• admin@kibc
• 21 sierpnia 2023
• Brak komentarzy

Ponad 124 mln złotych – tyle według Krajowego Systemu Informacyjnego Policji wyniosły w ubiegłym roku straty materialne na skutek oszustw związanych z phishingiem i e-bankowością. Wkrótce, na szczęście, ma się to jednak zmienić za sprawą podpisanej właśnie przez prezydenta Ustawy o zwalczaniu nadużyć w komunikacji elektronicznej. Przepisy wejdą w życie po 30 dniach od ich ogłoszenia.

Celem ustawy jest znaczne ograniczenie fałszywych połączeń, sms-ów i domen internetowych. Nowe prawo ma chronić w szczególności dzieci oraz seniorów, którzy niejednokrotnie nie są tak zaawansowani cyfrowo jak młodzież czy osoby aktywne zawodowo i obeznane z nowymi technologiami.

Ukrócenie szkodliwych praktyk ma dotyczyć najnowszych i powszechnie stosowanych działań przestępców:
– smishingu, czyli sms-ów, w których oszuści podszywają się pod bank, kuriera czy instytucję publiczną, w wiadomościach takich znajdują się linki zachęcające do podania danych osobowych czy przelania środków;
– spoofingu – to fałszywe połączenia, w których przestępcy podszywają się pod numery telefonu zaufanej instytucji czy osoby w celu zastraszenia ofiary i wyłudzenia pieniędzy lub danych:
– tzw. głuchych telefonów w celu generowania sztucznego ruchu; – nieuprawnionych zmian informacji adresowej – przestępcy modyfikują numer, z którego dzwonią, aby utrudnić identyfikację – ta forma oszustwa jest wykorzystywana np.: w celu utrudnienia rozliczenia za połączenie.

Obowiązki dla firm telekomunikacyjnych oraz innych instytucji

W związku z wejściem nowych przepisów firmy telekomunikacyjne będą miały obowiązek wdrożyć rozwiązania przeciwdziałające nadużyciom do roku od wejścia w życie nowych regulacji. Swoje obowiązki będzie miał także Prezes Urzędu Komunikacji Elektronicznej oraz CSRIT NASK – Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego.

Ten pierwszy będzie prowadził rejestr numerów, które służą do odbierania połączeń głosowych w celu ograniczenia podszywania się pod infolinie urzędów i instytucji. Z kolei CSRIT NASK będzie monitorował występowanie smishingu i przekazywał telekomom wzorce wiadomości w celu ich automatycznej blokady już w momencie prób wysyłki przez oszustów.

Nadpisy pod lupą

NASK weźmie pod lupę także nadpisy, czyli identyfikatory wiadomości zastępujące numer telefonu, które często stosuje np. Krajowa Administracja Skarbowa (e-US). Zgodnie z ustaleniami CSRIT NASK będzie prowadził wykaz nadpisów zastrzeżonych dla podmiotów publicznych, a przedsiębiorcy telekomunikacyjni będą blokować SMS z zastrzeżonymi nadpisami, które nie pochodzą od podmiotu publicznego.

Ponad 130 tys. fałszywych domen

Skala problemu jest ogromna o czym świadczą aktualne liczby – ponad 130 tys. fałszywych adresów w oficjalnym wykazie domen kradnących lub wyłudzających dane, które przesyłane są w mailach czy sms-ach. Teraz, telekomy będą automatycznie blokować do nich dostęp. Warto dodać, że nowe prawo nakłada obowiązki także na dużych dostawców poczty elektronicznej (dla co najmniej 500 tys. użytkowników lub podmiotów publicznych), którzy będą musieli stosować mechanizmy uwierzytelnienia SPF/DKIM/DMARC.

Czym są wspomniane mechanizmy? SPF (Sender Policy Framework) umożliwia sprawdzenie przez serwer pocztowy odbiorcy czy adres IP serwera pocztowego nadawcy jest uprawniony do wysyłania wiadomości z daną domeną kopertową.

DKIM (DomainKeys Identified Mail) potwierdza zarówno domenę nadawcy kopertowego, jak i nagłówkowego. Z kolei DMARC (Domain-based Message Authentication, Reporting and Conformance) potwierdza domenę nadawcy za pomocą wcześniej omawianych zabezpieczeń przy czym co najmniej jeden z tych mechanizmów musi potwierdzić domenę nadawcy nagłówkowego, aby DMARC dopuścił wiadomość do skrzynki odbiorcy. DMARC umożliwia serwerom wykonanie odpowiednich działań wobec nieautoryzowanych maili, które są zgodne z przyjętymi wcześniej schematami bezpieczeństwa.