Kiberbűncselekmények –
Számítógépes csalás és
online visszaélések

Mit nevezünk kiberbűncselekményeknek? Ezek egységes meghatározása nehéz, mivel e bűncselekmények köre túlságosan széles, nem mindegyik sorolható be egy meghatározott fogalmi kategóriába és gyorsan alakulnak ki új módszerek. Ha kiberbűncselekménnyel gyanúsítják, az első lépés egy tapasztalt büntetőjogi védőügyvéd felkeresése.

A kizárólag a kibertérben elkövethető bűncselekmények (cyber dependent crime) esetében az információs rendszer a bűncselekmény elkövetési tárgya, a kibertérben is elkövethető bűncselekményeknél (cyber enabled crime) pedig az információs rendszer a bűncselekmény fogalmi elemeinek tárgyi oldalán, szituációs ismérvként jelenik meg.

A bűncselekményeket ma már egyre nagyobb arányban információs rendszerek és internet felhasználásával követik el, illetve az információs rendszer bizonyítási eszközök tárháza is lehet.

A kiberbűncselekmények köre folyamatosan bővül – a digitális nyomok azonosítása kulcsszerepet játszik a büntetőeljárásokban.

① A kiberbűnözés legjellemzőbb formái

A kiberbűnözés a bűncselekmények széles spektrumát öleli fel, ezek közül a teljesség igénye nélkül a legjellemzőbbek az alábbiak:

• Online identitáslopás – személyes adatok jogosulatlan megszerzése és felhasználása
• Számítógépes csalás – Btk. 375. § szerinti tényállás
• Bankkártya-csalás – készpénz-helyettesítő fizetési eszközzel való visszaélés (Btk. 393. §)
• Gyermekek szexuális kizsákmányolása online platformokon
• Különböző termékek illegális kereskedelme (pl. fegyverkereskedelem, kábítószer)
• Online felhasználói fiókokba történő illetéktelen belépések
• Kritikus infrastruktúra és információs rendszerek ellen irányuló kibertámadások

② Btk. szerinti minősítés – alkalmazandó tényállások

A Büntető Törvénykönyvről szóló 2012. évi C. törvényből két bűncselekmény, a csalás és az információs rendszer felhasználásával elkövetett csalás sorolható e körbe, tágabb értelmezés szerint ide sorolható továbbá az információs rendszer vagy adat megsértése, illetve az információs rendszer védelmét biztosító technikai intézkedés kijátszása is.

Nem lehet figyelmen kívül hagyni azt sem, hogy a fenti bűncselekményekkel megszerzett adatok felhasználásával további jogellenes cselekmények követhetők el: a készpénz-helyettesítő fizetési eszköz hamisítása, a készpénz-helyettesítő fizetési eszközzel való visszaélés, valamint annak elősegítésére irányuló cselekmény, melyet a Btk. 394. § szabályoz.

I. Internet útján elkövetett „klasszikus" (adás-vételi) csalások

II. Adathalászat és az adatok bizalmasságát sértő kiberbűncselekmények

Az adathalászat célja személyes-, banki-, vagy rendszer-adatok megszerzése. Az adathalászat legjellemzőbb elkövetési módjai:

• E-mail adathalászat: Az elkövetők elektronikus levélben próbálnak adatokat szerezni a sértettől, vagy átirányítani őt egy olyan felületre, ahol más adathalász technikával szerezhetnek további információkat.
• SMS adathalászat (smishing): Az elkövetők jellemzően kártékony webhelyekre mutató URL-eket küldenek meg SMS formájában a potenciális sértetteknek.
• VoIP adathalászat (vishing): Az elkövetők VoIP-technológiát használva, hívószám maszkolással próbálnak adatokat szerezni a sértettektől.
• Weboldal hamisítás (website spoofing): Az elkövetők valamely ismert szolgáltatóhoz tartozó weboldalt lemásolnak, így az arra tévedő felhasználók által megadott bejelentkezési vagy személyes adatokat megismerik.
• Domain spoofing: A weboldalak elérési címe legtöbbször csupán néhány karakterrel tér el az eredeti oldal címétől, vagy arra nagy mértékben hasonlít, ezzel is tévedésbe ejtve a sértetteket.

Az adathalászati módszerek egyre kifinomultabbak – az áldozatok sokszor csak utólag értesülnek az adataik ellopásáról.

III. Business e-mail compromise (BEC)

Az ilyen csalások során az elkövetők – jellemzően social engineering felhasználásával – a pénzügyi döntés, pénzügyi intézkedés végrehajtására jogosult személyeket tévesztenek meg, akik a gazdálkodó szervezet vagyonából utalást kezdeményeznek az elkövetők részére.

• A cselekmény legjellemzőbb formája a külföldi beszállítókkal dolgozó cégek esetében: az elkövetők hamis számlázási adatokat adnak meg a beszállító nevében adatváltozásra hivatkozva. A megadott új számla már az elkövetőkhöz kötődik.
• Vállalati vezető jogosultságait felhasználva hamis utasítást adnak a kifizetésre az arra jogosult alkalmazottnak.
• Kifizetésre jogosult e-mail-fiókját feltörik, majd az onnan beszerzett adatokat felhasználva kérnek kifizetést oly módon, hogy a számlaadatokat előzetesen megváltoztatták.
• Az elkövetők olyan bizalmi személynek adják ki magukat, akik az általános működésben részt vesznek, azt a látszatot keltve, hogy az általuk kért átutalás hozzátartozik a cég nem rendszeres pénzügyi tevékenységéhez (ügyvéd, adótanácsadó stb.).

IV. Malware-ek használata

A személyes, illetve üzleti adatok megszerzésének klasszikus módja az adatlopó malware-ek (infostealer) használata, melyek segítségével lehetőség nyílik a fertőzött információs rendszeren tárolt adatok megismerésére, a használat során keletkező adatok valós időben történő megfigyelésére és rögzítésére is. Ezen adatokat az elkövetők tovább is értékesíthetik, vagy saját maguk is felhasználhatják további bűncselekmények elkövetésére.

A zsarolóvírusok a sértett információs rendszereit lezárják vagy az azon tárolt adatokat titkosítják. Az elkövetők általában pénz – jellemzően kriptovaluta – átutalását kérik egy általuk meghatározott számlára. Járulékos fenyegetésként az elkövetők kilátásba helyezhetik a titkosítással érintett adatok nyilvánosságra hozatalát is, ha a sértett nem teljesíti a követelést.

V. Jogosulatlan hozzáférés (hacking) és túlterheléses támadások

A hacker-támadások egyre kifinomultabb módszerekkel célozzák meg a kritikus informatikai rendszereket.

Jogosulatlan hozzáférés (hacking)

A jogosulatlan hozzáférést megvalósító kibertámadások jellemzően információs rendszerekhez, felhasználói fiókokhoz történő jogosulatlan hozzáféréssel valósulnak meg. A jogalkotó nem tesz különbséget aközött, hogy az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával történt a belépés, valamint ugyanígy büntetendő az is, aki jogosultsága kereteit túllépve vagy azt megsértve bent marad az információs rendszerben. A cselekmény a Btk. 422–424. § hatálya alá eshet.

Túlterheléses támadások (DoS és DDoS)

A túlterheléses támadások egy információs rendszer irányába egy adott időintervallumban jelentős számú kapcsolódást megvalósító támadások, melyek következtében a célzott kiszolgáló nem képes rendeltetésszerűen kiszolgálni további kéréseket. Attól függően, hogy a kapcsolódási kísérletek forrása egy- vagy több forráseszköz, megkülönböztetünk egyszerű túlterheléses (DoS) vagy elosztott túlterheléses támadásokat (DDoS). Az NKI incidens-bejelentési rendszere ezeket kiemelt prioritású eseményként kezeli.

VI. Rendbeliség, halmazati és elhatárolási kérdések

Az információs rendszer felhasználásával elkövetett csalás tényállásának megfogalmazása során a törvényhozó éppen abból indult ki, hogy természetes személy passzív alany hiányában, az adott módszerrel történő elkövetés mellett a csalás nem állapítható meg. Ennélfogva a „számítógépes" csalás nem speciális bűncselekmény a csaláshoz viszonyítva, hanem egy olyan másik bűncselekmény, amelynek elkövetése esetén a csalás nem is állapítható meg.

Az információs rendszer felhasználásával elkövetett csalás – egyebek mellett – a jogosulatlanul megszerzett készpénz-helyettesítő fizetési eszköz felhasználásával is megvalósulhat, ezáltal a készpénz-helyettesítő fizetési eszközzel visszaélés az előbbi bűncselekménynek rendszerint eszközcselekménye. Ennek következtében e két bűncselekmény halmazata látszólagos, csak az előbbi bűncselekmény megállapításának van helye. (BH 2015. 244.)