Koniec SMS-ów i połączeń wyłudzających poufne dane
Rada Ministrów przyjęła projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej
Rada Ministrów przyjęła projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej, przedłożony przez ministra cyfryzacji.
Rząd chce zmniejszyć liczbę przypadków nadużyć w komunikacji elektronicznej. Nowe przepisy przewidują, że przedsiębiorcy telekomunikacyjni będą musieli zwalczać takie nadużycia, jak generowanie sztucznego ruchu, smishing, CLI spoofing czy nieuprawniona zmiana informacji adresowej. Natomiast dostawcy poczty elektronicznej dla co najmniej 500 tys. użytkowników lub podmiotów publicznych będą stosowali mechanizm uwierzytelnienia poczty elektronicznej.
Usługi dostarczane przez przedsiębiorców telekomunikacyjnych są coraz częściej wykorzystywane przez przestępców. Mogą oni np. podszywać się pod numer zaufanych instytucji i dzwonić z rzekomo prawdziwego numeru. W ten sposób mogą próbować m.in. nakłonić ofiary do niekorzystnego dla nich działania (zjawisko CLI spoofing). Innym zagrożeniem są fałszywe krótkie wiadomości tekstowe SMS. Oszuści, podszywając się pod zaufane instytucje, próbują nakłonić nieświadome ofiary do ujawnienia danych osobowych, informacji o karcie kredytowej, czy zainfekować urządzenie, poprzez kliknięcie w link w wiadomości (zjawisko smishingu).
Każdy może paść ofiarą takiego oszustwa
Transformacja cyfrowa sprawiła, że oszuści przenieśli swoje działania na telefony i do internetu. Wystarczy zdobyć twoje dane osobowe, aby pozbawić cię oszczędności. - „Skutki takich działań mogą być naprawdę dotkliwe. Zgodnie z nowymi przepisami, operatorzy będą musieli blokować SMS-y wyłudzające dane i połączenia głosowe, których celem jest podszywanie się pod inną osobę lub instytucję. Musimy chronić bezpieczeństwo użytkowników” – podkreślił Janusz Cieszyński, Pełnomocnik Rządu ds. Cyberbezpieczeństwa. Najczęściej zadawane pytania dotyczące ustawy znajdują się na końcu jako załącznik PDF.
Wielokrotnie słyszeliśmy o próbach wyłudzania danych przez oszustów podających się za kurierów, pracowników banku, Biura Informacji Kredytowej czy innej instytucji. Użytkownicy często zgłaszali także fałszywe SMS-y informujące o nieuregulowanym rachunku za prąd czy gaz. - „W ostatnim czasie mieliśmy również do czynienia z kampanią phishingową, w której cyberprzestępcy wykorzystują formułę e-recepty i podszywają się pod Ministerstwo Zdrowia” – informował minister Cieszyński.
Aby skutecznie zapobiegać tego typu przestępstwom, przygotowano projekt ustawy, który ma zminimalizować nadużycia w komunikacji elektronicznej. Ustawa wprowadza kary dla oszustów, a nowe przepisy uwzględniają szczególnie:
- smishing – to fałszywe SMS-y pochodzące od kuriera, banku czy instytucji publicznej, zawierające np. link do strony internetowej zachęcającej do podania danych osobowych czy przelania środków,
- spoofing – podszywanie się pod numer telefonu zaufanej instytucji czy innej osoby i próba zastraszenia ofiary, wyłudzenia pieniędzy lub danych osobowych,
- generowanie sztucznego ruchu – jest to inicjowanie długich, wielogodzinnych połączeń, które nie niosą ze sobą żadnej treści (tzw. głuche telefony),
- nieuprawniona zmiana informacji adresowej – przestępcy modyfikują numer, z którego dzwonią, aby utrudnić identyfikację – ta forma oszustwa jest wykorzystywana np. w celu utrudnienia rozliczenia za połączenie.
Zespół CSIRT NASK będzie monitorował występowanie smishingu i przekazywał przedsiębiorcom telekomunikacyjnym wzorce wiadomości wyczerpującej znamiona tego przestępstwa.
Zgodnie z ustawą, Prezes Urzędu Komunikacji Elektronicznej ma prowadzić wykaz numerów służących wyłącznie do odbierania połączeń głosowych. To rozwiązanie ograniczy możliwość podszywania się oszustów pod numery infolinii urzędów czy innych podmiotów. Wniosek o wpis numeru do wykazu będą mogły złożyć jednostki sektora finansów publicznych, banki, inne instytucje finansowe lub ubezpieczeniowe, ale też operatorzy, rejestrując numery telefonów wykorzystywane przez nich na potrzeby biura obsługi klientów lub infolinii.
Najważniejsze rozwiązania
Na przedsiębiorców telekomunikacyjnych zostaną nałożone obowiązki i uprawnienia związane ze zwalczaniem nadużyć w komunikacji elektronicznej. Chodzi o generowanie sztucznego ruchu, smishing, CLI spoofing, czy nieuprawnioną zmianę informacji adresowej. Katalog nadużyć nie jest zamknięty. Przedsiębiorcy telekomunikacyjni będą musieli w szczególności:
- blokować krótkie wiadomości tekstowe, które zawierają treści zgodne ze wzorcem wiadomości (znamiona smishingu), przekazanym przez CSIRT NASK (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego), który będzie monitorował występowanie tego nadużycia,
- blokować połączenia głosowe, które mają na celu podszywanie się pod inną osobę lub instytucję.
Prezes Urzędu Komunikacji Elektronicznej będzie prowadził wykaz numerów służących wyłącznie do odbierania połączeń głosowych. Rozwiązanie to ograniczy możliwość podszywania się oszustów pod numery infolinii urzędów czy innych podmiotów. Wniosek o wpis numeru do wykazu będą mogły złożyć jednostki sektora finansów publicznych, banki, inne instytucje finansowe lub ubezpieczeniowe. Dotyczy to także numerów telefonów wykorzystywanych przez przedsiębiorcę telekomunikacyjnego na potrzeby biura obsługi klientów lub infolinii.
Na poziomie ustawowym zostanie umocowana lista ostrzeżeń dotyczących domen internetowych, które służą do wyłudzeń danych i środków finansowych użytkowników Internetu.
Dostawcy poczty elektronicznej, dla co najmniej 500 tys. użytkowników lub podmiotów publicznych, będą musieli stosować mechanizmy uwierzytelnienia poczty elektronicznej przy świadczeniu tej usługi.
Wprowadzone zostaną kary dla osób dopuszczających się nadużyć w komunikacji elektronicznej.
Nowe przepisy mają wejść w życie po 30 dniach od ogłoszenia w Dzienniku Ustaw.
Nowe regulacje dla operatorów
Przedsiębiorcy telekomunikacyjni będą zobowiązani do podejmowania proporcjonalnych środków organizacyjnych i technicznych, które będą przeciwdziałać nadużyciom w komunikacji elektronicznej. Jednym z takich działań jest – wspomniane wyżej – blokowanie SMS-ów, które zawierają treści wyczerpujące znamiona smishingu (zgodne ze wzorcem wiadomości przekazanym przez CSIRT NASK) oraz blokowanie połączeń głosowych, których celem jest podszywanie się pod inną osobę lub instytucję.
Ustawa nakłada również nowe obowiązki na dostawców poczty elektronicznej dla co najmniej 500 tys. użytkowników lub podmiotów publicznych. Od dnia wejścia nowych przepisów będą oni zobowiązani przy świadczeniu poczty elektronicznej stosować mechanizmy uwierzytelnienia SPF/DKIM/DMARC.
Lista ostrzeżeń dotyczących domen internetowych, które służą do wyłudzeń danych i środków finansowych użytkowników internetu, funkcjonuje obecnie na podstawie porozumienia zawartego w 2020 r. przez Ministra Cyfryzacji, Prezesa Urzędu Komunikacji Elektronicznej, Naukową i Akademicką Sieć Komputerową - PIB oraz 4 największych przedsiębiorców telekomunikacyjnych. Teraz będzie ona umocowana ustawowo, a przedsiębiorcy telekomunikacyjni (strony porozumienia), będą mogli blokować dostęp do tych domen internetowych.
Nowe przepisy mają wejść w życie po 30 dniach od ogłoszenia w Dzienniku Ustaw.
Pamiętaj!
Możesz zgłosić podejrzaną wiadomość SMS, maila, złośliwą domenę czy oprogramowanie, fałszywą stronę internetową czy sklep na stronie zespołu CERT Polska. SMS-a zgłosisz jeszcze łatwiej: przekazując całą jego treść i wysyłając na numer 799-448-084.
Czy każdy może zapoznać się już obecnie z treścią projektu ustawy o zwalczaniu nadużyć w komunikacji elektronicznej?
Tak. Prace nad ustawą o zwalczaniu nadużyć w komunikacji elektronicznej, której projekt przyjęty został przez Radę Ministrów 14 lutego 2023 roku, były szeroko konsultowany, zaś treść ustawy (wraz z opiniami zainteresowanych stron) udostępniona jest w internecie na stronie Rządowego Centrum Legislacji.
Czy treść projektu ustawy była konsultowana z zainteresowanymi stronami, w tym z operatorami telefonii komórkowej?
Tak. Obecny projekt ustawy to efekt wspólnej pracy Kancelarii Prezesa Rady Ministrów, Urzędu Komunikacji Elektronicznej, CSIRT-u NASK z przedstawicielami sektora telekomunikacyjnego.
Czy wzorce fałszywych wiadomości SMS, przygotowywanych przez CSIRT NASK i przekazywanych operatorom, będą powstawać w wyniku śledzenia przez CSIRT NASK komunikacji w sieciach komórkowych?
Nie. CSIRT NASK bazuje wyłącznie na przesyłanych do niego zgłoszeniach wiadomości SMS, które użytkownicy telefonii komórkowej uznali za podejrzane. Takie działanie jest całkowicie dobrowolne – można przesyłać podejrzane SMS-ów na numer 799 448 084, gdyż wspólna walka z tego typu oszustwami to najlepszy sposób na skuteczną poprawę naszego bezpieczeństwa.
Czy operatorzy telefonii komórkowej będą musieli blokować SMS-y zgodnie z wzorcami, jakie prześle im CSIRT NASK, czy też będzie to z ich strony działanie dobrowolne?
Według obecnego projektu ustawa nałoży na operatorów obowiązek blokowania krótkich wiadomości tekstowych, które będą zawierały treści zgodne ze wzorcem wiadomości przysłanym przez CSIRT NASK. Operatorzy telefonii komórkowej będą mogli również samodzielnie analizować podejrzane wiadomości i blokować je uzupełniająco we własnym zakresie.
Czy lista ostrzeżeń dotycząca domen internetowych, które służą do wyłudzeń danych i środków finansowych użytkowników internetu, zacznie być tworzona dopiero po wejściu w życie ustawy o zwalczaniu nadużyć w komunikacji elektronicznej?
Nie. Taka lista jest już tworzona od kilku lat, na podstawie porozumienia zawartego 23 marca 2020 roku przez Państwowy Instytut Badawczy NASK z operatorami świadczącymi usługi telekomunikacyjne, takimi jak Orange, Polkomtel (Plus), P4 (Play) i T-Mobile.
Czy lista podejrzanych stron, którą przygotowuje CSIRT NASK, a o której mowa w projekcie ustawy o zwalczaniu nadużyć w komunikacji elektronicznej, stanowić może narzędzie służące do cenzurowania treści w internecie?
Nie. To rozwiązanie funkcjonuje już od 2020 roku, a jego skuteczność oceniana jest bardzo pozytywnie.
Ponadto:
1. Lista przygotowywana przez CSIRT NASK na podstawie dobrowolnych zgłoszeń użytkowników internetu ma charakter jawny. Każdy może zatem sprawdzić, czy dana strona internetowa jest na tej liście i – jeśli uzna za stosowne – odwołać się od tej decyzji, wysyłając wiadomość na adres cert@cert.pl, a po wejściu w życie ustawy – także do Urzędu Komunikacji Elektronicznej.
2. CSIRT NASK nie blokuje bezpośrednio żadnych stron internetowych. Blokada nie jest też realizowana w ramach rejestru domeny .pl i jej regulaminu.
3. Jak mówi projekt ustawy, przygotowywana lista przestrzega wyłącznie przed „stronami internetowymi wyłudzającymi dane, w tym dane osobowe oraz doprowadzającymi użytkowników internetu do niekorzystnego rozporządzenia ich majątkiem”, a zatem w żadnym stopniu nie dotyczy ona chociażby stron z materiałami o charakterze politycznym czy dezinformacyjnym.
4. Wykorzystywanie listy przez operatorów świadczących usługi telekomunikacyjne jest – i w świetle projektu ustawy nadal będzie – dobrowolne.
Czy każdy użytkownik internetu może sprawdzić, czy jego operator wykorzystuje listę podejrzanych stron przygotowywaną przez CSIRT NASK?
Tak. Wystarczy wejść na stronę lista.cert.pl i przeczytać pojawiający się automatycznie komunikat. Jeśli operator nie korzysta z listy przygotowywanej przez zespół CSIRT NASK, możliwe jest też jej samodzielne dodanie do wtyczki blokującej reklamy w przeglądarce internetowej.
Jakie najważniejsze mechanizmy wprowadzi nowa ustawa o zwalczaniu nadużyć w komunikacji elektronicznej?
Umożliwi, a jednocześnie nałoży na operatorów telekomunikacyjnych obowiązek zwalczania oszustw polegających na podszywaniu się przestępców pod inne podmioty. Będzie to możliwe np. poprzez blokowanie takich połączeń albo ukrywanie numeru dzwoniącego. Techniczne kwestie blokowania tego rodzaju połączeń określi porozumienie Prezesa UKE z operatorami telekomunikacyjnymi.
Wprowadzi listę (prowadzoną przez UKE), na którą podmioty publiczne i instytucje finansowe będą mogły wpisywać numery telefonów, z których nie można wykonywać połączeń telefonicznych. Wyeliminuje to popularne obecnie oszustwo polegające na podszywaniu się przestępców pod infolinie bankowe.
CSIRT NASK, na podstawie dobrowolnych zgłoszeń o podejrzanych SMS-ach, będzie tworzyć schematy takich oszukańczych wiadomości, które będą następnie blokowane przez operatorów.
Podmioty publiczne oraz popularni dostawcy poczty elektronicznej (powyżej 500 tysięcy użytkowników) będą mieć obowiązek wdrożenia technicznych mechanizmów zapobiegających podszywaniu się w wiadomościach mailowych.
Ustawa podniesie prowadzoną przez CSIRT NASK od początku pandemii listę ze zidentyfikowanymi złośliwymi domenami do rangi ustawowej. Lista pozostanie udostępniana publicznie, a zaimplementowanie jej do ochrony użytkowników przez poszczególnych operatorów sieci telekomunikacyjnych nadal będzie dobrowolne, ale dojdzie możliwość odwołania się do UKE w kwestiach spornych, dotyczących umieszczonych na niej stron.
Skomentuj artykuł - Twoje zdanie jest ważne
Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?