Jakie masz pytanie?

lub

Czy protokół STIR/SHAKEN stosowany przez operatorów zapobiega docieraniu połączeń typu spoofing do potencjalnych ofiar?

ochrona przed spoofingiem jak działa spoofing weryfikacja tożsamości dzwoniącego
avatar

Gość (83.4.*.*)



Odpowiedź:

Codziennie miliony ludzi na całym świecie odbierają telefony od rzekomych pracowników banków, policjantów czy konsultantów technicznych. Często na ekranie telefonu wyświetla się znajomy numer lub oficjalna nazwa instytucji, co usypia naszą czujność. To zjawisko nazywamy spoofingiem, a protokół STIR/SHAKEN powstał właśnie po to, by z tym walczyć. Czy jest on jednak tarczą nie do przebicia? Odpowiedź nie jest tak prosta, jak mogłoby się wydawać.

Czym dokładnie jest protokół STIR/SHAKEN?

Zanim przejdziemy do skuteczności, warto zrozumieć, co kryje się pod tymi filmowo brzmiącymi akronimami. STIR (Secure Telephone Identity Revisited) oraz SHAKEN (Signature-based Handling of Asserted information using toKENs) to zestaw standardów technicznych, które pozwalają operatorom telekomunikacyjnym na cyfrowe "podpisanie" połączenia.

Działa to trochę jak paszport z biometrycznymi zabezpieczeniami. Kiedy ktoś do Ciebie dzwoni, operator inicjujący połączenie sprawdza, czy dzwoniący ma prawo korzystać z danego numeru. Jeśli tak, do połączenia dołączany jest cyfrowy certyfikat. Operator odbierający (Twój operator) sprawdza ten certyfikat i na tej podstawie decyduje, czy wyświetlić Ci informację o „zweryfikowanym numerze”, czy może ostrzeżenie o potencjalnym spamie.

Czy STIR/SHAKEN faktycznie zapobiega spoofingowi?

Krótka odpowiedź brzmi: nie bezpośrednio, ale drastycznie utrudnia życie oszustom. Sam protokół nie jest „ścianą ognia”, która fizycznie odcina każde fałszywe połączenie, zanim dotrze ono do Twojego telefonu. Jego głównym zadaniem jest dostarczenie wiarygodnej informacji o tożsamości dzwoniącego.

W praktyce wygląda to tak:

  • Weryfikacja tożsamości: Jeśli połączenie przejdzie przez system z najwyższym stopniem zaufania (tzw. Full Attestation), masz niemal 100% pewności, że dzwoniący jest tym, za kogo się podaje.
  • Oznaczanie podejrzanych połączeń: Połączenia, które nie mają certyfikatu lub mają certyfikat niskiej jakości, mogą być oznaczane przez smartfony jako „Podejrzenie spamu” lub „Numer niezweryfikowany”.
  • Możliwość blokowania: Operatorzy, dysponując danymi ze STIR/SHAKEN, mogą automatycznie odrzucać połączenia, które ewidentnie podszywają się pod numery alarmowe lub bankowe, zanim telefon ofiary w ogóle zadzwoni.

Trzy poziomy zaufania, czyli jak operator ocenia dzwoniącego

W systemie STIR/SHAKEN każde połączenie otrzymuje jeden z trzech poziomów atestacji (poświadczenia):

  1. Poziom A (Full Attestation): Operator zna dzwoniącego i potwierdza, że ma on prawo korzystać z tego konkretnego numeru. To najwyższy poziom zaufania.
  2. Poziom B (Partial Attestation): Operator zna dzwoniącego, ale nie może potwierdzić, że ma on prawo do używania wyświetlanego numeru (np. połączenie przechodzi przez centralę firmową).
  3. Poziom C (Gateway Attestation): Operator jedynie przekazuje połączenie, które przyszło z innej sieci (często zagranicznej) i nie może zweryfikować tożsamości dzwoniącego. To tutaj najczęściej kryją się oszuści.

Ciekawostka: Dlaczego nazwa kojarzy się z Jamesem Bondem?

Twórcy standardu celowo ułożyli akronimy tak, aby nawiązywały do słynnego zamówienia agenta 007: „Martini, shaken, not stirred” (wstrząśnięte, nie zmieszane). Miało to prawdopodobnie nadać technologii nieco bardziej „bezpieczniacki” i rozpoznawalny charakter w świecie nudnych specyfikacji technicznych.

Dlaczego spoofing wciąż dociera do ofiar?

Mimo wprowadzenia STIR/SHAKEN (szczególnie w USA i Kanadzie, a coraz częściej także w Europie), oszuści wciąż znajdują luki. Oto główne powody, dla których system nie jest jeszcze idealny:

Brak globalnej spójności

System działa najlepiej, gdy oba końce połączenia (operator dzwoniącego i odbierającego) obsługują ten standard. Jeśli oszust dzwoni z kraju, który nie wdrożył STIR/SHAKEN, połączenie trafia do sieci jako „niezweryfikowane”, ale wciąż może zostać zrealizowane.

Starsze technologie (TDM)

Protokół ten został zaprojektowany dla nowoczesnych sieci IP (VoIP). Starsze centrale telefoniczne, które wciąż funkcjonują w wielu miejscach na świecie, nie potrafią przesyłać cyfrowych certyfikatów. To tworzy „dziury” w łańcuchu zaufania.

„Legalny” spam

Oszuści coraz częściej kupują tysiące prawdziwych, legalnych numerów telefonów. W takim przypadku STIR/SHAKEN poprawnie zweryfikuje połączenie (Poziom A), ponieważ numer faktycznie należy do dzwoniącego. System nie wie jednak, że dzwoniący ma złe zamiary – on sprawdza tylko tożsamość, a nie intencje.

Sytuacja w Polsce i Europie

W Polsce walka ze spoofingiem nabrała tempa dzięki ustawie o zwalczaniu nadużyć w komunikacji elektronicznej. Urząd Komunikacji Elektronicznej (UKE) oraz NASK współpracują z operatorami, aby wdrażać mechanizmy podobne do STIR/SHAKEN.

Obecnie w Polsce kładzie się duży nacisk na tzw. listę numerów zastrzeżonych dla instytucji publicznych. Dzięki temu, jeśli oszust spróbuje podszyć się pod numer infolinii danego banku czy urzędu, operatorzy mają obowiązek zablokować takie połączenie, zanim dotrze ono do użytkownika.

Jak samemu chronić się przed spoofingiem?

Nawet najlepsze protokoły nie zastąpią ograniczonego zaufania. Jeśli odbierasz telefon i widzisz numer swojego banku, ale rozmówca prosi Cię o zainstalowanie aplikacji (np. AnyDesk) lub podanie kodu BLIK – rozłącz się. Najlepiej samodzielnie zadzwoń na oficjalną infolinię danej instytucji, wpisując numer ręcznie na klawiaturze. To najskuteczniejszy sposób, by ominąć pułapkę spoofingu, niezależnie od tego, jak zaawansowane systemy weryfikacji stosuje Twój operator.

Podziel się z innymi: