为什么电话号码没有什么类似 TLS 的机制?

2023-06-01 15:05:32 +08:00
 tavimori
这两天接到好几个骚扰电话,基本上套路都一致:

1. 来电基本用的是大型机构认证的外呼号码
2. 用机器人语音先确认本人姓名
3. 用机器人语音营销推广

特别是最后一个用了 95588 工商银行的号码来电,我挂断回拨后,银行客服表示并没有进行过相关的外呼。

现在已经投诉给 12321 了,虽然不知道具体原因,但是我怀疑是本地运营商劫持了电话号码做的营销。

总之就想来打听下电话号码为什么没有端到端的认证机制? TLS 都已经用了那么多年了,现在什么 VoLTE 、VoNR 已经把语音通信弄成纯数据化了,感觉完全可以用一套基于 X509 的证书机制来验证电话号码的来源可靠性,进一步的可以使用 OV/EV 什么的高阶证书来证实来电的身份。

不知道这些技术有什么困难,为什么 2023 年还没有推广,到现在电话号码对应的身份还需要第三方企业维护数据库,即便如此还不能确认身份可靠。
3987 次点击
所在节点    程序员
35 条回复
wheat0r
2023-06-01 15:20:16 +08:00
你怎么在电话上确定颁发者信息?每个电话接通先语音播报?用来电显示查看?
weijancc
2023-06-01 15:26:06 +08:00
如果真的劫持了 95588 那这是犯法吧, 很可能是工行自己的营销.
ThirdFlame
2023-06-01 15:28:08 +08:00
利用 95588 拨打电话的人,不一定的 95588 接听电话的人

外呼一般市外包,而人工客服同样可能是外包。 两帮外包不可能互相知道相关的业务开展情况的。
tavimori
2023-06-01 15:30:03 +08:00
@wheat0r 可以用数字方式在响铃前就进行认证吧,比如由政府作为第三方 CA ,对号码签发证书,然后电话呼叫时被叫端验证来电端的证书。就像打开基于 HTTPS 的网页,其实在开始 HTTP 请求前双方已经互相验证了身份。
tavimori
2023-06-01 15:32:46 +08:00
@weijancc 主要是这两天开始已经接到了多个机构的类似电话了。既有互联网企业、也有多家不同的商业银行(平安、中信、工行)。在这之前,我已经至少几个月没怎么接到类似的骚扰电话了。
laqow
2023-06-01 15:32:48 +08:00
可能电话主要是保证可用性不是安全吧
qsmd42
2023-06-01 15:59:35 +08:00
人家打电话用 2G 网络或者固话打的不兼容你这新机制你怎么办? 不允许 2G 打电话?
tavimori
2023-06-01 16:09:08 +08:00
@qsmd42 打个比方,现代互联网浏览器同样可以访问不加密 HTTP 的网页嘛,只是页面上会额外提示“不安全”。
对于商业机构的电话,证书认证本身也可以作为一种信誉象征。
darkengine
2023-06-01 16:15:03 +08:00
归根到底是成本的问题,实现这个功能运营商几乎所有支撑通话的设备都要升级,带来的收益(运营商的收益)又非常小。
qsmd42
2023-06-01 16:43:34 +08:00
@tavimori
你的理论完全基于运营商劫持了商业机构的电话号码的猜想 但是随便想想也知道你这猜想站不住脚
推销电话其实就是商业机构打出的 不管是机器人还是外包
银行客服有权限知道所有以工行号码外呼的电话吗?
工行用自己外呼号码推销工行贷款跟运营商劫持工行号码推销工行贷款哪个可能性更大?
运营商劫持工行这种巨型国企的号码收益跟风险成正比吗?
wheat0r
2023-06-01 17:03:12 +08:00
@tavimori 你想一想,我们通过浏览器访问一个网站,最后一步确认是谁来做?是用户自己。
我们需要自己在浏览器上查看证书信息。现代浏览器简化了这个过程,提供了一个小图标和告警页面,但是我们还是要自己决定证书是不是可信。
tavimori
2023-06-01 17:04:34 +08:00
@qsmd42
其实我并没有很确定这个骚扰电话是谁打的,但是现在我打给工行,工行不承认,那我也不能打给运营商要求屏蔽这种正式服务号码吧。再加上这两天如此密集的多家来电,很难觉得互相之间没有关系。我投诉给 12321 也是希望能查到相关责任方。我自己的猜测是第三方的 AI 营销公司承接了营销业务,然后利用比较安全的外呼号码进行营销。

此外像 TLS/DTLS + X509 这些技术本身的好处就有不可抵赖性,就不会出现现在问谁谁都不承认的问题。
lcy630409
2023-06-01 17:29:41 +08:00
我就想知道 他用工商的电话给你推荐的装修?
sxx20001227
2023-06-01 17:38:55 +08:00
北美的 STIR/SHAKEN 协议好像可以差不多是个类似的实现?但是除了北美几大运营商以外貌似没人在用就是
fly22109
2023-06-01 17:52:18 +08:00
一个商户大概率对应多个营销号码,一个营销号码也会有多部电话使用,也就是客户端和服务端是多对多的关系。而 https 的服务端通常是集中式的,这样维护起来也比较容易。
libook
2023-06-01 17:57:40 +08:00
应该是有的,但绝大多数人没有这个需求。

比如移动通信是有身份验证和加密传输的技术的,但基本不是用户侧需求,而是运营商自己的管理方面的需求。

其实我个人觉得按照现今的使用习惯来说,可能先加好友再联系的模式会更好。
cnbatch
2023-06-01 17:59:22 +08:00
不要把电话号码类比成 HTTP 和 HTTPS 。

电话号码的地位更加接近于网络当中的 IP 地址。上游设备发包并伪装源地址,完全是可以做到的。电话号码的来电显示同理。虽然现实中,尤其是电话号码,想要捉到伪造者其实并不难(排除跨国等阻碍因素),想要阻止这种伪造也能做到(需要运营商自行核对该线路的号码)。


然而,就算真的类比成 HTTPS ,在当下现实照样能被玩坏。

银行完全可以把自家客服号共享给外包的广告外呼机构,客户打上来投诉坚决否认(现在就是这样)。
有认证了又能如何,大量的机构确实干得出一边把认证授权给广告外呼公司骚扰客户、一边否认自己干过这样的事情。
yinmin
2023-06-01 18:04:42 +08:00
95588 大概率是银行的推广,目前国家反诈力度很强,改号外呼很难实现了。如果不希望 95588 外呼骚扰你,可以直接拨打 95588 告诉客服不希望接听营销电话,之后银行就不会打给你了。这个方法也适合其他银行。
ingram22mb30
2023-06-01 20:12:25 +08:00
说一下自己的做法,已经在自己“安全机(专门接收验证的机器,有 root)”使用了。
当某个号码走完之前判断是否是骚扰电话的流程后,有个硬判断。这个硬判断“使用另一个号码拨打来电号码,如果返回是除了正在通话之外的状态,进入拦截模式”。
kangyue9999
2023-06-01 20:20:37 +08:00
主要问题是如果颁发这个证书的人都没法确保只颁发给有信用的机构,那么谈何验证呢?
因为接受委托电话营销的都是外包啊

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/944915

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX