V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
tavimori
V2EX  ›  程序员

为什么电话号码没有什么类似 TLS 的机制?

  •  
  •   tavimori · 301 天前 · 3712 次点击
    这是一个创建于 301 天前的主题,其中的信息可能已经有所发展或是发生改变。
    这两天接到好几个骚扰电话,基本上套路都一致:

    1. 来电基本用的是大型机构认证的外呼号码
    2. 用机器人语音先确认本人姓名
    3. 用机器人语音营销推广

    特别是最后一个用了 95588 工商银行的号码来电,我挂断回拨后,银行客服表示并没有进行过相关的外呼。

    现在已经投诉给 12321 了,虽然不知道具体原因,但是我怀疑是本地运营商劫持了电话号码做的营销。

    总之就想来打听下电话号码为什么没有端到端的认证机制? TLS 都已经用了那么多年了,现在什么 VoLTE 、VoNR 已经把语音通信弄成纯数据化了,感觉完全可以用一套基于 X509 的证书机制来验证电话号码的来源可靠性,进一步的可以使用 OV/EV 什么的高阶证书来证实来电的身份。

    不知道这些技术有什么困难,为什么 2023 年还没有推广,到现在电话号码对应的身份还需要第三方企业维护数据库,即便如此还不能确认身份可靠。
    第 1 条附言  ·  301 天前
    感谢大家讨论。
    想再明确一下:

    1. 咱也不是坚持说运营商劫持电话,目前也确实不能确认是谁来的电话。
    2. 但是现实的问题是回拨过去,对方不承认打过营销电话,所以目前无从得知是哪一方拨打的电话。
    3. 当然最有可能的还是银行授权 AI 营销公司打的电话。
    4. 如果是银行授权 AI 营销公司打的电话,那么很大可能该 AI 营销公司承接了多个甲方的业务,所以导致接通一家的,后续就给用户打别家的电话。
    5. 但是现在这个死不承认,无从对证的状况的确是个安全隐患。
    6. AI 用于营销本身就应该是违规的。根据今年( 2023 年初)生效的《互联网信息服务深度合成管理规定》,“ 深度合成服务提供者提供以下深度合成服务,可能导致公众混淆或者误认的,应当在生成或者编辑的信息内容的合理位置、区域进行显著标识,向公众提示深度合成情况”,目前咱还没有听到一个 AI 营销电话自称是 AI 营销的。
    7. 要是有像 Cloudflare 给网站加验证码服务一样给来电增加一层风控+人机验证服务就好了。
    35 条回复    2023-06-02 09:26:02 +08:00
    wheat0r
        1
    wheat0r  
       301 天前
    你怎么在电话上确定颁发者信息?每个电话接通先语音播报?用来电显示查看?
    weijancc
        2
    weijancc  
       301 天前
    如果真的劫持了 95588 那这是犯法吧, 很可能是工行自己的营销.
    ThirdFlame
        3
    ThirdFlame  
       301 天前   ❤️ 1
    利用 95588 拨打电话的人,不一定的 95588 接听电话的人

    外呼一般市外包,而人工客服同样可能是外包。 两帮外包不可能互相知道相关的业务开展情况的。
    tavimori
        4
    tavimori  
    OP
       301 天前
    @wheat0r 可以用数字方式在响铃前就进行认证吧,比如由政府作为第三方 CA ,对号码签发证书,然后电话呼叫时被叫端验证来电端的证书。就像打开基于 HTTPS 的网页,其实在开始 HTTP 请求前双方已经互相验证了身份。
    tavimori
        5
    tavimori  
    OP
       301 天前
    @weijancc 主要是这两天开始已经接到了多个机构的类似电话了。既有互联网企业、也有多家不同的商业银行(平安、中信、工行)。在这之前,我已经至少几个月没怎么接到类似的骚扰电话了。
    laqow
        6
    laqow  
       301 天前
    可能电话主要是保证可用性不是安全吧
    qsmd42
        7
    qsmd42  
       301 天前
    人家打电话用 2G 网络或者固话打的不兼容你这新机制你怎么办? 不允许 2G 打电话?
    tavimori
        8
    tavimori  
    OP
       301 天前   ❤️ 1
    @qsmd42 打个比方,现代互联网浏览器同样可以访问不加密 HTTP 的网页嘛,只是页面上会额外提示“不安全”。
    对于商业机构的电话,证书认证本身也可以作为一种信誉象征。
    darkengine
        9
    darkengine  
       301 天前
    归根到底是成本的问题,实现这个功能运营商几乎所有支撑通话的设备都要升级,带来的收益(运营商的收益)又非常小。
    qsmd42
        10
    qsmd42  
       301 天前
    @tavimori
    你的理论完全基于运营商劫持了商业机构的电话号码的猜想 但是随便想想也知道你这猜想站不住脚
    推销电话其实就是商业机构打出的 不管是机器人还是外包
    银行客服有权限知道所有以工行号码外呼的电话吗?
    工行用自己外呼号码推销工行贷款跟运营商劫持工行号码推销工行贷款哪个可能性更大?
    运营商劫持工行这种巨型国企的号码收益跟风险成正比吗?
    wheat0r
        11
    wheat0r  
       301 天前
    @tavimori 你想一想,我们通过浏览器访问一个网站,最后一步确认是谁来做?是用户自己。
    我们需要自己在浏览器上查看证书信息。现代浏览器简化了这个过程,提供了一个小图标和告警页面,但是我们还是要自己决定证书是不是可信。
    tavimori
        12
    tavimori  
    OP
       301 天前
    @qsmd42
    其实我并没有很确定这个骚扰电话是谁打的,但是现在我打给工行,工行不承认,那我也不能打给运营商要求屏蔽这种正式服务号码吧。再加上这两天如此密集的多家来电,很难觉得互相之间没有关系。我投诉给 12321 也是希望能查到相关责任方。我自己的猜测是第三方的 AI 营销公司承接了营销业务,然后利用比较安全的外呼号码进行营销。

    此外像 TLS/DTLS + X509 这些技术本身的好处就有不可抵赖性,就不会出现现在问谁谁都不承认的问题。
    lcy630409
        13
    lcy630409  
       301 天前
    我就想知道 他用工商的电话给你推荐的装修?
    sxx20001227
        14
    sxx20001227  
       301 天前   ❤️ 1
    北美的 STIR/SHAKEN 协议好像可以差不多是个类似的实现?但是除了北美几大运营商以外貌似没人在用就是
    fly22109
        15
    fly22109  
       301 天前
    一个商户大概率对应多个营销号码,一个营销号码也会有多部电话使用,也就是客户端和服务端是多对多的关系。而 https 的服务端通常是集中式的,这样维护起来也比较容易。
    libook
        16
    libook  
       301 天前   ❤️ 1
    应该是有的,但绝大多数人没有这个需求。

    比如移动通信是有身份验证和加密传输的技术的,但基本不是用户侧需求,而是运营商自己的管理方面的需求。

    其实我个人觉得按照现今的使用习惯来说,可能先加好友再联系的模式会更好。
    cnbatch
        17
    cnbatch  
       301 天前   ❤️ 3
    不要把电话号码类比成 HTTP 和 HTTPS 。

    电话号码的地位更加接近于网络当中的 IP 地址。上游设备发包并伪装源地址,完全是可以做到的。电话号码的来电显示同理。虽然现实中,尤其是电话号码,想要捉到伪造者其实并不难(排除跨国等阻碍因素),想要阻止这种伪造也能做到(需要运营商自行核对该线路的号码)。


    然而,就算真的类比成 HTTPS ,在当下现实照样能被玩坏。

    银行完全可以把自家客服号共享给外包的广告外呼机构,客户打上来投诉坚决否认(现在就是这样)。
    有认证了又能如何,大量的机构确实干得出一边把认证授权给广告外呼公司骚扰客户、一边否认自己干过这样的事情。
    yinmin
        18
    yinmin  
       301 天前 via iPhone
    95588 大概率是银行的推广,目前国家反诈力度很强,改号外呼很难实现了。如果不希望 95588 外呼骚扰你,可以直接拨打 95588 告诉客服不希望接听营销电话,之后银行就不会打给你了。这个方法也适合其他银行。
    ingram22mb30
        19
    ingram22mb30  
       301 天前 via Android   ❤️ 1
    说一下自己的做法,已经在自己“安全机(专门接收验证的机器,有 root)”使用了。
    当某个号码走完之前判断是否是骚扰电话的流程后,有个硬判断。这个硬判断“使用另一个号码拨打来电号码,如果返回是除了正在通话之外的状态,进入拦截模式”。
    kangyue9999
        20
    kangyue9999  
       301 天前 via Android
    主要问题是如果颁发这个证书的人都没法确保只颁发给有信用的机构,那么谈何验证呢?
    因为接受委托电话营销的都是外包啊
    IvanLi127
        21
    IvanLi127  
       301 天前 via iPad   ❤️ 1
    你这是让裁判给自己找麻烦呀?
    qviqvi
        22
    qviqvi  
       301 天前
    找客服投诉不管用,再次投诉,说不行就投诉银监会,在也没收到过机器人电话
    zxcslove
        23
    zxcslove  
       301 天前   ❤️ 1
    想当年来电显示都要单独算作一个收费项目
    wwbfred
        24
    wwbfred  
       301 天前   ❤️ 3
    现在的问题是,运营商和 GOV 没有任何动力做 HTTPS ,他们是数据偷窥与劫持的受益者。而电话和互联网又不一样,电话要想实现身份验证与端对端加密,必须靠他们出钱更新设备。这下死结了。
    tavimori
        25
    tavimori  
    OP
       301 天前
    @qviqvi 是啊,现在最离谱的是 AI 上来就问:“你是 XXX 本人么?”。我寻思着作为 AI 凭什么核实我的身份,有本事打钱啊!
    billlee
        26
    billlee  
       301 天前   ❤️ 1
    其实这都不需要端到端的的认证,电话号码更类似 IP 地址,需要的是类似于 reserve path filter 的机制。但以前设计电话信令的年代大家根本不考虑安全问题,而且这些业务消费者业务不一样,有各种中间代理商什么的,系统也是外面采购来的(不像互联网那样主要靠自研),要全面升级改造难度和成本都很大的吧
    kenvix
        27
    kenvix  
       301 天前
    首先 TLS 不是用来端到端安全的,只确保你到服务器是安全的,4G 已经确保了这一点。
    acbot
        28
    acbot  
       301 天前   ❤️ 1
    本身运营商之前的各种语音或数据交换都是以信任为前提的,且国内运营商老板都是一家所以根本不用你说那么复杂来实现,发一个文件就可以了!在我印象中大致十多年前吧来电改号(那个时候有的运营商也玩)和后来的利用其诈骗兴起的时候,国家就向三大下了规范和对来电号码源验证的要求了!
    tavimori
        29
    tavimori  
    OP
       301 天前
    @billlee 其实互联网也是这样,IP 地址也有 RPKI 等机制来保证互联网 BGP 路由的安全性。但是这些技术迟迟铺不开,需要整个网络都兼容才行。最后互联网事实上还是靠端到端的安全协议( TLS )来实现安全目标(更容易部署,效果也更强)。
    回到电话上可能也是类似的,与其让整个电信网络变得安全,推广端到端的安全可能更有成效。
    dcsuibian
        30
    dcsuibian  
       301 天前
    因为打电话听声音你就基本知道是谁了,所以篡改很难
    akira
        31
    akira  
       301 天前
    TLS 不能解决这个问题
    realpg
        32
    realpg  
       301 天前
    `特别是最后一个用了 95588 工商银行的号码来电,我挂断回拨后,银行客服表示并没有进行过相关的外呼。`

    假定不涉及违法非法透传特服号

    银行客服并不能告诉你银行有没有外呼。
    他只能告诉你他自己,或者他部门有没有外呼
    baobao1270
        33
    baobao1270  
       301 天前   ❤️ 2
    因为能够接入运营商呼叫系统的,本身就是被运营商认可的实体,比如把运营商比做 CA ,那么能够接入系统就相当于被 CA 颁发了证书。你遇到的这种问题属于运营商内部的治理问题,相当于在问「 CA 滥发证书怎么办」。

    电话系统本身就是一个有很多历史包袱的东西,还要考虑跨局和国际交换,更增加了复杂性。

    「 要是有像 Cloudflare 给网站加验证码服务一样给来电增加一层风控+人机验证服务就好了」这一点也是不可能的,因为验证码是网站对用户加的,不可能说用户对网站加验证码。
    lqzhgood
        34
    lqzhgood  
       301 天前 via iPhone
    十几年前用过网络电话,拨号的号码是可以自定义的
    我就改成 110 打给自己,来电号码显示的就是 110
    acerphoenix
        35
    acerphoenix  
       301 天前
    我手机,之前只拦截广告推销电话,现在凡是银行 9xxx8 的都拦截了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   5395 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 07:05 · PVG 15:05 · LAX 00:05 · JFK 03:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.