IT-новости в области права

Уголовная ответственность за компьютерный фишинг

Следственный департамент МВД России завершил расследование первого в истории России дела о компьютерном фишинге. Как говорится в официальном сообщении на сайте МВД, в ходе расследования было установлено, что создателями преступной схемы стали два родных брата, проживающих на территории Санкт-Петербурга.

Уголовное дело возбуждено по ч. 2 ст. 272 УК РФ, ч. 1 ст. 273 УК РФ и ч. 4 ст. 159 УК РФ « Неправомерный доступ к охраняемой законом компьютерной информации, использование и распространение вредоносных программ для электронно-вычислительной техники, а также мошенничество, совершённое группой лиц по предварительному сговору с причинением ущерба в особо крупном размере». Вместе со студентом одного из калининградских ВУЗ'ов, они создали поддельный сайт сервиса дистанционного обслуживания одного из крупных российских банков (его название не сообщается), а в качестве контактов службы технической поддержки разместили арендуемые ими телефонные номера. Подменяя с помощью троянского ПО страницы интернет-банка, мошенники успели похитить около 13 миллионов рублей со счетов клиентов банка. Потерпевшие, не подозревая обмана, вводили свои персональные данные, необходимые для распоряжений о денежных операциях. Указанные сведения сохранялись трояном и передавались злоумышленникам. Чтобы получить новые переменные коды, братья звонили клиентам, представляясь работниками службы технической поддержки. Получив всю необходимую информацию, обвиняемые от имени легальных клиентов направляли дистанционные распоряжения на перевод денежных средств с клиентских банковских счетов на счета третьих лиц, подконтрольные им самим.

Фи́шинг (англ. phishing, от fishing – рыбная ловля, выуживание) – вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей – логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри социальных сетей. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом. После того, как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приёмами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определённому сайту, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам. Фишинг – одна из разновидностей социальной инженерии, основанная на незнании пользователями основ сетевой безопасности: в частности, многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочее.

В 2015 году российских кибермошенников, которых уличат в создании фишинговых сайтов, собирались сажать в тюрьму на срок до четырёх лет, если Госдума примет законопроект, который начинают разрабатывать по инициативе члена комитета по безопасности и противодействию коррупции Ильи Костунова. Он предложил ввести уголовную ответственность за создание фишинговых сайтов и владение ими. Костунов обратил внимание на то, что сейчас за фишинг в УК РФ ответственность не предусмотрена. В связи с этим он считает необходимым дополнить главу 28 УК РФ «преступления в сфере компьютерной информации» новой статьей, включающей ответственность за создание и владение фишинговыми сайтами. По мнению парламентария, следует установить весомый штраф либо четыре года лишения свободы по этой статье. Как рассказал Костунов, предполагается, что в разработке законопроекта примут участие специалисты из ключевых структур в сфере информационной безопасности. «Проблем фишинга сейчас стоит очень остро, поэтому законопроект планируется внести уже в эту осеннюю сессию», – сказал Костунов.

Стремительное развитие компьютерных систем и технических средств способствует тому, что потенциальные преступники в целях хищения чужого имущества совершенствуют свои навыки применения возможностей цифрового пространства. Так, если раньше хищения в основном осуществлялись посредством использования автоматизированных рабочих мест клиентов кредитно-финансовых организаций, то сейчас хакеры используют более изощренные методики. В частности, взлом систем безопасности и получение доступа к данным банков происходит через массовую рассылку фишинговых сообщений, при открытии которых запускается механизм заражения внутренних систем вредоносными программами и осуществляется вывод денежных средств. Оказавшись во внутренних компьютерных системах кредитно-финансовой организации, вредоносная программа остается в ней и после реализованной атаки и успешного вывода средств, в результате чего сохраняется угроза повторения хищений до тех пор, пока эту программу не обнаружат.

Однако, статья 272 УК РФ «Неправомерный доступ к компьютерной информации» последний раз редактировалась в 2011 году на основании Федерального закона от 07.12.2011 № 420-ФЗ.