Od legislacyjnej teorii do rynkowej praktyki. Walka z CLI spoofingiem

Historia oszustwa

Pierwsze przypadki podmieniania numerów pojawiły się wraz z rozwojem telefonii stacjonarnej. W tamtych czasach było to znacznie trudniejsze technicznie i wiązało się z ingerencją w złożoną infrastrukturę telekomunikacyjną. Motywacje przestępców były różne: od zwykłych żartów po poważne przestępstwa.

Znaczny wzrost CLI spoofingu nastąpił w ostatnich latach. Zmiana numeru wyświetlanego na ekranie odbiorcy stała się znacznie łatwiejsza i tańsza. Oszuści zaczęli wykorzystywać tę technikę do wprowadzenia odbiorcy w błąd, co do swojej tożsamości lub lokalizacji. W połączeniu z socjotechniką ułatwiło to im dokonywanie różnego rodzaju wyłudzeń m.in.: „Metodą na wnuczka”, „Fałszywego pracownika banku” czy też „Wyłudzenie na policjanta”.

Dzisiaj nawet 1,2% przeanalizowanych połączeń głosowych jest klasyfikowanych jako spoofing.

Nowe prawo w walce z oszustami

W Polsce CLI spoofing jest zabroniony prawnie. Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej (UZNKE) z 25 września 2023 roku nakłada na wszystkich przedsiębiorców telekomunikacyjnych obowiązek stosowania środków technicznych i organizacyjnych, które mają na celu wykrywanie i blokowanie połączeń o charakterze CLI spoofingu.

Ustawa dokładnie określa, jakie zachowania są uważane za nadużycia w komunikacji elektronicznej. Operatorzy telekomunikacyjni mają teraz większe uprawnienia do blokowania połączeń podejrzanych o nadużycia. Ustawa umożliwia też współpracę między operatorami, co pozwala na szybszą reakcję na nowe zagrożenia. Dzięki temu łatwiej jest zidentyfikować i wyciągnąć konsekwencje wobec sprawców.

Jak wykryć fałszerza

Orange stosuje bardzo zaawansowane technologie, aby wykrywać i blokować podejrzane połączenia, które mogą być związane ze CLI spoofingiem.

W ramach walki ze spoofingiem powstało porozumienie tzw. „bezpieczna zatoka”. Jest to unikalne rozwiązanie techniczne, które zostało opracowane przez największych operatorów telekomunikacyjnych w Polsce, we współpracy z Urzędem Komunikacji Elektronicznej (UKE). Stworzony system antyspoofingowy jest innowacją na skalę światową i pierwszym tak działającym systemem weryfikującym połączenia.

W ramach „bezpiecznej zatoki” operatorzy nawzajem wspierają się w zwalczaniu spoofingu i wymieniają się potrzebnymi informacjami.

Mechanizm jest tak skonstruowany, że sprawdzanie odbywa się w bardzo krótkim czasie podczas zestawiania połączenia. Jeśli system wykryje, że mamy do czynienia z próbą podmiany numeru, połączenie może zostać odrzucone lub zestawione, ale bez wyświetlania numeru dzwoniącego (zostanie wyświetlony komunikat „Numer nieznany”). Klient odbierający połączenia, nie ma świadomości ochrony, jaką zapewnia mu jego operator.

Porozumienie jest dostępne dla wszystkich operatorów telekomunikacyjnych, którzy obsługują co najmniej 50 tys. abonentów i są gotowi spełnić określone wymagania techniczne. Pozostali operatorzy korzystają z rekomendacji UKE.

Nowe zagrożenia na horyzoncie

Aby skutecznie chronić się przed CLI spoofingiem, należy być świadomym zagrożeń i stosować podstawowe zasady bezpieczeństwa. Mimo tych działań, nadużycia pozostają poważnym problemem, a oszuści wciąż wymyślają nowe, coraz bardziej wyrafinowane metody.

Przy pomocy sztucznej inteligencji, przestępcy potrafią wygenerować niezwykle realistyczne imitacje głosów (deepfake) znanych osób, aby przekonać ofiary do ujawnienia poufnych informacji. Połączenie deepfaków głosowych z wideo pozwala na tworzenie jeszcze bardziej przekonujących oszustw. Przestępcy mogą przeprowadzać wideo rozmowy, w których podszywają się pod bliskich, współpracowników czy przedstawicieli instytucji państwowych. Dzięki temu ataki stają się jeszcze bardziej wiarygodne i trudniejsze do wykrycia.

Współpraca i edukacja kluczem do sukcesu

Ustawa daje operatorom podstawy prawne do działań. Rozwiązania techniczne umożliwiają wykrywanie nadużyć, ale walka z CLI spoofingiem tutaj się nie kończy. Wymaga ona ciągłego doskonalenia technologii. Może też być jeszcze skuteczniejsza, jeśli zadbamy o edukację społeczeństwa, współpracę między różnymi podmiotami oraz wszyscy będziemy pamiętać o zasadzie ograniczonego zaufania.

Autorzy:
Agnieszka Grabowska, Kierownik Wydziału Zarządzania Ochroną Przychodów i Nadużyć Orange
Marcin Bystrowski, Ekspert ds. Ochrony Przychodów i Nadużyć Telekomunikacyjnych Orange

Zobacz także

Najnowsze wpisy

Od legislacyjnej teorii do rynkowej praktyki. Walka z CLI spoofingiem

O podszywaniu się (spoofingu) pod inny numer telefonu (Calling Line Identification) - na czym polega, jak z tym walczyć.

Dowiedz się więcej

Polski rynek telekomunikacyjny 2025: trendy konsumenckie a rynek hurtowy

Polski rynek telekomunikacyjny przechodzi obecnie istotne przemiany, które będą miały kluczowe znaczenie dla jego przyszłości. Analiza trendów pozwala odpowiedzieć na wiele istotnych pytań.

Dowiedz się więcej

Sposoby ochrony przed DDoS, czyli jak przygotować się do nowelizacji ustawy KSC

Dowiedz się, jak możesz chronić swoją sieć przed atakami DDoS, a tym samym przygotować się do nowelizacji ustawy KSC.

Dowiedz się więcej

Wymogi nowelizowanej ustawy o KSC wobec operatorów oraz sposoby ochrony przed DDoS

Obejrzyj nagranie webinaru i dowiedz się o nowych wymogach ustawowych wobec operatorów w zakresie cyberbezpieczeństwa.

Dowiedz się więcej