About me My standards Book Blog Video Blog
Menu
About me Kontakt

Is this the end of phone fraudsters? (film, 17m)

spoofing cybersecurity telecom fraud safety Communication Spam regulation security video

In his latest video, Mateusz Chrobok discusses a critical and contemporary issue known as spoofing, which is the illegal impersonation of someone else's phone number. In this digital age, this phenomenon is becoming increasingly common and poses significant risks to citizens' financial security. Mateusz emphasizes alarming statistics: in just one quarter of the previous year, over two thousand attempts at fraud were recorded, amounting to more than 50 million PLN. With such substantial threats, anyone can become a victim, losing their life savings. It's important to recognize that spoofing is not just a petty joke but a serious crime being actively used by cybercriminals who show no mercy towards their victims.

In the context of combating this issue, Mateusz highlights the actions taken by Polish regulators and telecom operators. Earlier this year, the Office of Electronic Communications signed a groundbreaking agreement with several telecommunications operators aimed at reducing the ability to impersonate other individuals' phone numbers and combatting fraudulent SMS messages. Mateusz clearly states that implementing these new measures is not only positive but necessary, especially against the backdrop of such growing risks. The initiated solutions involve filtering SMS messages in a manner similar to email practices, where dangerous messages are blocked before reaching the user.

It's worthwhile to note the new procedures designed to prevent spoofing. For instance, the introduction of a list of numbers that should not initiate outgoing calls aims to block unauthorized attempts at fraud. Mateusz explains how crucial it is for organizations, like banks, to report numbers that should never contact clients. This way, telecom operators can quickly recognize potential threats and block suspicious calls, which is a significant step towards improving user safety.

Mateusz also mentions the new project called the "safe harbor." This is the first project of its kind globally which allows telecom operators to exchange information for fighting spoofing. As a result, operators will be able to verify whether an incoming call genuinely originates from a registered number. Although the details of this initiative are tightly guarded, it represents a step in the right direction and indicates that Poland is becoming a leader in combating these threats. Mateusz notes that while this solution has great potential, much work still remains to effectively protect users against new types of fraud.

In conclusion, Mateusz urges viewers to stay vigilant and not make hasty decisions. Current statistics regarding the video show it has garnered 106,145 views and 4,435 likes, reflecting a high interest in the topic and the need for discussion about online security. While new solutions may help reduce fraud levels, every user should exercise caution and utilize safer communication forms to protect themselves from potential threats in the future.

Toggle timeline summary

  • 00:00 Introduction to spoofing and its impact on phone numbers.
  • 00:10 The rising danger of spoofing, especially against banks.
  • 00:22 Statistics highlighting the scale of spoofing attempts.
  • 00:46 Discussion on the inevitability of spoofing as a daily threat.
  • 01:16 Explanation of what phone spoofing is in simple terms.
  • 01:44 Understanding the ease with which someone can spoof a phone number.
  • 02:26 A breakthrough agreement signed by major telecom operators in Poland.
  • 02:49 The aim of the agreement is to limit spoofing and related scams.
  • 03:29 Introduction of SMS filtering to combat fraud.
  • 04:25 Acknowledgment of the limitations of SMS security.
  • 04:59 The challenges of identifying spoofed calls versus legitimate ones.
  • 05:51 Discussion on organizations managing call verification.
  • 07:00 Plans to block numbers from which calls should not originate.
  • 09:43 Description of how the safe harbor project aims to enhance call verification.
  • 11:15 Protocols for handling calls that may involve spoofing.
  • 12:22 Encouragement to report attempted scams to authorities.
  • 14:30 Advice on how to handle suspicious messages.
  • 15:21 Emphasis on the importance of remaining vigilant against scams.
  • 16:00 Utilization of filtering apps to discern fraudulent calls.
  • 16:12 Concluding remarks and thanks for viewer attention.

Transcription

Cześć! O spoofingu, czyli nielegalnym podszywaniu się pod cudze numery telefonu, jest co jakiś czas głośno w mediach. Szczególnie, kiedy ofiarą takiego procederu padnie ktoś znany. Ale to nie tylko głupie dowcipy, bo zdecydowanie bardziej niebezpieczne są połączenia podszywające się pod bańki. Skala tego zjawiska jest ogromna, choć ciężko tu o jakieś obiektywne statystyki. Znalazłem jednak informację, że tylko w jednym kwartale zeszłego roku odnotowano ponad dwa tysiące prób takich telefonicznych włóżeń na kwotę przekraczającą 50 milionów złotych. Nie mówimy więc o drobnych, a to jedynie potwierdzone przypadki. Niestety, jeżeli ktoś połknie haczyk, to najczęściej skończy się to dla niego utratą oszczędności całego życia. Czy takie przestępstwa stały się już zwyczajnie elementem codziennego krajobrazu, z którym nic nie można zrobić? I po prostu to my sami musimy być stale niesamowicie czujni? Na pewno nie zaszkodzi, ale z pomocą spieszą też regulatorzy, którzy postanowili rozwiązać ten problem za nas. No, przynajmniej częściowo. O co chodzi? O bezpieczną zatokę. Zapraszam. Jeżeli nie wiesz, czym jest spoofing numeru telefonu, to krótkie przypomnienie tak jednym zdaniem. Chodzi o to, że zadzwonienie do mnie czy do ciebie w taki sposób, aby na ekranie telefonu wyświetliła się informacja, że połączenie pochodzi z banku, z policji czy od twojej mamy jest naprawdę bardzo proste. Może nie dziecinnie, ale dla wprawionego cyberprzestępcy nie stanowi to większego trudu. W sumie nie trzeba być nawet przestępcą, a wystarczy mieć trochę pojęcia o technologii, aby dogrzebać się do instrukcji krok po kroku jak to zrobić. O spoofingu popełniłem już zresztą kiedyś obszerny materiał, więc jeżeli chcesz dowiedzieć się więcej albo po prostu odświeżyć wiedzę, zachęcam do nadrobienia, link znajdziesz na karcie w rogu ekranu. A teraz do brzegu, skoro będzie o zatoce. No bo jeżeli zagrożenie jest spore, a atak przeprowadzić łatwo, to warto byłoby coś z tym w końcu zrobić. I to nie jest tak, że nie próbowano. Po prostu konieczność zachowania wstecznej kompatybilności z systemami telefonii na całym świecie naprawdę znacznie komplikowała sprawę. Wydawało się, że stoimy w martwym punkcie, a sytuacja jest bez wyjścia. Pojawiło się jednak światełko w tunelu. Na początku roku nasz Urząd Komunikacji Elektronicznej podpisał historyczne porozumienie ze wszystkimi czterema dużymi operatorami telefonii komórkowej w Polsce. W jakiej sprawie? Ano chodzi o ograniczenie możliwości podszywania się pod cudze numery telefonów, jak i zwalczanie przesyłania SMS-ów, poprzez które ktoś chce nas oszukać. To tak naprawdę dość kompleksowe rozwiązanie, w dodatku zbudowane w porozumieniu z tymi, którzy będą je musieli finalnie wdrażać, wziąć za nie odpowiedzialność i ponieść ich koszty. Mówię tu o telekomach. Te przystąpiły do rozmów dobrowolnie, co tym bardziej warto pochwalić, kiedy jesteśmy przyzwyczajeni do robienia w naszym kraju wielu rzeczy po łebkach bez jakichkolwiek konsultacji. Co więc zawiera podpisane porozumienie? Pierwszym już od wiosny działającym elementem całego systemu jest możliwość filtrowania SMS-ów. Działa to na bardzo podobnej zasadzie, jak w przypadku naszej poczty elektronicznej. Kiedy otrzymujemy jakąś wiadomość, w której ktoś próbuje nas oszukać, np. mówi o dopłaceniu złotóweczki do wysłanej nam paczki, bo ta inaczej nie dojdzie, to możemy go przesłać na numer 8080. Tam zespół CERT Polska analizuje trwające kampanie cyberprzestępcze i zbiera je do kupy, aby na ich podstawie stworzyć odpowiednie wzorce, słowniki czy listy, zwał jak zwał. Nomenklatura nie jest tu istotna. Najważniejsze, że efekty tych prac przekazywane są później do operatorów telefonii komórkowej i stosowane do filtrowania przesyłanej korespondencji. I słyszę już, jak podnosi się raban, że nie ma zgody na czytanie SMS-ów, co z prywatnością, skandal itd. Zgadzam się, ale warto też mieć świadomość, że SMS-y z bezpieczeństwem nie mają i w sumie nigdy nie miały niczego wspólnego. Niestety protokół wykorzystywany do ich przesyłania nie nadaje się do bezpiecznej komunikacji. Skoro więc i tak w sumie operator może je bez problemu czytać i to robi, a nawet przechowuje te wiadomości na swoich serwerach, to niech chociaż wykorzysta tę możliwość w jakimś dobrym celu. Chcesz komunikować się bezpiecznie? Nie korzystaj z SMS-ów, a wybierz inne rozwiązanie, np. Signala. No i wszystko spoko. Ale tutaj pojawia się pewne istotne pytanie. Z SMS-ami w sumie łatwo się walczy. Można je ignorować albo prowadzić ich filtrowanie nie tylko po stronie operatora, ale też w aplikacji do ich odczytywania. Jednak co zrobić, kiedy dzwoni bank i na bank wiemy, że to nie bank? O ile ignorowanie SMS-ów jest dość proste, o tyle kiedy widzimy, że dzwoni do nas bank, to ciężko nie odebrać. Zresztą bank to tylko jeden z licznych przykładów. Możemy choćby zobaczyć połączenie przychodzące od policji czy czegoś przerażającego, np. urzędu skarbowego. Problem występuje też w drugą stronę. Ktoś może podszyć się pod nas, żeby np. zadzwonić na policję i przyznać się w naszym imieniu do popełnienia jakiegoś przestępstwa. Co oznaczać będzie dla nas dość szybką i sprawną wizytę smutnych panów z pytaniami, gdzie zakopaliśmy zwłoki. Jak więc potencjalnie zmniejszyć ilość takich zagrożeń? A no tutaj warto pójść wielotorowo. Zagrozań są listy dno, czyli do not originate. W dużym skrócie chodzi o to, że organizacje, pod które często podszywają się przestępcy, znów najlepszym przykładem będą tu infolinie różnych banków, mogą zgłosić do urzędu komunikację elektronicznej numery, z których nie wykonuje się połączeń wychodzących. Bo prawdziwa infolinia banku do nas nie dzwoni, nie ma takiej potrzeby. Cyberprzestępcy bazują po prostu na tym, że numery takie mamy zapisane w swoich książkach telefonicznych. Stąd, kiedy pod taki numer się podszyją i do nas za jego pośrednictwem zadzwonią, to na ekranie automatycznie wyświetli nam się, że to właśnie bank dzwoni. To podświadomie podnosi poziom zaufania u ofiary takiego ataku, która nie zadaje często żadnych dodatkowych pytań, bo to przecież telefon z banku. Jak więc ktoś mógłby w ogóle próbować ją okłamać? Mówi on już tylko o krok do nawinięcia makaronu na uszy, że trzeba szybko wykonać jakiś przelew, bo przecież straci wszystkie swoje pieniądze i cyk, dzieje się dokładnie to, czyli nieodwracalnie je traci. Kiedy jednak taki numer infolinii trafi na listę dno, to nasz operator, widząc po stronie swojej centrali telefonicznej, że połączenie przychodzi właśnie z takiego numeru, od razu je zablokuje, nie zadając nawet żadnych dodatkowych pytań, bo te w tym miejscu są po prostu zbędne. Jest to oczywista próba oszustwa. Świetne rozwiązanie, prawda? Działa ono już zresztą, również od wiosny, a od jesieni telekomy będą miały nie tylko możliwość, ale też obowiązek takich blokad. No i wszystko super, ale to nadal rozwiązuje problem jedynie częściowo, bo i ja, i pewnie ty, chcemy wykorzystywać swój telefon również do inicjowania połączeń, stąd wpis na listę dno nie jest dla nas. Zresztą możliwość ta jest dostępna jedynie dla podmiotów biznesowych, a nie dla każdego Pawła czy innego Janka. A więc nadal ktoś może podać się za nas i zgłosić służbom, że na lotnisku jest bomba, a my z tego tytułu będziemy potem mieć nieprzyjemności. Na szczęście tu na ratunek spieszy nam wspomniane już porozumienie z lutego, które ma odpowiedzieć na to zagrożenie. To właśnie ta mityczna, bezpieczna zatoka, bo tak właśnie nazwano ten projekt. I tu ciekawostka. To zobowiązanie wynika w prostej linii z przyjętej ponad rok temu ustawy o zwalczaniu nadużyć w komunikacji elektronicznej, a konkretniej z jej dziewiętnastego artykułu. Pozwala on operatorom na wymienianie się informacjami objętymi tajemnicą telekomunikacyjną do celów zwalczania np. spoofingu właśnie, ale też innych przestępstw telekomunikacyjnych. Ustawa jest dość ogólnikowa, ale może to i lepiej. Dzięki temu techniczne szczegóły można ustalać pomiędzy zainteresowanymi podmiotami, w tym z Urzędem Komunikacji Elektronicznej i szybko reagować na zmiany na rynku, nie czekając na zmiany w legislacji, które mogą trwać latami. Bezpieczna zatoka jest pierwszym tego typu projektem na świecie i jest się więc czym chwalić. A więc jak to działa? Cóż, niestety nie do końca wiemy, bo z tym chwaleniem się jest pewien problem. Postanowiono nie dzielić się publicznie technicznymi szczegółami, aby przestępcy mieli nieco trudniej rozwiązać rebus. Cóż, rozumiem, ale tego jednego elementu akurat nie pochwalam. Bezpieczeństwo nie powinno wynikać z nieujawniania szczegółów, a z dobrego technicznie rozwiązania i jego dalszej implementacji. Niestety jednak w przypadku tak leciwych rozwiązań, jakim jest telefonia komórkowa, po prostu może to nie być możliwe. Stąd zacisnę zęby i przymknę oko w tym przypadku. Co więc wiemy? Bezpieczna zatoka ma pozwolić na weryfikację, czy połączenie przychodzące do danej sieci identyfikuje się na pewno swoim własnym numerem czy jakimś innym. Operatorzy dostają prawdą możliwość, z jakimi informacjami legalnie się wymieniać. Jeżeli ktoś będzie próbował dokonać spoofingu, połączenie albo zostanie automatycznie odrzucone, albo też numer, którym się przedstawia, w ogóle nie zostanie przekazany dalej i zobaczymy na wyświetlaczu, że dzwoni do nas numer nieznany. A to już powinno automatycznie wyostrzać naszą czujność. Czy każdy może zasumować w bezpiecznej zatoce? Niby tak, ale trochę nie. Nie, w sumie to nie do końca. Rozwiązanie to przeznaczone jest dla operatorów telekomunikacyjnych, świadczących swoje usługi dla przynajmniej 50 tys. klientów. Mniejszym rzuczkom udostępniono w lipcu publicznie pakiet rekomendacji odpowiednich do wdrożenia w ich skali. To świetna wiadomość, bo dokument ten musi być przecież spójny z rozwiązaniami stojącymi za bezpieczną zatoką, aby operatorzy mogli operować na wspólnym rynku. Dowiemy się więc z niego co nieco więcej o technikaliach. To na operatorze telekomunikacyjnym ciąży odpowiedzialność za to, żeby połączenia wychodzące z jego sieci pochodziły rzeczywiście z numeru, który jest danemu klientowi przypisany. Co ważne, nie mogą one pochodzić spoza granic naszego kraju, z wyjątkiem sytuacji, gdzie klient ten znajduje się w roamingu międzynarodowym. Czy operatorzy w ogóle mają to wiedzieć? Nie jest to jakaś wybitna tajemnica. Telekom sprawdza choćby, czy w ogóle abonent ten ma włączoną usługę roamingu, a następnie weryfikuje, czy z niej aktualnie korzysta. Jeżeli odpowiedź na którekolwiek z tych pytań brzmi nie, połączenie jest odrzucane automatycznie. Jeżeli tylko istnieje podejrzenie spoofingu, ale nie ma co do tego pewności, tak aby odbiorca widział komunikat, że dzwoni nieznany numer. Podobnie, jeżeli ktoś dzwoni z numeru identyfikowanego jako polski numer stacjonarny, jednak połączenie przychodzi z zagranicy, bo zdecydowana większość usług umożliwiających spoofing ma swoje siedziby poza naszym krajem. Wycinając tę część połączeń, automatycznie odrzucamy pewnie ponad 90% zagrożeń. Rekomenduje się też blokowanie połączeń wyglądających jakby pochodziły z numerów alarmowych, numerów 0700, 0800 i innych, znanych z tego, że same nie dzwonią. Zaleca się też zgłaszanie prób spoofingu wprost do UKE oraz przygotowywanie okresowych raportów w zakresie liczby wszystkich dziennych połączeń z uwzględnieniem osobno tych, gdzie ukrywano numer oraz takich, co do których istniało podejrzenie, W szczególności dotyczy to tranzytu połączeń międzynarodowych. To bardzo dobry kierunek, bo pozwala na agregowanie sporej ilości danych statystycznych, na podstawie których pomysł będzie mógł się dalej rozwijać. W ramach Urzędu Komunikacji Elektronicznej powstało też Centrum Reputacyjne Komunikacji Elektronicznej służące do wypracowywania wspólnych rozwiązań wraz z podmiotami telekomunikacyjnymi, których te rozwiązania mają dotyczyć. To ich pierwszy i, mam nadzieję, nie ostatni sukces. Fajnie tak, marchewką, a nie tylko kijem. Czy jesteśmy więc jakimś ewenementem na skalę światową w kwestii tak unikalnych rozwiązań? Trochę tak, ale inni nie pozostają daleko w tyle. Podobne rozwiązania wdraża też u siebie właśnie Szwecja, publikując je jednak nieco szerzej i rekomendując telekomom z całego świata odpowiednie filtrowanie połączeń, które, cóż, że ze Szwecji, właśnie pochodzą. Np. odrzucanie kombinacji numerów, które nie są w ogóle nadane w ich planie numeracji. Co robić i jak żyć? Jeżeli to tylko możliwe, nie korzystaj z SMS-ów. Są zdecydowanie lepsze sposoby komunikacji z rodziną czy znajomymi. Najlepiej bezpieczne komunikatory. Przejście na takie rozwiązania powinno oznaczać, że nie wierzymy w aplikacji i domyślnie nie ufamy niczemu, co w nich przeczytamy. Dotyczy to również przesyłania jednorazowych kodów autoryzacyjnych, bo numer telefonu da się ukraść. Jeżeli tylko usługa daje taką możliwość, zrezygnuj z SMS-ów na rzecz innego sposobu uwierzytelniania, np. generatora kodów jednorazowych czy potwierdzania aplikacją. Dostałeś jakiegoś SMS-a, który podejrzewasz, że chce wyłudzić twoje pieniądze albo wprowadzić cię w błąd? Prześlij go dalej na numer 8080, tylko nie zmieniaj niczego w jego treści. Trafi on do zespołu CertPolska, gdzie zostanie zweryfikowany oraz użyty, aby chronić innych. Dla ciebie to kilka kliknięć, a możesz uratować tak kogoś mniej świadomego technologicznie i podatnego na takie manipulacje. Daj też znać w komentarzu, czy zauważyłeś od wiosny spadek w ilości prób wyłudzeń przesyłanych przez SMS-y i telefonów z infolinii banków. Sprawdźmy wspólnie, czy bezpieczna zatoka zaczyna spełniać swoje zadanie. A, no i najważniejsze. To, że ktoś chce nam pomóc, abyśmy nie byli tak podatni na oszustwa, nie oznacza, że zwalnia nas to z myślenia. To nadal najlepszy sposób radzenia sobie z przestępcami. Dlatego jeszcze raz do znudzenia. Nie działaj pospiesznie i nie pozwól wywoływać w sobie poczucia, że musisz zrobić coś. Już. Teraz. Natychmiast. Bo inaczej zawali się cały świat. To podstawowa technika stosowana przez przestępców, którzy w ten sposób chcą zmanipulować Cię, abyś podjął szybko decyzję. Decyzję, która może Cię sporo kosztować. Dlatego nie pozwól na to, wejść głęboki wdech, uspokój się i powiedz, że oddzwonisz. Pomóc mogą Ci w tym aplikacje do filtrowania połączeń instalowane bezpośrednio na telefonie. Opierają się one na reputacji, gdzie każdy może ocenić, czy dzwoni jakiś złodziej, spamer czy inna infolinia. O nich też zrobiłem kiedyś odcinek, więc zachęcam do nadrobienia, jeżeli jeszcze go nie widziałeś. I to już wszystko na dziś. Tymczasem dziękuję za Waszą uwagę i do zobaczenia. Napisy stworzone przez społeczność Amara.org

106145
https://youtu.be/-pLn-Ii3Dmk Published at 2024-08-16