Της Κωνσταντίνας Κωνσταντίνου,
Κοινωνιολόγος – Εγκληματολόγος Παντείου Πανεπιστημίου
Όταν ο ηλεκτρονικός υπολογιστής χρησιμοποιείται από τον χρήστη του, ο οποίος μπορεί και να μην είναι μόνος του (μπορεί να υπάρχει μια οργανωμένη ομάδα χρηστών, όπως παραδείγματος χάριν, η διαδικτυακή τρομοκρατία) με σκοπό αφ’ ενός την οικονομική ζημία, καταστροφή, κλοπή όταν –συνήθως- υπάρχει η χρήση του Διαδικτύου, αφ’ ετέρου, ο σκοπός –συνήθως- διαφέρει όταν δεν υπάρχει η χρήση του Διαδικτύου λόγω του ότι το ενδιαφέρον του χρήστη εντοπίζεται στην εισβολή των προγραμμάτων του ηλεκτρονικού υπολογιστή, μερικές φορές, στη καταστροφή τους, στο μπλοκάρισμά τους, στην κλοπή τους.
Γι’ αυτούς τους λόγους, εξάλλου, τα ηλεκτρονικά εγκλήματα με οικονομικό αντίκτυπο που μας ενδιαφέρουν εδώ, διαχωρίζονται σε τρεις μεγάλες κατηγορίες, ανάλογα με το κίνητρο του χρήστη ή των χρηστών και τον τρόπο με τον οποίο θα επιθυμούσαν να χρησιμοποιήσουν τον Η/Υ: σε γνήσια ηλεκτρονικά εγκλήματα, εγκλήματα που τελούνται με χρήση Διαδικτύου και άλλες μορφές ηλεκτρονικού εγκλήματος με οικονομικό αντίκτυπο[1].
Λόγω υφής και δομής του κειμένου (εν προκειμένω άρθρου) θα παρουσιαστούν ανά μορφή και μία υποκατηγορία αυτής.
ΜΟΡΦΕΣ ΗΛΕΚΤΡΟΝΙΚΟΥ ΟΙΚΟΝΟΜΙΚΟΥ ΕΓΚΛΗΜΑΤΟΣ ΑΝΑΛΟΓΑ ΜΕ ΤΟ ΚΙΝΗΤΡΟ
Γνήσια ηλεκτρονικά εγκλήματα
|
Εγκλήματα που τελούνται με τη χρήση Η/Υ
|
Άλλες μορφές ηλεκτρονικού εγκλήματος
|
ΓΝΗΣΙΑ ΗΛΕΚΤΡΟΝΙΚΑ ΕΓΚΛΗΜΑΤΑ
Χρήση Η/Υ ως σκοπός για τη τέλεση εγκλημάτων.
- Διαδικτυακός βανδαλισμός με οικονομικό αντίκτυπο
- Hacking
Το hacking ως τακτική και στρατηγική δεν ήταν πάντα κακόβουλη. Γι’ αυτό και οι hackers θεωρούνται από πολλούς αμφίσημες προσωπικότητες γιατί «διασκεδάζουν να δοκιμάζουν τις δυνατότητες ενός υπολογιστή και ταυτόχρονα να προβαίνουν σε κακοήθεις ή/και αδιάκριτες παραβιάσεις ακόμα και για παράνομους σκοπούς»[2]. Τα κίνητρα του hacker συγκεντρώνονται σε δύο κατευθύνσεις με βασικό άξονα την εισβολή – διείσδυση[3]:
- Την πλήρη διείσδυση με δικαιώματα διαχειριστή συστήματος, και
- Τη διείσδυση με δικαιώματα απλού χρήστη συστήματος
Δηλαδή, ανάλογα με το αν ο hacker «σπάσει» τους κωδικούς διαχείρισης του υπολογιστή και αν «σπάσει» μόνο τους κωδικούς ως απλός χρήστης. Το λεγόμενο «σπάσιμο» αποτελεί τεχνική cracking – κακόβουλη διαδικασία. Η γκάμα επιθέσεών τους ποικίλλει: από αλλοιώσεις του περιεχομένου των ιστοσελίδων, επιθέσεις σε επιχειρήσεις οι οποίες μπορούν να πραγματοποιηθούν μέσω Διαδικτύου στη διάθεση αγαθών (yahoo, amazon, e – bay) ως και «σπάσιμο» πιστωτικών καρτών. Αυτές οι επιθέσεις έχουν ως συνέπεια τις ζημιές πολλών εκατομμυρίων δολαρίων / ευρώ.
Οι βασικές τεχνικές που χρησιμοποιούν για τις επιθέσεις των υπολογιστικών συστημάτων βρίσκονται σε άμεση συνάρτηση με την τεχνολογική πρόοδο. Όσο θα εξελίσσεται η τεχνολογία, τόσες τεχνικές θα ανακαλύπτουν και σχεδόν πάντα θα είναι λίγο πιο μπροστά από εκείνη. Οι βασικές τεχνικές, επιγραμματικά, λοιπόν, είναι[4]:
- Η εκμετάλλευση των cookies.
- Ανίχνευση δικτυακών υπηρεσιών συστημάτων (probes, scans): με την τεχνική της «σάρωσης των θυρών (port scanning)». Με αυτόν τον τρόπο, ανιχνεύουν πολύ σημαντικές πληροφορίες όπως το είδος της ηλεκτρονικής ασφάλειας των συστημάτων και αν οι χρήστες Η/Υ των υπηρεσιών δεν προστατεύονται από κάποιον ισχυρό κωδικό πρόσβασης, τότε μπορούν να διεισδύσουν στους λογαριασμούς τους.
- Ανιχνευτές δικτυακών πακέτων (packet sniffers).
- Πλαστές διευθύνσεις IP (IP Spoofing): η διαδικασία που ακολουθείται είναι η παρεμβολή σε επικεφαλίδες πακέτων που διακινούνται σε ένα δίκτυο, η τροποποίηση τους, με σκοπό το καμουφλάζ, δηλαδή, να φαίνεται ότι το μήνυμα που θα αποσταλλεί μετά την επεξεργασία των πακέτων είναι από αξιόπιστη πηγή, η χρήση μιας IP διεύθυνσης ανάμεσα σε αυτές που εμπιστευόμαστε (εσωτερικές του δικτύου), η διείσδυση σε δικτυακές υπηρεσίες οι οποίες προορίζονται για έμπειρους χρήστες του δικτύου.
- Επιθέσεις σε επίπεδο εφαρμογής.
ΕΓΚΛΗΜΑΤΑ ΠΟΥ ΤΕΛΟΥΝΤΑΙ ΜΕ ΤΗΝ ΧΡΗΣΗ Η/Υ
Χρήση Η/Υ ως βοηθητικό μέσο για τη τέλεση εγκλημάτων.
- Απάτες με πιστωτικές κάρτες: Phising / Pharming
Διαπράττονται από crackers συνήθως μέσω παραπλανητικού e – mail με σκοπό την απόσπαση αριθμών πιστωτικών καρτών και όχι μόνο (κωδικοί πρόσβασης και άλλα) για να τους χρησιμοποιήσουν στην παράνομη δραστηριότητα τους. Η διαφορά μεταξύ τους (phising / pharming) έγκειται στην τεχνική που χρησιμοποιούν, καθώς, εκείνοι που ακολουθούν τη δεύτερη μέθοδο επεμβαίνουν στο Σύστημα Ονομάτων Χώρου (DNS – Domain Name System, εμπεριέχονται και αντιστοιχίζονται οι διευθύνσεις IP σε ονόματα τομέων) και ταυτόχρονα όταν ο πιθανός χρήστης – θύμα πληκτρολογήσει τη διεύθυνση κάποιας οικονομικής υπηρεσίας που, συνήθως, χρησιμοποιεί, μεταφέρεται αυτόματα σε άλλη διεύθυνση. Μέσα σε λίγα δευτερόλεπτα ο cracker έχει υποκλέψει το όνομά του και τον κωδικό του.
Εκείνοι που ακολουθούν την πρώτη μέθοδο, στέλνουν αυτό το παραπλανητικό e – mail με τη «μάσκα» κάποιας υπηρεσίας για κάλυψη, την οποία χρησιμοποιούν τα θύματα και τα πληροφορούν πως βρίσκονται σε εξέλιξη κάποιες εργασίες συντήρησης του συστήματος της υπηρεσίας και τα προτρέπουν να επισκεφτούν το link – ηλεκτρονικό σύνδεσμο που τους έχουν επισυνάψει στο e – mail. Μετά, ζητούν από τα θύματα να πληκτρολογήσουν τα ονόματά τους και τους κωδικούς τους, αφού πρώτα ανοίξει στην οθόνη τους ένα αντίγραφο της πραγματικής ιστοσελίδας της υπηρεσίας με πιστά πρότυπα ακόμη και στη διεύθυνση IP[5].
ΑΛΛΕΣ ΜΟΡΦΕΣ ΗΛΕΚΤΡΟΝΙΚΟΥ ΕΓΚΛΗΜΑΤΟΣ
- Μηχανήματα Αυτόματης Ανάληψης Μετρητών (ΑΤΜ)
Τα λεγόμενα ATM εντάσσονται, πιο συγκεκριμένα, στην κατηγορία «παραποιημένη εφαρμογή ηλεκτρονικών πληρωμών», τακτική που έγινε ευρύτερα γνωστή και στους υποψήφιους δράστες και στο κοινό στην Ευρώπη στα μέσα της δεκαετίας του ΄80. Αυτή η εγκληματική δραστηριότητα λαμβάνει χώρα μέσω τράπεζας ή όποιας άλλης επιχείρησης που διαθέτει σύστημα αυτόματης ανάληψης μετρητών. Το παράδειγμα που ακολουθεί αντιπροσωπεύει τις μεθόδους των δραστών αυτής της μορφής ηλεκτρονικού εγκλήματος[6]:
«Δύο άτομα από τη Κολωνία ανέπτυξαν την ακόλουθη τεχνική: εισήγαγαν ένα κενό αντίγραφο μαγνητικής κάρτας μέσα σε ένα μηχάνημα αυτόματης ανάληψης χρημάτων και, κατόπιν, προσάρμοσαν στη συσκευή ανάγνωσης και αναγνώρισης έναν ειδικό βοηθητικό μηχανισμό. Όταν κάποιος πελάτης εισήγαγε την κάρτα του μέσα στον βοηθητικό μηχανισμό, το αρχικό κενό αντίγραφο έμπαινε στη συσκευή ανάγνωσης και αναγνώρισης της τράπεζας. Από τη στιγμή που ο προσωπικός κωδικός αριθμός δεν ταίριαζε με αυτόν της ειδικά προετοιμασμένης κενής κάρτας, το μηχάνημα «παρακρατούσε» την τελευταία και απέρριπτε μόνιμα την κάρτα του πελάτη, ο οποίος έφευγε. Οι δράστες έβγαζαν την κάρτα του πελάτη από τον βοηθητικό μηχανισμό και προσπαθούσαν να εντοπίσουν τον κωδικό της αναλύοντας τα κουμπιά του πληκτρολογίου, τα οποία είχαν προηγουμένως ευαισθητοποιηθεί με μικρές σταγόνες πετρελαίου. Όταν ανακάλυπταν τους τέσσερις κωδικούς αριθμούς, προσπαθούσαν να εξακριβώσουν τη σωστή τους σειρά μέσα από τον έλεγχο 24 συνδυασμών: η αυτοάμυνα του μηχανήματος – που θα έπρεπε να δεσμεύσει την κάρτα μετά από τρεις λαθεμένες εισαγωγές – παρακαμπτόταν με την αντιγραφή της κάρτας και την αλλαγή του αυτόματου μετά από δύο λαθεμένες εισαγωγές, ή με τον επιδέξιο χειρισμό του μετρητή ασφαλείας της κάρτας, ο οποίος κατέγραφε τον αριθμό λαθεμένων εισαγωγών. Οι δράστες καταχράστηκαν ποσό της τάξης των 80 χιλιάδων γερμανικών μάρκων»[7].
——
[1] Βλαχόπουλος Κ., Ηλεκτρονικό Έγκλημα. Μορφές – Πρόληψη – Αντιμετώπιση, Νομική Βιβλιοθήκη, Αθήνα, 2007, σελ. 38, 39, 136 – 142.
[2] Ζάννη Α., Το διαδικτυακό έγκλημα, Αντ. Ν. Σάκκουλας, Αθήνα, 2005, σελ. 88, παραπομπή 40.
[3] Αργυρόπουλος Α., Ηλεκτρονική Εγκληματικότητα, Αντ. Ν. Σάκκουλας, Αθήνα, 2001.
[4] Βλαχόπουλος Κ., Ηλεκτρονικό Έγκλημα. Μορφές – Πρόληψη – Αντιμετώπιση, Νομική Βιβλιοθήκη, Αθήνα, 2007, σελ. 40 – 42.
[5] Στο ίδιο, σελ. 58 – 61.
Βλ. και Σφακιανάκης Ε. – Σιώμος Κ. – Φλώρος Γ., Εθισμός στο Διαδίκτυο και άλλες διαδικτυακές συμπεριφορές υψηλού κινδύνου, Λιβάνη, Αθήνα, 2012.
[6] http://elawyer.blogspot.gr/2011/09/o.html, Σωτηρόπουλος Β., «O νέος νόμος για τα διαδικτυακά (και άλλα) τυχερά παιχνίδια», δημοσίευση: 29/9/2011 στο νομικό ιστολόγιο του ιδίου E-Lawyer.
[7] Λάζος Γ., Πληροφορική και Έγκλημα, Νομική Βιβλιοθήκη, Αθήνα, 2001, σελ. 127, 128.