SIP antifraud

SIP antifraud je počítačový program sloužící pro detekci, hlášení a případně i blokování VoIP podvodů^[1] zneužívajících protokol SIP. Používat ho nutně musí všichni velcí telefonní operátoři (CETIN, O2, T-Mobile, Vodafone). A to v pevných VoIP sítích i v mobilních sítích LTE, kde je hlas přenášen v režimu VoLTE s využitím protokolu SIP. Pouze výjimečně ho však provozují alternativní VoIP operátoři a prakticky nikdy provozovatelé privátních VoIP ústředen (firemních SIP-PBX). Přitom antifraudový SW má pro telefonní sítě stejný význam jako antivirový SW pro počítačové sítě^[2][3].

Velcí operátoři používají extrémně důmyslné, složité a drahé antifraudové SW (např. izraelského původu). Alternativní VoIP operátoři někdy provozují alespoň jednoduchý SW pro kontrolu telefonního provozu, většinou ale upřednostňují různé restrikce (blokování hlasové služby ze SIP telefonů registrovaných na zahraniční IP adrese, blokování hovorů do drahých zemí, ...) nebo jiné druhy ochrany (kreditní způsob úhrad hovorného, ...).

Varianty SW pro SIP antifraud

Podle místa provozu lze SIP antifraud rozlišit:

• na SW zabudovaný do řízení SIP ústředny
• na SW kombinovaný se SIP firewallem
• na SW navazující na tarifikaci hovorů
• na samostatně provozovanou aplikaci
• na externě poskytovanou telefonní službu

Podle komplexnosti lze SIP antifraud rozlišit:

• na kontrolu pouze podvodných drahých hovorů do zahraničí (případně i hovorů na drahé prémiové služby)
• na kontrolu mnoha druhů telefonních podvodů (hovorů do zahraničí nebo na prémiové služby, prodlužování délky hovorů, falšování čísla volajícího, ...)

Podle reakce na podvody lze SIP antifraud rozlišit:

• na SW sloužící pouze k signalizaci a další reakci ponechávající na personálu operátora
• na SW zajišťující automatické blokování podvodných hovorů (souběžně se signalizací)

Podle analyzovaných dat lze SIP antifraud rozlišit:

• na kontrolu CDR záznamů prováděnou následně až po ukončení hovoru^[4]
• na kontrolu SIP signálů (např. žádostí INVITE) prováděnou v reálném čase před zahájením hovoru^{[3][5][6][7][8]}

Analýza CDR záznamů

CDR záznamy jsou starší, avšak nadále užívaný způsob kontroly telefonních podvodů. Zkratka CDR, z anglického Call Detail Record, znamená záznam o podrobnostech hovoru. Výhodou je nezávislost na principu telefonní technologie (např. v heterogenních sítích s různými TDM signalizacemi nebo VoIP protokoly). Výhodou je i snadnější napojení antifraudového SW na telefonní ústředny pomocí textového souboru nebo databázové tabulky (např. při použití antifraudového SW od externího dodavatele). Nevýhodou je, že kontrola nemůže být prováděna už na začátku volání, ale až po ukončení hovoru. K zablokování podvodných hovorů pak musí být buď vytvořena speciální zpětná vazba do telefonní ústředny nebo je ponecháno na manuálním zásahu pracovníků operátora.

Analýza SIP signálů

SIP signály jsou novější formát vstupních dat pro kontrolu VoIP podvodů. Vhodný jsou pro homogenní sítě využívající pouze protokol SIP. Výhodou je možnost provádění kontroly telefonních podvodů hned na začátku každého volání. Výhodou je blokování podvodných volání v reálném čase, tj. okamžité odmítnutí žádosti o podvodný hovor bez nutnosti speciální zpětné vazby. Další výhodou jsou širší možnosti analýzy podvodů využívající veškerý obsah SIP protokolu, který není v následně generovaných CDR záznamech k dispozici. Nevýhodou je složitější začlenění antifraudového SW do provozované telefonních ústředen, zejména u antifraudového SW od externího dodavatele.

Potřeba SIP firewallu

SW typu SIP antifraud není samospasitelný, vždy ho je nutné kombinovat s dalšími technickými i organizačními metodami ochrany proti VoIP podvodům. Stejně jako privátní LAN musí být od veřejného internetu oddělena datovým firewallem, měla by VoIP technologie vždy být chráněna SIP firewallem. Protože ten je hrdlem, přes které prochází všechny příchozích i odchozích hovory, je ideální pro umístění antifraudového SW, který tak může v reálném čase analyzovat všechny SIP žádosti INVITE a případně odmítat pokusy o podvodné hovory. SIP firewall je tak ideální pro umístění a provoz SIP antifraudu.

Principy SIP antifraudu

Žádný princip není schopen rozpoznat všechny druhy VoIP podvodů. Kvalitní antifraudový SW má proto kombinovat více druhů restrikcí a kontrol (má být multikriteriální). Největší hrozbou jsou podvodné zahraniční hovory na drahá čísla (do exotických zemí, na zahraniční prémiové služby, ...). Mezi hlídané hovory má být možné zahrnout i volání na drahé tuzemské služby (soutěže, horoskopy či věštírny, erotické linky, ...). Kvalitní antifraudový SW má zároveň umožňovat individuální výjimky (pro určená čísla volajícího, volaného, ...) z plošně prováděných kontrol (zcela zakázat zahraniční hovory, povolit drahé hovory, ...).

Oprávnění k zahraničním hovorům

V pobočkových ústřednách není důvod, aby všichni mohli volat do zahraničí (případně i na tuzemské prémiové služby). Nemalá část interních čísel může mít trvale blokovány zahraniční hovory (např. úklidová četa). U telefonů s oprávněním pro zahraniční hovory je navíc vhodné zahraničí blokovat mimo pracovní dobu společnosti či organizace (např. v noci i ve dnech volna). V privátní PBX o takovém oprávnění rozhoduje společnost. V každé veřejné VoIP ústředně existuje nemálo účastníků (zákazníků), kteří nemají žádné důvody či zájem volat do zahraničí. Ti mají mít možnost, aby si u svého VoIP operátora požádali o zablokování všech zahraničních hovorů. U veřejné služby si o tomto oprávnění rozhoduje sám účastník. Trvalé blokování hovorů do zahraničí lze konfigurovat přímo ve VoIP ústředně nebo v SIP antifraudu. K časově řízenému blokování zahraničních hovorů pouze mimo pracovní dobu může sloužit SW analyzující SIP žádosti INVITE. K trvalému nebo přechodnému blokování zahraničí nelze využít SW analyzující CDR záznamy.

Zvláštní kapitolou jsou nepoužívaná telefonní čísla, ty samozřejmě mají mít blokovány všechny tuzemské i zahraniční hovory. Zapomenutá čísla bývají častým prostředkem VoIP podvodů.

Kontrola zdroje žádostí o hovory

Odesílatel SIP žádosti o hovor (telefon, brána, ústředna, ...) má zpravidla konstantní IP adresu, která je odesílatelem SIP žádosti INVITE. Pouze SW telefon může občas adresu změnit (např. telefonní klient v notebooku, tabletu nebo mobilu). Žádosti o hovor od stejného volajícího proto musí přicházet buď ze shodné adresy a případné změny adres nemohou být nijak překotné. Žádosti o hovor následující bezprostředně po sobě určitě nemohou střídat různé země či kontinenty. V takovém případě je volající číslo ukryto za různé služby VPN, což je taktika typická pro pokusy o podvodné hovory. Totéž platí pro žádost o registraci SIP telefonu na jeho ústřednu (pro zdroje IP žádosti REGISTER). Ke kontrole zdroje posloupnosti žádostí o hovory či o registrace nelze použít SW analyzující CDR záznamy.

Kontrola IP adresy zdroje žádostí o hovory nebo o registrace je vhodná pouze při kontrola SIP signálů přicházejících přímo od SIP telefonů. Nemá smysl pro kontrolu SIP signálů přicházejících po SIP svazku, neboť jejich zdrojem je vždy konstantní IP adresa protější SIP ústředny.

Kontrola původu zahraničních volání

Původ volání lze analyzovat pomocí kontroly vzdálené IP adresy zdroje SIP žádosti INVITE a pomocí kontroly IP adres obsažených v těle SIP signálu. SIP antifraud pak může fungovat v režimu white-listu (kontroly přítomnosti jen povolených IP adres) nebo v režimu black-listu (kontroly nepřítomnosti zakázaných IP adres). Režim white-listu lze dobře uplatnit u privátní PBX se SIP telefony na IP adresách užívaných danou společností či organizací. Nebo také u veřejné VoIP ústředny s poskytováním služby omezeným pouze na zákazníky s IP adresami přidělenými VoIP operátorem. Režim black-listu pak může dobře využívat rozsahy IP adres získané provozem SIP honeypotů. V obou režimech je vhodné, aby SIP antifraud nabízel možnost výjimek (např. pro SIP telefon osob pracujících mimo firemní LAN nebo zákazníků VoIP služby cestujících mimo síť operátora). Ke kontrole původu zahraničních volání nelze využít SW analyzující CDR záznamy.

Kontrola IP adresy zdroje SIP žádosti má význam především u žádostí INVITE přicházejících ze SIP telefonů. SIP svazky mívají zpravidla pevně určenu IP adresu druhé strany a SIP signály z jiných IP adres ignorují. Kontrola vzdálené IP adresy také nemá význam, pokud protější strana SIP svazku funguje na principu B2BUA (např. je-li chráněna SIP firewallem). Pokud je však VoIP podvod veden přímo vůči dané SIP ústředně nebo přes VoIP zařízení fungujícího jako SIP proxy, pak je kontrola původu volání velmi účinná.

Kontrola cíle zahraničního volání

Z privátních PBX směřují hovory vždy jen do omezené skupiny zemí. Podobně i z veřejných VoIP ústředen odcházejí hovory jen do nevelké skupiny zemí. Přitom zahraničních cílů hovorů (zemí a operátorů) jsou stovky. Z velké části je tvoří malé exotické a zpravidla drahé země či regiony, kam nikdo nevolá. Navíc i v zemích, které jsou typickým cílem hovorů často existují drahé subsítě (prémiové služby, zámořské destinace, speciální sítě, ...). Přitom z provozu SIP honeypotů vyplývá, že právě to všechno jsou časté cíle VoIP podvodů. Kvalitní SIP antifraud proto má povolit hovory jen do definovaných zemí, a to s definovatelnými výjimkami. V privátní PBX může povolené zahraniční hovory určit vedení společnosti. U veřejné VoIP služby je rozsah povolených cílů volání (tj. zemí a jejich výjimek) dán statistikou telefonního provozu a znalostí nákupních cen hovorů. Hovory do nepovolených zemí nebo případně na blokované služby v povolených zemích jsou odmítnuty už po SIP žádosti INVITE. Ke kontrole cílů volání proto nelze dobře využít SW analyzující CDR záznamy.

Rozpozná-li SIP antifraud volání na blokovaný cíl hovoru, je vhodné prověřit, zda náhodou nešlo o reálný hovor. Pokud ale VoIP operátor dobře pracuje se statistikou zahraničního provozu (tj. má dobře nastaven rozsah povolených cílů volání), pak je většina blokovaných hovorů buď chybou v čísle volaného (např. tuzemského volání, který se omylem stalo pokusem o exotický zahraniční hovor) nebo právem blokovaný pokus o VoIP podvod. Statistika zahraničních hovorů je vedlejším efektem kontroly cílů volání a poskytuje ji SIP antifraud.

Kontrola souběhu zahraničních volání

Počet souběžných zahraničních hovorů závisí na denní době. Navíc má jiný průběh v pracovní den a v den volna. Hodnoty platící za normálního provozu jsou pak v průběhu VoIP podvodu překročeny. SIP antifraud proto může trvale kontrolovat počet souběžných zahraničních hovorů a porovnávat je s limitem platným pro danou denní dobu pracovního dne či dne volna. Resp. blokuje a nebo signalizuje pokusy o větší počet zahraničních hovorů, než je pro danou denní dobu povolené. Statistika souběžně probíhajících zahraničních hovorů je vedlejším efektem jejich kontroly a poskytuje ji SIP antifraud. Ke kontrole souběhu zahraničních volání lze využít i SW analyzující CDR záznamy (se zpožděním specifickým pro použitý SW a bez možnosti odmítat přespočetné žádosti o hovor).

Za výjimečných okolností (mimořádné akce či události nebo na Nový rok) může dojít k falešnému odmítnutí přespočetného hovoru. V takových případech bude zpravidla povolen opakující se pozdější pokus o daný hovor. SIP antifraud má navíc poskytovat nikoli jenom denní profily středního počtu zahraničních hovorů, ale taky směrodatné odchylky těchto údajů. Provozovatel SIP antifraud pak může určit vhodné denní průběhy max. počtu souběžných zahraničních hovorů.

Kontrola opakování zahraničních hovorů

Pro podvodná zahraniční volání je charakteristické opakování shodných či podobných hovorů. Bývá u nich shodné nebo podobné číslo volajícího a nebo číslo volaného. Základním principem antifraudového SW proto je kontrola opakujících se zahraničních hovorů. Tato metody bývá základem SW analyzujícího CDR záznamy. U každého ukončeného zahraničního hovoru je v CDR záznamech kontrolován výskyt stejného či podobného čísla volajícího i volaného (za posledních 60 min, 8 hod, 1 den, ...). Metoda je samozřejmě použitelná i v SW analyzujícím SIP signály. Zde kontrola navíc probíhá už při zahajování nového zahraničního volání a pokud počet opakujících se podobných hovorů překročí povolený počet (za stanovenou dobu), pak může být každý další pokus o hovor automaticky odmítnut.

Kontrola parametrů zahraničních hovorů

Běžný telefonní provoz (chování skutečných účastníků) má několik typických vlastností. Např. úspěšnost volání (podíl počtu hovorů ku počtu volání), dobu do přihlášení volaného a délku vlastního hovoru. Ze statistiky zahraničních hovorů lze získat průměry i rozptyl těchto parametrů. Vlivem podvodných zahraničních hovorů pak dojde k výrazné změně sledovaných parametrů. Tato metoda je dobře použitelná v SW analyzujícím CDR záznamy i SIP signály. Dalšími sledovanými parametry mohou být relativní entropie (změna míry neurčitosti) výskytu SIP signálů zahraničních hovorů. Využít lze poměry různých druhů souvisejících SIP signálů (např. ACK navazující na INVITE). Vlivem podvodných zahraničních hovorů pak dojde k výrazné změně sledovaných entropií. tato metody je použitelná jen v SW analyzujícím SIP signály.

Nevýhodou kontroly obou druhů parametrů zahraničních hovorů je, že dokáže podvod detekovat ale nedokáže podvodné hovory selektivně zablokovat. Další nevýhodou této metody je zpoždění, se kterým se podvodné hovory projeví změnou některé statistické veličiny.

Kontrola typických znaků podvodů

Pro různé typy VoIP zařízení jsou typické vlastnosti jimi odesílaných SIP signálů (nejenom obsah položek "User-Agent" i "Server" a parametrů "o" i "s" v SDP části). Např. typická skladba a pořadí položek SIP signálů, typická délka a hodnota položek SIP signálů, ... apod. Totéž ale platí i pro SW používané k VoIP podvodům. Provozem SIP honeypotů lze mimo jiné získat znaky (fingerprints) typické pro různé varianty podvodných SIP žádostí INVITE. Antifraudový SW analyzující SIP signály pak může všechny přijaté žádosti INVITE kontrolovat, zda se jejich skladba či obsah neshoduje s žádostmi o podvodné hovory. Podvodné SIP žádosti INVITE pak mohou být v reálném čase automaticky odmítnuty. Ke kontrole znaků typických pro podvody logicky nelze využít SW analyzující CDR záznamy. Tento důmyslný princip je však neúčinný, pokud SW pro generování VoIP podvodů používá strukturu a vlastnosti okopírované z některého typu SIP telefonu či ústředny.

Reference

1. NGUYEN, Jan. Podvody (fraudy) v telekomunikačním provozu. dspace.cvut.cz [online]. Dostupné online. 
2. FIŠER, Ivo. VoIP podvody - hovory do zahraničí. indico.csnog.eu [online]. Dostupné online. 
3. FIŠER, Ivo. Netypický, nebo snad typický útok na VoIP zařízení za neveřejnou IP ?. Root.cz [online]. 2020. Dostupné online. 
4. PROCHÁZKA, Aleš. Systém pro detekci zneužití SW PBX Asterisk. dspace.vsb.cz [online]. Dostupné online. 
5. KUCKIR, Alexandr. Detekce útoků na VoIP s pomocí NetFlow dat. is.muni.cz [online]. Dostupné online. 
6. PINDA, Ondřej. Detekce bezpečnostních hrozeb a jejich eliminace v IP telefonii. dspace.vsb.cz [online]. Dostupné online. 
7. PINDA, Ondřej. Zvýšení zabezpečení VoIP serveru. dspace.vsb.cz [online]. Dostupné online. 
8. ŠAFAŘÍK, Jakub. Distribuovaný systém klasifikace útoků pro VoIP infrastrukturu využívající protokol SIP. dspace.vsb.cz [online]. Dostupné online. 

Související články

• VoIP telefonie
• VoIP poskytovatel
• SIP protokol
• SDP protokol
• IP telefon
• VoIP podvod
• SIP firewall
• SIP honeypot

Portály: Internet