Spoofing będzie mniej groźny?

Spoofing, czyli możliwość wyświetlania u odbiorcy połączenia telefonicznego innego numery niż ten, z którego połączenie jest realizowane stanowi jedną z ulubionych socjotechnik stosowanych przez cyberprzestępców.

Podszycie się przez sprawców pod członka rodziny, funkcjonariuszy publicznych (urzędnika skarbowego, komornika sądowego) czy też instytucję finansową skutecznie usypia czujność rozmówcy, zwłaszcza starszego, który pomimo wiedzy na temat klasycznych oszustw dokonywanych metodą „na wnuczka” czy „na policjanta” może nie mieć świadomości, jak skutecznie sprawcy mogą naśladować zaufane osoby.

W tym kontekście spoofing stanowi jedną z tych technologii, które istotnie ułatwiają sieciowym złodziejom przejmowanie kontroli nad rachunkiem bankowym swych ofiar, zaciąganie na ich konto pożyczek i kredytów czy też wyłudzenie w inny sposób środków pieniężnych.

Spoofing to nie zawsze oszustwo

Niepokojące doniesienia o kolejnych przypadkach osób oszukanych z użyciem spoofingu skłoniły regulatorów do wprowadzenia istotnych ograniczeń korzystania z tej metody.

– Blokowanie połączenia głosowego powinno być stosowane, kiedy prawdopodobieństwo, że dochodzi do CLI spoofingu jest bardzo wysokie lub wysokie. W pozostałych przypadkach przedsiębiorca telekomunikacyjny powinien ukryć identyfikację numeru wywołującego dla użytkownika końcowego. Ukrycie identyfikacji numeru wywołującego oznacza w praktyce, że odbiorcy wyświetli się, że dzwoni do niego nieznany numer, a nie np. informacja, że dzwoni osoba bliska, której numer jest wpisany na liście kontaktów – czytamy w uzasadnieniu do projektu ustawy o zwalczaniu nadużyć w komunikacji elektronicznej.

Przewiduje on możliwość blokowania połączeń, lub ukrycie identyfikacji numeru przez operatora w sytuacji, gdy pojawi się podejrzenie podszywania się pod cudzy numer. Rzecz w tym, że podejście takie może być zbyt restrykcyjne, bowiem – jak wskazał podczas lutowej konferencji prasowej ZBP wiceprezes Związku Banków Polskich, dr Tadeusz Białek – spoofing używany jest nie tylko po ciemnej stronie mocy.

Z możliwości tej korzystają m.in. prawdziwi pracownicy call center, którzy łącząc się ze swymi klientami potrzebują, by wyświetlał się im ten sam znany i rozpoznawalny numer, niezależnie od tego, który z doradców i spod jakiego numeru aktualnie realizuje połączenie.

Po pierwsze wymiana informacji

Dlatego sektor bankowy, akceptując co do zasady kierunek przyjęty przez rząd, zwraca uwagę na potrzebę równoległego wprowadzania innych mechanizmów, w tym w szczególności zapewnienia na gruncie prawnym możliwości skutecznej wymiany informacji pomiędzy branżą bankową a telekomunikacyjną.

– Niestety, w tym przypadku brakuje stosownych regulacji, które przełamałyby bariery w przepływie informacji między tymi sektorami, dzięki czemu bylibyśmy w stanie szybko przeciwdziałać zagrożeniom. Rozwiązania, zaproponowane w projekcie są oczywiście bardzo przydatne, niemniej nie rozwiązują tego problemu w całości – zauważył wiceprezes ZBP.

Dodał on również, iż na rynku funkcjonuje wiele narzędzi technologicznych, także stosowanych przez sektor finansowy, które pozwalają skutecznie ograniczać przypadki podszywania się pod cudzy numer, zwłaszcza w odniesieniu do prób kierowanych z central umiejscowionych w państwach byłego bloku wschodniego.

Rzecz w tym, że kluczowe znaczenie ma udostępnianie informacji o zagrożeniach, i bez wykorzystania takich mechanizmów trudno o osiągnięcie satysfakcjonujących rezultatów.

– Rozwiązania techniczne i technologiczne są oczywiście ważne, ale one w całości tego problemu nam nie rozwiążą – dodał dr Białek.