Данный модуль является ресурсом для лекторов
Правонарушения, связанные с использованием компьютерных средств
Правонарушения, связанные с использованием компьютерных средств, включают в себя преступления, совершаемые посредством кибертехнологий, «в целях извлечения личной или финансовой прибыли или причинения личного или финансового вреда» (УНП ООН, 2013, стр. 17). К этой категории отнесены киберпреступления, «в случае которых использование компьютерной системы [или цифрового устройства] является частью способа совершения преступления» (УНП ООН, 2013, стр. 19). В Проекте доклада УНП ООН «Всестороннее исследование проблемы киберпреступности» (2013) к этой широкой категории отнесены следующие киберпреступления (стр. 17):
- Компьютерное мошенничество или подлог
- Компьютерные преступления, связанные с использованием персональных данных
- Распространение или контроль распространения спама
- Компьютерные преступления, касающиеся авторских прав или товарных знаков
- Деяния, предполагающие использование компьютера в целях причинения личного вреда
- Деяния, предполагающие использование компьютера в целях завлечения детей и груминга
Компьютерное мошенничество или подлог
В соответствии с Конвенцией Совета Европы о киберпреступности, мошенничество и подлог считаются составной частью правонарушений, связанных с использованием компьютерных средств (т.е. компьютерного подлога и компьютерного мошенничества). В статье 7 Конвенции Совета Европы о киберпреступности компьютерный подлог определяется как «преднамеренные и противоправные ввод, изменение, удаление или блокирование компьютерных данных, влекущие за собой нарушение аутентичности данных, с намерением, чтобы они рассматривались или использовались в юридических целях в качестве аутентичных, независимо от того, поддаются ли эти данные непосредственному прочтению и являются ли они понятными». Такой вид киберпреступности также запрещен статьей 10 Конвенция Лиги арабских государств о борьбе с преступлениями в области информационных технологий.
Компьютерный подлог предполагает элементы персонации, когда преступники выдают себя в сети за легитимных лиц, органы власти, учреждения и прочих субъектов в мошеннических целях. Киберпреступники могут выдавать себя за людей из законных организаций и учреждений, чтобы обманом вынудить их раскрыть личную информацию и предоставить преступникам деньги, товары и/или услуги. Отправитель электронного письма притворяется представителем легитимной организации или учреждения, пытаясь убедить пользователей поверить содержимому письма и следовать изложенным в нем инструкциям. Электронное письмо отправляется либо с ложного адреса электронной почты (который выглядит как подлинное электронное письмо от организации или агентства), либо с доменного имени, схожего с наименованием легитимной организации или учреждения (с незначительными изменениями).
Одним из распространенных методов является рассылка электронных писем, содержащих ссылку на веб-сайт, при нажатии на которую пользователи могут либо загрузить вредоносную программу в свои цифровые устройства, либо могут быть перенаправлены на вредоносный веб-сайт, созданный для кражи учетных данных пользователей (фишинг). «Ложный» веб-сайт (или фальшивый веб-сайт) выглядит как веб-сайт организации и/или учреждения и подсказывает пользователю, какие учетные данные необходимо ввести для входа на сайт. В электронном письме содержатся различные подсказки, чтобы вызвать страх, панику и/или ощущение срочности, которые заставят пользователя как можно скорее ответить на электронное письмо (и выполнить задачи, запрошенные в этом электронном письме) (см. рисунок 1 ниже), такие как необходимость обновления личной информации для получения денежных средств или других выплат, предупреждения о мошеннической активности в учетной записи пользователя и другие события, требующие безотлагательного внимания мишени.
Рисунок 1. Скриншот фишингового электронного письма
Такой метод не носит целенаправленного характера, поскольку электронные письма рассылаются в массовом порядке, чтобы охватить как можно больше жертв. Целенаправленный вариант фишинга известен под названием адресный фишинг. При совершении мошенничества такого рода злоумышленники, знакомые с внутренними делами и должностями сотрудников компании, целенаправленно отправляют электронные письма сотрудникам, чтобы обманом их заставить раскрыть информацию и/или отправить деньги злоумышленникам. Еще один метод фишинга заключается в том, что киберпреступники выдают себя за высокопоставленных руководителей компании (входящих в высшее руководство – главный управляющий директор, главный финансовый директор и директор по безопасности), юристов, бухгалтеров и других лиц, занимающих руководящие и ответственные должности, чтобы обманом вынудить сотрудников отправить им денежные средства. Этот метод известен под названием уэйлинг (whaling – англ. «китобойный промысел»; прим. пер.), поскольку он позволяет преступникам получать от жертв самые большие размеры выплат.
Американская компания по производству игрушек Mattel стала жертвой уэйлинг-мошенничества. Киберпреступники, стоявшие за этой атакой, тайно контролировали компьютерные сети и коммуникации компании в течение нескольких месяцев до инцидента. После того как в компании было объявлено о назначении нового генерального директора, киберпреступники использовали личность нового генерального директора Кристофера Синклера (Christopher Sinclair) для совершения атаки. В частности, киберпреступники отправили электронное письмо от имени Кристофера Синклера, в котором просили получателя одобрить перевод на сумму три миллиона долларов в банк Вэньчжоу в Китае на счет китайского поставщика. Поскольку просьба поступила от генерального директора, сотрудница компании перевела деньги, но позже связалась с ним по этому поводу. Генеральный директор сказал, что не давал никаких указаний о переводе денег. После этого компания Mattel связалась с правоохранительными органами США, Федеральным бюро расследований США, своим банком и правоохранительными органами Китая (Ragan, 2016). Время инцидента (деньги были переведены накануне праздника) позволило китайским властям вовремя заморозить счета до открытия банков, и компания Mattel смогла вернуть свои деньги.
Знаете ли вы?
Фишинг с использованием телефонных коммуникаций известен под названием вишинг (когда мошенники отправляют голосовое сообщение с просьбой позвонить на указанный номер и раскрыть личные и/или финансовые данные), а фишинг с использованием текстовых сообщений называется смишингом (или SMS-фишингом).
Статья 8 Конвенции Совета Европы о киберпреступности определяет компьютерное мошенничествокак «преднамеренное и противоправное лишение другого лица его собственности путем любого ввода, изменения, удаления или блокирования компьютерных данных; [и/или] любого вмешательства в функционирование компьютерной системы с мошенническим или бесчестным намерением неправомерного извлечения экономической выгоды для себя или для иного лица». Это киберпреступление также запрещено статьей 11 Конвенции Лиги арабских государств о борьбе с преступлениями в области информационных технологий.
Виды компьютерного мошенничества включают в себя различные аферы в Интернете, которые предполагают дачу ложных или вводящих в заблуждение обещаний любви и дружбы (кэтфишинг), имущества (посредством аферы с наследством), а также денег и богатства (путем мошенничества с лотереями, мошенничества в инвестиционной сфере, афер с наследством и т.п.). Конечная цель таких мошенников заключается в том, чтобы заставить жертву раскрыть или иным образом предоставить личную информацию и/или средства злоумышленнику (это одна из разновидностей мошенничества методом социальной инженерии). Этот прием, как следует из названия, основан на использовании социальной инженерии (этот термин был популяризирован американским хакером Кевином Митником (Kevin Mitnick)), практике «принуждения людей – путем манипулирования, введения в заблуждение, оказания влияния или обмана – к раскрытию конфиденциальной информации или совершению действий, которые принесут определенную пользу социальному инженеру» (Maras, 2014, p. 141).
Наиболее известным видом компьютерного мошенничества являются письма с просьбой произвести авансовый платеж для завершения операции по переводу денег, депонированию или иной трансакции в обмен на более крупную сумму денег (мошенничество с авансовым платежом, также известное под названием «афера 419»). Хотя история, которую рассказывают злоумышленники, постоянно меняется (они выдают себя за правительственных чиновников, банковских служащих, юристов и т.д.), они используют одну и ту же тактику – просят перевести небольшую сумму денег в обмен на более крупную сумму.
Компьютерные преступления, связанные с использованием персональных данных, и спам
В дополнение к онлайновым схемам, в сети Интернет также совершаются некоторые виды финансового (или экономического) мошенничества, такие как банковское мошенничество, мошенничество с электронной почтой и мошенничество с кредитными и дебетовыми картами. Например, данные дебетовых и кредитных карт, полученные преступниками незаконным путем, продаются ими, передаются друг другу и используются в Интернете. В результате проведенной в 2018 году международной операции по борьбе с киберпреступностью был закрыт один из самых известных онлайн кардинг-форумов Infraud, на котором преступники продавали данные кредитных и дебетовых карт и банковскую информацию и обменивались ими. Персональная, медицинская и финансовая информация, которая покупается, продается и обменивается в Интернете, может использоваться для совершения других преступлений, таких как преступления, связанные с использованием персональных данных, когда преступник неправомерно выдает себя за другого человека и/или незаконно присваивает себе идентификационные данные жертвы и/или использует эти идентификационные и/или личные данные в незаконных целях (UNODC, nd). Данные, которые являются целью преступников, включают в себя личные данные, такие как идентификационные номера (например, номера социального страхования в США), документы, удостоверяющие личность (например, паспорта, национальные идентификационные номера, водительские удостоверения и свидетельства о рождении), а также учетные данные в Интернете (т. е. имена пользователей и пароли) (UNODC, 2011, p. 12-15). Преступление, связанное с использованием персональных данных, может быть финансово-мотивированным или не быть таковым. Например, поддельные удостоверения личности (например, паспорта) могут приобретаться в Интернете для использования во время совершения поездок (UN-CCPCJ, 2017, p. 4). Такие виды преступлений, а также экономическое мошенничество совершаются через Интернет посредством рассылки незапрашиваемых электронных писем (спама), информационных бюллетеней и сообщений со ссылками на веб-сайты, которые созданы для того, чтобы вводить пользователей в заблуждение и обманом заставить их открывать электронные письма и информационные бюллетени или нажимать на ссылки в электронных письмах, которые могут содержать вредоносные программы или направлять пользователей на фальшивые веб-сайты.
Компьютерные преступления, касающиеся авторских прав или товарных знаков
Статья 10 Конвенции Совета Европы о киберпреступности предусматривает уголовную ответственность за «правонарушения, связанные с нарушением авторского права и смежных прав». Точно так же статья 17 Конвенция Лиги арабских государств о борьбе с преступлениями в области информационных технологий запрещает «правонарушения, связанные с авторским правом и смежными правами». К области авторского права «относятся художественные произведения, например книги, музыка, картины и скульптуры, фильмы и произведения, созданные на основе технологий, включая компьютерные программы и электронные базы данных» (WIPO, 2016, p. 4).
Существует несколько международных договоров, касающихся защиты авторских прав, включая Бернскую конвенцию по охране литературных и художественных произведений 1886 года, Соглашение по торговым аспектам прав интеллектуальной собственности Всемирной организации интеллектуальной собственности (ВОИС) 1994 года и Договор ВОИС по авторскому праву 1996 года. Кроме того, существуют региональные законы о защите интеллектуальной собственности. Одним из ярких примеров нарушения авторских прав является цифровое пиратство (например, несанкционированное копирование, размножение или распространение фильма, защищенного авторским правом).
Работы, защищенные авторским правом, считаются одной из форм интеллектуальной собственности, которая определяется ВОИС как «результаты творения человеческого разума, такие как изобретения, литературные и художественные произведения, символика, названия и изображения, используемые в коммерческих целях». Статья 2(viii) Конвенции, учреждающей Всемирную организацию интеллектуальной собственности (ВОИС) 1967 года гласит:
интеллектуальная собственность включает права, относящиеся к: литературным, художественным и научным произведениям, исполнительской деятельности артистов, звукозаписи, радио и телевизионным передачам, изобретениям во всех областях человеческой деятельности, научным открытиям, промышленным образцам, товарным знакам, знакам обслуживания, фирменным наименованиям и коммерческим обозначениям, защите против недобросовестной конкуренции, а также все другие права, относящиеся к интеллектуальной деятельности в производственной, научной, литературной и художественной областях.
Таким образом, интеллектуальная собственность включает в себя не только авторские права (например, книги, музыку, фильмы, программное обеспечение и т.д.), но и товарные знаки (т.е. названия, символы или логотипы, принадлежащие бренду, услуге или товару), патенты (т.е. новые и уникальные творения, инновации и изобретения) и коммерческие секреты (т. е. ценная информация о бизнес-процессах и практиках, которые являются секретными и защищают конкурентное преимущество компании). Вопросы, связанные с интеллектуальной собственностью, более подробно рассматриваются в Модуле 11 Серии модулей по киберпреступности: «Преступления в сфере интеллектуальной собственности, совершаемые посредством кибертехнологий».
Деяния, предполагающие использование компьютера в целях причинения личного вреда
Согласно Проекту доклада УНП ООН «Всестороннее исследование проблемы киберпреступности» за 2013 год, «деяния, предполагающие использование компьютера в целях причинения личного вреда», включают в себя «использование компьютерной системы в целях домогательства, преследования, запугивания или угроз человеку» (стр.19). Примерами таких видов киберпреступлений являются киберпреследование, кибердомогательство и кибертравля. Эти киберпреступления не включены в многосторонние и региональные договоры о киберпреступности (например, Конвенцию Совета Европы о киберпреступности; Конвенцию Африканского союза о кибербезопасности и защите личных данных; и Конвенцию Лиги арабских государств о борьбе с преступлениями в области информационных технологий).
Термины киберпреследование, кибердомогательство и кибертравля используются взаимозаменяемо. В некоторых странах любое действие, которое совершается с участием ребенка, выступающего в качестве либо жертвы, либо правонарушителя, называется кибертравлей (например, в Австралии и Новой Зеландии), в то время как в некоторых штатах США термин «кибертравля» используется для обозначения действий, совершаемых детьми и против детей. Некоторые страны не используют термин «кибертравля» и используют вместо него термин «кибердомогательство» или «киберпреследование», либо другие термины, такие как кибермоббинг (в Австрии и Германии), для обозначения кибертравли (European Parliament, Citizens’ Rights and Constitutional Affairs, 2016, 24-25), в то время как другие страны не используют ни один из этих терминов. К таким странам относится, например, Ямайка, которая запрещает «злонамеренные и/или оскорбительные сообщения» в соответствии со статьей 9 (1) Закона о киберпреступлениях 2015 года, которая предусматривает, что лицо совершает преступление, если оно «(a)… использует компьютер для отправки другому лицу каких-либо данных (будь то в форме сообщения или иным образом), которые являются непристойными, представляют угрозу или носят угрожающий характер; и (b) путем отправки таких данных преднамеренно или по неосторожности причиняет раздражение, неудобство, беспокойство или волнение этому лицу или любому другому лицу».
Знаете ли вы?
В 2017 году правозащитница Латойя Нугент (Latoya Nugent) была взята под стражу после предъявления обвинений на основании статьи 9 Закона Ямайки о киберпреступлениях 2015 года за размещение в социальных сетях имен лиц, совершивших сексуальное насилие. Обвинения против нее были впоследствии сняты. Эта статья закона, которая запрещает распространение злонамеренных сообщений в Интернете, подверглась критике за необоснованное ограничение свободы выражения мнений (Barclay, 2017). Статья кенийского закона со схожей формулировкой (статья 29 Закона Кении об информации и коммуникации) была отменена, поскольку была признана национальным судом противоречащей конституции из-за ее расплывчатой и неточной формулировки и отсутствия ясности в отношении типов выражений (или высказываний), которые могут считаться незаконными в соответствии с этим законом (Geoffrey Andare v Attorney General & 2 others, 2016).
Хотите знать больше?
Прочтите Модуль 3 Серии модулей по киберпреступности: «Правовая база и права человека», в котором рассматривается связь между законодательством о киберпреступности и правами человека.
Несмотря на отсутствие общепринятых определений этих видов киберпреступности, следующие определения, которые охватывают основные элементы этих киберпреступлений, используются в этом и других модулях Серии университетских модулей по киберпреступности, разработанной в рамках инициативы «Образование во имя правосудия» (E4J) (Maras, 2016):
- Киберпреследование. Использование информационно-коммуникационных технологий (ИКТ) для совершения неоднократных действий в течение определенного периода времени с целью домогательства, беспокойства, нападок, угроз, запугивания и/или словесного оскорбления лица (или лиц).
- Кибердомогательство. Использование ИКТ для преднамеренных действий с целью унижения, раздражения, нападок, угроз, запугивания, нанесения обиды и/или оскорбления лица (или лиц).
- Кибертравля. Использование ИКТ детьми с целью досаждения, унижения, оскорбления, нанесения обиды, домогательства, запугивания, преследования, жестокого обращения или иных нападок в отношении других детей.
Различия между этими видами киберпреступлений заключаются в возрасте преступников (например, только дети осуществляют кибертравлю и являются ее жертвами), а также в интенсивности и частоте случаев совершения киберпреступления (киберпреследование предполагает серию инцидентов в течение определенного времени, в то время как кибердомогательство может включать в себя один или несколько инцидентов). Эти киберпреступления и различия между ними более подробно рассматриваются в Модуле 12 Серии модулей по киберпреступности: «Киберпреступления против личности».
Завлечение детей или «груминг»
Информационно-коммуникационные технологии используются для содействия в совершении «груминга» в отношении детей. «Груминг» детей – это процесс установления взаимопонимания и доверия через развитие эмоциональных отношений с жертвой (Maras, 2016, p. 244). Как отмечается в публикации Whittle at al. (2013), «процесс «груминга» варьирует в значительных пределах с точки зрения стиля, продолжительности и интенсивности, что зачастую зависит от личных качеств и поведения преступника» (63). Преступник может манипулировать жертвой, используя различные силовые методы и методы контроля, включая (в числе прочего): лесть, подарки, изоляцию, запугивание, угрозы и/или насилие (Berlinger and Conte, 1990; O’Connell, 2003; Mitchell, Finkelhor, andWolak, 2005; Ospina et al., 2010; Maras, 2016), а также симулирование общих интересов или завоевание доверия путем имитации кажущегося чувства одиночества ребенка. «Груминг» детей может совершаться на платформах социальных сетей, по электронной почте, в чатах, через службы обмена мгновенными сообщениями, приложения и т.д. Исследование, проведенное британской вещательной корпорацией BBC в 2017 году, показало, что приложение Periscope, которое позволяет вести прямую трансляцию в любой точке мира, использовалось злоумышленниками для «груминга» детей. Злоумышленники, которые связывались с детьми, участвовавшими в прямых трансляциях, высказывали сексуализированные комментарии о детях, а некоторые даже просили детей снять свою одежду (BBC, 2017).
Далее: Правонарушения, связанные с содержанием компьютерных данных
Наверх