Spoofing, smishing i inne nadużycia w komunikacji elektronicznej będą zwalczane

Spoofing, smishing, sztuczny ruch i nieuprawniona zmiana danych adresowych to podstawowe formy nadużyć w komunikacji elektronicznej, jakim ma przeciwdziałać projektowana ustawa. Biorąc pod uwagę postęp technologiczny, nie jest możliwe zidentyfikowanie wszystkich form nadużyć w komunikacji elektronicznej, przewidywany więc w ustawie katalog nadużyć jest otwarty.

Co to jest spoofing?

Spoofing, a właściwie CLI spoofing (od „calling line identification”) polega na nieuprawnionym posłużeniu się lub korzystaniu przez użytkownika (często przestępcę) wywołującego połączenie telefoniczne numerem wskazującym na inną osobę, po to, aby podszyć się pod tę osobę. Celem takiego działania może być m.in. wywołanie strachu, poczucia zagrożenia lub nakłonienie odbiorcy połączenia do określonego zachowania, zwłaszcza przekazania danych osobowych, niekorzystnego rozporządzenia mieniem lub instalacji oprogramowania.

Odbiorca połączenia telefonicznego zazwyczaj, dzięki powszechnemu stosowaniu usługi Caller ID,  widzi na wyświetlaczu swojego telefonu numer osoby dzwoniącej. Nie zawsze jednak jest to prawdziwy numer, z którego połączenie zostało zainicjowane. Obecne standardy funkcjonowania sieci telekomunikacyjnych nie przewidują mechanizmów, które umożliwiałyby uwierzytelnienie informacji o numerze osoby dzwoniącej. Oszuści zatem, korzystając z internetowych bramek VoIP mogą z łatwością podszyć się pod cudzy numer. 

Na ogół jest to numer należący do instytucji publicznej, który dostępny jest publicznie, np. w Internecie. Zdarza się jednak, że oszuści podszywają się pod osoby publiczne, żeby np. poprzez przekazanie fałszywej informacji o wypadku, chorobie czy śmierci zastraszyć członków ich rodzin. Możliwe są sytuacje odwrotne, w których podszywano się pod członka rodziny osoby publicznej, by wywołać w niej niepokój o bliskich.

Co to jest smishing?

Smishing zdefiniowano w projekcie w ten sposób, że jest to wysłanie choćby jednej krótkiej wiadomości tekstowej (SMS) w której nadawca podszywa się pod inny podmiot, aby nakłonić odbiorcę do konkretnego zachowania. Katalog tych zachowań jest otwarty – w projekcie wskazano przykładowe zachowania, takie jak przekazanie danych osobowych, niekorzystne rozporządzenie mieniem, otwarcie strony internetowej, inicjowanie połączenia głosowego, lub instalację oprogramowania.

Smishing jest często stosowany przez oszustów, którzy wysyłają SMS-y mające sprawiać wrażenie, że ich nadawcą jest zaufana instytucja, taka jak firma energetyczna, bank, firma kurierska itp., a których treść np. wzywa do uiszczenia płatności zaległej (np. za energię) bądź „dodatkowej” (np. za przesyłkę).

Takie SMS zawierają więc np. nazwę instytucji oraz zwykle link do strony internetowej spreparowanej przez przestępców, która ma do złudzenia przypominać autentyczną stronę firmy, pod którą oszuści się podszywają. Adres fałszywej strony może różnić się od prawdziwej w minimalny i trudny do zauważenia sposób, np. poprzez zastosowanie znaków interpunkcyjnych czy znaków diakrytycznych niewystępujących w języku polskim. Taka fałszywa strona może zaś przekierowywać ofiarę na stronę udającą stroną banku, która służy przestępcom do pozyskania od ofiary danych niezbędnych do logowania do bankowości elektronicznej. 

Co to jest sztuczny ruch?

Sztuczny ruch (Artificial Traffic Generating) polega na tym, że automatycznie inicjowane są połączenia z jednego lub wielu numerów na inny numer bądź numery. Są to często wielogodzinne połączenia, które nie niosą za sobą żadnej treści – tak naprawdę nie służą do komunikowania się, tylko zarejestrowaniu przez systemy rozliczeniowe. 

Jest wiele scenariuszy sztucznego ruchu. Na przykład ruch głosowy lub SMS-owy jest masowo generowany z ofert nielimitowanych, co powoduje zwiększenie płatności w rozliczeniach międzyoperatorskich. Przychód z usług nielimitowanych nie jest w stanie pokryć znacznie zwiększonych kosztów za zakańczanie połączeń (stawki są za każdą minutę połączenia). Korzysta na tym oczywiście operator, w którego sieci jest zakańczane połączenie – przedsiębiorca u którego było inicjowane połączenie mające charakter sztucznego ruchu musi zapłacić fakturę za zakończenie połączenia. 

Jako inny przykład sztucznego ruchu można wskazać sytuację, w której ruch jest generowany masowo w wyniku włamania do urządzeń klienckich, które nie były wystarczająco zabezpieczone lub były zainfekowane złośliwym oprogramowaniem na kierunki o podwyższonej opłacie (w tym na kierunki międzynarodowe, które zgodnie z cennikiem są wysokopłatne). Poszkodowany jest klient, do którego się włamano i operator, bo najczęściej operator w rozliczeniach międzyoperatorskich musi zapłacić za połączenia. W takiej sytuacji zyskuje operator zagraniczny, który ostatecznie wystawia fakturę za połączenia.

Sztuczny ruch może narażać operatorów na straty od kilku do kilkudziesięciu milionów złotych rocznie. Zjawisko to również negatywnie wpływa na użytkowników końcowych – wskutek działań oszustów zmniejsza się przepustowość sieci telekomunikacyjnych. 

Co to jest nieuprawniona zmiana informacji adresowej?

Nieuprawniona zmiana informacji adresowej polega na niedozwolonym oddziaływaniu na urządzenia telekomunikacyjne i zmianę danych rejestrowych, np. połączenia międzynarodowego wywołującego (numeru A) oraz takim kierowaniu ruchu telekomunikacyjnego z/do innych sieci telekomunikacyjnych lub za pośrednictwem sieci operatorów, aby zgubić źródło ruchu i zakończyć połączenie po stawkach krajowych. Zasadniczym celem podmiany numeru jest wprowadzenie systemów operatora, do którego powinien trafić ruch w błąd co do źródła ruchu. Utrudnia to ustalenie sprawcy przestępstw dokonanych przy użyciu urządzeń telekomunikacyjnych, np. fałszywych alarmów bombowych.