Este texto é apenas um resumo dos protocolos STIR/SHAKE baseado em informações disponíveis na internet. Basicamente, as informações são de operadoras e agencias reguladoras dos EUA e Canada, informações sobre como vai funcionar os protocolos no Brasil, infelizmente, não encontrei muito material.
Assim que houver normas e publicações de como vai funcionar no Brasil, atualizo este artigo.
Após as novas normativas publicadas pela Anatel e a possível implementação do código 0304 para as empresas de recuperação de crédito, ganha força no mercado e na agência reguladora os protocolos STIR/SHAKE para validação das chamadas telefônicas.
Estes protocolos foram desenhados com a finalidade de diminuir a quantidade de golpes e fraudes realizados através de ligações telefônicas e, como consequência, ter maior controle da quantidade de discagens realizadas pelas empresas.
STIR/SHAKE é um conjunto de protocolos que tem como objetivo validar o número telefônico do chamador (identificador), evitando assim que golpistas possam utilizar de números de empresas verdadeiras para aplicar golpes (Spoofing).
Com a tecnologia SIP/VoIP, é possível encaminhar na rede telefônica, um número identificador personalizado, onde a operadora acaba mostrando na tela do celular do cliente.
Exemplo: Existe o golpe da falsa chamada telefônica (spoofing) do banco, que aparece no visor o número do banco corretamente, porém, a origem da chamada é de um golpista que, utilizando ferramentas amplamente disponíveis no mercado, consegue “alterar” o número chamador e, assim, ludibriar a vítima que acredita ser uma chamada realmente do banco onde é cliente.
Claro que, para o golpe ser mais eficaz, o golpista conta com os dados do cliente que são provenientes de vazamentos de dados na DeepWeb ou, até mesmo, vazados por funcionários do próprio banco.
Abaixo, um resumo sobre como eles funcionam
STIR – Secure Telephone Identity Revisited
(Identidade Telefonica segura revisada, em tradução livre)
Quando uma chamada for realizada, o processo será:
1. A empresa faz a chamada;
2. A operadora de origem verifica a identidade do chamador, como nome e número do telefone (identificador) e gera um certificado digital;
3. O certificado é anexado no cabeçalho SIP em forma de Token, que é enviado junto com a chamada pela rede;
4. A operadora de destino, quando recebe essa chamada faz a recuperação do Token;
5. Com o token, a operadora de destino confirma se o certificado digital é valido, o local onde estará armazenado esses certificados pode variar de acordo com a regulamentação;
6. A chamada então é encaminhada ou bloqueada, se o certificado for valido, a chamada é encaminhada para o destino, agora se o certificado for invalido, a operadora poderá bloquear a chamada ou encaminhar identificada como SPAM;
7. A chamada chega no destino, então a chamada será exibida com o número do chamador e o status da validação do certificado, ou caso o certificado seja invalido e a operadora encaminhou a chamada, vai aparecer apenas SPAM no telefone de destino;
SHAKE – Signature-based Handling of Asserted information using toKENs
(Tratamento baseado em assinatura de informações declaradas usando tokens)
Basicamente, o STIR é a capacidade de autenticar o ID do chamador, enquanto o SHAKE defini a infraestrutura, em todos os pontos da rede, para que se possa realizar a autenticação das informações STIR no destino, isso inclui:
. Criação do certificado digital;
. Anexar o Token a chamada;
. Verificar a validade do token;
O protocolo STIR, foi desenhado para trabalhar com redes com tecnologia VoIP, incluindo informações dentro dos cabeçalhos SIP das chamadas, elas não impedem que um provedor ou cliente com um servidor SIP encaminhem números falsos dentro da rede, porém, com o STIR, as operadoras podem decidir se aceitam ou não aquela chamada.
Hoje ainda não existe consenso sobre como trafegar o STIR em redes TDM, operadoras americanas e canadenses estão utilizando métodos próprios onde, 2 desses métodos, estão em discussão.
Um dos métodos consiste em enviar as informações do certificado para um serviço fora da rede de telefonia e, quando a chamada chegar no destino, a operadora resgata esse certificado, na estrutura fora da rede, para validar o token.
Prós: Facilidade de implementação e custo mais baixo;
Contras: Segurança, disponibilidade, velocidade de resgate das informações;
Outro método estudado é quando a chamada entrar numa rede TDM, as informações sejam convertidas no SIUP UUI e transportadas assim na rede não IP até a operadora final, que fará nova conversão dos dados para validação.
Prós: Velocidade, Segurança e disponibilidade alta;
Contras: Alto custo de implementação (necessário atualizar hardwares já existentes);
Níveis de Atestados das chamadas
Existem 3 niveis de atestados atribuídos as chamadas com STIR/SHAKE:
– Nível A (Atestado Completo), a operadora conhece o cliente e atesta que o número chamador é dele;
– Nível B (Atestado Parcial), a operadora conhece o cliente, mas não tem certeza sobre o número chamador;
– Nível C (Atestado de Gateway), a operadora não conhece o cliente e nem o número chamador (Comum em chamadas internacionais);
As operadoras vão decidir o que fazer com a chamada, baseadas nestas informações e em suas próprias análises.
Aplicações atuais e futuras
Hoje, com o STIR/SHAKE vai ser possível validar uma chamada e, com isso, evitar os golpes de spoofing além de melhorar a rastreabilidade de chamadas, melhorando a segurança do serviço.
Alguns serviços adicionais poderão ser oferecidos, além da autenticação da chamada (que é sem custos para a empresa nos EUA, aqui ainda não sabemos como será comercializado).
– Autenticação da chamada, o identificador da chamada será mostrado com a informação de “Verificado” (Este é gratuito nos EUA e Canada);
– Autenticação da chamada + CNAME, Autenticação da chamada com a informação de “verificado” mais o nome da empresa que esta ligando;
– Autenticação da chamada + CNAME + Logo, além dos serviços anteriores, o logo da empresa também será mostrado;
– Autenticação da chamada + CNAME + Logo + Link/Site, além dos serviços acima, caso a chamada não seja atendida, um link do Website da empresa poderá ser enviado abaixo do nome da empresa;
No fim do texto, deixo todas as fontes utilizadas e artigos que se aprofundam nas explicações dos protocolos para quem tiver interesse.
Conclusão
O protocolo STIR/SHAKE vem para melhorar, principalmente, a segurança na comunicação de voz que hoje, por causa de golpistas e pessoas mal-intencionadas, vem promovendo prejuízos financeiros para a população em geral. Com um sistema de autenticação para as chamadas, a tendencia é que esses golpes diminuam a quase zero.
Em linha com isso, o controle na quantidade e qualidade das chamadas vai obrigar as empresas que praticam spam telefônico a trabalharem com mais inteligência, unindo estratégia, planejamento e treinamento na busca de ofertar vendas e realizar recuperação de crédito, abrindo espaço para novas tecnologias e abordagens.
Para tudo isso, contamos com uma equipe de excelência tecnológica que podem auxiliar você e sua empresa a enfrentar esses novos desafios, entre em contato e saiba como podemos ajudar nestes desafios!
Fonte:
ATIS-1000095, Extending STIR/SHAKEN over TDM
https://access.atis.org/apps/group_public/download.php/67542/ATIS-1000095.v002.pdf
ATIS-1000096, Out-of-Band PASSporT Transmission Involving TDM Networks
https://access.atis.org/apps/group_public/download.php/60535/ATIS-1000096.pdf
ATIS-1000097, Alternatives for Call Authentication for Non-IP Traffic
https://access.atis.org/apps/group_public/download.php/67654/ATIS-1000097.v002.pdf
SHAKEN AND STIRRED
https://www.cdn.neustar/resources/presentations/neustar-crtc-deadline-webinar-presentation.pdf
Compliance and Enforcement and Telecom Decision CRTC 2018-32
https://crtc.gc.ca/eng/archive/2018/2018-32.htm
STIR/SHAKEN
https://en.m.wikipedia.org/wiki/STIR/SHAKEN
The Ultimate Guide to STIR/SHAKEN: What You Need to Know to Avoid Spam Labels
https://callhub.io/blog/compliance/stir-shaken-compliance-guide/
ClearIP now supports Rich Call Data in STIR/SHAKEN
https://transnexus.com/news/2019/clearip-rich-call-data/
Robocall prevention
https://transnexus.com/robocall-prevention/
Entendendo o Stir/Shaken: Visão Geral e Guia
https://www.idtexpress.com/pt/blog/understanding-stir-shaken-overview-and-guide/
Obs: Todos os acessos estavam validados em 07/02/2024