Wstępny zarys teoretyczny
Na początku należy skupić się na pojęciu wyłudzenia internetowego oraz na działaniach podejmowanych przez oszustów. Zjawisko to nazywane jest phishin-giem. By dokonać efektywnego wyzyskania poufnych danych osób korzystających z portali społecznościowych należy stosować praktyki socjotechniczne (ang.
Social engineering). Użytkownicy ulegają szkodliwemu działaniu wyspecjalizo-wanych programów i algorytmów funkcjonujących bez wiedzy właściciela konta.
Przejęcie profilu bądź skopiowanie danych może doprowadzić do realnego zagro-żenia zaczynając od niszczenia dobrej opinii użytkownika, kończąc na całkowitym przejęciu profilu w celach marketingowych (kasowanie danych użytkownika i tworzenie reklam dla znajomych poszkodowanego) lub dodawaniu materiałów kompromitujących go. W sytuacji przejęcia konta, dosyć nieprzyjemną może być sytuacja, gdzie wypływają obraźliwe treści, szantaż innych osób czy znęcanie się1. Czyny te są prawnie zabronione i opisane w art. 190a § 2 kodeksu karnego, grożą za nie kary pozbawienia wolności od 6 miesięcy do 8 lat dla osoby podszywającej się pod wizerunek osoby poszkodowanej w celach wyrządzenia szkody material-nej lub pogorszenia opinii2.
Niebezpieczeństwa dotykające danych osobistych zostały zaobserwowane również przez organy Unii Europejskiej po 2009 roku, co było powodem do wy-dania opinii. Ustalała ona konieczność ujednolicenia zasad wykorzystujących dane osobowe przez administratorów portali oraz reklamodawców. Opinia wskazuje powinność kasowania danych użytkownika przez zarządcę portalu zaraz po usu-nięciu konta. Wynika to z tego, że wiele portali zamieszcza zawiłe, obszerne i skomplikowane regulaminy, które mają na celu wprowadzenie w błąd użytkow-nika przez specyficzne zawarte w nich warunki. W większości przypadków użyt-kownicy nie mają świadomości na co się zgadzają akceptując warunki umowy3.
Metody i rodzaje wyłudzeń na portalach społecznościowych Aby skutecznie dokonywać wyłudzeń w sieci sprawcy są zmuszani do nieu-stannego wymyślania nowych metod. Tworzy to ogromne zagrożenie dla użyt-kowników portali, a także utrudnia zwalczanie internetowych przestępców. Gdy organy ścigania opanują metody i techniki na ujęcie sprawcy, ten zdąży już posłu-giwać się innym sposobem kradzieży. W historii funkcjonowania social media po-wstało bardzo wiele typów oszustw, a poniższe zestawienie prezentuje najczęściej używane techniki.
Kradzież tożsamości – stosunkowo prosta metoda wyłudzenia polegająca na wykradaniu danych osobowych (np. numer PESEL, numery kart, informacji o kon-tach bankowych) lub działaniach mających zaszkodzić dobremu imieniu ofiary.
Osoby wykradające dane wrażliwe mogą posłużyć się nimi do otworzenia nowego rachunku bankowego lub kradzieży środków z istniejącego rachunku lub opłacić inne swoje rachunki kosztem poszkodowanego4. Zdarzają się również sytuacje gdzie publikowane z konta użytkownika są materiały zachęcające do kliknięcia
1 http://yadda.icm.edu.pl/yadda/element/bwmeta1.element.baztech-39679cf9-0b59-4752-82c0-38d0bbd280ce/c/Gruber_Jozwiak_ZNPSL_Org._Zarz._63a_2012.pdf (dostęp: 05.05.2020 r.).
2 Art. 190a ustawy z dnia 6 czerwca 1997r. Kodeks karny (Dz.U. z 1997 r., nr 88, poz. 553 ze zm.).
3 K. Garwol, Portale społecznościowe – szanse i zagrożenia dla młodego człowieka, Wydawnictwo UR, Rzeszów 2016, s. 186–187.
4 https://www.westernunion.com/pl/pl/fraudawareness/fraud-types.html (dostęp: 05.05.2020 r.).
145 w artykuł, który w rzeczywistości zawiera w sobie szkodliwe oprogramowania wykradając wrażliwe dane kolejnej osoby, która otworzy daną witrynę5.
Nigeryjski przekręt – jeden z najbardziej klasycznych i najstarszych sposo-bów na wyłudzenie pieniędzy. Potencjalna ofiara otrzymuje wiadomość napisaną źle sformułowanym językiem polskim lub też w innym języku od osoby bogatej z innego kraju (afrykańskiego bądź azjatyckiego), która ma kłopoty w swoim kraju i potrzebuje pomocy obywatela Polski w celu założenia konta bankowego. Polega to na wymuszeniu uiszczenia drobnej opłaty manipulacyjnej lub podania numeru karty kredytowej w zamian za sporą sumę pieniędzy jako prowizję za pośrednic-two. Takie działanie pozwalało sprawcy na zyskanie owej opłaty manipulacyjnej, a w najgorszym przypadku, wyczyszczenia środków na koncie. Mimo tego, że sam pomysł brzmi niedorzecznie, to jest on skuteczny i posiada on kilkadziesiąt swoich odmian6 (rys. 1).
Rys. 1. Przykładowe wiadomości z wykorzystaniem „Nigeryjskiego przekrętu”
Źródło: https://plblog.kaspersky.com/phishing-spam-hooks/10141/(dostęp: 05.05.2020 r.).
5 https://poradnikprzedsiebiorcy.pl/-wyludzanie-danych-osobowych-zagrozenia (dostęp: 05.05.
2020 r.).
6 Tamże.
Fałszywe powiadomienia z portali społecznościowych – sposób polega na wysyłaniu przez oszustów fałszywych powiadomień pod adresem popularnych portali. W treści powiadomień poruszane są tematy ich znajomych lub aktywności.
Rzeczą która odróżnia te powiadomienia od prawdziwych jest odnośnik phishin-gowy, który często jest trudny do odróżnienia. Włączając wadliwe powiadomienie ofiara jest zmuszona do uwierzytelnienia swoich danych i podania hasła na fałszy-wej stronie do logowania. Takie działanie otwiera furtkę sprawcom na swobodne wejście na profil społecznościowy ofiary7 (rys. 2).
Rys. 2. Przykładowe próby uwierzytelnienia konta za pomocą fałszywego powiadomienia Źródło: https://plblog.kaspersky.com/phishing-spam-hooks/10141/ (dostęp: 05.05.2020 r.).
Metoda na BLIK – początkowo polega na włamaniu się na konto poszkodo-wanego na portalu społecznościowym, a następnie wysyłaniu do najbliższych zna-jomych ofiary prośby o przelanie pieniędzy z różnych przyczyn. Równie znanym sposobem jest publikowanie na grupach osób sprzedaży losowego przedmiotu i prośba o przelanie pieniędzy BLIK-iem ponieważ oszust tłumaczy się, że prze-bywa za granicą, więc tradycyjny przelew będzie zbyt kosztowny. Sprawca prosi o podanie kodu i zatwierdzenie transakcji przez nieświadomą ofiarę, po czym do-ładowuje wirtualny portfel w serwisie Skrill8. Metoda ta bazuje głównie na ludz-kiej naiwności i jest obecnie najczęściej stosowaną metodą na wyłudzanie pie- niędzy (rys. 3).
7 https://plblog.kaspersky.com/phishing-spam-hooks/10141/ (dostęp: 05.05.2020 r.).
8 https://fintek.pl/przekret-blika-metoda-wyludzania-pieniedzy/ (dostęp: 05.05.2020 r.).
147
Rys. 3. Przykładowa wiadomość od oszusta posługującego się metodą BLIK Źródło: http://www.policja.pl/pol/aktualnosci/184677,Nie-podawaj-kodu-BLIK.html
(dostęp: 05.05.2020 r.).
SCAM – SCAM to oszustwo mające na celu wzbudzenie zaufania czy cieka-wości poszkodowanego, a następnie wykorzystanie tego zaufania do wyłudzenia danych osobowych lub pieniędzy. SCAM-owy post charakteryzuje się szokującą, intrygującą, obrzydzającą treścią, a zwłaszcza emocjonującym nagłówkiem zachę-cającym do kliknięcia na daną witrynę. Taki post zawiera również ciekawe zdjęcie nawiązujące do treści nagłówka. Często pojawia się znajomo brzmiąca postać z mediów, lecz w rzeczywistości nie chodzi o nikogo znanego. Pod nagłówkiem zamieszczany jest też krótki opis potęgujący wrażenie prawdziwości informacji.
Najbardziej częstym zagrożeniem związanym ze SCAM-em jest zmanipulowanie odbiorcy do podania swoich danych, aby móc przeczytać artykuł, np. podanie e-maila, który zapewne trafi do SPAM-iarskiej bazy kontaktów, przez co skrzynka odbiorcza tej osoby zostanie zasypana dziwnymi wiadomościami lub reklamami.
W przypadku podania numeru telefonu może okazać się, że będzie pobierana jed-norazowa lub cykliczna opłata, którą będzie trudno dezaktywować. Niektóre strony posiadają również wirusa, który będzie udostępniał ten i inne posty na ta-blicy poszkodowanego tworząc łańcuch osób odwiedzających niebezpieczną stronę9 (rys. 4).
9 https://annamariawisniewska.pl/jakie-zagrozenia-czyhaja-na-ciebie-na-facebooku-scam-jako- jedno-z-nich/ (dostęp: 05.09.2020 r.).
Rys. 4. Przykładowy post SCAM-ujący na portalu Facebook
Źródło: https://annamariawisniewska.pl/jakie-zagrozenia-czyhaja-na-ciebie-na-facebooku- scam-jako-jedno-z-nich/ (dostęp: 05.09.2020 r.).
Rys. 5. Informacja nakazująca uiszczenie opłaty za „dezynfekcję” paczki Źródło: opracowanie własne.
149 Fałszywe strony – osoby poszkodowane otrzymują wiadomość z linkiem in-formującym o braku zapłaty lub o konieczności dopłaty danej kwoty do rachunku.
Po kliknięciu w link ukazuje się strona dostawcy np. usług telefonicznych, na któ-rej widnieje gotowy do wydruku przelew, gdzie trzeba tylko wpisać swoje dane i zapłacić rachunek. W rzeczywistości jest to niemalże identyczna strona interne-towa, która różni się jedynie numerem konta bankowego, a oszuści zyskują pełną kwotę lub niewielką dopłatę, dzięki której są w stanie włamać się na konto ban-kowe i je wyczyścić10 (rys. 5).