MODALITATI DE PREVENIRE SI COMBATERE A FRAUDELOR INFORMATICE iN REGIM TRASFRONTALIER Teodor Bivol, prof. Presedinte al Asociatiei Cultural-Stiinfifice “Vasile Pogor” din lasi ~ Romania Frauda informatica este intotdeauna un act premeditat. - Teodor Bivol “Abstract. The purpose of this article isto attention about the rsks coming from using information technologies. The ‘main point isto notice the main risk factors in information infractions, to identify their subjects and motivation, to ‘establish efficient and effective security measures, Because even now, in the top of Information Age, these risks are not treated properly, things that inthe end ean cause not only financial lost. Cuvinte choi: Fraudi informaticd, skimming, phishing, malware, mesa) electronic. Frauda informatidtreprezint& un fenomen al zilelor noastre. Psihologii spun e teama de atacuriinformatice © depiigeste in intensitate pe cea fata de furturi sau fraude obignuite. fn condifile tn care doar 5% dinte faptele penale slivirgite prin utilizarea sistemelor informatice, ajung la ‘cunostin{a organclor de cercetare penal, am consideat ne- ‘cesar s& constientizim tot mai mult efectul numit: fraud informatica. PotrivitInspectoratului General al Politi Romane — Brigada pentru Combaterea Crimei Organizate, in prima jumitate a anului 2012 fraudele cu earduri au cunoscut © erestere exponential, inregistrandu-se numeroase ca- zauri de persone depistate la bancomate in Romania care folosese cari de credit in mod fraudulos. De asemenea, autoritifile striine au semnalat numeroase eazuri in care cetijeni romani sunt depistati comiténd astfel de fraude la bancomate in afara far. In cele mai multe cazuri,activie tafile infractionale sunt initiate din Romania dar vizeazé vietime din stréindtate sau sunt finalizate fn stréindtate, ‘unde se ridicé produsulfinanciar. ‘Autoriifolosese in comiterea acestor fapte sisteme de plata rapide oferite prin Internet (sistem escrow, conturi de Paypal, conturi e-gold, conturi de internet - bancking) sau sisteme de transfer rapid de bani (wite transfer ~ servic oferite de insttutii ca Western Union sau Money Gramm), Cele mai active zone ale fri in ceea ce priveste co- miterea acestui gen de fapte sunt: Bucuresti, Alexandria, Ramnicu Valcea, Craiova, Timisoara, Iasi, Sibiu si Con- stanja. Conform apolar 1GPR, se soma o tenn de specializare continua a infractorior atat asupra acti- vitijilor desfigurate, edt gi din punct de vedere tehnic, pentru identificarea de noi moduri de operare: lictafii frauduloase, folosire de site-uri false de escrow, sit-uri de transport, site-uri de comert electronic, site-uri de phishing, ascunderea urmelor prin Internet gi circuitu- Jui produsului financiar. Din cazuistica instrumentata de IGPR, reiese faptul & o parte din rejelele criminale organizate,transnatio- nale, care in trecut i desfasurau activitatea In alte do- ‘menii (trafic de autoturisme furate trafic de finfe umane si chiar traficul de droguri) s-au reorientat, sivargind in- fractiuni cu earti de credit si prin INTERNET, sumele de 134 bani obtinute in mod ilicit ea urmare a acestor actvit find uneori mult mai mari decat cele objinute anterior. Factori care au determinat reorientarea grupariloreri- minale ctr infractiuni cu cdrfi de credit sunt: = objinerea de cstiguri materiale mari intr-un timp relativ scurt si cu riscur relativ mici; = caracteril transfrontalier al infractiunilor face ca instrumentarea acestora de cltre autoritaile unui stat si fic mult mai dificil, intruedt pentru probarea faptelor este nevoie, de cele mai mute ori, de obfinerea unorinformatii de la autoritijle competente din mai multe state, pe calea cererilor de asistenfa juridica internafionala, procedura ce este costisitoare si lenta; = accesul facil la echipamente modeme, eare permit desfigurarea de activittiilicite complexe; ~ posibilitatea deplasari rapide de pe teritoriul unui stat pe teitoriul altui stat a membrilor unei grupati cri- minale, urmarirea activitati desfigurate de care acestia find de cele mai multe ori, foarte greu de realizat de catre autoritatile competente La nivelul Directiei Generale de Combatere a Crimi nalitifii Organizate, a fost infiinfat un compartiment spe- cializat in domeniul prevenirii si combaterii pornografiei infantile, datéfiind importanga Internet-ului, ca si mijloc de comunicare, in special fn rindul tinerilor. In ceea ce priveste cimininalitatea in domeniu, nu se inregistreazi evolufii semnificative neflind depistate sau semnala te cazuri de racolare de minori prin Internet, care, ulte- rrior, si fie victime ale unor abuzuri sexuale. In schimb, se inregistreaz un numir crescut de cazuri in care tneri, levi sau studenti se filmeazi in timpul umor acte sexuale, dupa care distibuie materialele prin Intemet Pentru a asigura o ripostaeficienta acestui gen de fap- te infractionale, Directia Generala de Combatere a Crimi- nalitifii Organizate a pus bazele unui task-force cu F.B.L, pe linia fraudelor informatice, care, incepind cu tuna aprilie 2011, a devenit operational si desfisoaré activitati specifice de investgare. Primele sase luni ale anului 2011, releva faptul c@ au fost constatate 526 de infractiuni comi- se in domeniul criminaltiitinformatice. Din cele 340 de persone invinuite, 65 au fost retinute sau arestate. Cooperarea Ia nivel international cu Politi din alte state, precum si coordonarea actvitatilor desfigurate de autortatile roman gi stréine, au condus la destructurarea ‘mai multor refele infractionale. De exemplu: ti= .Operatiunea Braila”, desfasurata in colaborare cu utorititle politienesti din Spania, impotriva unei grupari infractionale alcatuita din cetajeni romani, ce actionau in special in Romania si Spania, dar care aveau ramificaii in rai multe state europene precum Belgia gi Franta; = “Operatiunea Armaghedon’” a fost demarati in luna septembrie a anului 2010 de etre Brigada Centrala de Investigafii gi Delinevents Specializati. din Spania, la succesul acesteia contribuind politisti spanioli, romani italien, sprijiniti de Interpol si Europol. In cadrul acesteia, © refea de falsificatori de carduri a fost anihilata de catre polifistii romani in colaborare cu autoritafi din alte state, find arestate 14 persoane in Roménia si 65 in Spania. Grupul infractional era specializat in producerea de echi- pamente pentru contrafacerea de cdrji de credit cu care, ulterior, se realiza extragerea banilor din bancomate, atat ‘in Rominia cat si in tari din vestul Europe: Italia, Spania, ‘Olanda, Danemarca, Suedia, Franta; - ,Operatiunea Clone" care prin colaborare cu auto- ritiile italiene a dus la arestarea, in Italia, a 14 persoane; = ,Operatiunea Savitar” desfisurati in colaborare cu sutoritile daneze a fucut ca 24 de persoane si fe arestate {in Danemarea si Olanda ‘In primul semestru al anului curent, structuile cen- trale si teritoriale ale Directiei de Combatere a Marit Cri- ‘minalitii Eeonomico - Financiare au constatat 1.131 in- fractiun, find cercetate 540 de persoane, printre care si ‘un minor, 44 dintre acestea in stare de refinere sau arest Din cele 540 de persoane, $8 au fost cetifeni strani Politistit Directiei au mai identificat 42 de grupur infrac- fionale, dintre care au fost anihilate opt si au confiscat 21.263.580 de euro, 150.000 de USD, dou milioane de RON, sapte autoturisme, 26 de imobile, 2,681 kg. de aur, precum si bunuri in valoare de 124,000,000 de RON. Modalititile de spalare a banilor folosite de cétre in- fractori sunt, cel mai adesea: spllarea banilor obfinufi din contraband si evaziune fiscal, prin intermediul sistemu- Jui bancar, de catre grupuriinfractionale organizate, speci- alizate in infintarea si folosirea firmelor fantoma, pentru a transferailegal in stréinatate fondurile obfinute din astfel de activitti ilegale, transferarea succesiva a unor mari sume de bani, din conturile curente ale societitilor comer ciale ce desfisoari activitatiaparent legale, in contul unor firme fantom, pe baza nor operatiuni comerciale fictive (sistent, consultant, prestiri servicii), diminuaind astfel baza impozabilé si generind fictiv TVA deductibil, rearea de circuite financiare $i comerciale fictive prin folosirea de societiti de tipul fantoma pentru objinerea de rambursiri ilegale de TVA sau prin utilizarea unor documente eomer- ciale falsificate, care proveneau de la socictiti comerciale fantoma, multi infractori au solicitat si obtinut rambursiri ilegale de TVA si compensiri cu obligatiifiscale © alta metoda este splarea banilor, de regula, prin utilizarea firmelor si bincilor din “paradisurile fiscal folosindu-se ,inginerii financiar bancare" specifice Pentru documentarea infractionali a grupirilor criminale din sfera criminalitatii oganizate, acontrabandei ccuproduse contrafacute, precum sia contrabandei cu tutun dar sipentra combaterea spaldri banilor a fraudelorfiscale si infractiunilor la regimul pietei de capital, concomitent 135 a insttuirea masurilor asiguratori, in vederea confiscirii bbunurilor si valorilor folosite sau obfimute prin sBvaryirea de infractiuni legate de criminalitatea organizaté au fost constituite de grapuri de Iucru comune de catre Parchetul de pe langa inalta Curte de Casatic si Justitie - Directia de Investigare a Infractiunilor de Criminalitate Organizata si Tetorism, Oficiul National Pentru Combaterea Spal Banilor, Garda Financiara, A.N.A.F. $i A.N.V Sau pentru monitorizarea afacerilor ilegale cu petrol, in special in zona Portului Constanta, Principatele moduri de operare intalnite sunt! = SKIMMING-ul care consti in instalarea de dispozitive Ia bancomate, POS-uri sau camere de Iuat vederi prin care sunt copiate datele de pe benzile magnetice ale cardurilor si este eapturat PIN-ul, Ulterior, datele objimute sunt transferate in computere si, cu ajutorul altor dispozitive, banda magneticd a cardului este reinseriptionati ~ PHISHING-ul - createa unor pagini web false si transmiterea de mesaje electronice citre diverse persoane fn scopul obfinerii unor date de identitate sau informatii confidentiale de pe carduri sau referitoare la conturi bancare. -MALWARE’-ul, ca orice alt produs. informatie, a suferit o serie de schimbiri (0 evolutie) de-a lungul timpului, Dacd initial, malware-ul avea un caracter demonstrat (in sensul e& marea majoritate a creatorilor de malware incercau si demonstreze cd pot crea un malware foarte complicat de detectat),o data cu evotutia intemetului, malware-ul a capitat un aspect tot mai comercial in ultimii 2 ani, creatorii de malware se orienteazi tot mai mult spre céstigurifinanciare cat mai mari si mai rapide. Acest lucru a schimbat nu doar forma malware- ului ci si metodele de diseminare a acestuia. Incep si fie tot mai prezenti malware de tipul adware si spyware, refelele de boti crese tot mai mult, epar tot mai multe atacuri bazate pe diverse tipuri de vulnerabilitati (cele mai multe browser-based) = »Social engineering-ul” este tot mai utilizat ca si metodi de céstig financiar, fie direct prin spam-uri, fie indirect pentru a facilita diverse metode de diseminare a malware-ului, Apar si categorii noi de ameninfari informatice: rogue / fake antivirusi. Incepe s& apard si o diferente tot mai clari la nivel global in ceea ce priveste diseminarea diverselor tipuri de malware. Cei cu castig rapid (adware, rogue-uri av) sunt diseminaji in special in zonele in care profit financiar poate fi obfinut rapid (de exemplu Statele Unite / Canada). Celelalte tipuri de malware (cele bazate pe vulnerabilititi sau spyware-ii) sunt mai prezenfi in China, Rusia, et. Metodele principale de diseminare a malware-ilor sunt drive-by-download, tehnici black-se0, e-mail, servicile de instant messange-ing cum ar fi Yahoo Messenger, Skype + Prelucrare dup: hit:/www prevenire-fraude.ol 2 Un software care a fost creat intr-un scop malitos (fie pentru distrugerea datelordint-un calculator, le pentru modificarea gi sau furtul unorinformatii secrete, fie ca metoda de control a unui calculator) toate acestea fra consimpimantul userului.‘sau diverse vulnerabilititi care puteau fi exploatate la bbrowsere. Alte metode des utilizatate sunt programele P2P (Ares, BearShare, iMesh, Shareza, Kazaa, DC++, eMule, LimeWire) precum si torentele. Terminologie: = Adware — este un program care afgeazd diverse t- puri de reclame (fie in fereastra proprie fie in ferestre de tip pop-up). De multe ori, lucreazi eu un server care fi serveste reclame noi. Castigurile financiare provin direct de la furnizorii pentru care se face reclama. in cele mai multe cazuri, avem de a face cu adware foarte agresivi (de exemplu, care iti afigeazi o fereastri cu reclame pe ‘ecran si nu te lasi si rulezi aplicaia originala o perioad de timp), ~ Browser modifier’ ~consta in diverse componene- te (ActiveX, BHO, ete) care modifici modul in care un ‘browser Funcfioneaza. De cele mai multe ori, modificd re- zaltatele diverselor cautar (fie propulsdnd anumite rezul- tate in fata fie renuntnd la uncle), = Spyware — intr-o terminologie mai gencralé, se refer la o aplicatie care stocheazé si trimite date confi- denfiale de pe calculatoarele pe care ruleaz8. De cele mai mule ori, aceste date confidential sunt parole, conturi de ‘e-mail sau pentru alle servi diverse dae legate de credit cardurile utilizate pe utilizator. De obicei, informatiile eu- lese sunt utiliate, fie pentru a folosi acele conturi de email pentru a trimite SPAM-uri, fie pentru a fura alte informa- {ii (Gaca parolele furate sunt de la acel calculator). Chiar ac’ nu este considerat o forma de spyware, phishing-ul functioneaza intr-un mod similar: anumite pagini de web (de obicei pagini care s& necesite introducerea de date per- sonale) sunt clonate si modificate astfel incat datcle perso- nale sunt trimise etre atacator. - Fake/Rogue AV/Scareware. Eun tip now de malware, care foloseste tehnici de ,social-engineering” ca sf convinga un utilizator s8 eumpere un anumit pro- dus, Mecanismul este simplu si eficent. Printr-o anumita ‘metoda (drive-by-download, email, vulnerabilititi, etc ) tun astfel de program ajunge pe calculatorul victimei. La cexecutie, se comporta ca un AntiVirus traditional (deci cu interfat, diverse posibilitigi de seanare / configurare). Singura diferent este ci detecteaza foarte multe fisiere pe sistemul victimei ca fiind infectate cu malware ine- xistengi. Dupii ce prezinta un astfel de raport fas userului, i se spune cf produsul de fat este freeware gi mu are gi posibilitate de dezinfectie. Ins, in schimbul unei sume de bani, useral poate cumpara varianta. completa a pro- ddusului si tsi dezinfecteze calculatorul. fn ultima peri- ‘oad, aceste aplicatii apar direct in cadrul browserului si folosind diverse scripuri JavaScript sau chiar obiecte flash simuleazi o scanare, prezentand o serie de rezultate false userului in vederea convingeriiacestuia si downladeze si si execute diverse aplicafii rogue ce apartin atacatorului Tipuri de mabware in anul 2012 Un raport BitDefender pentru anul 2012 arati lurmatoarea repartizare a diverselor tipuri de malware in ume: » Nu e cunoscut ea hijacker / injector 136 Dintre acestea: - Trojan.Clicker.CM este wn script inserat in diverse pagini de web des utlizate (pagini ce gizduiesc keygen-uri sau crack-uri in special) si care afigeaz diverse reclame in browser. = Trojan.AutorunINF sau varianta tui Autorun, AET sunt detecti generice pentru 0 metodd de raspiindire foarte des utilizati de wormi (creare de fisiere autorun inf ascunse pe foldere share-ate sau pe memory stick-uri si executia lor automata in momentul locafilor in care au fost copiate). Aceasia este de fapt si una dintre metodele cele mai des implementate de catre wormi* pentru a se propaga de la un calculator Ia aul - Win32. Worm. Downadup / Conflicker este celebrul worm care a infectat aproximativ 7 milioane de calculatoare in intreaga lume, folosindu-se de 0 vulnerabilitate Microsoft Windows pe RPC (MS08-67) care fi permitea si se copie gi si se lanseze automat in toate calculatoarele existente int-o refea, A fost primul ‘worm eare prezenta 0 metoda noua de protectie a codului su, bazati pe ACL!-uri. Comportament de AV-Killer* (prin blocarea site-urilor celor mai populare produse anti- Virus, iar mai tarziu le versiunile urmitoare si blocarea site-urilor pentru download-ul de removal too!’-uri). ~ Trojan. Wimad.1.Gen este 0 deteetie pe fisiere WMA (Windows Media Audio) sau WMV (Windows Media Video) care sunt special modificate pentru a rula diverse linkuri in momentul executiei lor. = ExploitSWRGen este 0 detectie generic’ pe exploituri de Adobe Flash. Detecteazafisiere flash special modificate astfelinedt la executie s& permita descércarea si executia unui executabil in sistem, Din punet de vedere al refelelor de bot’, repartitia diferitelortipuri de boti este mai uniforma pe anul 2008. + Program care ii copie codul In refele de calculatoae,folosind diverse vulnerabiitti existente in cadrl sistemului de operare * ACL reprezinta nivelele de securitate care se pot atribui unui obiect Windows (fsier,registr), prin care se stabilese exact ce user sce permisiuni are flecare asupra unui anumitobiect *Tehnica prin care un malware mu permite unui produs anti- virus sa fi facd update I igerele de semnari 7 Removal Tool este un software ereat de companiile AV care permite climinarea unui anumit malware de pe un calculator Un bot este un malware, care rulezi silent pe un caleulator gi menjine un canal de comunicare cu un server. Refelele de boli ‘permit unui atacator s& controleze in acelasi timp mai multe calculatore. © astfel de rejea poate fi folosité pentru a atsca iferte servere (flooding / DoS), ca punct de plecare pentru spam-uri sau chiar ca 0 ren de distrbuie pentru alte tipuri de malware (Adware / RogueAV),Tehnicile rootkit” devin un instrument utilizat freevent de creatorii de refele de bofi (apar si mecanisme noi utilizate — cum ar fi patching-ul fisirelor sistemului de ‘operare, sau chiar adiugarea de cod in afara partitici sistemului de operare) Cateva masuri de prevenire a fraudelor prin Internet in regim intern $i trasfrontalier: a. Frauda prin licitaile online ~ invifafi edt se poate de bine cum functioneaza li- citafile prin Intemet, care sunt obligatile dv. in calitate de cumpiritor si care sunt obligatiile vinzatorulu, toate acestea, inainte de a incepe si licitati pentru un produs. = examinafi feedbackul vinzitorului oferit de alti cumparatori, dacd acesta are o istorie negativl de tranzac- fionare, nu faceti afaceri cu el. = soicitai sé stti ce metoda de plata preferd vanza- torul si unde solicita plata. Evitati serviciile de transfer rapid de bani indiferent de masurile de protectie care vise vor prezenta. ~ intrebati vnzitorul despre modalitatea si timpul de livrare si despre orice condifi de garangie pentru produsul lictat, ~ verificati daca taxele de livrare sunt incluse in pre- ful produsului ~ nu furnizati Codul Numeric Personal, seria si mu- ‘miirul de bulletin, pagaport sau permis de conducere intr- cat vnzitorul nu are nevoie de aceste informati '. Frauda prin nelivrarea produselor ~ asigurafi-va c& achizitionafi produsul dorit de la © pessoank de Tncredere. in cazullicitailor onlina, verifcati reputatia vnzitorulu ori de céte or acest lucru este posiil fifi precauti cnd tranzactionafi cu persoane sau companii din afara fri = asigurafi-va ct site-ul pe care tranzactionati folo- sesle 0 conexiune securizati atunci cind oferti informati confidentiale de pe cardul dvs. & Frauda cu cirtile de eredit = nu oferitiniciodata informatile de pe card daca si- te-ul nu foloseste o conexiume securizaté si dacd reputatia cesta este indoielnic, = inainte de a utiliza site-ul, veificati ce software de securitate foloseste pentru a vl asigura cd datele dvs. sunt protejate. 137 = cardul dvs. este personal. Informatile dumnea- voastri. sunt confidenfiale. Nu oferifi aceste informatii rniminui decdt dupa ce v-atiasigurat de securitatea tran- zachici . Frauda cu investfit ~ mu investi in nici o afacere, bazindu-va pe aparen- fe. Nu investifi in nimic decét dupa ce suntei absolut sigur si v-affinformat cf afacerea este legitima. = informati-vi despre identitatea real a celui care vB propune o afacere prin Internet si asigurati-va cd persoana este de incredere. - REGULA: Daca ceva sund prea frumos si fie ade- ‘Vira, ¢ foarte posibil sé nu fic! ¢. Furtul de identitate (PHISHING) = mu accesafilink-ul transmis in confinutul mesajelor ‘e-mail primite de la adrese necunoscute (chiar daci par surse de incredere). Practica a demonstrat numeroase ata- curi de tip phishing in care e-mail-urile pareau s& provind de la surse de incredere cum arf: banca la care aveti des- chis un cont, organizafia emitenté a cardului dvs. etc. - verificati in browser numele site-ului, pentru a ob- serva diferenfa fat de site-ul original al institute ~ Nu divulgafi niciodata datcle confidentiale despre conturile de card (numar de card, data expiririi, codul PIN). Coneluzi: Fraudele informatice sunt realizate de specialisti care nu au un confort financiar pentru ei si familiile lor, daca invaqim specialist in informatica si ating’ confortul financiar necesar, atunci doringa de 4 cstiga bani din fraud informatica se va diminua semnificatiy Fiecare dintre noi are obligafa si acorde multi atentie atunci cand se fac diverse tranzacfii pe intemet. Nu este indicat ca datele personale (credit card, e-mail) si fie oferite eu usuring Referinte: [1] Ciureana Sorin — “Sisteme de Operare”, Ed, Printech, 2005 [2] Landau S. et al. ~ “Crypto Policy Perspectives", CACM, Aug 1994 [3] Asociatia “Vasile Pogor” Iasi, Primul Simpozion de Prevenire si Combatere a Fraudelor Informatice; Editura D&T, 2010.