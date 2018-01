Dobrá ochrana proti VoIP podvodům je naprostá nutnost. Způsoby ochrany mají vycházet ze znalosti principů útoků. Platí to při ochraně proti bytovým zlodějům, při ochraně proti armádám nepřátelských států a platí to i při obraně proti internetovým útokům. Tedy i pro VoIP fraudy.

Dřívější podvody

Typický telefonní podvod vůči klasickým telefonním sítím spočíval v napojení na vedení souseda. Nejčastěji se tak dělo v domovních rozvodech. Obětí útoku byl uživatel některého telefonu. Téměř nemožné to bylo na kabelových trasách a výjimkou bylo napojení na sloupech nadzemních vedení.

Známy jsou i případy, kdy se na podvodu podílel telefonní mechanik. Ten mohl do obvodů telefonní ústředny napojit zařízení generující hovory na linky s vysokými cenami (např. na erotické telefonní služby). Obětí útoku pak byl provozovatel ústředny. Typickým znakem podobných telefonních podvodů byla nutnost fyzického přítomnosti útočníka.

Dnešní podvody

Typický telefonní podvod vůči VoIP telefonii lze realizovat globálně z celého světa. Je jisté, že VoIP zařízení i programy určitě obsahují mnoho bezpečnostních chyb. Je také známo několik případů, kdy zařízení renomované značky bylo dodáno v konfiguraci umožňující okamžitý tranzit podvodných hovorů. Lze předpokládat, že některá VoIP zařízení či programy mohou obsahovat i různá zadní vrátka. To vše jsou nedostatky specifické jen pro konkrétní typy HW či SW. To do jisté míry snižuje jejich nebezpečí.

Typickým záměrem VoIP útoku je uskutečnění podvodných hovorů. Oběť je pak nucena svému operátorovi uhradit fakturu za telefon. Operátor část z toho zaplatí dalšímu operátorovi a takto se dojde až k operátorovi, který za podvodné hovory inkasuje a přitom za ně nikomu nezaplatí. Ten z VoIP podvodu profituje a je jeho organizátor.

Podvody směřují do zemí s vysokými velkoobchodními cenami. Organizátor podvodu si za tím účelem v cílové zemi obstará potřebná telefonní čísla a určí ceny hovorů na ně. Např. do pobaltských republik nebo do afrických zemí. Organizátor podvodu taky může zneužít jím tranzitovaných hovorů do drahých exotických zemí. Např. do malých ostrovních či afrických států.

Pro organizátora VoIP podvodu pracují osoby, které vyhledávají vhodné oběti a případně i generují podvodné hovory. Nelze vyloučit, že si tak v různých částech světa mohou dobře přivydělávat vysokoškoláci studující IT obory. Nebo, že je to hlavní pracovní náplní IT odborníků v zemích s velmi levnou pracovní silou. Nejčastěji VoIP útoky směřují na velmi rozšířená zařízení s protokolem SIP. Typický VoIP podvod, který není zaměřený pouze na specifické vady SIP zařízení, má několik kroků.

Vyhledání SIP zařízení

Nejprve je třeba vyhledat SIP zařízení dostupné z veřejného internetu. Útočníci formou kobercových náletů rozesílají do internetu žádosti v protokolu SIP a čekají na jakoukoli SIP odpověď. Zdrojem žádostí jsou speciální SW ukryté za IP adresy VPN.

Takové skenování probíhá velmi masívně a na každou IP adresu přichází každou hodinu několik SIP požadavků. Téměř výhradně jsou používány SIP žádosti OPTIONS. Z podoby SIP odpovědi útočník někdy odhadne i druh nalezeného zařízení (např. klon a verzi Asterisku).

Nalezení SIP účtu

Je-li na některé IP adrese detekováno SIP zařízení, pak jsou na něm vyhledávány SIP účty. Na konkrétní IP adresu tak směřují SIP žádosti adresované na různá telefonní čísla. Útočník pomocí dalšího SW hledá čísla, která mu vrátí jakoukoli SIP odpověď.

Nejčastěji jsou v tomto kroku používány SIP žádosti REGISTER nebo INVITE. Pokud se z reakce zjistí, že dané telefonní číslo nemá svůj účet chráněno heslem, pak útočník vynechá další krok.

Prolomení SIP hesla

K prolomení hesla SIP účtů slouží dva postupy známé i z jiných druhů útoků. Nejprve jsou pomocí speciálního SIP software nazkoušeny nejčastěji používané varianty hesel. Případně následuje pokus o prolomení hesla metodou hrubé síly. I na to existují speciální SIP programy. K nalezení hesla je nejčastěji používána SIP žádost REGISTER.

Určení prefixu hovorů

Je-li známa IP adresa a UDP port zařízení i jména a heslo SIP účtu, nemusí to ještě stačit. Jelikož obětí jsou hlavně pobočkové ústředny, je třeba navíc zjistit prefix pro přechod do veřejné telefonní sítě a prefix pro zahraniční hovory. U nás je to většinou jedna nula do veřejné telefonní sítě a vždy dvě nuly pro mezinárodní hovory. V zahraničí je to ale různé.

Někdy jsou navíc všechny veřejné nebo alespoň mezinárodní hovory chráněny pinem. Ten pak slouží k tzv. odemknutí telefonu. Ve výsledku útočník zjišťuje 0 až N číslic, které musí předřadit před číslo volaného. K jejich nalezení lze použít SIP žádosti INVITE a některé telefonní číslo v běžné telefonní síti (např. v EU nebo USA).

Určení cíle hovorů

Až potom může útočník začít pokusy o podvodné hovory. Ne všechny exotické cíle hovorů ale musí být dostupné. Některé mohou být blokovány přímo v zařízení oběti. Jiné podvodné cíle mohou být blokovány či nemusí být podporovány telefonními operátory. Útočník v tomto kroku hledá nejdražší podvodný cíl, na který se mu podaří uskutečňovat hovory.

Potom útočník zvyšuje počet současně probíhajících hovorů. Ten je většinou omezen kapacitou propojení pobočkové ústředny na VoIP operátora. Často je to 30 současných hovorů. Hovory navíc musí na své cestě procházet přes organizátora VoIP podvodu, který zajistí falešné přihlášení volaných účastníků. Hovory proto organizátor směruje na SW provozovaný útočníkem. Organizátor následně inkasuje od předchozího operátora cenu za příchozí hovory. Ta je profitem organizátora podvodu. Z ní je vyplacena mzda útočníka.

Finanční škody, protiopatření, honeypoty

Z vlastní zkušenosti vím, že brzy rozpoznaný telefonní podvod (do několika málo hodin) dokáže způsobit škodu v jednotkách až desítkách tisíc korun. Pokud např. 5 hodin probíhá 20 současných hovorů v ceně 35 Kč/min, může se škoda blížit 200 000 Kč. To je dostatečný argument, aby byla obraně vůči VoIP podvodům věnována potřebná pozornost. Příklady konkrétních uskutečněných podvodů jsou téma na samostatný článek.

Možných opatření proto VoIP podvodům je celá řada. Snad všichni telefonní operátoři praktikují různé ochrany. Nejkvalitnější antifraudové opatření provozují největší telefonní operátoři. Jen někteří ale podvodné hovory blokují nebo na ně alespoň své zákazníky neprodleně upozorní. V mnoha případech se to zákazník doví až po mnoha dnech nebo dokonce až z faktury. Někteří operátoři si totiž na telefonních podvodech přivydělávají. Příčinou jsou jejich marže mezi nákupními a prodejními cenami hovorů. Marži totiž uplatňují i na tranzitované fraudy. Bohužel přímá ochrana pobočkových ústředen bývá často nedůsledná. Přehled různých opatření proti VoIP podvodům vydá na samostatný článek.

Informace o VoIP fraudech čerpám z mnohaletého provozu několika VoIP ústředen, od dalších VoIP operátorů, z odborných posudků k VoIP podvodům, z provozování skupiny SIP honeypotů, z testování antifraudového SW, z odborných přednášek a z článků na internetu. Zvlášť užitečné jsou zkušenosti získané z honeypotů. Informace o četnosti, zdrojích, průběhu a parametrech VoIP útoků vedených proti honeypotům je téma na několik článků.