Viễn thông Mỹ sẽ cạnh tranh với thư rác qua điện thoại

Ở Mỹ, công nghệ xác thực người đăng ký đang trên đà phát triển - giao thức SHAKEN/STIR. Hãy nói về các nguyên tắc hoạt động của nó và những khó khăn tiềm ẩn khi triển khai.

/flickr/ Đánh dấu Fischer / CC BY-SA

Sự cố với các cuộc gọi

Các cuộc gọi tự động không được yêu cầu là lý do phổ biến nhất khiến người tiêu dùng khiếu nại lên Ủy ban Thương mại Liên bang Hoa Kỳ. Năm 2016 tổ chức ghi năm triệu lượt truy cập, một năm sau con số này đã vượt quá bảy triệu.

Những cuộc gọi spam này không chỉ làm mất thời gian của mọi người. Các dịch vụ cuộc gọi tự động được sử dụng để tống tiền. Theo YouMail, vào tháng 40 năm ngoái, XNUMX% trong số bốn tỷ cuộc gọi tự động đã được cam kết bởi những kẻ lừa đảo. Trong mùa hè năm 2018, người dân New York đã mất khoảng XNUMX triệu đô la khi chuyển tiền cho những tên tội phạm thay mặt chính quyền gọi điện cho họ và tống tiền.

Vấn đề đã được Ủy ban Truyền thông Liên bang Hoa Kỳ (FCC) chú ý. đại diện tổ chức ban hành một tuyên bố, buộc các công ty viễn thông phải triển khai giải pháp chống thư rác qua điện thoại. Giải pháp này là giao thức SHAKEN/STIR. Vào tháng XNUMX, thử nghiệm chung dành ra AT&T và Comcast.

Cách thức hoạt động của giao thức SHAKEN/STIR

Các nhà khai thác viễn thông sẽ làm việc với các chứng chỉ kỹ thuật số (chúng dựa trên mật mã khóa công khai) cho phép xác minh người gọi.

Quy trình xác minh sẽ tiến hành như sau. Đầu tiên, người điều hành của người thực hiện cuộc gọi nhận được yêu cầu SIP MỜI thiết lập kết nối. Dịch vụ xác thực của nhà cung cấp kiểm tra thông tin về cuộc gọi - vị trí, tổ chức, chi tiết thiết bị của người gọi. Dựa trên kết quả kiểm tra, cuộc gọi được chỉ định một trong ba loại: A - tất cả thông tin về người gọi được biết, B - tổ chức và vị trí được biết và C - chỉ biết vị trí địa lý của người đăng ký.

Sau đó, nhà điều hành thêm một tin nhắn có dấu thời gian, danh mục cuộc gọi và liên kết đến chứng chỉ điện tử vào tiêu đề yêu cầu INVITE. Đây là một ví dụ về một tin nhắn như vậy từ kho lưu trữ GitHub một trong những công ty viễn thông của Mỹ:

{
	"alg": "ES256",
        "ppt": "shaken",
        "typ": "passport",
        "x5u": "https://cert-auth.poc.sys.net/example.cer"
}

{
        "attest": "A",
        "dest": {
          "tn": [
            "1215345567"
          ]
        },
        "iat": 1504282247,
        "orig": {
          "tn": "12154567894"
        },
        "origid": "1db966a6-8f30-11e7-bc77-fa163e70349d"
}

Hơn nữa, yêu cầu được chuyển đến nhà cung cấp của thuê bao được gọi. Toán tử thứ hai giải mã tin nhắn bằng khóa chung, so sánh nội dung với SIP INVITE và xác minh tính xác thực của chứng chỉ. Chỉ sau đó, kết nối được thiết lập giữa những người đăng ký và bên "nhận" mới nhận được thông báo về việc ai đang gọi cho mình.

Toàn bộ quá trình xác minh có thể được biểu diễn bằng sơ đồ:

Theo các chuyên gia, xác minh người gọi sẽ mất không quá 100 mili giây.

ý kiến

làm sao lưu ý trong hiệp hội USTelecom, SHAKEN/STIR sẽ cung cấp cho mọi người nhiều quyền kiểm soát hơn đối với các cuộc gọi mà họ nhận được, giúp họ dễ dàng quyết định có nhấc máy hay không.

Đọc trên blog của chúng tôi:

• Botnet “thư rác” qua bộ định tuyến: những điều bạn cần biết
• DDOS và 5G: "đường ống" dày hơn - nhiều vấn đề hơn

Nhưng có ý kiến ​​​​trong ngành cho rằng giao thức này sẽ không trở thành “viên đạn bạc”. Các chuyên gia nói rằng những kẻ lừa đảo sẽ chỉ sử dụng cách giải quyết. Những kẻ gửi thư rác sẽ có thể đăng ký một tổng đài "giả" trong mạng của nhà điều hành dưới tên của một tổ chức và thực hiện tất cả các cuộc gọi thông qua nó. Trong trường hợp chặn PBX, có thể chỉ cần đăng ký lại.

Trên theo đại diện của một trong những viễn thông, xác minh đơn giản của thuê bao sử dụng chứng chỉ là không đủ. Để ngăn chặn những kẻ lừa đảo và gửi thư rác, bạn cần cho phép các ISP tự động chặn các cuộc gọi như vậy. Nhưng đối với điều này, Ủy ban Truyền thông sẽ phải phát triển một bộ quy tắc mới sẽ điều chỉnh quá trình này. Và FCC có thể giải quyết vấn đề này trong tương lai gần.

Từ đầu năm đến nay, các đại biểu Quốc hội đang xem xét một dự luật mới sẽ buộc Ủy ban phải phát triển các cơ chế để bảo vệ công dân khỏi các cuộc gọi tự động và giám sát việc thực hiện tiêu chuẩn SHAKEN / STIR.

/flickr/ Jack Sem / CC BY

Cần lưu ý rằng SHAKEN/STIR thực hiện trong T-Mobile - đối với một số mẫu điện thoại thông minh và có kế hoạch mở rộng phạm vi thiết bị được hỗ trợ - và Verizon - khách hàng của nhà điều hành có thể tải xuống một ứng dụng đặc biệt sẽ cảnh báo về các cuộc gọi từ các số đáng ngờ. Các nhà mạng khác của Mỹ vẫn đang thử nghiệm công nghệ này. Họ dự kiến ​​sẽ hoàn thành thử nghiệm vào cuối năm 2019.

Những gì khác để đọc trong blog của chúng tôi trên Habré:

• Cuộc chiến giành quyền trung lập ròng là cơ hội để trở lại
• Tình huống: Nhật Bản có thể hạn chế tải xuống nội dung từ mạng - chúng tôi hiểu và thảo luận
• Tiêu chuẩn mới dựa trên PCIe 5.0 sẽ "liên kết" CPU và GPU - những gì được biết về nó

Nguồn: www.habr.com