Socjotechnika, której narzędziem są metody manipulacji używane w celu skłonienia nas do podjęcia określonych działań, to coś, co lubią cyberprzestępcy. Używają oni socjotechniki w celu wyłudzenia danych lub kradzieży pieniędzy. Ich ataki od dawna nie opierają się już tylko na wiadomościach typu e-mail. Przestępcy równie chętnie korzystają z połączeń głosowych i SMS-ów wysyłanych przez różnego rodzaju komunikatory.
Smishing to popularny rodzaj oszustwa
Rozpowszechnianie fałszywych SMS-ów, czyli smishing, to jeden z rodzajów phishingu, na który jesteśmy narażeni każdego dnia. Dopłata do paczki, niewielkie zaległości w fakturach czy podejrzana aktywność na naszym koncie bankowym – to tylko wybrane „legendy” umieszczane w wiadomościach typu SMS, wykorzystywane przez oszustów w celu nakłonienia nas do podjęcia określonych aktywności. Takich działań, które pozwolą oszustom pozyskać dostęp do naszych danych oraz oszczędności.
Sejm RP uchwalił ustawę, która ma na celu zwalczanie tego rodzaju cyberprzestępstw. Ustawa określa prawa i obowiązki służb bezpieczeństwa i operatorów telekomunikacyjnych w walce ze spoofingiem i smishingiem. NASK CSIRT (Computer Security Incident Response Team) przekaże operatorom komórkowym wzorce wiadomości wykorzystywane przez cyberprzestępców. Dzięki temu ci będą wiedzieli, które wiadomości należy zablokować. Podejrzane treści nie trafią do potencjalnych ofiar, w efekcie czego skala oszustw się zmniejszy. Ważna w tej materii będzie współpraca firm telekomunikacyjnych ze sobą. Dotycząca udostępniania sobie nawzajem informacji o podejrzanych wiadomościach i ich nadawcach.
Lista ostrzeżeń dotycząca domen służących do wyłudzania danych (pieniędzy) zostanie umocowana na poziomie ustawowym. Z kolei na dostawców poczty elektronicznej dla przynajmniej 500 tys. użytkowników (także podmiotów publicznych) zostanie nałożony obowiązek stosowania mechanizmów uwierzytelniania tejże poczty.
Przepisy dotyczące numerów telefonicznych i symbolu #RP
Dodatkowo w ustawie przewidziano, że prezes Urzędu Komunikacji Elektronicznej sporządzi listę numerów, które będą służyć wyłącznie do odbierania połączeń głosowych. Rozwiązanie to ma na celu ograniczenie możliwości podszywania się oszustów pod numery infolinii urzędów czy innych instytucji. Wnioski o wpisanie numeru na listę będą mogły składać instytucje sektora finansów publicznych. A także banki, inne instytucje finansowe lub ubezpieczeniowe. A także operatorzy telekomunikacyjni, którzy chcą zarejestrować numery telefonów wykorzystywane do obsługi klienta lub infolinii.
Oszuści często podszywają się pod państwowe instytucje, na przykład Ministerstwo Finansów czy Ministerstwo Zdrowia. Dlatego ustawa rezerwuje możliwość używania wyrażenia #RP tylko przez określone podmioty – podmioty publiczne.
Jak na razie trudno oszacować, w jakim stopniu nowe prawo przyczyni się do zmniejszenia aktywności naciągaczy. Jednak, znając ich kreatywność, można spodziewać się, że prędzej czy później i tak znajdą sposób, by ominąć przepisy.