2010-02-25 12:04
Prokuratura: nie ma takiego przestępstwa jak phishing
 Oceń wpis
   

Ciekawostka: zdaniem organów ścigania czyn polegający na podrobieniu strony internetowej w celu wyłudzenia haseł i loginów dostępowych -- po prostu phishing jak ten -- można oceniać wyłącznie pod kątem przełamania szczególnego zabezpieczenia danych, czyli art. 267 par. 1 kk, aczkolwiek sprawcy (phisherowi) jakichkolwiek zarzutów i tak nie można postawić, ponieważ użytkownicy korzystający z jego fałszywej strony internetowej... dokonywali logowań dobrowolnie (sic!).

Takie rewelacje można wyczytać w postanowieniu Prokuratury Rejonowej w Zawierciu o umorzeniu dochodzenia z 28 stycznia 2010 r. (RSD-201/09 -- tutaj można kliknąć i poczytać w całości).

prokuratura w zawierciu -- dobrowolny phishing

Ba, mało tego: zdaniem prokuratora Grzegorza Treli o przestępstwie (naruszenia tajemnicy korespondencji?) można mówić tylko wówczas, gdyby sprawca dokonywał zmian lub nowych wpisów w informacjach sporządzonych przez użytkowników serwisu -- czyli, przenosząc to na przykład bankowego phishingu, zdaniem prokuratury przestępstwem byłoby dopiero ściągnięcie sobie pieniędzy z kont bankowych -- zarazem skoro phisher tego nie zrobił, to nie naruszył interesów prawych użytkowników.

z kodeksu karnego:
Art. 267 §1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.
(...)
§ 5. Ściganie przestępstwa określonego w § 1-4 następuje na wniosek pokrzywdzonego.
Art. 269b § 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej,
podlega karze pozbawienia wolności do lat 3.
(...)Przemyślenia tego rodzaju pozwoliły prokuraturze na wydanie postanowienia o umorzeniu postępowania ze względu na brak ustawowych znamion czynu zabronionego (art. 17 par. 1 pkt 2 kpk).
Słowem: dopóki przestępca będzie tylko zbierał dane za pośrednictwem podrobionej strony internetowej, ale nie będzie starał się ich użyć, to nie można mu postawić żadnych zarzutów. Zwłaszcza, że nie ma przełamania lub ominięcia zabezpieczeń -- a nie ma, bo ludzie sami przecież wklepują tam swoje dane...

To coś jak "palił ale się nie zaciągał", lecz w tym przypadku jednak zaciągał (dane), ale nie stwierdzono, iżby coś z nimi robił.

Zadziwiające, że prokurator całkowicie pominął w swoich rozważaniach art. 269b kodeksu karnego, penalizujący wytwarzanie i obrót "narzędziami hakerskimi" oraz pozyskiwanie haseł komputerowych, kodów dostępu i innych danych umożliwiających dostęp do informacji przechowywanych w systemie komputerowym (system ten to zarówno baza użytkowników serwisu społecznościowego jak i ebankowość!) lub sieci teleinformatycznej.

Ale może pominął dlatego, że biorąc pod uwagę taką kwalifikację czynu trzeba by się pewnie bardziej wysilić z uzasadnieniem umorzenia postępowania ze względu na bcp.

Na zakończenie smaczek. Wprawdzie phishing może być dla zawierciańskiej prokuratury za trudny, ale jak powszechnie wiadomo w takiej sytuacji sprawcy robi się kompleksowy kipisz, w trakcie którego zawsze trafią się "dysk HDD oraz płyty CDR z oprogramowaniem komputerowym skopiowanym z naruszeniem prawa autorskiego". A na piractwie... o tak, na piractwie to się prokuratura zna na tyle dobrze, żeby wątek ten wyłączyć z umorzonego dochodzenia w celu prowadzenia w odrębnym postępowaniu.

wyłączenie wątku piractwa

Słuszną linię ma nasza władza, chciałoby się westchnąć...

Komentarze (23)
Tagi prawo autorskie, internet, prawo, przestępczość, bezpieczeństwo, prokuratura, phishing
Kategoria ... stróż prawości
2009-10-13 14:28
Tak wygląda próba wyłudzenia danych klientów banków
 Oceń wpis
   

Media rozpisują się o ataku phishingowym na klientów Banku Zachodniego WBK, tymczasem mnie naszła myśl taka, że być może nie każdy wie jak takie howno wygląda i po czym najłatwiej poznać, że wiadomość pozornie wysłana przez bank tak naprawdę pochodzi od jakichś p-onych piszerów.
Wpadłem na to pomyślawszy, że nie byłoby łowienia naiwnych klientów banków na lewe komunikaty z prośbą o zalogowanie się, gdyby żaden klient się nie dał na to złapać.

Oto ledwie co klienci BZ WBK (i nie tylko -- ja taką wiadomość też dostałem, chociaż klientem Zachodniego już od kilku miesięcy nie jestem) otrzymali prośbę, którą pozwalam sobie poniżej przekleić -- i zacytować. 

przykład próby phishing danych klientów banków

Uaktywnij konto BZ WBK 24

Aby uaktywnic konto BZ WBK 24, nalezy kliknac ponizsze lacze i wprowadzic Numer karty
na wyswietlonej stronie w celu potwierdzenia BZ WBK 24.

Kliknij tutaj, aby uaktywnic konto

BZ WBK 24 mozesz rowniez potwierdzic, logujac sie do swojego konta BZ WBK 24 pod
adresem https://www.centrum24.pl/bzwbk24.html.

Dziekujemy za korzystanie z systemu BZ WBK 24!
Zespol BZ WBK 24.

Podstawowa sprawa, na którą powinniśmy zwrócić uwagę w przypadku otrzymania z banku jakiejkolwiek prośby o weryfikację konta, podanie danych karty czy po prostu hasła i loginu do bankowości internetowej, to:

  • żaden szanujący się bank czy inny serwis w przesyłanej do klientów korespondencji nigdy nie podaje gotowych linków do kliknięcia (polecam ciekawy tekst u Piotra Koniecznego), przeto jeśli chcecie sprawdzić co w banku słychać ZAWSZE należy ręcznie wklepywać adres w przeglądarkę;
  • żaden szanujący się bank nigdy nie poprosi o weryfikację klienta, jego danych etc. w ten sposób (piętnuję w tym miejscu zdarzające się praktyki dzwonienia przez banki z zastrzeżonych bądź nieznanych numerów telefonów -- na szczęście taki Citi od jakiegoś czasu dzwoni ze swojego oficjalnego numeru, który mam wklepany w komórkę, więc jak do mnie dzwonią, by znów zaproponować rewelacyjną pożyczkę gotówkową, to jestem przygotowany na grzeczną acz zdecydowaną odmowę);

oznacza to, że każdą tego rodzaju prośbę czy propozycję -- wrzucamy do kosza; można jednak skontaktować się z bankiem i poinformować go o próbie wyłudzenia danych.

W wiadomości dotyczącej uaktywnienia konta BZ WBK 24 powinny rzucić się Wam w oczy jeszcze takie sprawy:

  • cała treść pozbawiona jest polskich znaczków, mnie aż w oczy bije "mozesz rowniez potwierdzic" -- czego by nie powiedzieć o naszych bankach, takich bubli raczej tam się nie produkuje;
  • nadawcą listela nie jest bank, lecz bliżej nieokreślona "kasirka", zapewne sama w sobie ofiara jakiegoś trojana (ludzie, zróbcie coś ze swoimi komputerami -- jeśli ktoś nie umie/nie chce zainstalować antywirusa czy firewalla na jumanym Windowsie, niech przerzuci się na darmowego Linuksa!);
  • (tu drobna uwaga na marginesie: wysyłka wyciągów elektronicznych w mBanku nadal idzie z serwera mbank.onet.pl -- co mnie troszkę dziwi -- ba, także MultiBank wysyła z tego serwera, co już może być naprawdę mylące);
  • link zachęcający do kliknięcia i rzekomej aktywacji konta faktycznie kieruje do jakiegoś chińskiego portalu Hinet.net (który nb. wymieniany jest na liście źródeł zagrożeń).

Jak więc widać przy minimum trzeźwego pomyślunku przy podejściu do tego rodzaju przesyłek z banku nikt nie powinien dać się oszukać.
Q.E.D.

Komentarze (9)
Tagi internet, prawo, przestępczość, it, bankowość, phishing, konsumenci
Kategoria prawo i życie
O mnie
Olgierd Rudak
Olgierd Rudak, redaktor naczelny i wydawca czasopisma internetowego "Lege Artis". Prawnik, miłośnik ożywionej przyrody, gór, fotografii i psów; posiadacz "prawie" owczarka belgijskiego malinois o imieniu Boss. Z przekonania libertarianin, z wyboru stary kawaler ;-)
Najnowsze komentarze
2012-05-21 15:42
PAWEŁ W.:
e-Sąd: początek przygody (zakładanie konta w e-sad.gov.pl)
Błędy aż wstyd komentować dalej i poprawiać
2012-05-20 01:54
opinie:
O obowiązkowych przeglądach technicznych rowerów
Tak to jest jak poslami sa przypadkowe osoby... a pqrtii Palikota tak jest...
2012-05-20 01:42
opinie:
Pozew o odszkodowanie rozpaczliwą próbą ratowania frekwencji
Ale ten film nie jest wcale taki zły :)
2012-05-19 15:52
kaszuby:
O ptasim mleczku i Ptasim Mleczku® raz jeszcze
Ach ten Wedel kiedy ta firma zajmie się powazniejszymi sprawami. Na swoje zyczenie negatywnie[...]
2012-05-19 15:45
kaszuby:
"Słynne masło roślinne"
Masło roślinne to w sumie olej roślinny. A więc wg mnie jedno można podciągnąc pod drugie..
2012-05-19 15:39
pozyczka:
Alior Bank: fałszowanie regulaminów, kłamstwa i bałagan
Ten bank o klienta jakością obsługi starał się tylko na początku, teraz to już na pewno nie[...]
2012-05-19 15:29
emerytury:
O zrównaniu wieku emerytalnego kobiet i mężczyzn
Tylko problem jest taki, że część ludzi wogolę nie odkładałaby pieniądzy na emeryturę. Albo[...]
2012-05-18 07:28
polokolo:
Stowarzyszenie Lexus i jego prokonsumenckie pozwy
Hmmm.... a ciekawe czy strony prywatne też "podpadają" pod klauzule niedozwolone? Czy je też[...]
2012-05-16 16:07
Polak który ciężką :
Stowarzyszenie Lexus i jego prokonsumenckie pozwy
Ty kurwo!!!!!! Jak ktoś próbuje uczciwie zarabiać na chleb ale nie zna milionów przepisów to[...]
2012-05-15 17:07
fat:
Alior Bank: fałszowanie regulaminów, kłamstwa i bałagan
A dzisiaj nie można wypłacić pieniążków bo 'mają awarię systemu' ... nikt nie wie kiedy[...]
2012-05-15 11:38
jamto:
O ptasim mleczku i Ptasim Mleczku® raz jeszcze
Raz jeszcze o Wedlu. Zapraszam do poczytania jak to Wedel klientów w @$#@# robi :)[...]
2012-05-07 16:29
rozek12:
O obowiązkowych przeglądach technicznych rowerów
I kamizelkę kuloodporną w razie zapuszczania się w tereny zalesione- zawsze może znaleźć się[...]
2012-05-07 15:56
handel emisjami:
O obowiązkowych przeglądach technicznych rowerów
No ale obowiązek jazdy na rowerze w kasku mogliby wprowadzić, czemu nie? I w ochraniaczach na[...]
2012-05-04 23:29
2222:
O Pro Bono i jego pełnomocnictwach, wezwaniach, ugodach...
moze zabrac
2012-05-03 10:53
robal_pl:
O obowiązkowych przeglądach technicznych rowerów
Akurat swiatla to na prawde powinien miec wlaczone jesli jedzie po drodze. I generalnie[...]
2012-04-30 17:57
rocket00:
Jeszcze o wezwaniach wysyłanych przez Hapro Media
Pani Rakieta? :)
2012-04-30 15:29
zjadacz_mleczka:
Świat wg ACTA (ptasie mleczko tango down)
rotfl dokladnie, pozwac - z banku mozna wydrzec miliony!!! A ja tam chromole wedla w p...e[...]
2012-04-30 14:35
rozek12:
O obowiązkowych przeglądach technicznych rowerów
Dajże jakiegoś wpisa Olgierd bo ja (a domniemam że mógłbym użyć "my") czekam wyposzczony.
2012-04-27 14:41
QM music:
Jeszcze o wezwaniach wysyłanych przez Hapro Media
problematic nie jest podstawiony, faktycznie Spółka QM music prowadzi wiele spraw zarówno[...]
2012-04-25 12:38
m852:
Jak pozwać Polbank i nie dać się zwariować ;-)
Mam do Pana pytanie. Zawarłam umowę ubezpieczenia komunikacyjnego z Axa Direct odddział w[...]
2012-04-24 21:13
Alabama:
Świat wg ACTA (ptasie mleczko tango down)
i jak sie to skonczylo?
2012-04-20 18:13
złość:
Zagraj to jeszcze raz na KOBIZE, Sam
dobrze, że tutaj można znaleźć wyjaśnienia Kobize, na oficjalnej stronie już ich nie ma! Jak[...]
2012-04-17 21:10
69motor@gmail.com:
Stowarzyszenie Lexus i jego prokonsumenckie pozwy
Witam wszystkich Dzisiaj moja małżonka dostałą pismo z w/w "Stowarzyszenia". Podana jest[...]
2012-04-16 14:08
rtyrty:
Stowarzyszenie Lexus i jego prokonsumenckie pozwy
to lipa
2012-04-13 09:49
sodoma:
Internet z siedzibą w Warszawie
A do mnie dzwoniła Pani z TPSA i mówiła, że chce ze mną porozmawiać jako z właścicielem internetu :D