Mozemy psuc biznes przestepcom

PB: Czy jesteśmy w stanie oszacować skalę scamu finansowego w Polsce? Iwona Prószyńska, specjalistka NASK ds. komunikacji w obszarze cyberbezpieczeństwa: Możemy podsumować liczbę zgłoszeń dotyczących cyberzagrożeń, które kierowane są do CERT Polska. Ona wskazuje, ile razy ktoś zauważył, że coś niepokojącego, podejrzanego dzieje się w cyberprzestrzeni i nas o tym zawiadomił. W 2023 r. było około 400 tys. takich zgłoszeń. Nie jest to jednak liczba osób, które stały się obiektem ataku przestępców. Kampanie oszukańcze mają bardzo duże zasięgi i często np. ten sam SMS zgłasza kilkanaście czy nawet kilkaset osób. Dlatego incydentów z zakresu bezpieczeństwa CERT Polska odnotował 80 tys. Z tego ponad 40 tys. to były ataki phishingowe, czyli proste oszustwo, ale niosące poważne skutki. W 2023 r. było dwa razy więcej incydentów niż w 2022 r. W tym roku będzie ich jeszcze więcej. We wrześniu przekroczyliśmy już 80 tys., a zostało jeszcze blisko 100 dni do końca roku. Skala przestępczości w cyberprzestrzeni rośnie, ale zdecydowanie poprawia się też świadomość społeczna tego zjawiska. W ubiegłym roku operatorzy telekomunikacyjni zablokowali 50 mln prób wejścia na strony z listy ostrzeżeń CERT Polska. To znaczy, że 50 mln razy ktoś mógłby dać się oszukać, gdyby nie ta lista. Strona została tam umieszczona m.in. dlatego, że ktoś nie wykasował fałszywego SMS-a, lecz wysłał go do nas. Zgodnie z procedurą, jeśli po weryfikacji okaże się, że faktycznie wiadomość zawiera link prowadzący do strony niebezpiecznej, np. wyłudzającej dane, to wpisujemy ją na listę i przygotowujemy wzorzec SMS-a, który przekazujemy operatorom telekomunikacyjnym. Jeśli przestępcy ruszą z kolejną kampanią, operatorzy telekomunikacyjni zablokują te wiadomości. Patrzę więc na statystyki z pewnym optymizmem. Część zgłaszających to osoby, które rozpoznały oszustwo i wiedzą, że zgłaszając incydent, mogą ochronić innych. Zaskakujące jednak jest to, że ludzie wciąż dają się nabrać na te same schematy działania oszustów, zwłaszcza w przypadku phishingu. Przestępcy są bardzo kreatywni i dostosowują przekaz do okoliczności. Niestety, bardzo szybko adaptują się także do zmieniającej się rzeczywistości. Mamy powódź i od razu pojawiają się sensacyjne nagłówki w mediach społecznościowych z fake newsami, zachęcające do kliknięcia i przejścia na stronę, która poprosi o ponowne podanie danych logowania do mediów społecznościowych. Od razu zaczęły być też organizowane fałszywe zbiórki, bardzo dobrze przygotowane, nawiązujące do stron internetowych z prawdziwymi datkami. Następnie pojawiają się fałszywe inwestycje: „Straciłeś wszystko? Odkuj się dzięki platformie inwestycyjnej”. Schematy z fałszywymi inwestycjami mogą wydawać się trywialne, ale są bardzo sugestywne: „Chcesz mieszkać jak znany sportowiec czy celebryta? Zainwestuj w kryptowaluty lub akcje Baltic Pipe czy innych spółek”. Tym bardziej że przekonuje nas do tego ten konkretny sportowiec, celebryta czy polityk. Deepfejkowe reklamy są coraz lepszej jakości. Deepfejki stanowią poważne wyzwanie. Na razie mamy fałszywe reklamy z celebrytami i politykami, ponieważ przestępcy mają dostęp do odpowiednio dużej próbki głosu i obrazu, by spreparować fałszywy przekaz. Jakość jeszcze nie jest najlepsza, ale takie filmy można zrobić za pomocą ogólnodostępnych narzędzi. Pięć lat temu było to niemożliwe. Patrząc na szybki rozwój AI, wkrótce będzie coraz trudniej rozpoznać, co jest deepfejkiem, a co nie. Jak walczyć z przestępcami, którzy są coraz lepiej przygotowani technologicznie? Możemy im odbierać narzędzia, psuć biznes i sprawiać, by stał się on nieopłacalny. Wierzę, że taką rolę spełni ustawa o zwalczaniu nadużyć w komunikacji elektronicznej oraz regulacje na poziomie europejskim, takie jak Digital Services Act (DSA). Na czym polega ustawa o zwalczaniu nadużyć w komunikacji elektronicznej? To unikat na skalę światową, jeśli chodzi o zastosowane rozwiązania. To równocześnie trudna do adaptacji regulacja, dlatego była wprowadzana etapami. Ostatni zakończył się we wrześniu. Na czym polega jej innowacyjność? Wszyscy znamy scenariusz z telefonem od rzekomego konsultanta bankowego o włamaniu na konto, który dzwoni z numeru identycznego z numerem banku. Żeby uwiarygodnić historię, za chwilę kontaktuje się ktoś z policji, sugerując, by porównać numer wyświetlany na telefonie z numerem na stronie komendy policji. Są identyczne. Od 26 września taka metoda już nie przejdzie. Operatorzy mają obowiązek blokować połączenia, wobec których istnieje duże prawdopodobieństwo, że pochodzą od oszustów. W przypadku wątpliwości, czy jest to scam czy nie, odbiorca zobaczy na telefonie informację o połączeniu z numeru zastrzeżonego. Skuteczność phishingu, czyli zarówno fałszywych SMS-ów, jak też telefonów od rzekomych doradców powinna znacznie spaść. Jakie rozwiązania ustawowe byłyby przydatne w walce z przestępcami? Rozwiązania, które mamy, pozwalają nam podjąć skuteczną walkę z częścią oszustw. Czekamy jeszcze na implementację rozporządzenia DSA, które pozwoli skuteczniej walczyć z oszustwami na platformach społecznościowych. Myślę tu np. o problemie przywoływanych już oszukańczych inwestycji. Wiele osób uważa, że to Święty Graal w walce z oszustwami. Czy na pewno? Rozporządzenie daje nam więcej narzędzi do skutecznego flagowania fałszywych treści na platformach społecznościowych. DSA przewiduje powstanie instytucji trusted flaggers, czyli zaufanych sygnalistów, instytucji z danego państwa, których zgłoszenia będą traktowane priorytetowo. To ułatwi i przyspieszy walkę z fałszywymi reklamami. A jeśli platformy społecznościowe nie będą w sposób skuteczny likwidować wskazanych u nich oszustw, to czekają je kary w wysokości do 6 proc. rocznego światowego obrotu. To jest jak łapanie pcheł, bo przestępcy publikują w sieci setki reklam. Czy jest systemowy sposób, by zmusić platformy społecznościowe do ukrócenia tego procederu? Big techy twierdzą, że nie są w stanie zupełnie wyeliminować oszustw. Oszustwa finansowe już stają się na tyle dużym problemem wizerunkowym, że platformy będą musiały się nim zająć. Potrzebujemy ich zaangażowania. Mówiliśmy już o liście ostrzeżeń. Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej nadaje jej wyższą rangę, ale większość operatorów od lat korzysta z tego narzędzia dobrowolnie, bez przymusu i kar. Dlaczego? Bo ich klienci byli oszukiwani, co prowadziło do spadku zaufania i generowało olbrzymie niezadowolenie. Liczę, że big techy pójdą podobnym tropem. My natomiast wciąż musimy działać wielotorowo. Z jednej strony mamy regulacje na poziomie europejskim, z drugiej ustawę o zwalczaniu nadużyć w komunikacji elektronicznej. Urząd Ochrony Konkurencji i Konsumentów również walczy z oszukańczymi reklamami. Mamy bardzo ciekawą inicjatywę prezesa Urzędu Ochrony Danych Osobowych. Zaproponował, by wykorzystać przepisy o ochronie danych osobowych do przymuszenia platform społecznościowych, żeby blokowały fałszywe reklamy. Aktywny jest także CSIRT działający przy Komisji Nadzoru Finansowego, który flaguje reklamy dotyczące fałszywych inwestycji. Akty prawne na poziomie polskim, europejskim czy rozwiązania technologiczne są ważne, ale równocześnie nie możemy zapominać o edukacji. Jeśli masz wątpliwość, kto jest po drugiej stronie, rozłącz się i zweryfikuj w inny sposób informację, którą usłyszałeś. Gdy widzisz podejrzanego SMS-a, prześlij go na 8080, niech go sprawdzą eksperci. Jeśli reklama w mediach społecznościowych każe ci zalogować się po raz drugi, zastanów się, po co, skoro już jesteś zalogowany. Większość oszustw bazuje na prostych sztuczkach socjotechnicznych i nie potrzebujemy zaawansowanych narzędzi, by przed nimi się bronić. Można też stosować profilaktykę i unikać stron, serwisów, fanpage’ów, gdzie przestępcy łowią swoje ofiary. Ktoś, kto szuka informacji o kryptowalutach lub alternatywnych inwestycjach, zostanie szybko wyłapany przez algorytmy oszustów. Słyszałem, że celem ataków są też użytkownicy czytający sensacyjne wiadomości czy teorie spiskowe. Jeśli interesujesz się takimi tematami, istnieje prawdopodobieństwo, że algorytmy będą ci podpowiadać takie treści, w których więcej będzie potencjalnych oszustw. Nie jest to jednak reguła. Możesz interesować się polityką i w pewnym momencie zobaczyć reklamę inwestycji z posłem czy nawet prezydentem Polski. Ostatnio pojawiła się reklama z komisarzami europejskimi, którzy rzekomo zachęcają do inwestycji w Teslę. Nasze życie przeniosło się do sieci, a z nami przeszli przestępcy. Zorganizowane grupy przestępcze oraz oszuści, którzy kiedyś wyrywali torebki pod bankomatami, dziś tworzą strony phishingowe. To nie są mityczni hakerzy, którzy stosują wyrafinowane metody, ale grupy szukające prostych sposobów, by dotrzeć do nas i dobrać się do naszych pieniędzy. Jeśli mocno utrudnimy im pracę, ich biznes stanie się nieopłacalny, bo im większa świadomość społeczna zagrożeń, tym mniejsza skuteczność przestępców.