Raport Specjalny | Bezpieczeństwo Banków | Ustawą w złodzieja tożsamości

„Był sobie jeleń, miał trochę siana. Raz SMS-a otrzymał z rana: Drogi kliencie, masz zaległości, a tutaj, proszę, link do płatności” – tak zaczyna się jedna z bajek, zamieszczanych przez Santander Bank Polska w mediach społecznościowych. Idąc śladem Ezopa, bank w każdej z historyjek ukazuje socjotechniczną sztuczkę, za pomocą której oszuści usiłują wyłudzić dane osobowe swej ofiary lub przejąć kontrolę nad jej rachunkiem bankowym. To cenny wkład w budowę społecznej świadomości zagrożeń, związanych z korzystaniem z gospodarki elektronicznej, jednak przestępcy wciąż zwiększają przewagę nad ofiarami, posługując się technologicznymi nowinkami.

Plagą ostatnich kwartałów stał się spoofing, czyli podszywanie się sprawców pod osoby lub instytucje zaufane dzięki wyświetlaniu u odbiorcy połączenia telefonicznego innego numeru niż ten, z którego połączenie jest realizowane. Podobną rolę w kryminalnej działalności już niebawem może zyskać deepfake. Aby chronić konsumentów przed wyrafinowanymi strategiami przestępczymi, potrzeba odpowiednich narzędzi prawnych. Ich stworzenie w ostatnim czasie zapowiedział rząd, efektem jest skierowany do Sejmu, w marcu br., projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej oraz procedowany aktualnie projekt ustawy o zmianie niektórych ustaw w związku z zapobieganiem kradzieży tożsamości.

Lista złośliwych domen awansuje do rangi obowiązującego prawa

Pierwszy z nich jest konsekwencją działań podjętych podczas pandemii, kiedy wskutek szybkiego przestawienia całej gospodarki w tryb zdalny szczególnego znaczenia nabrała potrzeba wzajemnego ostrzegania przed podmiotami, wykorzystującymi środki komunikacji elektronicznej w celu wyłudzania danych osobowych i dokonywania fraudów. 23 marca 2020 r. Państwowy Instytut Badawczy NASK wspólnie z operatorami telekomunikacyjnymi podjął decyzję o stworzeniu listy domen służących celom oszukańczym. „Lista przygotowywana przez CSIRT NASK na podstawie dobrowolnych zgłoszeń użytkowników internetu ma charakter jawny” – wyjaśniono w uzasadnieniu do projektu omawianej ustawy.

Jego twórcy podkreślają, iż umieszczenie danego adresu w rejestrze nie powoduje jego zablokowania, informacja ta jest jawna, co umożliwia administratorowi domeny wniesienie odwołania w przypadku bezzasadnego zgłoszenia. Projekt przewiduje nadanie inicjatywie NASK rangi ustawowej, z czym wiązać się będzie przeniesienie listy złośliwych domen do Urzędu Komunikacji Elektronicznej. Pozostałe zasady funkcjonowania rejestru, w tym dobrowolność dokonywania zgłoszeń oraz publiczne udostępnianie informacji, pozostaną bez zmian.

„Przygotowywana lista przestrzega wyłącznie przed »stronami internetowymi wyłudzającymi dane, w tym dane osobowe oraz doprowadzającymi użytkowników internetu do niekorzystnego rozporządzenia ich majątkiem«, a zatem w żadnym stopniu nie dotyczy ona chociażby stron z materiałami o charakterze politycznym czy dezinformacyjnym” – podkreślają twórcy projektu, uspokajając tych, którzy w inicjatywie dostrzegaliby zagrożenie dla wolności wypowiedzi.

Ważnym instrumentem z punktu widzenia sektora finansowego będzie kolejny rejestr, prowadzony przez UKE. Znajdą się w nim numery telefonów popularnych infolinii, w tym bankowych, spod których co do zasady nie powinny być realizowane połączenia wychodzące. Dziś to właśnie te numery stanowią dla przestępców jedną z popularniejszych form nadawania wiarygodności próbom oszukańczym.

Walka ze spoofingiem czy wylanie dziecka z kąpielą?

Dużo miejsca w rządowym przedłożeniu poświęcono zwalczaniu oszustw polegających na podszywaniu się pod podmioty i osoby trzecie z ...