Nowa ustawa o zwalczaniu nadużyć w komunikacji elektronicznej. Czy spoofing i smishing ustaną?

Nowa ustawa o zwalczaniu nadużyć w komunikacji elektronicznej. Czy spoofing i smishing ustaną?

Katarzyna Wrembel, aplikant adwokacki

W związku z ustawicznym postępem technologicznym, jaki możemy zaobserwować w ostatnich latach, również przestępczość przeniosła się częściowo w sferę szeroko pojętej telekomunikacji. Obecnie coraz popularniejsze (w pejoratywnym tego słowa znaczeniu) stały się tzw. „oszustwa na bank” czy „oszustwa na kuriera”. Współcześni przestępcy wybierają coraz to bardziej wyrafinowane formy wyłudzania od nieświadomych osób środków pieniężnych lub danych osobowych, a konsekwencje tego są niejednokrotnie bardzo dotkliwe.

Wprowadzenie

Ofiarą oszustwa tego typu lub jego usiłowania może obecnie stać się każdy, co tylko potwierdza powagę zagrożenia. Tytułem przykładu – w ostatnim czasie sama zetknęłam się z osobą, która próbowała wyłudzić ode mnie dane osobowe oraz informacje o rachunku bankowym, podając się za pracownika banku. Telefonujący przedstawił się na początku rozmowy jako jego pracownik, informując mnie jednocześnie, że w moim imieniu został złożony wniosek kredytowy na kwotę 22.000 zł. Kontaktujący się ze mną mężczyzna znał moje imię i nazwisko, wiedział w jakim mieście mieszkam, a co najistotniejsze – wykonywał połączenie z dokładnie tego samego numeru, który jest podany na stronie banku.

Dostrzegając rosnący problem, a nadto realizując zobowiązanie wynikające z art. 97 ust. 2 Dyrektywy Parlamentu Europejskiego i Rady (UE) 2018/1972 z 11.12.2018 r. ustanawiającej Europejski kodeks łączności elektronicznej, ustawodawca podjął się uregulowania kwestii nadużyć w komunikacji elektronicznej na gruncie krajowym. Efektem powyższego stała się uchwalona kilka miesięcy temu ustawa z 28.7.2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej (u.z.n.k.e.), która weszła w życie w 25.9.2023 r.

Na marginesie, celem wyjaśnienia pojęcia „nadużycia w komunikacji elektronicznej”, wskazać należy jego dwa elementy – czynność stanowiącą nadużycie (korzystanie z usługi telekomunikacyjnej lub urządzeń telekomunikacyjnych niezgodnie z ich przeznaczeniem lub przepisami prawa) oraz cel lub skutek owej czynności, tj. wyrządzenie szkody przedsiębiorcy telekomunikacyjnemu lub użytkownikowi końcowemu (osobie korzystającej dla własnych potrzeb z usług telekomunikacyjnych), albo osiągnięcie nienależnych korzyści dla siebie lub innej osoby. 

W dużym uproszczeniu – u.z.n.k.e. nie tylko wyróżnia rodzaje nadużyć w komunikacji elektronicznej, lecz także określa prawa i obowiązki przedsiębiorców telekomunikacyjnych, kompetencje Prezesa Urzędu Komunikacji Elektronicznej (UKE), obowiązki dostawców poczty elektronicznej czy zasady przetwarzania informacji objętych tajemnicą telekomunikacyjną związane z zapobieganiem owym nadużyciom. Obowiązki te, jak również rola CSIRT NASK (Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego, działającego na poziomie krajowym w ramach NASK – Państwowego Instytutu Badawczego, tj. Naukowej i Akademickiej Sieci Komputerowej – której podstawą działania jest art. 2 pkt 3 ustawy z 5.7.2018 r. o krajowym systemie cyberbezpieczeństwa) stanowią materię na tyle obszerną, że zasługują na odrębne opracowanie.

Katalog nadużyć w komunikacji elektronicznej

Przechodząc do wspomnianych powyżej rodzajów zakazanych nadużyć w komunikacji elektronicznej, na podstawie art. 3 ust. 1 pkt 1-4 u.z.n.k.e. wyróżnić należy m.in.:

  1. generowanie sztucznego ruchu,
  2. smishing,
  3. CLI spoofing,  
  4. nieuprawnioną zmianę informacji adresowej.

Sztuczny ruch (Artificial Traffic Generation) polega na automatycznym inicjowaniu połączeń lub wysyłaniu komunikatów z jednego bądź wielu numerów na inne numery. Przykładem tego zjawiska są wielogodzinne połączenia pozbawione treści, służące ich zarejestrowaniu przez systemy rozliczeniowe. Ruchy te są natomiast generowane na masową skalę z ofert nielimitowanych, co skutkuje zwiększeniem płatności w rozliczeniach między operatorami. Ponadto, kolejnym z możliwych scenariuszy jest generowanie masowych ruchów poprzez wysyłanie międzynarodowych wiadomości SMS (płatnych wg wyższej stawki), możliwe dzięki włamaniu do nieodpowiednio zabezpieczonych urządzeń klientów lub urządzeń zaatakowanych przez malware. W czyim interesie są jednak tego typu działania? Otóż zyskuje na tym operator zagraniczny, wystawiający fakturę za połączenia międzynarodowe, jako ich odbiorca.

Smishing natomiast rozumiany jest jako wysyłanie wiadomości SMS, których nadawca podszywa się pod instytucje cieszące się powszechnym zaufaniem, np. przedsiębiorstwa branży energetycznej, firmę kurierską lub bank. Zasadniczo celem wysyłania tego typu wiadomości jest wprowadzenie odbiorcy w błąd w zakresie np. niedopłaty w ramach rachunku za prąd, gaz czy nieopłaconej przesyłki. Częstokroć w wiadomości zamieszczany jest link, po kliknięciu w który otwiera się strona internetowa łudząco podobna do witryny banku, jednak w rzeczywistości jest stroną fałszywą (przez stosowanie tzw. overlayingu), a oszust pozyskuje w ten sposób dane logowania do bankowości elektronicznej. Katalog zachowań wpisujących się w definicję smishingu pozostaje jednak otwarty – w przepisie art. 3 ust. 1 pkt 2 u.z.n.k.e. wyliczono bowiem jedynie przykłady działań, do których chcą nakłonić oszuści, tj. przekazanie danych osobowych, omawiane powyżej niekorzystne rozporządzenie mieniem, otwarcie strony internetowej czy instalacja złośliwego oprogramowania (np. FluBot czy Cerberus), z czego odbiorca nawet nie zdaje sobie sprawy.

CLI spoofing (Calling Line Identification spoofing lub Caller ID spoofing) rozumieć należy z kolei jako wykonywanie połączeń głosowych do odbiorcy z numeru, który na jego urządzeniu wyświetla się jako numer faktycznie przypisany np. do instytucji publicznych. Tytułem przykładu należy wskazać numery na infolinię banków, podawane na stronach internetowych. Z tego właśnie względu, CLI spoofing jest szczególnie niebezpieczny, ponieważ nawet odbiorca zachowujący podstawowe standardy ostrożności w komunikacji elektronicznej może „nabrać się” na kontakt ze strony oszusta podającego się za pracownika banku, który nadto wykonuje połączenie z dokładnie tego samego numeru. W rzeczywistości jednak oszust korzysta z internetowej bramki VoIP modyfikującej prezentację jego prezentację na urządzeniu. W katalogu celów stosowania CLI spoofingu przez sprawców jest wywołanie strachu lub poczucia zagrożenia u odbiorcy, nakłonienie go do określonego działania – przekazania danych osobowych, niekorzystnego rozporządzenia mieniem lub instalacji oprogramowania itp. Przywołaną we wstępie sytuację, w której sama stałam się niejako celem oszusta, z pełną stanowczością można zaliczyć właśnie do CLI spoofingu. O tym, jak radzić sobie w przypadku tego typu zagrożenia w dalszej części artykułu.

Ostatnim z wyodrębnionych przez ustawodawcę nadużyć w komunikacji elektronicznej jest nieuprawniona zmiana informacji adresowej, polegająca na niedozwolonym oddziaływaniu na urządzenia telekomunikacyjne i zmianie danych rejestrowych – tzw. „podmiana numeru”. Działanie to ma na celu wprowadzenie w błąd operatora telekomunikacyjnego, do którego określony ruch powinien trafić, a tym samym operator nie jest w stanie przedstawić w pełni prawdziwej informacji o rzeczywistej osobie kierującej połączenie na dany numer telefonu, np. nie jest w stanie ustalić sprawcy fałszywego zawiadomienia o zagrożeniu.

Jak skutecznie bronić się przed nadużyciami w komunikacji elektronicznej?

W związku z drastycznym wzrostem przestępczości w sferze komunikacji internetowej i telefonicznej, obecnie dużo mówi się o tym, jak uniknąć czyhającego zagrożenia. Do podstawowych środków ostrożności należy zaliczyć przede wszystkim niewchodzenie w linki nieznanego pochodzenia. Należy także podchodzić sceptycznie do wszelkich wiadomości SMS czy maili o niedopłatach, konieczności dokonania szybkiego przelewu lub rozpoczętej windykacji należności. W przypadku połączeń telefonicznych od rzekomych pracowników banków lub innych zaufanych instytucji, pod żadnym pozorem nie należy podawać danych osobowych, danych logowań, danych dotyczących rachunku bankowego czy informacji w jakim banku posiadane są inne rachunki.

Telefon wykonany przez obcą osobę, niemniej z numeru podanego na stronie zaufanego podmiotu, informujący o np. złożeniu wniosku kredytowego w naszym imieniu z całą pewnością może wzbudzić silne emocje. Nie należy jednak działać pochopnie – banki bowiem zasadniczo same nie dzwonią z tego typu wieściami. Najlepszym rozwiązaniem jest wówczas samodzielne wykonanie połączenia do banku lub innego podmiotu, nawiązując je bezpośrednio ze strony internetowej podmiotu, a tym samym upewnienie się, że przedstawione zdarzenie nie miało miejsca.

Należy pamiętać, że u.z.n.k.e. wprowadza także nowe typy czynów zabronionych, tj. art. 29 ustawy – odpowiedzialność karna za generowanie sztucznego ruchu, art. 30 – za smishing, art. 31 – za CLI spoofing oraz art. 32 – za niezgodną z prawem modyfikację informacji adresowej. Wszystkie wskazane przestępstwa w typie podstawowym są zagrożone karą pozbawienia wolności w wymiarze od 3 miesięcy do 5 lat (analogicznie do przestępstwa z art. 287 k.k. – oszustwa komputerowego). Mając to na uwadze, w przypadku doświadczenia któregokolwiek z ww. nadużyć, w pełni zasadne będzie zawiadomienie właściwych organów ścigania o podejrzeniu popełnienia przestępstwa.

Nadto, CERT (Computer Emergency Response Team), któremu powierzone zostały częściowo obowiązki CSIRT NASK, prowadzi stronę internetową https://incydent.cert.pl/#!/lang=pl , na której za pośrednictwem formularza można zgłosić incydent internetowy. CERT umożliwia także zgłoszenie podejrzanych wiadomości SMS, szczególnie zawierających potencjalnie niebezpieczne linki.

Perspektywy na przyszłość

Reasumując, nowa ustawa o zwalczaniu nadużyć w komunikacji elektronicznej stanowi odpowiedź na dostrzegalną od lat potrzebę uregulowania omawianej problematyki. Nadużycia w komunikacji elektronicznej oraz obowiązki spoczywające na przedsiębiorcach telekomunikacyjnych pozostają bowiem na styku prawa telekomunikacyjnego, cyberbezpieczeństwa oraz prawa karnego, co wymusiło tym samym uchwalenie odrębnej ustawy w tym przedmiocie.

Na aprobatę zasługuje na pewno usystematyzowanie najpowszechniejszych zagrożeń komunikacyjnych oraz wprowadzenie do ustawy nowych typów czynów zabronionych, a wraz z nimi surowego zagrożenia ustawowego. Czy jednak ustawa doprowadzi do zmniejszenia przestępczości w komunikacji elektronicznej? Zbyt wcześnie by wyrokować. Można jednak przewidywać, że wprowadzone obostrzenia na pewno utrudnią potencjalnym sprawcom przestępczą działalność.

Klikając „Akceptuję cookies”, zgadzasz się na przechowywanie plików cookie na swoim urządzeniu w celu usprawnienia nawigacji w witrynie, analizy korzystania z witryny i pomocy w naszych działaniach marketingowych.

Skip to content