kurierskie, itp., w celu wyłudzenia naszych danych do logowania na konto bankowe, portal społecznościowy, czy inny użytkowany przez nas system.

Za pomocą przygotowanej wiadomości przestępcy próbują nakłonić swoją ofiarę do kliknięcia w umieszczony w wiadomości link, który prowadzi do strony internetowej stworzonej przez oszustów. Jest ona łudząco podobna do autentycznej strony internetowej firmy czy instytucji, od której rzekomo pochodzi wiadomość – ale tak naprawdę stanowi pułapkę zastawioną na ofiarę. Kliknięcie w przesłany link prowadzi do fałszywej strony, za pomocą której przestępcy uzyskują dane, udostępnione przez samą ofiarę.

Często zdarza się również, że cyberprzestępcy, w celu uzyskania danych, rozsyłają fałszywe maile, których treść nakłania odbiorców do pobrania szkodliwego pliku, umieszczonego w załączniku.

Dla prawidłowego zrozumienia metod, jakimi posługują się sprawcy oszustwa komputerowego, poniżej wskażę kilka przykładów phishingu:

1. sprawca podszywa się pod firmę kurierską i wysyła do ofiary wiadomość sms lub e-mail z linkiem, pod którym można uzyskać informację na temat statusu przesyłki. W momencie kliknięcia w link urządzenie ofiary zostaje zainfekowane oprogramowaniem, które wykrada dane uwierzytelniające do kont bankowych, aplikacji internetowych czy portali społecznościowych,
2. sprawca podszywa się pod serwis transakcyjny, wysyłając wiadomość e-mail z załącznikiem stanowiącym tzw. “potwierdzenie płatności”. Pobranie pliku wiąże się z instalacją złośliwego oprogramowania, które przejmuje zdalną kontrolę nad urządzeniem ofiary,
3. sprawca wysyła do ofiary wiadomość e-mail łudząco podobną do tej, która pochodzi z jego banku. W wiadomości tej znajduje się załącznik, np. potwierdzenie przelewu, po pobraniu którego sprawca przejmuje kontrolę nad dostępem do danych ofiary.

Jak radzić sobie z phishingiem?

Dla ochrony swoich danych przed sprawcami cyberprzestępstw należy postępować w następujący sposób:

1. dopóki nie masz pewności co do nadawcy wiadomości, nie klikaj w jakikolwiek przesłany link, nie pobieraj również żadnych załączników,
2. nie udostępniaj nikomu swoich danych, loginów i haseł,
3. zanim otworzysz załącznik przeczytaj dokładnie wiadomość i zastanów się, czy faktycznie może pochodzić np. z twojego banku, od znajomego, czy z firmy kurierskiej,
4. zawsze dokładnie przeczytaj adres nadawcy- wiadomości mailowe od cyberprzestępców często różnią się np. literą w nazwie strony internetowej bądź zawierają niepełną nazwę firmy czy instytucji,
5. jeżeli masz wątpliwości co do pochodzenia wiadomości od danej firmy czy instytucji, upewnij się kontaktując się z jej przedstawicielem,
6. uważaj na wiadomości, w których nadawca nakłania Cię do natychmiastowego działania, np. “wyślij dane w ciągu 1 godziny”,
7. banki czy inne instytucje nigdy nie powinny prosić Cię o przesłanie swoich danych osobowych.

WAŻNE! Uważaj na maile z banku czy portalu społecznościowego z prośbą o nagłą zmianę loginu i hasła poprzez kliknięcie w link, bądź wiadomości z prośbą o dokonanie przelewu na podany numer konta.

Podsumowując, rozwój technologiczny pociąga za sobą wiele nowych zagrożeń, z którymi dotychczas organy ścigania nie miały do czynienia. Wprowadzenie nowego typu przestępstwa tzw. oszustwa komputerowego stanowić ma odpowiedź na rosnącą liczbę wyłudzeń naszych danych osobowych w sieci.

Jeżeli padłeś ofiarą cyberprzestępstwa, bądź postawiono Ci zarzut popełnienia w/w czynu – zapraszamy do kontaktu z adwokat Angeliką Rucińską, która gwarantuje fachową pomoc prawną i profesjonalne prowadzenie spraw z zakresu prawa karnego.