Od 25 marca br. powinniśmy zacząć dostawać mniej SMS-ów od oszustów – przynajmniej tych, którzy będą próbowali podszyć się pod podmioty państwowe. Operatorzy telekomunikacyjni podłączeni do specjalnego systemu, uruchomionego przez NASK, mają bowiem obowiązek blokować takie wiadomości. Nowe przepisy powinny ograniczyć skalę phishingu SMS-owego (tzw. smishingu), ale eksperci wskazują, że wciąż brakuje analogicznych metod ochrony dla sektora prywatnego.
Nowy system teleinformatyczny służy do wymiany informacji o fałszywych wiadomościach i chronionych nadpisach podmiotów publicznych między operatorami telekomunikacyjnymi, a kluczowymi podmiotami państwowymi dbającymi o cyberbezpieczeństwo: CSIRT NASK, Policją oraz Prezesem UKE.
Czym zatem jest smishing? Ataki tego typu są socjotechniką, której celem jest wyłudzenie wrażliwych danych. Opierają się na fałszywych informacjach np. o konieczności uiszczenia dodatkowych opłat za odbiór przesyłek czy odblokowania konta bankowego.
“Wiadomość zawiera link prowadzący do strony internetowej, która może do złudzenia wyglądać jak prawdziwa strona banku czy kuriera, jednak wcale taką nie jest. Każda informacja, którą się podzielimy na takiej stronie, jak login czy hasło, wpada w ręce przestępców. Mamy autorskie narzędzia jak Tide Protect, które minimalizują ryzyko takich ataków smishingowych, jednak działania regulacyjne jak ustawa o zwalczaniu nadużyć w komunikacji elektronicznej wprowadzają nową przestrzeń i podstawę prawną konieczną do walki z tym szkodliwym zjawiskiem” – tłumaczy Jerzy Klimaszewski, prezes zarządu Tide Software.
W odpowiedzi na ten narastający problem, w Polsce wprowadzono nowe przepisy ustawy o zwalczaniu nadużyć w komunikacji elektronicznej. Na początku roku CSIRT NASK uruchomił system służący do wymiany informacji o fałszywych wiadomościach między kluczowymi organami państwowymi (CSIRT NASK, Policja, Prezes UKE) a przedsiębiorcami telekomunikacyjnymi. Dzięki wprowadzeniu systemu wymiany wzorców i nadpisów, przedsiębiorstwa telekomunikacyjne uzyskały wiedzę umożliwiającą blokowanie wiadomości o charakterze smishingowym.
25 marca wszedł w życie kolejny etap tej ustawy. Jak już wspomniano, operatorzy telekomunikacyjni mają od tego dnia obowiązek blokowania fałszywych SMS-ów. Blokowane będą przede wszystkim wiadomości, których nadpisy mogą być myląco podobne do tych używanych przez chronione podmioty publiczne, takie jak Policja, ale również Urząd Skarbowy – co może być szczególnie istotne z uwagi na trwający sezon podatkowy. Przykładowo, w ubiegłym roku CSIRT NASK ostrzegało m.in. przed fałszywymi wiadomościami dotyczącymi rzekomych zwrotów nadpłaconych podatków, które w rzeczywistości były próbami wyłudzenia danych osobowych.
Nowe obowiązki po stronie operatorów telekomunikacyjnych są bez wątpienia ważnym krokiem ze strony ustawodawcy. “Brakuje jednak analogicznych możliwości dla sektora prywatnego, pod który przestępcy również chętnie się podszywają. Jak wykorzystać nowe otoczenie regulacyjne? Zachęcamy podmioty publiczne aby wpisywać się na specjalną listę nadpisów. W kolejnych krokach warto rozważyć regulacyjne rozszerzenie tych możliwości na sektor komercyjny” – podsumowuje Jerzy Klimaszewski.
