Phishing, smishing i spoofing to narzędzia cyberprzestępców, które w ostatnich miesiącach szczególnie dają się we znaki Polakom. Rząd wraz z operatami pracuje jednak nad nowym prawem oraz mechanizmami, które ukrócą te praktyki.
Na wspólnej konferencji zorganizowanej przez KPRM i UKE przedstawione zostały postępy w walce ze zjawiskami phishing, smishingu i spoofingu – czyli mechanizmów, które za pomocą wiadomości tekstowych i połączeń telefonicznych pozwalają przestępcom pozyskiwać dane dostępowe do kont bankowych Polaków czy w inny sposób narażają atakowane osoby na straty, zwłaszcza finansowe.
Janusz Cieszyński, sekretarz stanu, pełnomocnik Rządu ds. Cyberbezpieczeństwa, przypomniał, że pod koniec zeszłego roku zostało zawarte porozumienie w zakresie cyberbezpieczeństwa – między NASK a operatorami Orange, Play, Plus i T-Mobile, całość wspierał Urząd Komunikacji Elektronicznej.
Dzięki temu porozumieniu telekomy dobrowolnie przyłączyły się do współpracy w ramach ISAC (ang. Information Sharing and Analysis Center), czyli sektorowego centrum bezpieczeństwa i integralności sieci telekomunikacyjnych. W efekcie tej współpracy po zgłoszeniu NASK operatorzy mogą skuteczniej blokować wejścia na szkodliwe strony i domeny stworzone przez cyberprzestęców. Jest to jednak mechanizm niedoskonały, który nie daje 100% ochrony.
UKE prowadził w tej sprawie działania edukacyjne, ale to wciąż za mało, a Polacy nieustannie padają ofiarą oszustów. Dlatego też rząd wraz z operatorami zdecydował się pójść o krok dalej. W grudniu w ramach ISAC stworzony został z operatorami zespół roboczy, a w styczniu 2022 r. rozpoczęły się wspólne prace nad problemem phishingu oraz smishingu, czyli rodzajem phishingu, kierowanym przez wiadomości tekstowe na telefony komórkowe.
Zobacz: Rząd wprowadził trzeci stopień alarmowy CHARLIE–CRP. Co to oznacza?
Rząd przygotowuje równocześnie nowe prawo, które ma wprowadzić legislacyjne uregulowanie tych kwestii. Powstają również mechanizmy, które pozwolą identyfikować i blokować oszustów. Szczegóły tych narzędzi nie zostały ujawnione, żeby cyberprzestępcy nie mogli zawczasu się do nich przygotować, wiadomo jednak, jak wygląda ogólny schemat działania.
Schemat ten zakłada, że zamiast blokowania pojedynczych ataków, czyli na przykład szkodliwych linków w wiadomościach SMS, CSIRT przy NASK będzie opracowywać bazę wzorców phishingowych. Pozwoli to na identyfikowanie całych kampanii niezależnie od ich modyfikacji czy kierunku. Dane z tej bazy będą przekazywane operatorom, UKE oraz Policji i będą stanowiły element infrastrukturalnej bramki, która pozwoli telekomom na blokowanie niebezpiecznych wiadomości phishingowych i całego ruchu dystrybucji, a nie tylko niebezpiecznych linków. System ten zakłada, że będzie dopuszczone automatyczne analizowanie treści SMS-ów wysyłanych przez przestępców. Wymaga to jednak umocowania w prawie.
KPRM zapowiada, że antyphishingowe rozwiązania legislacyjne zostaną opracowane do końca pierwszego kwartału, czyli można się ich spodziewać już w marcu. W projekcie nowego prawa zostanie zapisana współpraca z operatorami, a regulacja jest już gotowa w 99%.
💬Jesteśmy zdeterminowani, żeby ukrócić swobodną dystrybucję kampanii #phishing.owych. Do końca I kwartału wyjdziemy z całym pakietem rozwiązań. Planujemy jak najszybciej wejść z naszymi założeniami na ścieżkę legislacyjną - minister @jciesz podczas spotkania z mediami pic.twitter.com/L2s0pLQmTX
— CYFRYZACJA KPRM (@CyfryzacjaKPRM) February 23, 2022
Równolegle trwają też prace nad znacznie trudniejszym rodzajem ataków, czyli spoofingiem. W nich przestępcy podszywają się pod banki, urzędy i dowolne inne osoby w rozmowach telefonicznych. Dzięki wykorzystaniu bramek internetowych atakujący mogą sprawić, że na urządzeniach ofiar wyświetlają się prawdziwe numery. Najprostszym mechanizmem w tym przypadku, który sugerują również operatorzy, jest prawny zakaz podmiany numeru na bramce internetowej. Nie zagwarantuje to jednak pełnego bezpieczeństwa, bo taki zapis nie obejmie ataków realizowanych zza granicy.
Janusz Cieszyński odniósł się też to kwestii spamowych połączeń realizowanych przez automaty. Według niego połączenia tego typu powinny być tylko dozwolone po wyrażeniu jednoznacznej zgody przez rozmówcę (formula opt-in) i takie rozwiązanie zostanie zaproponowane legislacyjnie.
Podczas konferencji padło też pytanie o przyspieszenie prac na nowelizacją ustawy o KSC, która nabiera zwłaszcza znaczenia w kontekście konfliktu na Ukrainie i cyberataków podejmowanych ze strony Rosji. Projekt ustawy o KSC został zaopiniowany przez komitet bezpieczeństwa przy RM, został tez przekazany do dalszej realizacji, ale wciąż nie wiadomo, kiedy pojawi się ostateczna wersja nowelizacji. Doprecyzowania wymagają między innymi zapisy określające kompetencje państwowego Operatora Strategicznej Sieci Bezpieczeństwa (OSSB).
Jak zapowiedział prezes UKE, Jacek Oko, po przyjęciu nowelizacji ustawy o KSC Urząd będzie mógł w ciągu 2-3 tygodni ogłosić nową aukcję 5G.
Zobacz: Bliżej aukcji 5G, projekt ustawy o KSC z pozytywną opinią
Zobacz: Żaryn: ataki spoofingowe to środek, który Rosja stosuje przeciw Zachodowi
Źródło zdjęć: KPRM, UKE
Źródło tekstu: wł., UKE
