Clear Sky Science
Explicações baseadas em evidências, com pouco jargão

Clear Sky Science · pt

A estrutura WeDDa para prevenir smishing e vishing usando confiança criptográfica agnóstica ao protocolo

· Voltar ao índice

Por que chamadas e mensagens falsificadas importam para todos

A maioria de nós agora depende do telefone para banco, serviços governamentais, entregas e até alertas de emergência. Ainda assim, o sistema telefônico global continua permitindo que criminosos finjam ser quem quiserem — seu banco, um ministério da saúde ou a polícia — simplesmente falsificando o identificador de chamadas. Isso alimentou um crescimento explosivo de smishing (mensagens de texto fraudulentas) e vishing (chamadas de voz fraudulentas), custando bilhões e corroendo silenciosamente a confiança do público em serviços digitais. Este artigo apresenta o WeDDa, uma nova maneira de reconstruir a confiança na rede telefônica para que um número tenha de ser provado, e não apenas reivindicado.

Figure 1
Figure 1.

A dimensão do problema

Os autores mostram que as defesas atuais contra chamadas e mensagens fraudulentas são em sua maioria reativas. Operadoras e aplicativos usam listas negras, aprendizado de máquina e relatórios de usuários para identificar tráfego suspeito, mas somente depois que ele já alcançou o usuário. Enquanto isso, os ataques crescem rapidamente: só o smishing aumentou centenas de porcento em poucos anos, com perdas na casa dos bilhões. Além do dinheiro, esse fluxo constante de falsificações cria o que os autores chamam de “taxa sobre a confiança digital”: as pessoas passam a ignorar mensagens legítimas, governos têm dificuldade para alcançar cidadãos e serviços críticos, como alertas de emergência ou campanhas de saúde, perdem credibilidade.

A falha de projeto oculta nas redes telefônicas

No cerne desta crise está um erro de projeto básico na infraestrutura telefônica mundial. Sistemas centrais de sinalização como SS7 para chamadas tradicionais e SIP para chamadas pela internet foram construídos décadas atrás para um pequeno grupo de operadoras confiáveis, não para um ambiente hostil em escala de internet. Esses protocolos permitem que uma rede diga a outra: “Esta chamada é deste número”, sem qualquer mecanismo incorporado para provar isso criptograficamente. Ferramentas modernas como filtros de spam e classificadores de IA estão, portanto, tentando julgar a honestidade de uma mensagem depois que a rede já aceitou uma falsificação sobre quem a enviou. Os autores defendem que enquanto a identidade do chamador for apenas afirmada e não provada, a fraude permanecerá inevitável.

Uma nova camada de confiança para identidade verificada do chamador

A estrutura WeDDa propõe adicionar uma camada obrigatória de confiança dentro da rede, em vez de depender de aplicativos ou dispositivos finais. A ideia central é criar um “espaço de nomes” verificado para identidades de comunicação e exigir prova criptográfica no gateway onde chamadas e mensagens entram na rede. Organizações primeiro registram suas identidades — usando rótulos claros e legíveis, como Bank_Alerts_City — junto a uma Autoridade de Comunicações Verificadas. Essa autoridade emite chaves digitais fortemente vinculadas a intervalos específicos de números e operadores de rede. Quando uma chamada ou mensagem é enviada, o gateway de origem a assina usando essas chaves; o gateway receptor então verifica a assinatura contra um registro seguro antes de decidir se a deixa passar.

Como o WeDDa funciona na prática

Para tornar isso prático, os autores desenharam quatro blocos construtivos principais. Primeiro, um registro nacional armazena as identidades aprovadas, seus números de telefone e as chaves públicas necessárias para verificar assinaturas. Segundo, gateways de telecom e internet realizam as verificações criptográficas em todo o tráfego protegido, bloqueando qualquer coisa sem prova válida. Terceiro, bancos de dados especializados registram tentativas falhas e padrões de abuso, oferecendo a investigadores e sistemas de aprendizado de máquina evidências ricas sobre como os atacantes operam. Finalmente, uma camada voltada ao público inclui campanhas de conscientização e listas transparentes e pesquisáveis de números verificados para que as pessoas possam ver quais nomes podem confiar com segurança. Crucialmente, tudo isso pode ser adicionado no nível da rede sem alterar os telefones dos usuários.

Figure 2
Figure 2.

Evidências a partir de simulações em grande escala

Como é difícil reformular um sistema telefônico nacional em operação, a equipe construiu simulações laboratoriais de alta fidelidade modeladas na infraestrutura de telecom do Egito. Eles geraram 200.000 chamadas de teste através de sistemas tradicionais SS7 e de VoIP baseados em internet, misturando tráfego legítimo com vários tipos de ataques de falsificação. Em condições controladas, toda chamada falsificada que dependia de um identificador forjado foi bloqueada, enquanto todas as chamadas assinadas legitimamente foram permitidas, e o atraso de processamento adicional ficou na faixa de microssegundos — bem abaixo do que humanos poderiam notar. Os autores ressaltam que redes reais são mais confusas e adversários mais criativos, mas esses experimentos mostram que a guarda criptográfica pode, em princípio, impedir a falsificação de identidade na origem sem desacelerar o sistema.

Limites, desafios e o que seria necessário

WeDDa não é um escudo mágico contra toda fraude. Não consegue deter golpes que usam números reais, mas comprometidos, nem pode ler o conteúdo de chamadas ou detectar roteiros manipulativos. Depende também fortemente de governança: países precisariam estabelecer autoridades confiáveis, coordenar-se além das fronteiras e persuadir ou obrigar operadoras a adotar o sistema. Redes mais antigas podem exigir atualizações de hardware, e adoção incompleta deixaria pontos fracos que atacantes poderiam explorar. Os autores, portanto, veem o WeDDa como uma camada essencial dentro de uma estratégia mais ampla de “defesa em profundidade” que também inclui educação, proteções a nível de aplicativo e políticas rigorosas para plataformas online.

O que isso significa para usuários comuns

Para o público em geral, a visão por trás do WeDDa é simples: quando seu telefone indicar que uma chamada é do seu banco, a própria rede já terá verificado um passaporte criptográfico provando aquela identidade antes mesmo do telefone tocar. Em um mundo assim, smishing e vishing que dependem de identificadores falsos se tornariam muito mais difíceis e caros de realizar. Embora transformar esse projeto em realidade exija anos de trabalho técnico e coordenação internacional, o estudo oferece um caminho claro rumo a redes telefônicas onde a confiança é construída por projeto, em vez de remendada depois dos fatos.

Citação: Salem, M.F.M., Hamad, E.K.I. & El-Bendary, M.A.M. The WeDDa framework for preventing smishing and vishing using protocol agnostic cryptographic trust. Sci Rep 16, 7949 (2026). https://doi.org/10.1038/s41598-026-38539-y

Palavras-chave: smishing, vishing, falsificação de identificador de chamadas, autenticação criptográfica, segurança em telecomunicações