Regulatorzy rynku ustalili z operatorami sposób na ograniczenie phishingu. Podszywania się pod cudze numery telefonów na razie nie udaje się wyeliminować

Zespół reagowania na incydenty bezpieczeństwa komputerowego działający w strukturach Naukowej i Akademickiej Sieci Komputerowej (CSIRT NASK) będzie tworzyć wzorce złośliwych SMS-ów wysyłanych w celu wyłudzenia danych. Bazę uzupełnią informacje od operatów. Na jej podstawie telekomy będą blokować podstępne wiadomości tekstowe, jeszcze zanim dotrą one do abonentów. Wzorce przestępczych wiadomości tekstowych będzie też otrzymywała policja.
Taki mechanizm obronny przedstawili wczoraj przedstawiciele Urzędu Komunikacji Elektronicznej, Cyfryzacji w Kancelarii Prezesa Rady Ministrów oraz czterech największych operatorów komórkowych. Szczegółów technicznych nie ujawniano, żeby – jak stwierdził prezes UKE Jacek Oko – nie ułatwiać cyberprzestępcom omijania nowych barier.
Wypracowana przez rynek i regulatorów metoda ma ograniczyć zjawisko phishingu, a ściślej jego SMS-ową odmianę, czyli smishing. Polega on na podszyciu się pod inną osobę, firmę lub instytucję w celu wyłudzenia od odbiorcy SMS-a poufnych informacji – np. danych logowania, danych kart kredytowych – lub zainfekowania telefonu złośliwym oprogramowaniem. Wiadomości tekstowe cyberprzestępców udają np. alerty z firmy kurierskiej, urzędowe komunikaty o skierowaniu na kwarantannę czy niedopłaconym podatku.
– Dzisiaj, gdy stwierdzamy, że jest kampania phishingowa zawierająca złośliwy link, ten link jest dodawany na listę (od dwóch lat prowadzi ją NASK – red.) i dostęp do stojących za nim treści zostaje zablokowany – mówi Janusz Cieszyński, sekretarz stanu w KPRM odpowiedzialny za cyfryzację. – To nie zawsze jest skuteczne – ocenia. Jego zdaniem nowy mechanizm będzie skuteczniejszy.
Jacek Oko zaznacza, że metody zwalczania smishingu będą stale aktualizowane. – Schematy ataków też się będą zmieniać i musimy odpowiednio reagować – uzasadnia prezes UKE.
Zagrożenie atakami cybernetycznymi jest obecnie szczególnie wysokie. – Z phishingiem mamy do czynienia od dawna, jednak w ostatnich miesiącach widzimy zdecydowane wzmożenie cyber ataków – przyznaje Janusz Cieszyński.
W tym tygodniu premier wprowadził w polskiej cyberprzestrzeni trzeci stopień alarmowy w czterostopniowej skali (Charlie-CRP), najwyższy, z jakiego dotychczas skorzystano. Stało się tak w związku z wrogimi działaniami Rosji wobec Ukrainy.
Cieszyński na wczorajszym spotkaniu z dziennikarzami stwierdził, że nowa metoda obrony przed phishingiem może się też przydać w razie ewentualnej rosyjskiej cyberagresji. – Ten mechanizm ma nas uchronić przed wszystkimi sytuacjami użycia phishingu, także tymi, które są sterowane czy zlecane przez aktora państwowego – zaznaczył.
Nie jest to jednak jeszcze gotowa tarcza. Projekt regulacji umożliwiającej operatorom stosowanie nowej metody walki z cyberprzestępstwami ma się pojawić w tym kwartale. – Myślę, że może nawet wcześniej udostępnimy te przepisy do prekonsultacji, bo dzięki pracy UKE z operatorami są prawie gotowe – zapewnia minister Cieszyński. Działania zmierzające do przygotowania technicznych i prawnych rozwiązań do ochrony przed tego rodzaju cyberatakami zaczęły się w grudniu ubiegłego roku.
Zmiany legislacyjne obejmą m.in. uzupełnienie katalogu nadużyć o „wysyłanie krótkich wiadomości tekstowych (SMS), w których nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego działania w szczególności przekazania danych osobowych lub instalacji oprogramowania”. Z kolei telekomom dojdzie obowiązek „zapobiegania nadużyciom w odniesieniu do SMS phishingowych” oraz współpracy w tej dziedzinie z CSIRT NASK. Operatorzy w szczególności będą zobowiązani „do niezwłocznego blokowania” SMS-ów pasujących do wzorca z bazy podstępnych wiadomości.
Część planowanych regulacji może budzić jednak kontrowersje. – W zapisach ustawowych musi być zapis pozwalający na analizowanie treści SMS-ów, bo w tej chwili są one prawnie chronione – mówi Wojciech Pytel z rady nadzorczej Polkomtelu (operatora sieci Plus). Podkreśla, że przeglądaniem wiadomości zajmą się automaty, nie ludzie. – Ale treść musi być analizowana, żeby wyszukać ten łańcuch, który dostaniemy od NASK-u lub sami zdobędziemy – wyjaśnia.
Przepisy mające zatrzymać podstępne wiadomości tekstowe będą częścią ustawy dotyczącej walki z cyberprzestępczością – która obejmie również spoofing, czyli połączenia, w których cyberprzestępcy podszywają się pod numery innych osób lub instytucji. Ofiarami spoofingu są zarówno osoby, których numeru użyto – np. do zadzwonienia z fałszywym alarmem o podłożonej bombie, jak i odbiorcy takich połączeń – wprowadzani w błąd i często otrzymujący drastyczne informacje, np. o śmierci najbliższych.
Tu skonstruowanie mechanizmów obronnych będzie trudniejsze. Prace przedstawicieli branży i regulatorów rynku wciąż trwają – i żadna ze stron nie ujawnia na razie ich efektów. – Jako rynek, jako regulator, jako rząd chyba przegapiliśmy ten moment, kiedy trzeba było podnieść standardy. Dzisiaj zbieramy tego owoce – mówił wczoraj o walce ze spoofingiem minister Cieszyński. – Gdyby takie działania podjąć kilka lat wcześniej, to myślę, że dzisiaj tej sytuacji by nie było – dodał, zastrzegając, że znalezienie rozwiązania tego problemu z dnia na dzień jest nierealne.