Cieszyński: Chcemy pilnie wprowadzić rozwiązania chroniące przed spoofingiem i phisingiem

Ostatnio wzrosła liczba złośliwych ataków, skierowanych również w osoby publiczne.  17 stycznia dwoje posłów poinformowało, że ktoś podszył się pod ich numery telefonów i dzwonił z groźbami. Jak ocenił Janusz Cieszyński, był to prawdopodobnie kolejny przypadek spoofingu.

"Cyberprzestępcy próbują wykorzystać spoofing do podsycania politycznych sporów; słuchajmy głosu ekspertów i nie dajmy się rozegrać - każda poszkodowana osoba może liczyć na profesjonalne wsparcie państwowych instytucji" - skomentował to wydarzenie na Twitterze.

Jak przyznał podczas spotkania prasowego, „na ten moment nie ma prawnych i organizacyjnych możliwości zatrzymania procederu spoofingu i phisingu".

"Podjęliśmy prace zarówno wewnętrzne, z ekspertami, jak i operatorami sieci telekomunikacyjnej, którzy są odpowiedzialni za infrastrukturę. Chcemy wprowadzić takie rozwiązania, które mają na celu bezpieczeństwo obywateli" - mówił.

Minister Cieszyński poinformował dziennikarzy o stanie przygotowań do prawnego i technologicznego zwalczania m.in. spoofingu oraz phishingu. "Pracujemy z rynkiem telekomunikacyjnym nad tym, aby wprowadzić rozwiązania, które pozwolą jednoznacznie zidentyfikować, że dane połączenie pochodzi z zaufanego źródła" - powiedział.

Gwiazdka pomysłem na walkę ze spoofingiem

Minister wskazał, jak walka ze spoofingiem w Polsce miałaby wyglądać. "Jeśli chodzi o spoofing, to najważniejszym działaniem jest możliwość wprowadzania identyfikatora, który będzie różnicował połączenia, które przychodzą z niezaufanych źródeł a nie z numeru, który się wyświetla" - zapowiada Cieszyński. Pełnomocnik rządu ds. cyfryzacji wyjaśnił, jaki jest pomysł na to rozróżnienie. Chodzi o to, aby odbiorca został uprzedzony o ataku, czyli aby otrzymał informację, że połączenie lub SMS pochodzi nie z tego numeru, który mu się wyświetla na telefonie.

"Chcemy zaproponować proste oznaczenie, na przykład takie, w którym przychodzące połączenie byłoby poprzedzone gwiazdką, co pozwoliłoby jednoznacznie ustalić, że coś jest nie tak; ponieważ dodanie takiego dodatkowego znaku oznacza, że dane połączenie nie wyświetli nam się tak, jak mamy je zapisane w naszej książce telefonicznej" - tłumaczył.

Skąd system będzie "wiedział", że ktoś podszywa się pod znaną nam osobę? Cieszyński zwrócił uwagę na "pewne różnice", możliwe do wychwycenia na poziomie technicznym. "Wprowadzenie tych rozwiązań sprawi, że będzie możliwe przekazanie tych informacji do końcowego użytkownika" - zapewnił.

"Cel jest taki, abyśmy wiedzieli, że dzwoni do nas osoba inna niż ta, której numer wyświetla się na ekranie telefonu. Bo na tym polega dzisiaj spoofing, że dzwoni do nas osoba, którą możemy nawet dobrze znać, a w rzeczywistości jest to ktoś zupełnie inny, a w szczególności może to być pochodzący z zagranicy ruch o charakterze przestępstwa, w tym wyłudzenia" - zaznaczył.

Sposoby na walkę z phishingiem

Janusz Cieszyński przekazał też informacje o pracach nad wprowadzeniem obowiązkowego zabezpieczania elektronicznych skrzynek pocztowych przez ich operatorów. W tym przypadku ministrowi, UKE i operatorom zależy na tym, aby uniemożliwić przestępcom przesyłanie linków do stron, które okazują się pułapką. Linki takie mogą być przesyłane do potencjalnych ofiar np. SMS-em, mailem lub przez media społecznościowe.

"Chcemy, żeby pewne protokoły, które są już międzynarodowym standardem, były wtedy włączone obowiązkowo; tak, aby było jasne, że ta osoba, którą widzimy w nagłówku maila, to jest tą osobą (bądź instytucją), która do nas pisze" - tłumaczył pełnomocnik ds. cyberbezpieczeństwa.

Nad szczegółowymi rozwiązaniami, które uniemożliwią podszywanie się pod osoby albo np. media społecznościowe czy banki, Urząd Komunikacji Elektronicznej pracuje z operatorami telekomunikacyjnymi.

"Mamy informacje, że w bardzo niedługim czasie otrzymamy raport z tych prac i będziemy chcieli pilnie wdrożyć te rozwiązania do polskiego porządku prawnego" - zapowiedział Janusz Cieszyński.

Czym dokładnie są phishing i spoofing?

Phishing - to nazwa, która kojarzy się z angielskim słowem „fishing" oznaczającym łowienie ryb. Przestępcy, podobnie jak wędkarze, stosują bowiem odpowiednio przygotowaną „przynętę" i „łowią" swoje ofiary. Działają przede wszystkim za pomocą podejrzanych stron - takich, które wyłudzają dane osobowe i dane uwierzytelniające. Linki do nich przesyłane są różnymi kanałami - SMS-em, mailem lub przez media społecznościowe. Ich adresy mogą znajdować się w różnych domenach, nie tylko w domenie krajowej \*.pl.

Spoofing to podszywanie się pod innego użytkownika sieci. Oszust wykorzystujący metodę spoofingu telefonicznego podszywa się pod konkretne numery, dzwoniąc z nich do ofiar i udając właściciela danego numeru -- naszego znajomego, pracownika naszego banku, urzędnika czy nawet policjanta. Identyfikacja połączeń przychodzących nie zawsze jest wiarygodna. Istnieje możliwość zamiany numeru strony inicjującej połączenie. Największe możliwości zamiany mają użytkownicy usług VoIP (Voice over Internet Protocol).

Nowe rozwiązania technologiczne ułatwiają masowe wykorzystywanie spoofingu. Oszust może bowiem obecnie ręcznie wprowadzić numer, który ma się wyświetlić adresatowi połączenia jako numer dzwoniącego. Policja nie ma natomiast możliwości zablokowania tego procederu, ponieważ telefon oszusta podłączony jest do sieci komputerowej, a nie komórkowej.

Jak się bronić przed oszustwami?

Jak zaznacza KPRM, w przypadku podejrzanych stron kluczowe jest szybkie działanie - rozpoznawanie, raportowanie oraz dzielenie się informacjami o złośliwych domenach. Wszystko po to, by jak najszybciej zablokować do nich dostęp. Pomaga w tym uruchomiona przez NASK lista ostrzeżeń, która jest dostępna publicznie i wykorzystywana przez operatorów do blokowania dostępu do niepożądanych stron.

Każdy może i powinien zgłosić podejrzaną stronę. W tym celu wystarczy wypełnić internetowy formularz dostępny na stronie incydent.cert.pl. Zgłaszać można też podejrzane, zawierające linki, SMS-y. Wystarczy przesłać je na numer 799 448 084, wykorzystując w swoim telefonie funkcję „przekaż" albo „udostępnij".

Wiadomość trafi bezpośrednio do analityków CSIRT NASK, którzy zdecydują o dopisaniu podejrzanej domeny do listy ostrzeżeń. Z jednego numeru można zgłosić maksymalnie trzy wiadomości w ciągu czterech godzin. Numer służy jednak wyłącznie do SMS-owego zgłaszania prób wyłudzeń internetowych (phishingu, fałszywych aplikacji). Jeśli chcemy zadzwonić i zgłosić incydent, to odpowiedni numer znajdziemy na stronie CSIRT NASK.

Chcemy być także bliżej Państwa - czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać - zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.

Joanna Rokicka/PAP