W poniedziałek 25 września weszły w życie przepisy zapobiegające nowym formom cyberprzestępczości: zjawiskom spoofingu i smishingu. Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej (Dz.U. z 2023 r. poz. 1703) przeciwdziałać ma wyłudzaniu informacji poufnych, danych osobowych, prywatnych haseł czy numerów kart kredytowych i ich zabezpieczeń. Co kryje się pod tymi enigmatycznymi nazwami?
Spoofing polega na podszywaniu się pod banki, instytucje i urzędy państwowe, spółki czy osoby fizyczne w celu wyłudzenia od ofiar danych lub pieniędzy. Jednym z popularniejszych przykładów ataków spoofingowych jest tzw. telefon od „pracownika banku”, który informuje ofiarę o włamaniu na konto bądź podejrzanych operacjach bankowych dokonanych na jej koncie. Oszuści uzyskują w ten sposób poufne dane rozmówców, często proszą ich także o zainstalowanie oprogramowania, które rzekomo ma ich ochronić – w rzeczywistości pozwala to na całkowite przejęcie kontroli nad urządzeniem. Wskutek tych działań przestępcy uzyskują dostęp do bankowości klienta, sprawnie zmieniają hasło i wypłacają zgromadzone na koncie środki.
Smishing to z kolei forma ataku polegająca na wysłaniu fałszywej wiadomości na numer telefonu wraz z ofertą darmowego produktu lub pilnym powiadomieniem dotyczącym bankowości lub innych poufnych informacji. Smishing często charakteryzuje stosowanie elementu presji – pod postacią groźby bądź ograniczenia czasowego, w którym należy wykonać konkretną czynność. Podobnie jak w przypadku spoofingu, podstępność smishingu związana jest z podszywaniem się pod instytucje, które w określony sposób wzbudzają nasze zaufanie i potencjalny kontakt z ich strony nie jest niczym nadzwyczajnym. Przestępcy potrafią bardzo dobrze się kamuflować.
Aby przeciwdziałać tym podstępnym formom cyberprzestępczości, ustawa zobowiązuje przedsiębiorców telekomunikacyjnych do blokowania połączeń z numerów służących wyłącznie do odbierania, niewykonujących połączeń do swoich odbiorców, tak jak chociażby infolinie banków. Wykaz tych numerów będzie prowadzić Urząd Komunikacji Elektronicznej (UKE). Prace nad tworzeniem bazy numerów niebezpiecznych trwają już od pewnego czasu. Organy administracji rządowej, banki, zakłady ubezpieczeń, jednostki sektora finansów publicznych, firmy telekomunikacyjne już teraz zgłaszają do Urzędu Komunikacji Elektronicznej podejrzane numery.
System antysmishingowy zawierać będzie także zbiór wzorów podejrzanych wiadomości. Odpowiedzialny będzie za to Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, działający w ramach Naukowej i Akademickiej Sieci Komputerowej (NASK). Od 25 września każdy ma możliwość zgłoszenia podejrzanego SMS-a pod bezpłatnym numerem 8080.
Jak widać, ochrona przed cyberprzestępczością na mocy nowej ustawy jest prowadzona dwutorowo. Z jednej strony przed podszywaniem się pod instytucję zaufania publicznego, z drugiej – przed SMS-owym atakiem oszustów. Czy wdrażane rozwiązania położą kres telefonicznej przestępczości? Czas pokaże.