Koniec spoofingu i smishingu. Operatorzy przypilnują, by nikt nie podszył się pod urząd

Uchwalona w piątek ustawa o zwalczaniu nadużyć w komunikacji elektronicznej ma zapobiegać zjawiskom spoofingu i smishingu.

To pierwsze zdefiniowano jako nieuprawnione posłużenie się przy połączeniu głosowym informacją adresową wskazującą na inny podmiot. Na ekranie telefonu wyświetlają się wtedy np. numery należące do policji, urzędów czy banków lub zapisane na liście kontaktów danej osoby. Celem oszusta może być wywołanie strachu lub nakłonienie do określonego zachowania – zwłaszcza do przekazania danych osobowych, instalacji złośliwego oprogramowania lub dokonania przelewu bankowego.

Z kolei w przypadku smishingu sprawca podszywa się pod kogoś innego w wiadomości tekstowej (SMS). Tu także chodzi o nakłonienie odbiorcy wiadomości do określonego zachowania – w tym przekazania danych osobowych czy niekorzystnego rozporządzenia mieniem. SMS-y smishingowe często zawierają linki do oszukańczych stron internetowych.

W toku prac sejmowych rozszerzono zakres ustawy o zasady dotyczące wysyłania na rzecz podmiotów publicznych SMS-ów zawierających nadpisy – czyli identyfikatory będące skróconą nazwą nadawcy lub produktu i najczęściej stosowane przy wiadomościach wysyłanych masowo (np. alertach), za pośrednictwem firm świadczących takie usługi (integratorów SMS).

Wiele poprawek regulujących ten obszar zgłosili posłowie PiS. Dodane przepisy stanowią, że Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający w ramach Naukowej i Akademickiej Sieci Komputerowej (CSIRT NASK) będzie prowadził wykaz nadpisów zastrzeżonych dla podmiotów publicznych. Z kolei Urząd Komunikacji Elektronicznej (UKE) ma stworzyć wykaz firm będących integratorami usług SMS dla podmiotów publicznych.

Ustawa przewiduje, że podmioty publiczne będą mogły zlecać wysyłanie SMS-ów wyłącznie integratorowi wpisanemu do wykazu UKE. Natomiast obowiązkiem firm telekomunikacyjnych będzie blokowanie wiadomości zawierających nadpisy podmiotów publicznych z wykazu CSIRT NASK, które nie zostały wysłane przez integratora z wykazu UKE. Blokowane będą też wiadomości z nadpisami będącymi wariantem nazwy lub skrótu podmiotu publicznego, mogące wprowadzać odbiorcę w błąd co do rzeczywistego nadawcy.

Natomiast w odniesieniu do SMS-ów smishingowych CSIRT NASK ma prowadzić system teleinformatyczny z wzorcami oszukańczych wiadomości. Operatorzy będą mieli obowiązek blokowania SMS-ów z treściami zawartymi w tych wzorcach.

Z kolei, aby powstrzymać spoofing, przedsiębiorcy telekomunikacyjni będą musieli blokować połączenia głosowe, które mają na celu podszywanie się pod inną osobę lub instytucję. W tym celu UKE będzie prowadzić jawny wykaz numerów służących wyłącznie do odbierania połączeń głosowych. Wniosek o wpis do wykazu będą mogły złożyć jednostki sektora finansów publicznych, banki, inne instytucje finansowe lub ubezpieczeniowe.

Ustawa nakłada ponadto nowe obowiązki na dostawców poczty elektronicznej. Ci, którzy obsługują w tym zakresie podmiot publiczny lub co najmniej 500 tys. użytkowników, będą musieli stosować określone mechanizmy uwierzytelnienia. ©℗