מי פורץ למרכזיות שלנו ולמה? - תוצאות מפתיעות ומפחידות
מאת: ניר סמיונוביץ Telecom News, 1.5.13, 00:05מי הם הפורצים?
מהם סוגי ההונאות?
מהם יעדי השיחות המועדפים על הפורצים בארץ?
תוך כמה זמן ייפרצו מרכזיה ושרת מרגע עלייתם לאינטרנט?
מהם דרכי ההתגוננות?
במאמר הקודם דנתי בסוגיה כואבת: על מי מוטלת האחריות לאבטחת המרכזיה הארגונית ולמה. לאחר פרסום המאמר, שמחתי לקבל לתיבת הדואר שלי כמות נכבדה של הודעות מקוראים, שנעו בין אנשים שלא הסכימו עם דעותיי (הגיוני, לא כולם חייבים להסכים על הכל) לבין אלה ששאלו שאלות עקרוניות בנושא. במאמר זה אנסה לתת מענה לשתיים מן השאלות, שחזרו על עצמן שוב ושוב:
מה הם סוגי ההונאה השכיחים ביותר?
אנחנו מבינים מה מניע האקרים לפרוץ לאתרים, אבל מה המניע לפריצת מרכזיות טלפון?
בנוסף, אעסוק בפורצי המרכזיות, בדרכי הפריצה, ביעדי השיחות המועדפים והמפתיעים לחלוטין, בכמות הזמן לפריצת מרכזיה מרגע עלייתה לאינטרנט ובדרכי ההתגוננות.
מה הם סוגי ההונאה השכיחים ביותר?
הונאות טלפוניה מתחלקות למספר קבוצות. על מנת להתמקד, אצמצם את הדיון להונאות טלפוניה הקשורות במרכזיות ארגוניות או במערכות תקשורת טלפוניה. את אלה ניתן לסווג למקרים הבאים:
Premium Rate Fraud (PRF or IPRF) – חיוג ליעדי פרמיום מקומיים או בינלאומיים.
Artificially Inflated Traffic (AIT) – ניפוח תעבורה במודל Revenue Share.
International Arbitrage – ניצול מחירונים לא מעודכנים אצל ספקי שירות.
Internal Employee Fraud – ניצול משאבי הארגון לצרכים אישיים על ידי העובדים.
אם נתעלם, לצורך הדיון בלבד, מהאפשרות האחרונה (כיוון שאיננה כוללת פריצה למערכת המרכזיה), כל השלושה הינם לא יותר מוואריצייה אחת של השניה, כמובן בתלות מאיפה מסתכלים על הבעיה.
Premium Rate Fraud או International Premium Rate Fraud
מספרי פרמיום. בארץ אנחנו בעיקר מכירים את המספרים 1900, 1901 והחיוג הבינלאומי הנהוג אצל המב"לים. כל השלושה מספקים שירות דומה. חיוג למספרים אלה יעלה ללקוח מחיר גבוה יותר משיחה רגילה, כאשר מרכיב משמעותי מעלות השיחה מועבר אל בעל המספר, כשתשלום על התוכן אותו מספר מספק.
דמיינו לעצמכם מצב בוא תוכלו לקנות מספר בינלאומי במדינה אחרת, שבגין כל דקת שיחה אליו תקבלו מספר סנטים לכיסכם? נשמע נפלא, לא? – מספרים מסוג International Premium Rate זמינים לרכישה באינטרנט, אתרי אינטרנט כגון: http://www.felixtelecom.com, https://telepremium.net ו- http://www.audiotext.me, מציעים מספרי פרמיום לכל דיחפין, בהליך פשוט וזריז. לחברות אלה אין שום אינטרס לבדוק מי הלקוחות שלהן. יתר כל כן, הן פועלות בצורה דיסקרטית לחלוטין, כך שגם בעלי המספרים לא נחשפים לעולם בצורה מוגברת.
בהונאה זו, יפרוץ הפורץ למרכזיה ויחבר אליה חייגן אוטומטי או ישתיל חייגן אוטומטי בתוכה. החייגן האוטומטי ייצר שיחות אל יעד הפרמיום של הפורץ, וזה יאסוף את הכסף מספק התקשורת, שסיפק לו את מספר הפרמיום. לעיתים רבות, יעד הפרמיום הינו לא יותר מאשר הודעה שמורה באורך של שעה, אך בחלק מן המקרים, היעד הינו מספר פרמיום עם שירות לגיטימי. במצב כזה, בייחוד עם מדובר בשירות פרמיום פופולרי (לדוגמא, שירות היכרויות או צ'ט), לספקי השירות יש קושי לזהות את התנועה החריגה, בתוך בליל התנועה הלגיטימי לשרות. במצב זה, בעל השירות חובר אל הפורץ ואלה חולקים ברווחים מן ההונאה.
כמה כסף אפשר לגנוב בצורה זו? נעשה חשבון פשוט. נדמיין יעד פרמיום, שמחירו הוא 50 אג' לדקה. כעת, נדמיין, כי פרצנו למרכזיה המקושרת לרשת בציר PRI בעל 30 קווים. נעשה חשבון: 30 קווים כפול 50 אג', הינם 15 ש"ח כל דקה. עכשיו, נכפיל ב-60, אזי 900 ש"ח בשעה. נניח, שהפורץ יפעיל את החייגן רק בלילה, כאשר במשרד אין אנשים ויפעיל את החייגן משעה 19:00 עד שעה 05:00, 10 שעות. כלומר, נזק של 9000 ש"ח בלילה אחד.
פורצי מרכזיות – מי אתם בכלל?
על מנת לענות על השאלה, יש לזכור דבר מאוד פשוט – פריצה למרכזיה, בניגוד לפריצת אתר אינטרנט והשחתתו, זהה לחלוטין לגניבת כרטיס אשראי – בהבדל קטן: פה חברת הביטוח לא תכסה את הנזקים הצרופים לפריצה. פורצי המרכזיות אינם מונעים מתוך אידאולוגיה, אינם מונעים מתוך אג'נדה חברתית או פוליטית – הם מונעים על ידי כוחות השוק, הצורך לקיים שיחות טלפון בעלות הזולה ביותר האפשרית והצורך להרוויח כמה שיותר כסף בכמה שפחות זמן.
בחודש דצמבר 2010, התחלתי לבצע מחקר עצמאי בתחום, שמטרתו היתה להבין כמה דברים:
מה מקור הפריצות? מה מאפיין מקור זה והאם הוא חוזר על עצמו?
מה הם יעדי השיחות המועדפים על הפורצים? ומדוע?
כאשר מרכזיה חדשה עולה לאוויר האינטרנט, עם תצורת ברירת מחדל, תוך כמה זמן היא תיפרץ?
כאשר שרת עולה לאוויר האינטרנט, עם תצורת ברירת מחדל, תוך כמה זמן הוא יפרץ?
עלי להודות, התוצאות שקיבלתי היו מעניינות, מפתיעות ולעיתים מפחידות.
מקורות הפריצה – יותר מגוונים ממה שניתן לצפות
מלכתחילה ציפיתי, שמרבית (אם לא כל) ניסיונות הפריצה יבוצעו דרך האינטרנט. להפתעתי גיליתי, כי מספר לא מבוטל של ניסיונות פריצה מגיעים דרך קווי הטלפון עצמם, כאשר אלה מתחלקים לשלוש קבוצות עיקריות:
Voicemail/DISA Abuse – ניצול משאבי ה-DISA והדואר הקולי על מנת להוציא שיחות ממרכזיה מותקנת.
Malconfiguration Abuse – ניצול של מאפיינים, שאינם מקונפגים כיאות, לדוגמא: Call Forwarding.
Phishing – כריית מידע מנציגי שירות המקושרים למרכזיה.
את 1 ו-3 הכרתי כבר טוב. הייתי מופתע מאוד מהקלות הבלתי ניסבלת של 2. מסתבר, שמספיקה אות אחת לא במקום, על מנת לפתוח במרכזיה חור בגודל של בית – ללא שום קשר להגנות ההיקפיות. על מנת להמחיש, נשתמש בדוגמא של העברת שיחה. ההגיון אומר: כאשר שיחה נכנסת למרכזיה, מי שאמור להיות מסוגל להעביר את השיחה, יהיה מקבל השיחה. בשיחה יוצאת, יהיה זה מוציא השיחה. עד פה ההגיון הפשוט. לכל אחד מאלה פרמטר ייעודי (באסטריסק, T ו-t). עכשיו נניח, שמנהל המערכת איפשר את שני הפרמטרים יחד, הרי, שכעת גם משתמש, שהתקשר מהעולם אל המערכת, יכול לבצע העברת שיחה.
כלומר, כל שאנו צריכים לעשות יהיה להתקשר לקו המוביל, להעביר את השיחה למערכת ה-Call Forward, ולבצע הפניית שיחה מאחת השלוחות למספר פרימיום מחוץ למערכת. זהו, פשוט, קל, זריז ולא מצריך שום קישור לאינטרנט.
לפני כשלושה חודשים נתבקשתי לחקור מקרה פריצה, שלאחר הבדיקה נמצא תואם לתסריט שתואר. הפורץ המתחכם אפילו דאג לבצע חיוג מרוחק מחו"ל אל השלוחה, כדי שזה יהיה אוטומטי. בתוך פחות מיום נגנבו מהלקוח מעל 8,000 ש"ח.
קשה מאוד לומר מה מקור הפריצה במקרים אלה, שכן מרבית הפריצות מבוצעות משרתים, שנפרצו בעולם, בייחוד אצל ספקי ה-Hosting הפחות טובים והפחות מעודכנים. שרותי אחסון בעולם אימצו את התוכנות הפתוחות בצורה גורפת, אך לא לכולם יש ידע מעמיק על מנת לנהל תשתיות אלו בצורה מאובטחת. כיום, אפשר לנצל גירסאות מסויימות של phpbb, אחד ממנועי הפורומים הפופולאריים ביותר באינטרנט, כמנוע ל-Botnet ועל ידי כך לפרוץ שרתים אחרים.
יעדי שיחה מועדפים – יחי הקומוניזם והדיקטטורה
בזמן שהותי ב-Humbug Telecom Labs, ביצעתי ניתוחים רבים ליעדי שיחה. באחד הניתוחים הופתעתי לגלות, כי Sao-Tome (אי אחד מתוך שנים, השייכים לרפובליקה הדמוקרטית של סאו טומה ופרינסיפה ממערב לאפריקה במפרץ גינאה מול גבון), הוא יעד חביב לגנבי השיחות, ככל הנראה מפעילים המוכנים לשתף פעולה בהונאות International Premium Rate. מהחקירות שערכתי בישראל נראה, שהיעדים החביבים בארץ הינם: הרשות הפלסטינאית (לא מפתיע), קוריאה הצפונית, לטביה ומולדובה.
קוריאה הצפונית כיעד הפתיעה אותי, כיוון שתהיתי: כיצד ניתן לבנות קשרים עסקיים עם ספק שיחות בקוריאה הצפונית? הרי זה לא יעד עסקי פשוט ונדרשת עבודה אמיתית בשביל לבנות את ההונאה הזו.
http://www.telecomnews.co.il/%D7%9E%D7%99-%D7%A4%D7%95%D7%A8%D7%A5-%D7%9C%D7%9E%D7%A8%D7%9B%D7%96%D7%99%D7%95%D7%AA-%D7%A9%D7%9C%D7%A0%D7%95-%D7%95%D7%9C%D7%9E%D7%94-%D7%AA%D7%95%D7%A6%D7%90%D7%95%D7%AA-%D7%9E%D7%A4%D7%AA%D7%99%D7%A2%D7%95%D7%AA-%D7%95%D7%9E%D7%A4%D7%97%D7%99%D7%93%D7%95%D7%AA.html
גירסת הדפסה
שלח לחבר
סגן המנהל
מפקח
עיתונאי
צל"ש
