ФИШИНГ: ПОНЯТИЕ, ПРАВОВАЯ РЕГЛАМЕНТАЦИЯ И ПРОБЛЕМЫ КВАЛИФИКАЦИИ

PHISHING: CONCEPT, LEGAL REGULATION AND PROBLEMS OF QUALIFICATION

Victoria Zhirnova

Lawyer, 2nd year undergraduate, major 40.04.01 Law, master's program "Issues of law enforcement and human rights activities", Tver State University,

Russia, Tver

АННОТАЦИЯ

В марте 2020 года весь мир был охвачен пандемией короновируса COVID – 19, в связи с чем, практически всё население России было вынуждено перейти на дистанционный режим работы. Люди вынуждены адаптироваться к новой реальности и перейти на цифровые технологии. В настоящее время интернет играет практически ключевую роль в жизнедеятельности современного человека, так как с помощью интернета происходит беспрепятственное общение, совершаются покупки, реализуется дистанционное образование. Интернет стал рыночной площадкой, обширной сферой электронного бизнеса, хранилищем значительных объёмов конфиденциальных данных (как персональных, так и финансовых). Сложившаяся ситуация привела к развитию новых видов интернет–мошенничеств, что весьма актуально в настоящее время.

ABSTRACT  

In March 2020, the whole world was engulfed by the COVID-19 coronovirus pandemic, in connection with which almost the entire population of Russia was forced to switch to remote work. People are forced to adapt to the new reality and switch to digital technologies. Today, the Internet plays an almost key role in the life of a modern person, since with the help of the Internet there is unhindered communication, purchases are made, and distance education is implemented. The Internet has become a marketplace, a vast area of electronic business, a repository of significant amounts of confidential data (both personal and financial). The current situation has led to the development of new types of Internet fraud, which is very relevant today.

Ключевые слова: информация, конфиденциальные данные, фишер.

Keywords: information, confidential data, phisher.

Мошенничество идёт в ногу со временем, изобретаются новые преступные схемы и цифровые технологии являются инструментом для хищения, как конфиденциальных данных, так и чужого имущества (и права на него). Интернет – мошенничество – очень популярный вид реализации интернет – преступлений. Существует огромное количество разнообразных схем от банальных до очень сложных. Совершенствование и видоизменение преступной деятельности, связанной с использованием глобальных компьютерных сетей происходит постоянно. Современные технологии, открывают огромные возможности для различных махинаций, мошенники получают доступ к частной информации и материальным ценностям. Современные технологии активно используются для проникновения в корпоративные и личные базы данных.

Действия фишеров, как правило, направлены на хищение конфиденциальных (персональных) данных, логина и пароля, и других средств идентификации пользователя при помощи методов социальной инженерии. Анализируя международные нормативно–правовые акты по защите персональных данных, следует отметить, что данные нормы направлены на предупреждение, профилактику и борьбу с преступлениями, совершаемыми без участия потерпевшей стороны. Однако следует отметить, что при совершении фишинговой атаки потерпевшая сторона (пользователь) передаёт свои персональные данные добровольно, а фишер, тем временем, получает идентификационные данные пользователя незаконно, злоупотребляя доверием потерпевшей стороны. В настоящее время такой современный и изощрённый способ интернет–мошенничества не нашёл отражения в международном законодательстве.

Исследование национального законодательства показало, что существуют определённые ограничения в определении и регулировании преступлений, совершаемых в информационно–телекоммуникационной сети «Интернет». С каждым днём количество компьютерных преступлений только увеличивается, происходит их видоизменение и усложнение, однако положения уголовного законодательства остаются несовершенны.

Уголовное законодательство России не содержит определение термина «фишинг». Как уже было отмечено выше, действия фишеров посягают на персональные данные человека, защищаемые Конституцией Российской Федерации [1]. Обратимся к Федеральному закону «О персональных данных» [4]. В соответствии со ст. 3 Федерального закона «О персональных данных» под персональными данными представляется любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). [4]

Возникает вопрос о том, а что такое «информация». Согласно п. 1 ст. 2 Федерального закона «Об информации, информационных технологиях и о защите информации» информация – это сведения (сообщения, данные) независимо от формы их представления [3]. Не трудно отметить, что информация в силу объективных причин не является ни объектом гражданских прав, ни имуществом, однако получаемые сведения от жертвы фишинга, например, о реквизитах банковской карты в последующем используемые фишером, представляются средством для хищения денежных средств, которые в свою очередь, являются имуществом.

По своей природе фишинг является классическим составом мошенничества. Создание фишером поддельного (фиктивного сайта) (форма классической фишинговой атаки), рассматриваемое как способ совершения преступления, согласно п. 21 Постановления Пленума Верховного Суда Российской Федерации от 30.11.2017 №48 «О судебной практике по делам о мошенничестве, присвоении и растрате» (далее - Постановление Пленума Верховного Суда РФ от 30.11.2017  №48) [13] будет квалифицировано как классическое мошенничество по ст. 159 Уголовного кодекса Российской Федерации (далее - УК РФ) [2], а не по ст. 159.6 УК РФ (мошенничество в сфере компьютерной информации). Некоторые разновидности фишинговых атак квалифицируются по ст. 159.3 УК РФ или ст. 159.6 УК РФ в зависимости от способа и (или) средств совершения преступления, однако данные составы преступления не в полной мере отражают особенность данного вида преступления.

По мнению ряда учёных–правоведов, существует необходимость дополнения УК РФ, ввиду значительного расширения имеющихся понятий мошеннической деятельности. В России ещё в 2015 году обсуждали законопроект о введении уголовной ответственности за фишинг, но до настоящего времени он не принят, несмотря на мощную поддержку Центрального Банка РФ, для которого установление уголовной ответственности за фишинг весьма актуально [5, с. 200].

Следует разработать специальную статью УК РФ, отражающую в полной мере уголовный состав интернет–мошенничеств, например, в статье 159.7 УК РФ «Мошенничество, с использованием информационно–телекоммуникационной сети «Интернет»» и предусматривающую наказание в виде лишения свободы на срок от 3 до 8 лет, так как данное общественно опасное деяние наносит колоссальный ущерб обществу и государству.

Что же представляет из себя «фишинг» в настоящее время. Следует указать, что ответ на данный вопрос рассматривается в современной научной литературе неоднозначно, так как исследователи рассматривают данный термин с разных сторон. Приведём некоторые из них.

«Фишинг – совокупность действий, направленных на получение доступа к денежным средствам на банковской карте потенциальной жертвы, при помощи почтовых рассылок от лица банка, содержащих в себе ссылки на страницы, являющиеся точными копиями официальных сайтов, на которых предлагается ввести данные карты для возможности дальнейшего её использования» [11, с. 144].

«Фишинг – вид компьютерного мошенничества, при котором киберпреступники стремятся посредством компьютерных технологий завладеть данными обычных людей, и, используя эти данные, завладеть их средствами, в том числе и финансовыми» [8, с. 156].

«Фишинг – вид интернет–мошенничества, целью которого является получение незаконного доступа к идентификационным данным пользователей (паролям, номерам кредитных карт, банковским счетам и другой конфиденциальной информации)» [12, с. 229 – 230].

«Фишинг – это тип социальной инженерии, при котором злоумышленник пытается обманным путём приобрести конфиденциальные учётные данные жертвы по электронной почте или через мгновенные сообщения. Злоумышленник обычно имитирует доверенную сторону, чтобы заставить жертву посетить мошеннический сайт или загрузить какое-либо вредоносное программное обеспечение» [10, с. 94].

«Фишинг – это информационная интернет – атака, в которой используются поддельные сообщения с целью заставить получателей передать персональные данные, осуществить платёж или установить вредоносное программное обеспечение» [9, с. 15].

«Фишинг – массовая рассылка электронных писем или сообщений с целью заманивания пользователя на web–сайты, которые внешне очень похожи на обычные web–сайты различных фирм и банков, но которые находятся под контролем мошенников» [7, с. 65].

На основе вышеприведённых определений термина «фишинг» следует выделить признаки фишинга / фишинговой атаки:

1) вид интернет–мошенничества (в большинстве случаев фишинговая атака распространяется в информационно–телекоммуникационной сети «Интернет» посредством технических средств связи (компьютер, ноутбук, смартфон и так далее));

2) субъект, осуществляющий фишинговую атаку – фишер (киберпреступник);

3) потерпевшая сторона (жертва фишинга) – физическое лицо или юридическое лицо;

4) способ совершения фишинговой атаки – обман, злоупотребление доверием, методы социальной инженерии (рассылка определённой информации через смс–сообщения, электронную почту, мгновенные сообщения, поддельный сайт, вредоносную рекламу для получения конфиденциальных данных);

5) средства для совершения фишинговой атаки – компьютерные, технические средства, электронные средства платежа;

6) незаконный доступ получения конфиденциальных данных, возможный с использованием служебного положения (паспортные данные, учётные записи, банковские реквизиты, закрытая служебная информация);

7) основная цель – хищение финансовых (денежных) средств.

На основании анализа вышеприведённых признаков предлагается авторское определение фишинга: фишинг – это вид интернет–мошенничества, при котором фишер используя как технические средства, так и методы социальной инженерии, с помощью обмана / злоупотребления доверием (служебного положения) незаконно получает доступ к конфиденциальным данным потерпевшей стороны, основная цель которого – хищение финансовых (денежных) средств. Данное определение может быть закреплено как на правоприменительном уровне (в рамках Постановления Пленума Верховного Суда Российской Федерации), так и законодательном уровне – новой разработанной статье УК РФ, а именно статье 159.7 УК РФ «Мошенничество, с использованием информационно–телекоммуникационной сети «Интернет»».

Рассматривая фишинг глобально, стоит отметить, что основная цель фишера кроется не только в получении конфиденциальных данных и последующем извлечении прибыли, но и может рассматриваться как нанесение финансового ущерба (хищение денежных средств), политического ущерба (основным государственным и политическим институтам), идеологического ущерба (распространение идей и идеологии с целью вербовки интернет–пользователей), социально–психологический ущерб (моральный и психологический вред гражданам).

Каковы же причины фишинговых атак. «Отчёт FDIC связывает волну фишинговых атак с сочетанием слабой системы безопасности и технологических лазеек. В настоящее время индустрия финансовых услуг полагается на пароли для удалённого доступа к банковским приложениям, что обеспечивает недостаточный уровень безопасности. Существует две основные причины, по которым фишинг и другие типы атак применяются всё чаще и с большим успехом. Они предназначены для кражи персональных данных и получения учётных записей: аутентификация пользователей в индустрии финансовых услуг для удалённого доступа клиентов недостаточно защищена, а в «Интернете» отсутствует аутентификация по электронной почте и веб–сайтам» [6, с. 15].

Выполненный анализ фишинга как вида интернет–мошенничества показал насколько актуальна проблема фишинговых атак в современном мире. Рассмотренные цели, причины, задачи фишинговых атак доказывают уникальность данного вида преступления. Жертвами фишинга становятся как обычные пользователи сети «Интернет» (физические лица), так и коммерческие организации (юридические лица). В процессе подготовки стати был описан механизм осуществления фишинговой атаки заключающийся в двух способах: получении персональных данных через посредника и получении личных данных у самого владельца. Обман является движущей силой механизма фишинга. Дальнейшее совершенствование действующего уголовного законодательства позволит успешно противодействовать фишингу. Принимая во внимание транснациональный характер фишинга, необходимо включение соответствующих норм ответственности в международные акты.

Список литературы:

1. Конституция Российской Федерации (принята всенародным голосованием 12.12.1993 с изменениями, одобренными в ходе общероссийского голосования 01.07.2020) // URL: https://www.consultant.ru/document/cons_doc_LAW_28399/(дата обращения: 10.04.2023).
2. Уголовный кодекс Российской Федерации от 13.06.1996 №63 – ФЗ (ред. от 18.03.2023) // URL: https://www.consultant.ru/document/cons_doc_LAW_10699/(дата обращения: 10.04.2023).
3. Федеральный закон от 27.07.2006 №149 – ФЗ (ред. от 29.12.2022) «Об информации, информационных технологиях и о защите информации» (с изм. и доп., вступ. в силу с 01.03.2023) // URL: https://www.consultant.ru/document/cons_doc_LAW_61798/(дата обращения: 10.04.2023).
4. Федеральный закон от 27.07.2006 №152 – ФЗ (ред. от 14.07.2022) «О персональных данных» (с изм. и доп., вступ. в силу с 01.03.2023) // URL: https://www.consultant.ru/document/cons_doc_LAW_61801/   (дата обращения: 10.04.2023).
5. Алимамедов А.Н., Крюкова И.В. Фишинг как вид интернет – мошенничества // Наукосфера. 2021. №2 – 2. С. 196 – 201. URL: https://www.elibrary.ru/ip_restricted.asp?rpage=https%3A%2F%2Fwww%2Eelibrary%2Eru%2Fitem%2Easp%3Fid%3D44928833   (дата обращения: 10.04.2023).
6. Алексеев А.С. Фишинг: интернет – мошенничество с применением социальной инженерии // Вестник современных исследований. 2019. №1.13(28). С. 12 – 16. URL: elibrary_36945035_85596597.pdf (дата обращения: 11.04.2023).
7. Антоненко Н.А., Екатериничев А.Л., Наташкина Е.А. Социальная инженерия в фишинге, статистика и противодействие // Вестник образовательного консорциума Среднерусский университет. Информационные технологии. 2021. №1(17). С. 64 – 70. URL: elibrary_46212531_42432687.pdf (дата обращения: 01.10.2021).
8. Архипцев И.Н., Красников Р.В., Сарычев А.В. Совершенствование подготовки сотрудников правоохранительных органов по противодействию преступлениям, совершаемым с использованием информационных технологий // Правовая парадигма. 2020. №2. С. 154 – 163. URL: \\Izdatsrv\storage\Юлия Александровна Ускова (Боровских)\Legal Concept_2_2020\6_Protiv prestupnosti\1_Arkhiptsev_i_dr.pmd (elibrary.ru)  (дата обращения: 10.04.2023).
9. Веретин М.С. Киберпреступность в банковской сфере: особенности и способы противодействия // Международный журнал гражданского и торгового права. 2021. №1. С. 14 – 16. URL: elibrary_46267825_81502816.pdf  (дата обращения: 01.10.2021).
10. Марокова О.Н., Прохоров А.И. Фишинг в электронной почте и мгновенных сообщениях // Актуальные научные исследования в современном мире. 2021. №6 – 1(74). С. 93 – 96. URL: elibrary_46326402_57419412.pdf (дата обращения: 01.10.2021).
11. Тресков В.И. Осторожно: мошенничество! Как защитить себя и своих близких. М.: Редакция «Российской газеты», 2018. Вып. 8. С. 144. URL: https://www.consultant.ru/law/podborki/ostorozhno%253A_moshennichestvo%2521_kak_zaschitit_sebya_i_svoih_blizkih/  (дата обращения: 10.04.2023).
12. Шалагин А.Е. Трансформация преступности в xxi веке: особенности предупреждения и противодействия // Вестник Казанского юридического института МВД России. 2021. №2(44). С. 227 – 235. URL: elibrary_46280025_80066354.pdf (дата обращения: 10.04.2023).
13. Постановление Пленума Верховного Суда РФ от 30.11.2017 №48 (ред. от 15.12.2022) «О судебной практике по делам о мошенничестве, присвоении и растрате» // URL: https://www.consultant.ru/document/cons_doc_LAW_283918/ (дата обращения: 10.04.2023).