Walka z oszustwami w komunikacji elektronicznej - nowa ustawa a telemarketerzy

24.10.2023 12:30 | 9 min

28 lipca 2023 roku prezydent Andrzej Duda podpisał ustawę o zwalczaniu nadużyć w komunikacji elektronicznej, której znaczna część już weszła w życie. Nie ulega wątpliwości, że systemowa walka ze spoofingiem i smishingiem jest działaniem potrzebnym.

Ustawa nakazuje przedsiębiorcom telekomunikacyjnym blokowanie SMS-ów, które zawierają treści wyczerpujące znamiona smishingu oraz połączeń głosowych, których celem jest podszywanie się. Z kolei dostawcy usług pocztowych dla co najmniej 500 tys. użytkowników lub podmiotów publicznych muszą stosować mechanizmy uwierzytelnienia SPF/DKIM/DMARC.

Regulacje dotyczą także nowych obowiązków Prezesa UKE – ma on prowadzić wykaz numerów służących wyłącznie do odbierania połączeń głosowych, co ograniczy możliwość podszywania się oszustów pod infolinie urzędów czy innych podmiotów. Ustawa pomija jednak problem, który – wbrew pozorom – nie odbiega od meritum nowych przepisów.

Czy telemarketerzy stanowią realne niebezpieczeństwo?

Ministerstwo Cyfryzacji na stronie informującej o nowych przepisach pisze tak (wytłuszczenia moje):

Chyba każdy z nas doświadczył niechcianych połączeń od telemarketerów czy nachalnych reklam. Chociaż są to zjawiska irytujące, nie stanowią realnego niebezpieczeństwa. Istnieje jednak szereg działań w zakresie komunikacji elektronicznej, którymi posługują się przestępcy: [...]
Działania oszustów mogą narazić nas na wiele nieprzyjemnych skutków: utratę oszczędności czy wyłudzenie kredytu na nasze dane.

Zdawałoby się, że wprowadzana ustawa ma – z założenia – skupić się na działaniach oszustów, które prowadzą do wyłudzeń pieniędzy i danych osobowych. Chodzi np. o podszycie się pod pracownika banku, który poinformuje o „przejęciu naszego konta przez hakerów” i zaleci przelanie środków na „bezpieczne konto zapasowe”, które tak naprawdę należy do oszustów. Innym popularnym scenariuszem jest wysłanie SMS–a z informacją o konieczności dopłaty niewielkiej kwoty w związku z dostarczeniem paczki. Bramka płatności, do której link otrzymujemy, jest jednak fałszywa (np. udaje stronę PayU czy PayPro) – wyłudza dane logowania do konta bankowego, pozbawiając nas jego zawartości.

SMS o treści "Zamówienie zostało przekazane kurierowi, ale wymaga dodatkowej opłaty 0,50zł. Dopłać, aby uniknąć zwrotu przesyłki do nadawcy. [LINK]"
Źródło: Policja Lubuska

Prawdą jest, że nachalni telemarketerzy (w przeciwieństwie do fałszywych pracowników banków) zazwyczaj podczas rozmowy nie wyłudzają pieniędzy, ani (istotnych) danych osób, do których dzwonią. Czy jednak oznacza to, że możemy spać spokojnie? Absolutnie nie! Znaczy – my możemy, ale nasi dziadkowie/rodzice/sąsiedzi niekoniecznie.

Zacznijmy od początku

Wtorek, godzina 15:17. Dzwoni telefon. Odbierasz. Słyszysz w słuchawce, że wygrałeś/aś pulsoksymetr/tablet/kamerę samochodową lub inny gadżet, a żeby go odebrać, wystarczy wybrać się na spotkanie, które odbędzie się w Twoim mieście.

Dzwoniący do Ciebie konsultant (czyli najpewniej osoba odtwarzająca nagrane wcześniej odpowiedzi) zachowuje się podobnie jak w tym filmie (link Invidious). Odmawiasz, bo przecież wiesz, że to tak naprawdę zaproszenie na pokaz garnków albo innego cudownego sprzętu (lecznicze materace, kołdry z jonami srebra i takie tam). Jeśli jednak zdecydujesz się przyjść, prawdopodobnie usłyszysz bajeczkę o ozonowaniu sali czy braku krzeseł, a prezent kupiony za grosze z Chin otrzymasz bez konieczności udziału w spotkaniu.

Co by się stało, gdyby taki telefon odebrała starsza osoba i dała się wkręcić w marketingową legendę? Takie spotkanie odwiedził autor kanału audyt obywatelski i przedstawił jego przebieg w tym filmie (link Invidious).

Zdjęcie ze "spotkania reklamowego" - kadr z podlinkowanego wyżej filmu; widać bannery reklamowe systemu parowego, multicookera, generatora plazmy i systemu masującego. Przed nimi kartony z reklamowanym sprzętem

W skrócie – spotkanie reklamowe (bo „nie jest to spotkanie w żaden sposób sprzedażowe”). Prowadzący sprytnie manipuluje publicznością, dokładając bonusy i rabaty, by na koniec przedstawić ofertę zestawu garnków, materaca, systemu parowego, generatora plazmy, maty i cookera za prawie 14 tysięcy złotych. Oczywiście sposób kontaktu z publicznością i opowiadania o gratisach powoduje, że część uczestników uznaje cenę za atrakcyjną. Realnie sprzedawany zestaw wart jest maksymalnie kilkaset złotych, a teksty o renomie producentów to jawne wprowadzanie w błąd. Wszystko zostało szczegółowo omówione w podlinkowanym wyżej materiale wideo.

Garnkowy spam vs. fałszywy kurier i konsultant z banku

Przedstawiony przykład dowodzi, że zarówno działania, które w ocenie Ministerstwa „nie stanowią realnego niebezpieczeństwa” jak i te, które „narażają nas na utratę oszczędności czy wyłudzenie kredytu na nasze dane” mają ten sam cel przewodni. Pokazy garnków różnią się od prawdziwych oszustw tylko tym, że:

uderzają w węższą grupę docelową (głównie seniorzy i osoby schorowane – wszak znaczna część spotkań promowana jest hasłami prozdrowotnymi),
proces jest wieloetapowy (w przypadku podszywania się pod bank/kuriera do wyłudzenia dochodzi zdalnie, bez konieczności fizycznego udziału w spotkaniu).

Przez garnki do banku

Jakby tego było mało, na początku zeszłego roku Niebezpiecznik opublikował historie swoich czytelników, które wskazują na powiązania między oszustami od garnków a tymi od kont bankowych. Co prawda nie ma żadnych dowodów na ich bezpośredniość, ale zbieranie imion przez telemarketerów podczas rejestracji na spotkanie nie wpływa dobrze na bezpieczeństwo. Jeśli dane te trafią do baz marketingowych, które kupią oszuści bankowi, będą mogli uwiarygodnić swoją legendę, znając nawet samo imię ofiary (Dzień dobry, czy mam przyjemność z panem XYZ?).

Tu nasuwa się jednak pytanie – jak ustawa o zwalczaniu nadużyć w komunikacji elektronicznej miałaby wpłynąć na ten proceder?

Od strony prawnej istotny jest artykuł 172 Prawa telekomunikacyjnego:

Zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego lub przesyłania niezamówionej informacji handlowej w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.

Przepisy przepisami, ale co z ich egzekwowaniem?

Zgłaszanie naruszeń

Phishing i smishing można w łatwy sposób zgłosić do CSIRT NASK (zgłoszenia obsługuje CERT Polska).

Natomiast z niechcianymi telefonami nie jest tak łatwo – aby zostały podjęte działania (o ile urząd nie podjął ich wcześniej) trzeba złożyć skargę do UKE (ale można też do UODO – jeśli podmiot dzwoniący przetworzył nasze dane osobowe niezgodnie z prawem). Po więcej informacji odsyłam do artykułu Fundacji Internet. Czas Działać!.

Kluczowy jest jednak fakt, że skarga musi zawierać dane podmiotu, na który jest składana. Bez nich urząd nie podejmie żadnych działań. Oznacza to, że musimy od dzwoniącego konsultanta uzyskać informację, jaką spółkę reprezentuje. Nie zawsze łatwo otrzymać odpowiedź na takie pytanie podczas rozmowy, ale przede wszystkim jest to dodatkowa komplikacja całego procesu, która może skutecznie zniechęcić od składania skargi. A działanie to jest i tak trudniejsze i bardziej czasochłonne niż zgłoszenie phishingu/smishingu. Dlatego właśnie uważam, że sposób zgłaszania takich podmiotów powinien zostać uproszczony – to właśnie mogłaby rozwiązać ustawa o zwalczaniu nadużyć w komunikacji elektronicznej. Brak ten nie oznacza jednak, że stawiam na niej kreskę.

UKE nie bez winy

Witold Tomaszewski, p.o. rzecznika prasowego UKE w wywiadzie dla INN:Poland mówi tak:

Pierwszą rzeczą, jeżeli korzystamy ze smartfona, jest zainstalowanie na telefonie aplikacji, tak zwanego dialera, która pokazuje, czy dany numer jest zgłaszany przez innych użytkowników jako ten serwujący niezamówioną reklamę.

Niedowierzający mężczyzna, na dole zdjęcia dopisek "Really?"

Rekomendowany przez UKE sposób na pozbycie się niechcianych połączeń, mimo swojej skuteczności nie jest najlepszym pomysłem. Działanie aplikacji do ochrony przed spamem polega na porównywaniu dzwoniących do nas numerów z ich bazą danych, do której trafiają podmioty zgłoszone przez innych użytkowników. Oznacza to zatem przekazanie numerów wszystkich osób, które do nas dzwonią firmie zewnętrznej. Oczywiście jest to w pełni dobrowolna decyzja, ale moim zdaniem organ odpowiedzialny za komunikację elektroniczną nie powinien promować takich rozwiązań.

Dlaczego nowa ustawa w istocie jest dobra?

Sposób, w jaki wypowiadałem się o projekcie Ministerstwa Cyfryzacji w zakresie walki z SIM swappingiem, ma zastosowanie także tutaj. Uważam, że każde sensowne działanie rządu w walce z oszustwami jest potrzebne, nawet jeśli ma wady. Bo trudno oczekiwać od regulacji, by były idealne. Szczególnie w tym kontekście – w końcu prawo próbuje gonić postęp technologii, a ta walka niestety jest nierówna.

Podsumowanie

Chciałbym, by wydźwięk tego artykułu był podobny do tego o SIM swappingu. Moim celem nie jest krytyka działań Ministerstwa Cyfryzacji, a rzeczowe i merytoryczne zwrócenie uwagi na istotne – w mojej ocenie – aspekty związane z wprowadzanymi regulacjami.

W tym miejscu skorzystam z moich skromnych zasięgów i zaapeluję do każdego: uświadom o wspomnianym procederze swoją rodzinę i znajomych, których mogą dotknąć takie oszustwa. Zasugeruj im, że jeśli dostaną wspaniałą ofertę na garnki czy materac, mogą do Ciebie zadzwonić i skonsultować temat, żeby później nie żałować kilkunastu tysięcy wydanych na tandetne produkty. Powiedz także, że jeśli dzwoni ktoś z banku, mają się rozłączyć i sami zadzwonić na infolinię (pozwoli to uniknąć połączenia z podrobionego [spoofowanego] numeru), a gdy otrzymają SMS z linkiem, nie mają w niego klikać.