Cyberbezpieczeństwo | Komentarze ekspertów

Czy poszkodowani przez atak phishingowy zawsze mogą dochodzić roszczeń?

Julia Kiełkowska | Kancelaria Answer i Lexdigital
Czy poszkodowani przez atak phishingowy zawsze mogą dochodzić roszczeń?
Julia Kiełkowska z Kancelarii Answer i Lexdigital. Źródło: Kancelaria Answer i Lexdigital
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Rozwój Internetu i związanych z nim udogodnień wiąże się nie tylko z możliwościami dokonywania sprawnych i szybkich transakcji, ale również z zagrożeniami. Jednym z niebezpieczeństw z jakim możemy się zetknąć korzystając z Internetu jest zjawisko phishingu. Nazwa ta budzi skojarzenie z fishingiem oznaczającym łowienie ryb, które poniekąd odzwierciedla zachowania przestępców, którzy w odpowiedni sposób przygotowują "przynętę" wykorzystując takie środki jak oszukańcze wiadomości e-mail lub SMS. Phishing jest aktualnie jednym z najpopularniejszych typów ataków opartych właśnie na wskazanych środkach, podkreśla Julia Kiełkowska z Kancelarii Answer i Lexdigital.

Cyberprzestępcy swoim działaniem zmierzają do wyłudzenia poufnych danych lub nakłonienia ofiary do określonego działania. Oszuści stosujący phishing podszywają się pod daną osobą, fałszują strony internetowe, komunikaty potwierdzające dokonanie określonych czynności w taki sposób, aby wprowadzić ofiarę w błąd, co do tego z kim ma ona aktualnie kontakt, na czyjej stronie internetowej podejmuje działania lub komu ujawnia ona określone dane.

Szczególnym rodzajem phishingu, uznawanym za najbardziej niebezpieczny, jest spear phishing. Jest to atak ukierunkowany na konkretną grupę lub konkretne osoby np. administratorów

Wielu przestępców udaje firmy kurierskie czy operatorów telekomunikacyjnych, jednakże najbardziej niebezpieczne i bolesne w skutkach są działania, które przekonają ofiarę, iż dokonuje prawdziwych transakcji korzystając z autentycznych i bezpiecznych portali internetowych czy aplikacji banków.

Oszuści podszywając się pod strony bankowości internetowej czy operatorów płatności wyłudzają dane, które umożliwią im użycie konta ofiary do rozsyłania nieprawdziwych komunikatów, a także do kradzieży. Wiadomości skierowane do potencjalnych ofiar są tak doprecyzowane, aby podejrzliwość co do ich autentyczności była jak najmniejsza.

Szczególnym rodzajem phishingu, uznawanym za najbardziej niebezpieczny, jest spear phishing. Jest to atak ukierunkowany na konkretną grupę lub konkretne osoby np. administratorów. Ma on na celu wywarcie określonego wpływu bądź wymuszenie dokonania czynności przez ofiarę. Oszuści po uprzednim dokładnym rozpoznaniu sytuacji oraz relacji między np. przedsiębiorcami podają się za partnerów biznesowych, z którymi ofiara współpracuje wyłudzając w ten sposób potrzebne dane do dalszego działania.

Do innych popularnych rodzajów phishingu zaliczyć można:

smishing: rodzaj ataku, podczas którego oszuści wykorzystują komunikatory tekstowe lub SMS-y w celu zwrócenia uwagi ofiary – wiadomości zazwyczaj zawierają linki i polecenie ich kliknięcia albo numer telefonu z poleceniem oddzwonienia w celu odsłuchania wiadomości w skrzynce głosowej – zastosowanie się do zalecenia spowoduje udzielenie dostępu do kont podmiotowi nieuprawnionemu;

vishing: (nazwa pochodzi od angielskiego słowa voice „głos”) ofiara otrzymuje fałszywy telefon na przykład od podmiotu podającego się za pracownika Microsoft, który podczas rozmowy udziela jej nieprawdziwej informacji o zawirusowaniu jej komputera i prosi o podanie określonych danych celem wykupienia lepszego programu antywirusowego bądź wdrożenia procedury naprawczej;

phishing e-mail: jest rodzajem phishingu znanym od lat ‘90. Oszuści wysyłają wiadomości na wybrany, często przypadkowy adres e-mail informując w jego treści o włamaniu na dane konto oraz instruują jakie kroki podjąć poprzez kliknięcie w przesłany adres strony internetowej. Czynność ta co do zasady nie powoduje od razu udostępnienia całych danych, tylko daje oszustom dostęp do kont odbiorcy maila;

phishing wyszukiwarkowy: określany również jako zatrucie SEO bądź trojan SEO. Polega on na podjęciu przez oszustów takich działań, które mają na celu zdobycie wysokiej pozycji w wynikach wyszukiwania wyszukiwarki na przykład Google, Bing, Yahoo. Ofiara widząc stronę internetową przypominającą oryginalną stronę banku klika w podany jej adres, a następnie myśląc, że loguje się do swojej bankowości internetowej podaje oszustom dane potrzebne do przejęcia kontroli nad kontem bankowym.

Czytaj także: Jak oszuści podszywając się pod Związek Banków Polskich, próbują działać na szkodę klientów banków?

Jak rozpoznać fałszywe wiadomości i próby ataku?

Biorąc pod uwagę aktualny rozwój techniki i opisanych powyżej sytuacji ciężko jest wystrzec się wszelkich zagrożeń i ataków ze strony hakerów. Nieświadomość społeczeństwa i brak wiedzy może stanowić dla nich sposobność do działania dlatego tak ważne jest uświadamianie w zakresie problemu jakim jest rozwój phishingu.

Podejmując różnego rodzaju aktywności w Internecie należy postępować rozważnie i mieć świadomość zagrożeń. Zwrócić uwagę należy na najmniejsze niuanse, które dotychczas wydawały się nieistotne, jednakże to one mogą świadczyć o tym, że w danej chwili korzystamy ze strony internetowej stworzonej w celu wyłudzenia od nas pieniędzy, a nie z autentycznej strony naszego banku.

Należy działać szybko ‒ przede wszystkim poinformować odpowiednie podmioty, takie jak na przykład bank czy firma kurierska – w zależności od tego podczas jakich czynności padliśmy ofiarami oszustwa

Do charakterystycznych elementów czy zachowań, które mogą pomóc w uniknięciu phishingu zaliczyć można:

– niepoprawną gramatykę, interpunkcję, pisownię czy również brak polskich znaków
w skierowanych do nas wiadomościach e-mail czy SMS;

– budzące wątpliwości logotypy, stopki z danymi nadawcy w wiadomościach e-mail;

– zaadresowanie wiadomości, komunikatów do „przyjaciela”, „współpracownika” czy „klienta” zamiast oznaczenia konkretnym imieniem i nazwiskiem;

– długie, skomplikowane adresy stron internetowych przesyłane w wiadomościach, mające przekierować ofiarę na przykład do jej bankowości internetowej.

Pomimo stosowania się do różnego rodzaju ostrzeżeń, o których informują nas podmioty na platformach internetowych czy także nasi operatorzy, dokonywane przez oszustów działania mogą wprowadzić nas w błąd i ostatecznie staniemy się ofiarami phishingu.

W takiej sytuacji należy działać szybko ‒ przede wszystkim poinformować odpowiednie podmioty, takie jak na przykład bank czy firma kurierska – w zależności od tego podczas jakich czynności padliśmy ofiarami oszustwa. Ważne jest również zgłoszenie zdarzenia na policję. Podjęte działania mogą pozwolić zredukować negatywne konsekwencje, a czasem także doprowadzić do całkowitego wyeliminowania skutków phishingu.

Czytaj także: BIK ostrzega przed telefonami z fałszywego BIK

Phishing w świetle regulacji prawnych

Dokonując zgłoszenia zaistnienia opisanych czynności dajemy możliwość podjęcia stosownych działań organom ścigania. Samo zjawisko phishingu nie zostało uregulowane w Kodeksie karnym jako osobne przestępstwo, jednak składający się na nie szereg podjętych przez oszustów zachowań mieści się w znamionach przestępstwa z art. 287 §1 k.k., który stanowi: „Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych, podlega karze pozbawienia wolności od 3 miesięcy do lat 5”.

Zaś w przypadku podszywania się pod instytucję bądź inny podmiot przestępca wypełnia znamiona czynu z art. 190a §2 k.k. – oszust podszywa się pod inną osobę, wykorzystuje jej wizerunek lub inne jej dane osobowe celem wyrządzenia jej szkody majątkowej lub osobistej. Popełnienie opisanego czynu zabronionego jest zagrożone karą pozbawienia wolności do lat 3.

W przypadku zaistnienia phishingu bądź próby jego dokonania ważne jest zawiadomienie odpowiednich organów, które mogą podjąć stosowne kroki celem wyciągnięcia konsekwencji

Ściganie przestępcy, który wypełnił znamiona wskazanych przykładowo czynów zabronionych nie jest proste. Podjęte postępowania karne często kończą się umorzeniem, gdyż wykrycie sprawcy jest trudne, a niekiedy nawet niemożliwe. Niepowodzenie na drodze postępowania karnego nie powoduje jednak, że ofiara phishingu nie może dochodzić swoich roszczeń od takich instytucji jak bank. Dotyczy to sytuacji, w której oszust podszywając się pod właściciela rachunku bankowego albo manipulując jego zachowaniem doprowadził do transakcji płatniczej, o której właściciel rachunku mógł nawet nie wiedzieć.

Czytaj także: Cyberprzestępcom wystarczą dane z mediów społecznościowych, nie muszą włamywać się na konta

Ochronę ofiarom phishingu zapewnić mogą przepisy zawarte w ustawie o usługach płatniczych (Dz. U. z 2019 r. poz. 659) (dalej jako u.o.u.p.). Jedną z takich regulacji znajdziemy w art. 45 u.o.u.p., który stanowi, że to na dostawcy użytkownika spoczywa ciężar udowodnienia faktu, że transakcja płatnicza została autoryzowana i zapisana w sposób prawidłowy w systemie zajmującym się obsługą transakcji płatniczych dostawcy oraz fakt, że nie miała na nią wpływu awaria techniczna bądź inna usterka związana z usługą płatniczą zapewnioną przez danego dostawcę, w tym dostawcę świadczącego usługę inicjowania transakcji płatniczej.

Ochronę ofiarom phishingu zapewnić mogą przepisy zawarte w ustawie o usługach płatniczych

To na banku, jako dostawcy, spoczywa obowiązek udowodnienia, że doszło do autoryzacji transakcji, albo że transakcja nieautoryzowana została dokonana na wskutek rażącego niedbalstwa płatnika lub z naruszeniem przez niego obowiązku korzystania z instrumentu płatniczego zgodnie z umową, albo niedopełnienia wymogu niezwłocznego zgłoszenia nieuprawnionego użycia takiego instrumentu.

Podsumowując, w przypadku zaistnienia phishingu bądź próby jego dokonania ważne jest zawiadomienie odpowiednich organów, które mogą podjąć stosowne kroki celem wyciągnięcia konsekwencji. Fakt zgłoszenia zdarzenia może ponadto umożliwić ofierze dochodzenie w przyszłości roszczeń także od instytucji bankowych.

Julia Kiełkowska,

Kancelaria Answer i Lexdigital.

Źródło: aleBank.pl