Do 5 lat więzienia ma grozić osobie, która - podszywając się pod kogoś innego - będzie próbowała wyłudzić nasze dane lub zmusić nas do kliknięcia w niebezpieczny link w e-mailu lub SMS-ie. Takie są założenia ustawy o zwalczaniu nadużyć w komunikacji elektronicznej, którą dzisiaj przyjął rząd.
Zgodnie z nowymi przepisami, operatorzy będą musieli blokować SMS-y wyłudzające dane i połączenia głosowe, których celem jest podszywanie się pod inną osobę lub instytucję - wyjaśnił pełnomocnik rządu ds. cyberbezpieczeństwa Janusz Cieszyński.
Dodał, że wielokrotnie do rządu docierały informacje o próbach wyłudzania danych przez oszustów podających się za kurierów, pracowników banku, Biura Informacji Kredytowej czy innej instytucji. W ostatnim czasie mieliśmy również do czynienia z kampanią phishingową, w której cyberprzestępcy wykorzystują formułę e-recepty i podszywają się pod Ministerstwo Zdrowia - zaznaczył Cieszyński.
Nowe przepisy mają uderzyć w przestępców stosujących smishing, czyli wysyłających fałszywe SMS-y pochodzące rzekomo od kurierów, banków czy instytucji publicznych, zawierające np. link do strony zachęcającej do podania danych osobowych czy przelania środków finansowych. Mają przeciwdziałać także spoofingowi - podszywaniu się pod numer telefonu zaufanej instytucji czy innej osoby i próbom zastraszenia, wyłudzenia pieniędzy lub danych osobowych.
Projekt przewiduje, że zespół CSIRT NASK będzie monitorował występowanie smishingu i przekazywał przedsiębiorcom telekomunikacyjnym wzorce wiadomości, wyczerpującej znamiona tego przestępstwa. Prezes Urzędu Komunikacji Elektronicznej ma prowadzić wykaz numerów służących wyłącznie do odbierania połączeń głosowych. To ograniczy możliwość podszywania się oszustów pod numery infolinii urzędów czy innych podmiotów.
Przedsiębiorcy telekomunikacyjni będą zobowiązani do przeciwdziałania nadużyciom w komunikacji elektronicznej. Chodzi m.in. o blokowanie SMS-ów, które zawierają treści wyczerpujące znamiona smishingu (zgodne ze wzorcem wiadomości przekazanym przez CSIRT NASK - CSIRT oznacza w j. angielskim "Computer Security Incident Response Team", czyli "Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego", a NASK - Naukowa i Akademicka Sieć Komputerowa) oraz blokowanie połączeń głosowych, których celem jest podszywanie się pod inną osobę lub instytucję.
Projekt nakłada również nowe obowiązki na dostawców poczty elektronicznej dla co najmniej 500 tys. użytkowników lub podmiotów publicznych. Od dnia wejścia nowych przepisów będą oni musieli stosować mechanizmy uwierzytelnienia SPF/DKIM/DMARC.
