мобіла для чотких пацанів

[malyj_gorgan]

Недавно вийшло цікавий пресс-реліз служби державної безпеки США (це котра Сікрет Сервіс). Накрили (незрозуміло кого взагалі-то), хто був готовий влаштувати мобільно-телефонний мінітеракт. Що саме ці невідомо-хто планували зробити, нам не кажуть, кажуть, що могли: як мінімум, перевантажити і завалити мобільну телефонію в локальному місці, а то і паразитувати на ній для локального вжитку всякими зловмисниками. Слідами цієї події вийшла цікава стаття -- огляд техніки, яку перехопили в процесі. Я звернув увагу, що в Україні і деінде в Європі давно популярні телефони "на дві SIMʼки", щоби одночасно два номери -- переважно, від різних провайдерів, але часом і того самого. Мені хтось розповідав, що є апарати на ТРИ сімки. ("розповідав": може, придумали, може, мали на увазі E-SIM,... але ідея в головах була). Та хоч пʼять! Це все дитячі забавки, справжні круті пацани мають апарат на 256 сімок! Ось такий:

Основний споживач -- не лише кібертерористи, а спамери і індустріального масштабу скамери. Чогось аналогічного можна було досягнути, використовуючи так звані device farms, апаратні ферми, але окремий прилад -- дешевше, надійніше і елеґантніше.
Як боротися з телефонним шахрайством, спамом і т. д. в сучасних умовах -- неясно, ясно, що треба міняти парадигму. Як на мене, що з телефонією, що з емейлами, найкращий вихід для цього світу --
капіталізм: треба всім світом домовитися, щоби кожен дзвінок і кожен емейл коштував гроші. Дзвінок, в принципі, уже коштує, треба лише ціну підняти за спробу зʼєднання, а емейл -- та якщо хоч півкопійки (української копійки, тобто $0.0001), то більшість спаму в цьому житті тупо зникне. Але, боюся, не вийде :(

Comments

[ppk_ptichkin]

уже запатентовано, лет двадцать назад.

[malyj_gorgan]

Так ясно, що запатентовано. Уже продається, там стаття про те, як на алібабі купити
Я про це пишу, бо жодного _хорошого_ використання для такої штуки не знаю, знаю, що покупців такої техніки треба одразу арештовувати і відправляти в той район пекла, куди попадають спамери і рекламісти

[ppk_ptichkin]

>всім світом домовитися, щоби кожен дзвінок і кожен емейл коштував гроші.

Виноват, неясно написал. Процитированное запатентовано.

[malyj_gorgan]

А.
запатентувати -- штука нехитра. Зробити так, щоби у світі був лише такий, платний емайл -- ось проблема

[mprotsenko]

Зробити так, щоби у світі був лише такий, платний емайл -- ось проблема

Все так - спробуй зробити хоча б в себе коментування платне, так всі повтікають. Не тому що грошей шкода, а тому що незручно.

Як боротися з телефонним шахрайством, спамом і т. д. в сучасних умовах -- неясно, ясно, що треба міняти парадигму.

Сучасний spam detection, white lists etc. - включно з Google Assistant, який бере трубку, якщо номер незнайомий, і не з'єднує, поки з того боку не пояснять, що їм треба - норм працює, я вже і не пам'ятаю, коли в останній раз мене спам напружував. Боротьба броні і снаряду, ага.

[malyj_gorgan]

> спробуй зробити хоча б в себе коментування платне, так всі повтікають.
> Не тому що грошей шкода, а тому що незручно.
Того я і бідкаюся. Єдиний спосіб досягнути масово платного емейлу -- це щоби не було йому альтернатив.

> Сучасний spam detection, white lists etc...
Ти на це дивишся, як клієнт, і на рівні клієнта воно _так собі_ але працює.
Я з цим маю справу на рівні глобальному, мереживному, і там все погано. Воно, звичайно, мені добре, у мене, в результаті, є робота, але на загал -- погано.

[mprotsenko]

Єдиний спосіб досягнути масово платного емейлу -- це щоби не було йому альтернатив.

Така думка родилася - платний емейл нічого принципово не змінить. Бо я пам'ятаю часи, коли е-мейлу не було, був тільки мейл (паперовий), а спам - був вже тоді, і зараз я регулярно вигрібаю з поштової скриньки купу мертвих дерев, які туди потрапили небезкоштовно...

Собсна етимологія самого слова "спам" - вона ж саме про це, ні?

[malyj_gorgan]

Обʼєми паперового і електронного спаму порівнювати смішно, а обʼєми відверто шахрайського трафіку на папері і в електронному форматі непорівнянні тим більше.
Власне, як людина, яка тут жила з тих часів, коли електронна пошта ще не була масовою і в комерційних цілях не використовувалася, можу порівняти обʼєми (обʼєми паперових реклам впали несильно, а вже чистої лажі там майже не було, хоча одного листа від нігерійського принца я колись отримав, реально з Нігерії)

> Собсна етимологія самого слова "спам" - вона ж саме про це, ні?
Ні. Спам це special army meat, консерва. А на навʼязливу масову рекламу це слово перенесли фанати Монті Пайтона за безсмертний скетч з вікінгами.

[mprotsenko]

Обʼєми паперового і електронного спаму порівнювати смішно

Це питання, де ми ці об'єми міряємо - на боці того, хто відправляє, чи того, хто отримує? З усіма фільтрами я таки більше паперового спаму чищу, ніж електронного.

Плюс телефонні шахраї - їх вартість хвилини взагалі не зупиняє, розвод "ваша дитина в міліції, готуйте бакси, зараз приїде людина" існували ще тоді, коли люди по мобилі говорили швидко, щоб не виговорити хвилини в пакеті.

Я ось так прикидую - спам-то і зараз небезкоштовний. Самі бази коштують грошей, не кажучи вже про сервери, ВПН-и, "мережі хробаків" тощо. Невеличка плата за розсилку це просто ще трохи витрат, які шахраї потім відіб'ють все одно. А серйозна плата - це вже проблема для реальних користувачів, за емейли "Build Failed in Jenkins" ніхто платити не буде.

[malyj_gorgan]

> ... де ми ці об'єми міряємо - на боці того, хто відправляє, чи того, хто отримує ...
Якщо міряти на боці того, хто отримує, то обʼєми неспівставні. Якщо на боці того, хто пересилає і т. д. -- тим більше. Особливо, якщо міряти не просто обʼєми, а рівень шкоди: на папері-то воно просто реклама, хай навʼязлива, і ну дуже врядигоди якийсь реальний скам, хоча і так більше sweepstakes, і лише раз на орки щось на кшталт реального нігерійського листа, а електронкою є і phishing, і інші сками.
Якщо ти ніколи в житті не попадався на жодну фішінгову або скам атаку, вірус, перегруз скриньки, ще яку фігню, то молодець, візьми пиріжок, але таких як ти не так багато. Лише за self-reportingʼом кожен пʼятий втратив на скамі гроші, а втрати в плані недоотриманої інформації, даремно потраченого часу і т. п. легко накрутять серйозні суми, і тобі теж, як ти не віднєкуйся, набагато помітніші суми, ніж те, що ти тратиш на викидання в кошик паперового скаму.

> ... телефонні шахраї - їх вартість хвилини взагалі не зупиняє, ...
????
Кількість лівого телефонного трафіку зараз помітно більше половини, робити екстраполяції з "ах, бували телефонні шахраї і до того" -- це якось аж непристійно. Власне, ти нижче дуже правильно згадав про економіку цього діла, але дуже неправильно завис на передостанньому кроці логічного ланцюжка: так, влаштувати телефонну "ферму" коштує грошей... але лише до моменту власне початку дзвінків, а коли все вже влаштовано, повідомлення стають безкоштовними, дзвінки, до підключення оператора --теж. Тому вони і женуть весь цей зловмисний спам.
Власне, єдиний спосіб, яким у когось виходить боротися з небажаним телефонним трафіком -- робити його дорожчим для зловмисника. Цим займаються люди на боці провайдера, юзер того не бачить, але бачить провайдер, а юзер, так чи інакше, лише платить. (Нє, я розумію, що за мою зарплатню в результаті теж платять телефонні юзери, але тут я не зі шкурних інтересів пишу :))

[mprotsenko]

на папері-то воно просто реклама, хай навʼязлива

Еее, бро, розводу з нігерийським принцем - років 200 з гаком, тільки тоді це був "іспанський в'язень". :)

Ну і навіть на нашої пам'яті був як тупий спам типу "листів щастя", так і конкретне "брачне розводилово" (платна об'ява в газеті, платні листи).

Це не кажучи вже про фішінг, який використовує і фізичні листи...


але лише до моменту власне початку дзвінків, а коли все вже влаштовано, повідомлення стають безкоштовними, дзвінки, до підключення оператора --теж.

Я ж як раз пригадав роботу телефонних шахраїв (уточнення - на початку-в середині нульових в Україні), коли хвилина телефонної розмови коштувала реальних коштів. І ні, мобільний номер неможливо було переплутати зі стаціонарним, 050 - це був код UMC, жодне місто такого коду не мало.

Так що сорі, я маю не те що підозру, що платність дзвінку/імейлу зупинить шахраїв - я маю конкретні приклади зворотнього. Маю нахабство вважати, що для шахраїв це просто operational expenses, результати розводу їх відбивають гарантовано.

[malyj_gorgan]

Здається (лінь шукати, тому не наполягаю, вибач, якщо здається неправильно), це у нас не вперше: ти аргументуєш важливість/масштаб/вплив чогось, використовуючи аргумент існування.
Ми ставимо замки на дверях, хоча крадуть і з замками.
Ми вводимо обмеження швидкості, хоча збивати пішоходів все одно будуть, їх ще карети на кінській силі збивали.
Ми говоримо про медичну страховку, хоча навіщо, все одно доводиться платити?

так само і тут

[mprotsenko]

Я, насправді, навіть не аргументую, а так, докльопуюсь до слабих місць ("телефонні повідомлення безкоштовні", "паперові листи - це тільки реклама").

Щодо масштабу - ти правий. Єдина проблема в обмеженнях, що можуть зменшити масштаб спаму - це те, що зі спамом зникнуть і корисні повідомлення. По аналогії з обмеженням швидкості - можна обмежити швидкість і до 15 км на годину, і це врятує купу життів, але ж це тупо паралізує життя.

[malyj_gorgan]

Ну, якщо просто підчистка аргументів -- то дякую

ЗНикнення корисного сигналу в боротьбі зі спамом/скамом/фродом -- це проблема, але це одна з проблем, яку перехід на платний сигнал якраз вирішить (ок, ок, не вирішить, а зменшить масштаб).
Зараз боротьба зі спамом++ іде шляхом фільтрування/блокування, а всякий класифікатор має false positives. І корисні листи, які валяться в spam folder -- це лише один аспект, не найбільший. А крім цього купа людей перестає чистати емейл або пропускає важливі листи, бо більшість емейлів -- спам. (Я не раз чогось не читав вчасно, бо скринька переповнена, впевнений, що така ситуація в більшості). Але це все -- речі, які людина може, хай і з зусиллями, контролювати. А ще є зовнішні моменти, коли проблеми стаються на рівні доменів, ASNʼів, для телефонів -- від контролю юзерів до сот до провайдерів. Бо зі спамом/фродом/і т. п. борються не лише на вході, а і на виході і шлюзах між компонентами мережі (інакше client-level рішення би загнулися). І в них всі ті ж самі проблеми в масштабах в рази більших.
Тобто, не "в них", а "в нас". Зупиняти шкідливий трафік і спамерів-скамерів-шахраїв -- це якраз робота моєї команди. І у нас постійна проблема: якщо ми ловимо потенційних bad actors недостатньо агресивно, то шкідливий трафік одразу починає перегружати ресурси системи (якість для всіх падає), але це дрібничка, а не дрібничка, що якщо таке триває години або дні, то інші телефонні провайдери починають тупо блокувати нас -- їм невигідно пускати до себе трафік, більша частина якого є зловмисним. Якщо наш трафік заблокують, то ми втрачаємо бізнес, так не можна.
А як тільки ми починаємо трохи занадто агресивно ловити bad actors, то наші false positives (яких у нас дуже мало, набагато менше одного відсотка) потрохи накопичуються, і наша клієнтська база починає падати, і ми втрачаємо бізнес. Так чи інакше, я точно знаю, що корисний сигнал ріжеться, як не крутися.
А якби за кожен дзвінок чи повідомлення треба було заплатити один цент, то діяльність більшості великих спам/скам-мереж стала би невигідна. Не всіх, але більшості

[mprotsenko]

А якби за кожен дзвінок чи повідомлення треба було заплатити один цент, то діяльність більшості великих спам/скам-мереж стала би невигідна. Не всіх, але більшості

Я бачу тут імплікацію того, що скамери-спамери не можуть адаптуватися і жити в умовах, коли дзвінки коштують грошей.

Hard data в мене нема, але на рівні особистого оточення - телефонний скам в Україні нульових в моєму оточенні (я сам, друзі, батьки) траплявся частіше і гірше, ніж сьогодні в штатах (on a recipient's side). Ні, можна сказати, що сьогодні щодня кожному шлють десятки-сотні емейлів, а тоді дозванювалися раз на декілька місяців, а то і раз в рік. Але небезпека від скаму - не факт, що нижча в Україні тих часів.

Тобто твій пойнт як man-in-the-middle я розумію, але з точки зору користувача - не факт, що тонна спаму гірша за телефонний spearfishing, якій отримує буст в умовах платних дзвінків.

[malyj_gorgan]

> ... імплікацію того, що скамери-спамери не можуть адаптуватися і жити в умовах,
> коли дзвінки коштують грошей.
Ні, у мене нема такої імплікації. Моя імплікація проста: в умовах, коли дзвінки коштують грошей, більшість спаму зникне. Більшість означає "за обʼємом."

Є безліч різних сценаріїв спаму/скаму, і для кожного можна знайти приклади (або придумати, як ще не було) сценаріїв, коли він буде відбуватися і при ненульовій ціні кожного повідомлення
Але на даний момент більшість спаму використовує в першу чергу масовість. Телефонний спам/скам дорожчий (інфраструктурно), але і там conversion rate повідомлення від 10^-3 і вниз. Емейл спам дешевший, але там конверсія ще на порядки нижча.
Поки відіслати один лист і десять тисяч листів коштує однаково, розсилається будь який спам, навіть з conversion rate'ом одна мільярдна. Як тільки почнеш брати десяту частину цента за лист, такі листи стануть нерентабельними. Рентабельним залишиться лише високоякісний тарґетований спам, а його на порядки менше.

> ... телефонний spearfishing, якій отримує буст в умовах платних дзвінків.
Як споживач я поведінку телефонну і емейлʼівську спостерігаю в Штатах понад 30 років, з тих часів, коли всякий нелокальний дзвінок кошував гроші. Телефонним шахрайством до кінця 90х можна було нехтувати, а телефонний рекламоспам можна було менеджити. Українське телефонне шахрайство нульових-десятих, як на мене, в першу чергу паразитувало на звичці українського суспільства до низової корупції (там мінімум половина дзвінків була на предмет відкупитися від мєнтів чи когось) помноженої на зручну але з точки зору безпеки шкідливу можливість масово "перекидати" одне одному гроші по телефону.

[flamedancerii]

Тобто ви бачите індустрію з середини.
Тоді маєте знати, що історія grey routes, traffic arbitrage та інших нецільових використань мереж - довга, непроста, та відома повністю небагатьом.
Тому моя думка, висловлена тут - це просто спостереження за умов неповної інформації, привід замислитись, не остаточне твердження.

Ферми сімок - це тільки технічний засіб (один з, наприклад ss7 має ще більші проблеми). Існує щонайменше одна комерційна фірма, що має засоби ферми сімок досить успішно детектувати на рівні оператора мобільної мережі. Але щось її послуги не користуються шаленим попитом.

Я згоден, що здорожчання кожної спроби комунікації зменьшить спам.

А хочу звернути увагу на той факт, що наразі кожний sms та хвилина розмови і так коштує грошей, на рівні interconnect завжди є termination price.
Але для збільшення оцінки вартості компанії - і відповідно збільшення бонусів керівництву - оператору набагато вигідніше мати N абонентів на щомісячному пакеті хвилин, ніж N тих, хто платить за кожен дзвінок. А кількість хвилин в пакеті розраховується статистично, по середньому, або взагалі умовний безліміт. Тому і виникає чергова можливість арбітражу: заплативши фіксовану суму можна гнати трафік з сімки поки не заблокують, а це багато, тобто дуже дешево.
А заблокують - купляємо нову сімку з новим пакетом, а керівництву оператора ідуть додаткові бонуси за збільшення абонентської бази.
Тобто це в чомусь сімбіоз, як в жарті про "рок проти наркотиків".
Звичайно оператор втрачає якісь гроші через такий трафік, але до певного рівня вигода перекриває збитки.
"От така фігня, малята..."

[malyj_gorgan]

О. Боротьба між тою частиною керівництва, яке за розширення клієнтської бази, і тою, яке за безпеку -- це моє життя останнім часом (правда, я -- не в керівництві, я -- нижче :))
Правда, у нас специфіка трохи інакша, тому нас не стосується десь половина, вами написаного -- бо то про нормальних операторів, а ми -- так, підбираємо крихи: безкоштовний застосунок, який дає людям номер телефону, а заробляє на рекламі. Відповідно, всякі спамери і шахраї -- наш основний клієнт, а я -- серед тих, хто з ними бореться, бо серед нових реєстрацій всяких поганюків у нас відчутно більше половини. Дякувати богу, компанія невелика, то керівництво не лише про свої бонуси думає, а розуміє, що не user growthʼом єдиним, бо ми перманентно балансуємо на межі "ще трошки більше спаму -- і інші оператори тупо відключать трафік з нашого блоку номерів" (що вже колись траплялося). Так і живемо :)

А вартість смсʼок і дзвінків -- вона, звичайно, є, але, на жаль, торгується не лінійно, а блоками . Особливо при айпі-телефонії все стало важко.

[mprotsenko]

Я про це пишу, бо жодного _хорошого_ використання для такої штуки не знаю

Зануда mode on: подібні штуки використовуються для тестування мобільних мереж (quality assurance, load/stress testing etc).

[malyj_gorgan]

Для настільки рідкісних завдань девайс ферма якраз краще підходить, і за рахунок різноманітності джерел і їх відносного розташування.
Тобто, так, звичайно, на якомусь етапі якісь питання можна закрити і таким девайсом, але оскільки потім все-одно треба буде все те ж саме з сотень синхронізованих телефонів робити, то існування окремого масива сімок все-одно не вважаю виправданим.

[abalaeff]

...а емейл -- та якщо хоч півкопійки ...

Саме так, й саме те ж давно кажу, але у сучасних Estados Unidos це, на дику жаль, політично нереально ☹️🤯🤦🤦🤦

Хоча... А якщо ті півкопійки підуть особисто Трампу у кишеню?? Тре підкинути старому ідею!! 😂😂

[malyj_gorgan]

> ... aле у сучасних Estados Unidos це, на дику жаль, політично нереально...
Це має бути рішення на рівні ICANN + хто там ще інтернетом командує
Тобто, цього мають хотіти ВСІ

[bytebuster]

Мені хтось розповідав, що є апарати на ТРИ сімки.
— бабушкофон Techno T372. Великий екран, тиждень тримає заряд. Саме воно.

кожен дзвінок і кожен емейл коштував гроші.
+100500.

[malyj_gorgan]

>> кожен дзвінок і кожен емейл коштував гроші.
> +100500.
Так... нас уже троє... :)