2019年12月16日 | 电信公司如何阻止恼人的Robocalls（一）

翻译自——spectrum，Jim McEachern & Eric Burger

“你好？谁在打电话？”对于现在的美国人来说，这个电话来自一个“机器人”或自动程序，试图欺骗他们的金钱或重要个人数据。如果是这样，你已经体验过电话骗子最擅长的手段了。

骗子可以“伪造”电话号码，让人觉得电话是来自本地号码(包括你自己的号码)，从而掩盖了电话的真正来源。如果你接了这个电话，你很可能会听到一个机械的声音试图骗你给钱。

我们中的一个(McEachern)是电信行业解决方案标准组织联盟(ATIS)的首席技术人员，另一个专家Burger直到最近还是美国联邦通信委员会的首席技术官。如今机器人电话是一种流行病，根据来电显示公司Hiya的报告，2018年全球已有850亿个Robocalls。

RoboKiller这家公司开发了一款anti-spam-call 的app，数据显示，仅在2019年4月，美国人就接到了53亿个Robocalls，相当于每秒近4000个。这些令人讨厌的电信诈骗，让我们几乎人财两空。2018年，电话诈骗让美国人损失了约4.29亿美元。遗憾的是，这些数字呈上升趋势。

欺骗电话号码只是电话诈骗者欺骗受害者的一种方式。骗子也很擅长读懂别人，获得他们的信心，利用他们的恐惧。但欺骗数字通常是一种有效的开场白。骗子要做的第一件事就是让你先拿起电话，如果人们认为是本地号码，他们更有可能接电话。因此，防止电话欺骗的滥用，以及让任何人更难拨打大量的Robocalls，是控制Robocalls使用者和骗子的两个最重要的挑战。

为应对这两个挑战，电信行业一直在开发一种基于网络的系统。它有一个罗嗦的名字:“一种基于令牌数字签名的身份认证方法”，姑且叫它STIR/ SHAKEN。STIR/ SHAKEN是一种技术，通过堵住电话基础设施中诈骗者利用的漏洞来提供更可靠的呼叫显示信息。

今天，当你打电话时，你的电话公司或运营商知道你是否在欺骗你，让它看起来像是来自另一个号码。但该公司不知道的是，如果你被允许伪造电话号码，它也没有办法安全地将这些信息发送到运营商去，从而将电话发送给对方。

电话是如何传输的

打电话给朋友不像把数据从a点传输到b点那么简单。一路上，电话是通过电话基础设施传送的，这些基础设施可能由两家、三家或更多的电话公司或运营商运营。这些路由是识别诈骗者拨打电话的地点非常耗时的部分原因。

当你看到来电号码时，你无法知道来电显示的号码是合法还是伪造。当电话接通时，STIR/ SHAKEN将为电话公司提供一种安全方式，将来电者的号码传递给接收者。这种功能对于建立来电者的声誉至关重要，这样一来，在你浪费时间拨打假电话之前，就可以可靠地识别并阻止骗子了。如果一个非法的Robocalls仍然能够接通，那么STIR/ SHAKENs也简化了追踪电话来源的过程。有趣的是，更简单的追踪使执法机构能够起诉非法语音电话骗子。该技术还将为呼叫阻塞应用程序提供安全信息，使这些应用程序能够更准确地识别垃圾电话，并在你接听电话之前以“可能是垃圾电话”或“未验证号码”等短信通知你。

如果一切顺利，Robocalls可能会像垃圾邮件一样易于管理。你不太可能被骗去接一个诈骗电话，而且一开始你接到的诈骗电话也会少得多。

这种电子欺骗并不是什么新鲜事——它已经有半个世纪的历史了。许多企业使用电话交换设备称为专用分机(PBX)，它预先分配接收方电话时显示的号码。但企业篡改数据是有正当理由的。他们可能希望显示来自市场、销售或服务部门的免费电话。

然而，问题不在于欺骗本身。问题在于，在过去十年左右的时间里，有三大变化发生了变化，导致了我们今天看到的这种混乱局面。

首先，打电话便宜了。如今，在许多国家，无限制的全国通话是基本电话计划的标准。

其次，互联网将诈骗的成本降低到几乎为零。诈骗者所选择的PBX是一种可上网的IP-PBX，以进一步降低每次呼叫的价格。有了互联网，诈骗者甚至不必在同一个国家拨打Robocalls，他们可以在劳动力成本低廉的国家使用现场代理。

第三，只需投资一小笔钱，买一台便宜的PC，一张价值100美元的VoIP扩展卡，免费的开源软件，任何人就可以在一分钟内拨打数百个电话。

把这些都放在一起，你就有了一个潜在的低风险赚钱方法。这些骗子基本上是在玩数字游戏:虽然大多数人不会接他们的电话，但还是有一小部分人会接，其中一些人可能会被骗去汇款或透露他们的银行账户信息。Robocalls诈骗非常便宜，即使在成百上千个电话中成功一次，也能让骗子赚到钱。互联网可以廉价地连接美国任何一处，IP-PBX每分钟与另一个国家的呼叫代理打数百个电话，与任何受骗上当的受害者交谈。与此同时，在未被怀疑的受害者投诉之前，运营商无法知道这是一个非法的自动呼叫。只有在接到投诉后，运营商才会意识到，它应该追踪这些电话，并识别出非法呼叫者。

在STIR/SHAKEN之前，单个电话公司并不具备识别和阻止诈骗所需的全部信息，因为通常需要两到三家公司才能完成一个电话。最后一家公司完成了骗子与你手机的连接，它不知道这个号码是否被非法欺骗了，所以它不能建议你小心使用或忽略这个电话。只有当你接了电话，发现对方并不是真正的警察时，骗局才会出现。

但这些技术本身并不构成禁止Robocalls的许可证。相反，我们的目标只是在电话的每一端，电话公司之间实现安全、实时地交流信息。

国际互联网工程任务组(IETF)致力于解决与电话安全身份相关的问题，他们于2013年开始对STIR进行研究。IETF将STIR协议设计得非常灵活。基本机制是向经过身份验证的调用者颁发证书。然而，STIR要求个人主动地进行身份验证和管理他们的个人密钥，以确认他们的身份。但STIR的缺点是很少有人具备这两方面的专业知识。好消息是，STIR的灵活性允许电话公司以最小的麻烦在他们的网络中实现它。

2015年，ATIS也开始研究减少不必要的Robocalls机制。ATIS和行业协会SIP论坛之间的联合工作组建立在IETF对STIR的研究基础上。

事实证明，STIR的极端灵活性是个问题。实际上，协议的灵活性使得每个电话公司都可以很容易地在其网络中实现它。一般来说，协议越灵活，不同的实现就越有可能无法协同工作。因此，当两个不同的服务提供者在各自的网络上实现协议时，从一个网络发送到另一个网络的呼叫者ID可能无法完整地通过。工作组的目标是创建一个精确定义的STIR子集(称为SHAKEN)。因为任务组指定了STIR协议的抖动配置文件。

而SHAKEN机制的出现简化了运营商的识别过程，大大提高了判定效率。在下一篇文章里，我们会着重介绍SHAKEN的运作原理，如何让电信诈骗人员无处可藏。