Ustawa weszła w życie. Użytkownicy smartfonów poznają jej efekty 25 marca [10.03.2024]

Od 25 marca w Polsce zacznie obowiązywać kluczowa faza ustawy antyspoofingowej, przyjętej przez poprzednie władze, mająca na celu wzmocnienie ochrony przed oszustwami SMS.

Pomimo tego, że ustawa weszła w życie już 25 września, to dopiero teraz, po upływie pół roku na przygotowania, operatorzy telekomunikacyjni zobowiązani są do aktywacji systemów blokujących niebezpieczne wiadomości.

To współpraca z Zespołem Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT NASK) pozwoli na efektywniejsze przeciwdziałanie zagrożeniom związanym z fałszywymi wiadomościami tekstowymi.

Dzięki dostępowi do specjalnej bazy danych, zawierającej informacje o znanych wzorcach oszukańczych wiadomości SMS oraz o instytucjach używających SMS w komunikacji, operatorzy będą mogli lepiej identyfikować i eliminować potencjalne zagrożenia.

Krzysztof Gawkowski, obecny wicepremier i minister cyfryzacji, podkreślił znaczenie wprowadzanych narzędzi dla bezpieczeństwa użytkowników. Oczekuje się, że pozytywne skutki tych działań staną się widoczne w ciągu najbliższych trzech miesięcy. Implementacja blokad SMS to jednak tylko element szerszego planu przeciwdziałania cyberprzestępczości. Od 25 września 2024 roku przewidziane jest również uruchomienie blokad połączeń głosowych oraz mechanizmów maskujących identyfikację dzwoniących, aby zwalczać tzw. CLI spoofing.

Mieszkańcy mają możliwość aktywnego uczestniczenia w tworzeniu bazy danych o zagrożeniach, przesyłając podejrzane SMS-y na numer 8080 lub zgłaszając incydenty przez stronę incydent.cert.pl oraz bezpośrednio do CSIRT NASK za pośrednictwem e-maila cert@cert.pl. Takie działania mają na celu nie tylko bieżącą walkę z cyberzagrożeniami, ale także budowanie świadomości społecznej na temat cyberbezpieczeństwa.

Spoofing i smishing to techniki stosowane w cyberprzestępczości, mające na celu oszukanie ofiar w różny sposób, aby skłonić je do podania wrażliwych informacji lub do wykonania niepożądanych działań.

Spoofing

Spoofing odnosi się do szerokiej kategorii ataków, w których sprawca fałszuje dane identyfikacyjne, aby przedstawić się jako osoba, firma lub urządzenie zaufane przez ofiarę. Spoofing może przybierać różne formy, w zależności od rodzaju fałszowanych danych:

• E-mail spoofing: polega na wysyłaniu wiadomości e-mail z fałszywym adresem nadawcy, aby wydawało się, że pochodzi od zaufanej osoby lub firmy.
• Caller ID spoofing: manipulacja informacją wyświetlaną na identyfikatorze rozmówcy, tak aby połączenie wydawało się pochodzić z zaufanego źródła, np. banku.
• IP spoofing: fałszowanie adresu IP źródłowego w pakietach internetowych, co może być wykorzystywane do anonimizacji atakującego lub przeprowadzenia ataków odmowy usługi (DDoS).
• Web spoofing: tworzenie fałszywych stron internetowych, które naśladują wygląd i adresy prawdziwych stron, w celu wyłudzenia danych logowania lub informacji finansowych od ofiar.

Smishing

Smishing jest formą phishingu, w której atak jest przeprowadzany za pomocą wiadomości SMS. Tekst wiadomości często zawiera link prowadzący do złośliwej strony internetowej lub prosi o podanie wrażliwych informacji bezpośrednio w odpowiedzi na wiadomość. Smishing wykorzystuje techniki socjotechniczne, aby skłonić ofiarę do działania, np.:

• Udawanie instytucji finansowych, firm telekomunikacyjnych lub innych zaufanych podmiotów, prosząc o zweryfikowanie danych konta lub potwierdzenie transakcji.
• Tworzenie fałszywych alarmów bezpieczeństwa lub ofert promocyjnych, które wymagają natychmiastowej reakcji.
• Prośby o pomoc finansową podające się za osobę z kręgu rodziny lub przyjaciół znajdujących się w rzekomej nagłej potrzebie.

Obie te techniki są skutecznymi narzędziami cyberprzestępców, ponieważ polegają na manipulacji ludzkimi emocjami i zaufaniem, aby skłonić ofiary do podjęcia niebezpiecznych działań.