Walka z fałszywymi SMS-ami i połączeniami telefonicznymi – wchodzi w życie nowa ustawa

Jak wskazuje Ministerstwo Cyfryzacji, w ostatnich latach można zaobserwować większą liczbę cyberataków związanych zwłaszcza z e-bankowością. Wiele z tych ataków przybierało postać:

• smishingu – fałszywych SMS-ów podszywających się pod wiadomość np. od kuriera, banku czy instytucji publicznej, zawierających link do strony WWW zachęcającej do podania danych osobowych czy dokonania transakcji,

• spoofingu – podszywania się pod numer telefonu zaufanej instytucji czy innej osoby, mający na celu zastraszenie, wyłudzenie danych osobowych lub pieniędzy,

• man-in-the-middle – podsłuchiwania oraz modyfikacji wiadomości przesyłanych pomiędzy dwiema stronami bez ich wiedzy

• generowania sztucznego ruchu (głuche telefony) –inicjowania długich, wielogodzinnych połączeń, które nie niosą ze sobą żadnej treści (tzw. głuche telefony),

• nieuprawnionej zmiany informacji adresowej – modyfikacji numeru telefonu np. w celu utrudnienia rozliczenia za połączenie.

Nowa ustawa o zwalczaniu nadużyć w komunikacji elektronicznej ma być narzędziem walki z tego typu cyberatakami. W ustawie przewidziano przede wszystkim obowiązki dla przedsiębiorców telekomunikacyjnych. Będą oni musieli wprowadzić rozwiązania techniczne:

• blokujące SMS-y z przejawami smishingu,

• blokujące połączenia telefoniczne znamionujące spoofing,

• mechanizmy uwierzytelnienia SPF (Sender Policy Framework), DMARC (Domain-based Message Authentication Reporting and Conformance) oraz DKIM (DomainKeys Identified Mail) - ograniczające podszywanie się np. pod instytucje (takie mechanizmy będą musieli wdrożyć operatorzy poczty e-mail dla co najmniej 500 000 użytkowników oraz instytucji publicznych).

Warto dodać, że zespół CSIRT NASK będzie monitorował występowanie smishingu. W oparciu o wyniki monitoringu będą przekazywane przedsiębiorcom telekomunikacyjnym wzorce wiadomości wyczerpującej znamiona tego cyberataku. Właśnie na podstawie tych wzorców przedsiębiorcy telekomunikacyjni będą niezwłocznie blokować szkodliwe SMS-y.

Do tego będą oni mogli wprowadzać automatyczne blokady fałszywych domen internetowych.

Nowe zadania nałożono także na Prezesa UKE. Będzie on prowadził wykaz numerów służących wyłącznie do odbierania połączeń głosowych w instytucjach publicznych (infolinie, punkty obsługi klienta). W ten sposób ma zostać ograniczona możliwość podszywania się oszustów pod infolinie tych instytucji,

Do tego prowadzony będzie wykaz identyfikatorów wiadomości SMS zastrzeżonych dla poszczególnych instytucji publicznych. Chodzi tu o tzw. nadpisy np. e-US używany przez Krajową Administrację Skarbową). Wykaz ten będzie prowadził CSIRT NASK. Dzięki niemu przedsiębiorcy telekomunikacyjni będą blokować wiadomości SMS z zastrzeżonymi nadpisami, które nie pochodzą od właściwej instytucji publicznej.