Już niedługo ma być mniej telefonów i SMS-ów od naciągaczy i oszustów. Temu służyć ma ustawa o zwalczaniu nadużyć w komunikacji elektronicznej, która wejdzie w życie pod koniec sierpnia. Ministerstwo Cyfryzacji nazywa ją "krokiem milowym" w zakresie bezpieczeństwa komunikacji cyfrowej.
Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej wprowadza blokadę na poziomie państwowym na fałszywe połączenia, SMS-y i domeny internetowe. Jak zwraca uwagę resort cyfryzacji w komunikacie poświęconym nowym przepisom, o ile na przepisach skorzystamy wszyscy, to będzie ona chroniła "w szczególny sposób dzieci i seniorów, którzy nie zawsze potrafią rozpoznać zagrożenie".
- To dobry dzień dla użytkowników nowych technologii, a zły dla oszustów. Zaproponowane rozwiązania skutecznie ograniczą podszywanie się pod instytucje zaufania publicznego – ocenił minister cyfryzacji Janusz Cieszyński.
Skuteczność ochrony Polaków przed utratą ich danych osobowych oraz pieniędzy ma wzrosnąć dzięki współpracy Naukowej i Akademickiej Sieci Komputerowej (NASK), Urzędu Komunikacji Elektronicznej (UKE) oraz Centralnego Biura Zwalczania Cyberprzestępczości (CBZC).
Według danych Krajowego Systemu Informacyjnego Policji szacunkowa wartość strat materialnych spowodowanych przez oszustwa związane z e-bankowością i phishingiem w 2022 r. wyniosła ponad 124 miliony złotych.
Najczęstsze formy przestępstw
Chyba każdy z nas doświadczył niechcianych połączeń od telemarketerów czy nachalnych reklam. Chociaż są to zjawiska irytujące, nie stanowią realnego niebezpieczeństwa. Istnieje jednak szereg działań w zakresie komunikacji elektronicznej, którymi posługują się przestępcy:
smishing – to fałszywe SMS-y podszywające się pod wiadomość od kuriera, z banku czy instytucji publicznej. Zawierają np. link do strony internetowej zachęcającej do podania danych osobowych czy przelania środków, spoofing – to podszywanie się pod numer telefonu zaufanej instytucji czy innej osoby, powiązany z próbą zastraszenia ofiary, wyłudzenia pieniędzy lub danych osobowych, generowanie sztucznego ruchu – jest to inicjowanie długich, wielogodzinnych połączeń, które nie niosą ze sobą żadnej treści (tzw. głuche telefony), nieuprawniona zmiana informacji adresowej – przestępcy modyfikują numer, z którego dzwonią, aby utrudnić identyfikację – ta forma oszustwa jest wykorzystywana np. w celu utrudnienia rozliczenia za połączenie.
Jak zauważa ministerstwo, działania oszustów mogą narazić nas na wiele nieprzyjemnych skutków: utratę oszczędności czy wyłudzenie kredytu na podstawie naszych danych.
Jakie zmiany wprowadzi ustawa?
Jak wskazuje resort cyfryzacji, ustawa o zwalczaniu nadużyć w komunikacji elektronicznej ograniczy liczbę oszustw dokonywanych za pomocą różnych usług komunikacji elektronicznej. Do tego przedsiębiorcy telekomunikacyjni będą mieli od 6 do 12 miesięcy na wdrożenie w życie rozwiązań, które będą przeciwdziałać nadużyciom.
Nowe przepisy nakładają też obowiązki na prezesa Urzędu Komunikacji Elektronicznej oraz CSIRT NASK – Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego:
- Zespół CSIRT NASK będzie monitorował występowanie smishingu i przekazywał przedsiębiorcom telekomunikacyjnym wzorce wiadomości wyczerpującej znamiona tego przestępstwa,
- Prezes UKE będzie prowadził wykaz numerów służących wyłącznie do odbierania połączeń głosowych – w ten sposób ograniczymy możliwość podszywania się oszustów pod infolinie urzędów czy innych podmiotów.
Ministerstwo Cyfryzacji zwraca uwagę, że wniosek o wpisanie numeru do wykazu będzie mogło złożyć wiele podmiotów. Nie tylko jednostki sektora publicznego, ale także banki, instytucje finansowe i ubezpieczeniowe, czy przedsiębiorcy telekomunikacyjni.
"Dzięki temu oszust, próbujący podszyć się banku czy urzędu gminy wpisany do wykazu, w ogóle nie wykona fałszywego połączenia" - stwierdzono.
Chronione będą również nadpisy, czyli identyfikatory wiadomości SMS, używane zamiast numeru telefonu. Przykładem nadpisu jest "e-US" używany przez Krajową Administrację Skarbową. Wykaz nadpisów zastrzeżonych dla podmiotów publicznych, będzie prowadzony przez CSIRT NASK. Przedsiębiorcy telekomunikacyjni będą blokować SMS-y z zastrzeżonymi nadpisami, które nie pochodzą od podmiotu publicznego.
Nowe regulacje dla operatorów
Resort cyfryzacji informuje, że przedsiębiorcy telekomunikacyjni będą zobowiązani do przeciwdziałania nadużyciom za pomocą różnorakich środków organizacyjnych i technicznych.
Jednym z takich działań jest blokowanie SMS-ów, które zawierają treści wyczerpujące znamiona smishingu oraz połączeń głosowych, których celem jest podszywanie się pod inną osobę lub instytucję.
Ustawa nakłada również nowe obowiązki na dużych dostawców poczty elektronicznej (dla co najmniej 500 tys. użytkowników lub podmiotów publicznych), którzy będą musieli stosować mechanizmy uwierzytelnienia SPF/DKIM/DMARC. Ograniczy to działania oszustów, którzy próbują podszyć się pod zaufane instytucje i wyłudzić dane od użytkowników poczty elektronicznej. Zmniejszy to także liczbę ataków typu man in the middle, polegających na podsłuchiwaniu i modyfikacji wiadomości przesyłanych pomiędzy dwiema stronami bez ich wiedzy.
Fałszywe strony internetowe (domeny)
W 2020 r. zostało zawarte porozumienie przez ministra cyfryzacji, prezesa Urzędu Komunikacji Elektronicznej, Naukową i Akademicką Sieć Komputerową oraz 4 największych przedsiębiorców telekomunikacyjnych w Polsce, dzięki któremu udało się stworzyć listę oszukańczych domen, kradnących lub wyłudzających dane. Linki do nich przesyłane są różnymi kanałami: przez SMS, e-mail lub media społecznościowe. W tej chwili na liście jest ponad 130 tysięcy pozycji.
Do tej pory lista funkcjonowała jedynie jako ostrzeżenie dla użytkowników, teraz zyskała umocowanie ustawowe. Oznacza to, że przedsiębiorcy telekomunikacyjni będą mogli z automatu blokować dostęp do fałszywych domen internetowych.
Źródło: Ministerstwo Cyfryzacji
Źródło zdjęcia głównego: maoyunping/Shutterstock