Gość (83.4.*.*)
Codziennie miliony ludzi na całym świecie odbierają telefony od rzekomych pracowników banków, policjantów czy konsultantów technicznych. Często na ekranie telefonu wyświetla się znajomy numer lub oficjalna nazwa instytucji, co usypia naszą czujność. To zjawisko nazywamy spoofingiem, a protokół STIR/SHAKEN powstał właśnie po to, by z tym walczyć. Czy jest on jednak tarczą nie do przebicia? Odpowiedź nie jest tak prosta, jak mogłoby się wydawać.
Zanim przejdziemy do skuteczności, warto zrozumieć, co kryje się pod tymi filmowo brzmiącymi akronimami. STIR (Secure Telephone Identity Revisited) oraz SHAKEN (Signature-based Handling of Asserted information using toKENs) to zestaw standardów technicznych, które pozwalają operatorom telekomunikacyjnym na cyfrowe "podpisanie" połączenia.
Działa to trochę jak paszport z biometrycznymi zabezpieczeniami. Kiedy ktoś do Ciebie dzwoni, operator inicjujący połączenie sprawdza, czy dzwoniący ma prawo korzystać z danego numeru. Jeśli tak, do połączenia dołączany jest cyfrowy certyfikat. Operator odbierający (Twój operator) sprawdza ten certyfikat i na tej podstawie decyduje, czy wyświetlić Ci informację o „zweryfikowanym numerze”, czy może ostrzeżenie o potencjalnym spamie.
Krótka odpowiedź brzmi: nie bezpośrednio, ale drastycznie utrudnia życie oszustom. Sam protokół nie jest „ścianą ognia”, która fizycznie odcina każde fałszywe połączenie, zanim dotrze ono do Twojego telefonu. Jego głównym zadaniem jest dostarczenie wiarygodnej informacji o tożsamości dzwoniącego.
W praktyce wygląda to tak:
W systemie STIR/SHAKEN każde połączenie otrzymuje jeden z trzech poziomów atestacji (poświadczenia):
Twórcy standardu celowo ułożyli akronimy tak, aby nawiązywały do słynnego zamówienia agenta 007: „Martini, shaken, not stirred” (wstrząśnięte, nie zmieszane). Miało to prawdopodobnie nadać technologii nieco bardziej „bezpieczniacki” i rozpoznawalny charakter w świecie nudnych specyfikacji technicznych.
Mimo wprowadzenia STIR/SHAKEN (szczególnie w USA i Kanadzie, a coraz częściej także w Europie), oszuści wciąż znajdują luki. Oto główne powody, dla których system nie jest jeszcze idealny:
System działa najlepiej, gdy oba końce połączenia (operator dzwoniącego i odbierającego) obsługują ten standard. Jeśli oszust dzwoni z kraju, który nie wdrożył STIR/SHAKEN, połączenie trafia do sieci jako „niezweryfikowane”, ale wciąż może zostać zrealizowane.
Protokół ten został zaprojektowany dla nowoczesnych sieci IP (VoIP). Starsze centrale telefoniczne, które wciąż funkcjonują w wielu miejscach na świecie, nie potrafią przesyłać cyfrowych certyfikatów. To tworzy „dziury” w łańcuchu zaufania.
Oszuści coraz częściej kupują tysiące prawdziwych, legalnych numerów telefonów. W takim przypadku STIR/SHAKEN poprawnie zweryfikuje połączenie (Poziom A), ponieważ numer faktycznie należy do dzwoniącego. System nie wie jednak, że dzwoniący ma złe zamiary – on sprawdza tylko tożsamość, a nie intencje.
W Polsce walka ze spoofingiem nabrała tempa dzięki ustawie o zwalczaniu nadużyć w komunikacji elektronicznej. Urząd Komunikacji Elektronicznej (UKE) oraz NASK współpracują z operatorami, aby wdrażać mechanizmy podobne do STIR/SHAKEN.
Obecnie w Polsce kładzie się duży nacisk na tzw. listę numerów zastrzeżonych dla instytucji publicznych. Dzięki temu, jeśli oszust spróbuje podszyć się pod numer infolinii danego banku czy urzędu, operatorzy mają obowiązek zablokować takie połączenie, zanim dotrze ono do użytkownika.
Nawet najlepsze protokoły nie zastąpią ograniczonego zaufania. Jeśli odbierasz telefon i widzisz numer swojego banku, ale rozmówca prosi Cię o zainstalowanie aplikacji (np. AnyDesk) lub podanie kodu BLIK – rozłącz się. Najlepiej samodzielnie zadzwoń na oficjalną infolinię danej instytucji, wpisując numer ręcznie na klawiaturze. To najskuteczniejszy sposób, by ominąć pułapkę spoofingu, niezależnie od tego, jak zaawansowane systemy weryfikacji stosuje Twój operator.