Вопросы информационной безопасности при противодействии

мошенничеству на сетях связи

ОАО МТС

2012г.

Эпиграф:

http://www.comnews.ru/node/63540Vedomosti.ru, 24.04.2012

«…Русскоязычные хакеры в прошлом году заняли второе место в мире по доходам, получив около $4,5 млрд, - это примерно треть рынка компьютерных преступлений. А сам рынок перестал быть вотчиной технарей - на него пришли инвесторы…»

«…Русскоязычные хакеры в прошлом году заняли второе место в мире по доходам, получив около $4,5 млрд, - это примерно треть рынка компьютерных преступлений. А сам рынок перестал быть вотчиной технарей - на него пришли инвесторы…»

МИРОВЫЕ HACK-ТЕНДЕНЦИИ

Развитие соц. сетей

Готовые наборы для атак

Сокрытие своих следов

Рост мобильных угроз

Направленные атаки

Злоумышленники атакуют конкретные коммерческие

организации под заказ

Соц. сети существенно упростили злоумышленникам задачу поиска информации о

цели атаки

Развитие мобильного Интернета вызвало рост в

разработке вирусов для мобильных устройств

Широкую популярность получили готовые наборы для

атак, позволяющие взламывать системы не обладая специальными

знаниями

Все чаще злоумышленники скрывают свои следы, а не афишируют факты своих

взломов

По данным международной ассоциации по противодействию фроду на сетях связи – CFCA за 2011 год общемировые потери операторов связи от мошеннических действий составили $40,1 млрд.*

В среднем потери оператора от мошенников составляют 1,88% годового дохода.

4* - «2011 Global Fraud Loss Survey», Communications Fraud Control Association - CFCA

Основные риски операторов связи:

•$4,96 млрд. – взлом АТС , IP-PBX клиентов и VoIP-шлюзов•$4,32 млрд. – кража/взлом учетных данных абонентов•$3,84 млрд. – мошенничество с платными (PRS) номерами•$2,88 млрд. – GSM-шлюзы и фрод на интерконнекте•$2,40 млрд. – мошенничество с кредитными картами

ПОТЕРИ ОПЕРАТОРОВ СВЯЗИ ОТ МОШЕННИКОВ

УСЛУГИ СВЯЗИ , ВЗЛОМ И МОШЕННИЧЕСТВО

Большой рост спектра услуг и сервисов связи, различных видов абонентского оборудования привел к появлению новых уязвимостей и схем мошенничества.Хакеры сосредоточили свои усилия на взлом и проникновение в сети связи операторов, а также абонентское оборудование с целью совершения мошеннических действий (фрода).

IP Core Network

Fix network

Mobile network

WiFi

WiMax

3G

IPTV

VoIP

LTE

ВВЕДЕНИЕТЕРМИНОЛОГИЯ

ТЕРМИНЫ:

1. Фродстер (хакер*) – злоумышленник, физическое или юридическое лицо (группа лиц), действия которого приводят к мошенничеству и получению неправомерного доступа к ресурсам и услугам связи компании и абонентов.

2. Цели фродстера - использование услуг оператора связи без оплаты или с извлечением выгоды при оплате, кража финансовых средств с лицевых счетов абонентов.

3. Инцидент (ИБ, фрода)* – произошедшее событие, нарушающее определенные правила, последствия которого привели или могли бы привести к финансовому ущербу оператора связи и абонентов.

* - в контексте данной презентации

ВЗЛОМВЗЛОМ IP-PBX (НЕБЕЗОПАСНЫЙ VOIP)

Взломы IP-PBX, которые резко выросли по сравнению с традиционными взломами PBX (уязвимости DISA) на TDM-сетях, стали возможными благодаря появлению конвергентных услуг VoIP-телефонии и незащищенностью их протоколов (H.323, sip).Известные способы взлома и уязвимости VoIP:

• Caller ID spoofing,• Sip redirect / autohack,• Call hijacking.

Основной причиной взломов IP-PBX являются:• применение «бесплатного» программного обеспечения IP-PBX, имеющего

большое количество уязвимостей документированных в сети Интернет, • использование в IP-PBX «слабых паролей» на административных

интерфейсах и sip-аккаунтах для абонентов,• отказ от использования sip-аутентификации и защищенной версии

протокола sip-ssl,• использование настроек и паролей по умолчанию.

ВЗЛОМВЗЛОМ IP-PBX (НЕБЕЗОПАСНЫЙ VOIP)

ВЗЛОМВЗЛОМ IP-PBX (НЕБЕЗОПАСНЫЙ VOIP)

Например, фродстер для реализации указанных уязвимостей может использовать программу взлома - sipautohack

Подобрав с помощью sip-autohack пароль к sip-аккаунту, фродстер получает доступ к IP-PBX для бесплатного совершения звонков.

ВЗЛОМВЗЛОМ IP-PBX (НЕБЕЗОПАСНЫЙ VOIP)

Либо фродстер напрямую направляет и перепродает через взломанную IP-PBX коммерческий VoIP-трафик (VoIP Toll Fraud)

ВЗЛОМВЗЛОМ IP-PBX (НЕБЕЗОПАСНЫЙ VOIP)

ТЕЛЕФОННЫЙ DENIAL-OF-SERVICE (TDOS)

Повседневный реальный инцидент ИБ при предоставлении услуг телефонии – TDOS, когда в отношении клиентов организуется массовая телефонная атака по заказу конкурентов или других злоумышленников. Целями фродстера являются в основном номера VIP-клиентов (VIP-персоны, колл-центры банков, торговых сетей), которым при spam-звонке проигрывается автоинформатор мошеннического характера или генерируется поток входящих spam-звонков для того, чтобы абоненту не могли дозвонится. Оператор и абонент при такой атаке терпят убытки из-за имиджевых рисков, а также недополучают доход от своих клиентов, которые не смогли дозвонится.

ТЕЛЕФОННЫЙ DENIAL-OF-SERVICE (TDOS)

Данный инцидент ИБ очень актуален в настоящее время для всех операторов в мире, т.к. нет эффективных средств защиты от DDOS и TDOS. В США ФБР присвоило этому инциденту статус национальной угрозы.

Использование Skype-bot сетей позволяет сейчас фродстерам организовывать не только известные Интернет DDOS-атаки, но и TDOS-атаки (spam-calls) с целю извлечения финансовой выгоды от жертв атаки.

INTERNET

Mobile

SS7

ТЕЛЕФОННЫЙ DENIAL-OF-SERVICE (TDOS)

НЕЛЕГАЛЬНАЯ ТЕРМИНАЦИЯ ТРАФИКА(ISUP-ШЛЮЗЫ)

ПРЕДПОСЫЛКИ ФРОДА:

-существенное различие в тарифах за терминацию международного трафика между TDM-операторами и VoIP-биржами трафика http://voipexchange.ru , http://voipinfo.ru , http://voip-list.com .- отсутствие нормативных ограничений в приказах Минсвязи по порядку пропуска трафика №97 и №98 по терминации голосового трафика с сетей передачи данных (Интернет) на телефонные сети общего пользования (PSTN).

СПОСОБ РЕАЛИЗАЦИИ: Злоумышленник заключает договор с МТС на услуги местной связи по безлимитному тарифу арендуя у МТС канал связи, к которому подключает свое оборудование, реализующее стык между Интернет и сетью МТС.Далее злоумышленник регистрируется на VoIP-бирже трафика и объявляет о возможности оказания услуг по терминации трафика на сеть МТС по определенному выгодному тарифу. VoIP-биржа размещает заявленные услуги по терминации трафика на рынке «серого» трафика таким же злоумышленникам или «серым» дилерам, которые таким же образом присоединены к местным сетям связи в различных странах мира.

НЕЛЕГАЛЬНАЯ ТЕРМИНАЦИЯ ТРАФИКА(ISUP-ШЛЮЗЫ)

Фродстер предлагает терминацию трафика (покупает трафик) на VoIP-бирже трафика

16

Трафик с VoIP-биржи терминируется на сеть оператора-жертвы через ISUP-шлюзы

ISUP-шлюз

Меж

дун

ар-ы

йтр

афи

к

Оператор-жертва

Истинный АОН +995 123 4567890

Подмена АОН +7 123 4567890

Риск ИБ - нелегальное подключение к периметру сети

НЕЛЕГАЛЬНАЯ ТЕРМИНАЦИЯ ТРАФИКА(ISUP-ШЛЮЗЫ)

FAS-ФРОД

Фродстер организовывает закольцовывание трафика через VoIP-биржи добавляя ложную длительность (false answer supervision) или осуществляя позднее завершение вызова (later disconnect) к каждому звонку, используя особенности протоколов VoIP и настройки оборудования

New York

Frankfurt

London

StockholmVOIP-биржа Arbinet

Fraudster switch

Vistim-operator

FAS-machine

Петля трафика

Риск ИБ – несанкционированное вмешательство в сигнализацию

1. Вывод средств с лицевого счета абонента:

1.1. Рассылка абонентам SMS\MMS-сообщений с ссылкой на вредоносное приложение и текстом убеждающим абонента перейти по ней:

При переходе на ссылку происходит автоматическая установка java-вируса, который в скрытом режиме отправляет SMS-сообщения с телефона жертвы на дорогостоящий короткий номер,

SMS-ФРОД

1. Вывод средств с лицевого счета абонента:

1.2. Посещение абонентом web-сайта, который размещается злоумышленниками. Абонента при работе в сети Интернете, методами социальной инженерии убеждают скачать вредоносное приложение для мобильного устройства.

SMS-ФРОД

1. Вывод средств с лицевого счета абонента:

1.3 Заражение персонального компьютера пользователя вирусом Win-Lock, блокирующего компьютер. Для разблокировки мошенники требуют отправить SMS-сообщение на дорогостоящий короткий номер.

SMS-ФРОД

2. Несанкционированная подписка абонента на платные рассылки или подписка с нарушением условий предоставления услуг.

2.1 Клиент вводит на Интернет-сайте номер своего сотового телефона и код активации, чтобы получить бесплатный пробный день (неделю) подписки на какую-либо услугу (прогноз погоды, котировки валют, сеть салонов парфюмерии, гороскопы и т.п.). Информация о том, как отписаться от этой платной услуги, представлена на сайте в неявном виде (мелким шрифтом или незаметным баннером).

2.2 Контент-провайдер подписывает абонента на платные рассылки самостоятельно, без ведома абонента.

SMS-ФРОД

Основные виды инцидентов, связанных с SMS-услугами

•Flooding SMS

•Faking SMS

•Spoofing SMS

НЕЛЕГАЛЬНОЕ ИСПОЛЬЗОВАНИЕSMS-СЕРВИСОВ ОПЕРАТОРА

ЗАКЛЮЧЕНИЕ

ОБЩИЕ ТЕНДЕНЦИИ ПО ВОПРОСАМ БЕЗОПАСНОСТИ И ФРОДА НА СЕТЯХ СВЯЗИ:

По данным международного форума * по противодействию фроду на сетях связи – FIINA в 2012 году операторы связи должны уделять внимание следующим вопросам безопасности и противодействию фроду на сетях связи: 

- безопасность PBX и их настроек- выявление и противодействие FAS-фроду- проверка и тестирование сетей связи с помощью SIM Multiplexing

technology, методами прямого тестирования и прозвонами- инспекция пакетного трафика на сигнатуры фрода- исследование безопасности и возможного мошенничества с

Фемтосотами- выявление уязвимостей и защита новых платформ мобильных

телефонов и КПК.

* - «FIINA Technical SC 2012 priorities», Forum for International Irregular Network Access - FIINA

СПАСИБО

ОАО МТС2011г.

Попков Дмитрийdipopkov@mts.ruwww.mts.ru