Telekomy będą blokować podejrzane SMS-y i te podszywające się pod instytucje publiczne

Czym jest smishing? Sama nazwa to skrót od SMS phishing i dotyczy takich wiadomości SMS, które mają skłonić adresata do podjęcia niekorzystnych dla niego działań: podania danych osobowych, wpłacenia pieniędzy czy zainstalowania złośliwego oprogramowania na naszym smartfonie. Od 25 marca polskie firmy telekomunikacyjne mają obowiązek blokować SMS-y, które są podejrzane oraz takie, które podszywają się pod instytucje publiczne. Jakie powinny być dalsze kroki?

W styczniu zespół CSIRT NASK udostępnił pod adresem https://telegraf.cert.pl/ system teleinformatyczny służący do udostępniania i przekazywania informacji o wystąpieniu smishingu z wzorcem wiadomości.

Jak będzie działał nowy system zapobiegania smishingowi? Firmy telekomunikacyjne podłączone do systemu, a nawet zwykli użytkownicy będą mogli raportować podejrzane SMS-y. W ten sposób powstaną wzorce wiadomości, które należy blokować. Od 25 marca te telekomy, które już są podłączone do tego systemu będą miały obowiązek blokować podejrzane SMS-y, których wzorce znajdą się w systemie.

Na razie podłączenie do systemu jest dobrowolne dla firmy telekomunikacyjnej, ale od połowy kwietnia będzie to już obowiązkowe.

Czym są nadpisy? Jak chronić przed smishingiem?

Innym zabezpieczeniem będzie stworzenie bazy tak zwanych nadpisów – czyli tekstowych identyfikatorów nadawcy – używanych przez instytucje publiczne w komunikacji z obywatelami. Na przykład Krajowa Administracja Skarbowa używa nadpisu „e-US”. Firmy telekomunikacyjne będą miały obowiązek blokować SMS-y z takimi nadpisami, jeśli nie będą one pochodziły od podmiotu publicznego.

Eksperci zwracają uwagę na lukę w tym systemie.

„Nowe obowiązki po stronie operatorów telekomunikacyjnych są ważnym krokiem ze strony ustawodawcy. Brakuje jednak analogicznych możliwości dla sektora prywatnego, pod który przestępcy również chętnie się podszywają” – stwierdził Jerzy Klimaszewski, prezes firmy technologicznej Tide Software, cytowany w komunikacie prasowym.

„Klasyką gatunku” są SMS-y podszywające się pod firmy kurierskie, żądające uiszczenia drobnych wpłat, by otrzymać przesyłkę, bo… zaistniała „niedopłata”. Więcej na temat tego typu wyłudzeń dowiesz się na tej stronie.

Klimaszewski postuluje, by „w kolejnych krokach warto rozważyć regulacyjne rozszerzenie tych możliwości na sektor komercyjny”.

Niedawno pisaliśmy o tym, że kradzież naszych dokumentów i danych (a między innymi do kradzieży danych używane są ataki smishingowe) umożliwiła przestępcom niemal 10 tysięcy prób wyłudzenia kredytów w 2023 roku. Problem jest więc bardzo duży.

Państwo stara się walczyć z cyberoszustami, ale o cyberbezpieczeństwo trzeba dbać o we własnym zakresie. Jak to robić? Przeczytaj o tym w naszym poradniku.

Źródło zdjęcia: Freestocks/Unsplash