Idziesz na zakupy, wracasz bez portfela. To już standard zakupów online

Phishing stał się w Polsce zjawiskiem niemalże powszechnym

Trudno byłoby spotkać użytkownika telefonu komórkowego, który nie zetknął się w jakiejś formie z oszustami podszywającymi się pod różne firmy i instytucje. Niektórzy z nich udają InPost, firmy kurierskie i Pocztę Polską. Inni wysyłają SMS-y i maile do spreparowanych stron banków, albo wyłudzają przelewy BLIK-iem. Jeszcze inni preferują firmy energetyczne albo sklepy internetowe. Trafiają się nawet na tyle bezczelni, by podszywać się pod Izbę Administracji Skarbowej. Wszystkich tych cyberprzestępców łączy jedno: chcą wyłudzić od nas pieniądze.

Tego typu oszustwa to tak zwany "phishing". Internet w dzisiejszych czasach jest pełen nie tylko pułapek, ale także ostrzeżeń przed tym procederem. "Oszustwo na BLIK", "oszustwo na pracownika banku", "oszustwo na InPost", "oszustwo na Urząd Skarbowy" - nie ma chyba miesiąca, w którym jakiś portal nie opublikowałby artykułu na ten temat. Ostrzeżenia przed phishingiem możemy również znaleźć w rządowym portalu gov.pl.

Co do wyjątkowej wręcz szkodliwości społecznej phishingu nie trzeba przekonywać nikogo, kogo cyberprzestępcy próbowali okraść. Rozpowszechnienie się tego procederu ma jednak szereg bardziej daleko idących konsekwencji. Podkopuje bowiem zaufanie do wszystkich przedsiębiorstw i instytucji, które oszuści próbują wykorzystać. Dotyczy to szczególnie tych obywateli, którzy jeszcze nie nabrali dostatecznego zaufania do nowoczesnych rozwiązań mobilnych i cyfrowych. Jeżeli taka osoba przez nieuwagę da się oszukać, to jej nieufność może tylko wzrosnąć.

Przedsiębiorcy, za które podają się cyberprzestępcy, nie bardzo mają jak powstrzymać ataki

Phishing uderza też w całe branże. Przede wszystkim będzie to ecommerce, które opiera się o współczesny rozwój technologii. Proceder szkodzi również bankom, instytucjom oferującym mobilne przelewy. Każda firma, pod którą podszywają się przestępcy musi zachować szczególną czujność i reagować na bieżąco. Także na sygnały ze strony swoich klientów i użytkowników, którzy dostrzegli próbę oszustwa. To pochłania czas i środki.

Najgorsze w tym wszystkim jest to, że przedsiębiorcy właściwie nie bardzo mają jak się przed phishingiem bronić. Żadne zabezpieczenia nie pomogą na atak ukierunkowany na najsłabsze ogniowo każdego systemu informatycznego: lekkomyślność i nieostrożność użytkownika. Firmy i instytucje mogą jedynie stosować dość ogólną prewencję.

Najbardziej oczywistym posunięciem wydaje się ostrzeganie klientów przed cyberprzestępcami: "uważaj na podejrzane wiadomości SMS i email, to nie jesteśmy my". Równie często zetkniemy się z ostrzeżeniami typu "nasza firma nigdy nie poprosi cię o podanie hasła, nie będzie ci wysyłać SMS-ów z linkami".

Phishing to przestępstwo wybitnie wręcz szkodliwe społecznie

Phishing to oczywiście przestępstwo, nazywane "oszustwem komputerowym". Jako podstawę prawną jego ścigania podaje się art. 287 § 1 kodeksu karnego.

Nie da się ukryć, że tak skonstruowany przepis obejmuje szereg różnych czynów na czyjąś szkodę związaną z danymi informatycznymi. Jego treść nie wskazuje bezpośrednio na typowe przejawy phishingu. Biorąc pod uwagę wysoką szkodliwość społeczną tego typu przestępstw, kara przewidziana przez ustawodawcę jest dość niska. Pewną pociechą jest prawdopodobne zastosowanie przepisu pozwalającego na surowsze karanie zawodowych przestępców. Nie oszukujmy się: phishing to sposób na życie dla osobników, którzy się nim zajmują.

Równocześnie mówimy o tym specyficznym rodzaju przestępstw, w którym dość trudno wykryć sprawców. Współczesne środki informatyczne pozwalają ostrożnym cyberprzestępcom dość łatwo uniknąć wykrycia. Jakby tego było mało, wcale nie muszą działać z terytorium naszego państwa. To dodatkowo uzasadnia drastyczne podwyższenie wymiaru kary. Skoro trudno oszusta złapać, to niech przynajmniej zostanie przykładnie ukarany, jeśli rzeczywiście wpadnie.

Gdzie są te polityczne nagonki, kiedy akurat są potrzebne?

Warto przypomnieć, że na pewnym etapie prac nad reformą kodeksu karnego pojawił się postulat drastycznego zaostrzenia kar za oszustwo komputerowe. Przynajmniej w odniesieniu do wyłudzenia w ten sposób kilkumilionowych kwot.

Sam zamysł był dobry, jednak zabrakło uderzenia bezpośrednio w przestępców nękających fałszywymi SMS-ami i mailami zwykłych obywateli. Przydałby się nowy przepis, precyzyjnie opisujący właśnie phishing. Wówczas można by zastosować nawet karę do 10 lat pozbawienia wolności.

Co więcej, organy naszego państwa mogłyby w tym przypadku zrobić to, co potrafią najlepiej. W ciągu ostatnich dwóch dekad co rusz obserwowaliśmy rozmaite nagonki organizowane dla zbicia politycznego kapitału. Akurat w tym przypadku społeczeństwo miałoby przynajmniej jakiś pożytek z takiej zagrywki. Stratni byliby tylko kryminaliści. Czemu więc nie pochwalić się walką z cyberprzestępcami tak, jak teraz rządzący chwalą się "zwalczaniem magii vatowskiej"?