1. Вопросы информационной
безопасности при противодействии
мошенничеству на сетях связи
ОАО МТС
2012г.

2. Эпиграф:
«…Русскоязычные хакеры в прошлом году заняли второе место в мире по
доходам, получив около $4,5 млрд, - это примерно треть рынка компьютерных
преступлений. А сам рынок перестал быть вотчиной технарей - на него пришли
инвесторы…»
http://www.comnews.ru/node/63540
Vedomosti.ru, 24.04.2012

3. МИРОВЫЕ HACK-ТЕНДЕНЦИИ
Направленные атаки Готовые наборы для атак
Рост мобильных угроз
Злоумышленники атакуют Широкую популярность
конкретные коммерческие получили готовые наборы для
организации под заказ атак, позволяющие
взламывать системы не
обладая специальными
знаниями
Развитие соц. сетей Сокрытие своих следов
Развитие мобильного
Интернета вызвало рост в
разработке вирусов для
мобильных устройств
Соц. сети существенно
упростили злоумышленникам Все чаще злоумышленники
задачу поиска информации о скрывают свои следы, а не
цели атаки афишируют факты своих

4. ПОТЕРИ ОПЕРАТОРОВ СВЯЗИ ОТ
МОШЕННИКОВ
По данным международной ассоциации по
противодействию фроду на сетях связи –
CFCA за 2011 год общемировые потери
операторов связи от мошеннических действий
составили $40,1 млрд.*
В среднем потери оператора от мошенников
составляют 1,88% годового дохода.
Основные риски операторов связи:
•$4,96 млрд. – взлом АТС , IP-PBX клиентов и VoIP-шлюзов
•$4,32 млрд. – кража/взлом учетных данных абонентов
•$3,84 млрд. – мошенничество с платными (PRS) номерами
•$2,88 млрд. – GSM-шлюзы и фрод на интерконнекте
•$2,40 млрд. – мошенничество с кредитными картами
* - «2011 Global Fraud Loss Survey», Communications Fraud Control Association -
CFCA 4

5. УСЛУГИ СВЯЗИ , ВЗЛОМ И МОШЕННИЧЕСТВО
Большой рост спектра услуг и сервисов связи, различных видов
абонентского оборудования привел к появлению новых уязвимостей и
схем мошенничества.
Хакеры сосредоточили свои усилия на взлом и проникновение в сети связи
операторов, а также абонентское оборудование с целью совершения
мошеннических действий (фрода).
IPTV
WiMax
VoIP
Fix network
IP Core Network
Mobile network
LTE 3G WiFi

6. ВВЕДЕНИЕ
ТЕРМИНОЛОГИЯ
ТЕРМИНЫ:
3. Фродстер (хакер*) – злоумышленник, физическое или юридическое лицо
(группа лиц), действия которого приводят к мошенничеству и получению
неправомерного доступа к ресурсам и услугам связи компании и
абонентов.
10. Цели фродстера - использование услуг оператора связи без оплаты или
с извлечением выгоды при оплате, кража финансовых средств с
лицевых счетов абонентов.
12. Инцидент (ИБ, фрода)* – произошедшее событие, нарушающее
определенные правила, последствия которого привели или могли бы
привести к финансовому ущербу оператора связи и абонентов.
* - в контексте данной презентации

7. ВЗЛОМВЗЛОМ IP-PBX (НЕБЕЗОПАСНЫЙ VOIP)
Взломы IP-PBX, которые резко выросли по сравнению с традиционными
взломами PBX (уязвимости DISA) на TDM-сетях, стали возможными
благодаря появлению конвергентных услуг VoIP-телефонии и
незащищенностью их протоколов (H.323, sip).
Известные способы взлома и уязвимости VoIP:
• Caller ID spoofing,
• Sip redirect / autohack,
• Call hijacking.

8. ВЗЛОМВЗЛОМ IP-PBX (НЕБЕЗОПАСНЫЙ VOIP)
Основной причиной взломов IP-PBX являются:
• применение «бесплатного» программного обеспечения IP-PBX, имеющего
большое количество уязвимостей документированных в сети Интернет,
• использование в IP-PBX «слабых паролей» на административных
интерфейсах и sip-аккаунтах для абонентов,
• отказ от использования sip-аутентификации и защищенной версии
протокола sip-ssl,
• использование настроек и паролей по умолчанию.

9. ВЗЛОМВЗЛОМ IP-PBX (НЕБЕЗОПАСНЫЙ VOIP)
Например, фродстер для реализации указанных уязвимостей
может использовать программу взлома - sipautohack

10. ВЗЛОМВЗЛОМ IP-PBX (НЕБЕЗОПАСНЫЙ VOIP)
Подобрав с помощью sip-autohack пароль к sip-аккаунту, фродстер
получает доступ к IP-PBX для бесплатного совершения звонков.

11. ВЗЛОМВЗЛОМ IP-PBX (НЕБЕЗОПАСНЫЙ VOIP)
Либо фродстер напрямую направляет и перепродает через
взломанную IP-PBX коммерческий VoIP-трафик (VoIP Toll Fraud)

12. ТЕЛЕФОННЫЙ DENIAL-OF-SERVICE (TDOS)
Повседневный реальный инцидент ИБ при предоставлении услуг
телефонии – TDOS, когда в отношении клиентов организуется массовая
телефонная атака по заказу конкурентов или других злоумышленников.
Целями фродстера являются в основном номера VIP-клиентов (VIP-
персоны, колл-центры банков, торговых сетей), которым при spam-
звонке проигрывается автоинформатор мошеннического характера или
генерируется поток входящих spam-звонков для того, чтобы абоненту не
могли дозвонится. Оператор и абонент при такой атаке терпят убытки
из-за имиджевых рисков, а также недополучают доход от своих
клиентов, которые не смогли дозвонится.

13. ТЕЛЕФОННЫЙ DENIAL-OF-SERVICE (TDOS)
Данный инцидент ИБ очень актуален в настоящее время для всех
операторов в мире, т.к. нет эффективных средств защиты от DDOS и
TDOS.
В США ФБР присвоило этому инциденту статус национальной угрозы.

14. ТЕЛЕФОННЫЙ DENIAL-OF-SERVICE (TDOS)
Использование Skype-bot сетей позволяет сейчас фродстерам
организовывать не только известные Интернет DDOS-атаки, но и TDOS-
атаки (spam-calls) с целю извлечения финансовой выгоды от жертв атаки.
INTERNET
Mobile
SS7

15. НЕЛЕГАЛЬНАЯ ТЕРМИНАЦИЯ ТРАФИКА
(ISUP-ШЛЮЗЫ)
ПРЕДПОСЫЛКИ ФРОДА:
-существенное различие в тарифах за терминацию международного
трафика между TDM-операторами и VoIP-биржами трафика
http://voipexchange.ru , http://voipinfo.ru , http://voip-list.com .
- отсутствие нормативных ограничений в приказах Минсвязи по порядку
пропуска трафика №97 и №98 по терминации голосового трафика с сетей
передачи данных (Интернет) на телефонные сети общего пользования
(PSTN).
СПОСОБ РЕАЛИЗАЦИИ:
Злоумышленник заключает договор с МТС на услуги местной связи по
безлимитному тарифу арендуя у МТС канал связи, к которому
подключает свое оборудование, реализующее стык между Интернет и
сетью МТС.
Далее злоумышленник регистрируется на VoIP-бирже трафика и
объявляет о возможности оказания услуг по терминации трафика на сеть
МТС по определенному выгодному тарифу.
VoIP-биржа размещает заявленные услуги по терминации трафика на
рынке «серого» трафика таким же злоумышленникам или «серым»
дилерам, которые таким же образом присоединены к местным сетям
связи в различных странах мира.

16. НЕЛЕГАЛЬНАЯ ТЕРМИНАЦИЯ ТРАФИКА
(ISUP-ШЛЮЗЫ)
Фродстер предлагает терминацию трафика (покупает
трафик) на VoIP-бирже трафика
16

17. НЕЛЕГАЛЬНАЯ ТЕРМИНАЦИЯ ТРАФИКА
(ISUP-ШЛЮЗЫ)
Трафик с VoIP-биржи терминируется на сеть оператора-жертвы
через ISUP-шлюзы
Оператор-жертва
Риск ИБ - нелегальное
ISUP-шлюз
подключение к периметру сети
Междунар-ый Подмена АОН +7 123 4567890
трафик
Истинный АОН +995 123 4567890

18. FAS-ФРОД
Фродстер организовывает закольцовывание трафика через VoIP-биржи
добавляя ложную длительность (false answer supervision) или
осуществляя позднее завершение вызова (later disconnect) к каждому
звонку, используя особенности протоколов VoIP и настройки
оборудования Риск ИБ –
несанкционированное
Frankfur
t вмешательство в
сигнализацию
New York VOIP-биржа Arbinet Stockholm
London FAS-
machine
Петля трафика
Fraudster Vistim-operator
switch

19. SMS-ФРОД
1. Вывод средств с лицевого счета абонента:
1.1. Рассылка абонентам SMSMMS-сообщений с ссылкой на вредоносное
приложение и текстом убеждающим абонента перейти по ней:
При переходе на ссылку происходит автоматическая установка java-вируса,
который в скрытом режиме отправляет SMS-сообщения с телефона
жертвы на дорогостоящий короткий номер,

20. SMS-ФРОД
1. Вывод средств с лицевого счета абонента:
1.2. Посещение абонентом web-сайта, который размещается
злоумышленниками.
Абонента при работе в сети Интернете, методами социальной инженерии
убеждают скачать вредоносное приложение для мобильного устройства.

21. SMS-ФРОД
1. Вывод средств с лицевого счета абонента:
1.3 Заражение персонального компьютера пользователя вирусом Win-Lock,
блокирующего компьютер. Для разблокировки мошенники требуют
отправить SMS-сообщение на дорогостоящий короткий номер.

22. SMS-ФРОД
2. Несанкционированная подписка абонента на платные рассылки
или подписка с нарушением условий предоставления услуг.
2.1 Клиент вводит на Интернет-сайте номер своего сотового телефона и
код активации, чтобы получить бесплатный пробный день (неделю)
подписки на какую-либо услугу (прогноз погоды, котировки валют, сеть
салонов парфюмерии, гороскопы и т.п.). Информация о том, как
отписаться от этой платной услуги, представлена на сайте в неявном виде
(мелким шрифтом или незаметным баннером).
2.2 Контент-провайдер подписывает абонента на платные рассылки
самостоятельно, без ведома абонента.

23. НЕЛЕГАЛЬНОЕ ИСПОЛЬЗОВАНИЕ
SMS-СЕРВИСОВ ОПЕРАТОРА
Основные виды инцидентов, связанных с SMS-услугами
•Flooding SMS
•Faking SMS
•Spoofing SMS

24. ЗАКЛЮЧЕНИЕ
ОБЩИЕ ТЕНДЕНЦИИ ПО ВОПРОСАМ
БЕЗОПАСНОСТИ И ФРОДА НА СЕТЯХ СВЯЗИ:
По данным международного форума * по противодействию фроду на сетях связи
– FIINA в 2012 году операторы связи должны уделять внимание следующим
вопросам безопасности и противодействию фроду на сетях связи:
- безопасность PBX и их настроек
- выявление и противодействие FAS-фроду
- проверка и тестирование сетей связи с помощью SIM Multiplexing
technology, методами прямого тестирования и прозвонами
- инспекция пакетного трафика на сигнатуры фрода
- исследование безопасности и возможного мошенничества с
Фемтосотами
- выявление уязвимостей и защита новых платформ мобильных
телефонов и КПК.
* - «FIINA Technical SC 2012 priorities», Forum for International Irregular Network
Access - FIINA

25. СПАСИБО
Попков Дмитрий
dipopkov@mts.ru
ОАО МТС
www.mts.ru 2011г.