电话录音问题如此严重，以至于FCC真的做了些什么

“你好，我们试图就你汽车的延保服务与你联系。”在经历了多年的几乎无法遏制的诈骗自动电话后，这句话已经深植于许多人的脑海之中。上个月，美国联邦通信委员会（FCC）宣布，它将要求电话运营商屏蔽任何来自已知汽车延保服务诈骗电话的来电，这给美国电话用户带来了希望，也许我们听到那种过于熟悉的自动语音的频率会稍微减少一些。但要彻底打击这些电话，还有更多工作要做。毕竟，汽车延保服务诈骗只是诈骗的一种类型。为了了解诈骗者是如何找到我们的，以及为何如此难以阻止他们，《科学美国人》采访了亚利桑那州立大学的网络安全专家亚当·杜普（Adam Doupé）。[以下为经过编辑的访谈记录。] 美国自动电话的问题有多严重？我认为很难真正意识到它的规模。我们可以查看消费者向FCC提交的投诉数量的硬数据，但这些只是实际提出投诉的人。FCC声称，仅一个汽车延保服务诈骗团伙自2018年以来就发送了超过80亿条自动电话信息，这简直令人震惊。也就是说，每年这个活动就发送20亿条信息。公司每天都会发送数十亿条信息，这必然会影响你；你每天可能会收到一至三条电话。其中很多都是由销售真实产品的公司发送的，他们只是使用非法的营销手段来吸引消费者购买这些产品。这与诈骗者试图通过电话进行欺诈的自动电话是不同的：自动电话本身就是吸引受害者的一种营销手段，然后受害者会被转接给一个真人，这个真人会以各种方式骗取他们钱财。 到目前为止，为什么没有人能阻止自动电话？自动电话之所以如此严重，是因为它们成本低廉。它们非常有效，因为成本低并且可以联系到很多人。犯罪分子考虑的另一个问题是：他们从事这种犯罪行为被抓住的可能性有多大？长期以来，这个数字都出乎意料地低。垃圾电话会修改显示在你手机上的来电显示信息，将其改为一个与你地理位置相近的号码，而这本身就是非法的。我总是会问的一个问题是：“为什么他们能随意更改号码？”听起来是不是有点疯狂？你打电话时，你的服务提供商——比如AT&T、Verizon等——知道你的电话号码。另一个号码怎么会显示在那儿？过去的设计方式是，来电显示字段本质上是可选的，因此在整个呼叫链中，没有人验证过它。随着通信网络变得更复杂，电话会直接进入网络，而没有人会去确认：“哦，等等，这个电话到底是由谁发起的？来电号码是否真实？”实际上，这种设计是有其用途的。大型公司可能并不希望外部任何人知道其内部员工的电话号码，所以它们会修改来电显示信息，使其显示的是公司对外的通用号码。另一个需要注意的事实是：电话系统最初是在彼此信任的电信运营商之间构建的。但随着技术的进步，以及小型公司接入电话网络，越来越多不可信的第三方进入网络，从而引发了大量问题。 FCC目前是如何应对自动电话的？FCC制定了一种称为STIR/SHAKEN的协议（全称是“安全电话身份再认证/基于签名的处理断言信息”），FCC从2021年开始要求运营商实施该协议。它在你发起语音通话时添加了一个字段，声明：“我就是这个实体，并且我已经验证了来电显示信息。”这允许任何传输该请求的人查看该标题信息，并说：“好的，我可以通过加密验证，确认这确实来自该电话的发起者。”然而问题是，如果电话来自海外的一个VoIP（通过互联网协议的语音）提供商，美国的运营商如何验证该号码？FCC做的是建立了一个名为“自动电话缓解数据库”的系统。美国那些作为外国VoIP和其他电话服务之间连接点的公司，必须注册并说明：“我们正在采取哪些步骤来验证这些海外号码。”现在，美国的电话运营商被允许屏蔽不遵守这些标准的提供商的流量。FCC实际上已经下令要求运营商屏蔽那些已知的汽车延保服务诈骗电话。因此，STIR/SHAKEN本身并不是对抗自动电话的解决方案。它主要是一个防止篡改来电显示的解决方案，而这正是诈骗中非常关键的一环。 还有什么其他技术可以用来检测和阻止自动电话？你可能会使用某种基于模式的检测方法，例如：这些电话来自哪里？人们接听或不接这些电话的次数是多少？通话的持续时间有多长？当试图识别尽可能多的区别良好电话和恶意电话的特征时，这些因素都很重要。重新确立来电显示的信任至关重要。你还可以设置虚假电话号码——网络安全术语中称之为“蜜罐”。你可以创建一些不会分发给任何人的假号码，因此，任何拨打这些号码的电话都是不受欢迎的。你可以使用一些自动系统来接听这些电话，听取录音，然后你可以由人工或系统判断：这是诈骗电话还是自动电话？然后你可以用这些信息来反馈给你的检测系统。我认为，通过设置一定的惩罚机制，可以促使企业说：“作为一家合法企业，我们不应该这么做。”有一家位于德克萨斯州的健康保险电话营销公司，因发送了大约10亿条自动电话信息而被罚款2.25亿美元。你可以看到，技术措施和政策手段的结合正在被用来尝试关闭这些漏洞。这会阻止那些试图诈骗美国人的国外犯罪分子吗？可能不会。我们可以做的一件事是让发送十亿次电话的成本变得更加昂贵。我对此抱有希望，认为这有助于遏制这种泛滥之势。 那么，对于诈骗者在其他渠道上针对人们的攻击，我们能做些什么？当你研究网络犯罪时，关键的一点是：人类在寻找新的犯罪方式方面非常有韧性。如果电话成本变高了，另一个选择是诈骗者会转向其他平台，而这已经发生。他们会转向发送WhatsApp消息或推特垃圾信息。我认为这反而是个更好的情况。如果你是电信公司，当你接到电话时，你并不知道通话内容会是什么。你有网络中的模式，也有关于来源的信息，但从根本上讲，你并不知道诈骗内容是什么。而如果是通过短信，你就可以查看内容。问题就更类似于垃圾邮件。如果你使用的是Gmail，垃圾邮件检测能力非常强大，你每个月可能只会收到一条垃圾邮件。从根本上讲，目前我们很难信任电话铃响的时候会是谁。我认为，我们能重新信任电话呼叫，甚至可能对电话感到期待，而不是每次听到电话响就想着：“哦，又有人要来骗我了”，这样的世界会更好。我认为我们正在逐步接近这个目标。