Spoofing i smishing mają być trudniejsze. Od dzisiaj nowe przepisy
Od dzisiaj wchodzi w życie ustawa o zwalczaniu nadużyć w komunikacji elektronicznej. Ma ona ograniczyć oszustwa, jakich dokonują hakerzy podszywając się pod instytucje, osoby fizyczne i wysyłając zainfekowane wiadomości SMS - czytamy na stronie gov.pl. Przedsiębiorstwa telekomunikacyjne mają rok na wdrożenie rozwiązań przeciwdziałającym nadużyciom.
Według danych Krajowego Systemu Informacyjnego Policji, w 2022 r. szacunkowa wielkość strat materialnych spowodowanych przez oszustwa związane z e-bankowością i phishingiem przekroczyła 124 miliony złotych. Dzięki ustawie użytkownicy smartfonów będą otrzymywali mniej fałszywych połączeń i SMS-ów. Prawo ma utrudnić oszustom możliwość podszywania się pod instytucje zaufania publicznego.
Rządowy serwis gov.pl informuje, że w 2020 r. zostało zawarte porozumienie przez ministra cyfryzacji, prezesa Urzędu Komunikacji Elektronicznej, Naukową i Akademicką Sieć Komputerową (NASK) oraz 4 największych przedsiębiorców telekomunikacyjnych w Polsce. Wszyscy oni wspólnie stworzyli listę oszukańczych domen, kradnących lub wyłudzających dane. Linki do nich przesyłane są przez SMS, e-mail lub media społecznościowe. “W tej chwili na liście jest ponad 130 000 pozycji” - czytamy na gov.pl.
Wchodzące w życie przepisy mają ograniczyć cyberprzestępstwa m.in. spoofing, czyli podszywanie się przez hakerów pod banki, instytucje państwowe, firmy a nawet osoby fizyczne. Zwykle proszą oni o zainstalowanie oprogramowania za pośrednictwem którego przejmują kontrolę nad smartfonem. Smishing zaś, któremu również wypowiedziano wojnę, to sposób na kradzież osobistych danych, numeru ubezpieczenia czy karty kredytowej, zwykle wysyłając SMS. Przepisy mają też chronić przed generowaniem sztucznego ruchu czy nieuprawnionymi zmianami informacji adresowej.
Przedsiębiorcy telekomunikacyjni mają od 6 do 12 miesięcy na wdrożenie rozwiązań przeciwdziałających nadużyciom. Urząd Komunikacji Elektronicznej (UKE) został zobowiązany do prowadzenia wykazu numerów służących wyłącznie do odbierania połączeń głosowych, które używają infolinie banków, firm czy urzędów. Wszystkie te instytucje będą mogły złożyć wniosek o wpisanie numeru telefonu do wykazu. Chodzi o numery wykorzystywane przez nie na potrzeby biura obsługi klientów lub infolinii. Dzięki temu oszust próbujący podszyć się pod wpisany do wykazu bank czy urząd gminy, nie wykona fałszywego połączenia.
Zaś CSIRT NASK - Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego będzie monitorował występowanie smishingu i przekazywał przedsiębiorcom telekomunikacyjnym wzorce wiadomości używanych przez cyberprzestępców. Każdy wzorzec musi zostać upubliczniony w terminie od 14 do 21 dni od pojawienia się w wykazie.
Chronione będą też nadpisy czyli identyfikatory wiadomości SMS, używane zamiast numeru telefonu. Wykaz nadpisów zastrzeżonych dla podmiotów publicznych będzie prowadzony przez CSIRT NASK. Firmy telekomunikacyjne będą blokować SMS-y z nadpisami, które nie pochodzą od podmiotu publicznego, również SMS-y, które zawierają treści mające znamiona smishingu oraz połączenia głosowe, których celem jest podszywanie się pod inną osobę lub instytucję.
Ustawa nakłada nowe obowiązki na dużych dostawców poczty elektronicznej, mających co najmniej 500 tys. użytkowników. Będą musieli stosować mechanizmy uwierzytelnienia SPF/DKIM/DMARC. Jak zapewniają eksperci, działając wspólnie mechanizmy te są w stanie zarówno uniemożliwić wykorzystanie prawdziwej domeny w spoofingu jak i zmaksymalizować szanse na wykrycie fałszywej wiadomości.
Ustawodawca zawiera też przepisy karne za dokonywanie przez oszustów wyłudzeń danych i kradzieży. W zależności od powagi czynu ustanowiono karę pozbawienia wolności od 3 miesięcy do 5 lat. W szczególnych wypadkach mniejszej wagi, kara może zostać zmniejszona do grzywny, kary ograniczenia wolności lub pozbawienia wolności do roku.
ew, gov.pl