Diit.cz - Novinky a informace o hardware, software a internetu

Ukázka využívání zrušené „šmírovací“ části zákona v případu podvodů na Aukru z jara 2008

Tento článek přináší konkrétní pohled na jednu z možností využití koncem března zrušené části zákona o elektronických komunikacích, která ukládala operátorům povinnost uchovávat provozní a lokalizační údaje vytvářené a zpracovávané při zajišťování jejich veřejných komunikačních sítí a při poskytovávání jejich veřejně dostupných služeb elektronických komunikací. Některým z vás, kteří delší dobu nakupujete na aukčním portálu Aukro, se možná ještě vybaví nicky jako „edkuc“, „opav“, „pcdoor“, „penikl“ či „mobility“, které podle policejní zprávy vytvořil jeden uživatel (nebo skupina domluvených uživatelů) za účelem provedení „velké loupeže na důvěřivých uživatelích portálu Aukro“ ve stylu „každému sebereme trochu a dohromady dáme hodně“, i když někteří poškození o „troše“ rozhodně hovořit nemohou, někteří přispěli pachatelům více než deseti tisíci korunami. Já osobně jen 1 360 korunami, z toho jsem dostal v rámci programu ochrany kupujících od Aukra 1 275 Kč (nepočítám náklady na získání těchto peněz, které se pohybovaly v řádu několika málo desítek procent z této částky, šlo především o dokladovanou buzeraci Policie ČR, která se mi jevila příliš málo aktivní). Na jaře roku 2008 jsem se i já z „mladické nerozvážnosti“ účastnil jedné aukce této podvodné skupiny (či jednotlivce), přičemž rok a necelé dva měsíce poté mi přišlo od PČR usnesení o odložení případu, ve kterém mi vrchní komisař poměrně podrobně vylíčil, jakým způsobem se zkoušeli dobrat identitě pachatele, který si v součtu přišel tímto podvodem minimálně na milión a pár tisíc korun, což už je částka poměrně slušná. A právě v tomto líčení průběhu vyšetřování došlo i na využití zrušené „šmírovací“ části zákona o elektronických komunikacích. Dlužno dodat, že její využití bylo neefektivní. Pojďte si přečíst, jak to probíhalo…
blog
Sledování e-mailu

Z usnesení o odložení ocituji jen stěžejní části, nejprve vám však přiblížím scénář. Ve zkratce šlo o to, že podvodník (nebo skupina, dále jen podvodník) si nejprve vytvořil na Aukru pět falešných identit a ověřovací kódy nutné pro aktivaci účtu si nechal zaslat na adresy neobsazených bytů panelových domů, jejichž schránky dočasně opatřil nálepkami smyšlených jmen. Zde došlo na první prolomení primitivní bezpečnosti systému Aukra, které posílá obyčejné dopisy a nikoli dopisy doporučené nebo do vlastních rukou. To to mohou rovnou posílat e-mailem na mailinator a ušetřili by na nákladech.

Následně si podvodník vytvořil na aukčním portálu u všech vytvořených účtů „dobrou reputaci“, tedy sám sobě mezi účty prodal fiktivní zboží a udělil si pozitivní komentáře. Je také pravděpodobné (skoro jisté), že několika uživatelům skutečně prodal nějaký produkt, aby nebylo jeho vytváření pozitivní reputace příliš okaté. Pak spustil „akci“ a rozjel podvod ve velkém, v běžných aukcích nabízel hromadu fiktivního zboží, převážně elektroniky, u níž se dá očekávat vydražení za vyšší částky (někteří takto „koupili“ i televizor za částku kolem 20 tisíc Kč, z nichž drtivou většinu už zpět od nikoho nedostanou, neboť program ochrany kupujících na Aukru tenkrát umožňoval vrácení max. 3 000 Kč).

Podvodník se svými oběťmi pochopitelně komunikoval, a to e-mailem a také telefonicky. Peníze si nechal posílat na účty vedené u mBank, k jejichž zřízení použil zfalšovaný občanský průkaz s falešnou identitou a ke komunikaci používal P.O. Box zřízený na tutéž identitu. Záznamy z bezpečnostních kamer pošty či banky v té době již neexistovaly a jediné dvě osoby, které s pachatelem při zřizování jednaly, si pochopitelně s odstupem času nemohly konkrétní osobu pamatovat.

Pokud tedy jde o tu komunikaci, a to telefonickou a e-mailovou, zde byla právě využita část zrušené a také část nezrušené legislativy, která se Ústavnímu soudu rovněž jeví jako protiústavní.

K případné tel. komunikaci s kupujícími-poškozenými pak pachatel uvedl celkem 10 různých čísel mobilních telefonů. Ve smyslu ustanovení § 88a odst. 1 tr. řádu* byly prostřednictvím Okresního soudu v Ostravě vyžádány údaje o uskutečněném telekomunikačním provozu ke všem telefonním stanicím. Analýzou poskytnutých údajů a lustrací tel. čísel bylo zjištěno, že se jedná o telefonní karty anonymních majitelů, jednotlivá tel. čísla nevykazovala žádnou vzájemnou komunikaci, případně žádný telekomunikační provoz. Zaznamenaný provoz byl registrován převážně v oblasti Ostrava-Mariánské Hory, kdy prověřením uskutečněných odchozích hovorů nebyly zjištěny žádné konkrétní údaje k osobě volajícího-pachatele, neboť v drtivé většině se na straně volaných jednalo o vydražitele z internetové aukce.

(* to je právě ona část trestního řádu, která se jeví být pro ÚS protiústavní).

Sami vidíte, co všechno dostala policie v takovém případě do rukou. Věděla i to, kde se pachatel pohybuje. Přesto jí to nebylo nic platné. Účinnost „šmírovací“ části zákona v tomto případě přinejlepším nulová.

Současně byly vyžádány i údaje o uskutečněném telekomunikačním provozu ve vztahu ke všem e-mailovým adresám pachatele, registrační a přístupové logy ke zjištění a identifikaci IP adres, ze kterých se pachatel připojoval na e-mailové schránky či internetové bankovnictví. Byly zjištěny více než dvě desítky IP adres a ustanoveni jejich uživatelé z řad fyzických i právnických osob. Následnou podrobnou analýzou četnosti a časových úseků jednotlivých připojení byly vybrány podezřelé IP adresy a vyslechnuti všichni jejich uživatelé. Podanými vysvětleními podezřelých však bylo zjištěno, že ve všech případech tito v inkriminovanou realizovali svá připojení na internet prostřednictvím nezabezpečeného bezdrátového tzv. wifi připojení, které nevypínali, vzájemně je nic nespojovalo, na internetových aukcích zpravidla neobchodovali a jejich znalosti v oblasti výpočetní techniky a internetu byly většinou pouze na základní uživatelské úrovni. Jednalo se o uživatele s bydlištěm v poměrně malém okruhu především z městské části Ostrava-Mariánské Hory, kdy existuje možnost, že pachatel mohl i v pozdních nočních hodinách zneužít jejich wifi připojení z veřejného prostranství v blízkosti jejich bytů např. ze zaparkovaného vozidla a svého notebooku.

Nic proti nezabezpečování Wi-Fi, někdo to může dělat záměrně (ze solidárnosti), v případě ADSL modemů Huawei s Wi-Fi konektitivitou je dokonce děravost veřejným tajemstvím, v podstatě je to „vlastnost“ takového připojení, o které uživatel neví, neboť jej o tom nikdo neinformoval. Uživatel takto nezabezpečeného připojení se však může dostat do problémů, o čemž ani nemusí tušit. Stačí, že jeho připojení někdo takto využije a už se po něm veze policie, vyslýchá jej a vůbec zažívá poměrně nepříjemné chvíle, neboť je v ten moment označován za podezřelého ze spáchání miliónového podvodu. Z toho taky nemusíte na pár dní usnout. Účinnost „šmírovací“ části zákona je tedy v tomto případě dokonce záporná.

WIFT "WIFT"

Bývalý dlouholetý redaktor internetového magazínu CDR-Server / Deep in IT, který se věnoval psaní článků o IT a souvisejících věcech téměř od založení CD-R serveru. Od roku 2014 už psaní článků fakticky pověsil na hřebík.

více článků, blogů a informací o autorovi

Diskuse k blogu Ukázka využívání zrušené „šmírovací“ části zákona v případu podvodů na Aukru z jara 2008

Sobota, 25 Červen 2011 - 12:12 | misace | No a jak ty peníze z účtu dostal? Musel přece...
Středa, 15 Červen 2011 - 18:16 | SeReB | Vidim to spis tak, ze v tomto pripade pachatel...
Úterý, 5 Duben 2011 - 13:30 | WIFT | Policie takový případ, jak sis jistě všiml,...
Úterý, 5 Duben 2011 - 08:21 | Max Power | Celý ten případ je skvělé využití špatného...

Zobrazit diskusi