W cyberprzestrzeni jesteśmy jak dzieci we mgle: bez szans

Katarzyna Bogucka 4 września 2015, aktualizowano: 04-09-2015 13:17

Uwaga, ofiary cyberprzestępstw! Unia Europejska uznała, że niezgodne z jej prawem jest gromadzenie przez operatora: połączeń, logowań do serwerów, SMS-ów. Oby pojawiły się nowe przepisy...

Unikatowe hasła, aktualizowanie oprogramowania, programy antywirusowe - to podstawa w walce z hakerami

Fot.: 123rf.com


Nie otwieraj maili od nieznajomych, nie klikaj w nieznane linki, nie zostawiaj nazwiska na portalach randkowych, czyść historię odwiedzanych witryn - zwłaszcza po wizycie na stronie swojego banku, często zmieniaj hasła, nie ujawniaj wrażliwych danych, nie publikuj w Internecie zdjęć własnych i rodziny, szczególnie dzieci...


Przykazań bezpiecznego użytkownika sieci jest znacznie więcej, ale i tak żadne z nich nie daje stuprocentowej ochrony. Włamywacze są bezwzględni. Wchodzą na skrzynki mailowe, kradną książki adresowe, a później udają najbliższych znajomych, żeby wyciągnąć pieniądze.

- Przestępcy wykorzystują brak lub słabość zabezpieczeń antywirusowych. Chętnie podłączają się do prywatnych kont, korzystając z hotspotów, dających niemal nieograniczoną anonimowość. Tak było w przypadku jednej z moich koleżanek - mówi prof. Arkadiusz Lach z Katedry Postępowania Karnego Wydziału Prawa i Administracji UMK, kierownik Centrum Badań nad Cyberprzestępczością UMK. Naukowiec otrzymał maila od znajomej z pracy. Alarmowała, że utknęła na lotnisku, że pilnie potrzebuje 50 euro. Mail był napisany po angielsku, co nie było dziwne, z uwagi na jej angielskojęzycznych znajomych. Podejrzenia wzbudziło jednak to, że list był napisany słabym angielskim, a przecież znajoma włada tym językiem świetnie.

- Na podstawie numeru IP udało mi się ustalić, że pisano do mnie... z restauracji w stolicy Nigerii, a przynajmniej ktoś korzystał z tamtejszego hotspotu, więc nawet nie musiał siedzieć w tej knajpce - mówi naukowiec. - Dochodzenie? Ściganie takiej osoby byłoby daremne, na szczęście pieniądze nie zostały przez żadnego z adresatów wiadomości przekazane...

Inną historię opowiada pani Bożena, sprzedawczyni z Torunia. Straciła kontrolę (o ile w ogóle ją miała) nad pocztą elektroniczną. - Dostałam list od administratora portalu. Przepraszał za nieszczelność systemu, za to, że z mojego konta wysyłane były nieprzyjemne wiadomości do osoby prywatnej, zupełnie mi nieznanej! Zaatakowany człowiek groził podobno sądem. Próbowałam dociec, co i do kogo pisało moje konto pocztowe, ale administrator nie chciał tego ujawnić. Zalecił zmienić hasło do konta, najlepiej na mieszane - literowo-cyfrowe i już się więcej nie odezwał. Założyłam skrzynkę pocztową na innej stronie, ale od czasu tamtego incydentu boję się, że jestem przez kogoś podglądana...

Włamanie na randkę


Podglądanie nie jest najgorszą rzeczą, jaką mogą zgotować nam internetowi przestępcy. Ostatnio ujawnili pozamałżeńskie romanse, kradnąc dane z randkowego portalu Ashley Madison (korzystali z niego i bydgoszczanie, i torunianie, a hakerzy zaczęli wysyłać szantażujące listy, żądając pieniędzy. Za szantażem poszła fala samobójstw.), ale na tym nie kończą się działania hakerów.

Cyberwłamywacze czują się swobodnie także poza sypialnią. Próbują paraliżować bardziej i mniej ważne strony instytucji państwowych (w Bydgoszczy np. komendy policji, Administracji Domów Miejskich czy Miejskiego Centrum Kultury). Specjaliści z CERT, pierwszego w Polsce zespołu reagowania na takie zdarzenia (Computer Emergency Response Team), opracowali właśnie raport incydentów z 2014 roku. Piszą w nim, że po raz pierwszy w historii Polska znalazła się w obszarze zainteresowania autorów ataków motywowanych politycznie i wywiadowczo. Na przykład 14 sierpnia 2014 r. Cyber-Berkut przeprowadził atak DDoS na stronę prezydent.pl i gpw.pl (Giełda Papierów Wartościowych), ta sama grupa 11 listopada zaatakowała Komisję Nadzoru Finansowego. Atak DDos (ang. Distributed Denial of Service - rozproszona odmowa usługi) polega na osaczeniu ofiary z wielu miejsc jednocześnie. Przeprowadzają go komputery, nad którymi przejęto kontrolę przy użyciu botów i trojanów. Ofiara jest zasypywana fałszywymi prośbami skorzystania z oferowanych usług. Groźba ataku DDoS bywa używana do szantażowania, np. serwisów aukcyjnych, biur brokerskich, którym przerwa w działaniu systemu transakcyjnego przyniesie straty finansowe.

Trzeba zachować czujność. W zeszłym roku złośliwe oprogramowania poszło do skrzynek mailowych podpisane przez: Allegro.pl, Orange, Play, TMobile, mBank, DHL, Netię, UPC, Pocztę Polską. Do listów dodawano złośliwy załącznik. Jednym z pierwszych polskich złośliwych programów był VBKlip. Jak działał? Gdy klient kopiował w schowku numer konta bankowego, wirus podmieniał go na inny. Zmiana mogła pozostać niezauważona, jeśli nie porównano numeru ze schowka z numerem rachunku, na który miały być przelane pieniądze. Wielu nie porównywało... CERT obliczył, że średnio w ciągu doby w Polsce infekowanych jest 280 tys. komputerów. Rzeczywista liczba jest prawdopodobnie wyższa o kilkanaście procent. Co na to prawo?

Dowody znikną


Profesor Arkadiusz Lach zauważa, że prawo stara się nadążać także za wirtualną rzeczywistością. Jedne zmiany przepisów są dla ofiar ataków korzystne, inne mniej. - W przypadku korzystania z materiałów zawierających pornografię dziecięcą karalne jest dziś już samo wchodzenia na strony z materiałami pornograficznymi. Dotąd prawo penalizowało jedynie osoby ściągające te treści na twardy dysk. Z kolei wiele problemów mogą przynieść zmiany w zakresie dostępu do billingów telefonicznych i danych identyfikujących użytkowników usług telekomunikacyjnych - ostrzega prof. Lach.

Przytacza treść wyroku Trybunału Sprawiedliwości UE z 2014 r. i możliwe jego konsekwencje. W państwach członkowskich UE operatorzy nie będą mogli przez dłuższy okres przechowywać danych klientów (w niektórych już robią to w ograniczonym zakresie) - chodzi m.in. o połączenia, logowanie do serwerów, wysłane SMS-y. W Polsce operatorzy są zobowiązani zachować je przez rok, ale w 2014 r. TK zakwestionował przepisy Ustawy o policji, regulujące dostęp do tych informacji. W rezultacie, w 2016 r. przepisy te mają utracić moc. Jeśli ustawodawca nie wprowadzi nowych regulacji, wykrycie sprawcy i udowodnienie przestępstwa będzie trudne.

Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.