SMS’y będą automatycznie blokowane! Weszła duża zmiana

W poniedziałek weszła w życie ustawa o zwalczaniu nadużyć w komunikacji elektronicznej. Nowe przepisy mają się przyczynić do ograniczenia liczby fałszywych połączeń, SMS-ów oraz domen internetowych.

Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej wprowadza blokadę na poziomie państwowym na fałszywe połączenia, SMS-y i domeny internetowe. „Dzięki tym regulacjom zmniejszy się ilość fałszywych połączeń, SMS-ów oraz domen internetowych” – zapowiadało Ministerstwo Cyfryzacji.

Firmy telekomunikacyjne od poniedziałku 25 marca mają obowiązek blokować wiadomości SMS zawierające fałszywe nadpisy (identyfikatory wiadomości SMS), przez które oszuści podszywają się pod podmioty publiczne. Przykładem prawdziwego nadpisu jest np. „e-US” używany przez Krajową Administrację Skarbową. 

Nie od dziś wiadomo, że jednym z najpopularniejszych sposób cyberataków na użytkowników jest phishing. Jest to metoda, w której przestępcy podszywają się np. pod znane marki czy organizacje, starając się skłonić użytkowników do określonego działania. Wszyscy znają przypadki, w których otrzymywaliśmy SMS’y niby to od „InPostu” o niedopłacie za paczkę czy od „banku” z informacją o nieautoryzowanym przelewie.

Smishing i spoofing są rodzajami phishingu związanymi bezpośrednio z  telefonią komórkową. 25 marca 2024 roku wszedł w życie przepis, który nakłada na operatorów telekomunikacyjnych obowiązek blokowania wiadomości tekstowych mających cechy smishingu lub spoofingu. Wzorce podejrzanych wiadomości opracowuje i aktualizuje przynajmniej raz w miesiącu Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego. Operator po otrzymaniu polecenia od CSIRT NASK musi podjąć konkretne działanie – zabezpieczyć użytkowników przed SMS-ami, które odpowiadają danemu wzorcowi, a więc w ocenie CSIRT NASK są fałszywe i niebezpieczne.

Nowe zalecenia zostały zainicjowane przez poprzedni rząd, obecna władza kontynuuje projekt i podkreśla, że jest on istotny.

Jak informował resort cyfryzacji, ustawa nakłada również nowe obowiązki na dużych dostawców poczty elektronicznej (dla co najmniej 500 tys. użytkowników lub podmiotów publicznych), którzy będą musieli stosować nowe mechanizmy uwierzytelnienia.

„Ograniczy to działania oszustów, którzy próbują podszyć się pod zaufane instytucje i wyłudzić dane od użytkowników poczty elektronicznej. Zmniejszy to także ilość ataków typu man in the middle, polegających na podsłuchiwaniu i modyfikacji wiadomości przesyłanych pomiędzy dwiema stronami bez ich wiedzy” – wskazywało ministerstwo.

Według danych Krajowego Systemu Informacyjnego Policji szacunkowa wartość strat materialnych spowodowanych przez oszustwa związane z e-bankowością i phishingiem w 2022 roku wyniosła ponad 124 mln zł.