Wielokrotnie słyszeliśmy o próbach wyłudzania danych przez oszustów podających się za kurierów, pracowników banku, Biura Informacji Kredytowej czy innej instytucji. Użytkownicy często zgłaszali także fałszywe SMS-y informujące o nieuregulowanym rachunku za prąd czy gaz. „W ostatnim czasie mieliśmy również do czynienia z kampanią phishingową, w której cyberprzestępcy wykorzystują formułę e-recepty i podszywają się pod Ministerstwo Zdrowia” – informował minister Cieszyński.

Aby skutecznie zapobiegać tego typu przestępstwom przygotowano projekt ustawy, który ma zminimalizować nadużycia w komunikacji elektronicznej. Ustawa wprowadza kary dla oszustów, a nowe przepisy uwzględniają szczególnie:

• smishing – to fałszywe SMS-y pochodzące od kuriera, banku czy instytucji publicznej, zawierające np. link do strony internetowej zachęcającej do podania danych osobowych czy przelania środków,
• spoofing – podszywanie się pod numer telefonu zaufanej instytucji czy innej osoby i próba zastraszenia ofiary, wyłudzenia pieniędzy lub danych osobowych,
• generowanie sztucznego ruchu – jest to inicjowanie długich, wielogodzinnych połączeń, które nie niosą ze sobą żadnej treści (tzw. głuche telefony),
• nieuprawniona zmiana informacji adresowej – przestępcy modyfikują numer, z którego dzwonią, aby utrudnić identyfikację – ta forma oszustwa jest wykorzystywana np. w celu utrudnienia rozliczenia za połączenie.

Zespół CSIRT NASK będzie monitorował występowanie smishingu i przekazywał przedsiębiorcom telekomunikacyjnym wzorce wiadomości wyczerpującej znamiona tego przestępstwa.

Zgodnie z ustawą, Prezes Urzędu Komunikacji Elektronicznej  ma prowadzić wykaz numerów służących wyłącznie do odbierania połączeń głosowych. To rozwiązanie ograniczy możliwość podszywania się oszustów pod numery infolinii urzędów czy innych podmiotów. Wniosek o wpis numeru do wykazu będą mogły złożyć jednostki sektora finansów publicznych, banki, inne instytucje finansowe lub ubezpieczeniowe, ale też operatorzy, rejestrując numery telefonów wykorzystywane przez nich na potrzeby biura obsługi klientów lub infolinii.

Przedsiębiorcy telekomunikacyjni będą zobowiązani do podejmowania proporcjonalnych środków organizacyjnych i technicznych, które będą przeciwdziałać nadużyciom w komunikacji elektronicznej. Jednym z takich działań jest – wspomniane wyżej – blokowanie SMS-ów, które zawierają treści wyczerpujące znamiona smishingu (zgodne ze wzorcem wiadomości przekazanym przez CSIRT NASK) oraz blokowanie połączeń głosowych, których celem jest podszywanie się pod inną osobę lub instytucję.

Ustawa nakłada również nowe obowiązki na dostawców poczty elektronicznej dla co najmniej 500 tys. użytkowników lub podmiotów publicznych. Od dnia wejścia nowych przepisów będą oni zobowiązani przy świadczeniu poczty elektronicznej stosować mechanizmy uwierzytelnienia SPF/DKIM/DMARC.

Lista ostrzeżeń dotyczących domen internetowych, które służą do wyłudzeń danych i środków finansowych użytkowników internetu, funkcjonuje obecnie na podstawie porozumienia zawartego w 2020 r. przez Ministra Cyfryzacji, Prezesa Urzędu Komunikacji Elektronicznej, Naukową i Akademicką Sieć Komputerową - PIB oraz 4 największych przedsiębiorców telekomunikacyjnych. Teraz będzie ona umocowana ustawowo, a przedsiębiorcy telekomunikacyjni (strony porozumienia), będą mogli blokować dostęp do tych domen internetowych.

Nowe przepisy mają wejść w życie po 30 dniach od ogłoszenia w Dzienniku Ustaw.

Możesz zgłosić podejrzaną wiadomość SMS, maila, złośliwą domenę czy oprogramowanie, fałszywą stronę internetową czy sklep na stronie zespołu CERT Polska. SMS-a zgłosisz jeszcze łatwiej: przekazując całą jego treść i wysyłając na numer 799-448-084.