26/3/2024
Już niebawem połączenia przychodzące z numerów banków i SKOK-ów będą od razu blokowane. Nie będzie też już można dowolnie definiować nadpisu wiadomości SMS wysyłanych na polskie numery telefonów. To elementy wdrażania ustawy anty-spoofingowej, która ma utrudnić życie oszustom podszywającym się pod firmy i instytucje. Na jej pełne wdrożenie jednak jeszcze trochę poczekamy.
Powstała za późno, ale dobrze, że powstała
W Niebezpieczniku już kilka razy pisaliśmy o ustawie, która ma powstrzymać oszustwa bazujące na spoofingu telefonicznym i SMS-owym. Jest to Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej, która powstawała dość długo (od czerwca 2022) i nie bez problemów po drodze. Przyjęcie jej przez Sejm nastąpiło latem ubiegłego roku, ale dopiero wczoraj nastąpiło wejście ustawy w życie.
Jak to ma działać?
Przypomnijmy krótko w jaki sposób nowe przepisy mają zwalczyć spoofing.
- Ustawa wprowadza definicję smishingu oraz CLI Spoofingu. Przewiduje kary pieniężne dla przedsiębiorców, którzy dopuszczają się generowania sztucznego ruchu, smishingu, CLI spoofingu albo nieuprawnionej zmiany informacji adresowej.
- Telekomy mają aktywnie blokować CLI Spoofing.
- Na CSIRT NASK nałożono obowiązek monitorowania smishingu.
- CSIRT NASK ma prowadzić wykaz nadpisów podmiotów publicznych, czyli wykaz nazw, jakie w komunikacji będą mogły stosować podmioty publiczne (a także wykaz wariantów tych nazw).
- Wykaz nadpisów będzie współpracował z wykazem integratorów usług SMS, którym podmioty publiczne mogą zlecać wysyłanie SMS-ów. Telekomy mają blokować SMS-y zawierające nadpis ujęty w wykazie nadpisów, jeśli wiadomości nie zostaną wysłane przez odpowiedniego integratora.
- Podmiot inny publiczny nie może używać nazw kończących się wyrażeniem #RP.
- Przedsiębiorcy telekomunikacyjni będą mieli obowiązek blokować treści zgodne ze wzorcami smishingu wychwyconymi przez CSIRT NASK.
- Ustawa wprowadza wykaz numerów służących wyłącznie do odbierania połączeń głosowych. Telekomy będą miały obowiązek blokowania połączeń przychodzących z tych numerów, nie później niż 3 dni po umieszczeniu numeru w wykazie.
Rusza wykaz DNO
Od wczoraj telekomy mają obowiązek blokować wiadomości SMS zawierające fałszywe nadpisy (identyfikatory wiadomości SMS, czyli te nazwy “na górze”, oznaczające nadawcę wiadomości). Przykładem nadpisu, który będzie blokowany może być np. “e-US” używany przez Krajową Administrację Skarbową. Z niego korzystać będzie mógł tylko KAS.
Ruszył też wykaz numerów służących wyłącznie do odbierania połączeń głosowych. Bywa on także określany jako “wykaz DNO” od angielskiego Do Not Originate. Na numery w tym wykazie będzie można zadzwonić, ale nie będzie można z nich wykonać połączenia wychodzącego. Ma to ograniczyć możliwość podszywania się oszustów pod numery np. infolinii banków czy urzędów. Od dawna korzystali z tego przestępcy do okradania Polaków — poniżej przykład spoofowanej rozmowy z oszustem:
Jak poinformował UKE, od dziś (26 marca) można składać wnioski o wpis numeru do wykazu DNO. Wnioski mogą składać wyłącznie uprawnione instytucje, to których zaliczane są:
- banki,
- oddziały banków zagranicznych i instytucji kredytowych
- Krajowa Spółdzielcza Kasa Oszczędnościowo-Kredytowa oraz spółdzielcza kasa oszczędnościowo-kredytowa,
- firmy inwestycyjne (w rozumieniu ustawy o obrocie instrumentami finansowymi),
- fundusze inwestycyjne oraz towarzystwa funduszy inwestycyjnych,
- instytucje płatnicze,
- zakłady ubezpieczeń i reasekuracji,
- jednostki sektora finansów publicznych,
- telekomy w zakresie numerów wykorzystywanych przy obsłudze klietnów.
Wnioski o wpis do rejestru składa się elektronicznie. Gdyby ktoś koniecznie musiał wiedzieć jak to zrobić, może zdobyć niezbędne informacje na stronie BIP UKE. Sam wykaz DNO możecie znaleźć pod adresem numeracja.uke.gov.pl/pl/orvc_tables. Niestety dziś rano nie prezentuje się imponująco. Mamy nadzieję, że to się szybko zmieni.
Wykaz numerów w Rejestrze DNO. Stan na 26 marca 2024
Numery wpisane do wykazu będzie można z niego usunąć. Prezes UKE zrobi to “niezwłocznie” po otrzymaniu stosownego wniosku, ale nie później niż w ciągu 5 dni. Co dalej? Dopiero we wrześniu wejdą w życie obowiązki dotyczące zwalczania fałszywych połączeń głosowych przez przedsiębiorców telekomunikacyjnych. Do tego czasu trzeba wdrożyć rozwiązania służące identyfikacji fałszywego ruchu. Wcześniej powinien być wdrożony system Telegraf, który będzie służył przekazywaniu wzorców oszukańczych SMS-ów. Telekomy powinny podłączyć się do tego systemu do 16 kwietnia. Doceniamy postępy we wdrażaniu ustawy, ale o jednej rzeczy musimy przypomnieć.
Oszuści nie odpuszczą
Żadne przepisy nie ochronią nas całkowicie przed socjotechniką. Oszustwa SMS-owe i telefoniczne często dokonywane są bez spoofingu (coraz częściej przestępcy dzwonią ze zwykłych numerów telefonów komórkowych, ale wiarygodna “gadka” przekonuje ofiary, że są urzędnikami, policjantami lub pracownikami banków, którzy mieli ważny powód aby dzwonić z prywatnego numeru).
Dopasowanie scenariusza do sytuacji ofiary i wywołanie silnej reakcji emocjonalnej może być ważniejsze przy atakowaniu mniej technicznych obywateli, którzy nie zawsze przywiązują wagę do “jakichś nadpisów”. Socjotechnika z zasady nie celuje w słabości technologii czy prawa. Jej istotą jest wykorzystanie błędów człowieka, a tych niestety żadna ustawa nie zmieni. Zmienić może tylko edukacja, znajomość scenariuszy ataku i przygotowanie. Dlatego warto zapoznać się z listą aktualnych technik, jakimi cyberprzestępcy oszukują Polaków, a te pokazujemy tutaj.
Czas pokaże czy i w jaki sposób oszuści dostosują się do tej sytuacji, natomiast absolutnie konieczne jest utrzymanie czujności i edukowanie bo prawo wszystkiego za nas nie zrobi.
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Od jakiegoś czasu operatorzy umożliwiają wymianę kart SIM na karty eSIM. Często wymianę można przeprowadzić zdalnie.
Czy Niebezpiecznik ma sygnały o wykorzystaniu procedur zamiany zwykłych kart SIM na eSIM w atakach typu sim swap?
SIM swap groźniejszy niż kiedykolwiek. Nawet eSIM ci ukradną
https://www.telepolis.pl/wiadomosci/bezpieczenstwo/sim-swap-atak-esim-duplikat
Kilka razy korzystałem z duplikatu E-SIM / wymiany SIM na E-SIM w T-mobile i niestety robią wszystko żeby to było szybkie, proste, wygodne itd ale nie koniecznie bezpieczne
Niby wysyłają @ który jest zaszyfrowany hasłem wysyłanym SMS-em. Wszystko fajnie pięknie, ale wystarczy napisać że proszę wysłać to na @ xyz@gmail.com a hasło SMS na numer tel XYZ i bez problemu to wysyłali.
A jako “zabezpieczenie” przed wysłaniem duplikatu pytali o kwotę ostatniej faktury. Tutaj też byłoby wszystko fajnie pięknie, ale nie za każdym razem o to pytali. Wyglądało to tak jakby każdy konsultant robił to po swojemu :| Raz zapytają, raz nie. Tylko czy to jest jakieś zabezpieczenie ? Najpierw się z nimi łączysz pytasz na jaką kwotę wystawili fakturę, rozłączasz się, łączysz ponownie na czacie i trafiasz do innego konsultanta. Nawet jak zapytają o kwotę ostatniej faktury to odpowiedź już znasz. Zabezpieczenie żadne. Nie wiem przed czym to miało chronić.
Przy zwykłej SIM to przynajmniej w jakieś fałszywki dowodu osobistego oszust się musiał bawić, a teraz wystarczy kilku minutowa rozmowa na czacie…
Na to to jest rozwiązanie proste jak budowa cepa. Ustawowy nakaz weryfikacji klienta przez warstwę elektroniczną dowodu osobistego lub mDowód (kod QR i potwierdzenie).
@ Piotr
Dzięki za podzielenie się tymi informacjami.
@ Rafał
Na brak zdrowego rozsądku i brak troski o drugiego człowieka żadna ustawa nie pomoże.
Zastrzeżenie PESEL (które będzie w pełni działać od czerwca) ma blokować wymianę karty sim. Jak będzie w praktyce to pokaże czas.
Ten zastrzeżone nadpisy będą dotyczyć tylko instytucji publicznych czy również firm (np. Inpost, Amazon…)?
+1
Nie bardzo rozumiem działanie tego rejestru DNO.
Obecnie sytuacja wygląda tak: bank ma numer infolinii 123456789, na ten numer dzwoni klient, z tego numeru dzwoni bank, pod ten numer podszywa się oszust.
Po zmianie numer 123456789 będzie mógł być użyty tylko przez klienta do zadzwonienia do banku, więc bank będzie do klienta dzwonił z numeru np. 123456780. Oszust podszyje się pod numer 123456780. Wracamy do punktu wyjścia
Numer połączeń przychodzących z banku będzie tajny/losowy? To oszust też powie, że dzwoni z tajnego/losowego numeru banku.
Nie widzę sensu tej zmiany.
Mam wrażenie, że kupno podobnego numeru telefonu nie wystarczy. Sms z niego wysłany i nazwany “Bank XYZ” nie tylko nie dotrze do adresatów, ale jeszcze odbije się w Nasku, co spowoduje jego zablokowanie już u operatorów.
Złodziej będzie mógł nazwać “Bank XYZ Oddział 5”, ale te nazwy banki też mogą sobie pozastrzegać na zaś. Nie ma problemu, żeby bank zastrzegł kilkaset nadawców na jednym numerze wychodzącym.
@SeeM
Co innego SMSy, a co innego numery służące tylko do połączeń przychodzących.
Z tekstu (i wcześniejszych) nie wynika, że będzie możliwość zastrzeżenia przez bank numeru do połączeń wychodzących, więc dalej oszust będzie mógł dzwonić z tego samego numeru (spoofowanego), co bank.
Czyli moim zdaniem rejestr DNO nie ma za bardzo sensu.
@SeeM
Co innego SMSy, a co innego numery służące tylko do połączeń przychodzących.
Z tekstu (i wcześniejszych) nie wynika, że będzie możliwość zastrzeżenia przez bank numeru do połączeń wychodzących, więc dalej oszust będzie mógł dzwonić z tego samego numeru (spoofowanego), co bank.
Czyli moim zdaniem rejestr DNO nie ma za bardzo sensu.
A jak będą blokować te treści? Skanując treść KAŻDEJ wiadomości. Jak widać polaczkom to nie przeszkadza.
Bo nie tylko każdy SMS czy email jest skanowany przez służby, ale KAŻDE głosowe połączenie GSM nagrywane – wyszło to przy sprawie Michałka wrzuconego na zlecenie matki do Wisły, gdzie okazało się, że sąd odrzucił dowód z nagrania, bo nie było zgody na podsłuch, ale nagranie było, bo każde połączenie głosowe w Polin jest nagrywane. Nie stanowi to problemu, bo GSM samo usłużnie robi kompresję sygnału i nigdy głosowe nie przekracza 9600bps z abonenta, a to dla współczesnego sprzętu pikuś.
Za chwilę będą modne u nas takie przekręty: https://www.newyorker.com/science/annals-of-artificial-intelligence/the-terrifying-ai-scam-that-uses-your-loved-ones-voice
Żaden z tych opisywanych przez prasę incydentów nie przedstawił nigdy żadnego dowodu, aby można było niezależnie porównać glosy. Dopóki takiej próbki nie bedzie, należy traktować wszystkie tego typu historie jako relacje rozemocjonowanych ofiar, które nie są wiarygodne w takich sytuacjach. Emocje i stres wyłączają myślenie i zmieniają perspektywę, więc wierzę że im się mogło wydawać że to głos córki, ale jak było naprawdę, tego nie wiemy. Choć się domyślamy :)
Tak, technicznie to mozliwe, nie, ani jeden tego typu atak do tej pory nie został na razie wiarygodnie udokumentowany. Tego typu scamy funkcjonują od lat i bez problemu radzily sobie w czasach bez AI, no ale dziś AI modne, więc każdy chce je wszędzie za wszelką cenę wcisnąć.
Moim zdaniem wykorzystywanie AI voice cloning jest wystarczająco dobrze udokumentowane. Wystarczy popatrzeć jak tą technologię testują dziennikarze:
CNN reporter calls his parents using an AI deepfake voice. Watch what happens next
https://www.youtube.com/watch?v=tmFFd8fMqxk
Artificial Intelligence replicates familiar voices in latest phone scams
https://www.youtube.com/watch?v=jNCgiG0jEp4
1:15 – 2:07 “głos dziennikarki” skutecznie prosi koleżankę z pracy o możliwość skorzystania z jej karty kredytowej
AI can fool voice recognition used to verify identity by Centrelink and Australian tax office
https://www.theguardian.com/technology/2023/mar/16/voice-system-used-to-verify-identity-by-centrelink-can-be-fooled-by-ai
Lista oszustw w Kanadzie:
Artificial intelligence is upping the ante on scams
https://www.youtube.com/watch?v=eBTowUQbRjU
Do tego US Federal Trade Commission traktuje sprawę poważnie – w marcu 2023 FTC wydała oficjalne ostrzeżenie. Jest również FTC Voice Cloning Challenge.
Scammers use AI to enhance their family emergency schemes
https://consumer.ftc.gov/consumer-alerts/2023/03/scammers-use-ai-enhance-their-family-emergency-schemes
Preventing the Harms of AI-enabled Voice Cloning
https://www.ftc.gov/policy/advocacy-research/tech-at-ftc/2023/11/preventing-harms-ai-enabled-voice-cloning
The FTC Voice Cloning Challenge
https://www.ftc.gov/news-events/contests/ftc-voice-cloning-challenge
Ja przecież nie neguję tego, że klonowanie głosu jest możliwe. Zresztą wskazałem to w poprzednim komentarzu. Sam z takich narzędzi korzystam. Nie widziałem jednak ani jednego *wiarygodnie udokumentowanego* przykładu np. rozmowy głosem cudzej córki albo głosem prezesa.
Taki atak wymaga (poza próbką głosu), klonowania głosu w czasie rzeczywistym. To też jest możliwe, ale …niepotrzebne, aby kogoś oszukać.
Mam do czynienia z setkami ofiarami różnych fraudów miesięcznie. Jako osoby poszkodowane, często towarzyszy im wstyd, a ten z kolei jest powodem łapania się każdej możliwej deski ratunku. Ludzie, nie mogąc uwierzyć jak udało się ich oszukać, zapierają się że rozmawiali ze swoją córką (lub swoim prezesem). Albo że przed kliknięciem w link sprawdzili domenę i to była prawdziwa domena banku. Nie znam się na psychologii, więc nie wiem jaki błąd poznawczy tu działa. Ale działa. I mówię to z autopsji, bo choć pod córki się nie podszywamy w ramach testów penetracyjnych, to pod prezesów i domeny tak. I ja wiem że rozmawiali z nami i klikali w domeny z subtelnymi literówkami.
Ofiary po prostu inaczej pamiętają moment ataku niż w rzeczywistości on wyglądał. A jak stracą pieniądze, to zrozumiałe jest, że część z nich będzie chciała “przerzucić” winę z siebie na wiarygodny atak z AI, bo przecież w takiej sytuacji to każdy na miejscu ofiary by się nabrał na głos prezesa, prawda? PRAWDA!?
Ważne: Sytuację opisuje na dziś. Za rok może wyjść tanie i proste narzędzie do klonowania głosu realtime, wbudowane w workflow scamerow. Na razie takich narzędzi w modus operandi scamerow od metody “na wnuczka” nie widzimy. Sad (a właściwie to happy) but true.
Ja również nie słyszałem o atakach z użyciem klonowania głosu w Polsce.
Zgadzam się, że ofiary różnych oszustw często nie potrafią przyznać się do błędu i starają się przerzucić odpowiedzialność na coś/kogoś innego.
W każdym razie w USA i Kanadzie jest sporo doniesień o takich oszustwach i władze (np. FTC) traktują je poważnie.
Tematowi warto się przyglądać. Ale dziś jest zbyt duża pokusa w mediach, aby wypuszczać wszystko co ma “AI” w tytule. Ofiary też mają w tym swój interes (odpowiedzialność, ubezpieczenia). FTC i władze — dobrze, że się przyglądają. Powinny. Ale nie raz pchały w eter ostrzeżenia, które nie miały zbyt wielkiego sensu lub bazowały na nierzetelnych źródłach. Ostatnio FBI i juice jacking na przykład. U nas też się to zdarza — breloczki z trackerami rozdawane na stacjach benzynowych urosły już do legendy. Wykrywacze baterii laptopowych w bagażnikach samochodów typowanych do obrabowania też ;)
Rejestr DNO?
Jak rozumiem, operator ma blokować połączenia przychodzące z numerów tel umieszczonych w rejestrze DNO?
Ciekawi mnie wdrożenie lokalnie rejestrów i filtrów w sytuacji, kiedy np Orange czy Tmobile mają wewnętrzne łącza Voip ze swoimi spółkami w innych krajach.
Ciekawe, jak tam sobie założą filtry.
Z drugiej strony 90% użytkowników komórek nie wie, jak zablokować SMSy premium i inne usługi pozwalające okradać klientów.
Jedynym powszechnym sposobem jest telefon na kartę pre-paid, gdzie ładuję po 15 czy 30 zeta miesięcznie, na pakiet telefon i internet, wolnych środków mam tam nie więcej niż 10 zeta zazwyczaj.
Pozdro
Nadal brakuje ustawy o mozliwosci zablokowania wszelkich reklam w tym listy Robinsona. Liczba scamow dotyczacych roznych uslug jest porazajaca. Nie mowiac o SMSach na doplaty i inne takie…
Przy blokowaniu trafiłem na numer, którego nie mogłem zablokować. Wyrzucało informację, że numer ma niewłaściwy format czy coś w tym stylu. Jak dla mnie ten numer wygadał normalnie.
Trafił ktoś na podobny przypadek?
Wie ktoś, dlaczego tak było?
Link do BIP UKE do poprawy.
“Już niebawem połączenia przychodzące z numerów banków i SKOK-ów będą od razu blokowane.” … kiedy tak naprawde dzwoni ktos inny?
Bo zabronienie bankom i innym instytucjom komunikowania sie z klientami wydaje sie troche dziwne…
Oczywiście złodziejem z nagrania jest osoba narodowości ukraińskiej. Słychać to po sposobie wymawiania słów zawierających “cz”. Mówi “ci” zamiast “czy”, “bezpiecienstwa” zamiast “bezpieczeństwa”, “dlaciego” zamiast “dlaczego”, itp. Tak samo inaczej wymawia słowa “sytuacje” – jego sposób to “sytuacjyi”, a także przeciąga końcówki (np. w wyrazie “robot”).
Słyszałem, że Ukraińcy są “specjalistami” w takich oszustwach, ale właśnie przez ich błędną wymowę wiele osób szybko nabiera podejrzeń. I jak tu polubić osoby tej narodowości? Po prostu się nie da.
Oczywiście złodziejem z nagrania jest osoba narodowości ukraińskiej. Słychać to po sposobie wymawiania słów zawierających “cz”. Mówi “ci” zamiast “czy”, “bezpiecienstwa” zamiast “bezpieczeństwa”, “dlaciego” zamiast “dlaczego”, itp. Tak samo inaczej wymawia słowa “sytuacje” – jego sposób to “sytuacjyi”, a także przeciąga końcówki (np. w wyrazie “robot”).
Słyszałem, że Ukraińcy są “specjalistami” w takich oszustwach, ale właśnie przez ich błędną wymowę wiele osób szybko nabiera podejrzeń. I jak tu polubić osoby tej narodowości? Po prostu się nie da.
Dramat po prostu.
Według mnie powinno być tak samo jak z zabezpieczeniami emaili typu SPF i DKIM. Że jeżeli telefon dzwoni telekom ma sprawdzić poprzez wysłanie do telekoma tego co obsługuje numer czy to nie spoofing.