攪拌/搖晃:它是什麼以及為什麼重要的概述

已發表: 2021-08-26

每月發出的4-50 億個自動電話中,近 40%是欺詐性的,這意味著美國公民平均每月會收到多達 5 個來自網絡犯罪分子的非法自動電話。

犯罪分子使用號碼欺騙,即故意偽造收件人來電顯示上顯示的電話號碼和姓名的過程,來強迫毫無戒心的個人洩露敏感的個人信息,如銀行賬戶數據、社會保險號碼、密碼等。

因為詐騙者更改了他們的真實電話號碼,以使這些電話看起來像是來自本地號碼、銀行,甚至是像 IRS 這樣的知名機構,所以收件人很容易將假號碼和欺詐性“代表”誤認為是真實的事物。

為了打擊來電顯示/號碼欺騙,FCC 開發了 STIR/SHAKEN 來電識別和身份驗證協議,以及實施它們所需的框架。

目錄:

  • 什麼是攪拌/搖晃?
  • 攪拌/搖晃如何工作?
  • 為什麼攪拌/搖晃很重要?
  • 攪拌/震動:它能做什麼和不能做什麼
  • 攪拌/搖晃常見問題解答

什麼是攪拌/搖晃?

STIR/SHAKEN 是一系列技術協議和實施程序,旨在幫助您在 IP 網絡上接到來電時驗證來電顯示上顯示的信息。

其主要目標是減少欺詐性機器人電話的數量,從而減少身份盜用和其他VoIP 安全威脅事件

簡而言之,STIR/SHAKEN 通過使用存儲在互連網絡內的發起、終止和外部運營商中的數據來“簽署”顯示的來電者身份信息,以驗證來電者 ID 是否合法。

攪拌

STIR 是 Secure Telephony Identity Revisited 的縮寫,是一個 IETF(互聯網任務工程組)工作組,負責概述為 VoIP 電話呼叫創建數字簽名所需的技術協議。

這些數字簽名(有時稱為數字證書)使用 SIP 數據來提供有關呼叫者身份和呼叫來源的信息,以及有關終止提供商的信息。

STIR 由 Internet 工程任務組 (IETF) 於 2018 年 2 月開發,最初以 RFC 8824 的形式發布,作為對先前自動呼叫立法的更新

簡而言之:STIR 是由 IETF 創建的一組技術協議,用於幫助驗證/驗證呼叫方的身份,確保呼叫您的個人/公司實際上是您正在與之交談的個人/公司。 它主要關注終端設備。

搖晃

SHAKEN 是使用令牌安全處理斷言信息的縮寫,它是一個框架,它概述並定義了服務提供商實際實施 STIR 技術以驗證通過 IP 網絡發出/接收的呼叫的方式。

它由 SIP 論壇和 ATIS(電信行業解決方案聯盟)開發,作為對 STIR 的回應。

簡而言之:SHAKEN 是服務提供商如何管理其網絡中經過 STIR 身份驗證的呼叫的標準。 它主要關注跨運營商網絡/服務提供商的 STIR 的實際部署/實施過程。

攪拌/搖晃如何工作?

簡單來說,STIR/SHAKEN 使用標準加密密鑰基礎設施工作,允許服務提供商驗證和驗證 SIP 電話呼叫標頭。

當然,這個過程本身要比這複雜得多,而且考慮到技術語言,它可能會變得相當混亂。

我們在上面說過 STIR/SHAKEN 依靠數字證書/數字簽名來確保撥打電話的人是他們所說的那個人。

但是這些證書實際上是從哪裡來的呢?

下圖所示的以下 8 個步驟概述了整個 STIR/SHAKEN 身份驗證協議。

攪拌/搖晃

第 1 步:接收分配認證級別的 SIP 邀請

首先,VoIP 提供商檢查發起呼叫的人(我們稱他為 Dave)所撥打的電話號碼。

始發提供商還會收到一個 SIP 邀請,它本質上是一個“邀請”,以協助驗證和發送呼叫轉移。

在發生其他任何事情之前,發起服務提供商需要為調用源分配一個證明級別。

第 2 步:分配證明級別

完整證明(A 級)意味著服務提供商驗證是否允許 Dave 使用他撥打的號碼。

部分證明(B 級)意味著 Dave 的提供商可以驗證呼叫發起點,但無法驗證 Dave 是否真的被授權從該號碼撥打電話。

網關證明(C 級)意味著 Dave 的提供商會驗證從哪裡接收到呼叫,但無法驗證呼叫的來源。

一旦分配了證明級別,事情就可以向前發展。

第 3 步:初始服務提供商創建 SIP 身份標頭

Dave 的 VoIP 提供商查看他們提供給 Dave 的所有呼叫者 ID 標籤和相關電話號碼,以驗證 Dave 確實是 Dave。

作為證明,提供商將加密的身份驗證數字證書附加到 SIP 標頭。

SIP 標頭包含關鍵信息,例如呼叫者和接收者的電話號碼、當前時間戳、證明級別和發起標識符。

第 4 步:終止服務提供商接收 SIP 標頭

接收服務提供商解密該證書,讀取 SIP 標頭中的所有數據,並“獲悉”電話號碼確實屬於 Dave——根據原始服務提供商的說法,即。

第 5 步:發送 SIP 邀請和 SIP 標頭進行驗證

可以肯定的是,終止提供商將該 SIP 標頭髮送到驗證服務。

第 6 步:驗證服務運行自己的測試

收到後,驗證服務會檢查數字證書並通過其他數據庫運行它,包括已知的垃圾郵件數據庫和來自其他服務提供商的證書存儲庫。

第 7 步:驗證服務將 SIP 標頭返回給終止提供商

一旦驗證服務通過公鑰和公共證書存儲庫對 SIP 標頭進行身份驗證,事情就會向前發展。

第 8 步:目標接收者接聽電話

一旦根據 STIR/SHAKEN 標準完全驗證和驗證了 Dave 的身份,呼叫就會發送給預期的接收者。

總結一下:

  1. 發起呼叫的提供商會收到一個 SIP 邀請,這決定了呼叫所需的證明級別
  2. 提供商將該 SIP 邀請發送到身份驗證服務
  3. 身份驗證服務將包含數字簽名/認證(稱為 PASSport)的 SIP 標頭髮送回初始服務提供商
  4. 帶有相關證書的 SIP 標頭被發送到終止服務提供商(呼叫的接收方)
  5. Termination Service Provider 將該 SIP 標頭髮送到附加的驗證服務
  6. 驗證服務將 SIP 標頭髮送到證書存儲庫,該存儲庫通過解碼 SIP 標頭數據提供另一個級別的驗證
  7. 驗證服務將 SIP 標頭髮送回終止提供商,其中包含有關呼叫者 ID 是否有效的信息
  8. 如果有效,則終止提供者將呼叫發送給預期的接收者

為什麼攪拌/搖晃很重要?

雖然了解 STIR/SHAKEN 的工作原理及其實際作用的過程有點複雜,但最重要的是要記住,這種額外的保護級別為您的業務提供了一些主要好處。

讓我們來看看下面的一些好處。

垃圾郵件防護

認為您的團隊比接聽來自身份不明、不熟悉或徹頭徹尾的垃圾電話號碼的電話更清楚嗎?

再想一想。

停止垃圾電話

(圖片來源)

研究表明,在來電顯示屏幕上顯示公司名稱的電話中,有 65% 的電話都得到了應答——即使該公司不熟悉。 此外,來自身份不明號碼的電話中有 18% 得到了應答,而來自被識別為垃圾電話號碼的電話中有近 9% 得到了應答。

不僅如此,美國人在 2020 年還因自動電話詐騙者損失了近 300 億美元——而且隨著企業在大流行後恢復更正常的運營,預計這一數字只會上升。

使用實施 STIR/SHAKEN 協議的VoIP 軟件提供商會顯著降低您接到這些危險電話的機會。 請記住,只需要一名員工向可能導致數百萬美元訴訟的敏感數據洩露密碼即可。

減少 Robocall

沒有人喜歡接聽電話並聽到自動電話錄音的嗡嗡聲。

這些電話是無情的,令人難以置信的煩人,並且經常妨礙辦公室的工作效率。

您的團隊浪費的每一分鐘都在試圖確定線路另一端提供免費環球遊輪的人是否真正意味著本可以用於銷售、處理即將開展的項目或回答客戶服務的時間通話丟失。

Robocall 詐騙

(圖片來源)

垃圾郵件發送者和自動電話每年浪費數十億小時的生產力,並且由於浪費的時間而損失了超過 50 億美元的收入。

STIR/SHAKEN 可幫助您挽回那段時間——以及那段損失的收入。

受保護的聲譽

請記住,STIR/SHAKEN 不僅有助於減少您的企業接觸到的自動電話和潛在詐騙者的數量。

通過顯著降低您自己的企業電話號碼被這些相同的號碼欺騙者竊取和使用的機會,它還有助於保護您的業務。

如果這些詐騙者掌握了您公司的電話號碼並開始使用它來進行煩人、不專業和徹頭徹尾的非法機器人電話? 那麼貴公司的聲譽幾乎肯定會受到影響。

客戶將失去對您的業務的信任,如果您甚至無法保護自己的個人信息,他們會想知道您對保護他們的敏感個人信息有多麼關心。

另外,如果您被迫更改您的公司電話號碼,您還將失去很大一部分聯繫人——尤其是您可能還不知道其他聯繫方式的潛在客戶。

STIR/SHAKEN 通過確保您的個人或企業號碼不會落入壞人之手,幫助您保持良好的業務信譽。

我們建議您與您的客戶分享下圖,以便他們能夠更好地識別潛在的詐騙和電話號碼欺騙。

騙局注意事項

攪拌/震動:它能做什麼和不能做什麼

STIR/SHAKEN 是打擊自動電話和黑客的有效方法,但它不能保證您永遠不會收到來自欺騙號碼的電話。

請注意,雖然 STIR/SHAKEN 可以識別以前的自動電話號碼,驗證電話號碼,並使欺騙者更難成功從您那裡竊取信息,但它不能完全消除自動電話、合法懲罰號碼欺騙者或保證不需要自動電話垃圾郵件或有惡意。

儘管 STIR/SHAKEN 和其他安全措施不能完全消除黑客的威脅,但當今的 VoIP 提供商提供了出色的網絡安全和監控工具,可以大大降低網絡犯罪的風險。

我們的頂級商務 VoIP 提供商交互式表格提供了 Nextiva、RingCentral 和 Vonage 等平台的概覽,所有這些平台都將 VoIP 安全性提升到了一個新的水平。

攪拌/搖晃常見問題解答

下面,我們回答了一些關於 STIR/SHAKEN 的最常見問題。