Państwowy Instytut Badawczy NASK i Krajowa Izba Komunikacji Ethernetowej, reprezentującą środowisko lokalnych ISP poinformowały o podpisaniu porozumienia, która ma umożliwić skuteczniejsze zwalczanie procederu rozsyłania fałszywych wiadomości SMS, których celem jest nakłonienie odbiorcy do przekazania danych osobowych lub instalacji złośliwego oprogramowania.
Porozumienie ma na celu poprawę bezpieczeństwa użytkowników telefonii komórkowej poprzez ograniczenie zjawiska masowej wysyłki wiadomości SMS typu A2P (application-to-person, czyli rozsyłanych automatycznie przez specjalne narzędzia), które mają charakter phishingowy.
O powszechności zagrożenia, jakim są fałszywe SMS-y, których celem jest wyłudzenie wrażliwych danych odbiorcy (w tym zwłaszcza danych dostępowych do bankowości internetowej) lub skłonienie go do instalacji złośliwego oprogramowania, nie trzeba nikogo przekonywać – spotkał się z nim zapewne każdy użytkownik telefonii komórkowej w Polsce. Wiele osób przesyła takie podejrzane SMS-y na specjalny numer 799 448 084, zwiększając tym samym bezpieczeństwo swoje i innych. Dzięki takim zgłoszeniom zespołowi CERT Polska tylko w 2022 roku udało się zablokować niemal 21 milionów prób wejścia na fałszywe strony wyłudzające dane i uchronić znaczącą liczbę użytkowników przed popełnieniem (nieraz bardzo kosztownego) błędu!
W przypadku porozumienia z KIKE chodzi o podnoszenia poziomu bezpieczeństwa usług w komunikacji typu A2P. W szczególności dotyczy to zwalczania procederu osiągania korzyści majątkowej przez podszywanie się pod nadawcę wiadomości w celu nakłonienia jej odbiorcy do przekazania danych osobowych lub instalacji złośliwego oprogramowania (phishing). Ze strony Państwowego Instytutu Badawczego NASK podmiotem najbardziej zaangażowanym w realizację tego porozumienia będzie działający w jego strukturach zespół CERT Polska, natomiast KIKE występuje realnie w imieniu lokalnych operatorów telekomunikacyjnych z całej Polski, a także największych polskich integratorów komunikacji A2P.
W praktyce porozumienie polegać będzie na wdrożeniu dołączonego do niego „Kodeksu dobrych praktyk”, który przyjął formę wzorca zapisów umowy, udostępnianego nieodpłatnie do stosowania przez KIKE. Kodeks ten stanowi zbiór zasad postępowania w przedmiocie tworzenia, przesyłania i weryfikacji komunikatów A2P i rekomenduje m.in. następujące dobre praktyki:
- bieżącą weryfikację linków w treści komunikatów A2P,
- korzystanie z przygotowywanej regularnie przez CERT Polska listy ostrzeżeń, zawierającej adresy stron internetowych wykorzystywanych do działań cyberprzestępczych,
- blokowanie niezweryfikowanych lub weryfikowanie skróconych linków domen,
- należytą weryfikację wiarygodności klienta usług komunikacji A2P,
- współpracę z właściwymi organami w zwalczaniu cyberzagrożeń oraz ściganiu cyberprzestępców.
Podpisani pod porozumieniem integratorzy komunikacji A2P zobowiązują się również do:
- blokowania komunikatów A2P zawierających odwołania do takich domen występujących na liście ostrzeżeń,
- informowania NASK o innych domenach internetowych, wobec których stwierdzono podejrzenie wykorzystywania do działań cyberprzestępczych,
- informowania NASK o treści komunikatów, które mogą stanowić nowy wzorzec treści wykorzystywanej do działań cyberprzestępczych,
- korzystanie z wypracowanej w ten sposób bazy wzorców komunikatów A2P do blokowania niebezpiecznych wiadomości SMS.