Agnieszka Gryszczyńska: Już co piąte przestępstwo popełniane jest w sieci

Uniwersytet im. Adama Mickiewicza w Poznaniu wraz ze Stowarzyszeniem Lex Super Omnia organizują we wtorek 28 października konferencję naukową „Problematyka walki z cyberprzestępczością”. Jaka jest obecnie skala cyberprzestępczości w Polsce?

Na to pytanie jest niezwykle trudno odpowiedzieć, ponieważ nie ma definicji cyberprzestępczości ani też katalogu przestępstw z zakresu cyberprzestępczości. Według moich szacunków około 20 proc. wszystkich przestępstw popełnianych w Polsce stanowią cyberprzestępstwa. Ale wszystko zależy od tego, jak sobie je zdefiniujemy. Według niektórych definicji do cyberprzestępczości można zaliczyć również każde postępowanie, w którym zabezpieczamy elektroniczny materiał dowodowy albo dane z systemów informatycznych. Wtedy należałoby jednak uznać, że nie ma przestępstw innych niż cyberprzestępstwa, dlatego, że prawie w każdej sprawie od tzw. znęcania, przez rozboje, włamania do zabójstw, zabezpieczamy jak nie nagrania z monitoringu, to dane telekomunikacyjne, przeprowadzamy oględziny telefonów czy sprzętu komputerowego. Dzięki technologii zmienił się też sposób popełniania przestępstw. Przykładowo coraz rzadziej ludzie kierują groźby karalne bezpośrednio, a coraz częściej wysyłają SMS-y, piszą posty w mediach społecznościowych, czy nagrywają tzw. „głosówkę”. To samo z oszustwami. Ponad połowa wszystkich oszustw popełniana jest już online.

A gdybyśmy mieli oprzeć się na danych obrazujące skalę cyberzagrożeń, to jakby to wyglądało, jeśli chodzi o dynamikę?

Bardzo dobrze obrazuje to przyrost liczby incydentów odnotowywanych przez zespoły reagowania na incydenty bezpieczeństwa komputerowego CSIRT. W 2024 r. zarejestrowały ponad 111 tys. tzw. incydentów bezpieczeństwa, przy czym sam CSIRT NASK odnotował ponad 103 tys. incydentów, to 29 proc. więcej niż w 2023 r. Mało tego między 2022 a 2023 r. liczba incydentów wzrosła o połowę. A w 2020 r., tj. podczas pandemii było ich zaledwie nieco ponad 10 tys.

W ciągu czterech lat mamy wzrost o jeden rząd wielkości. Z czym to jest związane?

Z pandemią. Lockdown sprawił, że społeczeństwo w jeszcze większym stopniu przeniosło się do sieci, w tym wiele osób dopiero wtedy się „ucyfrowiło”, nie tylko pracując i ucząc się online, ale również robiąc zakupy. A za nimi podążyli przestępcy.

No dobrze, ale czy „incydenty” są równoznaczne z przestępstwami?

Zdecydowana większość incydentów to cyberprzestępstwa. To, co nam najbardziej zagraża, jeśli zajrzymy zarówno do raportów zespołów CSIRT, jak również do akt postępowań karnych, to oszustwa komputerowe, oszustwa oraz hacking.

Oczywiście ten wzrost liczby incydentów wynika również z tego, że ludzie coraz częściej i chętniej zgłaszają te incydenty. Coraz więcej się o tym mówi, a funkcję zgłoszenia incydentu dodano nawet do aplikacji mObywatel. Natomiast nie zawsze ci, którzy zgłoszą incydent, jednocześnie zgłaszają do organów ścigania fakt, że są pokrzywdzeni przestępstwem. I na odwrót, nie zawsze ci, którzy zgłaszają się do organów ścigania, zgłaszają incydent.

Czy w takim razie w statystykach prokuratorskich widać również taki lawinowy wzrost cyberprzestępstw?

Na pewno wzrosła liczba postępowań prowadzonych w kierunku przestępstwa hackingu, czyli z art. 267 k.k., czy oszustwa komputerowego (art. 287 k.k.). Dane policji wskazują, że ponad połowa wszystkich oszustw, czyli czynów z art. 286 k.k. stanowi oszustwa popełnione online i udział w ten sposób popełnianych przestępstw ciągle rośnie. W ogóle oszustwa są w tej chwili największym problemem, z którym walczą organy ścigania.

Czytaj więcej:

Nawigator prawny Poradnik

Cyberbezpieczeństwo w biznesie: trzy regulacje, jeden system zarządzania

Dynamiczny rozwój technologii i naras...

Pro

O jakie typy oszustw chodzi najczęściej?

To już nie są proste oszustwa na portalach aukcyjnych. Aktualnie najbardziej intensywnie rozwija się model oszustw inwestycyjnych. Plagą są strony, które imitują prawdziwe strony, na których można w coś inwestować, np. akcje Orlenu, PGE, Baltic Pipe itp. Tyle że na tych fałszywych stronach się nie inwestuje. Tam, jak się wpłaci pieniądze, to zawsze się je bezpowrotnie straci. Dodatkowo pokrzywdzeni tracą bardzo duże kwoty – po kilka, kilkadziesiąt, kilkaset tysięcy złotych. A zdarza się, że nawet ponad milion. Do tego sposoby działania sprawców czasem są wyrafinowane.

Wszystko postawione jest na zagranicznych serwerach i zarejestrowane na tzw. słupów?

To też. Oprócz tego przestępcy wykorzystują socjotechnikę i tzw. deepfake, w których wykorzystuje się wizerunek znanych osób. Mamy np. nagranie, na którym widzimy Roberta Lewandowskiego, ale to nie jest Robert Lewandowski, tylko oszust mówi głosem piłkarza i opowiada że zarabia, inwestuje w akcje Baltic Pipe. I zachęca do skorzystania z ekskluzywnej oferty. „Ty też możesz spróbować, tylko kliknij w formularz rejestracyjny, podaj swoje dane, a skontaktuje się z tobą przedstawiciel naszej platformy i sprawi, że będziesz bogaty.”

I ludzie w to wierzą?

Zdziwiłby się pan, jak bardzo. Klikają w link, bo myślą, że naprawdę oferta polecana jest przez znaną i majętną osobę i oni też mogą być bogaci. A następnie wpłacają pieniądze na rachunki oszustów. Prowadzimy postępowania, w których zatrzymujemy ludzi pracujących w call center takiej oszukańczej platformy. Przy czym te centra call center, które oszukują Polaków, zwykle są za wschodnią granicą. W Polsce natomiast są call centra, w których pracują ludzie, którzy oszukują w tym modelu np. obywateli Niemiec. Zdarza się, że call centra w Polsce obsługiwane przez Tajwańczyków oszukują obywateli Chin. Przestępczość nie ma tu granic. Cyberprzestępcy wiedzą, że jeżeli oszukują ludzi w jednym kraju, to jeśli zlokalizują call center na terenie innego kraju, to będzie działało dłużej. Walka z takimi oszustami wymaga pozyskania danych w ramach międzynarodowej pomocy prawnej, przez co postępowania są długotrwałe. Zwłaszcza, że są takie kraje, które współpracują lepiej i szybciej oraz takie, które nie współpracują w ogóle.

Rozumiem, że ma pani na myśli kraje pozaunijne.

Tak. W UE mamy europejskie nakazy dochodzeniowe, europejskie nakazy aresztowania itp. i kraje unijne, co do zasady współpracują, chyba że nie mają danych. W niektórych krajach ograniczono na przykład czas, w jakim przetrzymywane są dane o połączeniach telekomunikacyjnych. Nawet więc, jeżeli mamy informacje, z jakiego adresu IP działa sprawca, albo z jakich numerów telefonów korzysta, to np. w Niemczech możliwość ustalenia jego tożsamości lub dokładnego miejsca pobytu jest niska ze względu na krótką retencję danych.

Co, oprócz krótkiego okresu retencji danych, jest największym problemem dla prokuratury?

W Polsce okres retencji danych telekomunikacyjnych wynosi 12 miesięcy. Natomiast nie ma retencji danych internetowych. Czyli ja mogę od operatora uzyskać informacje, jakiemu abonentowi przydzielono dany adres IP. Ale jeśli włamią się panu na pocztę elektroniczną, by znaleźć przestępcę, trzeba ustalić adresy IP, z których sprawca logował się na pana konto. Tylko że nie zawsze będzie można tego przestępcę wykryć, ponieważ niektórzy operatorzy poczty elektronicznej te dane mają tylko z okresu ostatnich trzech miesięcy.

Jeśli zawiadomienie zostanie złożone, np. po dwóch miesiącach od zdarzenia, to zanim postępowanie trafi na policję, zostanie zarejestrowane, prokurator napisze postanowienie o żądaniu podania danych, zanim dostanie to dostawca usługi poczty elektronicznej, jest duże prawdopodobieństwo, że tam już nie będzie informacji o tym adresie IP.

Jeśli ktoś włamie się panu na konto, wyśle z niego wiadomości, następnie je usunie, to ten fakt również będzie nieweryfikowalny, bo tych danych nikt nie przetrzymuje.

Czytaj więcej

IT

Uwaga na takie wiadomości WhatsApp. Wojska Obrony Cyberprzestrzeni wydały specjalny komunikat

Wojska Obrony Cyberprzestrzeni opublikowały komunikat ostrzegający przed kampanią phishingową, kt...

Drugim problemem jest to, że cyberprzestępczość jest skrajnie transgraniczna. To znaczy, że sprawcy, ofiary, dane i infrastruktura zwykle są w różnych jurysdykcjach, czyli na terenie innych krajów. Nawet jeżeli Polak oszukuje innego Polaka, to na pewno korzysta z konta poczty elektronicznej za granicą, z serwera za granicą, z adresów IP operatorów za granicą. A to sprawia, że najpierw trzeba te dane z zagranicy pozyskać.

Dodatkowo sprawcy doskonale zdają sobie sprawę z tego, że jeśli chcą długo być na wolności, to nie powinni oszukiwać czy okradać obywateli tego kraju, w którym przebywają.

A co by pani wskazała na trzecim miejscu?

Problem skali. Działanie jednego sprawcy wywołuje skutek obserwowany w całym kraju lub kilku. Za chwilę będzie wysyp fałszywych sklepów z okazji Black Friday, Black Week, Świąt Bożego Narodzenia. Jeden taki lewy sklep to kilkuset, a nawet kilka tysięcy pokrzywdzonych rozsianych po całej Polsce. Każdy z nich będzie składać zawiadomienie gdzie indziej. Te sprawy trzeba szybko znaleźć i połączyć w jedno duże postępowanie. Bo taki sklep, oprócz dużej liczby pokrzywdzonych, ma wiele rachunków pozakładanych na słupów. Trzeba przeanalizować przepływy pieniędzy, pozatrzymywać osoby, na które pozakładano konta, wykonać z nimi czynności procesowe, żeby dojść do kolejnych osób, postawionych wyżej, które ten proceder organizują. Bo taki cyberprzestępca nie robi jednego sklepu internetowego.

W czasie, gdy jeden sklep ma ładnie rozreklamowany i działa, drugi w tym czasie już umiera, ponieważ oszukał dużo osób i mnożą się negatywne komentarze w internecie, a trzeci dopiero się przygotowuje To jest więc działalność prowadzona w sposób stały, zorganizowany i ciągły. Zwykle też to nie jest jeden cyberprzestępca, tylko grupa cyberprzestępców. Nie jest to więc postępowanie, które poprowadzi jeden prokurator, czy jeden policjant, który jednocześnie prowadzi 90 innych spraw. To jest bardzo dużo danych do analizy, więc zachodzi konieczność zaangażowania analityka kryminalnego. Te sprawy są bardzo złożone, także dlatego, że często wykorzystywane są kryptowaluty, więc do ich prowadzenia niezbędni są wyspecjalizowani policjanci i prokuratorzy rozumiejący te mechanizmy oraz zaangażowanie odpowiednich sił i środków.

A czy problemem w walce z cyberprzestępczością jest również brak odpowiednich środków – kadrowych i finansowych?

To prawda. Powinny być tworzone komórki odpowiedzialne za zwalczanie cyberprzestępczości. W policji jest CBZC, które nadal nie osiągnęło 100 proc. obsady kadrowej, więc ono walczy o funkcjonariuszy. Natomiast wyspecjalizowani w zwalczaniu cyberprzestępczości funkcjonariusze muszą mieć z kim współpracować w prokuraturze. Takie wyspecjalizowane komórki powstały na poziomie prokuratur okręgowych i regionalnych, ale moim zdaniem w każdej prokuraturze rejonowej, pomijając te najmniejsze, też powinien być przynajmniej jeden prokurator, który się zna na cyberprzestępczości i albo koordynował takie sprawy, albo je po prostu prowadził.

Jak daleko jesteśmy od tego stanu?

W części prokuratur okręgowych i regionalnych mamy albo działy do walki z cyberprzestępczością, albo koordynatorów spraw z tego zakresu. Nadal nie jest jednak wystarczająco dużo prokuratorów, którzy zajmują się cyberprzestępczością. Poza wyspecjalizowanymi działami prowadzącymi najpoważniejsze postępowania na przykład z zakresu ransomware, ataków DDoS czy oszustw inwestycyjnych musimy budować wiedzę powszechną, tak, by każdy prokurator miał przynajmniej podstawowy zasób wiedzy na temat cyberprzestępczości i umiejętności gromadzenia materiału dowodowego w tego typu przestępstwach.

Czytaj więcej

Handel

Oszukani na zakupach w internecie. To wciąż plaga w Polsce

Aż 19 proc. kupujących w sieci zostało oszukanych w 2024 r. Jeszcze więcej zetknęło się z tym pro...

Od kilku lat Departament do Spraw Cyberprzestępczości i Informatyzacji w Prokuraturze Krajowej szkoli prokuratorów z zakresu zwalczania cyberprzestępczości. W 2024 r. ponad 13 tys. osób wzięło udział w naszych szkoleniach. Do dzielenia się wiedzą zapraszamy również CBZC, KNF, NASK, dostawców różnych usług. To jest uzupełnienie szkoleń organizowanych przez Krajową Szkołę Sądownictwa i Prokuratury. Natomiast choć faktycznie brakuje nam zasobu kadrowego wyspecjalizowanego w prokuraturze, to specjalistów brakuje też wśród sędziów. Wydaje mi się, że też szkoleń dla sędziów powinno być zdecydowanie więcej, bo to są specyficzne, a jednocześnie bardzo trudne sprawy.

A jak często prowadzone przez prokuraturę sprawy kończą się skierowaniem aktu oskarżenia do sądu?

Nie mam danych dotyczących skuteczności i wykrywalności, ale nie jest ona duża. Jest szansa, że się to zmieni, ponieważ ostatnio bardzo mocno zinformatyzowaliśmy prokuraturę. Dzięki temu jest możliwość wyszukania umorzonych spraw dotyczących na przykład sklepu internetowego, oszustw inwestycyjnych czy innych spraw z zakresu cyberprzestępczości. Każdy prokurator może sprawdzić, czy postępowanie, które on prowadzi nie jest powiązane z innym postępowaniem, które jest albo było prowadzone.

Dzięki temu postępowania, które były umorzone z powodu niewykrycia sprawcy, albo z powodu znikomej społecznej szkodliwości (gdy ktoś kupił czajnik na stronie sklepu internetowego za 50 zł i go nie dostał), są znajdowane przez prokuratorów i przyłączane do postępowania zbiorowego. Mamy takie postępowania zbiorowe, do których dołączono ponad tysiąc wcześniej umorzonych spraw z całej Polski. W postępowaniach tych zatrzymywani są członkowie zorganizowanych grup przestępczych, czyli dzięki zaangażowaniu odpowiednich sił i środków osiągany jest sukces. Statystyki więc nie zawsze dają adekwatny obraz skuteczności pracy prokuratury.

Czyli w statystykach będziemy mieć setki zawiadomień, a tylko jeden akt oskarżenia. Jakie – oprócz wspomnianych przestępstw polegających na podszywaniu się pod portale inwestycyjne – są teraz najpopularniejsze?

Oszustwa „na blika” i oszustwa „na legendę” – czyli na fałszywego pracownika banku, fałszywego policjanta albo nawet prokuratora, smishing, oszustwa na portalach aukcyjnych oraz fałszywe sklepy internetowe. W oszustwach „na legendę” sprawcy podszywają się np. pod pracownika banku albo policjanta i dzwonią z informacją, że konto jest zagrożone i trzeba pilnie wszystkie pieniądze przelać na specjalny techniczny rachunek bankowy albo wybrać je w bankomacie i wpłacić gdzieś we wpłatomacie. Zdarza się, że oszuści przekonują, że w ten sposób pomożemy policji w złapaniu oszustów i w tym celu trzeba wybrać pieniądze, a następnie zostawić je we wskazanym miejscu. Takich spraw jest wciąż bardzo dużo, a wśród pokrzywdzonych są nie tylko, jak to się często uważa, osoby starsze, ale i takie, które są bardzo dobrze zaznajomione z technologiami. Każdy jest podatny na zostanie ofiarą. To tylko zależy od naszego momentu w życiu. Wystarczy gorszy dzień, chwila rozkojarzenia i można dać się zmanipulować.

Czy wpadają głównie słupy i płotki, czy też również ci, którzy takie procedery organizują?

Tak, zatrzymujemy też tych, którzy byli na szczycie tej przestępczej piramidy.

Szkoda tylko, że ten wyścig nigdy się nie kończy, a przestępcy są zawsze dwa kroki z przodu.

Wie pan dlaczego? Bo organy ścigania ograniczają też przepisy prawa, które bardzo często są nieadekwatne do nowych form działania sprawców. A te zmiany w przepisach, czasami niezbędne, są wprowadzane bardzo wolno. A przestępców ogranicza tylko ich wyobraźnia. Ponadto próg wejścia do przestępczego „biznesu” się obniżył, bo cyberprzestępczość często działa w modelu „as a service”. Przestępcy mogą nie umieć np. tworzyć złośliwego oprogramowania czy fałszywych stron internetowych. Ale na pewno pojawią się tacy, którzy tę usługę sprzedają w modelu „as-a-service”. Nie trzeba być technicznym, by być cyberprzestępcą. Wszystko można albo kupić, albo komuś zlecić. Wystarczy pomysł.

Na forach cyberprzestępczych są oferty typu: zatrudnię grafika, zatrudnię kogoś do przygotowania deepfake, zatrudnię kogoś, kto się włamie, kupię rachunki bankowe, sprzedam rachunki bankowe. Co najgorsze, coraz młodsze osoby stoją bardzo wysoko w tej strukturze przestępczej. Jedną z grup przestępczych kierował 17-latek, który wydawał online polecenia podległym sobie dorosłym mężczyznom w wieku 30-40 lat. Osoby te nigdy go nie widziały i nie wiedziały, dla kogo pracują.

Brzmi to groźnie.

Niestety. I takich przestępstw będzie coraz więcej. Zwłaszcza, że przestępcom bardzo pomaga rozwój sztucznej inteligencji. Modele LLM już bardzo dobrze piszą maile phishingowe. Są nawet badania międzynarodowe, które mówią, że wiadomości phishingowe wygenerowane przez sztuczną inteligencję mają wyższe poziomy klikalności niż wiadomości phishingowe napisane przez człowieka. Do tego dochodzi technologia deepfake, czyli podszywanie się pod wizerunek, pod głos, która jest nowym poziomem, jeżeli chodzi o przekonywanie ludzi, do tego, by zachowali się w określony sposób.

Jeśli do pana zadzwoni ktoś i powie głosem pana żony, albo na kamerze będzie pan widział jej wizerunek, to pan naprawdę uwierzy, że ona tych pieniędzy potrzebuje i koniecznie trzeba je przelać na wskazany rachunek bankowy. To będzie działało bardzo skutecznie.

Jak się przed tym bronić, ustalić z bliskimi jakieś hasło? Pytać o jakieś szczegóły, których przestępca nie ma prawa znać?

Można wprowadzić bardzo prostą zasadę – nie kontynuować takiej rozmowy, lecz zastosować procedurę „Oddzwonię do Ciebie” Nawet jeżeli sprawca podszywa się pod czyjś numer telefonu, korzystając z tzw. caller line identification spoofing (CLI spoofing), to, uwaga, jeżeli oddzwonimy, to dodzwonimy się do właściwej osoby. Chyba że sprawca przejął to urządzenie, ale to jest mało prawdopodobne. Zwykle to jest tylko podszycie się pod numer, a nie przejęcie urządzenia.