Porażka rządowego pomysłu na walkę z tym oszustwem. Miała być baza danych, są pustki
Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej wprowadziła do polskiego cyberbezpieczeństwa instytucję listy numerów Do Not Originate. Miał to być oręż w walce ze spoofingiem, techniką nadpisywania numerów innymi nazwami, co jest wykorzystywane przez cyberprzestępców. Choć lista działa od marca, jak dotąd wpisano na nią dwa numery.
Porażka pomysłu na walkę ze spoofingiem
Spoofing to mechanizm nadpisywania numerów telefonu w taki sposób, aby wprowadzać w błąd co do faktycznego nadawcy. Dzięki spoofingowi otrzymywać możemy od cyberprzestępców połączenia czy SMS-y, których nadawcy wyświetlani są w naszych telefonach jako służby, np. policja, banki czy urzędy. Zwiększa to szansę na powodzenie ataku i jest nagminnie wykorzystywane w kampaniach phishingowych .
Słusznym krokiem było więc, aby w ustawie o zwalczaniu nadużyć w komunikacji elektronicznej wprowadzić mechanizm ochrony przed spoofingiem. W ten sposób powstała lista numerów Do Not Originate. Administracja, służby, ale tez podmioty z branży finansowej, telekomunikacyjnej czy ubezpieczeniowej, mogły dodawać do niej swoje numery, które odtąd zarejestrowane były jako wykorzystywane wyłącznie w celach odbiorczych, co miało uniemożliwić ich spoofowanie.
Niemal pusty rejestr Do Not Originate
Serwis CyberDefence24 zwraca uwagę, że choć o dopisanie do listy Do Not Originate można wnioskować już od czterech miesięcy, to na razie uczyniono to tylko dwukrotnie. W rejestrze dostępnych na stronach Urzędu Komunikacji Elektronicznej znalazły się raptem dwa numery. Jeden należy do firmy ubezpieczeniowej Prudential, właściciela drugiego nie udało nam się ustalić.
Zobacz: To oni są winni globalnej awarii. Czym zajmuje się CrowdStrike?
W praktyce zatem lista nie oferuje żadnej ochrony. Jej skuteczność miała bowiem bazować na obszernym katalogu numerów, z których nie można dzwonić, a jedynie odbierać połączenia . Tym samym im więcej byłoby numerów w bazie administrowanej przez UKE, tym mniej numerów pozostałoby do dyspozycji dla cyberprzestępców .
Przyczyną porażki brak zainteresowania
Na pytania serwisu o niepowodzenie przedsięwzięcia odpowiedział p.o. rzecznika Urzędu Komunikacji Elektronicznej, Witold Tomaszewski. Podnosi on argument, że list DNO jest tylko jednym z narzędzi do walki ze spoofingu, co oczywiście jest zgodne z prawdą, ale nie zmienia faktu, że pozostaje narzędziem skrajnie nieskutecznym, bo w zasadzie nieużywanym. Według nieoficjalnych informacji CSIRT KNF ma przekonywać podczas spotkań i szkoleń, jednak nieskutecznie.