Podpisane zostało porozumienie między Państwowym Instytutem Badawczym NASK oraz Krajową Izbą Komunikacji Ethernetowej. Umożliwi ono skuteczniejsze zwalczanie procederu rozsyłania fałszywych wiadomości SMS, których celem jest nakłonienie odbiorcy do przekazania danych osobowych lub instalacji złośliwego oprogramowania.
Pierwszego dnia konferencji KIKE 2023, 17 kwietnia 2023 roku, doszło do podpisania kluczowego porozumienia w sprawie zwalczania nadużyć w komunikacji SMS A2P. Jego stronami są: Państwowy Instytut Badawczy NASK oraz Krajowa Izba Komunikacji Ethernetowej, zaś porozumienie podpisali Wojciech Pawlak, dyrektor NASK oraz Karol Skupień, prezes KIKE.
Porozumienie ma na celu poprawę bezpieczeństwa użytkowników telefonii komórkowej poprzez ograniczenie zjawiska masowej wysyłki wiadomości SMS typu A2P (application-to-person, czyli rozsyłanych automatycznie przez specjalne narzędzia), które mają charakter phishingowy.
„Cieszę się podwójnie z dzisiejszego porozumienia między Państwowym Instytutem Badawczym NASK oraz Krajową Izbą Komunikacji Ethernetowej. Po pierwsze, dzięki niemu dostajemy do ręki nowe narzędzie, które pozwoli na skuteczniejszą walkę z cyberprzestępczością, a zwłaszcza z fałszywymi wiadomościami SMS. Po drugie, to wymowny wyraz otwartości na współpracę wszystkich zaangażowanych stron. To dzięki takiej współpracy, dzięki wspólnej walce z przestępcami, wzmacnia się poziom bezpieczeństwa w Polsce” – podkreślił Wojciech Pawlak.
Jedno wyzwanie – wiele rozwiązań
O powszechności zagrożenia, jakim są fałszywe SMS-y, których celem jest wyłudzenie wrażliwych danych odbiorcy (w tym zwłaszcza danych dostępowych do bankowości internetowej) lub skłonienie go do instalacji złośliwego oprogramowania, nie trzeba nikogo przekonywać – spotkał się z nim zapewne każdy użytkownik telefonii komórkowej w Polsce. Wiele osób przesyła takie podejrzane SMS-y na specjalny numer 799 448 084, zwiększając tym samym bezpieczeństwo swoje i innych. Dzięki takim zgłoszeniom zespołowi CERT Polska tylko w 2022 roku udało się zablokować niemal 21 milionów prób wejścia na fałszywe strony wyłudzające dane i uchronić znaczącą liczbę użytkowników przed popełnieniem (nieraz bardzo kosztownego) błędu!
W dalszym ciągu zachęcamy do przesyłania zgłoszeń, ponieważ każda informacja tego typu, która trafia do CERT Polska, spotyka się z adekwatną odpowiedzią i rekomendacją. Równocześnie jednak realizowane są projekty mające na celu systemowe ograniczenie działalności przestępczej w tym obszarze. Jednym z nich jest ustawa o zwalczaniu nadużyć w komunikacji elektronicznej, której projekt przyjęty został przez Radę Ministrów 14 lutego 2023 roku. Stanowi ona efekt wspólnej pracy Kancelarii Prezesa Rady Ministrów, Urzędu Komunikacji Elektronicznej, CSIRT-u NASK oraz przedstawicieli sektora telekomunikacyjnego.
Innym ważnym projektem, skupionym na przeciwdziałaniu nadużyciom w obszarze komunikacji A2P, jest natomiast podpisane dziś porozumienie.
Porozumienie i kodeks dobrych praktyk
Przedmiotem porozumienia jest wyrażenie przez obie strony woli współpracy na rzecz podnoszenia poziomu bezpieczeństwa usług w komunikacji typu A2P. W szczególności dotyczy to zwalczania procederu osiągania korzyści majątkowej przez podszywanie się pod nadawcę wiadomości w celu nakłonienia jej odbiorcy do przekazania danych osobowych lub instalacji złośliwego oprogramowania (phishing). Ze strony Państwowego Instytutu Badawczego NASK podmiotem najbardziej zaangażowanym w realizację tego porozumienia będzie działający w jego strukturach zespół CERT Polska, natomiast KIKE występuje realnie w imieniu lokalnych operatorów telekomunikacyjnych z całej Polski, a także największych polskich integratorów komunikacji A2P.
W praktyce porozumienie polegać będzie na wdrożeniu dołączonego do niego „Kodeksu dobrych praktyk”, który przyjął formę wzorca zapisów umowy, udostępnianego nieodpłatnie do stosowania przez KIKE. Kodeks ten stanowi zbiór zasad postępowania w przedmiocie tworzenia, przesyłania i weryfikacji komunikatów A2P i rekomenduje m.in. następujące dobre praktyki:
- bieżącą weryfikację linków w treści komunikatów A2P,
- korzystanie z przygotowywanej regularnie przez CERT Polska listy ostrzeżeń, zawierającej adresy stron internetowych wykorzystywanych do działań cyberprzestępczych,
- blokowanie niezweryfikowanych lub weryfikowanie skróconych linków domen,
- należytą weryfikację wiarygodności klienta usług komunikacji A2P,
- współpracę z właściwymi organami w zwalczaniu cyberzagrożeń oraz ściganiu cyberprzestępców.
Podpisani pod porozumieniem integratorzy komunikacji A2P zobowiązują się również do:
- blokowania komunikatów A2P zawierających odwołania do takich domen występujących na liście ostrzeżeń,
- informowania NASK o innych domenach internetowych, wobec których stwierdzono podejrzenie wykorzystywania do działań cyberprzestępczych,
- informowania NASK o treści komunikatów, które mogą stanowić nowy wzorzec treści wykorzystywanej do działań cyberprzestępczych,
- korzystanie z wypracowanej w ten sposób bazy wzorców komunikatów A2P do blokowania niebezpiecznych wiadomości SMS.
Przyjęte dziś porozumienie to już kolejny krok w walce z cyberzgrożeniami w obszarze telefonii komórkowej. Następnym będzie wejście w życie wspomnianej już ustawy o zwalczaniu nadużyć w komunikacji elektronicznej, czyli tzw. ustawy antyspoofingowej. Wszystko po to, by zawsze być o krok przed przestępcami, których działalność w tym obszarze znacząco się nasiliła.