Cyberbezpieczeństwo
Ta lista numerów miała chronić Polaków przed spoofingiem. Pojawiły się... dwa
Od końca marca uprawnione podmioty takie jak banki, telekomy czy instytucje finansowe mogą wpisywać się na tzw. listę DNO, czyli numerów, które będą służyły tylko do odbierania połączeń, a nie do wykonywania ich. Wszystko po to, by nie podszywano się pod oficjalne instytucje, co miało uchronić użytkowników przed spoofingiem. Problem w tym, że obecnie na liście znajdują się… dwa numery.
Wielokrotnie na łamach CyberDefence24 pisaliśmy o ustawie o zwalczaniu nadużyć w komunikacji elektronicznej. Jej celem ma być ograniczenie m.in. przestępstwa spoofingu, czyli podszywania się pod inną osobę przy połączeniach telefonicznych lub m.in. w wiadomościach mailowych; czy smishingu, polegającego na wysyłaniu wiadomości SMS-owych w celu oszukania ofiary np. z myślą o osiągnięciu korzyści finansowych.
Od marca br. przedsiębiorcy podłączeni do systemu (tzw. Telegraf) mają obowiązek blokować fałszywe SMS-y zgodnie ze wzorcem fałszywej wiadomości, przekazanej przez CSIRT NASK.
Czytaj też
Lista DNO. Po co powstała?
Jednym z narzędzi, jakie wprowadziła ustawa jest tzw. lista DNO (z ang. Do Not Originate), czyli wykaz numerów przeznaczonych wyłącznie do odbierania połączeń głosowych. Taki spis prowadzi Urząd Komunikacji Elektronicznej, przygotował nawet specjalną instrukcję, jak złożyć wniosek w tej sprawie.
Czytaj też
Wpisanie numeru do wykazu sprawi, że użytkownik będzie mógł na niego zadzwonić, ale nie będzie możliwe wykonywanie z niego połączeń wychodzących. Tym samym - w założeniu ustawy - ma to ograniczyć próby podszywania się pod wskazane numery przez oszustów (czyli zastosowania przez nich spoofingu - szczegółowo, jak rozpoznać to oszustwo opisywaliśmy m.in. w tym materiale).
Dlaczego to ważne? Każdego dnia oszuści - pracujący niejednokrotnie jak w małych lub większych firmach call center - wykonują połączenia do niczego nieświadomych ofiar, by naciągnąć je, podając informacje o rzekomej „pożyczce w banku” i konieczności „przetransferowania środków na bezpieczne konto”. Schematy na jakich bazują regularnie opisujemy na naszych łamach, bo jest ich przecież znacznie więcej.
Czytaj też
Lista DNO... z dwoma numerami
Na listę DNO można wpisać się od 26 marca br. Składać wnioski w tej sprawie mogą takie instytucje jak: banki, instytucje płatnicze, zakłady ubezpieczeń, SKOK-i, telekomy (w zakresie numerów, które są wykorzystywane do obsługi klienta); fundusze inwestycyjne czy inne jednostki z sektora finansów publicznych.
Problem w tym, że obecnie w wykazie DNO widnieją… dwa numery.
Poprosiliśmy o komentarz w tej sprawie UKE.
„Lista DNO jest tylko jednym z narzędzi do walki ze spoofingiem. Mamy stały, roboczy kontakt z przedstawicielami departamentów odpowiedzialnych za kwestie bezpieczeństwa instytucji, które mogą wpisywać numery na listę DNO. O takiej możliwości informujemy szeroko już od zeszłego roku” - skomentował dla CyberDefence24.pl Witold Tomaszewski p.o. rzecznika prasowego UKE.
O to samo można by było jednak zapytać wszystkie wskazane wyżej instytucje: dlaczego jeszcze nie zgłosiły numerów do listy DNO? Jak się nieoficjalnie dowiedzieliśmy, na spotkaniach z CSIRT KNF eksperci przypominają o takiej możliwości, jednak… efektów nie widać.
Jednocześnie warto mieć na uwadze, że choć ustawa o zwalczaniu nadużyć w komunikacji elektronicznej obowiązuje, to wchodzi w życie „etapami” i tak przedsiębiorcy telekomunikacyjni objęci nowymi obowiązkami dopiero od 25 września 20224 roku będą zobowiązani do zwalczania fałszywych połączeń głosowych, czyli CLI spoofingu. Otrzymali oni bowiem czas, aby wdrożyć rozwiązania, które zidentyfikują fałszywy ruch w sieciach telekomunikacyjnych.
Jak widać regulacje to jedno, a drugie praktyka. Dlatego edukacja i budowanie świadomości zagrożeń to wciąż podstawa, by nie dać się oszukać - do czego nieustannie zachęcamy.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].