Mit nevezünk kiber bűncselekményeknek? Ezek egységes meghatározása nehéz, mivel e bűncselekmények köre túlságosan széles, nem mindegyik sorolható be egy meghatározott fogalmi kategóriába és gyorsan alakulnak ki új módszerek.
A kizárólag a kibertérben elkövethető bűncselekmények (cyber dependent crime) esetében az információs rendszer a bűncselekmény elkövetési tárgya, a kibertérben is elkövethető bűncselekményeknél (cyber enabled crime) pedig az információs rendszer a bűncselekmény fogalmi elemeinek tárgyi oldalán, szituációs ismérvként jelenik meg.
A bűncselekményeket ma már egyre nagyobb arányban információs rendszerek és internet felhasználásával követik el, illetve az információs rendszer bizonyítási eszközök tárháza is lehet.
A kiberbűnözés a bűncselekmények széles spektrumát öleli fel, ezek közül a teljesség igénye nélkül a legjellemzőbbek az alábbiak:
- online indentitás lopás
- számítógépes csalás
- bankkártya csalás
- gyermekek szexuális kizsákmányolása
- különböző termékek illegális kereskedelme (pl. fegyverkereskedelem)
- online felhasználói fiókokba történő illetéktelen belépések
- kritikus infrastruktúra és információs rendszerek ellen irányuló kibertámadások.
A Büntető Törvénykönyvről szóló 2012. évi C. törvényből két bűncselekmény, a csalás és az információs rendszer felhasználásával elkövetett csalás sorolható e körbe, tágabb értelmezés szerint ide sorolható továbbá az információs rendszer vagy adat megsértése, illetve az információs rendszer védelmét biztosító technikai intézkedés kijátszása is.
Nem lehet figyelmen kívül hagyni azt sem, hogy a fenti bűncselekményekkel megszerzett adatok felhasználásával további jogellenes cselekmények követhetők el:
– a készpénz-helyettesítő fizetési eszköz hamisítása,
– a készpénz-helyettesítő fizetési eszközzel való visszaélés, valamint annak elősegítésére irányuló cselekmény, melyet a Btk. 394. § szabályoz.
Az információs rendszer felhasználásával elkövetett, kárt okozó magatartások elsősorban vagyoni érdekeket sértő, csalásszerű magatartások, mindazonáltal ezeket a csalástól elkülönítetten indokolt szabályozni, hiszen hiányzik a klasszikus értelemben vett tévedésbe ejtés vagy tévedésben tartás. A kárt az információs rendszer jogtalan befolyásolása okozza. A törvény ennek megfelelően a vagyon elleni bűncselekmények fejezetében önálló tényállásként szabályozza az információs rendszer felhasználásával elkövetett csalást.
A kibertámadások jellemzően az elektronikus adatok (információs rendszerek) bizalmasságát, integritását, vagy rendelkezésre állását sértik, míg az online csalások jellemzően személyes- vagy banki adatok megszerzésére irányulnak.
JELLEMZŐ ELKÖVETÉSI MAGATARTÁSOK
I. Internet útján elkövetett „klasszikus” (adás-vételi) csalások
A deliktum többféle online felületen is megvalósulhat, azonban az elkövetések közös jellemzője, hogy az egymással kapcsolatba került sértett és elkövető nem találkozik egymással személyesen, csupán online formában kommunikálnak, így állapodnak meg az érintett ügylet (pl. vásárlás, csere, befektetés) részleteiben. A bűncselekmény ugyan információs rendszerek felhasználásával (online térben – cyber enabled crime) valósul meg, de a klasszikus csalás jellemzőit mutatja, mely esetben az információs rendszer csak a bűncselekmény tárgyi oldalának szituációs ismérveként jelenik meg, így a Btk. 373. § (1) bekezdésébe ütköző, és a minősítő körülményeknek megfelelően minősülő bűncselekmény elkövetése állapítható meg.
Az információs rendszer felhasználásával elkövetett csalásnak ezzel szemben szükséges tényállási eleme az információs rendszerbe történő adatbevitel, megváltoztatás, törlés, hozzáférhetetlenné tétel, vagy egyéb olyan művelet végzése, amely az információs rendszer működését befolyásolja.
II. Adatok bizalmasságát, integritását, rendelkezésre állását sértő kiberbűncselekmények
Adathalászat:
az elkövetők célja személyes-, banki-, vagy rendszer-adatok megszerzése. Az adathalászat legjellemzőbb elkövetési módjai:
- E-mail adathalászat: Az elkövetők elektronikus levélben próbálnak adatokat szerezni a sértettől, vagy átirányítani őt egy olyan felületre, ahol más adathalász technikával szerezhetnek további információkat.
- SMS adathalászat (smishing): Az elkövetők jellemzően kártékony webhelyekre mutató URL-eket küldenek meg SMS formájában a potenciális sértetteknek.
- VoIP adathalászat (vishing): Az elkövetők VoIP-technológiát használva, hívószám maszkolással próbálnak adatokat szerezni a sértettektől.
- Weboldal hamisítás (website spoofing): Az elkövetők valamely ismert szolgáltatóhoz tartozó weboldalt lemásolnak, így az arra tévedő felhasználók által megadott bejelentkezési vagy személyes adatokat megismerik.
- A domain spoofing: a weboldalak elérési címe legtöbbször csupán néhány karakterrel tér el az eredeti oldal címétől, vagy arra nagy mértékben hasonlít, ezzel is tévedésbe ejtve a sértetteket.
III. Business e-mail compromise (BEC)
Az ilyen csalások során az elkövetők – jellemzően social engineering felhasználásával – a pénzügyi döntés, pénzügyi intézkedés végrehajtására jogosult személyeket tévesztenek meg, akik a gazdálkodó szervezet vagyonából utalást kezdeményeznek az elkövetők részére.
- A cselekmény legjellemzőbb formája a külföldi beszállítókkal dolgozó cégek esetében, hogy az elkövetők hamis számlázási adatokat adnak meg a beszállító nevében adatváltozásra vagy egyéb külső körülményre hivatkozva. A megadott új számla már az elkövetőkhöz kötődik.
- Vállalati vezető jogosultságait felhasználva hamis utasítást adnak a kifizetésre, pénzügyi teljesítésre az arra jogosult alkalmazottnak.
- Kifizetésre vagy annak ellenőrzésére jogosult e-mail-fiókját feltörik, majd az onnan beszerzett adatokat felhasználva kérnek kifizetést valamely valós pénzügyi partnernek oly módon, hogy a számla adatokat előzetesen megváltoztatták.
- Az elkövetők olyan bizalmi személynek adják ki magukat, akik az általános működésben részt vesznek, azt a látszatot keltve, hogy az általuk kért átutalás hozzátartozik a cég nem rendszeres pénzügyi tevékenységéhez (ügyvéd, adótanácsadó stb.).
Malware-ek használata
A malware-ek olyan rosszindulatú programkódok, amelyeket azzal a céllal hoztak létre, hogy az információs rendszer működését befolyásolják. Természetüket tekintve különböző kategóriákat lehet felállítani, azonban a legjellemzőbben
- a zsarolóvírusok,
- a kémprogramok,
- a trójaiak, rootkitek,
- keyloggerek,
- botnetek, illetve
- adware-ek.
A személyes, illetve üzleti adatok megszerzésének klasszikus módja az adatlopó malware-ek (infostealer) használata, melyek segítségével lehetőség nyílik a fertőzött információs rendszeren tárolt adatok megismerésére, a használat során keletkező adatok valós időben történő megfigyelésére és rögzítésére is. Ezen adatokat az elkövetők tovább is értékesíthetik, vagy saját maguk is felhasználhatják további bűncselekmények elkövetésére. Kiemelt jelentőséggel bírnak e körben a különböző fizetési felületekhez (netbankhoz, elektronikus pénzszolgáltatókhoz) tartozó azonosító adatok és kódok, amelyek megszerzése után az elkövetők különböző banki tranzakciókat kezdeményezhetnek.
A zsarolóvírusok a malware-ek közé sorolható kártékony programok, amelyek a sértett információs rendszereit valamilyen támadási vektor kihasználását követően, a háttérben lezárják (ezzel akadályozva a hozzáférést) vagy az információs rendszeren tárolt adatokat titkosítják. A program tájékoztatja a felhasználót a titkosítás vagy lezárás tényéről, valamint arról, hogy a sértett milyen módon szerezheti vissza az adatait. Az elkövetők általában pénz – jellemzően kriptovaluta – átutalását kérik egy, általuk meghatározott számlára. Járulékos fenyegetésként az elkövetők kilátásba helyezhetik a titkosítással érintett adatok nyilvánosságra hozatalát is abban az esetben, ha a sértett nem teljesíti a követelést.
Az elkövetők fenti magatartásukkal a Btk. 423. § (2) bekezdés b) pontjába ütköző és aszerint minősülő információs rendszer vagy adat megsértése bűntettén túl elkövethetik a Btk. 367. § (1) bekezdésébe ütköző és a (2) bekezdés a) pontja szerint minősülő zsarolás bűntettét is.
Fontos, hogy a különböző malware-ek felhasználása kimerítheti a Btk. 423. § (2) bekezdés a) és b) pontjába ütköző és aszerint minősülő információs rendszer vagy adat megsértése bűntettét, vagy akár a 422. § (1) bekezdésének d) és e) pontjába ütköző és aszerint minősülő tiltott adatszerzés bűntettét is.
Jogosulatlan hozzáférés (hacking) jellegű bűncselekmények
A jogosulatlan hozzáférést megvalósító kibertámadások jellemzően információs rendszerekhez, felhasználói fiókokhoz történő jogosulatlan hozzáféréssel valósulnak meg. A jogalkotó nem tesz különbséget aközött, hogy az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával történt a belépés, valamint ugyanígy büntetendő az is, aki jogosultsága kereteit túllépve vagy azt megsértve bent marad az információs rendszerben.
Túlterheléses támadások (DoS és DDoS)
A túlterheléses támadások egy információs rendszer irányába egy adott időintervallumban jelentős számú kapcsolódást megvalósító támadások, melyek következtében a célzott kiszolgáló nem képes rendeltetésszerűen kiszolgálni további kéréseket. Az ilyen támadások többféle módszerrel is megvalósíthatók, azonban attól függően, hogy a kapcsolódási kísérletek forrása egy- vagy több forrás eszköz, megkülönböztetünk egyszerű túlterheléses (DoS) vagy elosztott túlterheléses támadásokat (DDoS).
ATM-eket érintő kiberbűncselekmények
- ATM adatszerzés
A bankkártya adatok ATM-re helyezett elektronikai eszközzel történő lemásolását (skimming) jelenti. Ez a módszer csökkenő tendenciát mutat a korábbi évekhez képest, de továbbra is létezik, melynek során az elkövetők egyre fejlettebb eszközöket alkalmaznak.
- ATM – „Deep Insert”
ATM-es adatszerzés vonatkozásában az elkövetők az ún. „Deep Insert” módszert alkalmazzák, mely során az adatszerző egységet a kártyaolvasó egységen belül helyezik el, melynek felhelyezése és eltávolítása speciális eszközzel történik. A PIN kód megszerzése továbbra is rejtett kamerával vagy álbillentyűzet segítségével történik.
Ezen elkövetési magatartás nem azonos az a) pontban ismertetett magatartással.
- ATM-ek elleni logikai támadás
Az elkövetők banki ATM-et támadnak meg szoftveres úton annak érdekében, hogy az abban lévő készpénzt megszerezzék.
Az ATM burkolatán (előlap) olvasztással lyukat vágnak annak érdekében, hogy a bizonylatkiadó rendszer USB portjához hozzáférve – külső informatikai eszköz csatlakoztatásával – az ATM szoftverének azonnali pénzkiürítési parancsot adjanak.
RENDBELISÉG, HALMAZATI, ELHATÁROLÁSI KÉRDÉSEK
A „számítógépes” (információs rendszer felhasználásával elkövetett) csalás (Btk. 375. §) a csaláshoz (Btk. 373. §) képest nem speciális bűncselekmény, mert a specialitás csak egymást – az általános elemeit tekintve – fedő tényállások kapcsolatában értelmezhető. Az információs rendszer felhasználásával elkövetett csalás tényállásának megfogalmazása során a törvényhozó éppen abból indult ki, hogy természetes személy passzív alany hiányában, az adott módszerrel történő elkövetés mellett a csalás nem állapítható meg.
Ennélfogva a „számítógépes” csalás nem speciális bűncselekmény a csaláshoz viszonyítva, hanem egy olyan másik bűncselekmény, amelynek elkövetése esetén a csalás nem is állapítható meg.
Az információs rendszer felhasználásával elkövetett csalás – egyebek mellett – a jogosulatlanul megszerzett készpénz-helyettesítő fizetési eszköz felhasználásával is megvalósulhat, ezáltal a készpénz-helyettesítő fizetési eszközzel visszaélés az előbbi bűncselekménynek rendszerint eszközcselekménye. Ennek következtében e két bűncselekmény halmazata látszólagos, csak az előbbi bűncselekmény megállapításának van helye. (BH 2015. 244.)
Abban az esetben, ha a készpénz-helyettesítő fizetési eszköz jogosulatlan megszerzését követően annak felhasználására is sor kerül (vagy a felhasználást megkísérlik), már nem a Btk. 393. §-ba ütköző készpénz-helyettesítő fizetési eszközzel visszaélés valósul meg, hanem a Btk. 375. §-ba ütköző információs rendszer felhasználásával elkövetett csalás vagy annak kísérlete megállapításának van helye. A Btk. 375. § (5) bekezdésében a törvény összetett bűncselekményként törvényi egységet hozott létre, a két bűncselekmény halmazata tehát kizárt.
Ezzel szemben a Btk. 392. §-ában foglalt készpénz-helyettesítő fizetési eszköz hamisítása nem szükségszerű eszközcselekménye a Btk. 375. § (5) bekezdésébe ütköző csalási cselekmények, ilyen módon egymással valóságos anyagi halmazatban állnak.
Az információs rendszer felhasználásával elkövetett csalás megvalósítható adatbevitellel, adat módosításával, törlésével, hozzáférhetetlenné tételével, továbbá minden más olyan művelet elvégzésével, amely az információs rendszert befolyásolja, és ezzel kárt okoz.
A pénzintézet internetes felületén végrehajtott olyan pénzügyi műveletek azonban, amelyek a pénzintézettel megkötött NET számlacsomagok, illetve az internetbanki szerződésben foglaltaknak megfelelnek, a számítógépes rendszer rendeltetésszerű igénybevételét jelentik, ezért az információs rendszer felhasználásával elkövetett csalás különös részi tényállását nem valósítják meg. (BH2017. 252.)
Aki a Btk. 375. §-ban tárgyalt bűncselekmény elkövetése céljából jelszót vagy programot készít (átad, hozzáférhetővé tesz stb.), a Btk. 424. §-ában írt vétséget valósítja meg. Ha azonban a tettes ezeket az adatokat alkalmazva az információs rendszer felhasználásával elkövetett csalást [Btk. 375. § (1)-(4) bek.] megkíséreli vagy véghez is viszi, az említett előkészületi magatartás a tettesi cselekményhez nyújtott bűnsegélyként értékelendő.
Pénzintézeti ügyfelek sérelmére elkövetett bűncselekmények
A távoli hozzáférést biztosító szoftverek felhasználásával megvalósított magatartások (ún. AnyDesk, TeamViewer stb. csalások)
Ezekben az esetekben az elkövetés első mozzanataként az elkövető telefonon arra veszi rá a sértettet, hogy töltse le a távoli hozzáférést biztosító szoftvert, majd a sértett által megadott munkaállomás-azonosító számsor saját eszközén történő bevitelével biztosítja a sértett eszközéhez a saját eszközéről történő hozzáférést. A megtévesztett, téves feltevésben cselekvő sértett által megadott munkaállomásazonosító felhasználásával a sértett által használt információs rendszer védelmét biztosító technikai intézkedés kijátszása megtörténik, majd annak nyomán – a távoli kapcsolat sértett általi elfogadásával – a sértett információs rendszeréhez történő jogosulatlan hozzáférés megvalósul.
Az elkövető a belépéshez szükséges feltételeket a tévedésben levő sértett felhasználásával teremti meg, azonban a Btk. 423. § (1) bekezdése szerinti bűncselekménynek önálló tettese.
Amennyiben megállapítást nyer, hogy az elkövető a távoli hozzáférés révén kifürkészett adatokat technikai eszközzel is rögzítette, – a bűncselekmény egyéb tényállási elemeinek megléte esetén – a Btk. 422. § (1) bekezdésének e) pontjába ütköző tiltott adatszerzés büntette valósul meg.
Az elkövetés második mozzanataként az elkövető vagy a
a) sértettet bírja rá valótlan indokkal utalás kezdeményezésére,
b) vagy a távoli hozzáférés révén jogosulatlanul megismert, illetve a sértett által megadott adatok birtokában maga kezdeményezi az utalást.
Az első esetben (a) a természetes személy megtévesztésére és a pénzügyi rendelkezés sértett általi, megtévesztés következtében történő végrehajtására figyelemmel csalás bűncselekménye állapítható meg.
A második esetben (b) viszont az elkövető a sértettől csalárd módon megszerzett, átutaláshoz/egyéb fizetéshez szükséges azonosítókat maga viszi be az információs rendszerbe, e cselekmény pedig információs rendszer felhasználásával elkövetett csalás megállapítására alkalmas.
Az eltérő jogi tárgyra és a nem szükségszerű célcselekmény – eszközcselekmény viszonyra figyelemmel mindkét vagyon elleni bűncselekmény halmazatban áll a sértett eszközét érintően jogosulatlan távoli hozzáféréssel megvalósuló információs rendszer elleni bűncselekménnyel, vagy tiltott adatszerzéssel.
Amennyiben a sértett is kezdeményez utalást, és az elkövető is hajt végre tranzakciót, a csalás és az információs rendszer felhasználásával elkövetett csalás halmazata – az információs rendszer elleni bűncselekmény vagy a tiltott adatszerzés mellett – a Legfőbb Ügyészség álláspontja szerint szintén valóságos.
Ezekben az ügyekben a sértett elkövetéskori tartózkodási helye azonosítható eljárási jogosultságot/kötelezettséget meghatározó illetékességi körülményként, mint az a hely, ahol az őt megtévesztő magatartás, illetve az eszközét ért jogosulatlan hozzáférés realizálódik.