Уязвимости IP-телефонии по телефону доступа.
В базовом варианте для использования IP-телефонии по телефону доступа нужно набрать:
-номер доступа IP-оператора (6-7 цифр), далее
-секретный пин-код (8-12 цифр), далее
-8 – код города – номер вызываемого абонента.
Но это очень неудобно. И желающих пользоваться такой услугой у IP-операторов было мало. Поэтому IP-операторы нашли удобный выход из ситуации — авторизация по АОН. (Caller-ID, АОН — автоматическое определение номера). Т.е. если у пользователя номер, например +79011234567, то после набора номера доступа секретный пин-код набирать не нужно. Оператор авторизует пользователя по его номеру (АОНу) +79011234567.
Кроме того, IP-операторы стараются сделать так, чтобы пользователь даже не набирал номер доступа, программируя его в память мини-АТС, телефонного аппарата, или устанавливая телефонные роутеры. В результате пользователь просто набирает 8 — код города — номер вызываемого абонента, без набора телефона дозвона и пин-кода.
Однако, выиграв таким образом в удобстве, IP-операторы по телефону доступа проиграли в главном, в безопасности.
Главная “дыра” в безопасности – авторизация по АОН. Любой специалист в телефонии знает, что технически можно подставить любой номер. Например, пользователь «А» является по договору владельцем номера +79011234567. Любой другой человек может подставить его номер, и при звонке будет высвечиваться +79011234567. Хотя реально он звонит, конечно, не с данного номера.
А это значит, что злоумышленник с подставленным номером +79011234567 может позвонить на общеизвестный телефон доступа IP-оператора и совершить междугородний звонок. Деньги за этот звонок IP-оператор спишет с пользователя «А», своего клиента, который в договоре указал возможность авторизации по его номеру +79011234567.
Опасность ситуации в том, что если ранее подменить номер можно было с помощью специальных технических средств, то сейчас это может сделать даже школьник. Существует несколько сайтов-сервисов, прямо предлагающих услугу подмены номера.
Безусловно, подстановка чужого номера в мошеннических целях – уголовно-наказуемое деяние. Но остановит ли это злоумышленников, перепродающих таким образом телефонный трафик? А некоторым мошенникам выгодно не довести баланс пользователей до минус миллион руб., (тем самым инициировав скандал и расследование), а расходовать незаметные для сотен корпоративных пользователей суммы 300-500 руб. в месяц и оставаться незамеченными в течение нескольких лет.
Итак, деньги за свои и чужие звонки с высвечивающегося номера будут списываться с лицевого счета пользователя IP-телефонии по телефону доступа, который в договоре с ip-оператором указал возможность авторизации по его номеру.
Подробнее об опасности авторизации по АОН
при использовании IP-телефонии по телефону доступа
можно узнать на форуме специалистов связи.
Выход из этой ситуации – вернуться к использованию секретных пин-кодов. Также можно использовать две технологии авторизации (аон+пин-код). В этом случае сложность пин-кода (количество цифр) можно уменьшить. Кроме того, обязательно устанавливать кредитный лимит.
Предыдущие статьи данной рубрики:
Кража денежных средств через телефонную связь.
Кража через телефонную связь. Как такое может быть?
Уязвимости проводной телефонной связи.
Уязвимости мобильной связи.
Следующие статьи:
Уязвимости VoIP-телефонии.
Меры безопасности в сфере телефонной связи. Часть 1.
Меры безопасности в сфере телефонной связи. Часть 2.