О краже телефонного трафика и других методах voip фрода

картинка кража трафикаЧто такое кража телефонного трафика

Кража телефонного трафика – один из способов мошенничества с телефонным трафиком (voip fraud), заключающийся во взломе клиентской АТС и совершении вызовов за счет организации. После получения доступа к телефонной станции злоумышленник может использовать один из следующих сценариев:

  • звонки на платные сервисы;
  • рассылка аудиоспама;
  • перепродажа трафика.

Последний вариант является наиболее распространенным. Получив доступ к АТС, мошенник определяет перечень дорогих международных направлений, открытых для звонка с клиентской телефонной станции, и выставляет voip трафик на продажу на специализированной бирже. После определения покупателей через станцию направляется максимально возможный объем звонков. Утечка трафика продолжается до тех пор, пока клиент или оператор не выявят факт взлома и не устранят его причину. Период обнаружения может занимать от пары часов до нескольких дней. В результате взлома клиент получает от оператора крупный (вплоть до нескольких миллионов рублей) счет за услуги связи, отказаться от оплаты которого практически невозможно. Таким образом, целью атаки может быть не только получение прибыли от продажи трафика, но и нанесение прямых финансовых убытков выбранной организации.

 

Способы защиты от voip fraud

Наибольшую опасность кража телефонного трафика представляет для малых и средних предприятий. Это связано с рядом причин:

  • отсутствие специалистов и бюджета для обеспечения комплексной безопасности ИТ-инфраструктуры, в том числе защиты от угроз voip fraud;
  • использование услуг внешних сервисов, осуществляющих организацию и настройку телефонной связи на базе простые типовых решений (так называемые виртуальные АТС);
  • отсутствие политических и административных ресурсов для отстаивания своих инетерсов в споре об оплате трафика с оператором связи;
  • непредсказуемый характер атак и разнообразие методов взлома – от использования ошибок в программном обеспечении АТС для удаленного проникновения и до физического подключения к станции.

Существует ряд стандартных организационных мероприятий, способных существенно снизить вероятность взлома станции: ограничение доступа по неиспользуемым направлениям на уровне оператора связи, использование сложных паролей и защищенных каналов связи при работе с АТС, покупка услуг у оператора, внедрившего систему выявления мошенничества с трафиком (fraud management system, FMS). Тем не менее, даже мощная FMS не может обеспечить полного отсутствия рисков. Во-первых, на обнаружение факта кражи требуется время, которое оборачивается убытками для клиента. Во-вторых, вместо того, чтобы забивать канал трафиком и ждать обнаружения взлома аккуратный злоумышленник может обмануть FMS и пустить через АТС отдельные звонки, маскируя их под клиентские вызовы и используя направления с не очень высокой стоимостью.

 

Мошенничество с телефонным трафиком

Как указывалось выше, кража трафика является не единственным и не самым опасным видом фрода. Результатом успешной атаки на телефонную станцию также может стать:

  • сбор и модификация информации о вызовах;
  • совершение звонков от имени клиента;
  • прослушивание и запись разговоров клиента;
  • блокирование АТС (например, в результате DoS-атаки);
  • рассылка спама сотрудникам клиента.

 

Функционал защиты voip трафика в СКИТ.АТС

Механизм защиты телефонного трафика, реализованный в СКИТ.АТС, обеспечивает оперативное обнаружение следующих признаков взлома станции:

  • звонки в нерабочее время (ночью, в выходные и праздники и т.д.);
  • звонки на запрещенные, либо редко используемые направления (в том числе междугородние);
  • перебор направлений (как правило, после успешной атаки на АТС злоумышленник методом перебора пытается определить самые дорогие направления, открытые у клиента);
  • отклонение фактического объема и стоимости трафика от ожидаемого (планового) значения, определяемое на основании анализа профиля трафика клиента за предыдущие периоды.

При создании функционала прогнозирования и расчёта отклонений трафика использован опыт разработки системы выявления мошенничества с трафиком (fraud management system) оператора связи ЗАО «ГЛОБУС-ТЕЛЕКОМ».  В ходе адаптации прогнозных моделей была сделана поправка на возможность внедрения решения в организациях с небольшим объемом суточного трафика.

При обнаружении признаков взлома СКИТ.АТС направляет оповещения ответственным сотрудникам клиента и оператора связи. Доступны несколько способов оповещения, которые могут настраиваться в зависимости от уровня угрозы: e-mail, sms, звонок с голосовым уведомлением.

К особенностям СКИТ.АТС как инструмента выявления фрода можно отнести:

  • использование подходов и принципов, реализованных в крупных FMS;
  • возможность настройки методов прогнрозирования, учитывающих особенности клиента;
  • возможность создания клиентом собственных событий, идентифицирующих взлом АТС (например, совершение исходящих вызовов с равными интервалами);
  • возможность гибкой настройки уведомлений;
  • возможность использования решения в комплексе с другими, стандартными средствами защиты от фрода.

Бесплатно ознакомиться с работой механизма выявления случаев кражи телефонного трафика можно в демо-версии СКИТ.АТС.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *