Operatorzy wdrożą skuteczne rozwiązania przeciwdziałające podszywaniu się pod numery telefonów. Podpisaliśmy porozumienie
22 lutego 2024
Podpisaliśmy z czterema największymi operatorami porozumienie, które za kilka miesięcy pozwoli ograniczyć zjawisko podszywania się pod numery telefoniczne (tzw. CLI spoofing). Razem z filtrowaniem SMS-ów umożliwi to skuteczną walkę z nadużyciami w komunikacji elektronicznej, których ofiarami padają użytkownicy telefonów w Polsce.
Żeby w pełni wyjaśnić ideę podpisanego dokumentu, warto cofnąć się do końcówki 2021 r. Wtedy to podpisaliśmy z czterema operatorami mobilnymi dobrowolne porozumienie w sprawie współpracy w zakresie bezpieczeństwa teleinformatycznego. W ramach intensywnych prac udało nam się stworzyć założenia dokumentu, który następnie przerodził się w przyjętą w połowie 2023 r. Ustawę o zwalczaniu nadużyć w komunikacji elektronicznej. Akt ten zawiera szereg instrumentów mających na celu poprawę cyberbezpieczeństwa Polaków, z których najistotniejsze są dwa poniższe.
Pierwszym z nich jest obowiązek filtrowania SMS-ów przez operatorów komórkowych, na kształt filtrów antyspamowych w poczcie elektronicznej. W rozwiązanie zaangażowani są cyberspecjaliści z CSIRT NASK (zespołu reagowania na incydenty bezpieczeństwa komputerowego), którzy będą tworzyli bazę wzorców niebezpiecznych wiadomości. Operator komórkowy będzie ją pobierał i po zaimplementowaniu w swoim systemie odfiltrowywał niebezpieczne SMS-y. Obowiązek ten wchodzi w życie już w kwietniu i mam nadzieję, że znacząco ograniczy próby wyłudzeń tą drogą.
Tu, na marginesie, od razu zachęcam każdego, kto otrzyma podejrzanego SMS-a np. o „konieczności dopłaty 3 zł do rachunku” do przesłania go na darmowy numer 8080 poprzez przekopiowanie treści podejrzanej wiadomości, bez dodawania własnego komentarza. Pozwoli to NASK zbudować jeszcze lepszy słownik wzorców i szybciej odfiltrować operatorom komórkowym tego typu szkodliwe SMS-y.
Drugim istotnym instrumentem jest walka z podszywaniem się pod czyjś numer telefonu. Tu ważnym rozwiązaniem jest tzw. baza DNO (ang. Do-Not-Originate). Właściciele numerów telefonów (przedsiębiorcy), tacy jak m.in. banki, będą mogli zgłosić do UKE swoje numery, które służą tylko do odbierania połączeń, a nie do inicjowania. Do tej pory przestępcy często wykorzystywali fakt, że w telefonach mamy zapisany numer infolinii naszego banku, a połączenia przychodzące z danego numeru od razu na wyświetlaczu telefonu było kojarzone z przypisaną mu nazwą w naszej książce telefonicznej, w ten sposób uwiarygadniając się. Jeżeli operator zauważy, że do jego sieci przychodzi połączenie prezentujące się numerem z bazy DNO, wtedy będzie je od razu blokował. Bazę DNO prowadzi UKE, wniosek o wpis numeru do tej bazy będzie można składać od 25 marca, a operatorzy będą musieli wdrożyć u siebie to rozwiązanie do września.
Teraz przechodzimy do podpisanego 20 lutego porozumienia. Określa ono techniczne rozwiązanie tzw. „bezpiecznej zatoki”, unikatowe w skali globalnej. Pozwoli ono na weryfikację, czy połączenie przychodzące do danej sieci jest identyfikowane prawdziwym numerem, czy zmodyfikowanym, i czy mamy do czynienia z próbą podszycia się pod inną osobę lub organizację. Jeśli weryfikacja wykaże, że zachodzi przypadek CLI spoofingu, to połączenie zostanie albo odrzucone, albo zestawione, ale bez prezentacji numeru dzwoniącego (czyli na ekranie odbiorcy pokaże się napis „Numer nieznany”). Z oczywistych przyczyn nie będziemy publikować szczegółów technicznych tego rozwiązania. Mam nadzieję, że w ten sposób skutecznie ograniczymy możliwość stosowania CLI spoofingu, który w rękach przestępców jest narzędziem uwiarygadniającym w procederze podszywania się i wyłudzania, o czym niejednokrotnie można było przeczytać w mediach. Operatorzy to rozwiązanie wdrożą do września.
Podpisane właśnie porozumienie, wypracowane w trakcie ponad 30 merytorycznych spotkań z przedstawicielami departamentów bezpieczeństwa operatorów komórkowych, jest otwarte dla wszystkich podmiotów, które obsługują co najmniej 50 tys. abonentów i są gotowe przyjąć na siebie zobowiązania wynikające z porozumienia. Dla mniejszych przedsiębiorców telekomunikacyjnych przygotowane zostaną rekomendacje zbieżne z tymi zawartymi w „bezpiecznej zatoce”, określające środki organizacyjne i techniczne służące do zwalczania CLI spoofingu, dostosowane do ich wielkości i możliwości technicznych.
Na koniec warto przypomnieć uniwersalną prawdę, że najlepszym sposobem na to, aby nie dać się oszukać w Internecie, przez telefon, czy twarzą w twarz, jest krytyczne myślenie i świadomość istniejących zagrożeń. Dlatego warto zapoznać się z materiałami informacyjnymi i edukacyjnymi na temat cyberzagrożeń i sposobów radzenia sobie z nimi dostępnymi m.in. na stronach UKE, CSIRT NASK czy Ministerstwa Cyfryzacji.
Jacek Oko, Prezes UKE