Phishing, krádeže a klonování kreditních karet, praní špinavých peněz, manipulace na akciovém trhu, podvodné prodeje na aukčních portálech, porušování autorských práv, pronájmy celých sítí „hacknutých“ počítačů rozesílajících spam.
Autor: Martin Siebert
To jsou jen některé ze způsobů, jak je možné rychle zbohatnout díky internetu s podstatně nižším rizikem než při provozování trestné činnosti v reálném světě.
Počítačová kriminalita se v posledních několika letech proměnila ve vzkvétající byznys, který vydělává miliardy dolarů. Už dávno neplatí všeobecně zažitá představa hackera jako teenagera, který z nudy či škodolibosti rozesílá počítačové viry, nebo se pokouší vlámat do informačních systémů firem a úřadů. Dnešní kriminalita je vysoce organizovaná, internetoví zločinci se úzce specializují, čile mezi sebou obchodují a vyměňují si zkušenosti. A jejich hlavním motivem není uspokojení vlastního ega, ale peníze.
| FORMY POČÍTAČOVÉ KRIMINALITY |
| * hacking – pronikání do informačních systémů firem, bank, úřadů. Používá se ke krádežím citlivých dat o firmě či jejích klientech. Někdy má za cíl pouze adresáta poškodit, jindy slouží k prodeji konkurenci nebo vydírání. * sociální inženýrství – zneužívání nevědomosti nebo naivity lidí k vylákání například čísel kreditních karet přes e-mail nebo podvržené weby. Údaje pak slouží k vykradení účtů či podvodným nákupům. * spam – rozesílání nevyžádané reklamy, nabídek prodeje nelegálního zboží či distribuce počítačových virů. Využívá se například i k akciovým manipulacím. * „běžná“ kriminální činnost – v podstatě běžné trestné činy, jako jsou distribuce pornografie, nelegálního softwaru či falešných léků nebo fingovaný prodej zboží, k nimž podvodníci využívají moderní technologie a internet. |
Nekalé podnikání na internetu láká stále více lidí, více vydělává a význam tohoto typu kriminality roste. Popularita zločinu „z obývacího pokoje“ je pochopitelná. „Náklady na vstup do byznysu jsou minimální, vybavení se dá pořídit za pár dolarů. Rizika dopadení jsou přitom nesrovnatelně menší než v reálném světě. Tato trestná činnost má enormní potenciál,“ vysvětluje hlavní motivy současných internetových podvodníků expert na počítačovou kriminalitu Dmitri Alperovitch ze společnosti McAfee.
Vysoké finanční zisky s minimálním rizikem potvrzuje jako hlavní motiv i nejmenovaný rumunský hacker, který v loňském roce poskytl anonymní interview rumunské televizi Antena. Přestože byl dopaden a soud mu za fiktivní prodeje ojetých aut přes internet „naložil“ rok vězení, nestěžuje si. „Je to jako jezero plné ryb. Kdykoliv do něj ponoříte ruce, nějaký úlovek vytáhnete,“ popisuje podvody v rozhovoru mladík s rozostřeným obličejem a pozměněným hlasem. Na otázku, zda mu výdělky z on-line podvodů stály i za roční pobyt za mřížemi, bez váhání přikyvuje. „Za jediný rok jsem vydělal tolik peněz, že z nich můžu žít celý život a něco zbude i pro moje děti,“ uzavírá hacker.
Více uškodí, než vydělají
Cílem či obětí počítačového zločinu se může stát prakticky kdokoliv – internetoví podvodníci zkoušejí nachytat jak běžné uživatele, tak firmy. Z pochopitelných důvodů neexistují žádné oficiální statistiky trestné činnosti na internetu a liší se i odhady bezpečnostních firem a analytiků, kolik si vlastně podvodníci vydělají. Jisté však je, že se jejich zisky pohybují v miliardách dolarů. Například centrum FBI pro stížnosti na internetovou kriminalitu podle Dmitrije Alperovitche přijalo v loňském roce jen ve Spojených státech přes 250 tisíc oznámení a celkové škody vyčíslilo na čtvrt miliardy dolarů. Takto ohlášených trestných činů je přitom jen zlomek. Proto profesor Michael Fraser z univerzity v Sydney, který se zabýval vyčíslením výdělků šedé ekonomiky na internetu, tvrdí, že její zisky loni předčily i byznys s drogami. Podle jeho odhadů kybernetický zločin vygeneroval přes sto miliard amerických dolarů.
Škody, které počítačová kriminalita napáchá, jsou ale ještě větší, než kolik sami podvodníci vydělají. Šéf české pobočky McAfee Vladimír Brož proto odhaduje celkové celosvětové škody způsobené počítačovými zločinci mnohem výše. Největší ztráty podle něj vznikají porušením duševního vlastnictví – jinými slovy krádežemi dat z podnikových systémů. „V důsledku krádeží dat a kybernetické kriminality lze odhadovat, že firmy loni utrpěly ztráty duševního vlastnictví v hodnotě více než bilion dolarů,“ tvrdí Brož. Ranou pro poškozenou firmu bývá podle Martina Meduny z firmy Symantec, která se zabývá počítačovou bezpečností, také ztráta dobré pověsti. „Ta je však jen těžko vyčíslitelná,“ dodává Meduna.
Internetová Cosa Nostra
Nebezpečí počítačové kriminality spočívá mimo jiné ve velké adaptabilitě jejích pachatelů. Když se jeden druh podvodů okouká a zbystří pozornost uživatelů, podvodníci se flexibilně přesunou jinam. Typickým příkladem může být phishing. Zpočátku slavilo úspěch jednoduché rozeslání podvrhnutých e-mailů, které se tvářily jako vzkaz od banky a požadovaly potvrzení hesla pro vstup do on-line
bankovnictví. Uživatelé se však postupně naučili tuto metodu rozpoznat a banky lépe zabezpečily své systémy. Podvodníci se proto rychle přesunuli například k účtům uživatelů internetové peněženky PayPal a podobných, kde byla ostražitost uživatelů nižší.
Dalším nebezpečným rysem je stále lepší organizovanost celých skupin podvodníků, které se soustřeďují hned na několik druhů internetového „podnikání“. Některé z internetových gangů se podle Dmitrije Alperovitche z McAfee inspirovaly například nechvalně proslulou Cosou Nostrou a fungují na bázi „rodin“, kde má každý člen svoji vlastní úzkou specializaci. Jiní lidé se zabývají rozesíláním falešných phishingových e-mailů, jiní lidé klonují platební karty a další poté vybírají a převádějí peníze z účtů. „Každý má v podstatě svou vlastní profesi, stejně jako v běžném životě,“ vysvětluje Dmitri Alperovitch z McAfee.
Počítačoví podvodníci obchodují i mezi sebou. Zakládají si k tomuto účelu speciální internetová fóra, která s nadsázkou fungují jako zlodějský aukční portál. Vedle výměny zkušeností a návodů je tam tak třeba možné koupit celý balík čísel kreditních karet i s osobními údaji jejich majitelů, nebo si pronajmout k rozesílání spamů síť počítačů, nad nimiž předtím hackeři získali kontrolu vinou neopatrnosti jejich uživatelů. Zajímají vás ceny? Běžnou kreditku můžete pořídit už od jednoho dolaru, přístup k cizímu účtu na PayPal vyjde na dolarů deset. Kdyby vás pak zajímala cizí identita některého z uživatelů serveru Facebook, můžete ji podle Vladimíra Brože z McAfee pořídit do dvaceti dolarů. Koupit se však dají i hackerské „pomůcky“, třeba software, který sám umí po zadání čísel kradených kreditek rozpoznat, u kterých z nich už majitelé krádež nahlásili a nechali je zablokovat.
Svět on-line zločinu nezná hranice
Odhalování trestné činnosti on-line, ale i vyčíslování jí způsobených škod komplikuje také globální povaha této trestné činnosti. „Internet jako globální médium téměř nezná pojem hranice, útoky jsou obvykle směřovány napříč státy,“ tvrdí Martin Meduna ze společnosti Symantec. Například ve phishingovém útoku v Česku a případném vykradení účtu českého klienta vůbec nemusí mít prsty český zločinec. Ostatně, velmi špatná česká gramatika, či dokonce phishingové e-maily v angličtině cílené na tuzemské uživatele jsou toho jasným důkazem.
Nejlépe se počítačovým kriminálníkům daří v zemích na východ od Česka. Státy jako Ukrajina, Rusko nebo Rumunsko mají podle Dmitrije Alperovitche z McAfee příliš tolerantní legislativu a výjimkou nejsou ani situace, kdy již zatčený podvodník unikne trestu. To byl i případ známého ukrajinského hackera Dmitrije Golubova. Ten byl sice zatčen a usvědčen americkými úřady hned z několika trestných činů, protože však byl ve své vlasti politikem a významnou osobou byznysu, po půl roce pobytu v ukrajinském vězení byl zpátky na svobodě. Údajně pro nedostatek důkazů.
|NEJZÁVAŽNĚJŠÍ KAUZY|
|USA – podzim 2009 Americké úřady odhalily a letos na podzim předaly soudu případ největší krádeže dat v historii USA. Dopadený Albert Gonzales a jeho dva ruští kolegové různými způsoby získali čísla desítek milionů kreditních karet. Ta dále prodávali, celkem poškodili miliony lidí. Gonzalesovi hrozí až 25 let vězení. Německo – prosinec 2008 Největší krádež dat v historii Německa. Osobní data desítek tisíc Němců, klientů banky LandesBank Berlin, dorazila v anonymním balíku na adresu deníku Frankfurter Rundschau. Zásilka obsahovala výpisy z účtů včetně celých jmen, adres, čísel účtů a kreditních karet. Ke ztrátě dat došlo při komunikaci mezi bankou a její dodavatelskou firmou Atos Worldwide. Prozatím nebyl nikdo obviněn. Hongkong – květen 2008 Agentura Reuters informovala o úniku dat z jedné z největších bank na světě HSCB Group Holdings. Vedení společnosti potvrdilo ztrátu počítačového serveru, na kterém byla nahrána data 150 tisíc účtů klientů z Hongkongu. S počítačovou kriminalitou souvisí spíše okrajově – server se totiž ztratil při stěhování do jiné budovy. Díky kvalitnímu zabezpečení informací na serveru se však zlodějům nepovedlo získat například PIN kódy, a škody tak byly minimální. Česká republika – září 2009 Pojišťovně Uniqa unikla data tisíců klientů, kteří si v letech 2005–2007 vyřizovali přes web cestovní pojištění. Telefony, rodná čísla a informace o pojištěné cestě klientů ukradli podle pojišťovny počítačoví piráti. Aplikaci, přes niž k úniku došlo, spravovala firma Kaktus Software. I přesto pojišťovně hrozí pokuta od Úřadu pro ochranu osobních údajů. Policie prošetřuje trestní oznámení na neznámého pachatele.|
Rusko nebo Ukrajina ale nejsou zdaleka jedinými působišti počítačového zločinu. „V našich žebříčcích se vyskytují nejen východní, ale i západní země. Na prvních místech se nejčastěji objevují USA, Čína, Ukrajina nebo Rusko. Zákony nejsou tím hlavním, co ovlivňuje četnost útoků,&ldquo
; upozorňuje Martin Meduna. Podle něj je velmi pravděpodobné, že se na organizované počítačové kriminalitě podílejí i české mozky. „Všeobecně se předpokládá, že u nás operují i nadnárodní skupiny kyberzločinců. Bylo by mylné představovat si, že mezi nimi nejsou i čeští hackeři,“ tvrdí Martin Meduna.
Dopadených jako šafránu
Globalizace, opatrnost on-line kriminálníků a často i jejich technický a znalostní náskok před policií patří mezi hlavní důvody, proč se daří dopadnout jen malé procento pachatelů. „Hackeři bývají až paranoidní a dávají si velký pozor, aby po nich nezůstaly důkazy,“ vysvětluje Dmitri Alperovitch. Například zmiňovaný Golubov byl podle něj připraven i na případ zatčení a nachystal si na svém počítači speciální tlačítko, které jediným stiskem odstranilo data z harddisků. „Když si pro něj přišla policie, ještě před jejím vpádem stihl většinu dat tímto způsobem smazat,“ dodává Alperovitch.
Jedinou možností, jak rozkrýt rozsáhlé organizované skupiny počítačových podvodníků, proto často bývá pro policii infiltrace přímo do jejich řad. Podobně se například podařilo odhalit hned několik hackerů při akci „Operace Firewall“. Ta trvala téměř dva roky a agent FBI, který se vydával za hackera, přispěl k dopadení několika skutečných podvodníků. Přesto tento i další případy ani zdaleka neohrozily byznys na poli počítačových podvodů.
Češi mají zkušenost hlavně s phishingem
Zjistit stav v oblasti internetové kriminality a její nejoblíbenější formy v Česku je téměř nemožné. Jednak totiž většina útoků přichází z jiných států, jednak často únik dat nenahlásí ani postižené tuzemské firmy. Policie navíc nevede počítačovou kriminalitu ve zvláštních statistikách a zařazuje ji například mezi běžné podvody nebo jinou hospodářskou kriminalitu. „Nemáme statistiku, kolik podvodů, mravnostních deliktů, extremistických projevů a dalších bylo v reálném prostředí a kolik právě v informačních technologiích, zejména v síti internetu,“ tvrdí vedoucí oddělení informační kriminality na Úřadu služby kriminální policie a vyšetřování Karel Kuchařík. Přesto je podle něj u trestné činnosti páchané s pomocí moderních technologií jasný rostoucí trend.
Statistiky o škodách napáchaných internetovými podvodníky na českých firmách nemají ani společnosti zaměřující se na počítačovou bezpečnost. „Česká republika je velice skoupá na informace, podniky totiž nemají ze zákona informační povinnost při úniku dat,“ vysvětluje šéf české pobočky McAfee Vladimír Brož. Podle Martina Meduny ze Symantecu je navíc podobné vyčíslování vždy komplikované. „Velká část úniků dat se opravdu podaří utajit. Mnohem horší ale je, že o řadě z nich se nedozvědí dokonce ani samy postižené firmy,“ upozorňuje Martin Meduna. Mezi nejzávažnější případ, který se dostal na veřejnost, patří podle něj únik dat o klientech pojišťovny Uniqa letos v září.
Čeští uživatelé se setkali i s několika případy phishingu. Ty se zaměřily především na klienty České spořitelny a Citibank. Ostražitost vyzkoušeli podvodníci i u držitelů platebních karet. „Za poslední zhruba rok jsme ale zaregistrovali velmi málo phishingových útoků na kreditní karty a žádný z nich nebyl cílen přímo na naše klienty,“ tvrdí mluvčí Komerční banky Monika Klucová. Banka se však podle ní setkala s několika případy, kdy se na ni obrátil klient s žádostí o blokaci platební karty kvůli obavám, že na internetu omylem někde „odevzdal“ její číslo.
