Współpraca już za kilka miesięcy pozwoli ograniczyć zjawisko podszywania się pod numery telefoniczne, czyli spoofingu. Razem z filtrowaniem SMS-ów ma to umożliwić skuteczną walkę z nadużyciami w komunikacji elektronicznej, których ofiarami padają użytkownicy telefonów w Polsce.

Na początku bieżącego roku pisaliśmy o uruchomionym przez CSIRT NASK systemie teleinformatycznym, który służy do wymiany informacji o fałszywych wiadomościach między przedsiębiorcami telekomunikacyjnymi a CSIRT NASK, Policją oraz Prezesem UKE. Przedsiębiorcy mogą zgłaszać podejrzane wiadomości do CSIRT NASK, który z kolei będzie tworzył wzorzec takiej wiadomości.

Jak telekomy mogą przeciwdziałać spoofingowi?

Żeby w pełni wyjaśnić ideę podpisanego dokumentu, warto cofnąć się do końcówki 2021 r. Wtedy to UKE podpisało z czterema operatorami mobilnymi dobrowolne porozumienie w sprawie współpracy w zakresie bezpieczeństwa teleinformatycznego. W ramach prac udało się stworzyć założenia dokumentu, który następnie przerodził się w przyjętą w połowie 2023 r. Ustawę o zwalczaniu nadużyć w komunikacji elektronicznej. Akt ten zawiera szereg instrumentów mających na celu poprawę cyberbezpieczeństwa Polaków, z których najistotniejsze są dwa poniższe – czytamy w komunikacie prezesa UKE, Jacka Oko (zdjęcie główne).

Pierwszym z nich jest obowiązek filtrowania SMS-ów przez operatorów komórkowych, na kształt filtrów antyspamowych w poczcie elektronicznej. W rozwiązanie zaangażowani są cyberspecjaliści z CSIRT NASK (zespołu reagowania na incydenty bezpieczeństwa komputerowego), którzy będą tworzyli bazę wzorców niebezpiecznych wiadomości. Operator komórkowy będzie ją pobierał i po zaimplementowaniu w swoim systemie odfiltrowywał niebezpieczne SMS-y. Obowiązek ten wchodzi w życie już w kwietniu i prezes UKE ma nadzieję, że znacząco ograniczy próby wyłudzeń tą drogą.

Drugim istotnym instrumentem jest walka z podszywaniem się pod czyiś numer telefonu. Tu ważnym rozwiązaniem jest tzw. baza DNO (ang. Do-Not-Originate). Właściciele numerów telefonów (przedsiębiorcy), tacy jak m.in. banki, będą mogli zgłosić do UKE swoje numery, które służą tylko do odbierania połączeń, a nie do inicjowania.

Do tej pory przestępcy często wykorzystywali fakt, że w telefonach mamy zapisany numer infolinii naszego banku, a połączenia przychodzące z danego numeru od razu na wyświetlaczu telefonu było kojarzone z przypisaną mu nazwą w naszej książce telefonicznej, w ten sposób uwiarygadniając się. Jeżeli operator zauważy, że do jego sieci przychodzi połączenie prezentujące się numerem z bazy DNO, wtedy będzie je od razu blokował. Bazę DNO prowadzi UKE, wniosek o wpis numeru do tej bazy będzie można składać od 25 marca, a operatorzy będą musieli wdrożyć u siebie to rozwiązanie do września.

Porozumienie UKE i czterech największych telekomów

A co z porozumieniem podpisanym 20 lutego? Określa ono techniczne rozwiązanie tzw. „bezpiecznej zatoki”. Pozwoli ono na weryfikację, czy połączenie przychodzące do danej sieci jest identyfikowane prawdziwym numerem, czy zmodyfikowanym, i czy  mamy do czynienia z próbą podszycia się pod inną osobę lub organizację. Jeśli weryfikacja wykaże, że zachodzi przypadek spoofingu, to połączenie zostanie albo odrzucone, albo zestawione, ale bez prezentacji numeru dzwoniącego (czyli na ekranie odbiorcy pokaże się napis „Numer nieznany”).

Podpisane właśnie porozumienie jest otwarte dla wszystkich podmiotów, które obsługują co najmniej 50 tys. abonentów i są gotowe przyjąć na siebie zobowiązania wynikające z porozumienia. Dla mniejszych przedsiębiorców telekomunikacyjnych przygotowane zostaną rekomendacje zbieżne z tymi zawartymi w „bezpiecznej zatoce”, określające środki organizacyjne i techniczne służące do zwalczania spoofingu, dostosowane do ich wielkości i możliwości technicznych – czytamy w komunikacie prezesa UKE.