Z uwagi na to, że ostatnie lata przyniosły gwałtowny wzrost oszustw elektronicznych, rząd przyjął nową ustawę dot. zwalczania nadużyć w komunikacji elektronicznej w celu zmniejszenia się ilości fałszywych połączeń, SMS-ów oraz domen internetowych. Przepisy ustawy o zwalczaniu nadużyć w komunikacji elektronicznej wejdą w życie po upływie 30 dni od chwili ich ogłoszenia.

Ma to związek z metodami socjotechnicznymi, wykorzystywanymi przez cyberprzestępców w związku z nagminnym wyłudzaniem danych osobowych i pieniędzy za pomocą wszelkich form komunikacji.

Wśród tych metod, jednymi z najpopularniejszych są:

• smishing – czyli fałszywe SMS-y podszywające się pod wiadomość od kuriera, z banku czy instytucji publicznej.  Zawierają np.: link do strony internetowej zachęcającej do podania danych osobowych czy przelania środków,
• spoofing – czyli podszywanie się pod numer telefonu zaufanej instytucji czy innej osoby, powiązany z próbą zastraszenia ofiary, wyłudzenia pieniędzy lub danych osobowych.

W końcu branża telefoniczna będzie miała obowiązek reagowania w przypadku spoofingu/smishingu telefonicznego – dotąd niechętnie podejmowała takie działania. Przedsiębiorcy telekomunikacyjni będą mieli także obowiązek blokować treści zgodne ze wzorcami smishingu oraz będą zobowiązani do przeciwdziałania nadużyciom za pomocą dobranych środków organizacyjnych i technicznych.

Ma także powstać wykaz numerów telefonów, które służą tylko do odbierania– czyli np. dedykowane infolinie banków, czy ubezpieczycieli, dzięki czemu będzie wiadomo, że ten numer w rzeczywistości by do nas nigdy nie zadzwonił. Przedsiębiorcy telekomunikacyjni będą mieli równocześnie obowiązek blokowania połączeń przychodzących z tych numerów, nie później niż 3 dni po umieszczeniu numeru w wykazie.

NASK CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, działający na poziomie krajowym, prowadzony przez Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy z siedzibą w Warszawie), który stoi na straży krajowego cyberbezpieczeństwa, w związku z nowymi przepisami otrzyma kolejne zadania do realizacji: będzie miał obowiązek monitorowania smishingu. Następnym obowiązkiem będzie prowadzenie wykazu nadpisów podmiotów publicznych czyli wykazu nazw, jakie w komunikacji będą mogły stosować podmioty publiczne, a także wykaz wariantów tych nazw, które mogą użyte do wprowadzenia w błąd.

Inne rozwiązania, których możemy się spodziewać, to np. zawieranie porozumień miedzy dostawcami internetu, NASK oraz Prezesem UKE, których celem będzie prowadzenie listy ostrzeżeń przed stronami z oszustwami. Każdy będzie mógł zgłaszać podejrzane domeny, które powinny być tam dopisane.

Dostawcy poczty elektronicznej (dla podmiotów publicznych, oraz mający ponad 500 tys. klientów) będą zobowiązani do stosowania mechanizmów anty-spoofingowych. Ograniczy to w praktyce działania oszustów, którzy próbują podszyć się pod zaufane instytucje i wyłudzić dane od użytkowników poczty elektronicznej. 

Nowe przepisy przewidują także sankcje, czyli między innymi kary pieniężne dla przedsiębiorców, którzy dopuszczają się generowania sztucznego ruchu, smishingu, CLI spoofingu albo nieuprawnionej zmiany informacji adresowej. Kary mogą dosięgnąć także dostawców poczty, którzy nie spełnią swoich nowych obowiązków.