O mnie Moje standardy Książka Blog Video Blog
Menu
O mnie Kontakt

Czy to koniec telefonicznych oszustów? (film, 17m)

podszywanie się cybersecurity telekom fraud bezpieczeństwo Komunikacja Spam regulacja bezpieczeństwo wideo

Mateusz Chrobok w swoim najnowszym materiale porusza ważny i aktualny temat spoofingu, czyli nielegalnego podszywania się pod cudze numery telefonów. W dobie cyfryzacji zjawisko to staje się coraz bardziej powszechne i zagrażające bezpieczeństwu finansowemu obywateli. Mateusz podkreśla, że liczby są alarmujące: tylko w jednym kwartale zeszłego roku odnotowano ponad dwa tysiące prób oszustw na sumę przekraczającą 50 milionów złotych. W obliczu tak dużych zagrożeń, każdy może stać się ofiarą i utracić oszczędności całego życia. Warto zwrócić uwagę na to, że spoofing nie jest jedynie drobnym żartem, lecz poważnym przestępstwem stosowanym w praktyce przez cyberprzestępców, którzy nie mają litości dla swoich ofiar.

W kontekście walki z tym zjawiskiem, Mateusz przytacza działania polskich regulatorów i operatorów telekomunikacyjnych. W lutym tego roku Urząd Komunikacji Elektronicznej podpisał przełomowe porozumienie z wieloma operatorami, którego celem jest ograniczenie możliwości podszywania się pod cudze numery telefonów oraz walka z oszustwami SMS. Mateusz jasno określa, że wprowadzenie nowych rozwiązań jest nie tylko pozytywne, ale też potrzebne, zwłaszcza w obliczu tak rosnącego zagrożenia. Zainicjowane rozwiązania opierają się na filtrowaniu SMS-ów, co nawiązuje do podobnych praktyk stosowanych w emailach, gdzie wiadomości niebezpieczne są odrzucane przed dotarciem do użytkownika.

Warto zwrócić uwagę na nowe procedury, które mają na celu zapobieganie spoofingowi. Przykładem jest pomysł wprowadzenia listy numerów, które nie powinny inicjować połączeń wychodzących, co ma na celu blokowanie nieautoryzowanych prób oszustw. Mateusz wyjaśnia, jak ważne jest, aby organizacje, takie jak banki, zgłaszały numery, z których nie powinny nawiązywać kontaktu z klientami. Dzięki temu operatorzy telefonii komórkowej będą mogli szybko rozpoznać potencjalne zagrożenia i zablokować podejrzane połączenia, co jest ogromnym krokiem w kierunku poprawy bezpieczeństwa użytkowników.

Mateusz odnosi się również do nowego projektu, nazwanego "bezpieczną zatoką". Jest to pierwszy taki projekt na świecie, który ma umożliwić wymianę informacji między operatorami telekomunikacyjnymi w celu zwalczania spoofingu. Dzięki temu operatorzy będą mogli weryfikować, czy połączenie przychodzące naprawdę pochodzi z zarejestrowanego numeru. Choć szczegóły tego projektu są ściśle strzeżone, to jest to krok w dobrą stronę i oznacza, że Polska staje się liderem w walce z tymi zagrożeniami. Mateusz zaznacza, że to rozwiązanie ma duży potencjał, choć jeszcze wiele pozostaje do zrobienia, aby skutecznie chronić użytkowników przed nowymi rodzajami oszustw.

Na zakończenie Mateusz zachęca widzów do pozostawania czujnym i nie podejmowania pochopnych decyzji. Ostatnie statystyki dotyczące video wskazują na 106145 wyświetleń oraz 4435 polubień, co pokazuje wysokie zainteresowanie tematem i potrzebę dyskusji o bezpieczeństwie w sieci. Podczas gdy nowe rozwiązania prawdopodobnie pomogą zmniejszyć liczbę oszustw, każdy użytkownik powinien podejmować środki ostrożności i korzystać z bezpieczniejszych form komunikacji, aby chronić siebie przed potencjalnymi zagrożeniami w przyszłości.

Toggle timeline summary

  • 00:00 Wprowadzenie do spoofingu i jego wpływu na numery telefoniczne.
  • 00:10 Rosnące niebezpieczeństwo spoofingu, zwłaszcza wobec banków.
  • 00:22 Statystyki podkreślające skalę prób spoofingu.
  • 00:46 Dyskusja na temat nieuchronności spoofingu jako codziennego zagrożenia.
  • 01:16 Wyjaśnienie, czym jest spoofing telefoniczny w prostych słowach.
  • 01:44 Zrozumienie, jak łatwo jest komuś zmylić numer telefonu.
  • 02:26 Przełomowe porozumienie podpisane przez głównych operatorów telekomunikacyjnych w Polsce.
  • 02:49 Celem porozumienia jest ograniczenie spoofingu i związanych z nim oszustw.
  • 03:29 Wprowadzenie filtracji SMS-ów w celu zwalczania oszustw.
  • 04:25 Uznanie ograniczeń bezpieczeństwa SMS.
  • 04:59 Wyzwania związane z identyfikacją połączeń spoofowanych w porównaniu do legalnych.
  • 05:51 Dyskusja na temat organizacji zarządzających weryfikacją połączeń.
  • 07:00 Plany blokowania numerów, z których połączenia nie powinny pochodzić.
  • 09:43 Opis, w jaki sposób projekt safe harbor ma na celu poprawę weryfikacji połączeń.
  • 11:15 Protokoły dotyczące obsługi połączeń, które mogą wiązać się z spoofingiem.
  • 12:22 Zachęta do zgłaszania prób oszustwa władzom.
  • 14:30 Porady dotyczące obsługi podejrzanych wiadomości.
  • 15:21 Podkreślenie znaczenia pozostania czujnym wobec oszustw.
  • 16:00 Wykorzystanie aplikacji filtrujących do rozpoznawania oszukańczych połączeń.
  • 16:12 Podsumowanie i podziękowanie za uwagę widzów.

Transcription

Cześć! O spoofingu, czyli nielegalnym podszywaniu się pod cudze numery telefonu, jest co jakiś czas głośno w mediach. Szczególnie, kiedy ofiarą takiego procederu padnie ktoś znany. Ale to nie tylko głupie dowcipy, bo zdecydowanie bardziej niebezpieczne są połączenia podszywające się pod bańki. Skala tego zjawiska jest ogromna, choć ciężko tu o jakieś obiektywne statystyki. Znalazłem jednak informację, że tylko w jednym kwartale zeszłego roku odnotowano ponad dwa tysiące prób takich telefonicznych włóżeń na kwotę przekraczającą 50 milionów złotych. Nie mówimy więc o drobnych, a to jedynie potwierdzone przypadki. Niestety, jeżeli ktoś połknie haczyk, to najczęściej skończy się to dla niego utratą oszczędności całego życia. Czy takie przestępstwa stały się już zwyczajnie elementem codziennego krajobrazu, z którym nic nie można zrobić? I po prostu to my sami musimy być stale niesamowicie czujni? Na pewno nie zaszkodzi, ale z pomocą spieszą też regulatorzy, którzy postanowili rozwiązać ten problem za nas. No, przynajmniej częściowo. O co chodzi? O bezpieczną zatokę. Zapraszam. Jeżeli nie wiesz, czym jest spoofing numeru telefonu, to krótkie przypomnienie tak jednym zdaniem. Chodzi o to, że zadzwonienie do mnie czy do ciebie w taki sposób, aby na ekranie telefonu wyświetliła się informacja, że połączenie pochodzi z banku, z policji czy od twojej mamy jest naprawdę bardzo proste. Może nie dziecinnie, ale dla wprawionego cyberprzestępcy nie stanowi to większego trudu. W sumie nie trzeba być nawet przestępcą, a wystarczy mieć trochę pojęcia o technologii, aby dogrzebać się do instrukcji krok po kroku jak to zrobić. O spoofingu popełniłem już zresztą kiedyś obszerny materiał, więc jeżeli chcesz dowiedzieć się więcej albo po prostu odświeżyć wiedzę, zachęcam do nadrobienia, link znajdziesz na karcie w rogu ekranu. A teraz do brzegu, skoro będzie o zatoce. No bo jeżeli zagrożenie jest spore, a atak przeprowadzić łatwo, to warto byłoby coś z tym w końcu zrobić. I to nie jest tak, że nie próbowano. Po prostu konieczność zachowania wstecznej kompatybilności z systemami telefonii na całym świecie naprawdę znacznie komplikowała sprawę. Wydawało się, że stoimy w martwym punkcie, a sytuacja jest bez wyjścia. Pojawiło się jednak światełko w tunelu. Na początku roku nasz Urząd Komunikacji Elektronicznej podpisał historyczne porozumienie ze wszystkimi czterema dużymi operatorami telefonii komórkowej w Polsce. W jakiej sprawie? Ano chodzi o ograniczenie możliwości podszywania się pod cudze numery telefonów, jak i zwalczanie przesyłania SMS-ów, poprzez które ktoś chce nas oszukać. To tak naprawdę dość kompleksowe rozwiązanie, w dodatku zbudowane w porozumieniu z tymi, którzy będą je musieli finalnie wdrażać, wziąć za nie odpowiedzialność i ponieść ich koszty. Mówię tu o telekomach. Te przystąpiły do rozmów dobrowolnie, co tym bardziej warto pochwalić, kiedy jesteśmy przyzwyczajeni do robienia w naszym kraju wielu rzeczy po łebkach bez jakichkolwiek konsultacji. Co więc zawiera podpisane porozumienie? Pierwszym już od wiosny działającym elementem całego systemu jest możliwość filtrowania SMS-ów. Działa to na bardzo podobnej zasadzie, jak w przypadku naszej poczty elektronicznej. Kiedy otrzymujemy jakąś wiadomość, w której ktoś próbuje nas oszukać, np. mówi o dopłaceniu złotóweczki do wysłanej nam paczki, bo ta inaczej nie dojdzie, to możemy go przesłać na numer 8080. Tam zespół CERT Polska analizuje trwające kampanie cyberprzestępcze i zbiera je do kupy, aby na ich podstawie stworzyć odpowiednie wzorce, słowniki czy listy, zwał jak zwał. Nomenklatura nie jest tu istotna. Najważniejsze, że efekty tych prac przekazywane są później do operatorów telefonii komórkowej i stosowane do filtrowania przesyłanej korespondencji. I słyszę już, jak podnosi się raban, że nie ma zgody na czytanie SMS-ów, co z prywatnością, skandal itd. Zgadzam się, ale warto też mieć świadomość, że SMS-y z bezpieczeństwem nie mają i w sumie nigdy nie miały niczego wspólnego. Niestety protokół wykorzystywany do ich przesyłania nie nadaje się do bezpiecznej komunikacji. Skoro więc i tak w sumie operator może je bez problemu czytać i to robi, a nawet przechowuje te wiadomości na swoich serwerach, to niech chociaż wykorzysta tę możliwość w jakimś dobrym celu. Chcesz komunikować się bezpiecznie? Nie korzystaj z SMS-ów, a wybierz inne rozwiązanie, np. Signala. No i wszystko spoko. Ale tutaj pojawia się pewne istotne pytanie. Z SMS-ami w sumie łatwo się walczy. Można je ignorować albo prowadzić ich filtrowanie nie tylko po stronie operatora, ale też w aplikacji do ich odczytywania. Jednak co zrobić, kiedy dzwoni bank i na bank wiemy, że to nie bank? O ile ignorowanie SMS-ów jest dość proste, o tyle kiedy widzimy, że dzwoni do nas bank, to ciężko nie odebrać. Zresztą bank to tylko jeden z licznych przykładów. Możemy choćby zobaczyć połączenie przychodzące od policji czy czegoś przerażającego, np. urzędu skarbowego. Problem występuje też w drugą stronę. Ktoś może podszyć się pod nas, żeby np. zadzwonić na policję i przyznać się w naszym imieniu do popełnienia jakiegoś przestępstwa. Co oznaczać będzie dla nas dość szybką i sprawną wizytę smutnych panów z pytaniami, gdzie zakopaliśmy zwłoki. Jak więc potencjalnie zmniejszyć ilość takich zagrożeń? A no tutaj warto pójść wielotorowo. Zagrozań są listy dno, czyli do not originate. W dużym skrócie chodzi o to, że organizacje, pod które często podszywają się przestępcy, znów najlepszym przykładem będą tu infolinie różnych banków, mogą zgłosić do urzędu komunikację elektronicznej numery, z których nie wykonuje się połączeń wychodzących. Bo prawdziwa infolinia banku do nas nie dzwoni, nie ma takiej potrzeby. Cyberprzestępcy bazują po prostu na tym, że numery takie mamy zapisane w swoich książkach telefonicznych. Stąd, kiedy pod taki numer się podszyją i do nas za jego pośrednictwem zadzwonią, to na ekranie automatycznie wyświetli nam się, że to właśnie bank dzwoni. To podświadomie podnosi poziom zaufania u ofiary takiego ataku, która nie zadaje często żadnych dodatkowych pytań, bo to przecież telefon z banku. Jak więc ktoś mógłby w ogóle próbować ją okłamać? Mówi on już tylko o krok do nawinięcia makaronu na uszy, że trzeba szybko wykonać jakiś przelew, bo przecież straci wszystkie swoje pieniądze i cyk, dzieje się dokładnie to, czyli nieodwracalnie je traci. Kiedy jednak taki numer infolinii trafi na listę dno, to nasz operator, widząc po stronie swojej centrali telefonicznej, że połączenie przychodzi właśnie z takiego numeru, od razu je zablokuje, nie zadając nawet żadnych dodatkowych pytań, bo te w tym miejscu są po prostu zbędne. Jest to oczywista próba oszustwa. Świetne rozwiązanie, prawda? Działa ono już zresztą, również od wiosny, a od jesieni telekomy będą miały nie tylko możliwość, ale też obowiązek takich blokad. No i wszystko super, ale to nadal rozwiązuje problem jedynie częściowo, bo i ja, i pewnie ty, chcemy wykorzystywać swój telefon również do inicjowania połączeń, stąd wpis na listę dno nie jest dla nas. Zresztą możliwość ta jest dostępna jedynie dla podmiotów biznesowych, a nie dla każdego Pawła czy innego Janka. A więc nadal ktoś może podać się za nas i zgłosić służbom, że na lotnisku jest bomba, a my z tego tytułu będziemy potem mieć nieprzyjemności. Na szczęście tu na ratunek spieszy nam wspomniane już porozumienie z lutego, które ma odpowiedzieć na to zagrożenie. To właśnie ta mityczna, bezpieczna zatoka, bo tak właśnie nazwano ten projekt. I tu ciekawostka. To zobowiązanie wynika w prostej linii z przyjętej ponad rok temu ustawy o zwalczaniu nadużyć w komunikacji elektronicznej, a konkretniej z jej dziewiętnastego artykułu. Pozwala on operatorom na wymienianie się informacjami objętymi tajemnicą telekomunikacyjną do celów zwalczania np. spoofingu właśnie, ale też innych przestępstw telekomunikacyjnych. Ustawa jest dość ogólnikowa, ale może to i lepiej. Dzięki temu techniczne szczegóły można ustalać pomiędzy zainteresowanymi podmiotami, w tym z Urzędem Komunikacji Elektronicznej i szybko reagować na zmiany na rynku, nie czekając na zmiany w legislacji, które mogą trwać latami. Bezpieczna zatoka jest pierwszym tego typu projektem na świecie i jest się więc czym chwalić. A więc jak to działa? Cóż, niestety nie do końca wiemy, bo z tym chwaleniem się jest pewien problem. Postanowiono nie dzielić się publicznie technicznymi szczegółami, aby przestępcy mieli nieco trudniej rozwiązać rebus. Cóż, rozumiem, ale tego jednego elementu akurat nie pochwalam. Bezpieczeństwo nie powinno wynikać z nieujawniania szczegółów, a z dobrego technicznie rozwiązania i jego dalszej implementacji. Niestety jednak w przypadku tak leciwych rozwiązań, jakim jest telefonia komórkowa, po prostu może to nie być możliwe. Stąd zacisnę zęby i przymknę oko w tym przypadku. Co więc wiemy? Bezpieczna zatoka ma pozwolić na weryfikację, czy połączenie przychodzące do danej sieci identyfikuje się na pewno swoim własnym numerem czy jakimś innym. Operatorzy dostają prawdą możliwość, z jakimi informacjami legalnie się wymieniać. Jeżeli ktoś będzie próbował dokonać spoofingu, połączenie albo zostanie automatycznie odrzucone, albo też numer, którym się przedstawia, w ogóle nie zostanie przekazany dalej i zobaczymy na wyświetlaczu, że dzwoni do nas numer nieznany. A to już powinno automatycznie wyostrzać naszą czujność. Czy każdy może zasumować w bezpiecznej zatoce? Niby tak, ale trochę nie. Nie, w sumie to nie do końca. Rozwiązanie to przeznaczone jest dla operatorów telekomunikacyjnych, świadczących swoje usługi dla przynajmniej 50 tys. klientów. Mniejszym rzuczkom udostępniono w lipcu publicznie pakiet rekomendacji odpowiednich do wdrożenia w ich skali. To świetna wiadomość, bo dokument ten musi być przecież spójny z rozwiązaniami stojącymi za bezpieczną zatoką, aby operatorzy mogli operować na wspólnym rynku. Dowiemy się więc z niego co nieco więcej o technikaliach. To na operatorze telekomunikacyjnym ciąży odpowiedzialność za to, żeby połączenia wychodzące z jego sieci pochodziły rzeczywiście z numeru, który jest danemu klientowi przypisany. Co ważne, nie mogą one pochodzić spoza granic naszego kraju, z wyjątkiem sytuacji, gdzie klient ten znajduje się w roamingu międzynarodowym. Czy operatorzy w ogóle mają to wiedzieć? Nie jest to jakaś wybitna tajemnica. Telekom sprawdza choćby, czy w ogóle abonent ten ma włączoną usługę roamingu, a następnie weryfikuje, czy z niej aktualnie korzysta. Jeżeli odpowiedź na którekolwiek z tych pytań brzmi nie, połączenie jest odrzucane automatycznie. Jeżeli tylko istnieje podejrzenie spoofingu, ale nie ma co do tego pewności, tak aby odbiorca widział komunikat, że dzwoni nieznany numer. Podobnie, jeżeli ktoś dzwoni z numeru identyfikowanego jako polski numer stacjonarny, jednak połączenie przychodzi z zagranicy, bo zdecydowana większość usług umożliwiających spoofing ma swoje siedziby poza naszym krajem. Wycinając tę część połączeń, automatycznie odrzucamy pewnie ponad 90% zagrożeń. Rekomenduje się też blokowanie połączeń wyglądających jakby pochodziły z numerów alarmowych, numerów 0700, 0800 i innych, znanych z tego, że same nie dzwonią. Zaleca się też zgłaszanie prób spoofingu wprost do UKE oraz przygotowywanie okresowych raportów w zakresie liczby wszystkich dziennych połączeń z uwzględnieniem osobno tych, gdzie ukrywano numer oraz takich, co do których istniało podejrzenie, W szczególności dotyczy to tranzytu połączeń międzynarodowych. To bardzo dobry kierunek, bo pozwala na agregowanie sporej ilości danych statystycznych, na podstawie których pomysł będzie mógł się dalej rozwijać. W ramach Urzędu Komunikacji Elektronicznej powstało też Centrum Reputacyjne Komunikacji Elektronicznej służące do wypracowywania wspólnych rozwiązań wraz z podmiotami telekomunikacyjnymi, których te rozwiązania mają dotyczyć. To ich pierwszy i, mam nadzieję, nie ostatni sukces. Fajnie tak, marchewką, a nie tylko kijem. Czy jesteśmy więc jakimś ewenementem na skalę światową w kwestii tak unikalnych rozwiązań? Trochę tak, ale inni nie pozostają daleko w tyle. Podobne rozwiązania wdraża też u siebie właśnie Szwecja, publikując je jednak nieco szerzej i rekomendując telekomom z całego świata odpowiednie filtrowanie połączeń, które, cóż, że ze Szwecji, właśnie pochodzą. Np. odrzucanie kombinacji numerów, które nie są w ogóle nadane w ich planie numeracji. Co robić i jak żyć? Jeżeli to tylko możliwe, nie korzystaj z SMS-ów. Są zdecydowanie lepsze sposoby komunikacji z rodziną czy znajomymi. Najlepiej bezpieczne komunikatory. Przejście na takie rozwiązania powinno oznaczać, że nie wierzymy w aplikacji i domyślnie nie ufamy niczemu, co w nich przeczytamy. Dotyczy to również przesyłania jednorazowych kodów autoryzacyjnych, bo numer telefonu da się ukraść. Jeżeli tylko usługa daje taką możliwość, zrezygnuj z SMS-ów na rzecz innego sposobu uwierzytelniania, np. generatora kodów jednorazowych czy potwierdzania aplikacją. Dostałeś jakiegoś SMS-a, który podejrzewasz, że chce wyłudzić twoje pieniądze albo wprowadzić cię w błąd? Prześlij go dalej na numer 8080, tylko nie zmieniaj niczego w jego treści. Trafi on do zespołu CertPolska, gdzie zostanie zweryfikowany oraz użyty, aby chronić innych. Dla ciebie to kilka kliknięć, a możesz uratować tak kogoś mniej świadomego technologicznie i podatnego na takie manipulacje. Daj też znać w komentarzu, czy zauważyłeś od wiosny spadek w ilości prób wyłudzeń przesyłanych przez SMS-y i telefonów z infolinii banków. Sprawdźmy wspólnie, czy bezpieczna zatoka zaczyna spełniać swoje zadanie. A, no i najważniejsze. To, że ktoś chce nam pomóc, abyśmy nie byli tak podatni na oszustwa, nie oznacza, że zwalnia nas to z myślenia. To nadal najlepszy sposób radzenia sobie z przestępcami. Dlatego jeszcze raz do znudzenia. Nie działaj pospiesznie i nie pozwól wywoływać w sobie poczucia, że musisz zrobić coś. Już. Teraz. Natychmiast. Bo inaczej zawali się cały świat. To podstawowa technika stosowana przez przestępców, którzy w ten sposób chcą zmanipulować Cię, abyś podjął szybko decyzję. Decyzję, która może Cię sporo kosztować. Dlatego nie pozwól na to, wejść głęboki wdech, uspokój się i powiedz, że oddzwonisz. Pomóc mogą Ci w tym aplikacje do filtrowania połączeń instalowane bezpośrednio na telefonie. Opierają się one na reputacji, gdzie każdy może ocenić, czy dzwoni jakiś złodziej, spamer czy inna infolinia. O nich też zrobiłem kiedyś odcinek, więc zachęcam do nadrobienia, jeżeli jeszcze go nie widziałeś. I to już wszystko na dziś. Tymczasem dziękuję za Waszą uwagę i do zobaczenia. Napisy stworzone przez społeczność Amara.org

106145
https://youtu.be/-pLn-Ii3Dmk Opublikowano 2024-08-16