25 marca 2024 roku zaczęły obowiązywać przepisy, według których operatorzy telekomunikacyjni muszą blokować fałszywe SMS-y. Smishing, czyli wyłudzanie danych lub pieniędzy przez wiadomości tekstowe, jest regulowany w ustawie o zwalczaniu nadużyć w komunikacji elektronicznej.
Czym jest smishing?
Smishing to forma phishingu, czyli ataków przeprowadzanych przez wiadomości tekstowe. W tym przypadku przez SMS-y. Przestępcy wykorzystujący tę metodę chcą wyłudzić od ofiary dane i sprawić, że podejmą założone przez nich działania. Zdarza się, że podszywają się oni na przykład pod urzędy, pocztę czy kurierów.
Do swoich ataków przestępcy używają SMS-ów, ponieważ zazwyczaj darzymy większym zaufaniem właśnie ten rodzaj wiadomości – ponadto na maile rzadziej reagujemy. Numer telefonu łatwiej zdobyć – w Polsce wystarczy kombinacja 9 cyfr. Atakujący nie musi wiedzieć, do kogo pisze – najważniejsza jest akcja, jaką podejmie druga strona.
Od 25 marca operatorzy muszą blokować fałszywe SMS-y
W Serwisie Rzeczypospolitej Polskiej Gov.pl cytowana jest wypowiedź wicepremiera, szefa resortu cyfryzacji Krzysztofa Gawkowskiego, w której czytamy: "Jestem przekonany, że dzięki uruchomieniu systemu do wymiany wzorców wiadomości oszukańczych, […] walka z nadużyciami telekomunikacyjnymi i ograniczanie liczby oszukańczych SMS-ów, które wszyscy codziennie otrzymujemy, wejdzie na wyższy poziom".
Jak wskazuje ustawa z dnia 28 lipca 2023 roku o zwalczaniu nadużyć w komunikacji elektronicznej w art. 3 ust. 1 pkt 2, zakazane są nadużycia w komunikacji elektronicznej, w szczególności smishing, czyli "wysłanie krótkiej wiadomości tekstowej (SMS), w której nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego zachowania, w szczególności przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, inicjowania połączenia głosowego lub instalacji oprogramowania".
Od stycznia 2024 roku operatorzy telekomunikacyjni mogli dobrowolnie zgłaszać wszelkie podejrzane wiadomości tekstowe do CSIRT NASK (czyli Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego). Natomiast od 25 marca jest to ich obowiązek. W CSIRT NASK tworzone są wzory, które ułatwić mają blokowanie smishingu.
Operatorzy telekomunikacyjni blokować muszą wiadomości według wzorców fałszywych SMS-ów oraz SMS-y z nadpisem, który jest zastrzeżony. Zastrzeżone nadpisy powinny pochodzić od podmiotu publicznego (na przykład nadpisu "e-US" używa urząd skarbowy), jeśli tak nie jest – wiadomości te powinny być zgłoszone i zablokowane. Zastrzeżone nadpisy dostępne są w wykazie CSIRT NASK.
Fałszywe SMS-y może zgłaszać każdy
W przypadku otrzymania wiadomości tekstowej, która wydaje się oszustwem, można ją zgłosić do CSIRT NASK – wystarczy przesłać zgłoszenie dotyczące SMS-a pod numer 8080.
Czy zmiany odczują klienci operatorów?
Fałszywe SMS-y będą blokowane przez operatorów – w związku z tym klienci powinni otrzymać mniej wiadomości niepokojących i podejrzanych. Może to zmniejszać ryzyko oszustw i wyłudzeń.
Warto jednak pamiętać, że aktualnie zabezpieczenia są dostępna dla podmiotów publicznych. W związku z tym, jeśli oszust użyje nadpisu firmy prywatnej (na przykład kurierskiej), może to pozostać niezauważone, a fałszywy SMS może być dla niego skuteczny. Dlatego warto podchodzić z ostrożnością do wszelkich niepokojących wiadomości, które wymagają od nas podania danych czy uiszczenia opłat.