Politycy od dłuższego czasu starali się rozwiązać wciąż rosnący problem. Chodzi o szczególnie rozpowszechnione oszustwa, w których cyberprzestępcy podszywają się pod banki, firmy i instytucje, a następnie próbują w ten sposób wyłudzić dane lub pieniądze Polaków.

Na ostatnim posiedzeniu Sejm przyjął zaś poprawki Senatu do ustawy o zwalczaniu nadużyć w komunikacji elektronicznej, która ma zapobiec m.in. problemom spoofingu (podszywaniu się w rozmowach telefonicznych) i smishingu (podszywaniu się w SMS-ach). Oto jak prezentuje się najnowsza wersja dokumentu.

Koniec oszustw z podszywaniem się? Nowa ustawa z poprawkami Senatu

Prace nad nowym prawem trwają od czerwca 2022 roku. W marcu bieżącego roku projekt trafił do Sejmu, a w okresie wakacyjnym dokument przeszedł do Senatu. Teraz z poprawkami Izby Wyższej trafił znów do Sejmu, gdzie posłowie zgodzili się z uwagami senatorów.

Sprawę z uwagą obserwują eksperci Niebezpeicznika, którzy prześledzili najnowszą wersję dokumentu. Ustawa zaczyna się od definicji smishingu i spoofingu oraz piętnuje zachowania mające na celu „wywołanie strachu, poczucia zagrożenia lub nakłonienia odbiorcy tego połączenia do określonego zachowania”.

Chodzi tu o typowe triki, gdzie oszust podszywa się na przykład pod pracownika banku, informuje, że konto zostało okradzione i skłania ofiary do podania danych osobowych czy haseł.

Smishing – SMS phishing sprawdzany przez NASK

Ustawa nakłada dodatkowe obowiązki na organizację monitorującą działania cyberprzestępców CSIRT NASK. Do nowych zadań ekspertów będzie należało m.in. wykrywanie znanych wzorców smishingu, a więc podejrzanych SMS-ów. Powstanie też system umożliwiający obywatelom poinformowanie o próbie oszustwa czy możliwość przekazania danych o kampanii hakerów w odpowiednie miejsce – zwłaszcza do policji i operatorów komórkowych.

Co więcej, NASK będzie prowadził listę oficjalnych nazw, jaką w SMS-ach mogą przyjmować podmioty publiczne. Ma to ułatwić wykrywanie podrobionych lub podobnie wyglądających nazw, często używanych przez hakerów. Telekomy wprowadzą też systemy automatycznie blokujące oszustwa wykryte w bazach danych jako smishing: przez NASK lub ekspertów ds. bezpieczeństwa firmy.

Operatorzy telekomunikacyjni zawalczą z oszustwami na spoofing

Druga forma ujętego w ustawie oszustwa to spoofing, czyli podrabianie numeru telefonu w rozmowach. W tym przypadku operatorzy zostają zobowiązani do aktywnego blokowania tzw. CLI Spoofingu – jescze zanim oszust rozpocznie rozmowę z potencjalną ofiarą.

Niezależnie powstanie też spis numerów, które są przeznaczone tylko do odbierania połączeń, np. numerów obsługi klienta w bankach czy firmach. Ma to w dalszym ciągu zapobiec podszywaniu się. Telekomy będą bowiem blokować pochodzenia przychodzące z numerów, które z założenia mają nie dzwonić do klientów.

Przedsiębiorstwa telekomunikacyjne są też zobowiązane do wzajemnego dzielenia się danymi. Jeśli jedna firma wykryje próbę oszustwa, dane te mają błyskawicznie trafiać do innych spółek, tak by całościowo zapobiegać kolejnej kampanii przestępców.

Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej – co dalej?

Przepisy zawierają szereg innych szczegółów. Co ważne, dostawcy usług e-mail także zostają zobowiązani do zapobiegania próbom mailowego spoofingu, a NASK będzie ostrzegać o stronach www służących do oszustw (podejrzane linki często pojawiają się w SMS-ach z phishingiem). Firmy przyłapane na smishingu czy spoofingu czekają zaś duże kary pieniężne.

Jak podsumowuje Niebezpiecznik – nowe przepisy są krokiem w dobrym kierunku i starają się rozwiązać problem pleniący się w Polsce od dobrych kilkunastu lat. Niestety prawo tego typu nie rozwiąże całkowicie problemu oszustw przez telefon czy SMS. Nic oprócz dużej dozy czujności na co dzień nie uchroni nas bowiem przed socjotechnikami oszustów.

