BiznesINFO.pl Technologie Porażka rządowego pomysłu na walkę z tym oszustwem. Miała być baza danych, są pustki
Fot. Pexels/Mikhail Nilov

Porażka rządowego pomysłu na walkę z tym oszustwem. Miała być baza danych, są pustki

20 lipca 2024
Autor tekstu: Maciej Olanicki

Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej wprowadziła do polskiego cyberbezpieczeństwa instytucję listy numerów Do Not Originate. Miał to być oręż w walce ze spoofingiem, techniką nadpisywania numerów innymi nazwami, co jest wykorzystywane przez cyberprzestępców. Choć lista działa od marca, jak dotąd wpisano na nią dwa numery.

Porażka pomysłu na walkę ze spoofingiem

Spoofing to mechanizm nadpisywania numerów telefonu w taki sposób, aby wprowadzać w błąd co do faktycznego nadawcy. Dzięki spoofingowi otrzymywać możemy od cyberprzestępców połączenia czy SMS-y, których nadawcy wyświetlani są w naszych telefonach jako służby, np. policja, banki czy urzędy. Zwiększa to szansę na powodzenie ataku i jest nagminnie wykorzystywane w kampaniach phishingowych .

Słusznym krokiem było więc, aby w ustawie o zwalczaniu nadużyć w komunikacji elektronicznej wprowadzić mechanizm ochrony przed spoofingiem. W ten sposób powstała lista numerów Do Not Originate. Administracja, służby, ale tez podmioty z branży finansowej, telekomunikacyjnej czy ubezpieczeniowej, mogły dodawać do niej swoje numery, które odtąd zarejestrowane były jako wykorzystywane wyłącznie w celach odbiorczych, co miało uniemożliwić ich spoofowanie.

Dostałeś takiego maila? Pod żadnym pozorem na niego nie odpowiadaj

Niemal pusty rejestr Do Not Originate

Serwis CyberDefence24 zwraca uwagę, że choć o dopisanie do listy Do Not Originate można wnioskować już od czterech miesięcy, to na razie uczyniono to tylko dwukrotnie. W rejestrze dostępnych na stronach Urzędu Komunikacji Elektronicznej znalazły się raptem dwa numery. Jeden należy do firmy ubezpieczeniowej Prudential, właściciela drugiego nie udało nam się ustalić.

Zobacz: To oni są winni globalnej awarii. Czym zajmuje się CrowdStrike?

W praktyce zatem lista nie oferuje żadnej ochrony. Jej skuteczność miała bowiem bazować na obszernym katalogu numerów, z których nie można dzwonić, a jedynie odbierać połączenia . Tym samym im więcej byłoby numerów w bazie administrowanej przez UKE, tym mniej numerów pozostałoby do dyspozycji dla cyberprzestępców .

Przyczyną porażki brak zainteresowania

Na pytania serwisu o niepowodzenie przedsięwzięcia odpowiedział p.o. rzecznika Urzędu Komunikacji Elektronicznej, Witold Tomaszewski. Podnosi on argument, że list DNO jest tylko jednym z narzędzi do walki ze spoofingu, co oczywiście jest zgodne z prawdą, ale nie zmienia faktu, że pozostaje narzędziem skrajnie nieskutecznym, bo w zasadzie nieużywanym. Według nieoficjalnych informacji CSIRT KNF ma przekonywać podczas spotkań i szkoleń, jednak nieskutecznie.

Ważny komunikat banku. Masz konto w ING? Klienci muszą to wiedzieć
Pilny komunikat zespołu reagowania na zagrożenia. W tle polski festiwal
Obserwuj nas w
autor
Maciej Olanicki

Dziennikarz biznesinfo.pl. W przeszłości redaktor prowadzący dobreprogramy.pl, miesięcznika „IT Professional”, współpracownik Wirtualnej Polski. Adres dla sygnalistów: olanicki@protonmail.com.
 

Chcesz się ze mną skontaktować? Napisz adresowaną do mnie wiadomość na mail: Dariusz.dziduch@iberion.pl
biznes finanse technologie praca handel Eko Energetyka polska i świat