Cind am fost in SUA si discutam cu un avocat de la EFF, primul lucru care m-a intrebat de Romania este cum aveti atitia “carderi". In preajma referendumului ref la bulgari si romani din Elvetia de acum vreo 2 ani, toata lumea ii stia pe romani de ciorditori de carduri. Acum citeva luni, vorbind cu un alt avocat din Olanda, imi explica cum “phiserii” au invadat tarile de jos si sunt o pacoste pentru toata ei. (intre timp mi-a relatat ca au ajuns si hotii de fier vechi care au scos din functiune citeva trenuri de mare viteza, luind nu stiu ce bucati de fier de pe sine).
Deci phishingul este adevaratul brand de tara al Romaniei. Nu a fost niciodata frunza verde, nu Bute si nici macar Mutu. Phishingul! Ciorditori pe Internet. (atentie, astia nu sunt hackeri!)
Cum sa-l imbunatatim?
Pai sa nu facem nimic mai mult decit facem acum. Phishing-ul (sau in general inselatoriile pe Internet) par a fi una dintre mai prospere afaceri pe Internet din Romania (si nici nu platesti taxe).
Modelul de business e relativ simplu, creduli gasesti cit e lumea intreaga, faci ceva bani, te ridica politia frumos cu mascati (deci traiesti ca-n filme, frate!), stai citeva luni in inchisoare pina cind iti dau drumul (ca doar nu te pot tine ani pina cind se fac tot felul de expertize sau ii citeaza pe aia din straintate), iei 2-3-4 ani (poate cu suspendare, daca ai un avocat mai descurcareti) si dupa ce iesi o iei de la capat, invatind cum sa folosesti mai bine “sagetile” (adica oamenii pusi sa ridice banii in locul tau), sa folosesti programe de ascundere a urmelor sau sa faci infractiunile in 3 state, ca se se incurce autoritatile de aplicare a legii intre ei cu privire la competente.
“Afacerile” devin din ce in ce mai profesioniste si mai organizate, cum se anunta din comunicatele Politiei inca din 2009.
Ultima mare actiune a DIICOT (117 perchizitii si 50 de persoane retinute) par a fi tintita catre o retea de baieti cam prosti , care se faceau fraude in stilul anilor 2000. (adica licitatii fara sa aibe bunul, nu phishing) - de fapt, personal nici nu stiu daca termenul de criminalitate informatica este un corect in cazul asta.
Din pacate, comunicatele DIICOT (uneori pline de emfaza, alteori de inteles - cine crede ca sa faci 117 perchizitii simultane e usor…) par a intra intr-un tipar cu care deja te obisnuiesti. O data la 2 luni se primeste un comunicat prin care afli ca o alta “retea a fost destructurata", pe care presa (aia care a ramas) il preia integral dupa ce schimba titlul cu unul cit mai bombastic posibil.
Ce (nu) se vede dincolo de comunicatele DIICOT
Cum deja am mai zis si in trecut, ne uitam prea mult la efecte si deloc la cauzele fenomenului. Discutam despre numarul de anchetati, dar nu si despre de ce fac asta. Nu avem studii sociologice si/sau psihologice care sa ne explice de ce avem de-a face cu un fenomen la nivel national. Nu stim de ce Rm. Valcea e mai tare decit Zalaul in cazuri de phising… Nu avem nicio strategie de educare cu privire la Internet. Incercam sa rezolvam problemele aparute punctual si nu global. Daca Romania nu va incerca sa faca nimic serios dpdv sistematic cu privire la fenomen, in sine, cazurile de phishing se vor inmulti si complica. Poate va fi si cazul ca Politia (in special in conditiile scaderii salarilor) si Procuratura sa nu le mai faca fata.
Banc
- Unde vrei, puisor, sa lucrezi cind te faci mare ?
- In criminalitatea organizata!
- Ce frumos!!! Dar la stat sau la privat ?
Pedepsele reale in astfel de cazuri sunt de maxim 2-4 ani inchisoare Degeaba ne arunca in fata in comunicatul de presa pedepse de “pina la 20 de ani". Nu conteaza ca sunt tot felul de agravante, cum ar fi constituirea in grup infractional. Daca ne uitam la cazurile de criminalitate informatica din 2010 pe acest domeniu (preluate de pe Jurindex si publicate pe legi-internet.ro) observam ca pedeapsa acordata in astfel de cazuri este intre 2 si 4 ani de inchisoare.
Nu vreau sa judec daca e rau sau e bine, daca e un caz special sau nu - e vorba de o constatar.
Prejudiciile de 20 de milioane de dolari sunt praf in ochi. In momentul care gasesti doar approx 100 k euro la perchizitii, orice cititor inteligent o sa-si dea seama ca e ceva in neregula cu suma asta. De fapt, suma este formata din prejudiciul efectiv (cit au furat) si prejudiciul moral (adica cit costa increderea pierduta in eBay si Craiglist). Daca prima este usor de cuantificat (dar nu este publica), cea de-a doua poate fi ridicata din vorbe la sume astronomice. Oricum tot din cazurile de criminalitate informatica din 2010 pe acest domeniu observam ca de fapt niciodata prejudiciile acordate nu se ridica nici macar pe departe la aceste sume exorbitante.
In faza de judecata putini vin sa-si ceara paguba O parte din problemele care fac ca aceste procese sa dureze extrem de mult (pe linga durata expertizelor si contra-expertizelor, domeniul inca criptic pentru multi judecatori, etc.) este si faptul ca pagubitul este din alta tara, ceea ce duce la durate impresionante pentru citarea acestora sau depunerea plingerilor lor. Nu este mai putin adevarat ca in multe cazuri bancile sau Visa sau chiar inculpatii in sine nu mai depun eforturi pentru recuperarea prejudiciului (in multe din cazuri fiind rambursat de asigurari).
Eu, unul, n-am intalnit pina acum un caz care sa urmareasca atent ce s-a intamplat de la comunicatul DIICOT pina la sentinta finala si irevocabila a unei instante. (se poate ce s-a intamplat si dupa aceea, adica cit a stat de fapt in inchisoare).