Już 25 marca możemy zacząć dostawać mniej SMS-ów od oszustów – przynajmniej tych, którzy będą próbowali podszyć się pod podmioty państwowe. Operatorzy telekomunikacyjni podłączeni do specjalnego systemu, uruchomionego przez NASK, będą mieli obowiązek blokować takie wiadomości. Przepisy wchodzące w życie pod koniec miesiąca (25 marca 2024) ograniczą skalę phishingu SMS-owego (tzw. smishingu), ale eksperci wskazują, że wciąż brakuje analogicznych metod ochrony dla sektora prywatnego.
Nowy system teleinformatyczny służy do wymiany informacji o fałszywych wiadomościach i chronionych nadpisach podmiotów publicznych między operatorami telekomunikacyjnymi, a kluczowymi podmiotami państwowymi dbającymi o cyberbezpieczeństwo: CSIRT NASK, Policją oraz Prezesem UKE.
Tide Software, jeden z wiodących dostawców platform komunikacyjnych CPaaS w Polsce i operator telekomunikacyjny dla klientów biznesowych chroni odbiorców komunikacji przed próbami wyłudzeń, związanymi m.in. z przekierowaniami do domen o niskiej reputacji, niespełniających kryteriów bezpieczeństwa. Działania te realizuje poprzez autorskie rozwiązania, a blokowane smsy dotyczą głównie firm z sektora e-comm, banków czy podmiotów windykacyjnych.
W Polsce phishing pozostaje najbardziej rozpowszechnionym typem ataku cybernetycznego[1]. Na całym świecie nawet 8 na 10 organizacji było celem przynajmniej jednej próby phishingu[2]. Aż w 4 na 10 przypadkach do tego wykorzystywane są SMS-y[3].
Czym jest smishing?
– Ataki typu smishing są socjotechniką, której celem jest wyłudzenie wrażliwych danych. Opierają się na fałszywych informacjach np. o konieczności uiszczenia dodatkowych opłat za odbiór przesyłek czy odblokowania konta bankowego. Wiadomość zawiera link prowadzący do strony internetowej, która może do złudzenia wyglądać jak prawdziwa strona banku czy kuriera, jednak wcale taką nie jest. Każda informacja, którą się podzielimy na takiej stronie, jak login czy hasło, wpada w ręce przestępców. Mamy autorskie narzędzia jak Tide Protect, które minimalizują ryzyko takich ataków smishingowych, jednak działania regulacyjne jak ustawa o zwalczaniu nadużyć w komunikacji elektronicznej wprowadzają nową przestrzeń i podstawę prawną konieczną do walki z tym szkodliwym zjawiskiem – tłumaczy Jerzy Klimaszewski, prezes zarządu Tide Software.
W odpowiedzi na ten narastający problem, w Polsce wprowadzono nowe przepisy ustawy o zwalczaniu nadużyć w komunikacji elektronicznej. Na początku roku CSIRT NASK uruchomił system służący do wymiany informacji o fałszywych wiadomościach między kluczowymi organami państwowymi (CSIRT NASK, Policja, Prezes UKE) a przedsiębiorcami telekomunikacyjnymi. Dzięki wprowadzeniu systemu wymiany wzorców i nadpisów, przedsiębiorstwa telekomunikacyjne uzyskały wiedzę umożliwiającą blokowanie wiadomości o charakterze smishingowym.
Blokowanie smishingu obowiązkiem każdego operatora
W poniedziałek 25 marca w życie wchodzi kolejny etap tej ustawy. Mianowicie, dla operatorów telekomunikacyjnych możliwość blokowania fałszywych SMS-ów przerodzi się w obowiązek. Blokowane będą przede wszystkim wiadomości, których nadpisy mogą być myląco podobne do tych używanych przez chronione podmioty publiczne, takie jak Policja, ale również Urząd Skarbowy – co może być szczególnie istotne z uwagi na trwający sezon podatkowy. W ubiegłym roku CSIRT NASK ostrzegało m.in. przed fałszywymi wiadomościami dotyczącymi rzekomych zwrotów nadpłaconych podatków, które w rzeczywistości były próbami wyłudzenia danych osobowych[4].
Jakie mogą być dalsze kroki?
– Nowe obowiązki po stronie operatorów telekomunikacyjnych są ważnym krokiem ze strony ustawodawcy. Brakuje jednak analogicznych możliwości dla sektora prywatnego, pod który przestępcy również chętnie się podszywają. Jak wykorzystać nowe otoczenie regulacyjne? Zachęcamy podmioty publiczne aby wpisywać się na specjalną listę nadpisów. W kolejnych krokach warto rozważyć regulacjyjne rozszerzenie tych możliwości na sektor komercyjny – wskazuje Jerzy Klimaszewski z Tide Software.
W dzisiejszych czasach wyłudzenia różnego rodzaju stają się codzienną zmorą wielu firm i konsumentów. Nowe przepisy stanowią ważny krok w kierunku zwiększenia ochrony przed cyberprzestępczością w Polsce, jednak poszerzenie tych przepisów i adaptacja nowych technologii – takich jak Rich Communication Services – będą kluczowe w długofalowej walce z phishingiem i smishingiem.
Źródło: Tide Software
[1] https://cyberdefence24.pl/cyberbezpieczenstwo/niepokojace-dane-z-cert-polska-dwa-razy-wiecej-zarejestrowanych-incydentow
[2] https://trustnetinc.com/the-growing-threat-of-phishing-attacks-preparing-for-2024/
[3] https://cyberdefence24.pl/cyberbezpieczenstwo/niepokojace-dane-z-cert-polska-dwa-razy-wiecej-zarejestrowanych-incydentow
[4] https://www.gov.pl/web/baza-wiedzy/uwaga-csirt-nask-ostrzega-przed-kampania-podszywajaca-sie-pod-urzad-skarbowy-i-ministerstwo-finansow
Wojciech Boczoń
