Nowe obowiązki operatorów mają zahamować wyłudzanie naszych danych i pieniędzy. Przestępcom będzie trudniej się podszyć pod firmy czy instytucje.

Operatorzy telekomunikacyjni rozpoczynają dziś walkę ze smishingiem – będą blokować wiadomości odpowiadające wzorcom oszukańczych SMS-ów z bazy prowadzonej przez NASK – Państwowy Instytut Badawczy. Blokowane będą też wiadomości z tzw. nadpisem (skróconą nazwą) podmiotu publicznego. W uproszczeniu – jeśli odbiorcy wyświetli się nazwa „Ministerstwo Cyfryzacji”, to będzie miał pewność, że to ten resort jest nadawcą wiadomości. Wszystko to efekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej (tj. Dz.U. z 2023 r. poz. 1703), która weszła w życie 25 września ub.r., ale od dzisiaj powinna zacząć być stosowana (o możliwych opóźnieniach w dalszej części artykułu).

Ustawa i edukacja

– Smishing to odmiana phishingu, a więc oszustwa rozpoczynającego się od rozsyłania niechcianych wiadomości, w których cyberprzestępcy podszywają się głównie pod instytucje publiczne, dobrze znane firmy, jak również osoby – wyjaśnia Beniamin Szczepankiewicz, analityk laboratorium antywirusowego ESET.

W tym wypadku zaczyna się od krótkiej wiadomości tekstowej (SMS). – Ma ona być na tyle przekonująca, by skłonić użytkownika np. do kliknięcia w link, co prowadzi do zainstalowania szkodliwego oprogramowania lub zalogowania się na spreparowanej stronie internetowej, np. wyłudzającej dane bankowe czy przelew – wskazuje Beniamin Szczepankiewicz.

Ustawowe rozwiązania mają temu przeciwdziałać. Gdy oszukańczy SMS – zgłoszony przez odbiorcę lub wykryty przez NASK – trafi do bazy, identyczna wiadomość nie dotrze już do innych osób.

– Mam nadzieję, że wdrożenie tych przepisów znacząco ograniczy tego typu oszustwa. Do pełnej skuteczności nowego systemu potrzebne jest jednak uświadomienie społeczeństwa, aby ludzie zgłaszali podejrzane SMS-y i połączenia telefoniczne – mówi Tomasz Bukowski, ekspert ds. telekomunikacji z Kancelarii Prawnej Media.

Wagę zgłoszeń podkreśla też Jolanta Malak, dyrektorka polskiego oddziału firmy Fortinet, dostarczającej rozwiązania z dziedziny bezpieczeństwa teleinformatycznego. – Oprócz regulacji prawnych wciąż jest potrzebna edukacja na szeroką skalę – podkreśla. – Im sprawniej i pewniej będziemy rozpoznawać niebezpieczne wiadomości i zgłaszać je, tym lepszą uzyskamy odporność na ataki – uważa.

Baza 8080

Jak nas informuje NASK, na numer 8080 (patrz: infografika), uruchomiony pod koniec ub.r., zgłoszono dotychczas 178,2 tys. wiadomości. Ponad połowa z nich (ok. 53 proc.) okazała się oszukańcza.

NASK nie podaje jednak, ile wzorców zawiera obecnie baza (część zgłaszanych wiadomości mogła pochodzić z tego samego szablonu). – Liczba wzorców w bazie nie ma znaczenia, bo nie wpływa na skuteczność tego narzędzia. Zmienia się w czasie w zależności od aktualnej sytuacji – zróżnicowania kampanii, ich liczby oraz poziomu skomplikowania wytwarzanych wzorców – stwierdza Marta Danowska-Kisiel z biura prasowego NASK.

Jak dodaje, ustawowe rozwiązanie nie wyeliminuje smishingu całkowicie. – Chodzi o zdecydowane utrudnienie oszukiwania ludzi wielokrotnie w ten sam sposób – podkreśla. Żeby powstał wzorzec, musi się najpierw pojawić kampania z nową złośliwą wiadomością.

Marzec czy kwiecień?

Najwięksi operatorzy – Orange, Play i T-Mobile – zapewniają nas, że są już gotowi do wypełniania nowych obowiązków.

– W naszej ocenie system, który wdrażamy, zdecydowanie ukróci ten rodzaj cyberprzestępczości i pozwoli na zablokowanie wiadomości SMS służących realizacji nadużyć, których treść będzie odpowiadała wzorcowi – stwierdza ten ostatni operator.

Tomasz Bukowski zastrzega jednak, że termin rozpoczęcia obowiązywania nowych wymogów nie jest jednoznaczny. – Ustawa mówi wprawdzie, że należy je wykonywać od 25 marca br. (art. 38 i 47), ale mówi też, że powinno to nastąpić trzy miesiące po ogłoszeniu przez ministra cyfryzacji uruchomienia systemu wzorców i nadpisów prowadzonego przez NASK (art. 37 ust. 3), co miało miejsce 16 stycznia br. – wskazuje.

Resort cyfryzacji zapewnia nas, że stosuje tu zasadę przyjaznej interpretacji przepisów i na podłączenie się do systemu antysmishingowego daje firmom czas do 16 kwietnia – choć zachęca, aby zrobić to jak najszybciej. To oznacza, że do 16 kwietnia za niezablokowanie wiadomości z bazy wzorców nie będzie kar.

Dotyczy to również blokowania SMS-ów, w których bez uprawnienia użyto nadpisu podmiotu publicznego. Jednak pod tym względem nowy system ma skromne początki. Do ubiegłego tygodnia NASK otrzymał zaledwie 11 zgłoszeń nadpisów od uprawnionych do tego podmiotów (zgodnie z ustawą zgłoszenia są dobrowolne), natomiast UKE zarejestrował 25 zgłoszeń firm chcących przesyłać takie wiadomości (integratorów).

Ciąg dalszy we wrześniu

– Skuteczne działania ze strony operatorów telekomunikacyjnych powinny pozbawić cyberprzestępców wielu dotychczasowych możliwości, szczególnie tych, w ramach których podszywali się oni pod znane powszechnie firmy i instytucje – uważa Beniamin Szczepankiewicz.

– Nie miejmy złudzeń – phishing, w różnych odmianach, to dla cyberprzestępców jedno z najefektywniejszych narzędzi – zaznacza jednak. Jego zdaniem można się spodziewać, że cyberprzestępcy przerzucą swoje wysiłki na oszustwa rozpoczynające się w komunikatorach internetowych czy w wiadomościach e-mail.

– Pamiętajmy też, że coraz bardziej dostępne i powszechnie stosowane są narzędzia z zakresu sztucznej inteligencji, pozwalające niemal każdemu na produkowanie przekonujących materiałów audio czy wideo, także tych wykorzystujących wizerunek istniejących osób – ostrzega Beniamin Szczepankiewicz. – Bardzo ważne jest więc, żeby jak najwięcej osób miało świadomość tego, że nie tylko nie wszystkie SMS-y, lecz także nie wszystkie materiały audio czy wideo w sieci są prawdziwe – podkreśla.

Elementem ustawy jest też walka z podszywaniem się pod czyjś numer telefonu – tj. ze spoofingiem. Kary za nieblokowanie takich połączeń zaczną grozić operatorom od 25 września. Cztery największe telekomy – oprócz już wymienionych także Plus – w lutym podpisały z UKE porozumienie o działaniach mających ograniczyć takie oszustwa. Jak informuje urząd, określa ono techniczne rozwiązania umożliwiające weryfikację, czy połączenie przychodzące do danej sieci jest identyfikowane prawdziwym numerem, czy też stanowi próbę podszycia się pod inną osobę lub organizację.

W odniesieniu do oszukańczych połączeń głosowych ważnym rozwiązaniem ustawowym jest też baza numerów służących wyłącznie do odbierania – tzw. baza DNO (z ang. do-not-originate). Są to m.in. numery infolinii banków – pod które cyberprzestępcy się podszywają, aby wyłudzać dane i pieniądze. Bazę tę prowadzi UKE – a od dzisiaj uprawnione podmioty mogą składać wnioski o wpisanie swojego numeru. Przychodzące połączenia zgodne z numerem z bazy DNO będą blokowane.©℗

Walka z oszukańczymi SMS-ami / Dziennik Gazeta Prawna - wydanie cyfrowe