VoIP podvod
VoIP (Voice over Internet Protocol) podvod znamená zneužití telefonní služby, která probíhá prostřednictvím Internetu. Pojem telefonní podvod čili fraud se v telefonii používá nejméně ve dvou případech. Buď pro obecné označení telefonních podvodů, nebo jako název pro podvodné drahé telefonní hovory. Termín existoval už před nástupem VoIP telefonie, zejména u specialistů na mezinárodní propojení operátorů. Větší známosti se fraud dočkal až s nástupem internetové telefonie. Nejčastěji se lze dnes setkat s pojmem VoIP fraud.
Motivy telefonních podvodů
Telefonní podvody lze obecně rozlišit na podvody na straně poskytovatele, který se snaží neoprávněně navýšit účet za hovory, a na podvody ze strany účastníka (uživatele), který se je snaží neoprávněně snížit. Analogicky to platí o vzájemných podvodech mezi operátory.[1][2][3][4]
Částečně jsou motivy podobné internetovým hrozbám:
- odposlech probíhající komunikace[5][6]
- mapování struktury sítě a technologií
- přetížení HW, SW a jejich propojení (telefonní DoS útoky)
- získání přístupu do neveřejných sítí
- ukrytí identity volajícího (např. pachatele nelegální činnosti)
- různé psychologické pohnutky (dokázat své schopnosti, ...)
Některé motivy jsou specifické jen pro telefonii:
- obtěžující zlomyslné hovory
- úspora ceny za své vlastní hovory
- profit z generování drahých podvodných hovorů (typický VoIP fraud)
- úspora ceny za tranzit či terminaci hovorů (specifický VoIP fraud)
Podvody v klasické telefonii
V klasických sítích s přepojováním okruhů (Circuit switching) se před začátkem hovoru musí vytvořit jednoznačné a výlučné spojení mezi volajícím a volaným účastníkem, které trvá po celou dobu hovoru. Podvody existovaly už v sítích s přepojováním okruhů.[7][8]
Typické příklady starších podvodů:
- zneužití veřejného telefonního automatu (použitím falešné mince či nástroje k vrácení mince, užitím falešných telefonních karet, ...)
- zneužití cizí telefonní přípojky (fyzickým napojením na cizí účastnické vedení, bezdrátovým napojením na základnu cizího přenosného telefonu, ...)
- zneužití vlastností telefonních sítí (pomocí telefonního čísla obsahujícího nestandardní sekvence číslic i znaků, ...)
- zneužití služebních telefonů (drahé hovory z telefonu úplatného nočního vrátného, ...)
Podvody ve VoIP telefonii
V internetových a jiných sítích s přepojováním paketů (Packet switching) se informace dopravují po síti v podobě oddělených paketů omezené délky, které mohou putovat různými cestami. Konvergence telefonie a internetu (VoIP telefonie) přinesla nové telefonní podvody a usnadnila některé starší.[8][9][10][11][12][13]
Příklady novodobých VoIP útoků:
- neznalost konfigurace VoIP technologií (při neúplné konfiguraci nebo opomenuté existenci VoIP zařízení, ...)
- zneužití registrační údajů VoIP zařízení (při ponechání implicitního nebo použití slabého registračního hesla, ...)
- zneužití administrátorských údajů VoIP zařízení (při ponechání firemních či použití slabých přístupových kódů, ...)
- znalost zadních vrátek VoIP technologií (při nezabezpečení dostupnosti na veřejném internetu, ...)
- zneužití špatně zabezpečeného REST či HTTP nebo jiného CTI rozhraní povoleného ve VoIP zařízení
- zneužití přesměrování hovorů na drahá čísla (zadané v tel. ústředně nebo v koncovém VoIP zařízení)
Typické VoIP podvody
Cena hovorů je vždy dána smluvní dohodou mezi účastníkem a operátorem nebo mezi dvojicí operátorů. Cena tak nezávisí na druhu ani délce spojové cesty. Mnoho mezinárodních hovorů je tak levnějších než hovory vnitrostátní. Část spojení mezi tuzemskými operátory (tj. vnitrostátních hovorů) je proto realizována pomocí mezinárodních spojů přes zahraniční operátory.
Organizátory VoIP podvodů jsou zpravidla obchodně a technicky velmi zdatní mezinárodní operátoři. Podle CFCA (Communications Fraud Control Association) nejvíc podvodů pochází z USA, Indie, Velké Británie, Pákistánu a Filipín. Nejčastějšími cíli jsou podle stejného zdroje Kuba, Somálsko, Siera Leone, Zimbabwe a Lotyšsko. Jiné zdroje uvádějí jako častý zdroj i cíl africký kontinent, blízkovýchodní region a postsovětské republiky. Vyloučit pak nelze ani zapojení českých osob a operátorů. Smutnou skutečností je, že na VoIP podvodech vůči operátorům se někdy podílejí i jejich zaměstnanci.
Většina telefonních hovorů není čistě TDM ani VoIP ale jejich kombinací. Většina velkých fixních i mobilních sítí přechází na VoIP technologie a sítě. Střední a malí operátoři provozují výhradně VoIP sítě. Převážná většina národních i mezinárodních spojů mezi operátory je VoIP. Tím je dán charakter typických dnešních podvodů.[14][15]
Příklady finančně nebezpečných VoIP podvodů:
- podvodné hovory do zahraničí
- podvodný tranzit či terminace hovorů
- podvodné prodlužování délky hovorů
- podvodné hovory do vlastní sítě
- podvodné hovory na bezplatná čísla
- podvodné hovory na drahá čísla
Typická výše škody způsobené jedním podvodem bývá desítky tisíc Kč, výjimkou však nejsou ani stovky tisíc Kč.[12][16] Roční škody lze v Česku odhadovat na desítky milionů Kč, kde ČTÚ publikoval údaj o škodě 21 mil. Kč za rok 2010.[17] Globální škody údajně dosahují miliardy USD ročně.[18]
SW proti VoIP podvodům
V komerční telefonii je dnes využíván především SIP protokol (Session Initiation Protocol). Tomu odpovídá i zaměření bezpečnostního SW. K dispozici jsou taky různé portály orientované na VoIP fraudy.
Druhy SW souvisejícího s VoIP podvody:
- SIP firewall (hlasový firewall oddělující privátní a veřejnou část VoIP sítí)
- SIP antifraud (detekuje, hlásí a případně i blokuje pokusy o VoIP podvody)
- SIP honeypot (simuluje VoIP zařízení a eviduje parametry pokusů o podvody)
- SIP scanner (vyhledává VoIP zařízení a ověřuje kvalitu jejich zabezpečení)
- SIP caller (generátor zkušebních VoIP volání pro testy bezpečnosti)
Zodpovědnost za podvody
Po telefonních podvodech málokdy zůstávají důkazy. Žádné nezpochybnitelné stopy, žádné otisky prstů ani poškození od páčidla. Operátor argumentuje pouze záznamy o hovorech, které jsou podkladem pro fakturaci. Pachatel, místo i způsob napadení zpravidla zůstanou nezjištěny.
V minulosti se používala zásada, podle které za telefonní podvod zodpovídá ten, vůči jehož majetku byl proveden. Hranicí mezi majetkem účastníka a operátora je tzv. účastnický rozvaděč. Ten ukončuje kabel operátora a v něm končí jeho odpovědnost. Protože vedení z rozvaděče je považováno za součást stavby, odpovídá za jeho napadení účastník. To platí i v případě, že vedení mezi rozvaděčem a telefonem zřídil operátor. Takový případ je považován za zhodnocení stavby. Princip platí, i když telefon dodal nebo pronajal operátor. To je důvodem, proč účastnické rozvaděče mají být operátorem uzamčeny. Nebylo-li v minulosti možné zjistit místo, kde a kým byl podvod proveden, pak telekomunikační úřad ověřoval zamezení přístupu do účastnického rozvaděče. Byl-li volně přístupný, pak se předpokládalo, že podvod mohl být spáchán na majetku operátora a ten neměl právo na úhradu faktury. Naopak, pokud byl rozvaděč zabezpečen, pak měl operátor právo na úhradu i podvodných hovorů. Popsaná zásada není sice dokonalá, ale v minulosti byla přijatelná.
Princip zodpovědnosti za majetek je však obtížně uplatnitelný v internetové telefonii, kde jsou VoIP telefon či soukromá ústředna na veřejnou ústřednu napojeny prostřednictvím veřejného internetu. Jeho poskytovatelem navíc nemusí být poskytovatel VoIP telefonie. Zpětně nelze určit, zda telefonní podvod byl spáchán vůči zařízení účastníka nebo vůči zařízení operátora. V těchto případech se ustálila nedobrá praxe, kdy VoIP podvod je pro regulátora dostatečně prokazován existencí záznamů o hovorech a následnou fakturou. Mezi evidencí záznamů o hovorech a účastníkovým zařízením je celá řada mezičlánků, kde mohlo dojít k napadení nebo k poruchám. Pachatel např. mohl odhalit slabé heslo přidělené účastníkovi operátorem a útok vedl vůči veřejné VoIP ústředně (majetku operátora).
Je s podivem, že český ani slovenský regulátor po operátorech nepožadují hodnověrné doložení, že podvod opravdu pocházel od daného účastníka. Počet podvodů a technické i personální vybavení to umožňují. Telefonní operátoři disponují antifraudovými SW a většinu podvodů sami brzy detekují. Následně by měli mít za povinnost bezodkladně doložit, že podvodné hovory skutečně přicházejí od účastníka. Po napojení měřícího přístroje na účastnický rozvaděč lze doložit vedení, po němž podvodné hovory přicházejí do TDM ústředny. Z kopie dat na vstupu VoIP ústředny pak lze doložit IP adresu, z níž podvodné hovory přicházejí do VoIP ústředny. V obou případech má poskytovatel telefonní služby možnost zajistit důvěryhodné důkazy a neprodleně zabránit pokračování podvodu.
Určitým problémem může být, že všichni operátoři tranzitující podvodné hovory od napadeného účastníka k pachateli, mají z podvodu svůj vlastní profit. Každý z nich sice musí dalšímu operátorovi za podvodné hovory zaplatit, ale zároveň na nich má svoji marži. Mezi zahájením generování podvodných hovorů pachatelem a jejich detekcí operátorem totiž uplynou pouze jednotky až desítky minut. Operátor ale často hovory nezablokuje a účastníka informuje až po mnoha dnech. Někdy se účastník o podvodu dozví až z faktury od operátora. Takové jednání by mohlo naplňovat znaky podvodu dle § 209 Trestního zákona. Kdo sebe nebo jiného obohatí tím, že uvede někoho v omyl, využije něčího omylu nebo zamlčí podstatné skutečnosti, a způsobí tak na cizím majetku škodu nikoli nepatrnou, bude potrestán odnětím svobody až na ...
Existují 3 skupiny telefonních operátorů (poskytovatelů hlasových služeb):
- trvale bojující proti podvodům (blokují neprodleně podvodné hovory a požadují jen svou nákupní cenu za ně)
- pasivně parazitující na podvodech (nespěchají s blokováním podvodů a vymáhají úhradu plné ceny i za takové hovory)
- aktivně organizující podvody (stojí přímo či nepřímo za zdrojem podvodných hovorů a inkasují cenu za jejich ukončení)
Obrana proti podvodům
Podvody v telefonních sítích existovaly od jejich vzniku, existují dosud a vždy existovat budou. Se změnami technologie se mění jen metody podvodů. Na počátku VoIP telefonie značně stouplo množství podvodů, teprve postupem času se podařilo poznávat metody podvodníků a budovat obranu proti nim.
Bezpečnost VoIP technologií je naprostou nutností[3][8][16] a má využívat kombinace více principů.[13][19][20][21] Životnost špatně zabezpečeného VoIP zařízení je desítky minut až jednotky hodin. Výše potenciální škody je desítky tisíc Kč za jednotky hodin podvodných zahraničních hovorů.
Použitelné metody ochrany se liší podle toho, zda se jedná o privátně nebo veřejně provozovanou VoIP technologii. Pobočková VoIP ústředna a telefony umístěné v lokální síti mohou být dobře skryty před útoky z internetu. Náročnější je ochrana veřejné VoIP ústředny poskytovatele telefonní služby. Principy ochrany provozované VoIP technologie jsou dány konkrétní situací a zkušenostmi IT technika.
Inspirativní seznam různě kombinovatelných možností:
- mechanická ochrana VoIP ústředny (uzamykatelná místnost, telehaus s kontrolou přístupu, ...)
- zabezpečená administrace VoIP ústředny (šifrovaným VPN tunelem s bezpečnou autorizací, ...)
- případné umístění VoIP ústředny, telefonů a bran na IP adresách nedostupných z veřejného internetu
- případné umístění VoIP ústředen na nestandardních UDP portech (vzdálených od portu 5060)
- důsledná ochrana IP svazků propojujících VoIP ústředny pomocí IP adresy protější strany
- případná ochrana stabilně umístěných IP telefonů a bran pomocí jejich pevné IP adresy (kontrolované ve VoIP ústředně)
- silná hesla pro registraci IP telefonů a bran (min. 14 číslic a malých i velkých písmen a dalších znaků)
- vložení umělé prodlevy (až 1 sec) do vyhodnocování hesla pomocí MD5 (zpomalení pokusů o nazkoušet i snížení zátěže ústředny)
- kontrola opakování špatných hesel (např. na max. 5) s následným zablokováním SIP účtu (např. na 15 min nebo do manuálního zásahu správce)
- NEkonkrétní reakce na chybně autentizované REGISTER či INVITE (např. 403 Forbidden bez udané příčiny nebo dokonce neregulérní 200 OK)
- ochrana VoIP ústředny standardním síťovým firewallem i kombinací speciálního telefonního SIP firewallu a SIP antifraudu
- využívání zabezpečené verze SIP signalizace (TLS, DTLS nebo IPsec) a RTP streamu (SRTP nebo ZRTP)
- užívání kreditního způsobu úhrady hovorného (tzv. prepaidu), kde je finanční škoda omezena jen výší kreditu
- blokování hlasové služby nebo jen odchozích hovorů pro SIP telefony registrované ze zahraničních IP adres
- kontrola NEpříjmu SIP žádostí ze zakázaných IP adres (dle black listu) užívaných k VoIP podvodům
- kontrola NEpřítomnosti zakázaných IP adres (dle black listu nebo white listu) v položkách SIP signálu (včetně SDP části)
- povolení zahraničních hovorů pouze do skutečně potřebných zemí (dle statistiky reálného provozu)
- stanovení limitů počtu současných zahraničních hovorů (dle statistiky reálného provozu)
- sledování počtu souběžných i opakujících se zahraničních hovorů (se shodným či podobným číslem volajícího a/nebo volaného)
- kontrola přijatých SIP žádostí, zda v položkách User-Agent a Server i SDP části (v atributech "o" a "s") NEobsahují zakázané názvy (dle black listu)
- kontrola přijatých SIP žádostí, zda NEobsahují znaky (fingerprints) charakteristické pro VoIP podvody
- NEuvádění jména VoIP technologie v SIP signálech (v položce User-Agent a Server) ani v jejich SDP části (v atributech "o" a "s")
- důsledně zabezpečené nebo raději deaktivace REST či HTTP nebo jiného CTI rozhraní ve všech VoIP zařízeních i systémech
- průběžný monitoring aktuálního objemu hovorů odcházejících do zahraničí (pracovníky dohledového centra VoIP operátora)
- průběžná automatická nebo alespoň manuální zpětná kontrola objemu zahraničních hovorů (správcem pobočkové ústředny)
- nakupovat hlasové služby od důvěryhodného operátora se zkušenostmi s ochranou proti VoIP podvodům
- uzavření vhodné pojistné smlouvy pokrývající případné finanční škody
Reference
- ↑ ZÖLD, Pavol. Telefonní podvody z pohledu regulátora. ip-telefon.cz [online]. 2014. Dostupné online.
- ↑ NGUYEN, Jan. Podvody (fraudy) v telekomunikačním provozu. dspace.cvut.cz [online]. 2018. Dostupné online.
- ↑ a b FIŠER, Ivo. VoIP podvody: úvod do anatomie útoků, které vás můžou stát stovky tisíc korun. www.root.cz [online]. 2018. Dostupné online.
- ↑ HEESCH, Tom. Bezpečnost VoIP. businessworld.cz [online]. 2007. Dostupné online.
- ↑ MIKULEC, Martin. Realizace vlastní BTS stanice postavené na OpenBTS. ip-telefon.cz [online]. 2014. Dostupné online.
- ↑ BEZPALEC, Pavel. Problematika odposlechu mobilních sítí GSM a UMTS. ip-telefon.cz [online]. 2014. Dostupné online.
- ↑ TROLLER, Pavel. Technické aspekty podvodů v telefonii. ip-telefon.cz [online]. 2009. Dostupné online.
- ↑ a b c FIŠER, Ivo. Příklad posouzení konkrétního tel. podvodu. ip-telefon.cz [online]. 2012. Dostupné online.
- ↑ NOVÁK, Jiří. Tři příklady konkrétních telefonních podvodů. ip-telefon.cz [online]. 2009. Dostupné online.
- ↑ BOOM, Adam. Chraňte se před VoIP podvody. computerworld.cz [online]. 2011. Dostupné online.
- ↑ ROSENBERG, Martin. Bezpečnost VoIP technologie. elektrorevue.cz [online]. 2011. Dostupné online.
- ↑ a b FIŠER, Ivo. VoIP podvody - hovory do zahraničí. indico.csnog.eu [online]. Dostupné online.
- ↑ a b FIŠER, Ivo. Netypický, nebo snad typický útok na VoIP zařízení za neveřejnou IP ?. Root.cz [online]. 2020. Dostupné online.
- ↑ KUMMER, Radek. Současné telekomunikační hrozby a boj proti nim. ip-telefon.cz [online]. 2009. Dostupné online.
- ↑ VANĚK, Tomáš. Bezpečnost provozu VoIP. www.ip-telefon.cz [online]. 2006. Dostupné v archivu pořízeném z originálu dne 2019-01-26.
- ↑ a b ZANDL, Patrik. Špatně zabezpečené VoIP stálo hoteliérku miliony. www.lupa.cz [online]. 2009. Dostupné online.
- ↑ Zneužívání pobočkových ústředen a připojení VoIP telefonů. www.ctu.cz [online]. Český telekomunikační úřad, 2011. Dostupné online.
- ↑ MACH, Martin. Kladivo na podvodníky aneb jak se odhalují podvody v telekomunikacích. computerworld.cz [online]. 2006. Dostupné online.
- ↑ VOZŇÁK, Miroslav. Bezpečnost VoIP telefónie. ip-telefon.cz [online]. 2010. Dostupné v archivu pořízeném z originálu dne 2019-01-17.
- ↑ DVOŘÁK, Martin. Náměty na zabezpečení VoIP ústředen a telefonů. ip-telefon.cz [online]. 2009. Dostupné online.
- ↑ NOVÁK, Radek. Desatero zabezpečení VoIP ústředen. www.infojet.cz [online]. 2009. Dostupné online.