Wystartował system wymiany informacji o smishingu

Zespół CSIRT NASK uruchomił system teleinformatyczny, który służy do wymiany informacji o fałszywych wiadomościach między przedsiębiorcami telekomunikacyjnymi a CSIRT NASK, Policją oraz Prezesem UKE. Przedsiębiorcy mogą zgłaszać podejrzane wiadomości do CSIRT NASK, który z kolei będzie tworzył wzorzec takiej wiadomości.

Joanna Gościńska
/
24 stycznia 2024

Obowiązek dla przedsiębiorców od 25 marca

Jest to kolejny etap wdrażania rozwiązań zawartych w ustawie o zwalczaniu nadużyć w komunikacji elektronicznej. Przedsiębiorcy telekomunikacyjni przetwarzający wiadomości SMS mogą uzyskać dostęp do systemu wymiany wzorców i nadpisów poprzez wysłanie wiadomości e-mail pod adres: [email protected]. Od 25 marca 2024 r. przedsiębiorcy podłączeni do systemu będą mieli obowiązek blokować fałszywe SMS zgodnie ze wzorcem fałszywej wiadomości przekazanej przez CSIRT NASK.

Podmioty publiczne mogą zastrzegać tzw. nadpisy wykorzystywane przez nie do wysyłki SMS przy świadczeniu zadań publicznych dla obywateli. Przykładem nadpisu jest skrót w tytułach SMS np. „e-US” używany przez Krajową Administrację Skarbową.

Wykaz nadpisów zastrzeżonych dla podmiotów publicznych jest prowadzony przez CSIRT NASK. Przedsiębiorcy telekomunikacyjni będą blokować SMS z zastrzeżonymi nadpisami, które nie pochodzą od podmiotu publicznego.

1(22) 2024 SECURITY MAGAZINE Monika Świetlińska

- Jestem przekonany, że dzięki uruchomieniu systemu do wymiany wzorców wiadomości oszukańczych, do którego od dzisiaj podłączać się mogą przedsiębiorcy telekomunikacyjni, Urząd Komunikacji Elektronicznej oraz Centralne Biuro Zwalczania Cyberprzestępczości — walka z nadużyciami telekomunikacyjnymi i ograniczanie liczby oszukańczych SMS-ów, które wszyscy codziennie otrzymujemy, wejdzie na wyższy poziom. Taki cel ma także możliwość zastrzegania nadpisów. Efekty odczujemy już za 3 miesiące — podkreśla wicepremier, szef resortu cyfryzacji Krzysztof Gawkowski. Zgłoszenia nadpisu SMS do CSIRT NASK można dokonać za pomocą formularza dostępnego na stronie.

Smishing – czym jest?

Ataki smishingowe wykorzystują usługę wysyłania krótkich wiadomości tekstowych, czyli SMS-ów, które powszechnie nazywa się wiadomościami tekstowymi. Ten rodzaj ataku zyskał popularność dzięki temu, że ludzie zwykle chętniej ufają wiadomościom przychodzącym w aplikacji SMS na ich telefonach niż wiadomościom e-mail.

Choć wiele ofiar nie utożsamia phishingu z SMS-ami, to prawda jest taka, że przestępcom łatwiej jest zdobyć czyjś numer telefonu niż jego adres e-mail. Liczba możliwych numerów telefonu jest ograniczona – w USA numer telefoniczny składa się z 10 cyfr.

Natomiast długość adresu e-mail nie ma ograniczeń, chociaż są pewne zdroworozsądkowe wytyczne. Ponadto adres poczty elektronicznej może zawierać cyfry, litery i symbole – !, # i %. O wiele łatwiej jest wygenerować losowy ciąg dziesięciu cyfr, który pozwoli na skontaktowanie się z jakąś osobą niż znalezienie kontaktu za pomocą losowo wygenerowanego adres e-mail.

Fałszywa nazwa nadawcy smsa? Nastąpi blokadaRafał Stępniewski

Haker może po prostu wysyłać wiadomości tekstowe na numery, które są losowymi kombinacjami dziesięciu cyfr. Może to powtarzać do woli z różnymi kombinacjami cyfr bez żadnych szkodliwych konsekwencji. Z badań przeprowadzonych przez Gartner wynika, że 98% wiadomości tekstowych zostaje odczytanych, a 45% z nich doczekuje się odpowiedzi. Nic więc dziwnego, że ten sposób ataku jest atrakcyjny dla hakerów, zwłaszcza gdy weźmie się pod uwagę fakt, że według tych samych badań tylko 6% wiadomości e-mail uzyskuje odpowiedź.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Zapraszamy do kontaktu