我最近阅读了有关使用来电显示欺骗技术的攻击。犯罪分子用它来冒充银行或警察雇员,并要求安装恶意软件或将资金转移到给定账户。接听电话的人可以看到银行电话号码。因此,如果您的电话簿中有银行号码,或者正在使用 Google Phone 等应用程序显示与数据库中的电话号码相关联的来电者姓名,您可能会认为这是一位真正的银行员工在给您打电话。
在网上冲浪时,我可以通过 SSL 验证网站的身份。
我读过为来电显示引入类似的验证很难:
但是,我想知道这种技术是否有任何希望?或者对此有什么研究?
我听说过的一件事是针对公司的 Google Verified Calls解决方案,因此他们的客户可以信任从他们那里收到的电话。然而:
听起来您在这里感兴趣的与 SSL 和 TLS 相关的事情是真实性,尽管 TLS 也提供机密性和完整性。由于法律规定了窃听电话的能力,后两者在标准电话环境中是困难的。
但是,有一些称为STIR 和 SHAKEN的来电显示信息真实性协议。美国和加拿大的电信监管机构要求使用这些协议,并且这些协议应该可以在其他地方使用。该协议导致附加呼叫者 ID 信息的数字签名。根据维基百科,证明分为三个级别:
电话提供商不能签署无效信息没有技术上的原因,但当然,这样做的提供商很快就会发现自己不受信任,此外还有政府或其他各方采取法律行动的可能性。
据我所知,主要的手机平台没有任何能力阻止所有未经验证的呼叫,当然未来对此的需求可能会增加。
回答计划部分。
它需要受害者、媒体、监管者和金钱。技术已经存在。
电话供应商不喜欢花钱,如果他们没有被要求,或者这不能给他们带来营销优势。致电您的电话提供商并向他们抱怨“我每天都接到来自未知欺骗号码的电话”,他们会告诉您要更加注意您提交电话号码的位置。
所有当局都知道这种现象和风险。以下是我的看法。一旦网络钓鱼通过大量资金流失而成为足够多的受害者,媒体将开始更多地谈论这种现象并向监管机构施压。有人可能会问“谁能缓解这种情况?当然是电信公司”。然后有一天,监管机构将裁定“是时候停止这种”危险习惯了。最后,电信公司将有义务花钱实施新的安全措施。
这与互联网上的域/IP 欺骗有点不同。幸运的是,互联网规则如下:
上面的第二个是域管理员彻底配置 DKIM/SPF 的原因。您永远不会想告诉您的 CFO 没有邮件正在发送到 Gmail 和 Outlook。你没有接触到你的客户