KREOWANIE TOŻSAMOŚCI W CELU DOKONYWANIA PRZESTĘPSTW I PRANIA PIENIĘDZY POPRZEZ SYSTEMY PŁATNOŚCI W INTERNECIE W potocznym języku słowo tożsamość" ma wiele znaczeń, jednak na potrzeby dzisiejszego wykładu interesować nas będzie następujące określenie: TOŻSAMOŚĆ to cechy, fakty, dane personalne pozwalające zidentyfikować jakąś osobę. Jest to definicja, która najbardziej odpowiada terminowi kreowania tożsamości w Internecie. Tożsamość jest tworzona w trakcie korzystania z Internetu i nie musi mieć żadnego odniesienia do rzeczywistości. Internet pozwala na zachowanie anonimowości, a co za tym idzie, tożsamości w nim kreowane mają często na celu nieujawnianie prawdziwych danych osobowych. W przypadku korzystania np. z poczty elektronicznej, usług płatniczych, forum branżowego, korzystamy z formularzy rejestracyjnych. Podczas kreowania tożsamości to jest rejestracji, użytkownik podaje imię, nazwisko, adres zamieszkania, wiek, numer telefonu, zainteresowania, adres poczty elektronicznej, kraj pochodzenia. Po wypełnieniu pól wskazanymi danymi kreuje on swoją nową autentyczność, która zaczyna istnieć" w Internecie. Jednak dane, które ją tworzą, nie zawsze muszą być prawdziwe. Dynamicznemu rozwojowi komercyjnego Internetu towarzyszy równie dynamiczny rozwój nowych, specyficznych metod działania sprawców. Przestępcy internetowi nie tylko kreują tożsamość, ale przy okazji przejmowania coraz to nowych komputerów do botnetu uzyskują często hasła dostępowe do kont e-mail, kont bankowych, kont w usługach płatniczych czy kont na portalach aukcyjnych, dokonując tym samym kradzieży tożsamości wykreowanych przez właścicieli przejętych komputerów. W sytuacji korzystania przez przestępcę z rozbudowanego botnetu identyfikacja adresu IP będzie oczywiście nieprawidłowa. Wskaże adres przejętego komputera zombie, a nie adres komputera osoby korzystającej faktycznie np. z konta bankowego. Inaczej przedstawia się sytuacja pozyskania tożsamości w przypadku phishingu, gdzie na skutek działań socjotechnicznych użytkownik podaje nazwę konta oraz hasła dostępowe, oddając niejako dostęp do swojej tożsamości. W tym przypadku posiadacz określonej tożsamości, działając w błędnym przeświadczeniu, co do autentyczności określonych stron WWW, samodzielnie podaje dane dostępowe do posiadanych kont. W przypadku przestępczości internetowej zarówno kreowanie tożsamości jak i jej kradzież mają na celu usprawnienie procesu transferu pieniędzy jak również uniemożliwienie wykrycia sprawców przestępstwa, a więc zachowania maksymalnej anonimowości oraz szybkiego uzyskania korzyści majątkowych. 1
Zorganizowane grupy przestępcze poszukując nowych możliwości transferu pieniędzy uzyskiwanych z czynów przestępczych z coraz większym nasileniem zaczęły opanowywać sferę Internetu. W grupach takich również istnieje ścisła hierarchia i podział obowiązków. Wskazane osoby odpowiadają za działania w Internecie i muszą mieć znaczną wiedzę z zakresu informatyki, która jest rozszerzana w określonym celu. Pewne czynności wykonują osoby zajmujące się technicznymi aspektami takimi jak obsługa kont bankowych w zakresie sprawdzania ich stanu i wydawania dyspozycji, kontrola botnetu w zakresie korzystania z komputerów innych osób do kontaktowania się z portalami płatniczymi w Internecie bądź kontami bankowymi, czytanie i wysyłanie korespondencji elektronicznej, poszukiwanie metod przestępczego pozyskania środków w ramach portali aukcyjnych, sklepów oferujących swoje towary do sprzedaży przez Internet, systemów płatności czy też kont bankowych obsługiwanych przez Internet. Jednym z coraz bardziej rozwijających się przestępstw internetowych jest tzw. cyberlaundering, czyli pranie brudnych pieniędzy za pośrednictwem Internetu. Spowodowane jest to postępem i rozwojem nowych technologii płatniczych oraz powszechnością dostępu do internetu. Ponadto cyberpranie jest znacznie tańsze i mniej czasochłonne. Zjawisko prania pieniędzy to takie działania, które mają na celu ukrycie przestępnego pochodzenia korzyści majątkowych i to niezależnie od tego, czy podejmującym te działania jest osoba, która popełniła przestępstwo pozwalające uzyskać korzyść majątkową, czy też osoba trzecia. Proceder ten staje się coraz bardziej ryzykowny, stąd zainteresowanie przestępców Internetem i jego możliwościami. Cyfrowy pieniądz, karty płatnicze, elektroniczny handel w powiązaniu z szybkością, bezpieczeństwem, anonimowością oraz brakiem kontroli i uregulowań prawnych związanych z Internetem - wszystko to stwarza organizacjom przestępczym wręcz wymarzone warunki do bezprawnej działalności w sieci. Pranie pieniędzy w Internecie będzie, więc dokonywaniem przelewów (transferów) w celu wprowadzania do obrotu finansowego wartości majątkowych, które pochodzą z nielegalnych lub nieujawnionych źródeł, czyli sytuacji, w której dany podmiot nie jest w stanie udokumentować źródła pochodzenia znajdujących się w jego dyspozycji wartości majątkowych. Istotną cechą prania pieniędzy w Internecie jest duża dynamika oraz złożoność. Dynamikę działań zapewnia praktycznie i teoretycznie całodobowy dostęp do Internetu, natomiast złożoność wynika z powiązania kont bankowych i kart płatniczych z portalami płatniczymi. Istnieje wiele sposobów i technik prania brudnych pieniędzy w sieci, a ściślej mówiąc zamiany realnych pieniędzy na elektroniczne i dokonywanie nimi nielegalnych płatności 2
również za pomocą Internetu. Wszystkie opierają się na dwóch podstawowych zasadach: anonimowości adresata i nadawcy oraz anonimowości transakcji. Transfer pieniędzy w mechanizmach prania pieniędzy odbywa się na podstawie fikcyjnych tożsamości zarówno wydającego dyspozycję, jak i beneficjenta, który odbiera" środki finansowe przez konta bankowe założone na tzw. słupy", skąd natychmiast podstawione osoby ( niekoniecznie te, na które założone konta bankowe, wybierają pieniądze z bankomatów. Z powodu łatwości tworzenia takich tożsamości w usługach płatniczych mogą być ich nawet tysiące. Uwarunkowane jest to sposobem działania grup i czasu, jaki mogą one poświęcić na kreowanie tożsamości. Im więcej tożsamości, tym łatwiej dany sposób działania powielać. Wielość tożsamości użytych do popełniania przestępstwa w Internecie znacznie utrudnia ujawnienie procederów przestępczych. Mnogość działań może jednoznacznie wskazywać na zorganizowaną grupę przestępczą, która uzyskuje możliwość zachowania w działaniach przestępczych pełnej anonimowości. Grupy te uzyskują także możliwości transferu większych kwot pieniędzy. Grupy przestępcze działające za pośrednictwem Internetu dążą do zwielokrotniania kont w portalach internetowych, kont bankowych obsługiwanych przez Internet oraz wszelkich innych mediów sprzężonych z ich obsługą. W ramach usług dodatkowych informacje o stanie konta bankowego i zaksięgowaniu wpłat spływają SMS-em na określony numer MSISDN. Przyśpiesza to działanie grupy, gdyż od razu po zaksięgowaniu środków na koncie dysponent otrzymuje informacje o określonym wpływie finansowym, a jednocześnie zapewnia tak pożądaną przez przestępców anonimowość oraz umożliwia wydanie odpowiednich dyspozycji, np. do przelania kwoty na inne konto i wykonania natychmiastowej wypłaty. Aby korzystać z komputerów zombie w ramach botnetu, przestępcy Internetowi piszą oprogramowanie samokasujące. Po kilkukrotnym wykorzystaniu komputera dochodzi do skasowania złośliwego oprogramowania, a co za tym idzie - zacierania śladów. Najczęściej komputerami, które się wykorzystuje się jako zombie, są komputery pracujące w firmach. Zazwyczaj takie jednostki komputerowe włączane są w godzinach dziennych w czasie funkcjonowania danej firmy. Komputer taki przetwarza duże ilości danych i wolne obszary dysku mogą ulegać szybkiemu nadpisaniu w miejscu, gdzie znajdowało się złośliwe oprogramowanie. Proceder prania pieniędzy z racji transgraniczności jest także związany z przewalutowaniem. Częstym elementem mechanizmu transferu pieniędzy w takim wypadku jest przesyłanie ich w na tyle małych kwotach, by nie podlegały one rejestracji. Obecnie zgodnie z Ustawą z dnia 16 listopada 2000 roku o przeciwdziałaniu wprowadzaniu do obrotu finansowego wartości majątkowych pochodzących z nielegalnych lub nieujawnionych źródeł 3
oraz o przeciwdziałaniu finansowaniu terroryzmu, instytucja obowiązana przyjmująca dyspozycję lub zlecenie klienta do przeprowadzenia transakcji, której równowartość przekracza 15 000 Euro, ma obowiązek zarejestrować taką transakcję, również, gdy jest ona przeprowadzana w drodze więcej niż jednej operacji, których okoliczności wskazują, że są one ze sobą powiązane. Obostrzenia wynikające z powyższej ustawy są łatwo omijane przez zorganizowane grupy przestępcze. Transakcje te wymagają wielu kont bankowych, co jest uwarunkowane kwotą pieniędzy, jakie są transferowane. Wymagają także, co jest w tym wypadku wiążące, wielu kont założonych na serwerach płatniczych, a więc wykreowania wielu tożsamości. Liczby samych transakcji, które dochodzą do kilku bądź nawet kilkudziesięciu tysięcy, tworzą olbrzymi zbiór dokumentowany cyfrowo. Internet jest doskonałym środowiskiem" do prania pieniędzy w różnych kwotach. Transfer pieniędzy z internetowych usług płatniczych ma jedną zasadniczą cechę: pieniądze nie muszą pochodzić z rachunku bankowego założonego na podstawie dokumentu tożsamości. Mechanizm prania pieniędzy w Internecie można podzielić na określone fazy następujące po tzw. przestępstwie bazowym, czyli przestępstwie, w wyniku, którego uzyskano korzyść majątkową. Pierwszą fazą występującą po przestępstwie bazowym, jest tzw. umiejscowienie, które polega na fizycznym rozporządzeniu środkami pozyskanymi w wyniku przestępstwa. Może to być lokowanie środków finansowych pochodzących z kradzieży z konta bankowego, kradzieży z konta w internetowym portalu płatniczym czy z oszustwa na platformie aukcyjnej. Na podstawie doświadczeń zawodowych mogę stwierdzić, iż etap ten wydaje się być najistotniejszym dla organów ścigania. Na tym etapie rozpoczyna się faktyczny proces prania pieniędzy. Dla cyberlaudingu charakterystyczne jest rozdrabnianie wpłat, tzw. smurfing czyli dokonywanie dużej ilości dyspozycji transferów w kwotach poniżej limitu. W przypadku działań w Internecie, wydający dyspozycje, jeśli chodzi o usługi płatnicze czy konta bankowe, dzięki temu, że posiada do nich dostęp, czy to w wyniku przejęcia tych kont, czy też wykreowania nowych, dokonuje tego sam. Faza ta, pomimo zaangażowania kilku bądź kilkunastu osób w grupie, może być niezwykle dynamicznie prowadzona przez jedną osobę przez wydawanie dyspozycji, co do kont. Nie będzie, więc wymagana duża liczba osób do dokonywania wpłat. Drugą fazą prania pieniędzy w Internecie jest maskowanie, które polega na oddzieleniu dochodów od źródła ich pochodzenia przez poprowadzenie szeregu transakcji finansowych. Ma to utrudnić lub udaremnić stwierdzenie nielegalnego pochodzenia środków. W ramach internetowych usług płatniczych czy internetowych kont bankowych dokonywanych jest wiele transakcji, często bez jakiegokolwiek uzasadnienia ekonomicznego. W tej fazie następują elektroniczne przelewy transgraniczne oraz jest stosowana metoda tzw. skrzynki rozdzielczej 4
czyli przesyłanie brudnych pieniędzy z różnych miejsc i rachunków na inne rachunki, a następnie dalsze ich przelewanie. W przypadku korzystania z Internetu transakcje są praktycznie zawsze dokonywane poniżej progu ustawowego. Sam przelew stanowi częsty element integrujący proceder prania brudnych pieniędzy, czyli tworzy pozory legalnego ich pochodzenia. Przelewanie pieniędzy z rachunku na rachunek bankowy to kolejne transakcje. Dzięki obsłudze kont bankowych przez Internet eliminuje się w znacznym stopniu podejrzenie, co do ich nielegalności. Liczne przelewy między kontami pozwalają lepiej ukryć przestępcze źródło pochodzenia środków. W przypadku działania grupy poza granicami Rzeczypospolitej Polskiej, sam tytuł przelewu może być jedynie zbiorem znaków w postaci liter lub cyfr, które w odpowiednim układzie praktycznie kodują właściwy tytuł przelewu. Pozyskane niewielkie kwoty, które następnie są przelewane na poszczególne konta, nie mogą być łączone w trakcie dokonywania przelewów. Im więcej transakcji jest dokonywanych przez przestępcę w ramach ukrycia procederu prania pieniędzy, tym trudniejsze staje się powiązanie pieniędzy z ich źródłem. Ostatnią podstawową fazą jest integracja. Jej efektem jest legalizacja dochodów pochodzących z przestępstwa. W ramach prania pieniędzy w Internecie dokonuje się tego w sposób niepełny, tzn. poprzez często nieczytelne tytuły transakcji, w których podane jest źródło zasilenia, numery referencyjne wynikające z transakcji w usługach płatniczych. Oczywiście tytuły takich przelewów nie mają odniesienia w rzeczywistości. Pieniądze, które trafiają na wybrane konto bankowe, po odpowiedniej kumulacji są natychmiast wypłacane w bankomatach. Cyberlaundering staje się coraz częstszy i atrakcyjniejszy w prowadzonej multiprzestępczej działalności zorganizowanych grup. Spowodowane jest to postępem i rozwojem nowych technologii płatniczych oraz powszechnością dostępu do Internetu. Ponadto cyberpranie jest znacznie tańsze i mniej czasochłonne. Wymaga zaangażowania mniejszej ilości ludzi, a przede wszystkim kontakty interpersonalne są zminimalizowane. Również następuje całkowita depersonalizacja w kontaktach z wszelkimi instytucjami. Samo pranie pieniędzy jako przestępstwo ma w swej istocie charakter międzynarodowy, transgraniczny. W dobie powszechnej informatyzacji i globalizacji, zanikania granic oraz tworzenia się swobody przepływu kapitału, powszechnego dostępu do bankowości elektronicznej, niezwykle istotne dla organów ścigania staje się wypracowanie takich mechanizmów działania, które znacznie przyśpieszą wymianę informacji i pozwolą przekazywać je w odpowiednim dla tego rodzaju przestępczości tempie, pozwolą zebrać właściwy materiał dowodowy zgodnie z obowiązującymi procedurami i wykonać wszystkie konieczne czynności 5
procesowe. W ramach polskiego prawa wszelkie informacje uzyskiwane z banków w sytuacji, gdy dane dotyczą osób, które nie są podejrzanymi w sprawie, wymagają zwolnienia z tajemnicy bankowej przez sąd. Po takim zwolnieniu następuje okres, w którym banki opracowują dane, o które wystąpiły organy ścigania. W zależności od systemów operacyjnych i oprogramowania, organy otrzymują z banków dane w formie cyfrowej w różnych formatach zapisu. Dane te wymagają dalszej analizy, zarówno, jeśli chodzi o ilość, jak i jakość. Serwery bankowe, rejestrują zazwyczaj podstawowe dane. Z praktyki wynika, iż uzyskanie takich danych czasami może trwać nawet kilka tygodni. Jest to czas działający jedynie na korzyść świata przestępczego. Jeśli chodzi o działania wykrywcze prowadzone wykonywane przez organa ścigania w stosunku do przestępstw internetowych, takie dane powinny być przekazywane na bieżąco. Konieczne wydaje się, więc wytworzenie uregulowań prawnych. Bardzo istotnym problem są obowiązujące procedury w zakresie uzyskiwania danych od instytucji poza granicami kraju. W tym celu, zgodnie z obowiązującym w Polsce prawem konieczne jest korzystanie ze skomplikowanej i przede wszystkim czasochłonnej procedury międzynarodowej pomocy prawnej. Dlatego w przypadku ujawnienia nowych logowań do ustalonych kont (tożsamości) wykorzystywanych w procederze przestępczym w Internecie, należy w maksymalnie najkrótszym czasie dążyć do ustalenia abonenta. Przy czym należy pamiętać, iż komputer wykorzystywany w procederze mógł zostać użyty wbrew woli lub świadomości jego właściciela. Poza tym nie można wykluczyć, że oprogramowanie, które pozwala wykorzystać przejęty komputer, zostało skasowane po jednokrotnym wykorzystaniu komputera. Charakterystyczne dla prania pieniędzy w Internecie jest dokonywanie dużej liczby transakcji, dokonywanie przelewów w różnych kwotach, dokonywanie transferów niemających uzasadnienia ekonomicznego. W procederze prania pieniędzy przez Internet rola osób jest marginalizowana. Z pojęciem prania pieniędzy w Internecie wiążą się nierozerwalnie pojęcia tożsamości i konta. Słupy", czyli osoby fizyczne, są wykorzystywane jedynie do założenia konta bankowego oraz ewentualnie do późniejszej wypłaty pieniędzy z bankomatu. Zaufanie przestępców do słupów" jest raczej ograniczone, a ich rola jest podrzędna. Szczególnie, iż słupami są najczęściej osoby z marginesu społecznego, które za niewielką opłatą są w stanie przyjąć warunki stawiane przez członków zorganizowanych grup przestępczych. Rolę słupa" przejmuje określona tożsamość w Internecie, stworzona na podstawie całkowicie fikcyjnych danych osobowych. Rola człowieka staje się marginalna. Techniczne aspekty działań zostają prawie całkowicie przesunięte do Internetu, człowiek jedynie steruje transakcjami. 6
Objaśnienia: phishingu (spoofing) wyłudzanie poufnych informacji osobistych (np. haseł lub szczegółów karty kredytowej) poprzez podszywanie się pod godną zaufania osobę lub instytucję, której te informacje są pilnie potrzebne; botnet grupa komputerów zainfekowanych złośliwym oprogramowaniem pozostającym w ukryciu przed użytkownikiem i pozwalającym jego twórcy na sprawowanie zdalnej kontroli nad wszystkimi komputerami w ramach botnetu. Kontrola ta pozwala na zdalne rozsyłanie samu oraz inne ataki z użyciem zainfekowanych komputerów; komputer zombie komputer przyłączony do Internetu, w którym bez wiedzy jego posiadacza został zainstalowany program sterowany z zewnątrz przez inna osobę. Celem takiego działania jest zazwyczaj wykorzystanie komputera do działań sprzecznych z prawem; smurfing metoda prania brudnych pieniędzy. Jest technika fazy umiejscowienia i występuje w kilku podstawowych postaciach: - otwieranie rachunków przez wielu smerfów i wypłacaniu przez nich kwot poniżej limitów, - rozdrobniony zakup surogatów pieniężnych (np. czeków podróżnych), podróżnych następnie ich legalny wywóz za granicę, - wpłacanie brudnych pieniędzy na rachunki imigrantów zarobkowych i transferowanie ich za granicę do kraju prania ; scaming działania polegające na wprowadzeniu kogoś w błąd poprzez sugestie, że jest on beneficjentem określonego dobra, na ogół finansowego. Celem tego działania jest przeprowadzenie trudnego do udowodnienia oszustwa. Najczęściej formą scamu jest korespondencja w formie elektronicznej lub tradycyjnej. cyberlaundering (ceberpranie) -pranie brudnych pieniędzy za pośrednictwem Internetu 7