BOT 1s2k.pl Posted August 28, 2024 Share Posted August 28, 2024 Jeszcze do niedawna przestępcy mogli wykonywać sfałszowane połączenia telefoniczne dzięki platformie Russian Coms, która oferowała specjalne urządzenia i wsparcie techniczne 24/7. Teraz spodziewać się policji, bo platforma została rozpracowana przez brytyjską NCA. Niestety w Polsce problem spoofingu wciąż występuje. Na domiar złego, niewiele banków chce korzystać z tzw. rejestru DNO, który sprawia, że wpisane do niego numery stają się “odporne na spoofing”. Oszustwa telefoniczne (Vishing, SMSihing) Oszustwa wykonywane przez telefon to wciąż ogromny problem, wbrew powszechnej opinii nie dotyczący tylko osób starszych. Niedawno 29-latka z Wrocławia straciła straciła 220 tys. złotych bo najpierw wydawało jej się, że rozmawia z pracownikiem banku, następnie z rzekomym policjantem. Tego typu przestępstwa często wykorzystują tzw. spoofing, czyli dzwonienie z dowolnego numeru — ofierze wyświetla się na telefonie numer np. jej banku. Wydany niedawno przez Europol raport IOCTA 2024 potwierdza, że w skali Europy spoofing jest ciągle bardzo istotnym problemem, choć udało się go ograniczyć dzięki uderzeniom w internetowe bramki, które pozwalają oszustom wykonywać sfałszowane połączenia. O zamknięciu jednej z takich platform — Russian Coms — poinformowała brytyjska NCA (National Crime Agency). Koniec Russian Coms, ale spoofować dalej można Russian Coms powstała w 2021 roku. NCA szacuje, że w ciągu ostatnich trzech lat posłużyła do wykonania ponad 1,3 mln połączeń. Liczbę ofiar w UK oceniono na 170 tys., ale platforma była używana do oszukiwania ludzi ze 107 krajów na świecie od USA po Bahamy. Dostęp do Russian Coms był sprzedawany na Snapchacie, Instagramie i Telegramie. “Użytkownicy” dostawali w pakiecie nielimitowane połączenia, opcję “muzyczki na odczekanie”, rzekomo szyfrowane rozmowy, usługę zmieniania głosu, natychmiastowe usuwanie danych z urządzenia oraz — uwaga — wsparcie 24/7. Początkowo usługa była sprzedawana w formie fizycznego telefonu, który służył wyłącznie do wykonywania spoofowanych rozmów. Na urządzeniu były także niedziałające fałszywe aplikacje, które miały robić wrażenie, że jest to standardowy smartfon. Był też dostęp do kilku VPN-ów oraz wspomniana aplikacja do czyszczenia urządzenia w razie zatrzymania przez służby czy innej wpadki. Półroczny dostęp do usługi kosztował od 1200 do 1400 funtów (zależnie od wybranej opcji dostawy). Potem pojawiła się aplikacja webowa za 350 funtów miesięcznie. Podsumowanie oferty Russian Coms Śledztwo w sprawie Russian Coms trwało wiele miesięcy. Istotny przełom nastąpił w marcu tego roku, gdy zatrzymano dwóch mężczyzn w wieku 26 i 28 lat (prawdopodobnie administratorów i deweloperów usługi). Miesiąc później zatrzymano powiązanego z nimi 28-letniego dostawcę urządzeń. Niektórzy z zatrzymanych zostali już wypuszczeniu za kaucją, ale to nie koniec sprawy. Służby brytyjskie wraz z Europolem już planują wspólne działania przeciwko użytkownikom Russian Coms. Jeśli mieliście tam konto, ktoś może niebawem zapukać do Waszych drzwi. Tutaj dodajmy, że w sieci istnieje wiele usług do spoofingu i mogą być one używane w celach legalnych (np. często są reklamowane jako usługi do robienia żartów albo “anonimizowania” części swoich rozmów). Ale w przypadku Russian Coms, usługa nie była sprzedawana za grosze. Dodajmy też, że nie było to pierwsze uderzenie organów ścigania w platformę spoofingową. W 2022 roku zamknięto stronę iSpoof.cc. Zatrzymano 142 ludzi i zarekwirowano sporo sprzętu, a zarobki oszustów szacowano na ponad 3,2 mln funtów w ciągu 20 miesięcy. Wytypowano też 59 tys. ludzi, którzy za usługę zapłacili odpowiednik 100 funtów lub więcej (byli to potencjalni podejrzani). Liczba szacowanych połączeń wykonanych dzięki iSpoof.cc miała przekroczyć 10 mln na całym świecie. Tymczasem w Polsce… trochę DNO Zamknięcie Russian Coms to dobra okazja aby spojrzeć na polski odcinek frontu walki ze spoofingiem. Przypomnijmy, że w naszym kraju te oszustwa miała ograniczyć Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej przyjęta przez Sejm latem ubiegłego roku. Ustawa nie zaczęła działać w 100% od razu. W marcu ruszyło na dobre jedno z jej rozwiązań czyli tzw. rejestr DNO — wykaz numerów telefonicznych służących wyłącznie do odbierania połączeń głosowych (stąd nazwa od DNO czyli od angielskiego Do Not Originate.) Numery ujęte w tym rejestrze to numery służące wyłącznie do kontaktowania się z instytucją od strony klienta. Połączenia przychodzące z takich numerów mają być automatycznie blokowane przez telekomy. Brzmi jak idealna usługa dla banków, pod które notorycznie podszywają się dzwoniący do Polaków panowie zza naszej wschodzniej granicy, prawda? Stan rejestru DNO sprawdzaliśmy co jakiś czas. Na początku wakacji (8 lipca 2024) zawierał zaledwie 2 numery. Obecnie w rejestrze jest 7 numerów: Jakby nie patrzeć jest to wzrost o 350% w ciągu miesiąca, ale to wciąż jeden z niewielu rejestrów państwowych, którego obywatel może się łatwo nauczyć na pamięć. Podmioty, które dopisały swoje numery do bazy to m.in. firma ubezpieczeniowa Pru, SGB Spółdzielnia bankowa Bank Spółdzielczy w Białymstoku. Jakoś nie widzimy na tej liście infolinii dużych, znanych banków… Więc postanowiliśmy je zapytać, dlaczego ich tam nie ma. Pekao, ING: analizujemy. mBank, PKO BP, Santander: planujemy Paweł Jurek, rzecznik prasowy PEKAO odpowiedział nam jako pierwszy. Jeśli chodzi o dopisanie się do rejestru DNO to rzecznik stwierdził, że bank “analizuje taką możliwość“. Poza tym… Bank stosuje systemy antyfraudowe w celu wykrywania podejrzanych aktywności i dyspozycji zlecanych w bankowości elektronicznej. Dodatkowo stosowane są różnego rodzaju mechanizmy, które pozwalają na wykrywanie prób oszustwa. Bank nie przekazuje szczegółowych danych o stosowanych mechanizmach bezpieczeństwa, gdyż ujawnienie spowodowałoby obniżenie ich skuteczności. Wprowadzonym mechanizmem przeciwdziałającym m.in. tego typu oszustwom, o którym bank informuje, jest możliwość zweryfikowania przez klienta banku tożsamości dzwoniącego pracownika w aplikacji PeoPay lub serwisie internetowym Pekao24. Weryfikacja daje pewność, że po drugiej stronie faktycznie znajduje się konsultant Banku Pekao S.A. Drugim bankiem, który nam odpowiedział był ING. Joanna Skorupa (rzeczniczka banku) odpowiedziała, że temat DNO “jest analizowany”. Przygotowaliśmy możliwość uwierzytelnienia pracownika banku przez klienta podczas rozmowy wychodzącej z banku. Klient może szybko i skutecznie potwierdzić czy rzeczywiście dzwoni do niego pracownik banku i w razie gdyby weryfikacja okazała się negatywna zakończyć rozmowę. Rozwiązanie działa obecnie dla ograniczonej liczby połączeń, ale w drugiej połowie roku planujemy uruchomić je szerzej. Kolejna odpowiedziała Emilia Kasperczak z mBanku: Zamierzamy skorzystać z ochrony oferowanej przez bazę. Jednak obserwujemy już od ponad roku, że przestępcy wykorzystują nie tylko telefony podszywające się pod banki i ich numery telefonu, ale wiele innych instytucji. Z niecierpliwością czekamy na ochronę wszystkich numerów telefonów przed spoofingiem ze strony przedsiębiorstw telekomunikacyjnych. Tylko działanie telekomów może zapewnić pełną ochronę klientów i przedsiębiorstw przed spoofingiem. Oceniamy krok z bazy DNA jako dobry, ale musimy pamiętać, że obecnie zabezpiecza on jedynie ułamek ataków na klientów. Nieco później odpowiedział nam Piotr Wardziak z PKO BP, który również deklaruje zamiar skorzystania z rejestru DNO: Tak, PKO Bank Polski planuje dopisanie swoich numerów telefonicznych – oddziałów i Contact Center – do rejestru DNO. Obecnie jesteśmy w tej sprawie na etapie wewnątrzbankowych procedur i analiz. Wierzymy, że rejestr DNO pomoże i bankowi i klientom PKO Banku Polskiego w walce z oszustami podszywającymi się pod naszych pracowników. W PKO Banku Polskim by zapobiegać takim oszustom wdrożyliśmy rozwiązanie, dzięki któremu klienci, którzy mają aktywną aplikację mobilną IKO, mogą zweryfikować czy kontaktuje się z nimi rzeczywisty pracownik banku. Ta funkcja została wdrożona w lutym 2022 roku i byliśmy jednym z pierwszych banków na polskim rynku, który udostępnił takie rozwiązanie. (…) To rozwiązanie pomaga zapobiegać wyłudzeniom i kradzieżom, dokonywanym przez oszustów podających się za bankowych doradców czy konsultantów. Poza tym PKO Bank Polski w tym roku i latach poprzednich niemal ciągle informuje i prowadzi kampanie edukujące klientów na temat niebezpieczeństw związanych ze spoofingiem. Konkretnie do naszych pytań odniosła się Ewa Krawczyk z Santandera. Na pytanie o rejestr DNO odparła krótko: “tak, planujemy“. Jeśli chodzi o stosowane środki przeciw wyłudzeniom przedstawicielka banku stwierdziła: Nie chcemy udzielać konkretnych informacji w odniesieniu do wykorzystywanych zabezpieczeń, ponieważ mogą być użyte przez przestępców. Zapewniam jednak, że podejmujemy wiele różnorodnych działań, które wspierają ochronę klientów. Zależy nam także, aby klienci byli świadomi zagrożeń i umieli sobie z nimi radzić – dlatego prowadzimy systematyczne działania edukacyjne, przekazujemy bieżące ostrzeżenia. Podsumujmy. Wśród dużych banków… 2 banki analizują możliwość dopisania się do rejestru DNO, 3 zapowiadają wprost, że chcą to zrobić (ale nie wskazują konkretnej daty). Jak banki chronią Was przed spoofingiem? Niemal każdy z odpytanych przez nas banków zwrócił uwagę na możliwość weryfikowania pracownika banku za pomocą aplikacji bankowej. Już od pewnego czasu zwracamy Wam uwagę na to, że aplikację swojego banku warto mieć. Wydaje się ona najbezpieczniejszą formą bankowania — możliwość weryfikacji konsultanta w aplikacji to kolejna z zalet. Jeśli chodzi o mechanizmy wykrywające anomalie (antyfraudowe) to banki mają jeden poważny powód aby takie rozwiązania wdrażać. Jest nim art. 46 ustawy o płatnościach, który w razie kradzieży przenosi większość odpowiedzialności na bank. Prawdą jest również, że najważniejszym środkiem antyspoofingowym będzie blokowanie wszystkich połączeń spoofowanych przez telekomy. Ale na to musimy jeszcze poczekać. Póki co, poza protezą w postaci rejestru DNO mamy też system wymiany wzorców phishingowych w SMS-ach (tzw. telegraf). Ale, jak każde rozwiązanie bazujące na regexach, jest on już skutecznie obchodzony przez oszustów. Nawet działające DNO i apki nie wystarczą… Niestety same rozwiązania techniczne nigdy nie będą wystarczające w 100% — znamy przypadki osób, które uwierzyły, że dzwoniący do nich zwykły, losowy numer telefonu komórkowego do pracownik banku… Potrzebujemy też edukacji klientów. Takiej trochę bardziej angażującej niż komunikat na stronie logowania do bankowości internetowej. Pozostaje mieć nadzieję, że instytucje finansowe wydadzą trochę swoich budżetów marketingowych na kampanie ciekawe awarenessowe. A dopóki to nie nastąpi, rzućcie okiem na nasze darmowe webinary i wpadnijcie na nasz wykład Jak nie dać się zhackować?, którego większość poświęcona jest temu, jak wykrywać ataki i chronić nie tylko swoje dane, ale i pieniądze. Tu znajdziecie listę terminów i miast, w których będziemy z tym wykładem niebawem: WARSZAWA, 26 września 2024 -- kliknij tu aby się zapisać! KRAKÓW, 14 października 2024 -- kliknij tu aby się zapisać! POZNAŃ, 24 października 2024 -- kliknij tu aby się zapisać! ŁÓDŹ, 3 października 2024 -- kliknij tu aby się zapisać! WROCŁAW, 21 listopada 2024 -- kliknij tu aby się zapisać! GDAŃSK, 5 grudnia 2024 -- kliknij tu aby się zapisać! Przeczytaj cały wpis Tugeza 1 Link to comment https://1shot2kill.pl/topic/120468-walka-ze-spoofingiem-w-polsce-ustawa-jest-ale-niewiele-sie-zmienilo/ Share on other sites More sharing options...
Recommended Posts