Ile razy ktoś z nas miał telefon „z banku”, bo ktoś właśnie zrobił duży przelew z naszego konta i trzeba podać swoje dane do logowania na konto? I to jeszcze z numeru naszego banku? To jest właśnie nadużycie telekomunikacyjne zwane CLI spoofingiem i to w swojej najgroźniejszej formie.
W skrócie spoofing polega na podmienieniu w połączeniu telefonicznym numer wywołujący oszusta na numer telefonu innej osoby lub instytucji w celu przekonania rozmówcy, że rozmawia z członkiem rodziny, znajomym lub legalną firmą (najczęściej finansową). Wiele osób odbierając połączenie telefoniczne ze znanego sobie numeru nie jest świadoma, że istnieją techniczne możliwości podstawienia tego numeru przez oszusta. Ta forma oszustwa jest szczególnie ulubioną metodą przestępców działających “na wnuczka, policjanta czy pracownika banku”.
Nowe technologie to nowe oszustwa
Niestety, wraz z rozwojem technologii cyfrowych pojawiają się nowe rodzaje przestępstw a szczególnie oszustw. Aby temu zaradzić w zeszłym roku rząd z poparciem rynku telekomunikacyjnego uchwalił ustawę o zwalczaniu nadużyć w komunikacji elektronicznej (ustawa o nadużyciach). Zgodnie z tą ustawą, po roku analiz i prac technicznych, 25 września 2024 r. uruchomione zostały w sieciach telekomunikacyjnych systemy antyspoofingowe.
Należy pamiętać, że zidentyfikowanie tego oszustwa jest technicznie skomplikowane i brak jest na świecie jednolitej koncepcji walki z nim. Zgodnie z ustawą o nadużyciach w Polsce przyjęto koncepcję weryfikacji źródła pochodzenia połączenia głosowego, co wobec mnogości przedsiębiorców telekomunikacyjnych wymagało udziału Prezesa Urzędu Komunikacji Elektronicznej. W pierwszej kolejności Prezes UKE zawarł porozumienie z największymi przedsiębiorcami telekomunikacyjnymi o wprowadzeniu systemu „Bezpieczna zatoka”, aby monitorować ich ruch telefoniczny w celu identyfikacji podmienionych numerów i blokowania ich. Z kolei mniejsi przedsiębiorcy telekomunikacyjni od 25 września br. wdrażają u siebie rekomendacje Prezesa UKE w zakresie identyfikacji podmiany numerów. Część połączeń podejrzewana o podmianę numeru ma wyłączaną prezentację numeru, co powinno wzbudzić czujność abonenta odbierającego połączenie. Niektóre połączenia, co do których jest większe prawdopodobieństwo, że są CLI spoofingiem, ma być od razu blokowana przez przedsiębiorców telekomunikacyjnych. Niewdrożenie tych systemów przez przedsiębiorcę telekomunikacyjnego zagrożone jest wysokimi karami finansowymi oraz problemami z wymiarem sprawiedliwości (CLI spoofing został sklasyfikowany jako przestępstwo karne).
Czy to od razu zlikwiduje to nadużycie? Niestety nie. Systemy antyspoofingowe przechodzą obecnie wszystkie problemy wieku dziecięcego i wymagają dłuższego czasu do osiągnięcia pełni efektywności. Obecnie przechodzą one fazę usprawniania i uszczelniania. Stąd nie można wymagać, że od razu zostanie zablokowanych 100% takich oszustw. Możemy powiedzieć, że prawdziwe efekty działań przedsiębiorców telekomunikacyjnych i Prezesa UKE będziemy mogli zobaczyć najwcześniej za pół roku.
Jak się bronić?
W przypadku „dziwnego telefonu”, kiedy ktoś usiłuje nas nakłonić do wyjawienia danych bankowych lub przesłania pieniędzy należy zachować spokój i odpowiedzieć: „Nie mogę teraz rozmawiać, zaraz oddzwonię”. Następnie należy przerwać połączenie, po czym oddzwonić na numer, z którego do nas dzwoniono. Oszust rzadko dzwoni z własnego numeru telefonu używając podmienionej numeracji. Nasze połączenie zostanie jednak skierowane przez naszego przedsiębiorcę telekomunikacyjnego do właściwego abonenta posługującego się tym numerem, a nie do oszusta. Jest to najprostsza metoda wykrywania CLI spoofingu przez abonenta i sam ją kilkukrotnie stosowałem.
Na zakończenie należy wspomnieć, że jeden rodzaj CLI spoofingu został potraktowany w ustawie o nadużyciach dużo bardziej rygorystycznie. Chodzi o przypadki, gdzie oszuści podszywają się pod pracowników banków lub innych instytucji finansowych korzystając z infolinii lub linii obsługi abonenckiej. Dla zwalczania tej formy CLI spoofingu wprowadzono specjalny rejestr numerów telefonicznych, które służą wyłącznie odbieraniu połączeń. Każde połączenie inicjowane z takiego numeru ma być automatycznie blokowane przez przedsiębiorcę telekomunikacyjnego. Problem z tym systemem jest taki, że choć w praktyce działa on w 100% to wymaga on od banków i instytucji finansowych zgłaszania swoich numerów do Prezesa UKE. Niestety mimo początkowego zapału do tej regulacji te uprawnione instytucje finansowe nie są chętne do zgłaszania swoich numerów do rejestru Prezesa UKE. Do chwili obecnej zarejestrowano zaledwie 10 takich numerów telefonów co jest liczbą dalece niewystarczającą. Z tego względu konieczne będą dodatkowe działania rządu w celu skłonienia instytucji finansowych do zarejestrowania swoich numerów w tym rejestrze.
Wdrożone na podstawie ustawy o nadużyciach mechanizmy antyspoofingowe (oraz zwalczające inne nadużycia) nie oznaczają końca walki w oszustwami z użyciem usług telekomunikacyjnych. Walka z oszustami ewoluuje tak jak ewoluują same przestępstwa. Obecne mechanizmy antyfraudowe podlegają ciągłemu udoskonalaniu. Z kolei nowe nadużycia będą wymagały nowych rozwiązań i nowych przepisów. Niemniej rynek telekomunikacyjny poczynił poważny pierwszy krok w walce ze spoofingiem i należy spodziewać się już niedługo pozytywnych rezultatów.
Więcej aktualnych informacji ze świata telekomunikacji dostępne jest także w Biuletynie kancelarii Prawnej Media. Zapisz się, by być na bieżąco! https://kancelaria.media.pl/biuletyn/ oraz na stronie prawokomunikacjielektronicznej.pl.
