Κυριακή, 6 Απριλίου 2008

Η αντιμετώπιση του phising

Πληθαίνουν τα περιστατικά διαδικτυακών επιθέσεων ηλεκτρονικού "ψαρέματος", του λεγόμενου phishing, όχι μόνο στο εξωτερικό, αλλά και στη χώρα μας. Πρόσφατα ανακοινώθηκε από ελληνικά τραπεζικά ιδρύματα ότι οι χρήστες του Διαδικτύου βομβαρδίζονται από πλήθος μηνυμάτων που τους καλούν να δώσουν τα στοιχεία τους (αριθμούς πιστωτικής κάρτας, κωδικούς τραπεζικών λογαριασμών κλπ.). Όσοι επιχειρούν τις απόπειρες αυτές αποσκοπούν στην κλοπή στοιχείων που χρησιμοποιούνται για την πιστοποίηση της ηλεκτρονικής κυρίως ενός προσώπου και στην αφαίμαξη χρηματικών πσοών από τραπεζικούς λογαριασμούς ή στην χρέωση πιστωτικών καρτών.

Οι απόπειρες εξαπάτησης λαμβάνουν χώρα με την αποστολή παραπλανητικών μηνυμάτων που μοιάζουν ότι προέρχονται από ένα τραπεζικό ή χρηματοδοτικό ίδρυμα και έχουν την εξής μορφή:




















Παρόμοια μηνύματα αποστέλλονται κατά χιλιάδες ανά την υφήλιο και αποτελούν ένα πραγματικό πρόβλημα ασφάλειας που απειλεί τις διαδικτυακές συναλλαγές.
(βλ. Internet Threat Report 2007)

Το φαινόμενο αυτό αναδεικνύει την έλλειψη επαρκούς νομοθεσίας στην Ελλάδα, καθώς η χώρα μας δεν έχει κυρώσει τη Σύμβαση της Βουδαπέστης για το Διαδικτυακό έγκλημα, η οποία αντιμετωπίζει εν μέρει τη διαδικτυακή απάτη.

Θεωρούμε ότι θα έπρεπε ο νομοθέτης να κάνει ένα βήμα πέρα από τις ρυθμίσεις και αυτής της σύμβασης και να θεσπίσει ειδικούς κανόνες που να αντιμετωπίζουν τις νέες μορφές διαδικτυακής απάτης.

Πρόταση νόμου για την αντιμετώπιση του φαινομένου κατατέθηκε από τον Γερουσιαστή Patrick Leahy στις 28.12.2005, σύμφωνα με την οποία το phishing θα τιμωρούνταν ποινικά. Η πρόταση αυτή, η οποία δεν ψηφίσθηκε τελικά, έχει ως εξής:
109th CONGRESS
1st Session
H. R. 1099

To criminalize Internet scams involving fraudulently obtaining personal information, commonly known as phishing.

    (a) In General- Chapter 63 of title 18, United States Code, is amended by adding at the end the following:

`Sec. 1351. Internet fraud

    `(a) Website- Whoever knowingly, with the intent to carry on any activity which would be a Federal or State crime of fraud or identity theft--

      `(1) creates or procures the creation of a website or domain name that represents itself as a legitimate online business, without the authority or approval of the registered owner of the actual website or domain name of the legitimate online business; and

      `(2) uses that website or domain name to induce, request, ask, or solicit any person to transmit, submit, or provide any means of identification to another;

    shall be fined under this title or imprisoned up to five years, or both.

    `(b) Messenger- Whoever knowingly, with the intent to carry on any activity which would be a Federal or State crime of fraud or identity theft--

      `(1) falsely represents itself as being sent by a legitimate online business;

      `(2) includes an Internet information location tool that refers or links users to an online location on the World Wide Web that falsely purports to belong to or be associated with such legitimate online business; and

      `(3) induces, requests, asks, or solicits a recipient of the electronic mail message directly or indirectly to provide, submit, or relate any means of identification to another;

    shall be fined under this title or imprisoned up to five years, or both.

    `(c) Definitions- In this section:

      `(1) The term `domain name' has the meaning given that term in section 46 of the Act entitled `An Act to provide for the registration and protection of trademarks used in commerce, to carry out the provisions of certain international conventions, and for other purposes' (in this subsection referred to as the `Trademark Act of 1946') (15 U.S.C. 1127).

      `(2) The term `Internet' has the meaning given that term in section 230(f)(1) of the Communications Act of 1934 (47 U.S.C. 230(f)(1)).

      `(3) The term `electronic mail message' has the meaning given that term in section 3 of the CAN-SPAM Act of 2003 (15 U.S.C. 7702).

      `(4) The term `initiate' has the meaning given that term in section 3 of the CAN-SPAM Act of 2003 (15 U.S.C. 7702).

      `(5) The term `procure' means intentionally to pay or provide consideration to, or induce, another person to create a website or domain name.

      `(6) The term `recipient' has the meaning given that term in section 3 of the CAN-SPAM Act of 2003 (15 U.S.C. 7702).

      `(7) The term `Internet information location tool' when used in this section has the meaning given that term in section 231 of the Communications Act of 1934 (47 U.S.C. 231).

      `(8) The term `means of identification' when used in this section has the meaning given that term in section 1028 of this title.'.

    (b) Chapter Analysis- The chapter analysis for chapter 63 of title 18, United States Code, is amended by adding at the end the following:

      `1351. Internet fraud.'.

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου