Server SMSspoofing.com dokázal během jednoho jediného dne rozvířit doposud klidné letní vody českého mobilního trhu. V souvislosti s touto kauzou jsme položili našim operátorům několik otázek. Chcete vědět, jak se bránit proti falešným SMS? A mohou vám chodit padělané SMS i nadále?
SMS spoofing tu není poprvé
SMS spoofing není pouze název domény, na které se provozuje služba zmiňovaná v tomto článku. Je to také oficiální název jednoho z tzv. kyberzločinů evidovaný centrem Computer Crime Research.
Jeho výskyt není žádnou novinkou, nicméně SMSspoofing.com dovedl celou věc k naprosté „dokonalosti“ a i po včerejším omezení celé služby na 1 SMS zdarma pro 1 telefonní číslo stále zůstává jistou hrozbou, zejména proto, že není problém si u něj zakoupit za 4 EUR dalších 13 SMS. Jedinou útěchou může být to, že jak se včera ukázalo, jeho chod není až tak stabilní.
Uživatelé této služby, kteří ji hodlají zneužít pro různé vtípky či pro jednání, které má za účel někoho přímo poškodit, by si však rozhodně měli také uvědomovat, že nesou právní důsledky za své jednání a že je velice jednoduché původce falešné SMS zpětně vystopovat. Na místě je také otázka možného zneužití telefonních čísel, které provozovatelé těchto služeb od svých uživatelů získávají.
Co dělat, když vám přijde falešná SMS
Mobilní operátoři v rámci Asociace GSM operátorů stanovili v lednu letošního roku následující metodiku postupu v případě, že zákazník některého z nich zjistí, že je obtěžován SMS spoofingem. Takový zákazník by se měl tedy řídit následujícími radami operátorů:
- V první řadě se doporučuje zákazníkovi ověřit si pravdivost SMS zprávy (například zavoláním na číslo, ze kterého Vám zpráva přišla).
- Pokud se podezření zákazníka o nepravosti SMSky potvrdí, doporučuje se kontaktovat zákaznické centrum operátora zákazníka s uvedením podrobností - času doručení SMS zprávy a čísla SMS centra operátora, přes kterého byla SMS zpráva doručena (uvedeno v detailech zprávy).
- Dále je vše v režii operátora zákazníka. Pokud se informace o detailech zprávy potvrdí, operátor zákazníka by měl kontaktovat majitele SMS centra s upozorněním na možné zneužití SMS centra jeho partnery.
- Pokud ze strany partnera nedojde k nápravě, měl by se operátor zákazníka obrátit s žádostí o pomoc na celosvětovou asociaci GSM Association (sekce Sanction Group), jejímž členem jsou všichni významní světoví operátoři.
- Sanction Group pak kontaktuje dotčeného operátora s žádostí o vysvětlení a odstranění problému. V krajním případě může dojít až k podání návrhu na vyloučení operátora z asociace.
Co na to operátoři
Projednávala už Asociace mobilních operátorů problematiku falšování SMS?
Eurotel: Eurotel inicioval projednání této záležitosti na půdě Asociace provozovatelů mobilních sítí. Vzhledem k mezinárodní povaze této problematiky vede Asociace jednání v rámci celosvětové GSM Association, na jejíž půdě se problematikou zabývá speciální pracovní skupina. Tato skupina připravuje soubor opatření a doporučení pro operátory, jak postupovat. Součástí vypracovávané procedury je i návrh sankcí pro operátory, kteří neprovádějí řádnou identifikaci svých uživatelů.
Oskar/Vodafone: V lednu letošního roku projednalo představenstvo Asociace provozovatelů mobilních sítí problematiku „falšování odesílatele SMS zpráv" a s ohledem na globální dopady postoupilo tento problém k nalezení společného řešení přímo pracovní skupině zabývající se bezpečností GSM sítí v rámci celosvětové asociace GSM Association. Celá záležitost byla projednávána na zasedání pracovní skupiny v Orlandu v lednu 2005. Pro případy podezření ze zasílání falešných SMS existuje standardní proces, kterým by se měli operátoři řídi (viz výše).
T-Mobile: Ano.
Co podniknete pro ochranu svých zákazníků před falšovanými SMS?
Eurotel: SMS centra Eurotelu neumožňují díky své vysoké úrovni zabezpečení posílat tento druh falešných SMS zpráv. Společnost Eurotel věnuje otázce bezpečnosti svých systémů a procesů, včetně ochrany identity zákazníků, mimořádnou pozornost. Proto jsme do této oblasti investovali nemalé prostředky.
Zneužití SMS centra provozovaného zahraničním operátorem jsme zaznamenali. Operátora, jehož SMS centrum bylo zneužito, jsme vyzvali, aby sjednal nápravu. V případě, že se naše výzva mine účinkem, přistoupíme k opatření technického rázu. Tento postup je v souladu s doporučením mezinárodní GSM Association.
Oskar/Vodafone: Pokud je služba SMS zpráv používána standardním způsobem, chová se korektně. Zejména v případě internetových aplikací, převážně na zahraničních serverech, však lze SMS zprávy zneužít posláním zprávy přes SMS centrum jiného operátora. Dotyčný jedinec se však vystavuje možnosti právního postihu. Zákazníci by měli mít na paměti, že SMS zpráva je obdobou korespondenčního lístku nebo dopisu, který může někdo poslat adresátovi a uvést přitom úmyslně jiného odesílatele.
Stejně jako mohl v nestřeženém okamžiku mobilní telefon někdo zneužít, stejně tak se může někdo pokusit zneužít znalosti konkrétních mobilních čísel ke zfalšování zprávy. V takovém případě se však může jednat za určitých okolností i o trestný čin.
Konečné řešení přesahuje hranice České republiky a spočívá ve změně nastavení ochrany zabezpečení všech SMS center provozovaných na celém světě tak, aby volitelnou možnost změny čísla odesílatele nepodporovaly. Předejde se tak systémově možnému budoucímu zneužití.
T-Mobile: Pokud zjistíme (jako dnes ráno), že existují nezabezpečené SMS brány v zahraničí z nichž lze zasílat SMS se změněnou identitou přistoupíme k jejich odpojení. Dnes dopoledne jsme odpojili 6 center - 3x Singapur, Nizozemí, Velké Británie a Lichtenštejnsko.
Dále jednáme se zahraničními partnery a snažíme se je přesvědčit, aby zvýšili ochranu svých center na úroveň, jakou máme my. Jednáme s nimi napřímo i prostřednictvím GSM asociace.
Kdy budou tato opatření zavedena? (pokud hodláte nějaká opatření zavádět)?
Eurotel: viz předchozí otázka
Oskar/Vodafone: Tato opatření se týkají SMS center v zahraničních sítích a jsou proto realizována postupně. Vždy, když se případně zjistí chybné nastavení SMS centra, je takový zahraniční operátor kontaktován a požádán o změnu nastavení. V případě, kdy by problém byl většího rozsahu, existuje možnost nastavit filtr, které by však neumožnil přijímat žádné zprávy z tohoto konkrétního zahraničního SMS centra – jinými slovy by ovšem došlo k zablokování SMS provozu přes dotyčného roamingového partnera.
T-Mobile: Blokování již provádíme.
Jak se postavíte k problémům způsobeným zfalšovanými SMS a k případným škodám, které takové falešné SMS mohou napáchat?
Eurotel: SMS zprávy, které zákazník ve skutečnosti neposlal, mu pochopitelně neúčtujeme, a to i v případě, že došlo k prokazatelnému zneužití jeho čísla.
Obecně platí pravidlo, uznávané a upravené i v českém právu, a to, že odpovědný je za škodu ten, kdo jiné osobě způsobil škodu porušením své smluvní nebo zákonné povinnosti.
V tomto případě tzv. „falešných SMS“ však Eurotel není tím, kdo by porušil své povinnosti. Eurotel je pouze doručovatelem SMS, a to i pro SMS, které do sítě Eurotelu přijdou ze zahraničních sítí, jako například tyto tzv. „falešné SMS“. V této souvislosti by tedy vůbec nebyly dány právní důvody zakládající odpovědnost Eurotelu za škodu. Případné reklamace budeme vyřizovat dle standardního postupu naší společnosti.
Rádi bychom také zákazníky vyzvali k opatrnosti při zadávání SMS čísel svých blízkých do webových formulářů neznámých provozovatelů, protože nelze vyloučit jejich pozdější zneužití.
Oskar/Vodafone: Odeslat zprávu s falšovaným odesílatelem je nepříjemné. Je to stejně nepříjemné jako podvržená pohlednice, dopis nebo korespondenční lístek podepsaný někým jiným, než od koho se vydává. Pokud jde v těchto případech o podezření z trestného činu, je možné nechat udělat grafický rozbor písma odesilatele, zjistit razítko odesílající pošty, vytipovat si okruh podezřelých, kteří mohli mít z falešné zprávy nějaký užitek a pokusit se pachatele trestného činu dalšími přímými či nepřímými důkazy usvědčit.
V případě úmyslného zneužití SMS zprávy formou „zfalšování adresy odesílatele“ existují metody, které mohou vést k rychlému usvědčení pachatele. Při posílání SMS zprávy z pouhého „žertu“ by proto měli všichni vždy na paměti, že příjemce zprávy ji za žert považovat nemusí a následky si potom ponese pouze on sám.
T-Mobile: Možnou reklamaci či stížnost budeme vyřizovat v rámci našich standardních postupů. Bez znalosti konkrétní situace bohužel nelze odpovědět jinak než v obecné rovině.
 |
