Это вторая статья из цикла статей про безопасность 3CX. В ней мы обсудим опасную ситуацию, при которой возможны неавторизованные звонки за ваш счет. В первой статье Не станьте жертвой хакеров – 1. Сложные учетные данные мы обсуждали риски использования слабых учетных данных SIP добавочного номера. Теперь мы поговорим о типичных действиях хакеров после взлома – “бесплатных” звонках за ваш счет через ваши SIP-транки.
Конечная цель хакеров
После того, как мошенники получили доступ к добавочному номеру или SIP-устройству (телефону, шлюзу), они обычно ждут наступления ночи или выходных. Когда в офисе никого нет, они пробуют звонить на различные международные направления. Когда обнаружено открытое направление, они делают на него огромное количество звонков. Так выглядит телефонное мошенничество – фрод.
На номерах, куда делаются вызовы, подключены поддельные премиальные сервисы. Звонки попадает на IVR с каким-то записанным сообщением и удерживаются на нем максимально долго. Но какой в этом смысл?
Все просто – хакеры на этом зарабатывают. Они сами создают эти IVR у провайдеров, специализирующихся на подобных сервисах. При этом фродеры получают комиссию за каждый соединенный вызов или за минуту “разговора”. При подключении к премиум-сервису ваш оператор связи автоматически оплачивает указанную сумму провайдеру премиум-сервиса. В свою очередь, провайдер выплачивает комиссию владельцу сервиса (хакеру). А затем, в конце месяца, ваш оператор выставляет вам огромный счет за премиум-звонки – когда уже слишком поздно что-то предпринять!
Неавторизованные звонки – немного подробностей
Этот тип мошенничества называется International Revenue Share Fraud (IRSF) и используется в телекоме последние 30 лет. Но с распространением VoIP и современной автоматизации, это мошенничество вышло на индустриальный уровень. Убытки от него исчисляются миллиардами. Ассоциация Communications Fraud Control Association (CFCA) называет его самым популярным типом телефонного мошенничества с оборотом в 5.04$ миллиарда в 2019 г. (опрос Fraud Loss Survey). Пандемия COVID только ухудшила ситуацию.
Короче говоря, если ваша система стала жертвой фрода, ожидайте огромный счет – тысячи а то и десятки, сотни тысяч.
Открытые двери для воров
Рассмотрим различные ошибки настройки и неверные решения, которые приводят к телефонному фроду за ваш счет.
Непродуманные исходящие правила
Обратите внимание на слишком “демократичные” исходящие правила 3CX. Лучшая практика – иметь отдельные правила для международных и локальных номеров, причем международные направления должны быть максимально ограничены.
Интернациональный номер, в соответствии со стандартом ITU, в большинстве стран начинается с префикса + или 00. В некоторых странах, например, США, международный префикс 011. Поэтому следует создать исходящее правило именно с вашим международным префиксом “00,+” и тщательно продумать, какие пользователи или группы смогут его использовать. Их нужно явно перечислить в правиле через тире или запятую.
А локальные номера в большинстве стран начинаются с префикса 0 либо имеют фиксированную длину. Эти параметры также можно использовать в исходящих правилах.
Много разрешенных международных направлений
Теперь обратим внимание на список разрешенных международных направлений в разделе “Безопасность > Международные направления”. Следует оставить только те направления, которые реально необходимы. Никогда не разрешайте сразу все направления! Лучше, наоборот, все отключить и постепенно включать только то, что необходимо. По умолчанию для вызовов разрешена только та страна, которая была указана при установке сервера 3CX. Это позволяет максимально обезопасить систему прямо из коробки.
При звонке на международный номер система проверяет как наличие соответствующего исходящего правила, так и список разрешенных направлений, и только после этого пропускает вызов.
Однако будьте осторожны с международными номерами, которые набираются в нестандартном формате. Некоторые операторы пропускают такие номера без международного префикса. Например, номер 33123456789 у некоторых провайдеров без проблем дозвонится до Франции. Если ваш оператор пропускает такие номера, учитывайте это в исходящих правилах.
Замечание про американских операторов
Также обратите внимание на североамериканский план нумерации NANP, который часто используется в мошеннических звонках на Карибы. Все американские операторы пропускают звонки на эти территории как локальные. Например, вы можете позвонит в Доминикану на номер 18091234567, который система в США определит как локальный. С другой стороны, номера +18091234567 и 1118091234567 будут заблокированы, так как явно содержат префикс страны, который можно заблокировать.
Чтобы решить проблему с такой неоднозначностью, добавьте исходящее правило с соответствующими префиксами NAND и передвиньте его вверх списка правил. В правиле укажите префиксы через запятую и в разделе Маршрут укажите BLOCK CALL.
Защита на стороне оператора
Кроме различных настроек на стороне 3CX, многие VoIP-операторы предоставляют клиентам дополнительные средства обеспечения безопасности. Зайдите в свой аккаунт на сайте оператора и поищите следующие параметры:
- Ограничения вызовов по странам (установите аналогично настройкам 3CX)
- Предельное число одновременных вызовов через оператора
- Лимит средств и запрет автоматического пополнения баланса
- Уведомление на e-mail и автоматическое блокирование аккаунта при появлении подозрительных вызовов
Неавторизованные звонки могут создать большие проблемы – не станьте “козлом отпущения”!
Заходите на наш форум и делитесь своим мнением!
