Od 25 marca w Polsce zaczynają obowiązywać nowe przepisy dotyczące działalności operatorów telekomunikacyjnych. Zgodnie z nimi, przedsiębiorcy będą zobowiązani do blokowania fałszywych wiadomości SMS, które służą do wyłudzania danych osobowych lub pieniędzy.
Chociaż przepisy dotyczące tzw. "smishingu" funkcjonują już od stycznia, to od 25 marca stały się one obowiązkowe dla wszystkich operatorów. W rezultacie możemy spodziewać się znacznego zmniejszenia liczby podejrzanych SMS-ów.
Fałszywe SMS-y: Nowy obowiązek
Operatorzy muszą blokować nie tylko wiadomości odpowiadające wzorcom fałszywych SMS-ów, ale również takie, które posiadają zastrzeżony nadpis, a nie pochodzą od podmiotu publicznego. Przykładem jest tytuł wiadomości zawierający skrót "e-US", używany przez Urząd Skarbowy. Wcześniej oszuści mogli próbować się podszywać, jednak teraz ta praktyka stanie się znacznie trudniejsza.
Eksperci zwracają uwagę, że choć takie zabezpieczenia są dostępne dla podmiotów publicznych, to brakuje ich w sektorze prywatnym. Z tego powodu oszuści mogą stosować nadpisy podszywające się pod firmy, np. InPost czy kurierów. Nadal więc warto być ostrożnym wobec tego typu komunikatów, chociaż istnieje szansa, że będą one blokowane dzięki wzorcom fałszywych SMS-ów przesłanym do CSIRT NASK.
Projekt ten został rozpoczęty przez rząd poprzedniej kadencji, a kontynuowany był przez odpowiedni resort pod nadzorem Krzysztofa Gawkowskiego. Jego głównym celem jest zwalczanie różnych form oszustw teleinformatycznych, takich jak:
- spoofing, czyli podszywanie się pod elementy systemu teleinformacyjnego różnych instytucji,
- phishing, czyli podszywanie się pod instytucje w celu wyłudzania danych,
- smishing, czyli wykorzystywanie wiadomości SMS do wyłudzania danych.
Czym jest "smishing"?
Smishing, czyli wykorzystywanie socjotechnik w celu wyłudzenia danych i pieniędzy, polega głównie na przesyłaniu fałszywych informacji, np. o konieczności uiszczenia dodatkowych opłat za przesyłkę. Takie wiadomości często zawierają linki do stron internetowych, które wyglądają autentycznie, ale służą w rzeczywistości do kradzieży danych logowania oraz pieniędzy.
Za przestępstwa takie jak smishing, spoofing i inne formy nadużyć grozi kara pozbawienia wolności od 3 miesięcy do 5 lat. Dodatkowo Prezes Urzędu Komunikacji Elektronicznej (UKE) ma prawo nałożyć grzywny finansowe, które mogą sięgnąć nawet 3 procent przychodu uzyskanego przez sprawcę w poprzednim roku kalendarzowym.
Co się zmieni w SMS-ach?
Mimo że niektóre komunikaty mogą trafić do adresatów, nowy mechanizm filtracji ma za zadanie ostrzegać odbiorców przed podejrzanymi treściami. Od 25 marca powinno być trudniej oszustom wysyłać SMS-y, chociaż mogą oni próbować znaleźć sposób na obejście nowych zabezpieczeń. Niestety, nowe zabezpieczenia dotyczyć będą tylko instytucji publicznych, a nie prywatnych nadawców. Fałszywe wiadomości od podmiotów prywatnych będą blokowane w odpowiedzi na wysyłane przez CSIRT NASK wzorce.
Numer alarmowy
Warto zaznaczyć, że schematy fałszywych SMS-ów, o których mowa, tworzą się na podstawie wiadomości przechodzących do bazy danych i przechodzących weryfikację. Każdy może zgłosić takie przypadki poprzez skorzystanie z nowego numeru alarmowego 8080, na który można przesłać podejrzany SMS. Zgłoszenie zostanie poddane weryfikacji, co pozwoli w przyszłości zabezpieczyć innych użytkowników przed potencjalnymi szkodliwymi działaniami. Operatorzy mają za zadanie zapewnić ciągły dostęp do tego numeru, co przyczyni się do skutecznej ochrony przed oszustwami SMS-owymi.
