Direcția de Combatere a Criminalității Organizate [613810]

Direcția de Combatere a Criminalității Organizate
Serviciul de Combatere a Criminalității Informatice

Noul Cod Penal
Art.180 Instrument de plată electronică
Prin instrument de plată electronică se înțelege un instrument care permite
titularului să efectueze , retrageri de numerar, încărcarea și descărcarea
unui instrument de monedă electronică, precum și transferuri de fonduri,
altele decât cele ordonate și executate de către instituții financiare.

ART. 181
Sistem informatic și date informatice
(1) Prin sistem informatic se înțelege orice dispozitiv sau ansamblu de
dispozitive interconectate sau aflate în relație funcțională, dintre care unul
sau mai multe asigură prelucrarea automată a datelor, cu ajutorul unui
program informatic.
(2) Prin date informatice se înțelege orice reprezentare a unor fapte,
informații sau concepte într -o formă care poate fi prelucrată printr -un
sistem informatic.

Art. 244
Înșelăciunea
(1) Inducerea în eroare a unei persoane prin prezentarea ca adevărată a unei
fapte mincinoase sau ca mincinoasă a unei fapte adevărate, în scopul de a obține
pentru sine sau pentru altul un folos patrimonial injust și dacă s -a pricinuit o
pagubă, se pedepsește cu închisoarea de la 6 luni la 3 ani.
(2) Înșelăciunea săvârșită prin folosirea de nume sau calități mincinoase ori de
alte mijloace frauduloase se pedepsește cu închisoarea de la unu la 5 ani. Dacă
mijlocul fraudulos constituie prin el însuși o infracțiune, se aplică regulile
privind concursul de infracțiuni.
(3) Împăcarea înlătură răspunderea penală .

Art. 249
Frauda informatică
Introducerea , modificarea sau ștergerea de date informatice, restricționarea
accesului la aceste date ori împiedicarea în orice mod a funcționării unui sistem
informatic, în scopul de a obține un beneficiu material pentru sine sau pentru
altul, dacă s -a cauzat o pagubă unei persoane, se pedepsește cu închisoarea de la
2 la 7 ani.

Art. 325
Falsul informatic
Fapta de a introduce, modifica sau șterge, fără drept, date informatice ori de a restricționa,
fără drept, accesul la aceste date, rezultând date necorespunzătoare adevărului, în scopul
de a fi utilizate în vederea producerii unei consecințe juridice, constituie infracțiune și se
pedepsește cu închisoarea de la unu la 5 ani.

ART . 250
Efectuarea de operațiuni financiare în mod fraudulos
(1) Efectuarea unei operațiuni de retragere de numerar, încărcare sau descărcare a unui
instrument de monedă electronică ori de transfer de fonduri, prin utilizarea, fără
consimțământul titularului, a unui instrument de plată electronică sau a datelor de
identificare care permit utilizarea acestuia, se pedepsește cu închisoarea de la 2 la 7 ani .
(2) Cu aceeași pedeapsă se sancționează efectuarea uneia dintre operațiunile prevăzute în
alin. (1), prin utilizarea neautorizată a oricăror date de identificare sau prin utilizarea de
date de identificare fictive.
(3) Transmiterea neautorizată către altă persoană a oricăror date de identificare, în
vederea efectuării uneia dintre operațiunile prevăzute în alin. (1), se pedepsește cu
închisoarea de la unu la 5 ani.

FRAUDA
Partea tehnica – totalitatea m,lșlșletodelor foloste de catre suspecti pentru a
compromite sisteme informatice și pentru a produce un prejudiciu.
Partea financiară – totalitatea activităților folosite de suspecți pentru a intra
in posesia banilor ( de obicei cărăușii de bani/money mules)

-furt/pierderi carduri bancare
-compromitere baze de date cu carti de credit
-skimming/shimming
-phishing
-ATM malware
-Black Box Attack
-BIN attack
-Business Email Compromise/Man in the Middle
-CEO Fraud
-Romance Scam
-scrisoare nigeriană
-vânzâri fictive
-fraude prin abonamente

furt/pierderi carduri bancare – de obicei urmate de tranzactii
frauduloase: cumparaturi sau retrageri de bani de la bancomate
(inclusiv acces ilegal la un sistem informatic)

compromitere baze de date cu carti de credit – vânzare date carduri și
diferite tranzacții frauduloase (cumpărături, pariuri etc)

SKIMMING – preluarea datelor unui card bancar folosit într -o tranzacție
legitimă, fiind utilizate diferite metode (utilizarea unor dispozitive de citire a
cardului, fotografierea numărului cardului sau a codului de securitate) –
ATM/POS

SKIMMING/SHIMMING (???)
Card cip EMV …..skimming în România ….retrageri frauduloase în afara
UE!!!

PHISHING – activitate prin care se obțin datele confidentiale ale cardului
bancar (cod PIN, numărul cardului sau codul de securitate) sau detalii
conturi/parole folosindu -se mesaje electronice sau identități false în procesul
de comunicare cu victimele.

.

ATM MALWARE – program malițios prin care este compromis sistemului de operare
al bancomatului, urmată de o comandă pentru scoaterea banilor

BLACK BOX ATTACK – compromiterea legăturii dintre sistemul de operare al
bancomatului si caseta de bani, urmată de o comandă pentru scoaterea banilor

.

BIN ATTACK

Cardurile de credit sunt produse în intervalele BIN. În cazul în care un
emitent nu folosește generarea aleatorie a numărului cardului, este posibil
ca un atacator să obțină un număr de card bun și să genereze numere de
card valide
.

Business Email Compromise/Man in the Middle/Invoice fraud –
compromiterea schimbului de mesaje electronice care are loc de obicei
între două persoane juridice, fiind transmisă ulterior o factură în care
este menționat un cont bancar controlat de către suspecți, pentru
efectuarea unor tranzacții care par legitime pentru persoanele vătămate

CEO Fraud – reprezentanții unor companii sunt contactați prin diferite
metode de către persoane care pretind că au funcții de conducere în acele
companii și solicită transferul unor sume de bani în conturi bancare
controlate de către suspecți
.

Romance Scam – se crează o legătură emoțională între victime și
suspecți, victimele find convinse să trimită diferite sume de bani

Scrisoare nigeriană – transmiterea unor mesaje electronice prin care
victima este înștiințată că a moștenit sume mari de bani sau prin care se
solicită sprijin în transferarea unor sume mari de bani. Ulterior sunt
solicitate diferite comisioane platite în conturi controlate de către
suspecți

Vânzâri fictive – postarea de anunțuri de vânzare on -line. După
convingerea cumpărătorilor să transfere sumele de bani solicitate,
bunurile nu mai sunt livrate.

Fraude prin abonamente – convingerea victimelor să accepte diferite
abonamente fără să își dea seama

Business Email Compromise/Man in the Middle/Invoice fraud
– măsuri rapide pentru stoparea tranzacțiilor –
– solicitarea unui raport tehnic din care să reiasă compromiterea
comunicațiilor electronice (în vederea stabilirii încadrării juridice)
– obținere full -header mesaje electronice (se obțin de la mesajul original
primit de victimă de la suspecți, în format electronic)
– Analiză full-header prin diferite aplicații on -line (ex.
https:// www.iptrackeronline.com/email -header -analysis.php )
– Se obține IP -ul de la care a fost trimis mesajul
– Verifcări cu privire la IP ( https://centralops.net/co / )
– Solicitare conservare de date la compania care este deținătoarea IP -ului
(cui i -a fost alocat, modalitatea de plată, date de contact client și
eventuale mesaje electronice, posibil conținut date informatice)
– Verificări cu privire la circuitul banilor: deținător cont bancar,
documente folosite la deschidere, extras de cont bancar, IP uri folosite la
on-line bancking, imagini la deschidere cont bancar și la retrageri

Comisar de poliție Flavius NISTOR
IGPR – DCCO
Serviciul de Combatere a Criminalității Informatice