Хабрахабр

Американские телекомы поборются с телефонным спамом

В США набирает обороты технология аутентификации абонентов — протокол SHAKEN/STIR. Поговорим о принципах его работы и потенциальных сложностях внедрения.


/ Flickr / Mark Fischer / CC BY-SA

Проблема со звонками

Нежелательные робо-звонки — это самая распространенная причина жалоб в потребителей в Федеральную торговую комиссию США. В 2016 году организация зафиксировала пять миллионов обращений, через год эта цифра перевалила за семь миллионов.

Сервисы автоматического обзвона используются для вымогательства денег. Такие спам-звонки отнимают у людей не только время. За лето 2018 года жители Нью-Йорка потеряли около трех миллионов долларов на переводах преступникам, которые звонили им от лица властей и вымогали деньги. По данным YouMail, в сентябре прошлого года 40% из четырех миллиардов робо-звонков были совершены мошенниками.

Представители организации выступили с заявлением, в котором потребовали от телекоммуникационных компаний внедрить решение для борьбы с телефонным спамом. На проблему обратили внимание в Федеральной комиссии по связи США (FCC). В марте совместные его тестирование провели AT&T и Comcast. Этим решением стал протокол SHAKEN/STIR.

Как устроен протокол SHAKEN/STIR

Операторы связи будут работать с цифровыми сертификатами (они строятся на базе криптографии с открытым ключом), которые позволят верифицировать звонящих.

Сперва оператор человека, совершающего звонок, получает запрос SIP INVITE для установки соединения. Процедура верификации будет происходить следующим образом. По результатам проверки звонку присваивается одна из трех категорий: A — известная вся информация о звонящем, B — известна организация и местоположение, и C — известно лишь географическое положение абонента. Сервис аутентификации провайдера проверяет информацию о вызове — местоположение, организацию, данные об устройстве звонящего.

Вот пример такого сообщения из GitHub-репозитория одного из американских телекомов: После этого оператор добавляет в заголовок запроса INVITE сообщение с временной отметкой, категорией звонка и ссылкой на электронный сертификат.

{ "alg": "ES256", "ppt": "shaken", "typ": "passport", "x5u": "https://cert-auth.poc.sys.net/example.cer"
} , "iat": 1504282247, "orig": { "tn": "12154567894" }, "origid": "1db966a6-8f30-11e7-bc77-fa163e70349d"
}

Далее, запрос попадает к провайдеру вызываемого абонента. Второй оператор расшифровывает сообщение с помощью публичного ключа, сравнивает содержимое с SIP INVITE и проверяет подлинность сертификата. Только после этого устанавливается соединение между абонентами, и «принимающая» сторона получает оповещение о том, кто ему звонит.

Весь процесс проверки можно изобразить схемой:

По словам экспертов, верификация звонящего займёт не больше 100 миллисекунд.

Мнения

Как отметили в ассоциации USTelecom, SHAKEN/STIR даст людям больше контроля за звонками, которые они получают — им станет легче решить, стоит ли поднимать трубку.

Читайте в нашем блоге:

Но в индустрии есть мнение, что протокол не станет «серебряной пулей». Эксперты говорят, что мошенники просто воспользуются обходными путями. Спамеры смогут зарегистрировать в сети оператора «подставную» АТС на имя какой-либо организации и проводить все звонки через неё. В случае блокировки АТС можно будет попросту перерегистрировать.

Чтобы остановить мошенников и спамеров, необходимо разрешить провайдерам автоматически блокировать такие звонки. По словам представителя одного из телекомов, простой верификации абонента с помощью сертификатов недостаточно. И этим вопросом в FCC могут заняться уже в ближайшее время. Но для этого Комиссии по связи придётся разработать новый свод правил, который позволит регулировать этот процесс.

С начала года конгрессмены рассматривают новый законопроект, который обяжет Комиссию разработать механизмы защиты граждан от робо-звонков и проследить за реализацией стандарта SHAKEN/STIR.


/ Flickr / Jack Sem / CC BY

Другие американские операторы еще только тестируют технологию. Стоит отметить, что SHAKEN/STIR реализовали в T-Mobile — для некоторых моделей смартфонов и планируют расширить ряд поддерживаемых устройств — и Verizon — его клиенты оператора могут скачать специальное приложение, которое будет предупреждать о звонках с подозрительных номеров. Ожидается, что они закончат испытания до конца 2019 года.

Что еще почитать в нашем блоге на Хабре:

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть