Rambler's Top100
 
Статьи ИКС № 2 2005
Дмитрий ПОПКОВ  01 февраля 2005

Tranzit-fraud, или Мошенничество по крупному

О мошенничестве рассказывают СМИ, предупреждают многие мировые телекоммуникационные компании, занимающиеся передачей телефонного трафика, в том числе и отечественные операторы, хотя, вероятно, некоторые читатели уже «лично познакомились» с некоторыми, наиболее популярными его видами. Прежде всего это незаконная продажа услуг оператора «на сторону» и манипуляции с контрактами клиентов. Кроме того, злоумышленники могут обманывать prepaid-систему, жульничать с тарифами и даже взламывать ПО телефонных станций и центров обработки звонков. Не редкость и мошенничество с использованием роуминга, особенно популярное в беспроводных сетях.

Опорные сети – опора мошенников?

Транзит межрегионального и межконтинентального трафика для операторов сетей стационарной и сотовой подвижной связи обеспечивается, как известно, так называемыми опорными сетями связи. К их числу относятся сети таких компаний, как «Ростелеком», «ТрансТелеКом» и «Межрегиональный Транзит Телеком».

Из возможных слабых мест опорных сетей с точки зрения угроз мошенничества прежде всего следует отметить транзитные сети связи – наиболее лакомый кусок для злоумышленников: в случае удачных действий можно обмануть оператора на весьма значительную сумму. При этом легко затеряться среди громадного объема транзитного трафика (миллионы CDR/записей в сутки), сделав незаконную «прибыль» постоянной.

Рассмотрим наиболее уязвимые для мошенничества места транзитных сетей связи на простом примере.

Типовая задача

Зачастую злоумышленник (он же оператор-абонент) пытается передать трафик через транзитную сеть по более выгодному тарифу или же вообще бесплатно. Для ее реализации в транзитной сети возможны четыре варианта действий.

Вариант первый – использовать человеческий фактор. Можно попытаться договориться с техническим персоналом компании-оператора транзитной сети, который обслуживает точку доступа в транзитную сеть, чтобы тот «на время» подкорректировал тариф. Для этого достаточно, например, внести изменения в конфигурацию оборудования или в алгоритм обработки CDR (звонков) в автоматизированной системе расчетов (биллинг).

Вариант второй – создать обманные маршруты передачи трафика. Так моделируется ситуация, когда абонент выходит через транзитную сеть из якобы другого региона, но с привязкой мобильного терминала (трубки)на своем домашнем коммутаторе, что по правилам биллинга не тарифицируется, поскольку юридически абонент не выходит в сеть транзитной связи. Иногда специально создаются так называемые петли (шлейфы) трафика, посредством которых запутывается маршрут и происходит обман биллинговой системы транзитного оператора. Наиболее удобно это делать через подставные фирмы, которые числятся поставщиками услуг более крупного оператора связи.

Вариант третий – использовать альтернативные каналы для передачи управляющей информации (сигнальной информации SS7). В качестве таких каналов обычно выступают более дешевые интернет-каналы взамен специально выделенных для этих целей.

Вариант четвертый – взлом транзитных станций и/или SS7. Например, с помощью специальных настроек протокола SS7 можно создать нелегитимный управляющий трафик, который позволит удаленно обнулить все счетчики, используемые для передачи трафика между транзитными станциями (Signal Point – Signal Point).

В первом варианте основная угроза исходит от персонала. Соответственно, вопросы противодействия ей должны решаться в рамках службы экономической безопасности оператора транзитной сети.

Мерами пресечения во втором и третьем случаях служат комплексные проверки всех абонентов-операторов для контроля новых операторов, которые подключаются к сети «под крылом» крупных региональных. Очевидно, что эффективность таких мер повысится, если в проверку вовлечены другие компании-операторы транзитных сетей («Ростелеком», «ТрансТелеКом»), поскольку в этом случае можно будет проследить цепочку подставных фирм по обе стороны транзита.

Четвертый вариант мошенничества наиболее сложен и в то же время привлекателен для злоумышленника, так как дает возможность с минимальным риском скрыто получать прибыль. Однако для его осуществления нужны хорошие знания оборудования, установленного у оператора транзитной сети, а также современных протоколов (прежде всего SS7) и технологий передачи данных.

Как это делается

Прежде всего напомню, что протокол SS7 создавался для публичных (незащищенных)телефонных сетей с целью обеспечить возможность определения сетевой архитектуры, конфигурации и протокола передачи сообщений, а потому обладает ограниченными аутентификационными функциями . Именно эти особенности сетей на базе SS7 сделали возможными следующие типы атак на сетевое оборудование транзитной сети (станции):
  • Signal Point spoofing (SP-spoofing)– подмена адреса станций при передаче нелегитимного трафика путем модификации полей OPC, DPC, SLS на уровне MTP;
  • SS7 hijacking – манипулирование параметрами (полями) пакетов SS7 для создания ложных соединений с reset-пакетами (модифицированные пакеты FISU – уровень MTP);
  • SCCP-tunneling – манипулирование инкапсулированием пакетов MCU для создания ложных трансляций номеров станций (уровень SCCP).
Кроме того, существуют и уязвимости сетевого оборудования. Дело в том, что транзитные станции имеют так называемые технологические точки входа для удаленного администрирования через каналы связи. Соответственно, зная (подобрав или взломав) административную учетную запись и пароль на удаленный доступ к станции, можно ее переконфигурировать.

Другой способ – воздействовать (посылать команды управления) на транзитные станции через штатную систему управления, которая построена на IP-адресации и нередко использует маршрутизацию через Интернет в офисную сеть компании. В этом случае все действия сводятся к классическим атакам через Интернет на систему управления транзитной сетью в офисной сети компании.

***


Конечно, операторы связи озабочены безопасностью собственных сетей и принимают различные меры по их защите. И здесь отрадно отметить, что многие из российских сотовых операторов уже внедрили системы безопасности, противодействующие подобному мошенничеству. Так, например «ВымпелКом» с начала 2004 г. эксплуатирует мощную систему Minotaur производства Neural Technologies, которая способна не только выявлять попытки мошенничества, но и предотвращать их. Подобные системы есть и у транзитных операторов проводной связи. В частности, система Fraud View производства ECI используется в «Ростелекоме».


Цена вопроса

Озабоченность операторов связи вполне понятна. Потери от мошенничества достаточно велики, однако на практике пострадавшие нередко замалчивают информацию о них или просто не имеют возможности оценить нанесенный им ущерб. Тем не менее ставшие публичными данные по США показывают, что практически все компании, предоставляющие услуги традиционной телефонии, несут убытки от мошенничества в размере 3% от ежегодного дохода. А американские операторы сотовой связи и того больше – до 5%. Для Европы эти цифры почти не отличаются – 1 и 4% соответственно. Более того, западные аналитики утверждают, что сегодня хаос мошеннических действий превращается в мощную организованную индустрию, «продукт деятельности» которой обходится телекоммуникационному сообществу в кругленькую сумму с ежегодным приростом в 10 – 25%.

Посмотрим статистику, приведенную на сайте ассоциации CFCA (Communications Fraud Control Association), по финансовым убыткам рынка операторов систем связи от мошенничества. В 2001 г. они составляли $12 млрд., а в 2002 г. – уже $16 млрд. При этом суммарные потери от мошенничества в коммуникациях измеряются 3 – 10% от общих доходов операторов, а в беспроводных сетях достигают $230 млн. в год. Такие цифры вряд ли могут оставить равнодушными поставщиков телекоммуникационных услуг, которые, по свидетельству аналитиков, инициировали очередной всплеск интереса к системам безопасности. Очевидно, что эта волна захватит современные цифровые сети и системы передачи данных и коснется в первую очередь выявления и поиска «дыр» с целью предотвращения мошенничества и хакерских действий. Напомним, что последняя подобная волна активности прокатилась в 1999 – 2002 гг., когда наиболее резко возросла интенсивность атак хакеров и мошенников, действующих через Интернет.

Некоторые виды мошенничества

Зона оператор – абонент

Несанкционированный доступ – любое несанкционированное использование сервисов путем взлома системы, в том числе и визуальное, когда для получения доступа к паролям и иным средствам защиты используется визуальный канал утечки данных об абоненте.

Несанкционированное подключение к услугам – получение доступа к сервисам без оплаты, иногда путем предоставления ложной информации о себе, обманное использование сервиса, заказанного другим абонентом без авторизации.

Клонирование – несанкционированное перепрограммирование электронных идентификаторов мобильных телефонов.

Физическое подключение – подключение к чужой телефонной линии.

Взлом (хакинг)– попытка получения доступа к защищаемым кодам (паролям) путем подбора.

Подмена – использование технических средств для обмана сетевых систем авторизации с целью получения возможности звонить без оплаты.

Незаконные действия с предоплаченными картами, например пополнение счета карты обманным путем.

Внесение несанкционированных изменений в системы сбора и анализа информации о звонках сервисах (обычно используется инсайдерами).

Зона транзитных сетей

Арбитраж, или использование ценовых различий разных рынков или операторов с целью получения дополнительной прибыли для одной или нескольких сторон в пределах цепочки (для организации телефонного звонка) обычно за счет других сторон, участвующих в этой цепочке.

Обманная настройка коммутатора – пограничные магистральные коммутаторы конфигурируются так, чтобы они отсылали международные вызовы на транзитного оператора в рамках одной страны с последующей маршрутизацией на международную станцию.

Рефайлинг/туннелирование – оператор-злоумышленник посылает весь свой трафик от пользователей через службу VoIP на установленную у него АТС, которая конвертирует VoIP-звонок в обыкновенный вызов.

Злонамеренное использование заключенного контракта с целью не оплачивать услуги связи; часто «вторичные» операторы прекращают оплату через некоторое время после начала действия контракта.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Поделиться: