Zneužívání služeb v telekomunikacích: Jak se mu bránit, co je třeba znát a vědět

Výzkumná bezpečnostní laboratoř v Berlíně našla novou zranitelnost, která umožňuje prolomit bezpečnost SIM karty aniž by o tom uživatel věděl. Útočník by měl být schopen stáhnout nebezpečný software na SIM kartu oběti a následně přístroj ovládat jako běžný uživatel. Ačkoliv zatím nedošlo k takovému zneužití, poskytovatelé služeb reagovali na zjištění zvýšenou podporou zabezpečení SIM karet.



Anglické slovo „fraud“ (podvod, podvodník) se v poslední době stává velmi frekventovaným nejen v bankovním sektoru, ale také v telekomunikacích. Podvodných jednání v této oblasti pochopitelně přibývá s rozvojem nových technologií, ale též v souvislosti s neobyčejnou vynalézavostí a rafinovaností aktérů těchto činů.

 

Staré i nové triky 

Podvodná jednání zaměřená na účastníky – fyzické osoby a společnosti včetně samotných poskytovatelů služeb (operátory) – se v telekomunikacích postupem času vyvíjejí, ale řada z nich se ve skutečnosti v určitých periodách opakuje na stejné nebo vyšší technologické úrovni se stále s rafinovanějšími postupy. Obecně lze tedy říci, že jako rafinované lze posoudit každé podvodné jednání, na které účastník naletí.

Účastníci hlasových služeb elektronických komunikací se například často setkávají s problémem volání z neznámých čísel, na která není možné se zpětně dovolat nebo pokud se i dovolají, jsou spojeni se zahraničním telefonním číslem. Účastníci se také často setkávají s neseriózními nabídkami služeb a zboží nabízenými po telefonu.

Stížností na zneužívání telefonních čísel se zvýšeným tarifem typu 90X stále přetrvávají, a to i přes skutečnost, že v novele zákona o spotřebitelském úvěru je zákaz použití tohoto typu čísla pro nabízení, sjednávaní nebo zprostředkování spotřebitelského úvěru. Navíc Asociace provozovatelů mobilních sítí (APMS) zavedla od 1. října 2012 povinnou bezplatnou informační hlásku u těch čísel 90X, která jsou využívaná pro spotřebitelské úvěry nebo nabídky práce a brigád.

 

Podvod Wangiri 

V případě podvodu typu Wangiri (One (ring) and cut) jde o masivní prozvánění účastníků v mobilních sítích ze zahraničních telefonních čísel s okamžitým ukončením volání pro prvním vyzvonění. Protože mezinárodní provolba „00“ nebo „+“ je u volajícího (příchozího) telefonního čísla často potlačena, volanému se zobrazí zmeškaný příchozí hovor jakoby z českého telefonního čísla, na který pak často reaguje zpětným voláním. Tato volání jsou však směrována na zahraniční prémiová telefonní čísla nebo na telefonní čísla v pevných nebo v mobilních sítích s nahranou hláskou s inzertním sdělením apod.

Na tento podvod doplácí podvedený účastník, přičemž skutečná škoda je sice malá, avšak podvodník v cílové zemi obdrží část z takto protelefonované částky násobené počtem oklamaných účastníků.

 

Žádosti o přeposlání transakčního kódu 

Tato nová lest, využívající techniky sociálního inženýrství, zneužívá důvěřivosti účastníků mobilních sítí. Podvodník si přes aplikaci na webových stránkách objedná u mobilního operátora nebo u jiného poskytovatele služby například dobití svého kreditu pro telefon nebo kreditu do on-line hry, případně si objedná nějaké zboží a do objednávky vypíše, respektive podvrhne cizí mobilní telefonní číslo, na které jsou následně zaslány potvrzovací transakční kódy. Vzápětí podvodník na dotyčné číslo zavolá s omluvou, že došlo k omylu, který údajně již ze svým operátorem vyřešil a prosí držitele podvrženého čísla o sdělení těchto kódů. Ty z důvěřivého účastníka velmi přesvědčivým způsobem vymámí a následně s nimi platební transakci potvrdí. Podvodník tak získá vše co chtěl zcela zdarma, protože veškeré platby jdou na vrub podvedeného účastníka.

Výše finanční transakce je sice operátory omezena maximální výši jednorázové platby a také výši maximálního denního limitu, které jsou uvedeny v obchodních podmínkách pro platební služby, avšak i přesto podvedeni účastníci mohou najednou přijít o stovky až tisíce korun.

Operátoři v tomto případě radí, aby jejich zákazníci byli obezřetní a transakční kódy, které jim přijdou formou SMS zprávy, nikdy nesdělovali třetím osobám.

 

Prémiové SMS 

Zneužívány jsou též různé soutěže (třeba o mobilní telefon), kvízy inteligence, on-line hry nebo videa se službami pro dospělé pro mobilní telefony, u nichž může být „zamaskována“ informace o tom, že projevením zájmu o soutěž, vyplněním kvízu a zaplacením prémiové SMS zprávy pro zaslání jeho výsledku nebo odebráním (zobrazením) konkrétního videa, bude účastník opakovaně dostávat zpoplatněné (prémiové) SMS zprávy – a to až do zrušení odběru takovéto služby nebo do ukončení soutěže, s často nic neříkajícím, respektive se zavádějícím textem, například:

Vyhraj skvele ceny na NMOBxxx. Cena zprávy 99 Kc s DPH za sluzbu NMOBxxx. Pro zruseni posli SMS ve tvaru STOP na cislo 90749. Vice info posli SMS HELP na 90749,

která ve skutečnosti připomíná inzertní SMS zprávu zaslanou poskytovatelem služby účastníkům jenom proto, aby se zapojili do této hry. Jenže v této fázi již byli účastníci do této hry zapojeni a ignorování takovýchto SMS zpráv, to je okamžité nezrušení odběru služby, pouze způsobilo to, že jim operátor po každém doručení této SMS zprávy odečetl příslušnou finanční částku. Často tedy není účastník v plném rozsahu seznámen s podmínkami her a zejména s objednáním služby opakovaného zasílání prémiových SMS zpráv včetně cen, což mu může způsobit škodu ve výši stovek až tisíců korun.

 

Textové SMS zprávy s výzvou na zaplacení dlužné částky 

Byly zaznamenány i případy rozesílání SMS zpráv s falešným upozorněním na nezaplacený dluh, a to například i začátkem července letošního roku, kdy byl v této věci využit krátký kód 39024 pravděpodobně náležející konkrétnímu centru SMS zpráv nebo definující začátek mezinárodního telefonního čísla z Itálie, účastníkům mobilních sítí, a to i několikrát denně ve znění:

RB: * Prikaz k uhrade * Zadano: 6 375,00 CZK * Na: 760649xxx/0800 * Dne 09.07.2013 xx:11 * Duvod nerealizace: chybna dispozicni zprava.

Takovéto SMS zprávy jsou rozesílány hromadně a může se stát, že bude zaslána účastníkovi, který skutečně nějaký dluh po splatnosti má a na takovouto SMS zprávu bude reagovat zaplacením částky, avšak místo oprávněnému věřiteli tak zaplatí pouze podvodníkovi. V závislosti na výši dlužné částky uvedené v textové SMS zprávě může způsobená škoda dosahovat stovek až tisíců korun.

 

Audiotexové služby poskytované na číslech 90X

Volání do studia nočních televizních soutěžních pořadů 

Pro volání do nočních televizních soutěžních pořadů jsou využívána prémiová telefonní čísla typu 90X. Cena za volání na takovéto číslo může být od 6 do 95 Kč s DPH za každou i započatou minutu volání a pro volání do studia jsou využívány tarify na horní hranici tohoto rozpětí. Volajícímu nejsou před zavoláním na číslo 90X zobrazeny na obrazovce TV nebo sděleny moderátorkou pořadu důležité informace, zejména, že se jedná pouze o soutěž, ve které není přepojen do studia každý volající, dále, že i takzvané „čekání“ na lince při poslechu hudby, opakující se informační hlásky nebo mluveného slova je zpoplatněno vysokým tarifem. Volající je také často při čekání na lince udržován v mylné představě, že každým okamžikem může být do studia přepojen.

Podrobné informace ke hrám, loteriím nebo losováním jsou často uvedeny pouze na webových stránkách poskytovatele služby, které volající nezná a na něž není před voláním na číslo 90X rovněž upozorněn. Také jsou občas volajícím pokládány moderátorem pořadu nesnadno zodpověditelné nebo i neřešitelné otázky, a to z důvodu umělého prodloužení již probíhajícího hovoru na čísle 90X. S využitím výše uvedených nemorálních metod poskytovatelem služby tak mohou účastníci přijít o stovky až tisíce korun.

 

Špatně nastavený přístup k prémiové službě 

Při poskytování služeb obsahu prostřednictvím čísel 90X se nezřídka vyskytuje tarifování úvodní hudby, obecné informační hlásky o druhu poskytované služby, vyzvánění na službu a podobně, v uskutečněném volání. Spotřebitelům jsou tak účtované časti nebo celá volání na telefonní čísla 90X, při kterých jim nebyla poskytnuta požadovaná služba obsahu. Účastníci, kteří se rozhodli ukončit volání na číslo 90X v průběhu těchto technických nebo obecných informačních procesů, zaplatí vždy i za takovéto volání, a to nejčastěji ve výši tarifu pro minimální délku volání, která je u čísel 90X jedna minuta.

 

Spamová a obtěžující volání 

Spamová a obtěžující volání mohou být různého druhu. Mezi obtěžující volání můžeme zařadit i prozvánění účastnických telefonních čísel v těch případech, když marketingová nebo jiná obdobná společnost potřebuje zjistit aktivní a neaktivní telefonní čísla z důvodu vytváření nebo i čištění databáze potencionálních zákazníků.

Dále se jedná o průzkumy veřejného mínění nebo jiného typu sběru dat včetně nabídek služeb a zboží marketingovými společnostmi (call centry). Častým problémem je ta skutečnost, že telefonní linky marketingových společností mohou být nastaveny pouze pro odchozí volání, z čehož vyplývá, že účastník, který nechce, aby byl uveden v databázi potencionálních zákazníků takovéto společnosti a neučinil tak v průběhu hovoru nebo na telefonickou nabídku reagoval kladně, (s tím, že si to po ukončení hovoru rozmyslel), se zpětně na telefonní číslo již nedovolá.

Spamové volání se může týkat i prémiových služeb, kdy v roce 2007 došlo u nás k masivnímu obvolávání účastníků ze zahraničního geografického telefonního čísla společnosti Onaway s podvodným sdělením informace o výhře s tím, že „výherce“ si měl pro další podrobnosti v této věci zavolat na telefonní čísel typu 90X. V závislosti na délce volání tak poškozeni účastníci přišli řádově o stovky až tisíce korun.

 

Rovněž operátoři v ohrožení 

Telekomunikační operátoři v důsledku podvodných jednání svých zákazníků nebo i obchodních partnerů přicházejí ročně o nemalé procento svých tržeb. Zdaleka se nejedná jen o tradiční neplacení za již odebrané služby, ale o řadu dalších příčin. Patří k nim třeba jednání různých podvodných telekomunikačních společností, které provádějí podvody na velkoobchodní úrovni, jako je například podvodné směrování telefonního provozu do koncové sítě pomocí SIM boxů apod. Jejich ztráty lze však nezřídka přičíst i na vrub podvodných jednání vlastních zaměstnanců.

Operátoři proto – zejména pro ochranu svých sítí – nasazují hardwarové a softwarové prostředky typu IDS – Intrusion Detection System apod., které je mají chránit před výše uvedeným jednáním. Například zmíněný IDS detekuje nežádané zásahy a manipulace v počítačových systémech nebo sítích v rámci sítě internet, lokálních sítích (LAN)) nebo v sítích bezdrátových (WLAN). Manipulací se rozumí pokus o narušení integrity systému, útok na hesla (crack) nebo pokus o ovládnutí serveru. Detekce narušení se používá na lokalizaci nejpoužívanějších hackerských technik. To zahrnuje síťové útoky proti zranitelným službám, útoky na aplikace, neautorizované přihlášení, přístup k citlivým datům a malware (virus, trojský kůň a červy).

Existuje ovšem i samostatný systém pro vyhledávání telekomunikačních podvodů, takže možnosti operátorů jsou v tomto případě ve skutečnosti větší.

Někteří, zejména velcí operátoři, jsou členy mezinárodních organizací, které se zabývají i bezpečností telekomunikačních sítí a sítě internet včetně v nich poskytovaných služeb. Těmito organizacemi jsou zejména Světová asociace mobilních operátorů (GSMA), Mezinárodní telekomunikační unie (ITU) či třeba organizace RIPE (Réseaux IP Européen), která přiděluje například pro region Evropy internetové adresy.

 

Jak se bránit, kam se lze obrátit 

Každý případ podvodného jednání v telekomunikacích obvykle vyžaduje individuální prošetření. Jednotlivé případy, i když na první pohled vypadají stejně, se totiž mohou v některých skutečnostech lišit, takže je někdy nutné je posuzovat podle různých ustanovení zákona o elektronických komunikacích nebo dokonce i podle jiných právních předpisů.

Ke zjištění, že se účastník stal obětí podvodného jednání, dochází zpravidla až při doručení vyúčtování operátorem nebo účastník může být na tuto skutečnost svým operátorem individuálně upozorněn.

Obecně každý účastník má právo uplatnit u svého operátora reklamaci na vyúčtování ceny nebo na vadně poskytnutou službu, a to do dvou měsíců ode dne dodání vyúčtování ceny za poskytnutou službu nebo do dvou měsíců ode dne vadného poskytnutí služby, jinak právo zanikne. Operátor je povinen vyřídit reklamaci na vyúčtování ceny nebo na poskytování služby bez zbytečného odkladu, nejpozději do jednoho měsíce ode dne doručení reklamace. Vyžaduje-li vyřízení reklamace projednání se zahraničním provozovatelem, je povinen reklamaci vyřídit nejpozději do dvou měsíců ode dne jejího doručení. Pokud účastník nesouhlasí s vyřízením reklamace svým operátorem, může podat námitku proti vyřízení reklamace na Český telekomunikační úřad. Tento postup platí pro fyzické osoby i společnosti. V případě, že se jedná o podvodné jednání, může se účastník obrátit na Policii České republiky. Problematiku zneužití osobních údajů a obchodního spamu řeší Úřad pro ochranu osobních údajů. Řešení problematiky prémiových služeb náleží zejména do gesce České obchodní inspekce.

Dodejme, že na webových stránkách Českého telekomunikačního úřadu www.ctu.cz je v části “Ochrana spotřebitele“ uveden pro účastníky souhrn důležitých informací týkajících se problematiky účastnických smluv, rádiových a telekomunikačních zařízení a telekomunikačních služeb. V neposlední řadě je zde dostupný i seznam státních i nestátních institucích, které se zabývají ochranou spotřebitelů se zaměřením na telekomunikace. Jsou zde také uvedeny konkrétní příklady a odkazy na jejich databáze.

Například mezi novými informacemi týkajícími se telekomunikací na stránkách Národního týmu CSIRT, který je provozován sdružením NIC.CZ, je zpráva o tom, že „Výzkumná bezpečnostní laboratoř v Berlíně našla novou zranitelnost, která umožňuje prolomit bezpečnost SIM karty aniž by o tom uživatel věděl. Útočník by měl být schopen stáhnout nebezpečný software na SIM kartu oběti a následně přístroj ovládat jako běžný uživatel. Ačkoliv zatím nedošlo k takovému zneužití, poskytovatelé služeb reagovali na zjištění zvýšenou podporou zabezpečení SIM karet.“

Bohužel, jak již bylo mnohokrát konstatováno, podvodná jednání bývají zpravidla o krok napřed před bezpečnostní ochranou před nimi a určitě se vyplatí být o možných rizicích včas a detailně informován.

 

Malý průvodce některých organizací, které se v ČR zabývají ochranou spotřebitele v oblasti telekomunikací

 

Policie České republiky (PČR)

www.policie.cz

Ve vztahu k telekomunikacím přijímá trestní oznámení od občanů. Zabývá se kyberkriminalitou, chrání občany před nebezpečným pronásledováním a obtěžováním (stalking) prováděným i po pomocí mobilního telefonu nebo e-mailů. Na základě žádosti majitele může zablokovat jeho odcizený mobilní telefon a také umožňuje ve své veřejně dostupné databázi ověření čísla IMEI odcizeného mobilního telefonu. Podporuje projekt „Bezpečný internet“.

 

Český telekomunikační úřad (ČTÚ)

www.ctu.cz

Je národním regulátorem elektronických komunikací, poštovních služeb, správce rádiového spektra, telefonních čísel a kódů. Eviduje podnikatele v elektronických komunikacích a v poštovních službách. Zajišťuje ochranu spotřebitelů v těchto oblastech. Ve svých veřejně dostupných databázích umožňuje získat potřebné informace.

 

Česká obchodní inspekce (ČOI)

www.coi.cz

Řeší mimo jiné služby obsahu poskytované prostřednictvím telefonních čísel 90X nebo poskytované prostřednictvím krátkých kódů pro prémiové SMS a MMS zprávy. Spolupracuje se subjekty na ochranu spotřebitele, využívá a přispívá do databází RAPEX a ICSMS, které se týkají  informací o nebezpečných výrobcích včetně z oblasti telekomunikací.

 

Úřad pro ochranu osobních údajů (ÚOOÚ)

www.uoou.cz

Má v působnosti ochranu osobních údajů a dozor nad dodržováním povinností při jejich zpracování i v oblasti elektronických komunikací. Řeší problematiku nevyžádaných obchodních sdělení (spam).

 

Ministerstvo průmyslu a obchodu České republiky (MPO)

www.mpo.cz

Mimo jiné má v působnosti ochranu elektronických komunikací. Připravuje spuštění projektu mimosoudního řešení spotřebitelských sporů ADR, a to i pro oblast telekomunikací. Na svých webových stránkách odkazuje na projekt Evropské unie Dolceta, který rozvíjí informovanost a vzdělanost spotřebitelů rovněž v telekomunikačních službách.

 

Veřejný ochránce práv – Ombudsman

www.ochrance.cz

Má v působnosti ochranu občanů před nesprávným jednáním úřadů a dalších institucí vykonávajících státní správu.

 

Asociace provozovatelů mobilních sítí (APMS)

www.apms.cz a www.platmobilem.cz

Má v působnosti krátké kódy pro prémiové SMS a MMS zprávy. Stanovuje podmínky pro poskytování prémiových služeb (Kodexy služeb). V její veřejně dostupné databázi je možné získat jméno, adresu a kontaktní údaje agregátorů a poskytovatelů služby obsahu, kteří využívají konkrétní prémiová telefonní čísla a krátké kódy pro prémiové SMS a MMS zprávy.

 

Computer Security Incident Response Team (CSIRT)

www.csirt.cz

Má v působnosti řešení incidentů v telekomunikačních a počítačových sítích a v síti internet, které se týkají problematiky malwaru, spamu, phishingu, DOS a DDOS útoků, sítí botnet apod. Vydává aktuální informace se zaměřením na bezpečnost sítí a služeb.

 

European Network and Information Security Agency (ENISA)

www.enisa.europa.eu

Evropská agentura pro bezpečnost sítí a informací poskytuje poradenství Komisi a zemím EU a také koordinuje opatření, která podnikají pro zabezpečení svých sítí a informačních systémů. Cílem je dosáhnout vysokého stupně informační a síťové bezpečnosti mezi členskými státy EU. Vydává varování týkající se bezpečnosti sítí.

 

Podrobnější informace naleznete na webových stránkách jednotlivých organizací nebo i stránkách www.ctu.cz.

Úvodní foto: © Hunta - Fotolia.com

« předchozí článek další článek »








Komentáře