Nadpis SMS „mObywatel” w końcu zastrzeżony. Dlaczego dopiero po kampanii oszustów?

„W ostatnich dniach rozsyłane są SMS-y informujące o wykroczeniu drogowym i nieopłaconym mandacie. Ich rzekomym nadawcą jest mObywatel. Nie daj się nabrać!” – apelowało Ministerstwo Cyfryzacji na platformie X.

Wiadomości mogły zostać uznane za prawdziwe, ponieważ dotyczyły wrażliwej tematyki dla wielu kierowców (opłacenia mandatu za przekroczenie prędkości) oraz pojawiały się w tym samym oknie konwersacji, co prawdziwe wiadomości od nadawcy o nazwie „mObywatel”.

Rafał, jeden z czytelników Sekuraka, otrzymał wiadomość SMS od wyłudzaczy pieniędzy tuż pod prawdziwymi komunikatami związanymi z aplikacją mObywatel:

Szerzej działania cyberprzestępców opisaliśmy na naszych łamach.

Porozmawiajmy o nadpisach SMS

Naturalne pytanie w tym temacie brzmi: dlaczego dostarczenie SMS-a podszywającego się pod mObywatela było możliwe?

Od 25 marca 2024 roku operatorzy są zobligowani do zablokowania SMS-ów, które „zawierają wprowadzający w błąd wariant nadpisu podmiotu publicznego, ujęty w wykazie CSIRT NASK”, co opisano szerzej na łamach Cyberpolicy NASK.

Najpóźniej od 14 maja br. (trzy dni po dokonaniu wpisu do wykazu) operatorzy są prawnie zobligowani do blokowania SMS-ów podszywających się pod nadawcę „mObywatel”, lecz w momencie kampanii phishingowej wspomniany nadpis nie był dodany do publicznie dostępnego wykazu zastrzeżonych nadpisów.

Należy podkreślić, że podszywanie się pod podmiot za pomocą SMS-ów może być obarczone karą do 5 lat więzienia (art. 30 ustawy o zwalczaniu nadużyć w komunikacji elektronicznej).

Wykaz nadpisów zastrzeżonych dla podmiotów publicznych jest prowadzony przez CSIRT NASK. Przedsiębiorcy telekomunikacyjni będą blokować SMS z zastrzeżonymi nadpisami, które nie pochodzą od podmiotu publicznego.
Ministerstwo Cyfryzacji, „Wystartował system wymiany informacji o smishingu”, styczeń 2024

O tym, że nie powinniśmy ufać nadpisowi nadawcy SMS-a możemy przeczytać w witrynie gov.pl.

„Warto też pamiętać, że możliwe jest sfałszowanie pola nadawcy w wiadomości SMS. Cyberprzestępcy mogą to zrobić za pomocą ogólnodostępnych narzędzi, a wysyłane przez nich wiadomości phishingowe są często bardzo podobne do prawdziwych komunikatów różnych usługodawców” – stwierdzono w komunikacie z marca 2023 roku.

Można w takim wypadku dojść do wniosku, że komunikacja SMS-owa administracji publicznej z obywatelem powinna szeroko wykorzystywać zastrzeżenie nadpisów, aby uniknąć prób ataków phishingowych. Problem w tym, że wiele takich nadpisów do niedawna było niezastrzeżonych.

COI dodaje nadpisy

8 maja br. wysłaliśmy pytanie prasowe do Ministerstwa Cyfryzacji odnośnie zastrzeżenia nadpisu „mObywatel”. Wówczas rekord o tej wartości nie znajdował się w ogólnodostępnym wykazie. Zgodnie z jego założeniami, wpisanie tam nadpisu ma uniemożliwiać skuteczne podszycie się pod niego (w sytuacji, gdy operator wywiązuje się z ustawowych obowiązków).

Mówiąc wprost: brak wpisania nadpisu „mObywatel” oznacza, że technicznie możliwe było nielegalne wysłanie wiadomości SMS-owej, która trafi do tej samej konwersacji, co poprzednie wiadomości od mObywatela. Dokładnie to było widoczne podczas kampanii cyberprzestępców z fałszywymi mandatami.

Prośbę o odpowiedzi na pytania prasowe ponowiłem 22 i 27 maja. W momencie redagowania tekstu (28 maja po godz. 20:00) nie otrzymałem odpowiedzi.

27 maja postanowiłem zerknąć w wykaz nadpisów. Moim oczom ukazało się 58 nowych rekordów, które zastrzegają m.in. poniższe nadpisy:

• PressMKiDN, PressMI, MediaRoom, PressMFiPR, PressMF, PressMEN, PressMC, PressMAP, PressKPRM, PressMP, PressMON;
• mObywatel, mObywatel2, mObywatele, mObywatelAp;
• MojeID, eDowod, gov.pl, eUrzad, ePUAP.

W polu „name” wskazano „CENTRALNY OŚRODEK INFORMATYKI” – najprawdopodobniej do zastrzeżenia doszło na wniosek COI. Wszystkie z wymienionych nadpisów zostały dodane 11 maja między godziną 5:56 a 12:22. Można to zweryfikować w publicznie dostępnym wykazie.

Dlaczego tak późno?

Poniższy fragment to opinia autora

Nadpis „mObywatel”, wykorzystany do wiarygodnie wyglądającej kampanii phishingowej, został zastrzeżony kilka dni po niej. Szkoda – gdyby zastrzeżenie weszło w życie szybciej, operatorzy byliby prawnie zobowiązani do zablokowania fałszywych wiadomości wykorzystujących nadpis. W momencie wysyłki fałszywych SMS-ów – nie byli, ponieważ nie zostały dodane do wykazu.

Osobiście totalnie nie rozumiem tego, jak można stworzyć naprawdę potrzebny i skuteczny mechanizm, który zobowiązuje operatorów do blokowania fałszywych SMS-ów, a następnie nie dodać nadpisu wykorzystywanego przez rządową aplikację, której używa już 12 milionów Polaków. Nielogiczne.

Szkoda, ponieważ – z założenia – zapobiegłoby to doręczeniu wiadomości w ramach tego samego czatu (nadpisu), co prawdziwe wiadomości.

Czy chcemy zobowiązywać obywateli, aby sami rozpoznawali tego rodzaju phishing, czy może wykorzystajmy również w tym celu mechanizm, który został do tego stworzony?

Co ciekawe, nadpis „ZUS” został zastrzeżony w lutym 2024 roku. „mObywatel” 11 maja br. Lepiej późno, niż wcale.

Co dalej?

Wszystkim chętnym rekomendujemy zapoznanie się z obecnie zastrzeżonymi nadpisami.

Artykuł zostanie zaktualizowany w momencie otrzymania odpowiedzi od Ministerstwa Cyfryzacji.

Miejmy nadzieję, że po raz ostatni cyberprzestępcom udało się wykorzystać nadpis używany przez administrację publiczną.