Każdego dnia Polacy atakowani są przez oszustów. Cyberprzestępcy na różne sposoby próbują dobrać się do naszych danych i pieniędzy. Stosują coraz bardziej wymyślne sztuczki, ale wciąż na czele popularności znajduje się phishing, czyli podszywanie się pod osobę, firmę lub instytucję, w tym jego SMS-owa odmiana, czyli smishing. Dzieje się tak, chociaż od 2023 roku w Polsce działa numer 8080, który miał nas przed tym chronić. Czy system jest nieskuteczny? A może problem leży gdzie indziej?

Numer 8080 na ratunek

W listopadzie 2023 roku CERT Polska, wraz z Ministerstwem Cyfryzacji, oficjalnie powołał do życia numer 8080. Wprowadzenie go było efektem przyjęcia ustawy o zwalczaniu nadużyć w komunikacji elektronicznej. Idea jest prosta – każdy, kto SMS-em otrzyma wiadomość z próbą wyłudzenia lub oszustwa, może przesłać ją na wskazany numer, całkowicie bezpłatnie. SMS zostaje przeanalizowany, a następnie jego wzorzec dodany do specjalnego systemu o nazwie Telegraf. Co ważne, użytkownik, który prześle taką wiadomość, powinien otrzymać odpowiedź na swoje zgłoszenie.

Z bazy Telegraf mają obowiązek korzystać wszyscy operatorzy, którzy funkcjonują w Polsce, w tym największa czwórka, czyli Orange, T-Mobile, Plus oraz Play. W praktyce sprowadza się to do tego, że każda podejrzana wiadomość, zgodna ze wzorcem znajdującym się w bazie CERT Polska, musi zostać automatycznie zablokowana. Oznacza to, że taki SMS w ogóle nie trafi na nasz telefon, co automatycznie zmniejsza ryzyko stania się ofiarą. Nowe wzorce pobierane są co 5 minut, więc system działa na bieżąco.

Czy to skuteczne?

Z rocznego raportu CERT Polska wynika, że w samym 2024 roku do bazy dodano 746 wzorców szkodliwych wiadomości. Przełożyło się to aż na 1 475 366 zablokowanych SMS-ów. Aktualnie baza jest jeszcze większa.

Przez cały czas działania systemu powstało już niemal 1400 wzorców, co przełożyło się na miliony zablokowanych wiadomości, które nigdy nie trafiły od przestępców do potencjalnych ofiar. - przekazał CERT Polska w rozmowie z TELEPOLIS.PL

O tę kwestię zapytaliśmy również operatorów. Od Play dowiedzieliśmy się, że wiadomości są codziennie blokowane, ale informacje na ten temat ich liczby są udostępniane tylko uprawnionym podmiotom i sieć nie podaje ich do publicznej wiadomości. Natomiast Orange zdradził nam, że w ciągu ostatnich 3 miesięcy codziennie blokowanych jest średnio aż 30 tys. szkodliwych wiadomości SMS oraz MMS. W przypadku pomarańczowego operatora część z nich pochodzi ze wzorców CERT, część ze zgłoszeń internautów na numer CERT Orange Polska (508 700 900), a część jest wykrywana bezpośrednio przez zespół Orange.

A może to wciąż za mało?

Należałoby jednak zadać sobie pytanie – czy system opracowany przez Ministerstwo Cyfryzacji oraz NASK/CERT Polska jest wystarczający? Faktem jest, że znacząco poprawił on nasze bezpieczeństwo. W końcu można mówić już o milionach zablokowanych wiadomości SMS i MMS, które potencjalnie mogły sprowadzić na użytkowników spore kłopoty.

Jednocześnie wciąż donosimy o licznych oszustwach i wiadomościach, które cały czas trafiają na nasze skrzynki. Część z nich pochodzi z konkretnych numerów telefonów, a niektóre wręcz zawierają numery kont bankowych. Co się z nimi dzieje? Czy samo dodanie wzorca i blokada wystarczą wobec informacji, które potencjalnie mogłyby posłużyć do zidentyfikowania sprawców? Okazuje się, że nie jest to wcale takie proste, jak mogłoby się wydawać.

Tak, zgłaszamy takie przypadki odpowiednim służbom, w tym policji. Liczba zgłoszeń zależy od tego, czy w danym okresie są prowadzone masowe kampanie np. ukierunkowane na wyłudzanie danych klientów. Trudno tu mówić o częstotliwości takich zgłoszeń. - mówi nam Ewa Sankowska-Sieniek z biura prasowego Play.

Nieco inaczej na sprawę patrzy sieć Plus, która przekonuje, że to użytkownik powinien zgłosić sprawę na policję, ponieważ daje to największą szansę na wykrycie sprawcy. W razie potrzeby operator będzie na tym polu współpracował ze służbami.

Operator komórkowy, który występuje trochę w roli listonosza, który dostarczył przesyłkę, nie wie jaką treść danej widomości wyrządziła szkodę. W przypadku gdy klient otrzyma wiadomość SMS, którą uważa za oszustwo powinien samodzielnie i bezpośrednio zgłosił ten przypadek na policję, ponieważ zgodnie z prawem policja będzie mogła przyjąć zeznanie od strony pokrzywdzonej i ewentualnie podjąć dalsze działania w zależności od rodzaju sprawy (w SMS-ach mogą być treści, które łamią różne rodzaje przepisów i narażają odbiorców na różne rodzaje szkód). Policja ma kompetencje by ustalić czy faktycznie doszło do oszustwa i ma uprawnienia i narzędzia aby wystąpić także do operatorów o niezbędne dane do realizacji takich spraw (a niejednokrotnie wymaga to połączenia danych od dwóch lub większej liczby operatorów). mówi Arkadiusz Majewski Starszy Specjalista ds. Promocji i Public Relations Dział Komunikacji Korporacyjnej.

Z kolei od Orange dowiedzieliśmy się, że tego typu wiadomości są zgłaszane do służb, ale sieć nie chce wchodzić w szczegóły sprawy i nie może podać nam więcej informacji. Nieco więcej światła na sprawę rzucił NASK.

W kwestii oszustw telefonicznych problemem jest tzw. CLI spoofing - przestępcy wykorzystują numery telefonów należące do osób niepowiązanych z oszustwem lub wręcz nieistniejące - w momencie zestawienia połączenia wykorzystują archaiczny sposób działania protokołów telekomunikacyjnych w celu podania innego ciągu cyfr niż ten odpowiadający numerowi, z którego faktycznie korzystają. Sprawia to, że konieczne jest szukanie innych systemowych rozwiązań walki z tego rodzaju oszustwami - obowiązujący na ten moment system jest skuteczny, ale porównanie danych za 2023 i 2024 rok może świadczyć o sukcesach w tej sprawie. - komentuje sprawę Paulina Zywar z zespołu Public Relations i Komunikacji Zewnętrznej w NASK.

Dlatego złapanie oszustów, którzy posługują się konkretnymi numerami telefonów, wcale nie jest łatwe. Chociaż w Polsce istnieje obowiązek rejestrowania kart SIM, to często są one kupowane na tzw. słupy, więc właściciel numeru tak naprawdę może nie wiedzieć, do czego jest on później używany. Wiadomości często wysyłane są też spoza terytorium Polski. Niedawno Europol zlikwidował farmę, w której znajdowało się około 40 tys. kart SIM, wykorzystywanych do oszustw w całej Europie. Wobec takich narzędzi cały czas pozostajemy do pewnego stopnia bezradni.

Jak chronić się przed smishingiem?

Jaki w takim razie chronić się przed smishingiem, czyli potencjalnie niebezpiecznymi wiadomościami SMS i MMS, które cały czas mogą trafić na nasze skrzynki? Odpowiedź jest prosta – przede wszystkim zachowaj ostrożność i zdrowy rozsądek. Nie klikaj w linki przesyłane w tego typu wiadomościach. Żaden operator czy bank nie powinien ich wysyłać w oficjalnej komunikacji.

Nigdzie nie podawaj też swoich danych. Jeśli masz wątpliwości co do autentyczności SMS-a, najlepiej skontaktuj się bezpośrednio z daną firmą za pomocą oficjalnych kanałów. W ten sposób upewnisz się, czy ktoś właśnie nie próbuje cię oszukać.

Smishing polega na tym, że oszuści wysyłają do swoich ofiar SMS-y, które wyglądają na pochodzące z zaufanych źródeł, takich jak banki, firmy kurierskie, urzędy czy nawet sklepy internetowe. Treść wiadomości zazwyczaj jest skonstruowana w taki sposób, by wywołać u odbiorcy poczucie pilności i skłonić go do działania. Może to być na przykład informacja o rzekomej zaległości w opłatach, problemie z przesyłką kurierską, podejrzanej transakcji na koncie bankowym lub wygranej w konkursie. W wiadomości zazwyczaj znajduje się link, który prowadzi do fałszywej strony internetowej łudząco podobnej do oryginalnej strony instytucji. Na tej stronie ofiara proszona jest o podanie danych osobowych, loginów, haseł lub numerów kart płatniczych. - przestrzega Policja.