Взломали сервер и слили телефонный трафик на приличную сумму

[Vlad-1976]

Схема взаиморасчетов РТТ и другого оператора мне не известна, допустим что она безвозмездна по причине двунаправленности.

Генерация трафика китайцами привела к доп. расходам других. Сумму попадалова образмерить реально. Они не тырили деньги явно, но подставили на деньги. И логично что имея желающих позвонить на кубу при нулевой себестоимости трафика через взломанный астериск - они заработали. Или это и есть проблема связать эти моменты?

[Andrei]

и где тут китайзы ??

Китайцы-взломщики пропустили чей-то трафик через эту дыру за толику малую. И кто-то получил возможность пропустить этот трафик через эту дыру с помощью китайцев, заплатив им наверное на порядок меньше, чем реально стоит этот трафик.

[anso]

Семён семёныч!!!! ...
я понял! ктиаёзы использовали взломанную станцию как терминатор своего! воип трафика
странно что так избирательно только куба? но кто их знает
только как вы найдёте откуда шёл воип?
будет какойто айпишник скорее всего левый обратных номеров нет
но вообщем
это уже не наша проблема
но как вы откажетесь платить своему контрагенту?
звонок был вы услугу заказали вы её и получили
или как вор в квартиру залез, с вашего телефона позвонил
и всё ?флаг в руки оператору иди ищи вора?

[Vlad-1976]

по сути я не совершал вызовы - вызовы инициировали китайцы
т.е. воспользовались моей карточкой и в банкомате сняли деньги или воспользовались моим авто и ограбили на нем магазин
Воип шел с определенного IP адреса . IP адрес принадлежит китаскому телекому. Разыскать владельцев при желании реально.

[AlexBT]

Не изобретайте лишних сущностей.
Выгодоприобретатель тот, кто использовал взломанный ресурс.

[Andrei]

У нас так же "влетали" клиенты, правда на меньшие суммы (до $800). Взломы или попытки взломов были с разных адресов - с итальянских, со штатов, с канады. Трафик всегда шел на какую-нибудь экзотику типа Сьерра-Леоне, сотовые Мозамбика, Афганистан и т.п.. Даже сохранились логи как подбирали пароли. :)

[Связной (С)]

взломщики пропустили чей-то трафик через эту дыру

Обратная сторона медали (ВоИП).

воспользовались моей карточкой и в банкомате сняли деньги или воспользовались моим авто и ограбили на нем магазин

Для этого нужны действия от себя в первую очередь (как минимум заявление).

типа Сьерра-Леоне, сотовые Мозамбика, Афганистан и т.п..

Туда ценник не самый дешевый. Может так мировая экономика поддерживается?

[Andrei]

т.е. воспользовались моей карточкой и в банкомате сняли деньги

У меня такое было - по карточке сняли деньги в банкомате в Европе, хотя я сам с карточкой в это время находился в в России, а в Европе вообще никогда не был. Несмотря на заявление, банк деньги возвращать отказался, в милиции дело возбудили, но потом закрыли - "висяк". Согласен, что это обратная сторона высоко-технологичных продуктов. :(

[dogmeat1982]

... банк деньги возвращать отказался, в милиции дело возбудили, но потом закрыли - "висяк".

Обидно
Ладно если сумма не большая. Хотя для кого как, для кого то может и 1000р. это крайне ощутимая потеря.

[Andrei]

Ладно если сумма не большая. Хотя для кого как, для кого то может и 1000р. это крайне ощутимая потеря.

Сумма была около 21 тыс.руб., но это было года 3 назад, она тогда была весьма ощутима.
Как защититься - не знаю. :(
Банк - Челиндбанк (г.Челябинск). Снятие денег было в банкомате города Пловдив (Болгария), подряд в несколько приемов (очевидно был лимит на одно снятие). Сняли все до неснимаемого остатка. Мы заметили это на следующий день после снятия, т.к. СМС-информирования об операциях нет. Карточку банк сразу изъял. Деньги в тот момент еще не были списаны с нашего счета, а только заблокированы для последующего перевода по международной системе Visa.
Наши обращения в банк с просьбами отказать в этих транзакциях пока деньги еще не ушли со счета ни к чему не привели.
Потом, когда уже шло расследование в рамках возбужденного уголовного дела, мы просили милицию по нашему заявлению направить запрос в Пловдив, чтобы тамошний банк сохранил видео из банкомата, где зафиксировано снятие денег (видео в большинстве банкоматов пишутся, но хранятся недолго, обычно 1-3 месяца). Милиция проковырялась в носу, никаких запросов не отправила. Потом просто прислали отписку, что дело приостановлено в связи с невозможностью установить злоумышленников. А потом и вовсе закрыли за истечением срока.
Причем, что интересно - деньги были сняты только после того, как на карточке скопилась хоть сколько-нибудь значимая сумма. Карточка была дебетовая зарплатная, в те годы обычно зарплату сразу снимали, а тут решили подкопить на погашение кредита. Отсюда еще одно подозрение - на соучастника в инсайде банка, т.к. баланс по такой дебетовой карте можно посмотреть только в банкомате банка, выпустившего карту. Т.е. в банкомате Пловдива этого посмотреть было нельзя, а по заявлению банка запросов баланса по карте через банкоматы Челиндбанка не было.

[MNOGO]

Милиция проковырялась в носу,

Пишите прокурору, им работу найдёте.

это обратная сторона высоко-технологичных продуктов.

эта оборотная сторона позволяет легко отследить действия человека и составить "профиль" мошенников.
Информацию могли просто "хакнуть" из банка, но деньги снимают не роботы а люди, а люди оставляют следы.
Просто милиции наплевать на деньги народа, она кормится из рук "хозяев".

[dogmeat1982]

Тема заглохла, а жаль. Т.к. и тут и там слышны звуки разрывающихся снарядов, война еще не окончена, имхуется мне, что основной натиск voip-мошенников еще впереди!

схема бесплатного слива трафика посредством взлома очевидна, трафик слили но ничего не заплатили. выгодоприобретатель очевиден.

Кстати, по поводу выгодоприобретателя. Конечно же он не так очевиден, как кажется г-ну Vlad-1976! Ктонибудб обратил внимание на тот факт, что трафик через взломанные IP-АТС идет не в Германию или США, а в страны 3-го мира (Сомали, Босния и Герцеговина, Зимбабве и пр.)? Причина кроется в том, что в этих странах оператор МН на 90% монополист и гадать через кого пройдет трафик нет причин, т.к. мы всегда в курсе кто терминирует трафик в стране 3-го мира и остается только заключить с ними договор на инициацию, за которую этот монополист в стране 3-го мира готов платить. В подтверждение сказанного могу доложить, что есть опыт ловли трафика злоумышленников на tcpdump на тестовой Asterisk выставленном в Интернет с "голым задом" как раз с этой цель. Знаете что там? Там белый шум. Там нет деловых переговоров или чего-то контрпропагандистского голосового спама, там вообще нет речи - там тишина и шум!!! Звонки по своей сути вырожденные и предназначены только для мотания счетчиков минуток. Вот теперь выгодоприобертатель очевиден, НО неуловим.

У Управлений "К" по регинам были свои сайты с формой обращения.
Свяжитесь с ними для ускорения.
Им самим интересно раскрутить дело.

Не совсем. Есть опыт общения по данному вопросу. Только если сумма ущерба начинается от $100К и выше, иначе никто не будет посылать запросы в Интерпол с целью поиска ночного пожирателя пончиков и кофе, которого сама жизнь доконает быстрее, чем его найдут эти ребята и смогут с него что-то выцарапать, чтобы и пострадавшим вернуть и самим в накладе не остаться. Может теперь что-то поменялось.

Ну, какие новости по теме?

[Andrei]

Звонки по своей сути вырожденные и предназначены только для мотания счетчиков минуток.

Это как раз очевидно.
И на счет того, что шансы найти кого-либо минимальны - вы тоже правы.
Подвижек нет, т.к. ИМХО это не мейнстрим для "органов". Не интересно им это, а риск получить "глухаря" вполне очевиден.
А попытки взлома и сейчас фиксируем почти каждый день.

[dogmeat1982]

А попытки взлома и сейчас фиксируем почти каждый день.

С помощью каких критериев и инструментов фикисируете попытки. На какой стадии успеваете их пофиксить и пресечь прокачку?
Предлагаю раз нет подвижек в методах разбора полетов и вся нагрузка на юзерах, поделиться опытом в методах предупреждения ситуаций.
Что делаем мы? Мы раз в 1-5 мин считываем кол-во МН вызовов. Контролируем коли-во, длительность отдельно взятых и всех вместе, кол-во уникальных номеров А и Б, кол-во успешных и неудачных попыток. На основе эмпирического исследования есть данные о характере нормального МН трафика и характерах всплесков аномальной активности. Чаще всего проявляется в уникальных номерах А и Б признаки взлома, когда с одного и того-же номера идут попытки установить сразу N соединений на один или несколько МН номеров. Но это пост-мера, когда по факту абонентское оборудование уже взломано и с него идут попытки иницииации. Тем не менее данный метод позволил предупредить не менее 2-х десятков взломов на уровне 1-5 т.р. ущерба по трафику.

[Andrei]

На какой стадии успеваете их пофиксить и пресечь прокачку?

Нас еще ни разу не удалось взломать. Есть только попытки.
Ломали клиента, но на него было ограничение на 4 исх.звонка одновременно. Взломали клиента в 4 ночи, обнаружили в 8 утра, увидев нехарактерный для этого клиента трафик, и сразу закрыли.

Что делаем мы?

У нас нет тех.средств, позволяющих такое сделать

[AlexandrM]

http://kad.arbitr.ru/Card/2943fb71-bc62 ... b6cd8a4ff5
что же скажет кассационная инстанция...

[dogmeat1982]

Внимание!!! Будьте бдительны коллеги!
Заметил существенные изменения в характерах прокачек по МН направлениям.
1. Прокачивают одинарными звонками по 600 сек. Т.е. одновременно по 2-3 и более не заряжают и длительность ограничивают 10ю минутами;
2. Направления спутниковых сетей - дорогие - 200 и более рублей минута;
3. Сегодня двоих приделали днем (с 15 до 17 по Москве)! Т.е. видимо поменялась немного география злоумышленников и соответственно временные рамки опасносте.

[Wanderer]

-

[Связной (С)]

что же скажет кассационная инстанция...

А67-5425/2011
Направить дело в суд первой инстанции

Ждемс...

[dogmeat1982]

К теме о бдительности и методах противодействия. Мне довелось обменяться с несколькими операторами Свердловской обл. списками ip-адресов, с которых был замечен паразитный сигнальный трафик (попытки взлома и "прокачек" VoIP-систем). Все адреса /32 - хосты, их около тысячи. Понятное дело, что 1К /32 адресов, запихнутых в настройки FireWall практически ничего не решают, но:
1. Снижают риск;
2. Есть у меня мысль превратить этот список из /32 в список сетей, выделенных организациями уровня IANA, APNIC и пр., но не хватает знаний в этой области. Поскольку адреса чаще всего принадлежат странам с которыми 146% нет и не планируется прямого VoIP-взаимодействия, то можно смело вносить их сетями в бан-листы FireWall на SBC.
В связи с этим выкладываю список с целями:
1. Поделиться информацией;
2. Быть может кто-то сможет превратить список из /32 в более, так скажем, правильный или поделиться таким готовым.
"Один за всех, все за одного!", - и так мы значительно снизим риски взлома как операторских систем, так и клиентских.