Home > Blogartikel > Sicherheit > Gerührt, nicht geschüttelt: Neue Tools blockieren automatisierte Werbeanrufe – CiraSync
Share on share on Facebook share on Twitter share on Facebook share by email

Kürzlich schrieb ich einen Beitrag über die Robocalls-Plage, die in den letzten Jahren stark zugenommen hat und wie Sie Robocalls, d. h. automatisierte Werbeanrufe auf einem iPhone mithilfe der GAL-Synchronisierung von CiraSync herausfiltern können. Jeder, der schon einmal versucht hat, die Flut der automatisierten Werbeanrufe zu bekämpfen, weiß, dass keine einzige Lösung perfekt oder dauerhaft ist.

Die FCC schätzt die Zahl der automatisierten Werbeanrufe in den Vereinigten Staaten auf täglich 11 Millionen und ein Ende ist nicht abzusehen. Aber noch ist nicht alle Hoffnung verloren. Die FCC, die Telekommunikationsbranche und Privatunternehmen entwickeln derzeit Lösungen und gehen gegen die Seuche vor. Dieser Beitrag gibt einen kurzen Überblick über diese Maßnahmen.

 

STIR und SHAKEN Protokoll zur Identifizierung der automatisierten Anrufe (Robocalls)

Der Name der FCC-Initiative beschwört Bilder eines Ian Fleming Helden herauf, der an der Bar einen speziellen Martini bestellt, aber wir können Ihnen versichern, dass diese Lösung nicht mit Wasser verdünnt wurde. Secure Telephone Identity Revisited (STIR) und Signature-based Handling of Asserted information using toKENs (SHAKEN) bilden eine Reihe von Standards, die von der FCC gemeinsam mit Telekommunikationsunternehmen entwickelt und implementiert wurden, um gefälschte und legale Telefonnummern zu unterscheiden.

Mit einfachen Worten, die zwei Protokolle überprüfen in Zusammenarbeit, ob eine Person, die anruft, tatsächlich die Person ist, die sie zu sein behauptet. Sie führen den Kampf an zwei Fronten:

  • Das Telefon des ausgehenden Anrufs hat ein Zertifikat, das bestätigt, dass der Anruf von einer Nummer getätigt wird, die mit seinem Zertifikat verbunden ist.
  • Der Telefonanruf wird weitergeleitet zur Telefongesellschaft, bei der der Anruf eingeht (AT&T, Verizon usw.). Diese vergleicht den eingehenden öffentlichen Schlüssel mit dem privaten Schlüssel in ihrer Datenbank.

Wenn die beiden Schlüssel identisch sind, ist der Anrufer verifiziert, andernfalls ist der Anrufer nicht die Person, die er behauptet zu sein.

Das ist grundsätzlich sehr wichtig, denn die meisten Robocalls sind heute erfolgreich, weil sie gefälschte Telefonnummern verwenden. Was bedeutet das? Robocalls nutzen die weit verbreiteten VoIP-Dienste (die meisten werden außerhalb der Vereinigten Staaten gehostet) und ändern ihre Nummer, die jetzt den Eindruck einer lokalen Nummer erweckt. Jeder, der diesen Beitrag liest, hat dieses Phänomen sicher schon einmal erlebt. Sie erhalten einen Spamanruf, der von einem Telefon aus ihrem Vorwahlbezirk stammt. Diese Methode ist zugleich tückisch und clever.

Wenn die Schlüssel nicht übereinstimmen, sieht der Empfänger des Anrufs ein „x“, das anzeigt, dass die Nummer nicht als legitime Nummer verifiziert werden konnte.

Dieses neue STIR and SHAKEN Protokoll hat jedoch auch eine Menge eigener Probleme. Bei der Implementierung und Umsetzung des Programms müssen die Telekommunikationsunternehmen und die FCC eng zusammenarbeiten, damit es effizient ist. Zugleich ist die Einführung ein langwieriger Prozess und selbst bei diesen fortschrittlichen Technologien werden wir immer noch Anrufe erleben, die eigentlich nicht durchkommen sollten.

Was tut sich darüber hinaus in diesem Bereich?

 

Bekämpfung der Robocalls mit Drittanbieter-Lösungen

Wie zu erwarten war, sind die effektivsten Methoden zur Bekämpfung der Robocall-Seuche im Privatsektor entstanden. Apps wie Robokiller und Nomorobo versuchen das Robocall-Problem auf einfache, aber sehr effektive Weise zu lösen, durch Datensammlung, Listenverwaltung und Untersuchungstools. Die meisten Anwendungen haben aufgrund des riesigen Anrufaufkommens Datenbanken gesammelt, die Millionen gefälschter Telefonnummern enthalten. Immer wenn die App erkennt, dass eine dieser Nummern auf Ihrem Telefon eingeht, untersucht sie den Anruf automatisch, blockiert ihn und geht noch einen Schritt weiter und löscht die Minuten des Robocallers mit einer hochkuratierten eigenen Wiedergabe-Aufnahme.

Diese Lösung ist clever, aber nicht ohne Probleme. Neue Nummern, die zuvor noch nicht katalogisiert wurden, kommen weiterhin durch. Es gibt keine Hindernisse (keine überhöhten Kosten etwa) für das Erstellen neuer Telefonnummern und schließlich können aus 10 digitalen Sequenzen 9 Millionen Kombinationen kreiert werden (abgesehen von Einschränkungen bei den Vorwahlen), deshalb ist es unwahrscheinlich, dass den gefälschten Anrufen absehbar die Nummern ausgehen.

Das wiederum schafft einen Teufelskreis. Der CEO von YouMail, Alex Quilici, spricht von einer Ära des Katz- und Mausspiels:

„Wenn Sie den automatisierten Anruf nicht beantworten, muss sich der Robocaller mehr Mühe geben und mehr Nummern genieren. Das ist eine Todesspirale.“

Er ist jedoch der Meinung, dass der Kampf noch nicht verloren ist.

„Zwar erleben wir gerade ein Allzeithoch, aber es gibt auch gute Nachrichten […] Die Zahlen gehen vielleicht ein wenig nach oben, aber die Situation scheint zu diesem Zeitpunkt größtenteils stabil zu sein. Wir haben das Tal noch nicht erreicht, aber es ist Licht in Sicht.“

Schließlich ist das Problem nicht so einfach zu lösen. Die effektivste Blockierung von Robocalls wird sicher vielseitige Herangehensweisen kombinieren, flexibel und anpassungsfähig sein müssen.

Die SaaS-Plattform CiraSync stützt sich ebenfalls auf eine solide globale Whitelist-Funktion, die Robocalls bereits effektiv handhabt. Mehr Sicherheit durch das künftige STIR and SHAKEN Protokoll wird die automatisierten Werbeanrufe für die CiraSync-Kunden weiter reduzieren.

 

Mehr Storys vom technischen Support