Pull to refresh

Comments 85

Мне не очень понятно, как так с моего номера может звонить кто угодно. Нахрена тогда симкарты физические, вот это все? Почтовые сервисы отправляют письмо в спам сразу, если отправитель представился одним адресом, но домен не совпадает, а у операторов связи такого нет?

Подменяется callerId — там можно что угодно накалякать всегда было.

У операторов связи проходит правильный номер и правоохранители если соизволят начать расследование, увидят реальный номер

Возможно если все будут массово подменять номера, это быстро приучит людей не доверять номеру телефона, отображаемому этим самым телефоном

Да я уже как бы на незнакомые не реагировал. Но считал что если номер у меня записан как "мама" то и звонить с него может только "мама"...

Очевидно звонить с него может кто угодно


Это было бы более понятно людям, если бы это было опцией оператора типо 1 руб один звонок с подменой номера

Моя паранойя тоже on. И вот родился вопрос и возможно какой-никакой вариант.

Если мне звонит «мама», но взяв трубку я что-то подозреваю, то сбросив и перезвонив, я ведь попаду точно на реальную маму?
а потом она сделает то же самое и ситуация зациклится, нет?

Как написали уже выше — вроде как (я уже реально не знаю) да. Вот только как вашей маме понять что это реально вы? Но по это уже тоже написали...

Нужно пройти правильную аутентификацию и хендшейк :) после установки условно доверительного канала связи обменяться обезличенной информацией
Если никто не заморочится, например, дублированием её SIM-карты или принудительным включением переадресации — то да. Более того, это основной рекомендуемый вариант при подозрениях — самый простой и всем доступный.

Caller ID — это просто метаданные соединения, их можно крутить как угодно. Идентификатор вызываемого абонента — основные данные, необходимые для правильного соединения, с ними манипулировать на порядки сложнее (в общем случае надо заставить что-то делать оператора связи).
Да.
Именно поэтому телефонные мошенники, имперсонирующие СБ какого-нибудь банка, так не любят, когда жертва пытается перезвонить в банк сама.
Если мне звонит «мама», но взяв трубку я что-то подозреваю, то сбросив и перезвонив, я ведь попаду точно на реальную маму?

Не уверен…

Казалось бы, просто резать этот подставной и отдавать опять тот, что в базе, но тогда что делать с колл-центрами...

Посмотрите инфу про calleID spoofing. Самый популярный протокол VoIP SIP не имеет механизмов проверки соответствия идентификатора звонящего. Вызов (теоретически) можно выполнить с любого номера. Тут уже всё на совести и софте оператора связи.
Как-то сомневаюсь, что из МВД получатся хорошие контакты. У него проводимость очень низкая. Вплоть до «когда убьют, тогда и приходите».
Почтовые сервисы отправляют письмо в спам сразу

А вот что изменилось бы, если бы почтовые сервисы получали деньги за каждое принятое письмо? Точно боролись бы со спамом?

Вы не поверите, но в почтовых протоколах изначально нет проверки адреса отправителя.
Вот пример общения по протоколу SMTP. Отправка письма выглядит, как отправка вот таких команд и текста:


HELO randomdomain.com # типа "привет, я такой-то домен", хотя писать можно что угодно
MAIL FROM:<anyaddress@anydomain.com> # та же фигня, любой адрес пиши
RCPT TO:<vmkazakoff@mail.com> # единственное место, где надо написать реальный адрес получателя
DATA
# дальше идет тело письма, но там ещё раз дублируются адреса "от" и "кому"
FROM: "mother@mail.ru" # Вот это поле вы увидете в "ОТ", а не то, что в "MAIL FROM"
TO: "son@mail.com" # А это поле вы увидите в "Кому", а не то, что в "RCPT TO"
Subject: Тема письма

А вот тут уже само тело письма

Конечно же, сегодня (и последние 15-20 лет) почтовые серверы проверяют все поля.
Они проверяют ip-адрес сервера-отправителя, домен, адрес "от", "кому" и т.д.
Есть много инструментов для проверки "а шлет ли этот сервер письма с таких доменов".
Можно даже проверить "а есть ли такой ящик на том сервере, с которого прилетело письмо".
Плюс, проверяют содержимое тела письма.
Поэтому сейчас очень сложно отправить вам письмо от адреса вашей мамы.


Но в мире телефонии таких жестких проверок ещё нет.
Оператор N шлет звонок в оператора M, а в данных звонка указан обратный номер "777".
"Не вижу причин не верить этому" говорит оператор М. Конечно не видит, если особо не проверяет.
Как уже сказали ниже, Legacy-протоколы, они такие...

Да, то что я могу поднять сервер какого-нибудь sendmail и отправить письмо хоть от имени президента америки я знаю. На работе этим часто пользуюсь в оассылках от моего сервиса по коллегам.


Но во всех знакомых мне сервисах такое письмо окажется в спаме без малейших раздумий, и, честно говоря, когда я пользуюсь мобильным телефоном я ожидаю что такой же сервис по проверке номера мне оказывает мой оператор. Ожидал. Теперь понял что был не прав.


И по мне это какой-то звездос получается. Какое нахрен тогда 5G, если им надо технический долг отдавать и баги фиксить критичные… Получается что они не тем занимаются. Или и тут я не прав и это разные люди делают?

Вы правы с точки зрения закрытия потенциальных рисков. Попробуйте посмотреть на это с точки зрения подсчета денег.
От выкатки новых фич доход есть. А от латания потенциальных дыр — дохода нет.
Проблема от этой дыры не у компании, а у конечных пользователей.
И проблема системная — переходом к другому оператору её решить нельзя.
Поэтому… потери? денежные? репутационные? В случае, если проблема и есть у всех, от ответственности можно уйти. В договорах, скорее всего, это давно учтено.
Тем более, что пока это не так активно используется, риск проблем очень маленький.


Если проблема станет массовой, скорее всего втихаря начнут накручивать фильтры, как с SMTP. И постепенно начнут с этим справляться так же хорошо, как со спамом. Как только поймут, что система более менее рабочая, сразу разрекламируют это как фичу. Потому что от фич — доход есть.

Мобильные операторы уже накрутили много фильтров, и спам-звонки фильтровать они прекрасно умеют… но вам это доступно будет только за отдельную плату 3.5 рубля в день… бизнес, ничего личного.

когда я пользуюсь мобильным телефоном я ожидаю что такой же сервис по проверке номера мне оказывает мой оператор. Ожидал. Теперь понял что был не прав.

Вы никогда не получали SMS с текстом вместо номера в поле «Отправитель»? А если получали, то давно должны были всё понять.

Был уверен, что такие смс присылаются через моего оператора (возможно с использованием компании прослойки) и в конечном итоге всеравно есть какой-то договор и конечнве ответственные люди.


В общем я уже понял что был не прав напрочь в своих ожиданиях. Как уже написал — мой мир не станет прежним.

Я лет шесть назад тролил знакомых тролей поздравлениями с новым годом SMSками с номера типа «UrMomTooFat». Как помню, SMSки шли через Африку.
Какое нахрен тогда 5G, если им надо технический долг отдавать и баги фиксить критичные…

Потому что смысла отдавать его нет. Весь этот голосовой трафик стремительно замещается просто передачей данных. Где проверку абонента можно сделать прямо средствами самого устройства, а не транспортной сети. Ну вот как никто особо не следить за IP адресами собеседников в месседждерах. Потому что какая разница, какие они?

Ммм. И тогда все разбегутся по разным приложениям — одному в телегу звони, другому в вотсап, третий вообще в вайбере только ответит...

Кстати, это уже произошло. Родственники с разных концов страны звонят друг другу бесплатно по аудио и даже видео связи через whatsapp и одноклассников (да-да).
Это отличная альтернатива платным телефонным звонкам с хитрыми тарифами и "домашними" регионами. Именно поэтому сотовые операторы уже лоббируют "зарегулировать" звонки через интернет. А то как так? Мышки кактус не едят.

Поэтому сейчас очень сложно отправить вам письмо от адреса вашей мамы.


Ха-ха-ха.

У меня есть мэйловская некропочта, которой я де-факто не пользуюсь. Мне один раз приходил спам с моего же адреса (причем со слов ТП он не был отправлен с моей почты, т.е. это не взлом вроде бы), а вы тут говорите про почту мамы…

Я сказал сложно, а не невозможно) Кто-то лучше от такого защищает, кто-то хуже. Попробуйте такой фокус на gmail.

Можно даже проверить «а есть ли такой ящик на том сервере, с которого прилетело письмо»


Достоверно без отправки туда письма — нельзя.

Есть такой метод, называется Callback.
Суть в том, что почтовый сервер получателя стучится на почтовый сервер отправителя и как-бы начинает отправлять письмо отправителю. Если ему не говорят "таких нету", то он делает вывод, что ящик есть. Метод не 100% рабочий, но против спамеров помогает.

против спамеров помогает
А заодно и почти все рассылки с сайтов от no-reply роботов выпиливает.

Ещё во времена Siemens SL45, легендарный ослик, на него можно было накатывать патчи. Так вот была возможность патча с подменой номера для СМС и даже можно было скопировать сим карту и зашить ее в телефон, тогда такая возможность поражала.

У мегаслона есть платная услуга, которая вместо подмененного caller id, высвечивает реальный номер (или номер шлюза)

Есть вероятность, что бота запустили правоохранительные органы, чтобы повысить раскрываемость данного вида преступлений.

Они занимаются этим видом преступлений (на практике, а не теоретически)? У них, благодаря некоторым законам, итак вся инфа есть за последние, сколько там, 3 года? Им не отсутствие бота мешало, а большой вес пятой точки, которую от стула неприятно отрывать, ибо маржа от раскрытий данного вида преступлений низкая.

Предупредите родителей. Это и раньше был надёжный развод — звонок в 2 часа ночи хриплым волнующимся голосом "мама, я сбил человека/ меня задержали в ОВД за митинг/подкинули наркоту" и дальше "не могу говорить, передаю трубку майору, нужны деньги". И люди привозили все свои сбережения в указанное секретное место.


А если ещё и подмена номера станет массовой… Где появился один бот, будут и другие.

Просто эта услуга станет доступной более широкому кругу обычных людей.

Для каких целей? Типа, пошутить?

Вы уже придумали одну цель — пошутить. Кто-то подумает, и придумает ещё цели. Можно — уже плохо.

Думаю, им часто будут пользоваться пранкеры и журналисты- расследовали
Просто идея о том, что что-то (А) может являться идентификатором чего-то ещё (Б) — работает только в ограниченном контексте (включая время). И чем шире контекст, там меньше шансов, что это работает. Мне представляется, что это чистая философия и логика.

Отсюда следствие — использовать что-то (номер телефона, паспорт, имя и фамилия, адрес электронной почты, и так далее) как идентификатор человека можно только в ограниченном контексте. И всегда есть вероятность ошибки идентификации, даже в этом ограниченном контектсе.

Мне непонятна одна вещь. Как можно подменить callerID звонящего, если SIP транки у операторов напрямую запрещают этого делать и ставят callerID номера сип транка, а не тот, что передала ему SIP АТС?

если SIP транки у операторов напрямую запрещают этого делать

какого оператора? где? во всём мире и всегда?
этот запрет — это же не второй закон термодинамики

У российских сотовых операторов и те, кто предоставляет услуги SIP телефонии, запрещена эта функция.

да, да. Именно. «закуклиться в пространстве, и остановить время»
Да. Но! де-факто поднять свой сервер и подключиться к оператору, который не умеет (не хочет\0-day уязвимость… etc) блокировать вызовы с левыми идентификаторами. хорошо, когда при выходе из основного коммутатора проверяется соответствие id пользователя и номера, а если нет?

Вот как раз обычному человеку слать левые АОН достаточно проблематично, операторы такие вызовы не примут. Но можно же и договориться, вопрос в цене.

Есть ANI (Automatic number identification). По нему оператор, который принимает звонок и передает его абоненту, может узнать номер, кто звонит и использовать его вместо CallerID.

Нужно заменить номера в записной книжке на открытые криптостойкие ключи и обеспечить техническую возможность проверить этот ключ при звонке.

И это тоже не поможет. Потому что таким образом идентифицируете (верифицируете) ключи, а не человека.

Если для подмены номера нужно будет знать приватный ключ это уже усложнит жизнь злоумышленникам. Хранить свой приватный ключ в недоступном для детей, хакеров и спецслужб месте — обязанность его владельца.

Второй шаг — этими ключами шифровать канал, сравнивать получившийся секрет, внутри звонка внутри используя биометрию (голос) и второй фактор (девичья фамилия, где мы познакомились, мое любимое блюдо, etc) проверять собеседника, а если есть сомнения, использовать третий фактор (я тебе сам знаешь в чате какой игры скинул числа, а в сам знаешь какой месенджер — буквы, прочитай все вслух).


Ну все. У меня paranoia mode on (((

Это всё кончено так… Битва с матстатистикой. То есть тратим ресурсы на уменьшение вероятности. Ресурcы ограничены. Здесь и сейчас. А энтропия растёт… То есть имеем просто задачу экономику — на что будет тратить ограниченные ресурсы. И чем больше людей решат, что это нужно, тем больше ресурсов потратим…

Это уже не стандартные протоколы (на данный момент)… ни один крупный оператор не пойдет на многомиллиардные затраты по замене оборудования и софта только ради вашей уверенности в АОН, если не будет государственной воли. Но стандарты разрабатываются долго, внедряются ещё дольше… хотя подвижки есть, американсы уже рисуют расширение sip с криптографическим подтверждением звонящего… и даже вроде в астериске будет его поддержка. Но у операторов куча по, в которое никто не будет этот стандарт внедрять, банально невыгодно. Инфраструктура у телекомов десятилетиями работает без изменений...

вот, возможное решение будущего TSIP (Trust Sesion Initiation Protocol) =)
Интересно, как это всё сочтётся с существующим сейчас в России «телефонным правом».
Так пранкеры судей и прокуроров уже давно «пранкуют».
Что стало с пермским пранкером, разоблачавшим судей, готовых принимать решения по звонку сверху
Пермяк Сергей Давыдов звонил судьям и, представляясь им судьей рангом повыше или высокопоставленным силовиком, пытался повлиять на их решения. Принимая пранкера за начальника, судьи обычно обещали выполнить его просьбу; запись разговора он потом выкладывал в ютубе.

А в чем проблема для оператора отображать реальный ANI (Automatic number identification), а не CallerID?

Для sip это будет user_id@sipserver. и так можно и вроде (поправьте меня если не прав) работает по межоператорке.
После недавнего расследования Bellingcat многие удивлялись, как позвонить человеку с другого номера.
Как раз звонок с другого номера — это то самое, к чему меньше всего вопросов, по сравнению со всем остальным шлаком что это «расследование» вывалило.
Предположим, что тот известный разговор на самом деле был, там на самом деле была применена техника подмены номера и там на самом деле участвовал всамделешний сотрудник ФСБ. Теперь вопрос — не должно ли это самое ФСБ теперь очень сильно заинтересоваться как такой фокус столь легко проходит в сетях наших любимых опсосов?
По статистике ЦБ, около 80% злоумышленников, звонящих от лица финансовых организаций, используют подмену номеров.
Хм, я один попал в те 20%, что мне ни разу не звонили мошенники с телефона банка, а звонят с левых?
Три раза перечитал и все равно не понял.

левые для вас номера, являются левыми и для мошенников, которые с них звонят. я, например, несколько раз пытался им перезвонить и всегда попадал на случайных, ничего не понимающих людей.

А смысл? Если подделывать номер, то уж на номер банка.
всегда попадал на случайных, ничего не понимающих людей.
Исходящими занимается товарищ с верхней шконки, входящими — с нижней, играет случайного ничего непонимающего.
Мои попытки перезвонить всегда были «номер недоступен» — и это логично, нафига батарейку тратить на бесполезный входящий?
А смысл? Если подделывать номер, то уж на номер банка
Чтобы потом в случае расследования мошенничества их труднее было найти.
А если подставить номер банка, то легче найти?
А если ничего не подставлять, то тоже?
Номер банка, обычно, короткий — его не подставить. Пустым обратный номер не оставить, да и подозрительно бы было. А свой оставлять — могут найти.
Длинных номеров банк конечно не имеет.
Вы серьезно полагаете, что мошенники используют свой номер?
Вы серьезно полагаете, что мошенники используют свой номер?
Где вы это у меня увидели? Я как раз и пишу, что подставляют чужой.
Я про тот случай, когда не подставляют. Вы реально думаете, что мошенник идет в салон связи с паспортом, получает симку и с нее представляется сотрудником СБ банка?
А вы думаете, все мошенники — гении конспирации? Да и в любом случае — к номеру привязана симка, а симку можно вычислить по геолокации, за кем бы она ни числилась. А ещё по ней можно будет связать несколько разных случаев в одно дело.
Им не надо быть гениями. Все проще. Геолокация показывает на какую-нибудь ИК №5 или СИЗО №2, где несколько тысяч таких гениев. Успехов Вам в связывании дел.
Подмена номера — это не вопрос безопасности звонящего мошенника, а вопрос повышения доверия у жертвы.
ИК №5 или СИЗО №2, где несколько тысяч таких гениев. Успехов Вам в связывании дел.

А что там связывать? Очевидно надо заводить на главу колонии, раз у него бардак.
Как-то мелко на главу колонии. Берите выше — главу ФСИН, как минимум, или тот-кого-нельзя-называть.
А если серьезно, то что можно предъявить по факту геолокации телефона где-то в ИК №5 кому бы то ни было?
Всё тоже мошенничество, притом в особо крупных размерах, так как есть свидетельства, что этим занимаются многие заключённые.
А много кто помнит номера банков? Разве что сберовский 900…

И опять же: люди, которые в состоянии нагуглить по-быстрому (или на той же банковской карте найти в уголке) настоящий номер банка, мошенникам неинтересны. Если они уже тут засомневались, велик риск, что на них потратят ещё полчаса, час, два — а они ещё что-то заметят. Нафиг такое. Попался умный — чёрт с тобой, звоним следующему.

Так что подменой на правдоподобные номера и уж тем более имитацией случайного абонента точно никто не заморачивается.
Как раз для тех, кто ни разу не смотрел на номер с обратной стороны карты:
— Проверьте, пожалуйста, совпадение номера, с которого я звоню, с номером на обратной стороне карты и сообщите мне трехзначный код рядом.

Соглашусь с тем что эта технология (подмена CallerID) как минимум сомнительна. С другой стороны есть мирное применение этой технологии. Мы в CRM для сервисных центров (Servix.io) похожим образом реализуем автоматический звонок клиенту о готовности. Когда мастер заканчивает работать над заказом мы можем отправить роботизированный звонок клиенту.


Безопасность обеспечивается проверкой номеров телефонов (человек должен ответить по этому номеру и в тоновом режиме сделать нажимать кнопки для подтверждения).


Такие звонки нормально работают если регистрируется номер из какой-нибудь IP-телефонии вроде манго или задарма. Если зарегистрировать номер мобильного оператора (МТС / Мегафон / теле 2), то роботизированные звонки на телефон клиента внутри оператора (МТС -МТС) будут заблокированы.

Only those users with full accounts are able to leave comments. Log in, please.