这是一个创建于 942 天前的主题,其中的信息可能已经有所发展或是发生改变。
这两天接到好几个骚扰电话,基本上套路都一致:
1. 来电基本用的是大型机构认证的外呼号码
2. 用机器人语音先确认本人姓名
3. 用机器人语音营销推广
特别是最后一个用了 95588 工商银行的号码来电,我挂断回拨后,银行客服表示并没有进行过相关的外呼。
现在已经投诉给 12321 了,虽然不知道具体原因,但是我怀疑是本地运营商劫持了电话号码做的营销。
总之就想来打听下电话号码为什么没有端到端的认证机制? TLS 都已经用了那么多年了,现在什么 VoLTE 、VoNR 已经把语音通信弄成纯数据化了,感觉完全可以用一套基于 X509 的证书机制来验证电话号码的来源可靠性,进一步的可以使用 OV/EV 什么的高阶证书来证实来电的身份。
不知道这些技术有什么困难,为什么 2023 年还没有推广,到现在电话号码对应的身份还需要第三方企业维护数据库,即便如此还不能确认身份可靠。
1. 来电基本用的是大型机构认证的外呼号码
2. 用机器人语音先确认本人姓名
3. 用机器人语音营销推广
特别是最后一个用了 95588 工商银行的号码来电,我挂断回拨后,银行客服表示并没有进行过相关的外呼。
现在已经投诉给 12321 了,虽然不知道具体原因,但是我怀疑是本地运营商劫持了电话号码做的营销。
总之就想来打听下电话号码为什么没有端到端的认证机制? TLS 都已经用了那么多年了,现在什么 VoLTE 、VoNR 已经把语音通信弄成纯数据化了,感觉完全可以用一套基于 X509 的证书机制来验证电话号码的来源可靠性,进一步的可以使用 OV/EV 什么的高阶证书来证实来电的身份。
不知道这些技术有什么困难,为什么 2023 年还没有推广,到现在电话号码对应的身份还需要第三方企业维护数据库,即便如此还不能确认身份可靠。
第 1 条附言 2023-06-01 22:58:05 +08:00
感谢大家讨论。
想再明确一下:
1. 咱也不是坚持说运营商劫持电话,目前也确实不能确认是谁来的电话。
2. 但是现实的问题是回拨过去,对方不承认打过营销电话,所以目前无从得知是哪一方拨打的电话。
3. 当然最有可能的还是银行授权 AI 营销公司打的电话。
4. 如果是银行授权 AI 营销公司打的电话,那么很大可能该 AI 营销公司承接了多个甲方的业务,所以导致接通一家的,后续就给用户打别家的电话。
5. 但是现在这个死不承认,无从对证的状况的确是个安全隐患。
6. AI 用于营销本身就应该是违规的。根据今年( 2023 年初)生效的《互联网信息服务深度合成管理规定》,“ 深度合成服务提供者提供以下深度合成服务,可能导致公众混淆或者误认的,应当在生成或者编辑的信息内容的合理位置、区域进行显著标识,向公众提示深度合成情况”,目前咱还没有听到一个 AI 营销电话自称是 AI 营销的。
7. 要是有像 Cloudflare 给网站加验证码服务一样给来电增加一层风控+人机验证服务就好了。
想再明确一下:
1. 咱也不是坚持说运营商劫持电话,目前也确实不能确认是谁来的电话。
2. 但是现实的问题是回拨过去,对方不承认打过营销电话,所以目前无从得知是哪一方拨打的电话。
3. 当然最有可能的还是银行授权 AI 营销公司打的电话。
4. 如果是银行授权 AI 营销公司打的电话,那么很大可能该 AI 营销公司承接了多个甲方的业务,所以导致接通一家的,后续就给用户打别家的电话。
5. 但是现在这个死不承认,无从对证的状况的确是个安全隐患。
6. AI 用于营销本身就应该是违规的。根据今年( 2023 年初)生效的《互联网信息服务深度合成管理规定》,“ 深度合成服务提供者提供以下深度合成服务,可能导致公众混淆或者误认的,应当在生成或者编辑的信息内容的合理位置、区域进行显著标识,向公众提示深度合成情况”,目前咱还没有听到一个 AI 营销电话自称是 AI 营销的。
7. 要是有像 Cloudflare 给网站加验证码服务一样给来电增加一层风控+人机验证服务就好了。
 | 1 wheat0r 2023-06-01 15:20:16 +08:00 你怎么在电话上确定颁发者信息?每个电话接通先语音播报?用来电显示查看? |
 | 2 weijancc 2023-06-01 15:26:06 +08:00 如果真的劫持了 95588 那这是犯法吧, 很可能是工行自己的营销. |
 | 3 ThirdFlame 2023-06-01 15:28:08 +08:00  1 利用 95588 拨打电话的人,不一定的 95588 接听电话的人 外呼一般市外包,而人工客服同样可能是外包。 两帮外包不可能互相知道相关的业务开展情况的。 |
 | 4 tavimori OP @wheat0r 可以用数字方式在响铃前就进行认证吧,比如由政府作为第三方 CA ,对号码签发证书,然后电话呼叫时被叫端验证来电端的证书。就像打开基于 HTTPS 的网页,其实在开始 HTTP 请求前双方已经互相验证了身份。 |
| 5 tavimori OP @weijancc 主要是这两天开始已经接到了多个机构的类似电话了。既有互联网企业、也有多家不同的商业银行(平安、中信、工行)。在这之前,我已经至少几个月没怎么接到类似的骚扰电话了。 |
 | 6 laqow 2023-06-01 15:32:48 +08:00 可能电话主要是保证可用性不是安全吧 |
 | 7 qsmd42 2023-06-01 15:59:35 +08:00 人家打电话用 2G 网络或者固话打的不兼容你这新机制你怎么办? 不允许 2G 打电话? |
| 8 tavimori OP 1 @qsmd42 打个比方,现代互联网浏览器同样可以访问不加密 HTTP 的网页嘛,只是页面上会额外提示“不安全”。 对于商业机构的电话,证书认证本身也可以作为一种信誉象征。 |
 | 9 darkengine 2023-06-01 16:15:03 +08:00 归根到底是成本的问题,实现这个功能运营商几乎所有支撑通话的设备都要升级,带来的收益(运营商的收益)又非常小。 |
| 10 qsmd42 2023-06-01 16:43:34 +08:00 @tavimori 你的理论完全基于运营商劫持了商业机构的电话号码的猜想 但是随便想想也知道你这猜想站不住脚 推销电话其实就是商业机构打出的 不管是机器人还是外包 银行客服有权限知道所有以工行号码外呼的电话吗? 工行用自己外呼号码推销工行贷款跟运营商劫持工行号码推销工行贷款哪个可能性更大? 运营商劫持工行这种巨型国企的号码收益跟风险成正比吗? |
| 11 wheat0r 2023-06-01 17:03:12 +08:00 @tavimori 你想一想,我们通过浏览器访问一个网站,最后一步确认是谁来做?是用户自己。 我们需要自己在浏览器上查看证书信息。现代浏览器简化了这个过程,提供了一个小图标和告警页面,但是我们还是要自己决定证书是不是可信。 |
| 12 tavimori OP @qsmd42 其实我并没有很确定这个骚扰电话是谁打的,但是现在我打给工行,工行不承认,那我也不能打给运营商要求屏蔽这种正式服务号码吧。再加上这两天如此密集的多家来电,很难觉得互相之间没有关系。我投诉给 12321 也是希望能查到相关责任方。我自己的猜测是第三方的 AI 营销公司承接了营销业务,然后利用比较安全的外呼号码进行营销。 此外像 TLS/DTLS + X509 这些技术本身的好处就有不可抵赖性,就不会出现现在问谁谁都不承认的问题。 |
 | 13 lcy630409 2023-06-01 17:29:41 +08:00 我就想知道 他用工商的电话给你推荐的装修? |
 | 14 sxx20001227 2023-06-01 17:38:55 +08:00 1 北美的 STIR/SHAKEN 协议好像可以差不多是个类似的实现?但是除了北美几大运营商以外貌似没人在用就是 |
 | 15 fly22109 2023-06-01 17:52:18 +08:00 一个商户大概率对应多个营销号码,一个营销号码也会有多部电话使用,也就是客户端和服务端是多对多的关系。而 https 的服务端通常是集中式的,这样维护起来也比较容易。 |
 | 16 libook 2023-06-01 17:57:40 +08:00 1 应该是有的,但绝大多数人没有这个需求。 比如移动通信是有身份验证和加密传输的技术的,但基本不是用户侧需求,而是运营商自己的管理方面的需求。 其实我个人觉得按照现今的使用习惯来说,可能先加好友再联系的模式会更好。 |
 | 17 cnbatch 2023-06-01 17:59:22 +08:00 3 不要把电话号码类比成 HTTP 和 HTTPS 。 电话号码的地位更加接近于网络当中的 IP 地址。上游设备发包并伪装源地址,完全是可以做到的。电话号码的来电显示同理。虽然现实中,尤其是电话号码,想要捉到伪造者其实并不难(排除跨国等阻碍因素),想要阻止这种伪造也能做到(需要运营商自行核对该线路的号码)。 然而,就算真的类比成 HTTPS ,在当下现实照样能被玩坏。 银行完全可以把自家客服号共享给外包的广告外呼机构,客户打上来投诉坚决否认(现在就是这样)。 有认证了又能如何,大量的机构确实干得出一边把认证授权给广告外呼公司骚扰客户、一边否认自己干过这样的事情。 |
 | 18 yinmin 2023-06-01 18:04:42 +08:00 via iPhone 95588 大概率是银行的推广,目前国家反诈力度很强,改号外呼很难实现了。如果不希望 95588 外呼骚扰你,可以直接拨打 95588 告诉客服不希望接听营销电话,之后银行就不会打给你了。这个方法也适合其他银行。 |
 | 19 ingram22mb30 2023-06-01 20:12:25 +08:00 via Android 1 说一下自己的做法,已经在自己“安全机(专门接收验证的机器,有 root)”使用了。 当某个号码走完之前判断是否是骚扰电话的流程后,有个硬判断。这个硬判断“使用另一个号码拨打来电号码,如果返回是除了正在通话之外的状态,进入拦截模式”。 |
 | 20 2xvaHoK2LGxQ29R5 2023-06-01 20:20:37 +08:00 via Android 主要问题是如果颁发这个证书的人都没法确保只颁发给有信用的机构,那么谈何验证呢? 因为接受委托电话营销的都是外包啊 |
 | 21 IvanLi127 2023-06-01 20:21:32 +08:00 via iPad 1 你这是让裁判给自己找麻烦呀? |
 | 22 qviqvi 2023-06-01 20:32:42 +08:00 找客服投诉不管用,再次投诉,说不行就投诉银监会,在也没收到过机器人电话 |
 | 23 zxcslove 2023-06-01 20:35:28 +08:00 1 想当年来电显示都要单独算作一个收费项目 |
 | 24 wwbfred 2023-06-01 20:38:33 +08:00 3 现在的问题是,运营商和 GOV 没有任何动力做 HTTPS ,他们是数据偷窥与劫持的受益者。而电话和互联网又不一样,电话要想实现身份验证与端对端加密,必须靠他们出钱更新设备。这下死结了。 |
| 25 tavimori OP @qviqvi 是啊,现在最离谱的是 AI 上来就问:“你是 XXX 本人么?”。我寻思着作为 AI 凭什么核实我的身份,有本事打钱啊! |
 | 26 billlee 2023-06-01 21:01:51 +08:00 1 其实这都不需要端到端的的认证,电话号码更类似 IP 地址,需要的是类似于 reserve path filter 的机制。但以前设计电话信令的年代大家根本不考虑安全问题,而且这些业务消费者业务不一样,有各种中间代理商什么的,系统也是外面采购来的(不像互联网那样主要靠自研),要全面升级改造难度和成本都很大的吧 |
 | 27 kenvix 2023-06-01 21:45:21 +08:00 首先 TLS 不是用来端到端安全的,只确保你到服务器是安全的,4G 已经确保了这一点。 |
 | 28 acbot 2023-06-01 21:53:50 +08:00 1 本身运营商之前的各种语音或数据交换都是以信任为前提的,且国内运营商老板都是一家所以根本不用你说那么复杂来实现,发一个文件就可以了!在我印象中大致十多年前吧来电改号(那个时候有的运营商也玩)和后来的利用其诈骗兴起的时候,国家就向三大下了规范和对来电号码源验证的要求了! |
| 29 tavimori OP @billlee 其实互联网也是这样,IP 地址也有 RPKI 等机制来保证互联网 BGP 路由的安全性。但是这些技术迟迟铺不开,需要整个网络都兼容才行。最后互联网事实上还是靠端到端的安全协议( TLS )来实现安全目标(更容易部署,效果也更强)。 回到电话上可能也是类似的,与其让整个电信网络变得安全,推广端到端的安全可能更有成效。 |
 | 30 dcsuibian 2023-06-01 22:10:07 +08:00 因为打电话听声音你就基本知道是谁了,所以篡改很难 |
 | 31 akira 2023-06-01 23:36:10 +08:00 TLS 不能解决这个问题 |
 | 32 realpg PRO `特别是最后一个用了 95588 工商银行的号码来电,我挂断回拨后,银行客服表示并没有进行过相关的外呼。` 假定不涉及违法非法透传特服号 银行客服并不能告诉你银行有没有外呼。 他只能告诉你他自己,或者他部门有没有外呼 |
Select Language