Od tygodnia w Polsce obowiązuje nowe prawo dla części przedsiębiorców. Operatorzy telekomunikacyjni zostali zobowiązani do blokowania fałszywych SMS-ów, z pomocą których od ich klientów są wyłudzane dane lub pieniądze. Tymczasem NASK bije na alarm i ostrzega przed wzrostem liczby oszustw finansowych w sieci.
Nowy obowiązek dla przedsiębiorców w zakresie bezpieczeństwa
Zgodnie z ustawą o zwalczaniu nadużyć w komunikacji elektronicznej 25 marca br. zaczęło obowiązywać nowe prawo. Dotyczy przedsiębiorców podłączonych do systemu wymiany informacji i wzorców, czyli smishingu pomiędzy przedsiębiorcami telekomunikacyjnymi a CSIRT NASK (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego), policją oraz prezesem Urzędu Komunikacji Elektronicznej.
Na czym polega nowy obowiązek? Chodzi o blokowanie fałszywych SMS-ów zgodnie ze wzorcem przekazanej przez CSIRT NASK. Ma to służyć blokowaniu wiadomości, które pomagają oszustom w wyłudzaniu naszych danych lub pieniędzy.
Choć system funkcjonuje od 17 stycznia, to dotychczas korzystanie z niego było dobrowolne. Teraz jest już obowiązkiem. Prace nad projektem zaczął jeszcze rząd Mateusza Morawieckiego.
Pishing, smishing, spoofing. W sieci grozi ci więcej niż myślisz
Głównym celem nowego prawa, korzystnego dla klientów sieci telekomunikacyjnych jest zwalczanie:
- spoofingu - podszywania się pod elementy systemu teleinformacji różnych instytucji;
- phishingu - podszywania się pod instytucje w celu wyłudzania danych;
- smishingu - wykorzystywania wiadomości sms do wyłudzania danych.
Podmioty publiczne mogą zastrzegać tzw. nadpisy wykorzystywane przez nie do wysyłki SMS-ów przy usługach dla obywateli. Np. Krajowa Administracja Skarbowa w tytułach sms może użyć nadpisu skrótu o treści "e-US" i nie powinno to wzbudzać niepokoju wśród obywateli.
Wykaz nadpisów zastrzeżonych dla podmiotów publicznych jest prowadzony przez CSIRT NASK, a przedsiębiorcy telekomunikacyjni będą blokować wiadomości z zastrzeżonymi nadpisami, które nie pochodzą od podmiotu publicznego. Oszuści nie będą mogli posługiwać się takimi samymi nadpisami, jak urzędy.
– Jestem przekonany, że dzięki uruchomieniu systemu do wymiany wzorców wiadomości oszukańczych (...) walka z nadużyciami telekomunikacyjnymi i ograniczanie liczby oszukańczych SMS-ów, które wszyscy codziennie otrzymujemy, wejdzie na wyższy poziom – tłumaczył wicepremier, szef resortu cyfryzacji Krzysztof Gawkowski.
Nie jesteśmy czujni w sieci
Polacy niestety zbyt ufnie podchodzą do teleinformacji krążących w sieci i generowanych również przez AI w celu wyłudzeń. 43 proc. badanych uważa, że AI udziela informacji obiektywnych i zawsze zgodnie z prawdą - informują eksperci ChronPesel.pl. W zderzeniu z powszechnym jej wykorzystywaniem przez cyberprzestępców będzie to prowadziło do coraz częstszego padania ofiarą wyłudzeń - zauważają.
– Jednym z najprostszych zastosowań sztucznej inteligencji do wyłudzenia danych osobowych jest phishing, czyli wysyłanie e-maili podszywających się pod jakąś instytucję, w których jesteśmy proszeni o podanie danych osobowych, albo przekierowywani do fałszywych stron internetowych – ocenił Bartłomiej Drozd, z ChronPesel.pl.
Ekspert zwrócił uwagę, że "dotychczas można je było łatwo odróżnić, bo z reguły zawierały mnóstwo błędów gramatycznych czy ortograficznych. Wykorzystanie modeli językowych to eliminuje. Można AI nauczyć stosowania określonego stylu i zrobi to bezbłędnie".
NASK: liczba oszustw finansowych w internecie alarmująco rośnie
Naukowa i Akademicka Sieć Komputerowa ostrzega przed oszustami finansowymi i informuje, że liczba domen sfabrykowanych wzrosła w 2023 roku niemal czterokrotnie, a na listę ostrzeżeń wpisano ponad 32 tys. adresów stron.
Działający w strukturach NASK zespół CERT Polska poinformował, że przestępcy, by uwiarygodnić się w oczach potencjalnej ofiary, na preparowanych przez siebie stronach często prezentują fałszywe powiązania ze znanymi firmami, czy spółkami lub nielegalnie wykorzystują wizerunki znanych osób.
Podkreślił, że tylko w ciągu jednego tylko tygodnia w marcu 2024 roku, CERT Polska zablokował, aż 300 nowych stron wykorzystujących wizerunek Wojciecha Cejrowskiego, a od początku tego roku zidentyfikował blisko 14 tysięcy domen oferujących fałszywe inwestycje.
"Ten wzrost jest pochodną wielu okoliczności. Z jednej strony widzimy profesjonalizację grup przestępczych, które przypominają przedsiębiorstwa dążące do maksymalizacji zysku różnymi metodami. Z drugiej nasze działania wymuszają na nich coraz więcej pracy. Im szybciej i skuteczniej blokujemy fałszywe strony, tym więcej kolejnych muszą publikować przestępcy, aby zachować opłacalność" – zaznaczył Sebastian Kondraszuk, dyrektor CERT Polska, działającego w strukturach NASK zespołu reagującego na incydenty.
Zwrócił uwagę, że jeśli spotykamy się z podejrzanym ogłoszeniem, np. w wynikach wyszukiwania albo w postaci reklamy w mediach społecznościowych, to tylko od nas zależy, czy zgłosimy je na specjalnej stronie "Zgłoś incydent", prowadzonej przez CERT Polska.
Każde takie zgłoszenie jest następnie weryfikowane przez zespół analityków pracujących 24 godziny na dobę przez siedem dni w tygodniu i każde spotyka się z reakcją CERT Polska, a jeśli domena spełnia odpowiednie przesłanki, np. wyłudza dane, podszywa się pod znany podmiot, trafia na aktualizowaną co pięć minut listę ostrzeżeń. Na jej podstawie operatorzy telekomunikacyjni dobrowolnie blokują użytkownikom dostęp do groźnych treści lub oznaczają je jako niebezpieczne.
Według danych CERT w całym 2022 roku na listę ostrzeżeń trafiło ponad 8,5 tysiąca domen. W 2023 roku było ich niemal 4 razy więcej, bo ponad 32 tysiące.
"Przestępcy bezwzględnie wykorzystują podatność ofiar na socjotechnikę. Osaczają potencjalne ofiary, podchodząc je z różnych stron. Są elastyczni raz podają się za bankiera, raz za policjanta, a swoje przekazy wzmacniają wykorzystaniem najnowszych technologii, pozwalających na manipulację obrazem i dźwiękiem" – podkreślił Kondraszuk.
Sztuczna Inteligencja pomaga oszustom wykradać nasze pieniądze
W 2023 roku Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego Komisji Nadzoru Finansowego (CSIRT KNF) ostrzegał m.in. przed wprowadzającymi w błąd reklamami platform inwestycyjnych, w których podszywano się pod znane instytucje lub osoby, w tym polityków. W kwietniu 2023 r. oszuści najczęściej wykorzystywali wizerunek Baltic Pipe (30 proc.), PGNiG (26 proc.), Tesli (11 proc.), spółek Skarbu Państwa (4 proc.) i banków (3 proc.).
Eksperci przytaczają również, reklamy stworzone przy pomocy AI, które pojawiły się w 2023 roku. Prowadziły do oficjalnego sklepu Google Play. Zachęcano w nich do pobrania niebezpiecznej aplikacji, której instalacja pozwoliłaby przestępcom przejąć kontrolę nad komputerem czy smartfonem.
W ten sposób mogą oni uzyskać dostęp do znajdujących się na urządzeniu danych osobowych czy loginów i haseł do kont bankowych. Z kolei Naukowa i Akademicka Sieć Komputerowa (NASK) ostrzegała przed oszustami podszywającymi się pod Allegro, którzy wysyłali e-maile sugerujące otrzymanie od serwisu premii lojalnościowej.
Autorzy raportu przypominają, że cyberprzestępcy stosują również technikę deepfake, która przy użyciu sztucznej inteligencji umożliwia nie tylko stworzenie fałszywych filmów i obrazów, lecz także podszycie się pod członka najbliższej rodziny.
ChronPESEL.pl to serwis oferujący usługi, których głównym zadaniem jest zwiększenie ochrony przed wyłudzeniami lub ich skutkami.
