沒有實名制，美國如何找到虛擬號碼電詐分子，如何修理運營商？

　　美國通信委員會認為，打擊電詐要從運營商下手。騙子很小很難抓，運營商很大很好抓。

　　為了把可疑運營商踢出電話網(wǎng)絡(luò)，美國通信委員會（美通會，F(xiàn)ederal Communications Commission，F(xiàn)CC）搞了一個“機器人電話緩解數(shù)據(jù)庫”(Robocall Mitigation Database，RMD，緩解庫)和一套電話令牌（STIR/SHAKEN）技術(shù)標準。

　　12月8日，北京日報轉(zhuǎn)發(fā)科技日報的報道，美通會向三家運營商發(fā)出命令(order)，要求在14天內(nèi)提交認證材料，否則將從緩解庫中刪除，無法呼叫、接聽美國的電話。除非美通會和有線競爭局（Wireline Competition Bureau）同意，不得重新提交申請加入緩解庫。

　　中國電信全球有限公司(China Telecom Global Ltd.)、中國聯(lián)通(香港)運營有限公司(China Unicom (Hong Kong) Operations Ltd.)和中國移動香港有限公司（China Mobile Hong Kong Co. Ltd.）。

　　美通會官網(wǎng)[1]可以查看這三份命令文件

　　不用注冊，任何人都可以免費下載PDF版全文[2]，例如發(fā)給中國電信全球有限公司的文件全文長這樣：

　　美通會在文件中說，2024年2月26日，緩解庫的第64.6305條規(guī)則生效，但三家運營商沒有按要求更新認證材料。有線競爭局單獨通知三家運營商在2024年4月29日前更新材料，三家運營提交的材料不滿足要求。美通會怒了，在2025年12月8日下了最后通諜。

　　/1/緩解庫里是啥？需要提交什么材料？

　　緩解庫里是一個電信運營商名單，不用注冊，任何人都可以免費下載[3]。截至2025年12月20日，庫里共有9381個運營商，每個運營商一行。

　　運營商信息包括：庫內(nèi)編號、企業(yè)名字(business_name)、企業(yè)地址（business_address）、是否外國企業(yè)(foreign_voice_provider)、國家（country）、聯(lián)系人名字、聯(lián)系人職位、聯(lián)系人部門、聯(lián)系電話，一共23個字段。

　　外國企業(yè)共2027家，聯(lián)系人多數(shù)為CEO、CTO這樣的高管。企業(yè)名字包含”china”字樣的運營商一共有4家，中國移動國際有限公司本次沒有被針對。

China Mobile International Limited 中國移動國際有限公司 China Telecom Global Limited 中國電信全球有限公司 China Unicom (Hong Kong) Operations Limited 中國聯(lián)通（香港）運營有限公司 China Mobile Hong Kong Company Limited 中國移動香港有限公司

　　在美國開展業(yè)務(wù)的運營商，只能跟緩解庫里面的運營商轉(zhuǎn)接電話，禁止接收庫外運營商的電話呼叫，禁止將電話呼叫轉(zhuǎn)到庫外運營商。假設(shè)運營商A被移出緩解庫，美國所有下游運營商必須立即停止接受運營商A的直接呼叫流量，運營商A立即失去全部美國市場。

　　2025年8月，緩解庫一次性移出1200多家運營，騙子們只能去找新的運營商合作。

　　美通會的命令中要求：14天內(nèi)給有線競爭局書面答復(fù)，答復(fù)內(nèi)容要么說明自己已經(jīng)糾正在緩解庫中的認證缺陷，要么給出自己不應(yīng)該被移出緩解庫的理由。

　　/2/緩解庫認證內(nèi)容是啥？

　　機器人電話（Robocall）騙人的絕招有兩個：偽造來電顯示，例如冒充公檢法權(quán)威機關(guān)的電話號碼，所用技術(shù)是網(wǎng)絡(luò)電話(VoIP)；使用虛擬號碼，讓司法機關(guān)追查不到源頭騙子。

　　美國手機號碼沒有強制實名制。約80%的人從運營商買手機，手機套餐通常要承諾1至2年不換號，先使用后付費，因此需要實名認證。消費者向運營商提供社會安全號碼（SSN，相當于身份證號）、真實姓名、地址、信用卡信息等。

　　約20%的手機號碼沒有實名認證，比中國的虛擬號碼多得多。預(yù)付費，在超市、便利店、加油站或在線購買，直接激活使用。

　　緩解庫的認證針對網(wǎng)絡(luò)電話騙子和虛擬號碼騙子，主要認證內(nèi)容有兩項：電話令牌、24小時溯源響應(yīng)。

　　電話令牌技術(shù)全稱叫可回溯式安全電話標識/令牌簽名的處理方式（Secure Telephone Identity Revisited/Signature-based Handling of Asserted information using toKENs，STIR/SHAKEN）[4]

　　網(wǎng)絡(luò)電話(VoIP)全稱叫Voice Over Internet Protocol，直譯叫“互聯(lián)網(wǎng)上的語音”。用微信、抖音、QQ相互打電話，使用的就是VoIP技術(shù)。

　　網(wǎng)絡(luò)電話特別強調(diào)“網(wǎng)絡(luò)”二字，是為了區(qū)分固定電話和手機通話用的“電話網(wǎng)”。組成電話網(wǎng)的設(shè)備也是光纖、路由器、交換機，只是設(shè)備上運行的協(xié)議不一樣，只允許運行打電話發(fā)短信的協(xié)議。

　　網(wǎng)絡(luò)電話沒有手機號碼，而且技術(shù)門檻很低，隨便找一個程序員學(xué)習(xí)一兩天就能在筆記本電腦上搭建一套網(wǎng)絡(luò)電話系統(tǒng)，隨意呼叫世界上的任意手機號碼。網(wǎng)絡(luò)電話想接入電話網(wǎng)，必須通過一個網(wǎng)關(guān)。網(wǎng)關(guān)是一個硬件+軟件設(shè)備，把互聯(lián)網(wǎng)和電話網(wǎng)的網(wǎng)線接通，同時把互聯(lián)網(wǎng)的數(shù)據(jù)格式翻譯成電話網(wǎng)的數(shù)據(jù)格式。技術(shù)原理詳見《》。

　　網(wǎng)關(guān)不是誰都能建的，得開辦公司實體，申請牌照。騙子干壞事之前，要么找到一個網(wǎng)絡(luò)電話運營商，買一批網(wǎng)絡(luò)電話賬號，請運營商幫自己弄虛假的來電顯示號碼。發(fā)廣告、賣保險之類的業(yè)務(wù)，至多被罰款，有不少運營商愿意干。

　　緬北、柬埔寨園區(qū)那種掏心掏肺的電詐，被抓住就沒命，只能自建網(wǎng)絡(luò)電話系統(tǒng)，然后買通幾個網(wǎng)關(guān)運營商，或者直接買通電信運營商（假設(shè)叫kk移動），接入電話網(wǎng)，被叫人的手機上顯示虛假號碼。

　　重點來了！網(wǎng)關(guān)運營商、電信運營商都是實名認證的企業(yè)。電詐分子非常多，非常小，不好抓。但運營商很少，很大，很好抓。搞一個識別騙子電話的技術(shù)標準，然后看哪個運營商的騙子多，把騙子運營商踢出緩解庫。

　　/3/電話令牌技術(shù)

　　所有的網(wǎng)絡(luò)電話服務(wù)商、網(wǎng)絡(luò)運營商、電信運營商，都要向頒證機關(guān)（STI-CA，Secure Telephone Identity Certification Authority）申請證書。頒證機關(guān)分兩級，第一級頒證機關(guān)只有1個，只管理第二級頒證機關(guān)。第二級頒證機關(guān)接受各類運營商的申請，審核材料，頒發(fā)證書。

　　證書是幾個文件，文件中包含的主要信息是這些：運營商名字、運營商國家地區(qū)、頒證機關(guān)名字、有效期、密碼算法、運營商的公鑰、運營商的私鑰。

　　公鑰和私鑰都是一串字符，通常長度比較長，例如512個字符或者1024個字符。用公鑰加密的信息，只能用私鑰解密；用私鑰加密的信息，只能用公鑰解密。緩解庫的運營商都可以拿到其它所有運營商的公鑰，但各家私鑰都嚴格保密。

　　熟悉https證書的朋友，一下就看出來，運營商證書跟網(wǎng)站證書高度相似。

　　證書怎么用呢？

　　當一個人R1（正常人或者騙子）拔打網(wǎng)絡(luò)電話的時候，網(wǎng)絡(luò)電話運營商P1立即識別這個客戶的身份，并判斷信任等級。

　　A級：最高級別，完全可信（Full Attestation），表示呼叫來自實名認證的客戶。

　　B級：部分可信（Partial Attestation），表示呼叫來自已知客戶，但無法驗證整號碼。例如號碼555-555-1234中的555-555對應(yīng)一家公司，但分機號1234不知道誰在用。

　　C級：來自已知網(wǎng)關(guān)（Gateway Attestation），只知道從哪個網(wǎng)關(guān)設(shè)備進來，對呼叫人一無所知。

　　運營商P1將下列信息打包：原始呼叫號碼、呼叫者設(shè)置的來電顯示號碼、信任等級、運營商P1的名字、時間戳等。打包后用自己私鑰加密，然后將密文和語音數(shù)據(jù)一起發(fā)送給下一環(huán)節(jié)運營商，即網(wǎng)關(guān)運營商P2。

　　網(wǎng)關(guān)運營商P2用運營商P1的公鑰解密數(shù)據(jù)，如果解密失敗，那么說明數(shù)據(jù)來自騙子，丟棄。如果解密成功，運營商P2提取出：原始呼叫號碼、呼叫者設(shè)置的來電顯示號碼、信任等級，再加上運營商P2的名字、新的時間戳，打包，用P2的私鑰加密，發(fā)送給下一環(huán)節(jié)，電信運營商P3（即電話網(wǎng)的運營商）。

　　電信運營商P3也走一遍解密、驗證流程，但是，不再打包轉(zhuǎn)發(fā)了。因為STIR協(xié)議只在互聯(lián)網(wǎng)上運行，電話網(wǎng)上的數(shù)據(jù)交換使用七號信令系統(tǒng)（SS7，Signaling System Number 7）。SHAKEN協(xié)議規(guī)定了如何處理網(wǎng)絡(luò)電話數(shù)據(jù)，如何保留A/B/C等級信息。

　　電信運營商P3呼叫被叫人R2，在R2的手機上顯示主叫號碼的信任等級。如果是A級，手機屏幕可能顯示綠勾標記、“Verified(已認證)”字樣、“Caller Verified(主叫者已認證)”字樣或者“Valid Number(有效號碼)”字樣。

　　如果主叫號碼是B級、C級或者沒有等級，被叫人手機屏幕通常只顯示主叫號碼，有可能額外顯示“Scam Likely(疑似詐騙)”、“Spam Risk(騷擾風險)”、“Unknown Caller(未知主叫人)”。

　　乍一看，美通會興師動眾折騰一大圈，最終效果跟中國的手機顯示“廣告推銷”、“房產(chǎn)中介”類似，沒啥特別的。

　　實際上差別很大。美通會這一套顯示標記是電信運營商識別的，可信度高，騙子第一次打電話就能被識別出來。中國用戶手機顯示的標記是手機廠商搞的，需要用戶配合標注，只有標注足夠多的時候（例如100人），手機上才顯示。

　　根據(jù)360手機衛(wèi)士的報告，騙子打357通電話，會有1個人上當。騙子打過100通電話后才被識別出來，按照概率計算，已經(jīng)騙到0.28個人了。

　　/4/運營商和騙子勾結(jié)怎么辦？

　　電詐分子冒充號碼、逃避追蹤主要有三個方法。

　　如果騙子使用網(wǎng)絡(luò)電話詐騙，騙子會買通網(wǎng)絡(luò)電話運營商P1或者網(wǎng)關(guān)運營商P2，運營商P1或P2明知道主叫人是騙子，但仍然將主叫人的信任等級寫為A級，那么后續(xù)所有運營商都會將騙子號碼定為A級，被叫人接聽電話后才能發(fā)現(xiàn)對方是騙子。

　　如果騙子使用預(yù)付費手機號碼，或者虛擬號碼詐騙，運營商必須故意將主叫人的信任等設(shè)為A級，被叫人才會放松警惕接聽電話。

　　不想買通運營商的騙子，會大規(guī)模地盜號，個人信息都真實的，但人號不符。

　　只要將個人隱私信息填寫到網(wǎng)上了，無論運營商承諾保持得多嚴，都會被泄露。例如，運營商AT&T在2024年兩次泄露7300萬用戶的個人信息，包括姓名、電話號碼、地址、出生日期、社會保障號碼和通話/短信記錄。集體訴訟和解，AT&T支付1.77億美元，受害者最高獲賠7500美元。給美通會繳納罰款1300萬美元。

　　運營商T-Mobile在2021-2023年多次泄露3700萬個消費者的個人信息，2022年集體訴訟和解。T-Mobile賠償消費者350萬美元，向美通會繳納罰款3150萬美元。

　　對這三種詐騙方法，美通會的應(yīng)對辦法是24小時溯源，然后修理運營商。

　　美通會成立一個組織，行業(yè)溯源聯(lián)盟（Industry Traceback Group，ITG)，由USTelecom運營，代表多家大型運營商和美通會合作。溯源聯(lián)盟每年處理數(shù)萬次溯源請求。

　　消費者接收到詐騙電話、騷擾短信后，可以到美通會的網(wǎng)站[6]投訴，也可以打電話1-888-225-5322投訴。如果被騙錢了，優(yōu)先向美國聯(lián)邦貿(mào)易委員會官網(wǎng)投訴[6],打電話1-877-382-4357投訴。美國稅務(wù)局也受理詐騙投訴，官網(wǎng)[8]，電話1-800-366-4484。運營商也有專門受理投訴渠道，將詐騙短信直接轉(zhuǎn)發(fā)到7726即可。運營商一旦識別到騙子，必須立即切斷詐騙流量。

　　各種渠道的投訴，都會通知溯源聯(lián)盟。溯源聯(lián)盟立即向呼叫鏈中的每個運營商發(fā)送正式請求，要求提供上游運營商的信息、呼叫日志、號碼歸屬等細節(jié)。每個運營商需逐級轉(zhuǎn)發(fā)，直到找到源頭。

　　緩解庫里的運營商必須明確承諾：在收到合法溯源請求后24小時內(nèi)提供完整、準確的響應(yīng)。響應(yīng)內(nèi)容通常包括：該呼叫是否經(jīng)過本網(wǎng)絡(luò)；上游提供商的身份和聯(lián)系方式（如果不是本網(wǎng)絡(luò)發(fā)起）；呼叫記錄；如果是本網(wǎng)絡(luò)發(fā)起，則說明客戶身份和是否已采取緩解措施。

　　不響應(yīng)或延遲響應(yīng)溯源請求會有嚴重后果：美通會視之為嚴重違規(guī)，可能認定緩解庫認證“缺陷”或“虛假”；罰款、從緩解庫中移除。

　　運營商需在緩解庫備案中承諾監(jiān)測非法流量。如果大量A級認證呼叫被下游運營商標記為詐騙，卻未被上游阻塞，美通會將發(fā)起調(diào)查。2025年8月，緩解庫一次性移出1200多家運營商，此前已經(jīng)移除了幾千家。這些運營商在美國的生意一秒歸零。

　　在緩解庫認證時弄虛作假，最低罰款1萬美元，不更新信息的，每天罰款1萬美元。如果把預(yù)付費號碼（虛擬號碼）認證為A級，罰款更多。2024年Lingo Telecom被罰200萬美元。如果與騙子勾結(jié)，罰款之后是刑事調(diào)查，最高20-30年監(jiān)禁。

　　/5/能顯示來電姓名、地點嗎？

　　如果來電顯示主叫地點是柬埔寨或者妙瓦底園區(qū)，接聽者上當?shù)膸茁示蜁蠓档汀Ｈ绻茱@示企業(yè)名字、個人名字，上當?shù)膸茁蕰汀?/p>

　　電話令牌技術(shù)現(xiàn)在還不支持顯示地理位置、名稱，但美通會在2025年10-12月的提案（Further Notice of Proposed Rulemaking）中，征求意見擴充電話令牌中的信息，包括位置、名稱、呼叫原因等字段。有望在2026年通過。

　　/6/電話令牌對中國用戶有啥影響？

　　電話令牌技術(shù)+24小時溯源機制，只在美國和加拿大部分地區(qū)有效。中國用戶拔打美國的電話，身在美國的被叫人的手機屏幕上會顯示主叫人的信任等級。反過來，主叫人在美國且被叫人在中國，被叫人的手機屏幕是否顯示主叫人的信任等級，由中國的三大運營商自行決定。因為美通會管不到運營商在中國境內(nèi)的業(yè)務(wù)。

　　美通會的電話令牌從2019年開始實施。中國在2024年出臺了相似的國家標準GB/T 43779-2024《網(wǎng)絡(luò)安全技術(shù) 基于密碼令牌的主叫用戶可信身份鑒別技術(shù)規(guī)范》[9][10]，下稱“密碼令牌”

　　密碼令牌的思路不是管運營商，而是管主叫人。給每個人發(fā)放最多5個證書（電話身份證），證書內(nèi)容跟美國的運營商證書類似，記載持有人的名字、公鑰、密鑰。通話過程中驗證電話身份證。

　　密碼令牌技術(shù)不容易解決三個詐騙場景：騙子是外國人，沒有電話身份證；騙子盜取大量的合法電話身份證；運營商與騙子勾結(jié)。

　　/結(jié)語/

　　電詐的準確名字應(yīng)該叫犯罪集團、恐怖組織。打擊電詐，只防守不行。天天宣傳反詐，成本太高。需要主動出擊，消滅電詐組織、電詐個人。先用技術(shù)手段找出騙子和幫兇，然后重拳打擊，導(dǎo)彈攻擊，讓社會安寧。