Od dzisiaj Urząd Komunikacji Elektronicznej może już karać telekomy za brak blokowania oszukańczych połączeń telefonicznych. Chodzi o tzw. spoofing – tj. połączenia, w których oszuści podszywają się pod instytucje zaufania publicznego. Minął rok od wejścia w życie ustawy o zwalczaniu nadużyć w komunikacji elektronicznej (tj. Dz.U. z 2023 r. poz. 1703; dalej: u.z.n.k.e.). To ostatni etap wdrażania jej rozwiązań.
Celem ustawy jest zwalczanie najpopularniejszych metod, jakimi cyberprzestępcy wyłudzają od nas dane osobowe, hasła i pieniądze. Przepisy dotyczą – oprócz walki ze spoofingiem – smishingu, tj. fałszywych wiadomości tekstowych (SMS) i wiadomości e-mail.
– Ustawa nie wyeliminuje całkowicie spoofingu i smishingu, ale pozwala operatorom podejmować działania – podkreśla Wojciech Jabczyński, rzecznik Orange.
Ten numer nie zadzwoni
– Pierwsze efekty zauważymy pewnie w połowie października – mówi o rozwiązaniach dotyczących spoofingu Tomasz Bukowski, ekspert ds. telekomunikacji z Kancelarii Prawnej Media.
Ustawa zobowiązuje przedsiębiorców telekomunikacyjnych do blokowania połączeń z numerów służących wyłącznie do odbierania – tj. takich, które nie powinny do nas dzwonić, jak infolinie banków czy firm ubezpieczeniowych. Wykaz tych numerów prowadzi UKE.
– Niepokojące jest jednak to, że na listę numerów, z których nie można wykonywać połączeń, prawie nikt się dotychczas nie wpisał – stwierdza Tomasz Bukowski.
Lista liczy obecnie zaledwie 10 pozycji (11. z wpisanych numerów został już wykreślony).
– To znaczy, że wbrew wcześniejszym deklaracjom banki i inne podmioty uprawnione do zgłaszania numerów nie przykładają należytej wagi do tego mechanizmu blokowania oszustom możliwości podszywania się pod ich pracowników – komentuje Tomasz Bukowski.
Zgłaszanie tych numerów nie jest obowiązkowe, ale umożliwia objęcie ich ochroną przed bezprawnym posługiwaniem się nimi.
Inne bazy tworzone na mocy tej ustawy też miały skromne początki. Gdy pół roku temu obowiązkowe stały się wymagania dotyczące SMS-ów, prowadzona przez krajowy Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego – działający w ramach Naukowej i Akademickiej Sieci Komputerowej (CSIRT NASK, znany też jako CERT Polska) – baza nadpisów liczyła 11 zgłoszeń. Obecnie w publicznie dostępnym wykazie jest ich ponad 200. Swoje skrócone nazwy zarejestrowały głównie jednostki samorządów terytorialnych. To o tyle ważne, że operatorzy muszą blokować SMS-y, przy których jako nazwa nadawcy wyświetla się ciąg znaków zastrzeżony przez podmiot publiczny – jeżeli nie zostały one wysłane przez integratora (tj. firmę realizującą masowe wysyłki wiadomości) figurującego na liście UKE. Dzięki temu oszuści już nie podszyją się pod nazwy przypisane np. do danego urzędu.
Wzorce i ostrzeżenia
Od kilku miesięcy telekomy mają też obowiązek blokowania SMS-ów zgodnych ze wzorcami z bazy CSIRT NASK. Trafiają do niej wiadomości zgłoszone przez odbiorców na numer 8080 lub wykryte przez NASK. Kliknięcie w link może powodować zainstalowanie szkodliwego oprogramowania lub prowadzi do oszukańczych stron internetowych, wyłudzających nasze dane. Adresy takich stron NASK wpisuje na listę ostrzeżeń.
– Od początku roku zablokowaliśmy, na podstawie wytworzonych wzorców, ok. 700 tys. SMS-ów od oszustów, zanim dotarły one do użytkowników. Na listę ostrzeżeń trafiły w tym czasie ponad 72 tys. stron podszywających się m.in. pod serwisy do płatności online, banki czy media społecznościowe – informuje Małgorzata Plawgo, szefowa biura prasowego NASK.
Jak podaje Arkadiusz Majewski z działu komunikacji korporacyjnej Plusa, operator na podstawie wzorców co miesiąc blokuje tysiące SMS-ów.
Katarzyna Tajak-Pietrowska z Play stwierdza zaś, że w wyniku tych działań zmalała skala fałszywych SMS-ów i zjawisko podszywania się pod podmioty lub instytucje. – Przestępcy zawsze poszukują nowych metod, sposobów i środków działania, w tym technik socjotechnicznych. Często wprowadzają nadużycia do sieci z krajów, które nie podlegają takim silnym restrykcjom i środkom zapobiegawczym, jakie obowiązują w Polsce – zastrzega.
Arkadiusz Majewski przyznaje, że nie ma rozwiązań technicznych, których zdeterminowany przestępca wcześniej czy później nie złamie albo nie ominie.
– Nie ma też przepisów prawa, których nie zdecyduje się złamać, jeśli uzna, że ryzyko złapania i ukarania jest niższe niż potencjalna korzyść z przestępczego procederu – dodaje.
Powódź oszustów
O zagrożeniu można było się przekonać podczas niedawnej powodzi, którą cyberprzestępcy też postanowili wykorzystać. Centralne Biuro Zwalczania Cyberprzestępczości ostrzegało w ubiegłym tygodniu m.in. przed SMS-ami podszywającymi się pod alerty RCB.
– Nie ma możliwości wysłania do naszych abonentów SMS-ów od nadawcy „AlertRCB” – zapewnia Arkadiusz Majewski.
Hipotetycznie możliwe jest jednak przesłanie wiadomości ze zwrotem „AlertRCB” w treści.
– Jako operator nie mamy dostępu do treści przesyłanych SMS-ów – wyjaśnia Arkadiusz Majewski.
Małgorzata Plawgo dodaje, że scenariusze ataków nawiązujące do aktualnej sytuacji NASK obserwował już wielokrotnie. – Natomiast teraz mamy narzędzia, by przecinać takie działania – podkreśla.
Nadpis RCB jest wprawdzie wyłączony z działań NASK (art. 15 u.z.n.k.e.), ale użycie tej nazwy w treści SMS może podlegać włączeniu do bazy wzorców.
– Do tej pory takich zgłoszeń nie było, ale jeśli SMS-y się pojawią, to zachęcamy do przesyłania ich na nr 8080 – stwierdza Małgorzata Plawgo.
Dołożyć coś od siebie
Jak informuje rzecznik UKE Witold Tomaszewski, nie było jeszcze konieczności nakładania kar za niewypełnianie obowiązków wynikających z u.z.n.k.e., a wdrażanie kolejnych rozwiązań odbywa się planowo.
– Ustawa dała możliwości, ale to przedsiębiorstwa telekomunikacyjne i zaangażowane podmioty publiczne musiały opracować naprawdę unikatowe w skali świata rozwiązania organizacyjne i techniczne – zaznacza Witold Tomaszewski. – Są to rozwiązania kosztowne i skomplikowane technicznie. W trakcie ich implementacji pojawiały się nieprzewidziane problemy techniczne, które wymagały współpracy wszystkich stron zaangażowanych w projekty. I to się udało. Jako UKE współpracę pomiędzy operatorami a administracją przy tym projekcie oceniamy bardzo wysoko – dodaje.
Małgorzata Plawgo też uważa, że rozwiązania u.z.n.k.e. są pionierskie.
– Ich celem było zawsze ograniczenie negatywnych zjawisk w cyberprzestrzeni i w naszym przekonaniu ten cel udało się osiągnąć. Zależało nam na tym, by przeprowadzenie ataków było dla oszustów trudniejsze, bardziej kosztowne, a przez ograniczony efekt – mniej opłacalne – stwierdza.
Witold Tomaszewski przypomina ponadto rolę użytkowników. – Każdy z nas powinien coś dołożyć od siebie, aby te mechanizmy wspomóc i tym samym ograniczyć do minimum możliwości nadużyć – podkreśla.
Jak dodaje, oprócz zgłaszania podejrzanych SMS-ów i e-maili możemy m.in. zapytać swój bank, czy zgłosił infolinię do wykazu UKE, upomnieć się u dostawcy poczty elektronicznej o zabezpieczenie serwera („Bezpieczna poczta”), a u dostawcy internetu – o założenie filtrów na strony z listy ostrzeżeń NASK. ©℗