Научная статья на тему 'Технология осуществления и правовая регламентация незаконного овладения персональными банковскими данными (фишинг)'

Технология осуществления и правовая регламентация незаконного овладения персональными банковскими данными (фишинг) Текст научной статьи по специальности «Право»

CC BY
599
100
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
фишинг / социальная инженерия / персональные данные / компью- терная информация / phishing / social engineering / personal data / computer information

Аннотация научной статьи по праву, автор научной работы — Могунова Мадина Муратовна

Введение: актуальность статьи обусловлена необходимостью выработки совре- менного понятия фишинга, отсутствующего в законодательстве и рассмотрением его с позиции применения социальной инженерии. Цель: автор ставит перед собой цель разработать понятие и исследовать современные механизмы осуществления фишинга, проанализировать его правовую регламентацию. Методологическая основа: исследование проводилось с использованием метода анализа и синтеза, с чьей помощью велся анализ составляющих частей, с последующим их объединением воедино в новом авторском определении фишинга. Результаты: сопоставляя понятия «персональные данные» и «компьютерная информация», фишинг можно определить как получение путем обмана или методов социальной инженерии (хакерства с использованием человеческого фактора) персональных данных для использования в корыстных, пре- ступных целях. Реализация фишинга имеет два механизма: во-первых, посредническое получение персональных данных, во-вторых, получение личных данных у самого их владельца. Выводы: предлагается дополнить гл. 28 УК РФ ст. 272.1 «Получение пу- тем обмана или методов социальной инженерии электронных персональных данных для использования в корыстных целях», квалифицирующими признаками которой стали бы совершение преступления группой лиц по предварительному сговору или использование служебного положения.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

TECHNOLOGY OF IMPLEMENTATION AND LEGAL REGULATION OF ILLEGAL POSSESSION OF PERSONAL BANKING DATA (PHISHING)

Background: the relevance of the article is due to the need to develop a modern concept of phishing, which is absent in the legislation, and to consider it from the perspective of social engineering. Objective: the author aims to develop the concept and study modern mechanisms of phishing, to analyze its legal regulation. Methodology: the research was carried out by means of using the method of analysis and synthesis, which was used to analyze the components, and then combine them together in the frame of the new author’s definition of phishing. Results: comparing the concepts of “personal data” and “computer informationphishing can be defined as obtaining by deception or methods of social engineering (hacking using the human factor) personal data for mercenary, criminal purposes. The implementation of phishing has two mechanisms: first, the intermediary receipt of personal data, and second, the receipt of personal data from the owner himself. Conclusion: it is suggested to supply Chapter 28 of the Criminal code Article 272.1 “Obtaining by deception or methods of social engineering electronic personal data for selfish purposes”, the qualifying features of which would be committing the crime by a group of persons by prior agreement or the use of official position.

Текст научной работы на тему «Технология осуществления и правовая регламентация незаконного овладения персональными банковскими данными (фишинг)»

DOI 10.24411/2227-7315-2020-10110

УДК 343

М.М. Могунова

ТЕХНОЛОГИЯ ОСУЩЕСТВЛЕНИЯ И ПРАВОВАЯ РЕГЛАМЕНТАЦИЯ НЕЗАКОННОГО ОВЛАДЕНИЯ ПЕРСОНАЛЬНЫМИ БАНКОВСКИМИ ДАННЫМИ (ФИШИНГ)

Введение: актуальность статьи обусловлена необходимостью выработки современного понятия фишинга, отсутствующего в законодательстве и рассмотрением его с позиции применения социальной инженерии. Цель: автор ставит перед собой цель разработать понятие и исследовать современные механизмы осуществления фишинга, проанализировать его правовую регламентацию. Методологическая основа: исследование проводилось с использованием метода анализа и синтеза, с чьей помощью велся анализ составляющих частей, с последующим их объединением воедино в новом авторском определении фишинга. Результаты: сопоставляя понятия «персональные данные» и «компьютерная информация», фишинг можно определить как получение путем обмана или методов социальной инженерии (хакерства с использованием человеческого фактора) персональных данных для использования в корыстных, преступных целях. Реализация фишинга имеет два механизма: во-первых, посредническое получение персональных данных, во-вторых, получение личных данных у самого их владельца. Выводы: предлагается дополнить гл. 28 УК РФ ст. 272.1 «Получение путем обмана или методов социальной инженерии электронных персональных данных для использования в корыстных целях», квалифицирующими признаками которой стали бы совершение преступления группой лиц по предварительному сговору или использование служебного положения.

Ключевые слова: фишинг, социальная инженерия, персональные данные, компьютерная информация.

М.М. Mogunova

TECHNOLOGY OF IMPLEMENTATION AND LEGAL REGULATION OF ILLEGAL POSSESSION OF PERSONAL BANKING DATA (PHISHING)

Background: the relevance of the article is due to the need to develop a modern concept of phishing, which is absent in the legislation, and to consider it from the perspective of social engineering. Objective: the author aims to develop the concept and study modern mechanisms of phishing, to analyze its legal regulation. Methodology: the research was carried out by means of using the method of analysis and synthesis, which was used to analyze the components, and then combine them together in the frame of the new author's definition of phishing. Results: comparing the concepts of "personal data" and "computer information" phishing can be defined as obtaining by deception or methods of social engineering (hacking

© Могунова Мадина Муратовна, 2020

Аспирант кафедры уголовного права и криминологии (Омский государственный университет им. Ф.М. Достоевского); e-mail: [email protected] © Mogunova Madina Muratovna, 2020

Post-graduate student, Criminal law and criminology department (Omsk State University named after F.M. Dostoevskiy) 135

using the human factor) personal data for mercenary, criminal purposes. The implementation of phishing has two mechanisms: first, the intermediary receipt of personal data, and second, the receipt of personal data from the owner himself. Conclusion: it is suggested to supply Chapter 28 of the Criminal code Article 272.1 "Obtaining by deception or methods of social engineering electronic personal data for selfish purposes", the qualifying features of which would be committing the crime by a group of persons by prior agreement or the use of official position.

Key-words: phishing, social engineering, personal data, computer information.

Исследуя отечественное законодательство, следует отметить некоторую его ограниченность в регулировании и определении современных преступлений в сети Интернет. Требуются если не кардинальная переработка, то, во всяком случае, серьезные дополнения в соответствии с реалиями времени. Сегодня постоянно возрастает количество и происходит видоизменение и усложнение компьютерных преступлений, между тем, положения гл. 28 УК РФ остаются консервативными.

Отечественные исследователи считают фишинг одним из современных видов мошенничества в сети Интернет, который состоит в обмане жертвы, в результате которого она добровольно либо под влиянием страха, эмоционального порыва предоставляет фишеру личные данные, которые впоследствии используются для различных противоправных действий против нее. Жертвами фишинга становятся как работники финансовых учреждений, так и пользователи их услуг, а из-за постоянного расширения круга доступа к таким услугам, масштабы данного вида преступлений, также увеличиваются, растут латентность и криминогенность.

Проводя данное исследование можно отследить развитие такого явления как фишинг начиная со времени его появления в 1996 г. (в простейших почтовых формах) и до наших дней (создания фишинг-паков).

Изучая международные инструменты по защите персональных данных Международный Пакт о гражданских и политических правах, Руководящие принципы ООН по регламентации компьютеризированных картотек, содержащих данные личного характера, Резолюции Генеральной Ассамблеи ООН «Право на приватность в цифровую эпоху» можно заметить, что правовые нормы направлены на предупреждение, профилактику и борьбу с преступлениями, совершаемыми без участия потерпевшей стороны, т.е. более современные изощренные способы мошенничества (такие как фишинг) пока не нашли своего отражения в международном законодательстве.

В контексте отечественного законодательства, в частности ФЗ «О персональных данных» от 27 июля 2006 г.1 лишь положения ст. 22.1 можно в какой-то мере применить к фишингу.

В странах с наиболее развитой законотворческой системой законодатель делает попытки создания актов местного значения, среди них можно отметить Закон о мошенничестве, принятый в Великобритании в 2006 г., проект Анти-фишингового закона 2005 г. в США (не был принят). В России ответственность за такого рода преступления предусматривается Уголовным кодексом, который не

1 См.: Федеральный Закон Российской Федерации «О персональных данных» от 27 июля 2006 г. № 152-ФЗ (с изм. и доп. о т 27 декабря 2019 г. № 480-ФЗ) // Собр. законодательства Рос. 136 Федерации. 2006. № 31, ч. I, ст. 3451.

соответствует современным реалиям, несмотря на многочисленные предложения ученых-правоведов, разрабатываемые ими в научных трудах.

Большим вкладом в совершенствование гл. 28 УК РФ могли бы стать идеи Т.Л. Тропиной, предложенные ею еще в 2005 г. [1, с. 11]. Считаем, что признак умышленности, вводимый ею, характерен для всех противоправных действий фишеров.

В России еще в 2015 г. обсуждали законопроект о введении уголовной ответственности за фишинг, но до настоящего времени он не принят, несмотря на мощную поддержку Центрального Банка РФ, для которого установление уголовной ответственности за фишинг весьма актуально.

Проблемы уголовной ответственности за фишинг все чаще становятся предметом научных исследований, например С.С. Хачатурова и Ю.П. Жихарева (2016 г.) [2] выделяют особые направления для анализа фишинга: психологическое, юридическое и экономическое; Р.Р. Гайфутдинов (2017 г.) [3] проводит подробный анализ личности преступника, общие положения о развитии киберпреступности содержат научные статьи Т.Н. Бородкиной, А.В. Павлюк (2018 г.) [4], Э.Л. Коч-киной (2017 г.) [5], В.В. Тулегенова (2014 г.) [6], Е.А. Буданова и А.Н. Богомолов (2011 г.) [7] предлагают введение уголовной ответственности за приобретение или сбыт компьютерных данных и баз данных.

Хотелось бы обратить особое внимание на последнее исследование, т.к. в нем проведен анализ норм УК РФ, по которым наступает уголовная ответственность за приобретение и сбыт компьютерных данных и баз данных. Также следует отметить исследование В.Г. Степанова-Егиянц, предлагающего сделать уголовно-наказуемыми «производство, продажу, приобретение для использования компьютерных паролей, кодов доступа или иных данных...» [8].

В действующем законодательстве дается понятие компьютерной информации как сведений (сообщений, данных), предоставляемых в форме электрических сигналов, независимо от средств их хранения, обработки и передачи (примечание к ст. 272 УК РФ). Объектом преступления по ст. 159.6 УК РФ является также компьютерная информация. Обращаясь к научным исследования в данной области, можно отметить предложение Е.А. Будановой и А.Н. Богомолова дополнить УК РФ ст. 272.1 «Приобретение или сбыт компьютерных данных и баз данных» [8]. На наш взгляд, данному исследованию не хватает определения взаимосвязи между персональными данными и компьютерными данными (информации).

В соответствии с п. 1 ст. 3 ФЗ РФ «О персональных данных» «персональные данные — это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу»2.

Таким образом, сопоставляя понятия «персональные данные» и «компьютерная информация», фишинг можно определить как получение путем обмана или методов социальной инженерии (хакерства с использованием человеческого фактора) персональных данных для использования в корыстных, преступных целях.

Мы также приходим к выводу, что совершенствование уголовного законодательства, связанное с вопросами криминализации современной высокотехно-

2 См.: Федеральный Закон Российской Федерации «О персональных данных» от 27 июля 2006 г. № 152-ФЗ (с изм. и доп. о т 27 декабря 2019 г. № 480-ФЗ) // Собр. законодательства Рос. Федерации. 2006. № 31, ч. I, ст. 3451. 137

логичной преступности в сети Интернет, должно проводиться совместно правоведами и специалистами в области кибербезопасности.

Далее рассмотрим механизм и технологию осуществления фишинга, о которых мы упомянули, давая определение этому термину.

Первый способ состоит в получении искомых данных путем обмана жертвы. Обманом согласно п. 2 Постановления Пленума ВС РФ от 30 ноября 2017 г. № 48 «О судебной практике по делам о мошенничестве, присвоении и растрате» считают «способ совершения хищения или приобретения права на чужое имущество, состоящий в сознательном сообщении заведомо ложных, не соответствующих действительности сведений, либо в умолчании об истинных фактах, либо в умышленных действиях... направленных на введение владельца имущества или иного лица в заблуждение».

Получение персональных данных путем обмана жертвы практикуется в преступной среде с момента появления электронных платежных инструментов, схем обмана с целью получить чужие средства множество: это и смс-рассылки и звонки на мобильный телефон, побуждающие жертву перевести деньги мошеннику, сюда также можно отнести предложения оформить выгодный кредит или, наоборот, избавиться от кредита, с выгодой разместить денежные средства, либо приобрести товар и т.д. Такие методы обмана чаще всего применяются и дают результаты в отношении рядовых граждан в их повседневной жизни.

Больший интерес для современного исследователя представляет второй способ осуществления фишинга — социальная инженерия. Данный термин пока не встречается в правовых научных исследованиях, т.к. введен в оборот специалист стами, отвечающими за безопасность компьютерных систем, а не юристами. ? Фишингу, осуществляемому при помощи социальной инженерии, присущ

а абсолютно добровольный характер действий жертвы, т.к. преступник, как пра-| вило, хорошо разбирается в психологии человека.

I Популярность социальной инженерии растет с углублением перехода различ-

| ных сфер жизнедеятельности общества в информационную среду. Фишинг, осу! ществляемый с помощью социальной инженерии, заключается в выведывании

§ у жертвы ее персональных данных, используя тонкие психологические приемы.

ф

| Традиционным обманом это уже сложно назвать, т.к. данный способ применяется | уже не только в отношении обывателя, но и лиц, в силу должностных обязанно-'I стей владеющих конфиденциальной информацией (базами клиентских данных), | т.е. людей в какой-то степени подготовленных к соблюдению профессиональной | тайны, но тем не менее, также добровольно делящихся информацией.

Характеристика личности преступника (фишера) неоднозначна. Например Р.Р. Гайфутдинов относит фишеров к профессиональным компьютерным мошен-ё никам, владеющим психологическими приемами, удаленно воздействующими на § сознание человека [3], М.В. Кузнецов и И.В. Симдянов в своей книге «Социальная | инженерия и социальные хакеры» описывают фишера как человека, умеющего | вести телефонную беседу [9]. Стоит согласиться с мнением В.В. Тулегенова о том, что киберпреступник (фишер), располагающий научными знаниями, которые он может реализовать, гораздо более опасен [6].

Уровень подготовленности современных фишинговых атак не оставляет сомнений в высокой степени профессионализма фишеров. Ими создаются интернет-сервисы, анализирующие и настраивающие фишинг компаниям, 138 отслеживающие обновления программного обеспечения. Фишинг-паки, созда-

ваемые фишером — это рабочие решения, с помощью которых разворачиваются вредоносные страницы и похищаются данные пользователей.

Сложность в противостоянии фишинг-атакам заключается в постоянном обновлении киберпреступниками методов совершения преступлений, их растущем профессионализме и организованности. Кроме того, масштабы распространения интернет-технологий и вовлечение все большего круга людей в сферу пользователей онлайн-услуг, дает возможность киберпреступникам еще больше расширить ареал своей противоправной деятельности.

Важной особенностью механизма осуществления фишинга является дистанционный характер действий преступника. При помощи методов социальной инженерии могут быть завязаны даже дружеские отношения с жертвой, но все общение при этом происходит онлайн, без личных контактов.

Самая распространенная технология осуществления фишинга — почтовая. Она заключается в получении на электронный адрес пользователя письма с просьбой предоставить какие-либо конфиденциальные данные, отправителем которого является фишер, подменивший свой адрес на адрес любой легитимной организации или интернет-ресурса.

Еще одна технология — онлайновая, состоит в копировании популярных сайтов интернет-магазинов с почти идентичным доменным именем и дизайном, где товар предлагается по низким ценам. При совершении покупки на таком сайте, данные кредитной карты получает фишер, который тут же снимает с нее все средства.

Учитывая все же растущую грамотность среди пользователей интернет-ресурсов, злоумышленниками стала использоваться технология комбинированного фишинга, объединяющая почтовый и онлайновый фишинг и в настоящее время приобретающая большую популярность.

Фишинг, с нашей точки зрения, имеет два механизма реализации. Первый — это получение персональных данных через посредника (лица, которое в силу должностных обязанностей имеют доступ к чужим данным), второй заключается в получении личных данных у самого их владельца. Обман является движущей силой механизма фишинга.

Зачастую он возбуждает у жертвы желание или согласие передать фишеру свои данные. Жертва, как правило, добровольно идет на контакт со злоумышленником, что впоследствии дает ему возможность отрицать наличие умысла в своих действиях.

Считаем, что назрела необходимость введения уголовной ответственности за фишинг в финансовой сфере, т.к. субъекты экономических отношений несут колоссальные убытки, а количество преступлений продолжает расти. Принимая во внимание транснациональный характер данного вида преступлений, необходимо включение соответствующих норм ответственности в международные акты.

Анализ научных исследований приводит к выводу, что сам фишинг в современном его понимании не вошел в научные интересы авторов, хотя и существовал на тот момент. Поэтому, опираясь на существующие исследования, а также собственные выводы, предлагаем дополнить гл. 28 УК РФ ст. 272.1 «Получение путем обмана или методов социальной инженерии электронных персональных данных для использования в корыстных целях», квалифицирующими признаками которой стали бы совершение преступления группой лиц по предваритель-

ному сговору или использование служебного положения. Изложить указанную статью предлагаем в следующей редакции:

Статья 272.1 «Получение путем обмана или методов социальной инженерии электронных персональных данных для использования в корыстных целях»

1. Получение путем личного контакта с использованием обмана или методов социальной инженерии электронных персональных данных для использования в корыстных целях,

наказывается штрафом в размере до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до двух лет либо исправительными работами на срок до двух лет, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

2. Тоже деяние, причинившее крупный ущерб,

наказывается штрафом в размере до 500 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до трех лет, либо исправительными работами на срок до трех лет, либо ограничением свободы на срок до трех лет, либо принудительными работами на срок до трех лет, либо лишением свободы на тот же срок.

3. Деяния, предусмотренные частями первой или второй настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения,

наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок, с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до семи лет.

4. Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления,

наказываются лишением свободы на срок до семи лет.

Библиографический список

1. Тропина Т.Л. Киберпреступность: понятие, состояние, уголовно-правовые меры борьбы: автореф. дис. ... канд. юрид. наук. Владивосток, 2005. 25 с.

2. Хачатурова С.С., Жихарева ЮЛ. Осторожно, фишинг // Международный журнал прикладных и фундаментальных исследований. 2016. № 4 (часть 4). С. 793-795.

3. Гайфутдинов Р.Р. К вопросу о типологии личности компьютерных преступников с учетом характера и мотивации их криминальной деятельности // Вопросы российского и международного права. 2017. Т. 7. № 4А. С. 245-256.

4. Бородкина Т.Н., Лавлюк А.В. Киберпреступления: понятие, содержание и меры противодействия // Социально-политические науки. 2018. № 1. С. 135-137.

5. Кочкина Э.Л. Определение понятия «киберпреступление». Отдельные виды киберпреступлений // Сибирские уголовно-процессуальные и криминалистические чтения. 2017. № 3. С.

6. Тулегенов В.В. Киберпреступность как форма выражения криминального профессионализма // Криминология вчера, сегодня, завтра. 2014. № 2(33). С. 94-97.

7. Буданова ЕА.., Богомолов А.Н. К вопросу об ответственности за неправомерное завладение данными кредитных либо расчетных карт и их оборот в теневом секторе экономики // Вестник ТГУ. Гуманитарные науки. Право. 2011. Вып. 7 (99). С. 234-239

8. Степанов-Егиянц В.Г. Конституционные основы уголовно-правового обеспечения безопасности компьютерной информации // Современная наука: актуальные проблемы теории и практики. Серия: Экономика и право. 2016. № 2.

9. Кузнецов М.В., Симдянов И.В. Социальная инженерия и социальные хакеры. СПб.: БХВ-Петербург, 2007. 368 с.

References

1. Tropina T.L. Cybercrime: Concept, State, Criminal-legal Measures of Fight. Extended abstract diss. of cand.of law. Vladivostok, 2005. 25 p.

2. Khachaturova S.S., Zhikhareva Yu.P. Caution, Phishing! [Electronic resource] // international journal of applied and fundamental research. 2016. № 4 (part 4). P. 79-795.

3. Gaifutdinov R.R. On the Question of Typology of Personality of Computer Criminals Taking into Account the Nature and Motivation of Their Criminal Activity // Questions of Russian and international law. 2017. Volume 7. No (part 4). P. 245-256

4. Borodkina T.N., Pavlyuk A.V. Cybercrime: Concept, Content and Measures of Counteraction // Socio-political Sciences. 2018. No 1. P. 135-137.

5. KochkinaE.L. Definition of the Concept «Cybercrime». Certain Types of Cybercrime // Siberian criminal procedural and criminalistics readings. 2017. No. 3 (17).

6. Tulegenov V.V. Cybercrime as a Form of Expression of Criminal Professionalism // Criminology yesterday, today, tomorrow. 2014. № 2(33). P. 94-97.

7. Budanova E.A., Bogomolov A.N. On the Issue of Liability for Illegal Acquisition of Credit or Settlement Card Data and Their Turnover in the Shadow Sector of the Economy // Bulletin of TSU. Humanities Sciences. 2011. Issue 7 (99). P. 234-239.

8. Stepanov-Egiyants V.G. Constitutional Bases of Criminal and Legal Security of Computer Information // Modern science: actual problems of theory and practice. Series: Economics and law. 2016. № 2. . е

9. Kuznetsov M.V., Simdyanov I.V. Social Engineering and Social Hackers. Saint Pe- I tersburg: BHV-Petersburg, 2007. 368 p. |

—i

О

s

т

5

а

3

)

2

i Надоели баннеры? Вы всегда можете отключить рекламу.