Comments 85
Мне не очень понятно, как так с моего номера может звонить кто угодно. Нахрена тогда симкарты физические, вот это все? Почтовые сервисы отправляют письмо в спам сразу, если отправитель представился одним адресом, но домен не совпадает, а у операторов связи такого нет?
Да я уже как бы на незнакомые не реагировал. Но считал что если номер у меня записан как "мама" то и звонить с него может только "мама"...
Если мне звонит «мама», но взяв трубку я что-то подозреваю, то сбросив и перезвонив, я ведь попаду точно на реальную маму?
а потом она сделает то же самое и ситуация зациклится, нет?
Как написали уже выше — вроде как (я уже реально не знаю) да. Вот только как вашей маме понять что это реально вы? Но по это уже тоже написали...
Caller ID — это просто метаданные соединения, их можно крутить как угодно. Идентификатор вызываемого абонента — основные данные, необходимые для правильного соединения, с ними манипулировать на порядки сложнее (в общем случае надо заставить что-то делать оператора связи).
Именно поэтому телефонные мошенники, имперсонирующие СБ какого-нибудь банка, так не любят, когда жертва пытается перезвонить в банк сама.
Казалось бы, просто резать этот подставной и отдавать опять тот, что в базе, но тогда что делать с колл-центрами...
Да. Уже погуглил. Мой мир не будет прежним.
Почтовые сервисы отправляют письмо в спам сразу
А вот что изменилось бы, если бы почтовые сервисы получали деньги за каждое принятое письмо? Точно боролись бы со спамом?
Вы не поверите, но в почтовых протоколах изначально нет проверки адреса отправителя.
Вот пример общения по протоколу SMTP. Отправка письма выглядит, как отправка вот таких команд и текста:
HELO randomdomain.com # типа "привет, я такой-то домен", хотя писать можно что угодно
MAIL FROM:<anyaddress@anydomain.com> # та же фигня, любой адрес пиши
RCPT TO:<vmkazakoff@mail.com> # единственное место, где надо написать реальный адрес получателя
DATA
# дальше идет тело письма, но там ещё раз дублируются адреса "от" и "кому"
FROM: "mother@mail.ru" # Вот это поле вы увидете в "ОТ", а не то, что в "MAIL FROM"
TO: "son@mail.com" # А это поле вы увидите в "Кому", а не то, что в "RCPT TO"
Subject: Тема письма
А вот тут уже само тело письмаКонечно же, сегодня (и последние 15-20 лет) почтовые серверы проверяют все поля.
Они проверяют ip-адрес сервера-отправителя, домен, адрес "от", "кому" и т.д.
Есть много инструментов для проверки "а шлет ли этот сервер письма с таких доменов".
Можно даже проверить "а есть ли такой ящик на том сервере, с которого прилетело письмо".
Плюс, проверяют содержимое тела письма.
Поэтому сейчас очень сложно отправить вам письмо от адреса вашей мамы.
Но в мире телефонии таких жестких проверок ещё нет.
Оператор N шлет звонок в оператора M, а в данных звонка указан обратный номер "777".
"Не вижу причин не верить этому" говорит оператор М. Конечно не видит, если особо не проверяет.
Как уже сказали ниже, Legacy-протоколы, они такие...
Да, то что я могу поднять сервер какого-нибудь sendmail и отправить письмо хоть от имени президента америки я знаю. На работе этим часто пользуюсь в оассылках от моего сервиса по коллегам.
Но во всех знакомых мне сервисах такое письмо окажется в спаме без малейших раздумий, и, честно говоря, когда я пользуюсь мобильным телефоном я ожидаю что такой же сервис по проверке номера мне оказывает мой оператор. Ожидал. Теперь понял что был не прав.
И по мне это какой-то звездос получается. Какое нахрен тогда 5G, если им надо технический долг отдавать и баги фиксить критичные… Получается что они не тем занимаются. Или и тут я не прав и это разные люди делают?
Вы правы с точки зрения закрытия потенциальных рисков. Попробуйте посмотреть на это с точки зрения подсчета денег.
От выкатки новых фич доход есть. А от латания потенциальных дыр — дохода нет.
Проблема от этой дыры не у компании, а у конечных пользователей.
И проблема системная — переходом к другому оператору её решить нельзя.
Поэтому… потери? денежные? репутационные? В случае, если проблема и есть у всех, от ответственности можно уйти. В договорах, скорее всего, это давно учтено.
Тем более, что пока это не так активно используется, риск проблем очень маленький.
Если проблема станет массовой, скорее всего втихаря начнут накручивать фильтры, как с SMTP. И постепенно начнут с этим справляться так же хорошо, как со спамом. Как только поймут, что система более менее рабочая, сразу разрекламируют это как фичу. Потому что от фич — доход есть.
когда я пользуюсь мобильным телефоном я ожидаю что такой же сервис по проверке номера мне оказывает мой оператор. Ожидал. Теперь понял что был не прав.
Вы никогда не получали SMS с текстом вместо номера в поле «Отправитель»? А если получали, то давно должны были всё понять.
Какое нахрен тогда 5G, если им надо технический долг отдавать и баги фиксить критичные…
Потому что смысла отдавать его нет. Весь этот голосовой трафик стремительно замещается просто передачей данных. Где проверку абонента можно сделать прямо средствами самого устройства, а не транспортной сети. Ну вот как никто особо не следить за IP адресами собеседников в месседждерах. Потому что какая разница, какие они?
Ммм. И тогда все разбегутся по разным приложениям — одному в телегу звони, другому в вотсап, третий вообще в вайбере только ответит...
Кстати, это уже произошло. Родственники с разных концов страны звонят друг другу бесплатно по аудио и даже видео связи через whatsapp и одноклассников (да-да).
Это отличная альтернатива платным телефонным звонкам с хитрыми тарифами и "домашними" регионами. Именно поэтому сотовые операторы уже лоббируют "зарегулировать" звонки через интернет. А то как так? Мышки кактус не едят.
Поэтому сейчас очень сложно отправить вам письмо от адреса вашей мамы.
Ха-ха-ха.
У меня есть мэйловская некропочта, которой я де-факто не пользуюсь. Мне один раз приходил спам с моего же адреса (причем со слов ТП он не был отправлен с моей почты, т.е. это не взлом вроде бы), а вы тут говорите про почту мамы…
Можно даже проверить «а есть ли такой ящик на том сервере, с которого прилетело письмо»
Достоверно без отправки туда письма — нельзя.
Есть такой метод, называется Callback.
Суть в том, что почтовый сервер получателя стучится на почтовый сервер отправителя и как-бы начинает отправлять письмо отправителю. Если ему не говорят "таких нету", то он делает вывод, что ящик есть. Метод не 100% рабочий, но против спамеров помогает.
Ещё во времена Siemens SL45, легендарный ослик, на него можно было накатывать патчи. Так вот была возможность патча с подменой номера для СМС и даже можно было скопировать сим карту и зашить ее в телефон, тогда такая возможность поражала.
У мегаслона есть платная услуга, которая вместо подмененного caller id, высвечивает реальный номер (или номер шлюза)
Есть вероятность, что бота запустили правоохранительные органы, чтобы повысить раскрываемость данного вида преступлений.
Они занимаются этим видом преступлений (на практике, а не теоретически)? У них, благодаря некоторым законам, итак вся инфа есть за последние, сколько там, 3 года? Им не отсутствие бота мешало, а большой вес пятой точки, которую от стула неприятно отрывать, ибо маржа от раскрытий данного вида преступлений низкая.
Предупредите родителей. Это и раньше был надёжный развод — звонок в 2 часа ночи хриплым волнующимся голосом "мама, я сбил человека/ меня задержали в ОВД за митинг/подкинули наркоту" и дальше "не могу говорить, передаю трубку майору, нужны деньги". И люди привозили все свои сбережения в указанное секретное место.
А если ещё и подмена номера станет массовой… Где появился один бот, будут и другие.
Просто эта услуга станет доступной более широкому кругу обычных людей.
Для каких целей? Типа, пошутить?
Отсюда следствие — использовать что-то (номер телефона, паспорт, имя и фамилия, адрес электронной почты, и так далее) как идентификатор человека можно только в ограниченном контексте. И всегда есть вероятность ошибки идентификации, даже в этом ограниченном контектсе.
Мне непонятна одна вещь. Как можно подменить callerID звонящего, если SIP транки у операторов напрямую запрещают этого делать и ставят callerID номера сип транка, а не тот, что передала ему SIP АТС?
если SIP транки у операторов напрямую запрещают этого делать
какого оператора? где? во всём мире и всегда?
этот запрет — это же не второй закон термодинамики
У российских сотовых операторов и те, кто предоставляет услуги SIP телефонии, запрещена эта функция.
Вот как раз обычному человеку слать левые АОН достаточно проблематично, операторы такие вызовы не примут. Но можно же и договориться, вопрос в цене.
Есть ANI (Automatic number identification). По нему оператор, который принимает звонок и передает его абоненту, может узнать номер, кто звонит и использовать его вместо CallerID.
Нужно заменить номера в записной книжке на открытые криптостойкие ключи и обеспечить техническую возможность проверить этот ключ при звонке.
Если для подмены номера нужно будет знать приватный ключ это уже усложнит жизнь злоумышленникам. Хранить свой приватный ключ в недоступном для детей, хакеров и спецслужб месте — обязанность его владельца.
Второй шаг — этими ключами шифровать канал, сравнивать получившийся секрет, внутри звонка внутри используя биометрию (голос) и второй фактор (девичья фамилия, где мы познакомились, мое любимое блюдо, etc) проверять собеседника, а если есть сомнения, использовать третий фактор (я тебе сам знаешь в чате какой игры скинул числа, а в сам знаешь какой месенджер — буквы, прочитай все вслух).
Ну все. У меня paranoia mode on (((
Это уже не стандартные протоколы (на данный момент)… ни один крупный оператор не пойдет на многомиллиардные затраты по замене оборудования и софта только ради вашей уверенности в АОН, если не будет государственной воли. Но стандарты разрабатываются долго, внедряются ещё дольше… хотя подвижки есть, американсы уже рисуют расширение sip с криптографическим подтверждением звонящего… и даже вроде в астериске будет его поддержка. Но у операторов куча по, в которое никто не будет этот стандарт внедрять, банально невыгодно. Инфраструктура у телекомов десятилетиями работает без изменений...
Пермяк Сергей Давыдов звонил судьям и, представляясь им судьей рангом повыше или высокопоставленным силовиком, пытался повлиять на их решения. Принимая пранкера за начальника, судьи обычно обещали выполнить его просьбу; запись разговора он потом выкладывал в ютубе.
А в чем проблема для оператора отображать реальный ANI (Automatic number identification), а не CallerID?
По статистике ЦБ, около 80% злоумышленников, звонящих от лица финансовых организаций, используют подмену номеров.Хм, я один попал в те 20%, что мне ни разу не звонили мошенники с телефона банка, а звонят с левых?
левые для вас номера, являются левыми и для мошенников, которые с них звонят. я, например, несколько раз пытался им перезвонить и всегда попадал на случайных, ничего не понимающих людей.
всегда попадал на случайных, ничего не понимающих людей.Исходящими занимается товарищ с верхней шконки, входящими — с нижней, играет случайного ничего непонимающего.
Мои попытки перезвонить всегда были «номер недоступен» — и это логично, нафига батарейку тратить на бесполезный входящий?
А смысл? Если подделывать номер, то уж на номер банкаЧтобы потом в случае расследования мошенничества их труднее было найти.
А если ничего не подставлять, то тоже?
Вы серьезно полагаете, что мошенники используют свой номер?
Вы серьезно полагаете, что мошенники используют свой номер?Где вы это у меня увидели? Я как раз и пишу, что подставляют чужой.
И опять же: люди, которые в состоянии нагуглить по-быстрому (или на той же банковской карте найти в уголке) настоящий номер банка, мошенникам неинтересны. Если они уже тут засомневались, велик риск, что на них потратят ещё полчаса, час, два — а они ещё что-то заметят. Нафиг такое. Попался умный — чёрт с тобой, звоним следующему.
Так что подменой на правдоподобные номера и уж тем более имитацией случайного абонента точно никто не заморачивается.
Соглашусь с тем что эта технология (подмена CallerID) как минимум сомнительна. С другой стороны есть мирное применение этой технологии. Мы в CRM для сервисных центров (Servix.io) похожим образом реализуем автоматический звонок клиенту о готовности. Когда мастер заканчивает работать над заказом мы можем отправить роботизированный звонок клиенту.
Безопасность обеспечивается проверкой номеров телефонов (человек должен ответить по этому номеру и в тоновом режиме сделать нажимать кнопки для подтверждения).
Такие звонки нормально работают если регистрируется номер из какой-нибудь IP-телефонии вроде манго или задарма. Если зарегистрировать номер мобильного оператора (МТС / Мегафон / теле 2), то роботизированные звонки на телефон клиента внутри оператора (МТС -МТС) будут заблокированы.
В Telegram появился бот для телефонных звонков с подменой Caller-ID