Na wojnie z oszustami telekomunikacyjnymi. Koniec fałszywych SMS-ów i fikcyjnych telefonów?

Na początku br. w Polsce miała miejsce duża kampania spoofingowa, a celem cyberprzestępców były m.in. osoby z życia publicznego, które otrzymywały telefony z np. pogróżkami czy informacjami, które miały wywołać u nich strach lub panikę. W związku z rosnącą skalą tego typu przestępstw rząd postanowił coś z tym zrobić.

Jako pierwsi pisaliśmy w połowie czerwca br. o tym, że pojawił się projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej, który ma w końcu rozprawić się z przestępcami, stosującymi specjalne bramki internetowe VoIP. Dzięki temu podszywali się pod numer zaufanych instytucji, osób publicznych czy znajomych i rodziny i dzwonili - z rzekomo - prawdziwego numeru.

Nowe zapisy zdefiniują prawa i obowiązki przedsiębiorców telekomunikacyjnych oraz dostawców poczty elektronicznej, a także podmiotu publicznego w związku ze zwalczaniem i zapobieganiem nadużyciom w komunikacji elektronicznej. Co istotne, regulacja określa też zasady wnoszenia sprzeciwu przez nadawcę SMS-a, jeśli zostanie on niesłusznie uznany za nadużycie.

W projekcie zdefiniowano trzy rodzaje cyberprzestępstw: tzw. sztuczny ruch; smishing, czyli wysyłanie krótkich wiadomości tekstowych SMS, w których nadawca podszywa się pod inny podmiot, by nakłonić odbiorcę np. do przekazania danych oraz spoofing - nieuprawnione połączenie głosowe służące podszyciu się pod inny podmiot w celu nakłonienia odbiorcy połączenia do określonego działania.

Projekt przechodził etap konsultacji publicznych (swoje stanowisko przekazała m.in. Polska Izba Informatyki i Telekomunikacji, Urząd Komisji Nadzoru Finansowego, Polska Wytwórnia Papierów Wartościowych, Związek Banków Polskich) i opiniowania (tu swoje stanowisko przedstawiło UODO i UOKiK).

Spoofing, smishing, phishing – będą zmiany

Podczas spotkania z dziennikarzami, na którym byliśmy obecni Janusz Cieszyński, sekretarz stanu ds. cyfryzacji i pełnomocnik ds. cyberbezpieczeństwa przedstawił zmiany w projekcie, jakie zostaną wprowadzone po konsultacjach publicznych.

Najważniejsze założenia dotyczą ogólnej poprawy cyberbezpieczeństwa Polaków, którzy dostają fałszywe wiadomości SMS zawierające często link do wyłudzenia danych lub pieniędzy (zwane smishingiem), połączeń telefonicznych (spoofing) oraz wiadomości mailowych (phishing).

Jakie będą metody walki z tymi cyberprzestępstwami? Zaproponowano trzy rozwiązania:

• stworzenie listy numerów służących wyłącznie do odbierania połączeń głosowych (DNO) – będzie to obowiązek Prezesa UKE, który w myśl nowych przepisów zostanie zobowiązany do prowadzenia jawnego wykazu numerów, służących wyłącznie do odbierania połączeń głosowych;
• rozwiązanie tzw. Bezpiecznej Zatoki – automatyczne rozwiązanie blokowania SMS-ów/wiadomości phishingowych, które w ogóle powinny nie być dostarczane użytkownikowi lub oznaczane jako spam. Obowiązek stosowania mechanizmów zabezpieczających ma spoczywać na dostawcach poczty elektronicznej, którzy posiadają powyżej 0,5 mln zarejestrowanych skrzynek. Dodatkowo, dostawcy będą mieli obowiązek stosować jeden z trzech wymienionych w ustawie mechanizmów uwierzytelniania poczty elektronicznej. To DMARC, DKIM lub SPF;
• publiczna lista ostrzeżeń, prowadzona przez CERT Polska. Podmiotem odpowiedzialnym za monitorowanie smishingu ma być CSIRT NASK, którego zadaniem będzie informowanie o nadużyciach przedsiębiorców telekomunikacyjnych. Następnie, po otrzymaniu informacji o nadużyciu, przedsiębiorca telekomunikacyjny ma blokować SMS-y zgodne ze wzorem przekazywanym przez CSIRT NASK od dalszej dystrybucji.

Dodatkowo, ostrzeżenia dotyczące oszustw telekomunikacyjnych będą publikowane z opóźnieniem wynoszącym od 14 do 21 dni na stronie CERT NASK (cert.pl), by wykrywający cyberprzestępstwo najpierw mogli zareagować (a by nadawca nie wiedział od razu, że jego kampania została już namierzona), a użytkownik zdobyć wiedzę o złośliwej kampanii.

Tym samym np. o dobrze znanej już wszystkim kampanii „na dopłatę do prądu” czy „do przesyłki” dowiemy się oficjalnie ze strony internetowej – znajdą się na niej wzorce wiadomości wysyłane przez oszustów (na wzór rejestru fałszywych domen). Ma to dać łatwą i szybką weryfikację informacji użytkownikom, którzy będą zaniepokojeni otrzymaniem fałszywego SMS-a czy np. wiadomości mailowej.

Czy to realna walka ze spoofingiem?

Czy nowe regulacje realnie zlikwidują, albo chociaż zminimalizują problem spoofingu w Polsce? Cieszyński podczas spotkania z dziennikarzami przyznał, że obecnie wykrywalność spoofingu w naszym kraju jest na poziomie 0,0 proc., zatem wdrożenie projektu może - choć w minimalny sposób - poprawić cyberbezpieczeństwo Polaków poprzez zastosowanie określonych mechanizmów technologicznych.

Zdaniem Janusza Cieszyńskiego projekt ma szansę po wakacjach trafić na Komitet Stały Rady Ministrów i jak dodał „ma nadzieję, że na jesień trafi do Sejmu”. Trudno jednak oceniać, kiedy w rzeczywistości wejdzie w życie - zmianie ma prawdopodobnie podlegać zbyt długie vacatio legis.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].