Was ist STIR/SHAKEN und wie hilft es Unternehmen?

Wie oft werden Sie durch Robocalls unterbrochen?

Es wird schwierig, sie zu ignorieren, insbesondere wenn sie von legitim aussehenden Zahlen stammen. Einige dieser Anrufe sind echt, die meisten jedoch nicht. Betrügereien, die auf ahnungslose Opfer abzielen, nehmen zu.

Mit Voice over Internet Protocol (VoIP) ist die Authentifizierung von Telefonnummern eine große Sache – und sie wird nur noch schwieriger.

Seriöse VoIP-Dienstanbieter , Mobilfunknetze und die Regierung haben sich zusammengetan, um ein System zur Authentifizierung von Telefonnummern bereitzustellen, bevor das Telefon einer Person klingelt.

Durch die Authentifizierung von Telefonanrufen wird die Identität des ursprünglichen Anrufers sichergestellt. Diese Technologie ist als STIR/SHAKEN bekannt. Wir erklären, wie dieses Protokoll zur Bekämpfung von Anrufer-ID-Spoofing und Robocalls funktioniert und wie es sich auf Ihre Geschäftskommunikation auswirkt.

Was ist RÜHREN/SCHÜTTELN?

STIR/SHAKEN ist eine Kombination aus zwei Akronymen:

STIR: S ecure T elephone I dentity Revisited

SHAKEN: Signaturbasierter Umgang mit behaupteten Informationen unter Verwendung von To KEN s

STIR/SHAKEN ist ein Protokollrahmen, der von Telefondienstanbietern zur Authentifizierung der Identität eines ursprünglichen Anrufers verwendet wird. STIR/SHAKEN-Lösungen sollen verhindern, dass unbefugte Personen böswillige Telefonanrufe tätigen.

Sowohl Ursprungsdienstanbieter als auch Zieldienstanbieter überprüfen die Anrufer-IDs, um Anrufer zu authentifizieren und betrügerische Robocalls zu vermeiden. Es hilft Anrufempfängern, sich vor Spoofing der Anrufer-ID zu schützen und ihr Vertrauen in den Telefondienst aufrechtzuerhalten.

Das STIR/SHAKEN-Framework authentifiziert VoIP-Anrufe mithilfe des SIP-Headers (Session Initiation Protocol) zur Übertragung des Authentifizierungszertifikats.

Für seriöse Callcenter sind diese Standards nicht schwer zu erfüllen. Aber für illegale Robocaller wird es durch STIR/SHAKEN schwieriger, gefälschte Anrufer-ID-Informationen zu verwenden.

Tauchen wir ein in die Tiefe, um zu verstehen, wie es funktioniert.

Wie funktioniert RÜHREN/SCHÜTTELN?

Der Telefondienstanbieter erhält ein digitales Zertifikat von einer Zertifizierungsstelle. Diese digitalen Zertifikate arbeiten mit Kryptografietechniken mit öffentlichen Schlüsseln und werden von anderen Dienstanbietern anerkannt. Sie helfen bei der Authentifizierung von Anrufen.

Als Teil des SIP-Protokolls nutzt STIR die digitale Signatur des Telefondienstanbieters zur Authentifizierung der Anrufer-ID. Der Anrufer sendet beim Einleiten eines Anrufs eine SIP-Einladung an seinen Dienstanbieter. Der Dienstanbieter überprüft die Quelle und die anrufende Nummer, um die Bescheinigungsstufe zu bestimmen.

Es gibt drei Zertifizierungsstufen:

1. Vollständige Bescheinigung: Der Dienstanbieter verifiziert den Kunden und seine Telefonnummer erfolgreich. Dies wird auch als Abiturzeugnis bezeichnet.
2. Teilweise Bescheinigung: Der Dienstanbieter überprüft den Endbenutzer, nicht jedoch die Quelle der Telefonnummer. Es wird auch als B-Level-Zeugnis bezeichnet.
3. Gateway-Bestätigung: Der Dienstanbieter kann die Quelle des Anrufs nicht identifizieren, selbst wenn dieser aus einem Netzwerk stammt. Es wird auch als C-Level-Bescheinigung bezeichnet und ist ein typischer Fall bei internationalen Rufnummern. Internationale Anrufer, die den North American Numbering Plan ( NANP ) nutzen, sollten inländischen Gateway-Anbietern Tools und Informationen zur Überprüfung ihrer Anrufidentität zur Verfügung stellen.

Wussten Sie? Mehr als ein Drittel der Robocalls erhalten Gateway-Bescheinigungsstufen.

Anschließend erstellt der Dienstanbieter einen verschlüsselten SIP-Identitätsheader und sendet ihn mit der SIP-Einladung an den Zielanbieter. Die Informationen werden von einem Verifizierungsdienst erfasst, der die Authentifizierung anhand mehrerer Faktoren durchführt, darunter dem öffentlichen Schlüssel des Zertifikats, seiner Vertrauenskette und verschiedenen anderen.

Der terminierende Anbieter entscheidet anhand der Bescheinigungsstufen und anderer Faktoren gemäß seiner Analyse, ob ein Anruf zugelassen oder blockiert wird.

Arten von Betrugsanrufen, die STIR/SHAKEN abmildern kann

Im Wesentlichen ist STIR eine Technologie und SHAKEN eine Richtlinie. Sie arbeiten zusammen, um Anrufer-IDs zu authentifizieren und vor mehreren Betrügereien zu schützen, darunter:

1. Phishing

Bedrohungsakteure geben sich als echte Quellen wie Banken, Kreditkartenunternehmen oder Regierungsbehörden aus, um Opfer zur Preisgabe persönlicher Daten zu verleiten. Sie können versuchen, Opfer dazu zu bringen, Einmalpasswörter und andere Details preiszugeben, die ihre Identität gefährden können.

STIR/SHAKEN verhindert böswillige Versuche, Anrufer-IDs zu fälschen und schützt Sie so vor Phishing-Versuchen.

2. Vishing

Die Abkürzung steht für „Voice Phishing“. Angreifer verleiten Ziele dazu, vertrauliche Informationen preiszugeben, indem sie sich als legitime Fachleute ausgeben. Sie versuchen, persönliche Daten abzurufen oder finanzielle Zahlungen zu erhalten.

Mit STIR/SHAKEN kann die Telefongesellschaft überprüfen, ob eine eingehende Nummer mit der Nummer auf der Anrufer-ID übereinstimmt. Es verhindert Vishing-Versuche durch digitale Validierung der Telefonanrufübergabe über komplexe Netzwerke.

3. Betrug beim technischen Support

Viele Bedrohungsakteure geben sich als Mitarbeiter des technischen Supports eines Unternehmens aus, um Opfer von Malware in ihrem System zu überzeugen. Sie ermutigen Zielpersonen, die Software zu aktualisieren. Während der Aktualisierung verrät das Opfer unschuldig den Fernzugriff auf seinen Computer.

Angreifer nutzen dies aus, um an die persönlichen Daten des Opfers zu gelangen. Manchmal installieren sie Malware oder Ransomware auf dem Computer des Opfers. STIR/SHAKEN verhindert solche Vorfälle, indem Nummern anhand ihrer Anrufer-IDs überprüft werden.

4. Robocalls

Robocalls sind vorab aufgezeichnete Nachrichten, die legal oder böswillig sein können. Sie sind authentisch, wenn es bei den Anrufen um Zahlungserinnerungen, Benachrichtigungen oder eingehende Anrufe von seriösen Telemarketern geht.

Einige dieser unerwünschten Robocalls werden jedoch von Betrügern generiert, die Opfer in böswilliger Absicht mit gefälschten Mitteilungen wie „Sie haben gegen ein Verkehrsgesetz verstoßen, zahlen Sie X $ an Geldstrafen, um eine umfassende rechtliche Untersuchung zu vermeiden.“

Robocalls fördern in der Regel Betrug oder verkaufen unerwünschte Produkte. Wenn Angreifer die Anrufer-ID fälschen, wird es für Opfer schwierig, solche Anrufe zu identifizieren und zu blockieren. STIR/SHAKEN attestiert solche Anrufe und markiert sie als Spam.

Teams haben mehr Platz und Bandbreite für legitime Anrufe, wenn sie Spam leicht erkennen können.

Vorteile von STIR/SHAKEN

STIR/SHAKEN unterscheidet zwischen echten und gefälschten Anrufen, um riskante Telefonerlebnisse zu verhindern. Hier sind einige seiner bemerkenswerten Vorteile:

• Reduziert Spam und Robocalls: STIR/SHAKEN identifiziert und blockiert solche Anrufe und macht das geschäftliche Telefonsystem sicherer und zuverlässiger. Der Sprachdienstanbieter überwacht Verkehrsmuster, identifiziert illegale Robocalls und hilft Ihnen, entsprechende Maßnahmen zu ergreifen.
• Macht Anrufer-IDs vertrauenswürdig: Abonnenten erkennen legitime Anrufe und können diese gegenüber Spam priorisieren, sodass sie mehr Zeit haben, echte Anrufe zu beantworten.
• Schützt vor Betrug: Betrug kann zu finanziellen Verlusten führen. STIR/SHAKEN trägt dazu bei, Unternehmen vor Anrufbetrug zu schützen und unnötige Kosten zu reduzieren.
• Seriöse Geschäftsanrufe sind erfolgreich: Seit der Einführung dieser Anrufauthentifizierungsstandards im Jahr 2020 haben sich immer mehr Dienstanbieter verpflichtet, authentifizierte Anrufer zuverlässig über ihre Telefonnetze zuzulassen.

Warum Sie authentifizierte Nummern für ausgehende Anrufe verwenden sollten

Mit authentifizierten Geschäftstelefonnummern können Sie die Glaubwürdigkeit Ihres Unternehmens stärken und das Vertrauen schaffen, das Kunden benötigen, um Anrufe entgegenzunehmen. Es bietet mehrere Vorteile für eine Organisation, wie zum Beispiel:

Erhöhte Anrufannahmeraten

Wenn Sie Ihren Anrufer-ID-Namen beim Dienstanbieter registrieren und STIR/SHAKEN implementieren, können Kunden erkennen, dass ein Anruf echt ist und von einer legitimen Quelle stammt. Ihre Anrufe erreichen die Ohren der Kunden, anstatt an deren Voicemail zu landen.

Wenn Ihre Anrufer-ID positiv ist, werden Sie von Kunden nicht dauerhaft blockiert. Es verhindert niedrige Attestierungsbewertungen und kann zu besseren Verkaufschancen und langfristig aufgebauten Kundenbeziehungen führen.

Verbesserter Markenruf

Mit authentifizierten Nummern können Sie Ihr Engagement für die Sicherheit und Integrität Ihrer Kunden unter Beweis stellen. Es hilft Ihnen, einen guten ersten Eindruck zu hinterlassen, da Kunden glauben, Sie seien eine vertrauenswürdige Quelle und kein Betrüger, der versucht, sich als Sie auszugeben.

Dank Ihres positiven Markenrufs können Kunden ohne Bedenken ans Telefon gehen. Wenn Ihre Anrufer-ID hingegen nicht korrekt ist, könnten die Verbraucher das Gefühl haben, dass Sie sich an zwielichtigen Praktiken beteiligen, was ihr Vertrauen in Ihre Marke untergräbt.

Einhaltung von Vorschriften

Viele Länder und Regulierungsbehörden schreiben STIR/SHAKEN für ausgehende Anrufe vor. Die Regeln der Federal Communications Commission (FCC) verlangen von den meisten Anbietern, STIR/SHAKEN auf ihrer Netzwerk-IP zu implementieren.

Sie verlangen von Anbietern, dass sie in der Robocall Mitigation Database bestätigen, dass sie STIR/SHAKEN als Teil des TRACED Act implementiert haben, der für Telephone Robocall Abuse Criminal Enforcement and Deterrence steht.

Das Gesetz definiert die Risiken und Strafen für betrügerische Telefonkommunikation.

Wie STIR/SHAKEN und 10DLC zusammenhängen

10-stellige Langcodes (10DLC) sind lokale Langcodenummern, die von lokalen Mobilfunkanbietern für Application-to-Person-Nachrichten (A2P) genehmigt wurden. Da sie von den Telefonnetzbetreibern vorab genehmigt werden, vermeiden Unternehmen Strafen aufgrund der Nichteinhaltung von Messaging-Vorschriften.

A2P 10DLC konzentriert sich auf die SMS-Authentifizierung, während STIR/SHAKEN sich auf die Anrufer-ID-Authentifizierung konzentriert. Gemeinsam verbessern sie die Sicherheit und Integrität der Geschäftskommunikation.

Sie ergänzen einander. Die Einhaltung von 10DLC erfordert, dass Unternehmen ihre Marke und Kampagnen registrieren, wodurch die Möglichkeit unbefugter Kommunikation verringert wird. STIR/SHAKEN verhindert das Spoofing der Anrufer-ID und schafft so eine sicherere Umgebung für die Sprachkommunikation.

Ist RÜHREN/SCHÜTTELN obligatorisch?

Ja, in den USA ist die Umsetzung des Protokolls ab dem 30. Juni 2021 für große Fluggesellschaften und ab dem 30. Juni 2022 für kleinere und ländliche Fluggesellschaften verpflichtend. Das TRACED Act schreibt die Umsetzung von STIR/SHAKEN vor.

Allein US-Verbraucher erhielten im Jahr 2023 über 60 Milliarden Robocalls. Angesichts des Aufwärtstrends bei Robocalls und Anrufbetrug ermutigen Regulierungsbehörden in verschiedenen Ländern Unternehmen, innerhalb der Umsetzungsfristen robuste Authentifizierungsmaßnahmen einzuführen.

Vor kurzem hat die FCC neue Regeln zur Stärkung des Verbraucherschutzes verabschiedet, die es Netzbetreibern ermöglichen, böswillige Anrufe und Textnachrichten aus nicht konformen Telefonnetzen aggressiver zu blockieren.

Andere Länder führen einige Entwicklungen bei der Anrufauthentifizierung durch und verhindern gleichzeitig das Spoofing der Anrufer-ID. Schätzungsweise 25 % aller eingehenden Anrufe auf kanadischen Telefonnummern im Jahr 2021 waren Robocalls. Um dem entgegenzuwirken, hat die US-amerikanische FCC bei ihren Durchsetzungsbemühungen eine Zusammenarbeit mit Kanada zugesagt.

Bleiben Sie wachsam mit Nextiva

Nach der Durchsetzung von Vorschriften zur Eindämmung von Robocalls kam es zu einem gewissen Rückgang der bei der Federal Trade Commission eingereichten Beschwerden. Allerdings sind sie immer noch ein Problem.

Bleiben Sie den STIR/SHAKEN-Anforderungen immer einen Schritt voraus mit einer vollständig konformen Business-VoIP-Plattform von Nextiva. Die Einrichtung ist einfach und Ihr Team wird von der Funktionalität begeistert sein. Darüber hinaus stärken Sie das Vertrauen der Kunden in Ihre Marke, sodass Sie Ihr Unternehmen schneller skalieren können.