Smishing, spoofing i sztuczny ruch – ustawa na ratunek
Nowa ustawa ma być odpowiedzią na falę fałszywych SMS-ów i połączeń telefonicznych, która coraz mocniej atakuje nas w zasadzie od czasów pandemii. Wśród potencjalnych zagrożeń trzeba wymienić:
- smishing – fałszywe SMS-y podszywające się pod instytucje (banki) czy firmy (np. kurierskie), w tym zawierające linki do niebezpiecznych stron internetowych,
- spoofing – podszywanie się pod konkretny numer telefonu, czy to osoby prywatnej, czy instytucji,
- generowanie sztucznego ruchu – blokowanie sieci lub numerów za pomocą długich, nieprzerwanych połączeń,
- nieuprawniona zmiana adresowa – modyfikacja numeru, przez co na ekranie telefonu widzimy połączenie z innego numeru, niż faktyczny numer dzwoniący.
Nowa ustawa ma wprowadzić dwie kwestie. Zespół CSIRT NASK będzie monitorować występowanie fałszywych SMS-ów, a następnie przekaże operatorom wzorce wiadomości do zablokowania. O czym za moment.
Urząd Komunikacji Elektronicznej (w końcu!) zacznie prowadzić wykaz numerów, które służą tylko do odbierania połączeń. Czyli np. numery instytucji czy banków, z których nie są wykonywane połączenia wychodzące, a pod które mogą podszywać się oszuści.
Wszystkie wymienione wyżej oszustwa będą traktowane jako przestępstwo. Ustawa przewiduje karę pozbawienia wolności od 3 miesięcy, do 5 lat. W przypadku mniejszej wagi będzie go grzywna, kara ograniczenia wolności lub pozbawienia jej do roku.
Ustawa przewiduje spore ułatwienie dla operatorów, którzy będą mogli wzajemnie wymieniać się informacjami mogącymi zapobiegać nadużyciom telekomunikacyjnym. W tym informacje objęte tajemnicą telekomunikacyjną. To powinno znacznie usprawnić współpracę w tym zakresie.
Czytaj też: Aukcja 5G – państwowy Exatel znowu ma roszczenia
Zmiany pojawią się też w Internecie
Powstanie lista domen internetowych, które są wykorzystywane do oszustw, wyłudzeń danych oraz środków finansowych. Na jej podstawie operatorzy będą mogli odgórnie zablokować możliwość uruchomienia tego typu stron. Co prawda w podobnej formie jest prowadzona od dawna, ale dopiero teraz zyska umocowanie prawne i zostanie obudowana w odpowiednie narzędzia.
Zmiany dotkną też dostawców poczty internetowej, z których korzysta co najmniej 500 tys. użytkowników. Obejmie ich obowiązek stosowania mechanizmów uwierzytelnienia SPF/DKIM/DMARC.
Czytaj też: Aparat 489 megapikseli? Tak, i to nie w nowym smartfonie Samsunga – możesz go zrobić sam
Operatorzy będą blokować fałszywe SMS-y. Inwigilacja? W żadnym wypadku, ale do skuteczności działania można mieć zastrzeżenia
Jeśli zespół NASK wykryje fałszywe lub niebezpieczne treści SMS-ów, przekaże ich wzorzec operatorom. Będą oni mieli obowiązek wprowadzenia blokady wiadomości zawierających określoną treść lub zwroty. Podobnie będzie to wyglądać w przypadku połączeń, w których oszuści podszywają się pod konkretną osobę lub instytucję.
Inwigilacja? Nie, bo NASK nie będzie przeczesywać wszystkich wysłanych wiadomości. Będzie bazować wyłącznie na zgłoszeniach użytkowników. W związku z tym skuteczność działania będzie w dużym stopniu zależeć od nas i tego, jak dużą próbkę wiadomości sami dostarczymy. Od strony NASK-u niewiele się zmieni, bo w podobny sposób działa on obecnie. Jedyna różnica, choć istotna, polega na tym, że nadawcy fałszywych SMS-ów będą mogli zostać zablokowani przez operatorów. Ustawa przewiduje pomyłki i nadawcy będą mogli zgłosić sprzeciw po zablokowaniu do Urzędu Komunikacji Elektronicznej.
Tak, NASK żeby przygotować wzorce wiadomości, będzie czytać SMS-y przesyłane w sieciach komórkowych. Ale zgodnie z powyższym nie, nie będzie sprawdzać ich bez naszej wiedzy, a zobaczy tylko te wiadomości, które sami im wyślemy. Prawdziwą inwigilację rząd szykuje w ramach Prawa Komunikacji Elektronicznej, więc w tym przypadku możemy spać spokojni.
Inną kwestią pozostaje skuteczność tego rozwiązania i tutaj zapewne pojawią się dyskusje, w którą stronę należałoby szukać ewentualnych usprawnień. Temat oszustw mailowych czy telefonicznych jest w zasadzie od lat wałkowany, a ludzie zamiast bardziej uważać, coraz częściej padają ofiarami oszustów. Kampanie informacyjne niewiele zmieniają i pozostaje pytanie, czy uda się przekonać Polaków do przekazywania informacji o oszustwach SMS-owych czy telefonicznych? W jaki sposób to robić, kolejnymi kampaniami i komunikatami w mediach?
Można by to rozwiązać sprawdzaniem wszystkich wiadomości przesyłanych w sieci, ale byłyby to kolejne nasze dane w rękach państwowych instytucji. A zaufanie do nich zazwyczaj stoi na mizernym poziomie i zapewne wielu z nas spałoby spokojniej, gdyby obecna władza nie czytała naszych SMS-ów.