Введение

В настоящей справке приведены возможные сценарии (раздел  1.Методы фрода) несанкционированного доступа (взлома) и незаконного использования оборудования или учетных записей клиента (оператора связи), даются рекомендации по повышению безопасности использования (раздел 2)

В отличие от традиционной телефонии, для работы которой требуется отдельная специальным образом построенная сеть, VoIP работает на базе IP сети, которая создавалась для передачи данных не требовательных к задержкам в сети, и не предполагалось, что IP сеть будет использоваться для передачи голосовых данных. Но желание использовать имеющуюся IP сеть для передачи всех видов данных, а так же очевидное удешевление телефонной связи через IP сеть, привело к появлению технологии передачи голосовых данных через IP сети названную VoIP или Voice over IP. Следует разделять передачу голосового трафика через открытую сеть Интернет и передачу голосового трафика через приватную IP сеть (например, корпоративную сеть LAN или изолированную сеть оператора связи) так как две эти модели существенно различаются с точки зрения уровня безопасности. Для VoIP худшим вариантом является подключение к сети Интернет. В такой модели подключения VoIP устройство (например IP АТС, шлюзы, ATA и пр. ) для передачи голосовых данных задействует общедоступную сеть IP и может быть атаковано злоумышленником из сети Интернет. Данные по сети IP в незащищенном виде и могут стать привлекательной целью для хакеров. Если используется подключение через приватную IP сеть (например, выделенный VLAN), то такая сеть полностью защищена от атак из сети Интернет, что существенно повышает её безопасность, кроме того, владелец этого канала может обеспечить надлежащие качество для трафика IP телефонии проходящего через этот канал.  

1. Методы фрода:   Прямые вызовы через взломанную IP АТС клиента Злоумышленник используя автоматизированное программное обеспечение(например SIP сканер), сканирует сеть в поисках VoIP оборудования клиента, например IP АТС . После того, как злоумышленник обнаружил VoIP устройство, начинается подбор логина и пароля по словарю, используются различные комбинации: admin-admin, voip-voip, asterisk-asterisk и т.д. После успешного подбора пароля, злоумышленник пробует осуществить вызовы с различными префиксами или без них. Если IP АТС пропускает через себя звонки, то на неё направляется VoIP трафик на дорогие, обычно международные направления, такие как Сьерра-Леоне, Зимбабве, Коста-Рика, Кот-д’Ивуар, Сомали, Лихтенштейн, Куба, Сан-Томе Принсипи. При этом, злоумышленник пытается максимально загрузить все имеющиеся каналы станции, так что за короткое время может быть инициировано огромное количесвто исходящих звонков с большой длительностью (длительность одного такого звонка от 100 до 3600 секунд). Суммы счетов обычно исчисляются десятками или сотнями тысяч рублей, даже с учетом оплаты такого трафика по операторским тарифам для взломанного клиента. Зачастую, администраторы IP-АТС узнают о несанкционированном доступе через несколько дней или недели, когда сумма счета уже становится огромной. При этом, злоумышленники не оставляют никаких следов взлома, которые позволяли бы пострадавшей стороне собрать доказательства. Помимо взлома с использованием подбора пароля, злоумышленник может использовать уязвимость в программном обеспечении IP АТС (например, известен случай взлома Trixbox из-за уязвимости в дистрибутиве), использовать инсайдерскую информацию или получить физический доступ к оборудованию.

  Несанкционированные вызовы через DISA (Direct Inward System Access) DISA – это функция прямого доступа к конкретному абоненту внутренней телефонной сети. Переведя свой телефон в тональный  режим , звонящий по городской линии(VoIP-транку), находясь в голосовом меню IVR, может набрать внутренний номер сервиса DISA, затем ввести PIN код для авторизации на станции и как внутренний абонент и совершать исходящие вызовы за счет компании. Злоумышленник может вычислить, что на станции работает DISA и подобрать PIN-код для авторизации, а затем направить транзитом телефонный трафик на дорогие МН-направления, как и в предыдущем случае. Такой метод взлома используется довольно часто.  

Хищение информации об учетных записях с целью последующего использования в личных целях. Этот вид мошенничества довольно часто используется для учетных записей SIP (или SIP аккаунтов), которые использовать из любой точки Интернет. Все что необходимо злоумышленнику- получить информацию об имени пользователя (userID), имени для аутентификации (authID) и пароле для учетной записи, затем зарегистрировать её на любом SIP устройстве и использовать в своих целях, например звонить на дорогие направления или совершать вызовы от имени владельца номера.  

Инъекция аудиоданных Вид атаки, когда злоумышленник добавляет в вызов свои аудиоданные что бы скомпрометировать стороны. Это возможно, например, после получения доступа и перенастройке IP-АТС.  

Кража или незаконное прослушивание аудиозаписей разговоров пользователей Если на IP-АТС хранятся записи разговоров, они могут быть похищены, а информация, которая в них содержится, может быть незаконно использована.

  Незаконный сбор информации о вызовах Если злоумышленник получил доступ к IP-АТС, он может собирать информацию о вызовах и использовать её в своих целях.  

Атака типа «отказ в обслуживании» (DoS) оборудования клиента. Распространённый и очень опасный вид атак, и который может вывести из строя VoIP оборудование компании на длительное время и тем самым полностью парализовать телефонию. Если IP-АТС подключена к оператору связи через Интернет(например черезVoIP-транк) и никак не защищена, то она уязвима к атакам такого типа. DoS атаки могут осуществляться на различных уровнях сетевой модели OSI: например на втором уровне(в LAN сегменте) на 3 уровне (протокол IP ), на четвертом уровне (TCP или UDP) или седьмом уровне (SIP или H.323). В сети Интернет это обычно 3, 4 или 7 уровни модели. Например, с различных IP адресов на адрес IP VoIP оборудования(например) начинает приходить огромное число бессмысленных сообщений, которые тем не менее должны обрабатываться VoIP оборудованием и формироваться ответные сообщения об ошибках. Если сообщений становится слишком много, оборудование не справляется, производительность всей системы резко снижается, оборудование перестает отвечать на любые сообщения или отвечает очень медленно.  

Голосовой спам SPIT (spam over IP telephony) Например, IP-АТС настроена таким образом, что вызовы с любого IP адреса с любым Caller ID отправляются на IVR в дневное время и на Voicemail в ночное время. Этим могут воспользоваться злоумышленники, что бы рассылать голосовой спам. Днем спам-вызовы могут приходить на случайного сотрудника или на секретаря, а ночью на голосовую почту.

Перехват информации и перехват сеанса Вид атаки, когда трафик между VoIP оборудованием клиента и VoIP оборудованием оператора перехватывается злоумышленником, это позволяет ему собирать информацию о вызовах или модифицировать их. Источники угроз могут быть внешними и внутренними: Внешние источники это злоумышленники пытающиеся получить доступ оборудованию физически или чаще из внешней сети, например из Интернета. Внутренние угрозы связанны с информацией, которую могут получить сотрудники, а затем использовать её для незаконного доступа к учетным записям пользователей, информации о вызовах, оборудованию компании и прочее.