|
|||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Хищение персональных данныхОгромное количество случаев мошенничества, совершаемых через Интернет и иные информационно-коммуникационные технологии, связано так или иначе с хищением персональных данных, где последнее определено как "мошенничество или иное незаконное действие, когда персональные данные существующего лица используются в качестве основного инструмента без его согласия <82>, "незаконное использование идентификационных данных (имени, даты рождения, адреса, финансовой и иной персональной информации) другого лица, если оно не знает об этом или его согласие не получено" или "присвоение личности другого лица путем хищения персональных идентификационных данных (PII) для совершения мошенничества" или "кражи или присвоения уже существующих личных данных (или их значительную часть) с или без согласия лица, независимо от того, живо оно или умерло". -------------------------------- <82> Определение, предложенное Берт-Жаап Купсом/Рональдом Линсом (2006 г.). См.: URL: http://www.fidis.net/fileadmin/fidis/publications/2006/DuD09_2006_553.pdf. Следующее определение дано в Законе США "О краже персональных данных и сдерживании присвоения" (раздел 18, п. 1028 (а) (7), согласно которому наказывается лицо, которое "осознанно передает или использует, без законного на то права средства идентификации другого лица для совершения или содействия или подстрекательства к незаконной деятельности, которая является нарушением федерального законодательства или тяжким преступлением в соответствии с федеральным или местным законодательством".
В принципе хищение персональных данных можно разделить на три стадии. 1. Получение идентификационной информации, например, путем обычной кражи, поисковых систем, внутренних и внешних атак (незаконный доступ к компьютерной системе, трояны, клавиатурные шпионы, шпионские и иные вредоносные программы) или фишинга и иных техник социального инжиниринга. 2. Владение и распоряжение идентификационными данными, включая продажу такой информации, что в настоящее время играет важную роль для инфраструктуры е-теневой экономики, где самым востребованным товаром является информация о кредитных картах, реквизиты банковских счетов, пароли и т.п. 3. Использование идентификационной информации для совершения мошенничества и иных преступлений, например, путем присвоения личности иного лица для пользования банковским счетом и кредитными картами, открытия новых счетов, получения займов и кредитов, заказа товаров и услуг или распространения вредоносных программ. Фишинг остается одной из основных технологий социального инжиниринга, используемого в Интернете для хищения персональных данных для последующего мошенничества. Разновидности его включают смишинг (обмен смс-сообщениями для получения информации), целенаправленные фишинг (персональные ложные сообщения, направленные на получение данных конкретного человека), фарминг (автоматическое перенаправление пользователя с легитимных на фальшивые сайты для того, чтобы последний раскрыл информацию о себе) и спуфинг (лицо или программа, выдающие себя за других с тем, чтобы войти в доверие и вынудить пользователя ввести свои данные на фальшивом сайте); финансовые учреждения, а также онлайновые платежные системы и интернет-аукционы наиболее уязвимы <83>. Что касается отмывания денег, то каждый должен сообщать о фишинговых атаках, когда полученная информация используется для перевода средств с одного счета на другой <84>. -------------------------------- <83> Согласно данным Ariva, больше всего фишинговым атакам в 2011 г. подвергался PayPal, затем идут другие (например, Ebay, HSBC Bank, Chase Bank и т.д.) URL: http://techblog.avira.com/2011/03/12/phishing-spam-and-malware-statistics-for-february-2011/en. <84> Криминальные денежные потоки в сети Интернет: методы, тенденции и взаимодействие между всеми основными участниками. URL: http://www.eurasiangroup.org.
Антифишинговая рабочая группа сообщает, что за период с июля по декабрь 2009 г. произошло 126700 атак <85>. За две трети из них ответственность взяла преступная фишинг-группа Avalanche, которая использовала технику и инфраструктуру, характерную для большинства фишинг-сайтов, нанеся удар по сорока финансовым учреждениям, онлайн-сервисам и рекрутинговым агентствам для получения идентификационных данных. Более того, ее преступная деятельность включала в себя и распространение вредоносных программ для дальнейшего хищения информации: -------------------------------- <85> URL: http://www.antiphishing.org/reports/APWG_GlobalPhishingSurvey_2H2009.pdf.
"Кроме того, преступники использовали инфраструктуру Avalanche для распространения печально известного трояна Zeus - части сложной вредоносной программы, который внедрялся в фишинг и спам. Zeus - это изначально вредоносная хакерская программа, созданная специально для автоматической кражи персональных данных и несанкционированных операций. Потенциальным жертвам присылается фишинговая приманка, предлагающая обновление популярных программ, файлообменники, загружаемые формы от налоговых органов (например, Налоговое управление США, Королевская налоговая и таможенная служба в Соединенном Королевстве). Если получатель "заглатывает" эту приманку, то его компьютер заражен и преступники получают удаленный доступ к нему, воруют персональные данные, хранящиеся на нем, влияют на пароли и онлайновые операции. Преступники могут даже войти в компьютер потерпевшего и осуществить банковские операции онлайн, используя реквизиты его банковского счета. Для банков очень трудно отнести их к мошенничеству. Сочетание фишинга, вредоносных программ, дополненное спамом, стало одним из злокозненных в Интернете" <86>. -------------------------------- <86> Там же.
Таким образом, мошенничество, связанное с кражей персональных данных, связано прежде всего с воздействием на данные с тем, чтобы обмануть компьютерную систему. Нет консолидированной информации о хищении персональных данных при помощи компьютерных технологий, однако некоторую информацию можно получить из национальных оценок <87>. Из 146664 обращений, полученных американским Центром приема сообщений об интернет-преступлениях и переданных в правоохранительные органы в 2009 г., кража персональных данных шла на втором месте (14,1%) после непоставки товаров (19,9%) <88>. Согласно информации Федеральной комиссии США по торговле, хищение персональных данных являлось основным видом жалоб в 2009 г. (21%, или 278078 из 721418 полученных обращений). Основной формой хищения является мошенничество с кредитными картами (17%), мошенничество с правительственными льготами (16%), телефонное или иное коммуникационное мошенничество (15%) и мошенничество при устройстве на работу (13%). -------------------------------- <87> УНП ООН: "Глобализация преступности: оценка угрозы, которую несет транснациональная организованная преступность" (2010 г.). URL: http://www.unodc.org/documents/data-and-analysis/tocta/TOCTA_Report_2010_low_res.pdf. <88> URL: http://www.ic3.gov/media/annualreport/2009_IC3Report.pdf.
Уголовная полиция Германии также отмечает, что помимо фишинга в части интернет-банкинга (2923 случая зарегистрировано в 2009 г.) используется и кардинг, т.е. использование незаконно полученной информации о пластиковых карточках в целях мошенничества (53 случая), использование номера банковского счета, полученного в результате воздействия на данные для получения доступа к документам, удостоверяющим личность (617 случаев), и незаконное использование данных для доступа к телекоммуникационным системам (3207 случаев) <89>. -------------------------------- <89> URL: http://www.bka.de/lageberichte/iuk/bundeslagebild_iuk_2009.pdf.
Кража персональных данных тесно связана с мошенничеством с платежными картами и незаконным использованием номеров банковского счета.
Меры борьбы с киберпреступностью
Конвенция против киберпреступности была открыта для подписания в Будапеште в ноябре 2001 г. К январю 2012 г. она была ратифицирована 32 государствами (31 европейское государство и США). Кроме того, она была подписана еще 15 странами (11 европейскими, а также Канадой, Японией и ЮАР). Настоящая Конвенция в соответствии со ст. 37 открыта для присоединения государств - членов Совета Европы и не являющихся его членами, а также государств, которые не участвовали в ее разработке. Таким образом, Аргентина, Австралия, Чили, Коста-Рика, Доминиканская Республика, Мексика, Филиппины и Сенегал получили приглашение присоединиться к Конвенции. Кроме того, большое количество государств используют положения Будапештской конвенции для того, чтобы изменить свое законодательство. Конвенция служит основой для борьбы с киберпреступностью, учебным пособием, модельным законодательством и технической помощью. Будапештская конвенция, таким образом, является всеобъемлющей основой для законодательства о борьбе с киберпреступностью. Будапештская конвенция обязывает государства: - криминализовать атаки на компьютерные данные и системы (т.е. незаконный доступ, неправомерный перехват, воздействие на данные и функционирование системы, противозаконное использование устройств <90>), а также преступления, совершенные с использованием компьютерных технологий (включая подлог и мошенничество <91>, детскую порнографию <92> и нарушение авторских и смежных прав <93>); -------------------------------- <90> См.: ст. ст. 2 - 6 Будапештской конвенции против киберпреступности (СДСЕ 185). <91> Статьи 7 и 8 Будапештской конвенции. <92> Статья 9 Будапештской конвенции. Понятие "детская порнография" в контексте борьбы с киберпреступностью очень ограниченно. Преступления, указанные в Конвенции Совета Европы о защите детей от сексуальной эксплуатации и сексуального насилия (СДСЕ 201), предусматривают более широкое определение. <93> См.: ст. 10 Будапештской конвенции.
- предпринять процессуальные законодательные меры для того, чтобы компетентные органы смогли проводить расследование киберпреступлений и сохранить легко изменяемые электронные доказательства наиболее эффективно, включая оперативное обеспечение сохранности данных, обыск и выемку хранимых компьютерных данных, перехват данных и т.д.) <94>; -------------------------------- <94> Процессуальные полномочия применяются не только к преступлениям, предусмотренным ст. ст. 2 - 10 Конвенции. В ст. 14 (2) Будапештской конвенции предусматривается, что процессуальное законодательство применяется ко всем уголовным преступлениям, совершенным при помощи компьютерной системы и сбора доказательств в электронной форме уголовного преступления.
- сотрудничать эффективно с другими странами - участницами Конвенции через общие (выдача, взаимная правовая помощь и другие) и специальные процессуальные меры (оперативное обеспечение данных, доступ к хранящимся данным, перехват телекоммуникационных сообщений, создание контактных центров, работающих 24 часа в сутки семь дней в неделю и другие) для международного сотрудничества. Конвенция была дополнена Протоколом СДСЕ 189 (2003 г.) о ксенофобии и расизме, совершенных при помощи компьютерных систем. В соответствии со ст. 46 был создан Комитет Конвенции против киберпреступности (T-CY) для того, чтобы помочь странам-участницам обмениваться информацией и рассматривать необходимость внесения дополнений или протоколов к Конвенции. T-CY не наделена функцией мониторинга или оценки, но в ноябре 2011 г. было принято решение начать оценку выполнения государствами положений Будапештской конвенции. Для того чтобы помочь странам реализовать положения Будапештской конвенции, в 2006 г. Совет Европы запустил Международный проект по борьбе с киберпреступностью, который направлен на то, чтобы оказать содействие странам по совершенствованию законодательства, обучению сотрудников правоохранительных органов, органов прокуратуры и судейского корпуса, укреплению сотрудничества между государственным и частным сектором, выработки мер для защиты персональных данных, а также защиты детей от сексуальной эксплуатации и насилия. Третья фаза проекта началась в январе 2012 г. <95>. Эта фаза также включает в себя деятельность, связанную с отслеживанием потоков преступных денег в Интернете. Международный проект дополняется проведением национальных и региональных проектов. -------------------------------- <95> Международный проект по борьбе с киберпреступностью финансируется и государственным, и частным сектором. Что касается фазы 1 и фазы 2, т.е. между сентябрем 2006 г. и декабрем 2011 г., то правительства Эстонии, Японии, Монако и Румынии, а также представители частного сектора - компании McAfee, "Виза Европа" и, в частности, "Майкрософт" - сделали добровольный взнос, обеспечив дополнительное финансирование проекта наряду со средствами, поступающими из Совета Европы.
Основные международные стандарты по борьбе с киберпреступностью
Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.005 сек.) |