Po roku prac uchwalono ustawę o zwalczaniu nadużyć w komunikacji elektronicznej, która ma zapobiec, między innymi, takim oszustwom jak phishing i smishing.

Ponad rok trwały prace nad ustawą o zwalczaniu nadużyć w komunikacji elektronicznej. Ustawa nabierała kształtu od czerwca ubiegłego roku, w marcu projekt trafił do sejmu, a następnie w lipcu senat wprowadził do niej poprawki. Nowe prawo nakłada prawa i obowiązki na przedsiębiorstwa telekomunikacyjne, ustala kompetencje prezesa UKE, a także nakłada obowiązki na dostawców usług poczty elektronicznej. Definiuje także, a może przede wszystkim, czym jest smishing czy CLI spoofing.

Wedługh ustawy smishing to wysłanie krótkiej wiadomości tekstowej (SMS), w której nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego zachowania, w szczególności przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, inicjowania połączenia głosowego lub instalacji oprogramowania.
CLI spoofing to z kolei nieuprawnione posłużenie się lub korzystanie przez użytkownika lub przedsiębiorcę telekomunikacyjnego wywołującego połączenie głosowe informacją adresową wskazującą na osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej inną niż ten użytkownik lub przedsiębiorca telekomunikacyjny, służące podszyciu się pod inny podmiot, w szczególności w celu wywołania strachu, poczucia zagrożenia lub nakłonienia odbiorcy tego połączenia do określonego zachowania, zwłaszcza do przekazania danych osobowych, niekorzystnego rozporządzenia mieniem lub instalacji oprogramowania.

CSIRT NASK, który jest jednym z krajowych zespołów reagowania na incydenty komputerowe ma, zgodnie z nowymi przepisami, dodatkowy obowiązek monitorowania zjawiska smishingu. Chodzi o wychwytywanie tego zjawiska i prowadzenie bazy danych na ten temat w celu przekazania ich służbom i operatorom telekomów. CSIRT NASK będzie również prowadzić tzw. wykaz nadpisów podmiotów publicznych, co, w skrócie, ma uniemożliwić wysyłanie wiadomości tekstowych z podpisem, sugerującym, że został wysłany przez jakąś publiczną instytucję (tzw. integratorów usług SMS).

Wzorce smishingu, które zostaną do operatorów telekomunikacyjnych wysłane przez CSIRT NASK będą musiały zostać zablokowane, aby nie trafiały do użytkowników końcowych, ale operatorzy będą mogli również stosować własne blokady, jeśli jakieś wiadomości uznają za próbę oszustwa. Operatorzy będą musieli również blokować lub ukrywać identyfikację numerów połączeń, które będą podejrzane o spoofing. W tym celu operatorzy będą mogli wymieniać również informacje między sobą.

Podobne listy będą również prowadzone w stosunku do domen, które wykorzystywane są do oszustw. Mechanizmy antyspoofingowe będą musieli stosować również dostawcy poczty dla instytucji publicznych oraz ci mający ponad 500 tys. klientów. Dla podmiotów, które będą dopuszczać się nielegalnych praktyk, stosowania smishingu czy spoofingu, przewidziano kary do 3 procent przychodu w poprzednim roku kalendarzowym.

Żadna ustawa i żaden przepis nie wyeliminuje w stu procentach oszustw i prób oszustw. Wspomniane przepisy są jednak krokiem w dobrą stronę, które pozwolą zminimalizować tego typu zjawisko, które w ostatnim czasie było bardzo popularne. Jak zauważa Niebezpiecznik, nowe przepisy w połączeniu z przepisami ustawy o zmianie niektórych ustaw w celu ograniczania niektórych skutków kradzieży tożsamości, sprawią, że sfera oszustw być może choć trochę zostanie zawężona.

{loadmoduleid 1123}