Naš bralec Branko K. je četrt stoletja uporabljal isto telefonsko številko. Nekega oktobrskega dne pa je njegov telefon ponorel. Postal je žrtev spoofinga – digitalne kraje identitete, kjer so se slovenski operaterji, regulatorji in tehnologija izkazali za nemočne, medtem ko je on še vedno nosil breme jeze neznancev.
Kot nam je pojasnil, se je začelo kot navaden dan, končalo pa kot epizoda iz kafkovske nočne more. Njegov mobilni telefon je nenadoma začel zvoniti. In ni nehal. Klici so deževali drug za drugim, večinoma iz sosednje Hrvaške, vmes pa so se vrivala zmedena in jezna SMS-sporočila neznancev. »Denar sem že nakazal, kako se dogovorimo?« je pisalo v enem. Drugi je spraševal o dostavi paketa. V enem samem dnevu je njegov telefon zabeležil od 30 do 50 dohodnih klicev.
Branko ni nikomur ničesar prodajal. Ni dostavljal paketov. Bil je upokojenec, ki se je znašel v središču nevihte, imenovane CLI spoofing (Call Line Identification spoofing) oziroma potvarjanje klicne identitete. Nekdo nekje v digitalnem podzemlju si je izposodil njegovo telefonsko številko in jo uporabil kot krinko za svoje goljufive operacije. Za žrtve na drugi strani linije je bil Branko goljuf. Zanj so bili oni nadlegovalci.
Toda prava grozljivka ni bila le tehnološka zloraba, temveč popolna nemoč institucij, ki bi ga morale zaščititi. Njegova zgodba razkriva globoke razpoke v slovenskem in evropskem telekomunikacijskem sistemu, kjer se odgovornost preliva med operaterji, inšpekcijami in policijo, uporabnik pa ostane sam s telefonom, na katerega se ne sme oglasiti.
Labirint birokracije
Ko je Branko, obupan zaradi neprestanega zvonjenja, poiskal pomoč pri svojem operaterju A1, je pričakoval tehnično rešitev. Naletel je na birokratski zid. Tehnik mu je sicer pravilno pojasnil, da je žrtev spoofinga, toda ko je Branko prosil za blokado dohodnih klicev iz tujine – od koder je prihajala večina prometa –, je bil odgovor hladen, se spominja Branko. Tega pravno ne smemo storiti in za to nimamo primerne programske opreme, so mu hiteli pojasnjevat.
Poskušali so z drastičnim ukrepom: številko so za nekaj dni izklopili. Toda ko so jo ponovno vključili, se je nočna mora nadaljevala. Obrnil se je tudi na ministrstvo za digitalno preobrazbo, kjer so ga odslovili. Obrnil se je na inšpekcijo za informacijsko varnost, kjer so mu pojasnili, da so pristojni le za pravne osebe. Na koncu je pristal na policiji; ne zato, da bi ujeli storilca, ampak da bi dobil uradni zaznamek, da je on žrtev, in ne storilec – preventivni alibi za primer, da bi ga kdo od prevaranih ljudi dejansko tožil.
»Predstavljajte si, kako je po 25 letih zamenjati telefonsko številko, na katero je vezano vse, od banke do zdravnika,« pravi Branko. To je, se zdi, edina rešitev, ki mu je preostala.
Vendar Brankova izkušnja razkriva nekaj še bolj zaskrbljujočega: neusklajenost med predstavniki operaterjev glede tega, kaj je mogoče in kaj ne.
Medtem ko so mu na A1 trdili, da je blokada klicev iz tujine pravno in tehnično nemogoča, so pri konkurenčnem Telekomu Slovenije za naš časnik predstavili povsem drugačno sliko. »S soglasjem uporabnika lahko uredimo blokado vseh dohodnih klicev iz tujine za določeno obdobje ali trajno blokado klicev iz specifičnih držav, denimo Hrvaške,« so pojasnili v svojem odzivu. Še več, Telekom trdi, da uporabnikom svetujejo in pomagajo, ne pa jih odslovijo s sklicevanjem na zakonodajo.
No, resnici na ljubo moramo dodati, da so nam z A1 uradno poslali drugačno pisno pojasnilo. »Kot operater lahko na željo uporabnika vzpostavimo blokado vseh dohodnih klicev iz tujine. Takšna rešitev lahko ustavi nadlegovanje, vendar ima tudi pomembno omejitev – uporabnik po vzpostavitvi blokade ni dosegljiv za nobeno tujo telefonsko številko iz blokiranega sklopa številk, kar lahko predstavlja težavo, če ga na primer želijo kontaktirati družinski člani ali drugi pomembni klicatelji iz tujine,« so nam sporočili.
Kdo ima prav?
Agencija za komunikacijska omrežja in storitve (AKOS), slovenski regulator trga, je v svojem pojasnilu za naš časopis prav tako razblinila mit o pravnih ovirah. »Obveznost omogočanja blokade dohodnih klicev iz tujine ni zakonsko določena, niti tega zakonodaja ne prepoveduje,« so zapisali. Dodali so, da operaterji tovrstne blokade lahko omogočajo, če jim to dopuščajo tehnične zmožnosti.
Torej, Branko ni bil žrtev zakona, temveč pogovora s predstavniki operaterja, ki bržkone ni imel, kot se zdi, vseh informacij.
Da bi razumeli, zakaj je spoofing tako trdovraten problem, moramo pogledati v drobovje svetovnega telekomunikacijskega omrežja. Mnogi uporabniki, vključno z novinarji, se sprašujejo: »Mar ni številka vezana na kodo telefona IMEI? Kako lahko nekdo kliče z moje številke, če je kartica SIM v mojem žepu?«
Odgovor leži v razliki med staro telefonsko tehnologijo in sodobno internetno telefonijo (VoIP).
Tradicionalna telefonija je temeljila na fizičnih povezavah, kjer je bilo težko lagati o tem, od kod kličete. Toda danes večina mednarodnih klicev poteka prek interneta. Goljufi uporabljajo storitve VoIP (Voice over IP), ki delujejo podobno kot pošiljanje pisma. Ko pošljete slednje, na ovojnico napišete naslov pošiljatelja. Pošta ne preverja, ali ste res oseba, ki je napisana na hrbtni strani ovojnice. Preprosto dostavi pismo.
Globalna igra mačke z mišjo
Podobno deluje spoofing. Goljufi v klicnih centrih – pogosto v tujini – uporabljajo programsko opremo, ki jim omogoča, da v polje »pošiljatelj« (Caller ID) vpišejo katero koli številko. Sistem, ki vzpostavlja klic, pogosto ne preverja pristnosti tega podatka.
Kot pojasnjujejo na AKOS, številka IMEI tu ne igra nobene vloge. IMEI je serijska številka same naprave (telefona) in nima nobene povezave s telefonsko številko, ki se izpiše na ekranu prejemnika. Operater lahko vidi, da klic tehnično ne prihaja z Brankovega telefona, vendar sistem signalizacije med omrežji tega ne zavrne avtomatsko, saj je bil zasnovan v času, ko je bilo medsebojno zaupanje med operaterji samoumevno.
Danes to zaupanje izkoriščajo kriminalne združbe za marsikaj – od prodaje lažnih kriptovalut do bančnih zlorab. »Številke, ki jih uporabijo napadalci, so izbrane povsem naključno,« pojasnjujejo na nacionalnem odzivnem centru za kibernetsko varnost SI-CERT. Branko ni bil tarča zarote, pač pa je bil na nekak način žrtev statistike.
Problem pa ni omejen na Slovenijo. Gre za globalno epidemijo. V Italiji so regulatorji že sprejeli strožje ukrepe, podobne pobude potekajo na ravni EU. Telekom Slovenije priznava, da gre za globalno težavo, saj goljufi nenehno menjajo številke, da bi obšli varnostne sisteme.
»Žal se hitro spreminja tudi narava prevar, ob stalno novih je treba stalno slediti z dodelavo ukrepov,« priznavajo na AKOS. Regulatorji se združujejo v forumih, kot je GIRAF (Global Informal Regulatory Antifraud Forum), vendar se zdi, da zakonodaja vedno caplja korak za tehnologijo.
Luč na koncu tunela
Obstaja pa luč na koncu tunela. Telekom Slovenije napoveduje uvedbo medoperaterskega sistema preverjanja klicev, ki je v zaključni fazi. Ta sistem bi preprečil, da bi se klicatelji iz tujine lažno predstavljali s slovenskimi številkami. To je tehnološki ekvivalent temu, da bi pošta končno začela preverjati osebno izkaznico vsakega, ki odda pismo.
Toda dokler ti sistemi ne bodo polno delovali po vsej Evropi, ostajajo uporabniki v negotovosti. Kaj torej storiti, če se znajdete v Brankovi koži?
Ne obupajte nad operaterjem: kot kaže, se pojasnila predstavnikov operaterjev lahko razlikujejo. Zahtevajte razrešitev primera. Če vam rečejo, da se ne da, se sklicujte na mnenje AKOS, da blokada klica iz tujine ni nezakonita.
Blokada na telefonu: sodobni pametni telefoni omogočajo blokiranje neznanih številk ali namestitev aplikacij za filtriranje klicev. AKOS svetuje, da uporabniki to uredijo sami, če operater ne more.
Ne vračajte klicev: če vidite zgrešen klic z neznane številke, še posebej iz tujine, ne kličite nazaj. S tem se izpostavljate stroškom in potrjujete, da je vaša številka aktivna.
Policijski zapisnik: čeprav policija verjetno ne bo našla storilca v tujini, je zapisnik ključen za vašo pravno zaščito v primeru zlorab vašega imena, kot je pravilno storil naš bralec.
Kot lahko vidimo, v digitalni dobi naša identiteta ni več povsem naša. Je niz podatkov, ki potujejo skozi strežnike, ki jih ne vidimo, in prek omrežij, ki jih ne razumemo.
Ko operater reče, da ne more pomagati, ker sistem tega ne omogoča, to ni le tehnični odgovor. To je priznanje poraza industrije, ki je dovolila, da so njeni varnostni standardi zastarali, medtem ko so dobički rasli.
Branko pa – slišali smo se le nekaj dni pred oddajo prispevka v tiskarno – še vedno dobiva klice. Njegov telefon, nekoč orodje za povezovanje s svetom, je postal vsiljivec v dnevni sobi. In dokler se regulatorji in operaterji ne bodo uskladili ter uvedli strogih tehničnih rešitev preverjanja vira klicev, lahko jutri zazvoni telefon tudi vam. In ko boste dvignili, vas bo morda na drugi strani nahrulil popoln tujec, ki bo trdil, da ste mu pravkar ukradli prihranke.
