Spoofing, phishing, smishing – rząd bierze się za internetowych oszustów

- Do końca pierwszego kwartału chcemy wyjść na zewnątrz z pakietem przepisów chroniących obywateli w sieci i wrzucić go na szybką ścieżkę legislacyjną -  powiedział w środę Janusz Cieszyński, sekretarza stanu w Kancelarii Prezesa Rady Ministrów odpowiedzialny za cyfryzację i jednocześnie pełnomocnik rządu ds. cyberbezpieczeństwa.

Chodzi o projekt ustawy umożliwiający w pierwotnym zamyśle zwalczanie tzw. phishingu i smishingu. Jak powiedział Cieszyński, zostanie on uzupełniona o przepisy umożliwiające walkę z głośnym ostatnio spoofingiem. Wcześniej minister zapowiadał, że projekt ustawy zostanie przedstawiony w styczniu.

Spoofing to w uproszczeniu podszywanie się pod inną osobę, firmę lub instytucję z wykorzystaniem jej numeru telefonicznego.

O tej formie zagrożeń zrobiło się głośno, gdy ofiarami stały się osoby znane, głównie politycy i urzędnicy państwowi. Ale nie tylko. W różnych częściach kraju ofiarami były także osoby prywatne. Niektóre poniosły straty materialne: wykonywały polecenia przestępców przekonane, że rozmawiają z członkiem rodziny lub konsultantem bankowym.

Znawcy tematu uważają, że od strony technicznej spoofing to prosta sprawa, ponieważ w infrastrukturze operatorskiej nie wprowadzono rozwiązań blokujących taką możliwość.

„Aby taką rozmowę zestawić wystarczy skorzystać z jednego z wielu internetowych serwisów. Nie będziemy tu podawać ich nazw, ale każdy z nich za niewielką opłatą pozwala wpisać numer osoby, do której chcemy zadzwonić i numer, jakim chcemy się przedstawić. A potem naciska się przycisk “zadzwoń” i tyle” – pisał w styczniu Niebezpiecznik.pl.

Dodawał, że „operatorzy na to pozwalają” i że „Nie wszyscy sprawdzają czy abonent inicjujący połączenie używa numeru, który został mu przypisany”.

Czytaj więcej

Bezpieczeństwo

Zmasowane cyberataki na instytucje finansowe w Polsce

Komisja Nadzoru Finansowego ostrzega instytucje finansowe nad Wisłą o ryzyku stania się ofiarą hakerów. I wskazuje, że liczba ataków znacznie wzrosła.

Tłumaczył też, że „Protokoły w sieciach telefonii komórkowej są stare i nie umożliwiają wiarygodnego uwierzytelnienia rozmówców i weryfikacji czy danym numerem posługuje się faktycznie jego właściciel (por. SS7).”

- Operatorzy korzystają z rozwiązań z lat 80. i przyszedł najwyższy czas na to, aby pojawiła się „motywacja” do ich ulepszenia ze strony państwa. Jeśli nie zadziałamy, koszty poniesie też rynek, bo spadnie zaufanie do usług – mówił z kolei Janusz Cieszyński w wywiadzie dla Spidersweb.pl.

Telekomy nie zgadzają się jednak z tezą, że zaniechały zmian. Zarówno przedstawiciele administracji, jak i operatorzy zgadzają się natomiast, że trudno natomiast będzie całkowicie wyeliminować to zjawisko. Wymaga to i  inwestycji po stronie operatorów, i zmian w prawie – wynika z przebiegu dzisiejszej konferencji KPRM, Urzędu Komunikacji Elektronicznej i operatorów telekomunikacyjnych.

Przy czym, nawet jeśli operatorzy w Polsce zainwestują, a legislatorzy prawo zmienią, nie będzie gwarancji, że spoofing zniknie.

Zdaniem Piotra Kuriaty, członka zarządu P4, operatora sieci Play, przyczyna spoofingu leży w standaryzacji i potrzebna jest zmiana standardów, według których działają sieci. Operatorzy w Polsce zamierzają taki standard wypracować. - Pracujemy nad tym, jak zabezpieczyć klientów – powiedział Piotr Kuriata.

- Zgodzę się, że to jest kwestia standardów. Myślę, że widzimy dzisiaj, że jako rynek, regulator, rząd, przegapiliśmy moment, gdy trzeba było standardy podnieść. Zbieramy tego owoce.  Gdybyśmy zrobili to kilka lat wcześniej nie byłoby tej sytuacji – powiedział Janusz Cieszyński.

Wojciech Pytel, członek rady nadzorczej Polkomtelu, operatora sieci Plus uważa, że sam standard nie wystarczy: - Potrzebna jest kombinacja standaryzacji i legislacji – zwraca uwagę.

- Wiele lat temu proponowaliśmy przepis, który formalnie zakazywałby podmiany tzw. numeru A – numeru, z którego inicjowane jest połączenie. To wyeliminowałoby spoofing realizowany z kraju. Jako operatorzy mielibyśmy podstawę prawną, by takie połączenia blokować. Nie możemy tego robić ponieważ zgodnie z prawem telekomunikacyjnym, mamy obowiązek realizacji połączenia  – mówi Wojciech Pytel.

Tyle, że – tłumaczy - obecnie 100 procent przypadków podmian numerów następuje poza granicami Polski. Dlatego zablokowanie spoofingu jest obecnie technicznie nieosiągalne.  – Nie możemy mieszać w sieciach innych operatorów – tłumaczy Pytel.

Według niego skuteczna walka ze spoofingiem jest możliwa, jeśli w Unii Europejskiej przyjęty będzie jeden standard obowiązujący wszystkich operatorów. To jednak nie nastąpi szybko.

To nie oznacza, że telekomy w Polsce nie zrobią same nic.  – Pierwsze rozwiązanie pewnie będzie dość szybko, na docelowe trzeba będzie zaczekać  - powiedział Wojciech Pytel.

Janusz Cieszyński wcześniej zapowiadał, że gdy połączenie będzie podejrzane, użytkownik na swoim ekranie zobaczy numer telefonu oznaczony gwiazdką. 

Telekomy nie chcą zdradzić jak duże koszty poniosą w związku z walką ze spoofingiem. - Nie będziemy ujawniać szczegółów ekonomicznych ani technicznych prac, które prowadzimy – powiedział Pytel. Jak tłumaczy, skala inwestycji mogłaby naprowadzić osoby parające się spoofingiem jakie rozwiązanie jest szykowane.

Przedstawiciele telekomów nie kryją, że projekt niesie ze sobą wyzwania. Dla Piotra Kuriaty to skuteczność podejmowanych działań. Witold Drożdż, członek zarządu Orange Polska uważa że wyzwaniem jest też umiejętność wypracowania wspólnego rozwiązania przez operatorów. -  Nie mamy gotowych rozwiązań do których możemy sięgnąć. Wyzwaniem jest więc zgodna kreatywność – mówi.