To koniec smishingu i spoofingu? Zobacz, co się zmieni

Prace nad projektem ustawy o zwalczaniu nadużyć w komunikacji elektronicznej trwały już od ubiegłego roku, co opisywaliśmy na bieżąco na łamach CyberDefence24.pl. Jej celem ma być ograniczenie m.in. przestępstwa spoofingu, czyli podszywania się pod inną osobę przy połączeniach telefonicznych lub m.in. wiadomościach mailowych; czy smishingu, czyli wysyłania wiadomości SMS-owych, by oszukać ofiarę np. w celach finansowych.

Ustawa przewiduje, że zakazane będzie:

• generowanie sztucznego ruchu – czyli wysyłanie lub odbieranie komunikatów lub połączeń głosowych, których celem nie jest skorzystanie z usług telekomunikacyjnych (to tzw. fraudy telekomunikacyjne wykonywane np. dla nieuprawnionych korzyści majątkowych);
• smishing – wysłanie krótkiej wiadomości tekstowej (SMS), w której nadawca podszywa się pod inną osobę czy instytucję, by nakłonić dbiorcę do określonego zachowania (np. przekazania danych osobowych; pieniędzy czy instalacji oprogramowania);
• CLI spoofing – podszywanie się pod inną osobę/instytucję/itp. za pomocą połączeń głosowych, by wywołać strach, poczucie zagrożenia czy np. przekazanie swoich danych/ pieniędzy/ wykonanie określonej czynności;
• nieuprawniona zmiana informacji adresowej, utrudniająca ustalenie przez uprawnione podmioty, kto jest nadawcą komunikatu (nie dotyczy to zmiany wyłącznie adresu IP).

Ochrona przed fałszywymi stronami

Ustawa przewiduje także ochronę użytkowników przed stronami internetowymi, których celem jest wyłudzenie danych, w tym osobowych, przekazanie pieniędzy itd. za co odpowiada CSIRT NASK (stronę służącą do oszustwa z własnej inicjatywy lub po otrzymaniu zgłoszenia instytucja wpisuje na listę ostrzeżeń). Dostęp do fałszywej strony uniemożliwi przedsiębiorca telekomunikacyjny.

Ochrona poczty elektronicznej

Obowiązki będą mieli także dostawcy poczty elektronicznej dla co najmniej 500 tys. użytkowników poczty (np. Gmaila, WP Poczty czy Onet Poczty) lub dla podmiotu publicznego: stosowania mechanizmu SPF (Sender Policy Framework), DMARC (Domain-based Message Authentication Reporting and Conformance) oraz DKIM (DomainKeys Identified Mail). Operatorzy pocztowi dla podmiotów publicznych będą musieli zapewnić uwierzytelnienie wieloskładnikowe.

Kontrolę mechanizmów bezpieczeństwa poczty będzie mógł przeprowadzić prezes UKE.

Obowiązki CSIRT NASK

Ustawa daje użytkownikom prawo do ich jak najlepszej ochrony przed wskazanymi wyżej oszustwami, ale nakłada także szereg obowiązków na podmioty, których zadaniem będzie realne działanie, by możliwie w jak największym stopniu ograniczyć skalę przestępstw dot. komunikacji elektronicznej.

Jednym z nich jest CSIRT NASK, działający w strukturach NASK, który na co dzień zajmuje się monitorowaniem sytuacji w cyberprzestrzeni, reagowaniem na cyberataki i zapobieganiem im. To właśnie do CSIRT NASK do tej pory użytkownicy mogli zgłaszać fakt otrzymania np. podejrzanej wiadomości SMS-owej, mailowej, oszustwa znalezionego w sieci (np. fałszywe reklamy na Facebooku). Zespół reagowania na incydenty bezpieczeństwa komputerowego następnie przesyła instrukcję dla użytkownika - z jakiego rodzaju oszustwem ma do czynienia, co powinien zrobić, jak się chronić oraz nagłaśnia trwające kampanie - w ten sposób ostrzegając innych.

Teraz CSIRT NASK będzie miał kolejne obowiązki. Poza wspomnianych monitorowaniem smishingu (czyli fałszywych wiadomości SMS-owych), będzie tworzył tzw. wzorce wiadomości, których celem będzie wyeliminowanie występowania poszczególnych schematów fałszywych wiadomości. Będzie także odpowiadał za system teleinformatyczny, służący do przekazywania i udostępniania informacji o wystąpieniu smishingu i zapewni dostęp do nich m.in. Komendantowi Centralnego Biura Zwalczania Cyberprzestępczości, prezesowi UKE oraz przedsiębiorcom telekomunikacyjnym.

Jak to ma wyglądać w praktyce? CSIRT NASK za pośrednictwem wspomnianego systemu będzie przekazywał operatorom telekomunikacyjnym informacje o wystąpieniu smishingu wraz z wzorcem fałszywej wiadomości, co umożliwi im automatyczne wyeliminowanie takich SMS-ów/ MMS-ów, nim jeszcze trafią do użytkownika (a przynajmniej powinno - jak to będzie działało w praktyce, dopiero się przekonamy po jakimś czasie).

Co istotne, CSIRT NASK - po przekazaniu wzorca fałszywej wiadomości do operatorów - udostępni go na swojej stronie internetowej (nie wcześniej niż w ciągu 14 dni i nie później w ciągu 21 dni od dnia przekazania go przedsiębiorcy telekomunikacyjnemu). Taka lista będzie mogła być na bieżąco aktualizowana, od decyzji (w przypadku niesłuszonego blokowania wzorca wiadomości) będzie można się odwołać.

Z punktu widzenia nas - użytkowników - nie mniej istotna jest także informacja, że CSIRT NASK przyjmuje od odbiorców krótkich wiadomości tekstowych (SMS) zgłoszenia jeśli podejrzewamy, że mamy do czynienia z oszustwem - pod numerem 8080. Ich wysyłka będzie bezpłatna (dodatkowo nadal oszustwa można zgłaszać także przez formularz internetowy).

Nadal także CSIRT NASK będzie prowadził tzw. listę ostrzeżeń przed niebezpiecznymi stronami, których celem było oszukanie użytkownika.

Obowiązki dla operatorów

Ustawa nakłada również bardzo istotne obowiązki na operatorów telekomunikacyjnych. Będą zobowiązani do automatycznego blokowania smishingu (bądź zmiany decyzji, jeśli okaże się, że zgłoszony wzorzec fałszywego SMS-a jednak nie był oszustwem).

W przypadku stosowania wspomnianych już nadużyć (generowanie sztucznego ruchu, smishing, CLI spoofing, nieuprawniona zmiana informacji adresowej) operator podlega karze pieniężnej, a o jej wysokości decyduje prezes UKE.

Przedsiębiorca telekomunikacyjny będzie mógł także blokować smishing inny niż we wzorcach wiadomości za pomocą systemu, który pozwoli na automatyczną indentyfikację takich komunikatów; MMS-y, których celem będzie np. przekazanie danych osobowych, otwarcie strony internetowej, nawiązanie fałszywego połączenia czy instalacja groźnego oprogramowania; a także będzie mógł sam blokować CLI spoofing.

Obowiązki prezesa UKE

Prezes UKE - poza nakładaniem wspomnianych wyżej kar - będzie także rozpatrywać ew. sprzeciw wobec decyzji o zablokowaniu wzorca wiadomości uznanego za fałszywy.

Dodatkowo będzie prowadził jawny wykaz numerów służących wyłącznie do odbierania połączeń głosowych i udostępnia ten wykaz w Biuletynie Informacji Publicznej na swojej stronie. Wpis na liście będzie mógł zostać dokonany np. na wniosek banku, instytucji kredytowej czy SKOK.

Kary dla przestępców

W ustawie przewidziano kary za powyższe przestępstwa. Jak wskazuje art. 29: "Kto w celu osiągnięcia korzyści majątkowej, korzyści osobistej lub wyrządzenia innej osobie szkody wysyła lub odbiera komunikaty lub połączenia głosowe w sieci telekomunikacyjnej z wykorzystaniem urządzeń telekomunikacyjnych lub programów, których celem nie jest skorzystanie z usługi telekomunikacyjnej, lecz ich zarejestrowanie na punkcie połączenia sieci telekomunikacyjnych lub przez systemy rozliczeniowe podlega karze pozbawienia wolności od 3 miesięcy do lat 5". W przypadku mniejszej wagi przestępstwa przewidziano karę grzywny, ograniczenia wolności albo pozbawienia wolności do roku.

Analogicznie sytuacja wygląda jeśli chodzi o wysyłanie fałszywych SMS-ów, MMS-ów; spoofing lub dokonuje modyfikacji informacji adresowej.

Kiedy przepisy realnie zaczną działać?

Ustawa wchodzi w życie po upływie 30 dni od dnia ogłoszenia (terminy są liczone od dnia ogłoszenia ustawy, czyli od 25 sierpnia).

Co ważne z punktu widzenia odbiorcy fałszywych SMS-ów, maili i telefonów poszczególne podmioty od dnia wejścia w życie ustawy mają określony czas, by wykonać swoje obowiązki.

CSIRT NASK ma na to 3 miesiące. Ostatnio pisaliśmy jednak, że w CERT Polska - poza dotychczasowymi rozwiązaniami - powstało narzędzie bezpiecznapoczta.cert.pl, którego celem jest ochrona użytkowników poczty elektronicznej i jednocześnie ułatwienie dla instytucji, aby mogły sprawdzić poprawność konfiguracji serwisu pocztowego ( więcej na ten temat przeczytacie w tym materiale ).

Komendant Centralnego Biura Zwalczania Cyberprzestępczości, prezes UKE i przedsiębiorcy telekomunikacyjni są obowiązani do podłączenia się do systemu teleinformatycznego automatycznie wykrywającego wspomniane przestępstwa w terminie 3 miesięcy od udostępnienia przez ministra właściwego do spraw informatyzacji (to minister Janusz Cieszyński) informacji o uruchomieniu tego systemu.

Natomiast przedsiębiorcy telekomunikacyjni są obowiązani do wdrożenia poszczególnych przepisów albo w terminie 6 miesięcy od wejścia w życie ustawy; albo 12 miesięcy. Jeśli chodzi o dostawców poczty elektronicznej - na zmiany mają 3 miesiące, a jeśli chodzi o operatora pocztowego odpowiadającego za podmioty publiczne - 6 miesięcy (obejmuje to też możliwość stosowania uwierzytelniania wieloskładnikowego).

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].