SIPNET отмечает рост количества взломанных систем IP-телефонии. В этой статье приводится расшифровка наиболее распространенной мошеннической схемы. Максимальному риску взлома подвержены крупные офисные телефонные станции на базе Asterisk, Cisco, Panasonic, Агат и 3CX.
¶ Четыреста сравнительно честных способов отъема денег
Взлом любой информационной системы имеет смысл только при наличии четкой схемы легализации криминального дохода. Безответственность некоторых национальных администраций связи и Международного Союза Электросвязи (МСЭ) породила явление, название которому International Premium Fraud. В результате возникла всемирная мошенническая инфраструктура, в которую входят операторы связи, посредники-"партнерки" и взломщики. Всё это очень похоже на SMS-мошенничество по коротким номерам. С той лишь разницей, что роковое SMS пострадавший должен отправить сам, а здесь вполне перспективен масштабный взлом через интернет.
- Оператор связи назначает телефонные коды Premium Rate и выплачивает деньги за доступ к этим номерам. Так создаются легальные "услуги за дополнительную плату" от телеголосования до "секса по телефону". Частным случаем является обычный автоответчик, воспроизводящий музыку.
- Посредническая фирма-агрегатор ("партнерка") собирает по всему миру десятки или сотни премиальных телефонных кодов с автоответчиками на конце. В задачу «партнерки» входит привлечение мошенников, сбор денег с операторов связи и распределение вознаграждения.
- Мошенник должен заключить договор с “партнеркой», получить коды, организовать массовый дозвон и максимальную продолжительность "разговоров". Поскольку слушать музыку за $1/мин желающих нет, приходится взламывать. В автоматическом режиме. Благо через ботнет этим можно заниматься где угодно без риска быть пойманым.
¶ Как такое стало возможным?
Всемирный план нумерации регулирует МСЭ. Национальная администрация (министерство) связи получает у МСЭ ресурс нумерации и отчитывается за его использование. В частности, государство должно опубликовать коды Premium Rate на сайте МСЭ и закрыть доступ к этим кодам из других стран. Как оказалось, от выполнения этих требований легко уклониться. Премиальные автоответчики глобально доступны; коды мошеннических служб замаскированы под мобильные/стационарные номера таким образом, чтобы операторы международной связи в других странах ни о чем не подозревали. Самоустранение МСЭ породило эпидемию.
¶ Машинерия
1-2-3-4-5? That's amazing! I've got the same combination on my luggage! © Spaceballs (1987)
Любая телефонная станция поставляется с хорошо известными паролями, заданными по умолчанию. Станция сложная, установка и настройка может занять несколько дней. Всё это время удобнее вводить admin:admin, чем читать по бумажке хороший, годный пароль.
Горький опыт показывает, что и через много лет пароль 12345 не надоедает, на работоспособность не влияет, начальство ничего не знает.
Ответ станции при обращении к ней через сеть содержит характерные приметы, которые позволяют мгновенно определить марку, тип устройства и версию программного обеспечения. Остается проверить пароль по умолчанию или пройтись по словарю наиболее популярных сочетаний. Наконец, определенные версии софта имеют уязвимости. Если обновление безопасности MS Windows вошло в моду, то к VoIP оборудованию это не относится. Поиск и взлом слабо защищенных систем ведется круглосуточно в автоматическом режиме на огромной скорости.
Другой универсальный метод взлома характерен исключительно для VoIP.
Вместо того, чтобы подбирать пароль к станции, иногда достаточно просто позвонить через нее! Даже если административный доступ закрыт, сервер принимает VoIP вызовы из Интернета зачастую без какой-либо системы контроля.
В отличие от смены пароля, разграничение прав удаленного доступа к услуге является нетривиальной задачей, решение которой считается найденым, как только прошел первый успешный вызов. Мошенники поступают так же. Программа-сканер находит шлюз IP-телефонии и пробует различные варианты набора номера автоответчика до тех пор, пока не получит соединение.
Взломанная система начинает звонить на номера International Premium Rate глубокой ночью или в выходные дни. Типичное заявление в милицию-полицию содержит упоминание о том, что антивирусы установлены, серверная опечатана, сдана на сигнализацию и находится под видеонаблюдением. Очень смешно.
Если жертва использует кредитный план расчетов, ущерб может достигать десятков тысяч долларов за ночь. Заметить и выделить нездоровую активность довольно легко. Тестовые автоответчики хорошо известны, около 1 тыс. таких номеров занесены в черный список. SIPNET блокирует подавляющее большинство мошеннических вызовов на префиксы Premium Rate, однако полную гарантию может дать только аудит системы информационной безопасности у клиента на месте.
Герман Мызовский
Ведущий специалист компании SIPNET