Как благодаря ошибке Google удалось раскрыть международную сеть мошенников

Всем привет! В статье речь пойдет о хакерах, мошенниках, лже-операторах связи и их жертвах. Интересно?

Позвольте представиться: Валентин — ведущий инженер в организации, являющейся оператором связи. Моя специализация — разработка решений в области IP-телефонии.

Недавно, в выходные, взломали 2-х наших клиентов, причинив им убыток примерно в 30 000 р. каждому.

Как взломали:
В первом случае, получив доступ к файловой системе астериска клиента, украли учетные данные для звонков через наш шлюз. Звонили с IP 46.0.12.13 (Самара).

Во втором — у клиента стоит АТС Panasonic 1232 с включенной по умолчанию функцией DISA, которая позволяет любому, при звонке из города, просто нажав 9-ку, донабрать любой номер, в том числе международный.

Ну взломали и взломали, с кем не бывает!
Но нужно разобраться почему, во первых, Все наши рубежи защиты (Fail2ban, биллинг, радиус...) вообще позволили клиентам уйти в минус. А во вторых — зачем взломщикам звонить в выходные ночью на один и тот-же номер +37258982200 в Эстонию (примерно 100 звонков по 20 минут)?

Начали разбор с чего попроще — решили добавить эстонский номер в черный список, а заодно узнать — зачем туда нужно было кому-то звонить. Уже понимали, что подобные номера используются мошенниками для организации на них большого количества входящих вызовов. Это для обычного абонента во всем мире входящий звонок бесплатный. Однако, такой звонок отнюдь не бесплатен для его оператора — он ВЫГОДЕН! Размер этой выгоды зависит от местонахождения вызывающей стороны — чем дальше, тем дороже, в общем случае.
Итак, любой входящий международный звонок приносит Вашему оператору доход. Этот доход оператор получает официально в соответствии с заключенными межоператорскими договорами. Операторы — компании с лицензиями, не однодневки. Как же им удается и вообще хватает наглости создавать сети по взлому телефонных станций по всему миру?!

Но обо всем по порядку.

Мы с коллегой решили немножко порасследовать эту тему, имея на руках номер дозвона в Эстонии — +37258982200. Забиваем в Яндекс — пустота. ОК, а что же скажет нам дядюшка Гугол? Эврика! 2 результата поиска — спаммерская страничка с 100500 номерами подряд ниочем, и сайт некоего Merilin Telecom.

Ага — идем на мерилин телеком ^[1] — с виду приличный иностранный оператор, какие-то услуги связи… Ну ладно, регистрируемся на сайте в качестве партнера и в личном кабинете уже получаем МАТРИЦУ — от куда звоним, куда, стоимость за минуту на руки! То есть эти «молодцы» предлагают любому индийцу, например, позвонить с рабочего телефона в Америку и за каждую минуту получить 0.1 доллара. Если с работы звонить неудобно — взломайте любого и звоните! Вы можете находиться в любой стране мира, из которой можете взломать телефонную систему кого-то в другой стране и начать с нее звонить на определеные номера, подконтрольные Мерлин-телекому в третью страну. Интересно, кто будет Вас ловить, если Вы из Индии взломали Астериск в России и назвонили в Эстонию?

Да, чуть не забыл! При чем же здесь ошибка Гугла? А при том, что попав на посадочную страницу, мы не нашли там искомый номер. Однако, на ней был указан другой тестовый номер в Эстонии — «рядом» с нашим. То есть Гугл нам выдал устаревшие данные — только благодаря этому мы и узнали о сайте Мерлин-Телеком.

Ладно, копаем дальше.

На какие направления Мерлион-Телеком принимает вызовы из России — не только же там Эстония! Вот скриншот (страны приземления, диапазоны номеров, стоимость за минуту на руки).

Хорошо, можно эти диапазоны добавить осторожно в черный список.
А как дела у Мерлина в нашей Раше? Предлагается ли кому-либо звонить из Мира В Россию? О да! Вот новый скриншот.

Ну, откуда к нам звонят — не так интересно. Есть диапазон номеров в России — Russia ( 795 8) (79585388906) — есть с чем работать нашей команде сыщиков! 958 — это зоновая связь, используемая в России мобильными операторами. Идем на сайт Россвязи в раздел Реестра номерной емкости ^[2].
Вколачиваем наш тестовый номер 958 5388906 и находим оператора!

Найдено записей: 1
Код; Диапазон; Емкость; Оператор; Регион
958; 5387000 — 5389999; 3000; ФЕБО Телеком; Москва

А какие номера еще закреплены за ФЕБО Телеком? Да никаких — только эти, зоновые.
А какие лицензии выданы ФЕБО Телеком? Может быть это уважаемый оператор сотовой связи?
Идем на сайт Россвязи в раздел Реестра лицензий в области связи ^[3]

Вбиваем ФЕБО Телеком и в ответ получаем 2 записи:

1. Номер лицензии 106144 от 14.12.2012 — Услуги местной телефонной связи, за исключением услуг местной телефонной связи с использованием таксофонов и средств коллективного доступа. Территория действия — РФ.
2. Номер лицензии 106143 от 14.12.2012 — Услуги подвижной радиотелефонной связи. Территория действия — Москва.

О как! У нас в Москве появился четвертый сотовый оператор — мощный игрок с 10 000 рублей уставного капитала и 3 000 закрепленных номеров. Скоро грядет передел рынка сотовой связи Москвы — поверьте!

Серьезно, зачем оператору с уставным капиталом 10 000 рублей номера, которые используются мобильными опсосами? Правильно — только для приема входящих извне России. А как же деньги доходят до взломщиков — тех, кто инициирует звонки на данные номера? Скорее всего следующим образом:

1. За входящий вызов ФЕБО Телеком получает оплату от присоединяющего оператора — какого-нибудь крупняка типа Ростелекома, МТТ.
2. Вырученные средства нужно поделить между учредителями ФЕБО Телеком и партнером — Merlion Telecom, Singapore. Каким образом перевести деньги — на выбор: либо с валютного счета ООО безналичным переводом за какие-нибудь маркетинговые услуги (официальный путь), либо обналичить и со своей карты перевести на их карту.
3. Merlion Telecom производит вывод средств своим партнерам-хакерам.
4. Хакеры взламывают чью-то телефонную систему, например, в Израиле и жертва оплачивает звонок в Россию своему оператору связи.
5. Деньги от израильского оператора по цепочке операторов-посредников (все законно!) поступают присоединяющему оператору из п.1

Круг замкнулся!

Можно ли обвинить в чем-либо руководство ФЕБО Телеком? В мошенничестве, участии в международной преступной группировке? Наверное, нет — слишком сложно доказывать, да и кому это нужно?! Но в плане нарушения Закона о связи, условий лицензий — вполне. Действительно, кому может и должен оказывать услуги оператор связи? АБОНЕНТАМ! Это указано в условиях лицензий на местную связь и на подвижную связь. Если наш подзащитный ведет деятельность в области электросвязи, а он ведет, так как получает перечисления от операторов, то у него должно быть какое-то количество абонентов, пользующихся номерной емкостью на основании вышеуказанных лицензий. По условиям лицензии на местную связь данную емкость подключить фиксированным абонентам нельзя. Может быть у ФЕБО есть база мобильных абонентов? Думаю, нет. У ФЕБО Телеком даже сайта нет (febo.mobi — это липа, ИМХО).
Мы считаем, что страна должна знать своих героев — это предприниматели, умеющие делать деньги из воздуха — БОРОНАХИН (Генеральный директор, учредитель ФЕБО Телеком, 50%) и ФЕОФАНОВ (учредитель, 50%). Для тех кто жаждет всех подробностей — ЕГРЮЛ ^[4]. Чтобы не ошибиться, вбивайте ОГРН — 1127746628130. Конечно, никого из нас с Вами, россияне, эти двое не обокрали — их номера пищат «занято» при звонке из России. Однако, гражданам Израиля, Южной Африки, Индии, Нидерландов, США, Австралии, Испании, которых взломали неизвестные хакеры и «налили» телефонного трафика на российские номера ООО ФЕБО Телеком, от этого не легче.

Способ борьбы с предположительно мошеннической компанией.

1. Сбор доказательств. Нужно выяснить, с какими операторами заключены договора о присоединении у ФЕБО Телеком. Если среди читателей данной статьи есть возможность поискать среди контрагентов своего телекома эту фирму и Вы ее там увидите, все участники рынка услуг связи Вам будут благодарны за раскрытие такой информации. Факт регулярных платежей в пользу ФЕБО Телеком докажет наличие деятельности в области электросвязи. Одновременно отсутствие абонентской базы (предположительное) подтвердит нарушение условия лицензий и Закона о Связи.
2. Подача жалобы в надзирающий орган в сфере связи о нарушениях. Идеально, чтобы такое заявление подал их присоединяющий оператор. Действительно, что такое — входящие звонки на номера из-за границы есть, а из России — нет, точнее отбиваются.

Понимая, что нашу проблему, когда взламывают россиян, мы немного задвинули в сторону, вернемся.

Каким образом бороться с такими Мерлин-Телекомами, которых в мире могут быть десятки? Нам с коллегой пришла идея стартапа — глобального сервиса, предоставляющего операторам связи возможность пользоваться общей базой СТОП-номеров.

Режимы работы с базой данных:

• Проверка номера (в международном формате). Например, на запрос о наличии номера 79585388906 в списке, получим ответ — Да!!!
• Добавление номера в СТОП-лист.
• Удаление номера из СТОП-листа.

Разработаем API для доступа к общей базе и сможем в реальном времени для каждого международного звонка, проходящего через, например Астериск, запускать AGI-скрипт с проверкой набранного номера на наличие в СТОП-листе.
Вести такую базу планируем на взносы от пользователей — операторов связи. Оплачивается безналичным переводом и позволяет установить наличие лицензии у компании, которую представляет пользователь системы. Для иностранных операторов процедура аналогичная.
Проект ^[5] размещен на платформе коллективных инвестиций VCSTART.COM. А сайт проекта — STOPLIST.SUPPORT ^[6] — welcome! Сейчас там
тестовый стенд по наладке будущего API. Можно задать имя пользователя и получить пароль. По юзеру и паролю входим в систему и получаем значение счетчика запросов для подписи. Далее можем проверять номера по базе, заносить номера в собственный стоп-лист.

П.С. Всем спасибо за внимание, а я побежал — мне еще мобильного оператора регистрировать…

Автор: spleaner

Источник ^[7]