TELE TECHNIKA

DLA CIEBIE DLA DOMU DLA FIRMY

sms

GSM

Fałszywe SMS‑y z linkami. 25 marca to przełomowy moment

Od 25 marca 2024 roku możemy spodziewać się zmniejszenia liczby fałszywych SMS-ów, w których podszywano się pod instytucje państwowe. Operatorzy, którzy są podłączeni do specjalnego systemu uruchomionego przez NASK, będą zobowiązani do blokowania takich wiadomości SMS.

Fałszywe SMS‑y z linkami
Fałszywe SMS‑y z linkami

Nowe przepisy mają na celu ograniczenie skali phishingu SMS-owego, znanego również jako smishing. Eksperci zauważają jednak, że nadal brakuje podobnych środków ochrony dla sektora prywatnego. Nowo uruchomiony system umożliwia wymianę informacji o fałszywych SMS-ach i chronionych nagłówkach instytucji publicznych między operatorami telekomunikacyjnymi a kluczowymi instytucjami odpowiedzialnymi za cyberbezpieczeństwo, takimi jak CSIRT NASKPolicja oraz Prezes UKE.

Firma Tide Software, będąca jednym z dostawców platform komunikacyjnych CPaaS w Polsce i operatorem dla klientów biznesowych, chroni odbiorców komunikacji przed próbami wyłudzeń, związanymi między innymi z przekierowaniami do domen o niskiej reputacji, które nie spełniają kryteriów bezpieczeństwa. Blokowane SMS-y dotyczą głównie firm z sektora e-commerce, banków czy podmiotów windykacyjnych.

Phishing jest najbardziej rozpowszechnionym typem ataku cybernetycznego w Polsce. Na całym świecie aż 8 na 10 organizacji padło ofiarą co najmniej jednej próby phishingu. W 4 na 10 przypadków do tego celu wykorzystywane są SMS-y.

Smishing to poważne zagrożenie

„Ataki typu smishing są socjotechniką, której celem jest wyłudzenie wrażliwych danych. Opierają się na fałszywych informacjach np. o konieczności uiszczenia dodatkowych opłat za odbiór przesyłek czy odblokowania konta bankowego” – tłumaczy Jerzy Klimaszewski, prezes zarządu Tide Software. „Wiadomość zawiera link prowadzący do strony internetowej, która może do złudzenia wyglądać jak prawdziwa strona banku czy kuriera, jednak wcale taką nie jest (…) Działania regulacyjne, takie jak ustawa o zwalczaniu nadużyć w komunikacji elektronicznej, wprowadzają nową przestrzeń i podstawę prawną konieczną do walki z tym szkodliwym zjawiskiem” – dodaje.

W Polsce wprowadzono nowe przepisy ustawy o zwalczaniu nadużyć w komunikacji elektronicznej. Na początku roku CSIRT NASK uruchomił system służący do wymiany informacji o fałszywych wiadomościach między kluczowymi organami państwowymi (CSIRT NASK, Policja, Prezes UKE) a przedsiębiorcami telekomunikacyjnymi. Dzięki temu systemowi, przedsiębiorstwa telekomunikacyjne zdobyły wiedzę, która pozwala im blokować wiadomości o charakterze smishingowym.

Od 25 marca dla operatorów telekomunikacyjnych blokowanie fałszywych SMS-ów staje się obowiązkiem. Blokowane będą przede wszystkim wiadomości, których nagłówki mogą być myląco podobne do tych używanych przez chronione instytucje publiczne, takie jak Policja czy Urząd Skarbowy. To może być szczególnie istotne ze względu na trwający sezon podatkowy. W ubiegłym roku CSIRT NASK ostrzegało między innymi przed fałszywymi wiadomościami dotyczącymi rzekomych zwrotów nadpłaconych podatków, które w rzeczywistości były próbami wyłudzenia danych osobowych.

W obecnych czasach wyłudzenia różnego rodzaju stają się codziennym problemem wielu firm i konsumentów. Nowe przepisy stanowią ważny krok w kierunku zwiększenia ochrony przed cyberprzestępczością w Polsce. Jednak rozszerzenie tych przepisów i adaptacja nowych technologii, takich jak Rich Communication Services, będą kluczowe w długoterminowej walce z phishingiem i smishingiem.

GSMOrange

9,1 mln zł kary dla Orange za wysyłanie SMS-ów

Prezes UKE stwierdził, że Orange Polska wykorzystywało automatyczne systemy wywołujące do celów marketingu bezpośredniego, nie wykazując posiadania wymaganych w takim przypadku zgód abonentów lub użytkowników końcowych. W trakcie postępowania ustalono, że wysłanych zostało łącznie ponad 3,8 mln wiadomości SMS do klientów, z naruszeniem prawa telekomunikacyjnego. Na Orange Polska nałożono kary pieniężne w łącznej wysokości 9,1 mln zł. 

9,1 mln zł kary dla Orange za wysyłanie SMS-ów
9,1 mln zł kary dla Orange za wysyłanie SMS-ów

Postępowanie zostało zainicjowane skargą klienta Orange Polska, który otrzymał od tego operatora za pośrednictwem wiadomości SMS niezamówione informacje marketingowe. W toku postępowania ustalono, że doszło do wysyłki 1.763.334 wiadomości SMS o treści: „Nowy pakiet internetowy 500MB za 5zł na 30 dni jest już dostępny. Aby go włączyć, wyślij SMS o treści NET5 pod numer 260 (20gr) i surfuj więcej niż dotychczas!” oraz 2.056.851 wiadomości SMS o treści „Rewelacyjna wiadomość BEZPŁATNIE zobaczysz gdzie jest TERAZ Bliski. Wyślij sms (0zł) o treści CP na 60504. 14 dni za darmo/ Potem 6,15z VAT tyg/Orange.pl”.

Art. 172 ust. 1 prawa telekomunikacyjnego stanowi zabezpieczenie abonentów i użytkowników końcowych przed ingerencją w ich prywatność przez niezamówione komunikaty. Przepis ten zakazuje używania telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.

Orange Polska nie wykazało, że posiadała utrwalone zgody udzielone przez swoich abonentów i użytkowników końcowych na otrzymywanie wiadomości o charakterze marketingowym, przy użyciu automatycznych systemów wywołujących. Wysyłka ww. wiadomości SMS odbyła się zatem wbrew zakazowi wynikającemu z art. 172 prawa telekomunikacyjnego, który nie został uchylony przez stosowne zgody osób, do których były wysyłane wiadomości SMS o charakterze marketingowym.

Prezes UKE, oceniając zakres naruszenia, zwrócił uwagę na okoliczność, iż bezpośrednią konsekwencją stwierdzonych naruszeń było obniżenie przewidzianego prawem stopnia ochrony prywatności i związanych z tym praw abonentów i użytkowników końcowych w relacji z przedsiębiorcą telekomunikacyjnym. Jednocześnie skala procederu była znaczna, gdyż objęła łącznie 3.820.185 numerów telefonów abonentów lub użytkowników końcowych.

Prezes UKE ocenił natomiast pozytywnie podjęte przez Orange Polska działania zmierzające do zadośćuczynienia abonentom i użytkownikom końcowym za bezprawne rozesłanie do nich wiadomości SMS o charakterze marketingowym, poprzez przyznanie im specjalnych bonusów (pakietów danych). Prezes UKE wziął przy tym pod uwagę starania Orange Polska mające na celu dotarcie do adresatów uprzednio wysłanych wiadomości SMS, a w szczególności fakt, że informacja o bonusie została zatytułowana jako „Ważna informacja dla Klientów”, aby zapewnić jej odpowiednią zauważalność na stronie internetowej spółki. Opisana okoliczność została wzięta pod uwagę i miała wpływ na wysokość nałożonej kary.

Decyzja nie jest prawomocna, ponieważ Orange Polska może odwołać się do sądu.

Orange

Orange ostrzega przed perfidnymi oszustami

„Na nic Was nie zapisujemy!” – przypomina Orange, ostrzegając przed wyjątkowo perfidnym atakiem oszustów wysyłających SMS-y podszywając się pod tę sieć komórkową. Przestępcy rozsyłają do klientów sieci wiadomość, w której informują o zapisaniu na wysoce płatną usługę SMS Premium. W treści informacji, oprócz wysokości opłaty – niemal 16 zł każdego dnia – znajduje się także instrukcja, w jaki sposób się z takiego niechcianego prezentu wypisać.

 

I tutaj objawia się perfidia ataku – jeśli użytkownik, który bojąc się o poważny drenaż swojego portfela zdecyduje się na wysłanie SMS-a mającego wypisać go z usługi, to właśnie się na nią zapisze.

Przykładowa treść wiadomości wygląda w ten sposób:

 

Nadawca: InfoSMS
Treść: Platna usluga SUBSMS zostala wlaczona. Koszt 15,64/dzien. aby wylaczyc wyslij ICH.ROK na numer 92555

Po przeczytaniu takiego komunikatu łatwo wpaść w panikę i chcieć jak najszybciej pozbyć się subskrypcji – na oszustwo łatwo mogą nabrać się zwłaszcza osoby starsze, nie mające biegłej znajomości branży telekomunikacyjnej. Warto pokazać im tę wiadomość w ramach ostrzeżenia – można w ten sposób oszczędzić im zarówno nerwów po uwierzeniu, że Orange zapisał ich tak droga usługę, jak i pieniędzy – po tym, gdy spróbują się z niej wypisać.

 

Operator zadeklarował, że ze względu na potencjalną wysoką skuteczność ataku będzie zwracał pieniądze osobom, które spróbują wypisać się z rzekomej subskrypcji. Orange radzi także, by nie odpisywać na tego typu wiadomości, jeśli się ich nie spodziewaliśmy (czyli sami nie zamawialiśmy tego rodzaju usługi).

Odnosząc się do ostatnich ataków na klientów sieci Play, którzy otrzymywali doskonale podrobione faktury wystawiane rzekomo przez tego operatora (przestępcom udało się nawet oszukać filtry Google) Orange zaapelowało, żeby nie otwierać załączników znajdujących się w wiadomościach o płatnościach:

Jeśli złym ludziom przyjdzie do głowy wysłać coś takiego do klientów Orange Polska – pamiętajcie, że w mailach od nas NIGDY nie ma plików ZIP.

To nie pierwszy atak na klientów Orange naciągający na subskrypcję SMS-ów Premium przez wysłanie wiadomości mającej wypisać z takiej usługi – poprzednio sfałszowane wiadomości były rozsyłane w październiku 2016 roku.