Взломали сервер и слили телефонный трафик на приличную сумму

Судебные разбирательства по отрасли Связь
Vlad-1976
Форумчанин
 
Сообщения:
14
Зарегистрирован:
06 авг 2008

Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

СообщениеVlad-1976 » Ср 15 сен, 2010 13:49 »

Схема взаиморасчетов РТТ и другого оператора мне не известна, допустим что она безвозмездна по причине двунаправленности.

Генерация трафика китайцами привела к доп. расходам других. Сумму попадалова образмерить реально. Они не тырили деньги явно, но подставили на деньги. И логично что имея желающих позвонить на кубу при нулевой себестоимости трафика через взломанный астериск - они заработали. Или это и есть проблема связать эти моменты?

Andrei
Форумчанин
 
Сообщения:
6763
Зарегистрирован:
14 окт 2003

Благодарил (а): 31 раз.
Поблагодарили: 326 раз.

СообщениеAndrei » Ср 15 сен, 2010 14:24 »

anso писал(а):и где тут китайзы ??

Китайцы-взломщики пропустили чей-то трафик через эту дыру за толику малую. И кто-то получил возможность пропустить этот трафик через эту дыру с помощью китайцев, заплатив им наверное на порядок меньше, чем реально стоит этот трафик.

anso
Форумчанин
 
Сообщения:
225
Зарегистрирован:
20 июн 2006
Откуда:
Южный ФО

Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

Сообщениеanso » Ср 15 сен, 2010 14:31 »

Семён семёныч!!!! ...
я понял! ктиаёзы использовали взломанную станцию как терминатор своего! воип трафика
странно что так избирательно только куба? но кто их знает
только как вы найдёте откуда шёл воип?
будет какойто айпишник скорее всего левый обратных номеров нет
но вообщем
это уже не наша проблема
но как вы откажетесь платить своему контрагенту?
звонок был вы услугу заказали вы её и получили
или как вор в квартиру залез, с вашего телефона позвонил
и всё ?флаг в руки оператору иди ищи вора?

Vlad-1976
Форумчанин
 
Сообщения:
14
Зарегистрирован:
06 авг 2008

Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

СообщениеVlad-1976 » Ср 15 сен, 2010 14:47 »

по сути я не совершал вызовы - вызовы инициировали китайцы
т.е. воспользовались моей карточкой и в банкомате сняли деньги или воспользовались моим авто и ограбили на нем магазин
Воип шел с определенного IP адреса . IP адрес принадлежит китаскому телекому. Разыскать владельцев при желании реально.

AlexBT
Форумчанин
 
Сообщения:
4903
Зарегистрирован:
27 окт 2005
Откуда:
Владивосток

Благодарил (а): 0 раз.
Поблагодарили: 3 раз.

СообщениеAlexBT » Ср 15 сен, 2010 16:00 »

Не изобретайте лишних сущностей.
Выгодоприобретатель тот, кто использовал взломанный ресурс.
С уважением,
Александр Ткаченко.

Andrei
Форумчанин
 
Сообщения:
6763
Зарегистрирован:
14 окт 2003

Благодарил (а): 31 раз.
Поблагодарили: 326 раз.

СообщениеAndrei » Ср 15 сен, 2010 20:29 »

У нас так же "влетали" клиенты, правда на меньшие суммы (до $800). Взломы или попытки взломов были с разных адресов - с итальянских, со штатов, с канады. Трафик всегда шел на какую-нибудь экзотику типа Сьерра-Леоне, сотовые Мозамбика, Афганистан и т.п.. Даже сохранились логи как подбирали пароли. :)

Связной (С)
Форумчанин
 
Сообщения:
18592
Изображения: 39
Зарегистрирован:
21 апр 2005
Откуда:
Мыс Шмидта

Благодарил (а): 659 раз.
Поблагодарили: 699 раз.

СообщениеСвязной (С) » Чт 16 сен, 2010 07:45 »

Andrei писал(а):взломщики пропустили чей-то трафик через эту дыру
Обратная сторона медали (ВоИП).
Vlad-1976 писал(а):воспользовались моей карточкой и в банкомате сняли деньги или воспользовались моим авто и ограбили на нем магазин
Для этого нужны действия от себя в первую очередь (как минимум заявление).

Andrei писал(а):типа Сьерра-Леоне, сотовые Мозамбика, Афганистан и т.п..
Туда ценник не самый дешевый. Может так мировая экономика поддерживается?
Я всегда на боевом посту (С)

Andrei
Форумчанин
 
Сообщения:
6763
Зарегистрирован:
14 окт 2003

Благодарил (а): 31 раз.
Поблагодарили: 326 раз.

СообщениеAndrei » Чт 16 сен, 2010 11:18 »

Vlad-1976 писал(а):т.е. воспользовались моей карточкой и в банкомате сняли деньги

У меня такое было - по карточке сняли деньги в банкомате в Европе, хотя я сам с карточкой в это время находился в в России, а в Европе вообще никогда не был. Несмотря на заявление, банк деньги возвращать отказался, в милиции дело возбудили, но потом закрыли - "висяк". Согласен, что это обратная сторона высоко-технологичных продуктов. :(

dogmeat1982
Форумчанин
 
Сообщения:
368
Зарегистрирован:
24 апр 2008
Откуда:
г. Екатеринбург

Благодарил (а): 23 раз.
Поблагодарили: 13 раз.

Сообщениеdogmeat1982 » Чт 16 сен, 2010 11:31 »

Andrei писал(а):... банк деньги возвращать отказался, в милиции дело возбудили, но потом закрыли - "висяк".

Обидно :no:
Ладно если сумма не большая. Хотя для кого как, для кого то может и 1000р. это крайне ощутимая потеря.
С уважением,
Давыдов Андрей

Andrei
Форумчанин
 
Сообщения:
6763
Зарегистрирован:
14 окт 2003

Благодарил (а): 31 раз.
Поблагодарили: 326 раз.

СообщениеAndrei » Чт 16 сен, 2010 13:36 »

dogmeat1982 писал(а):Ладно если сумма не большая. Хотя для кого как, для кого то может и 1000р. это крайне ощутимая потеря.

Сумма была около 21 тыс.руб., но это было года 3 назад, она тогда была весьма ощутима.
Как защититься - не знаю. :(
Банк - Челиндбанк (г.Челябинск). Снятие денег было в банкомате города Пловдив (Болгария), подряд в несколько приемов (очевидно был лимит на одно снятие). Сняли все до неснимаемого остатка. Мы заметили это на следующий день после снятия, т.к. СМС-информирования об операциях нет. Карточку банк сразу изъял. Деньги в тот момент еще не были списаны с нашего счета, а только заблокированы для последующего перевода по международной системе Visa.
Наши обращения в банк с просьбами отказать в этих транзакциях пока деньги еще не ушли со счета ни к чему не привели.
Потом, когда уже шло расследование в рамках возбужденного уголовного дела, мы просили милицию по нашему заявлению направить запрос в Пловдив, чтобы тамошний банк сохранил видео из банкомата, где зафиксировано снятие денег (видео в большинстве банкоматов пишутся, но хранятся недолго, обычно 1-3 месяца). Милиция проковырялась в носу, никаких запросов не отправила. Потом просто прислали отписку, что дело приостановлено в связи с невозможностью установить злоумышленников. А потом и вовсе закрыли за истечением срока.
Причем, что интересно - деньги были сняты только после того, как на карточке скопилась хоть сколько-нибудь значимая сумма. Карточка была дебетовая зарплатная, в те годы обычно зарплату сразу снимали, а тут решили подкопить на погашение кредита. Отсюда еще одно подозрение - на соучастника в инсайде банка, т.к. баланс по такой дебетовой карте можно посмотреть только в банкомате банка, выпустившего карту. Т.е. в банкомате Пловдива этого посмотреть было нельзя, а по заявлению банка запросов баланса по карте через банкоматы Челиндбанка не было.

MNOGO
Форумчанин
 
Сообщения:
4617
Изображения: 8
Зарегистрирован:
05 май 2005
Откуда:
Москва

Благодарил (а): 44 раз.
Поблагодарили: 195 раз.

СообщениеMNOGO » Чт 16 сен, 2010 13:59 »

Andrei писал(а):Милиция проковырялась в носу,

Пишите прокурору, им работу найдёте.
Andrei писал(а):это обратная сторона высоко-технологичных продуктов.

эта оборотная сторона позволяет легко отследить действия человека и составить "профиль" мошенников.
Информацию могли просто "хакнуть" из банка, но деньги снимают не роботы а люди, а люди оставляют следы.
Просто милиции наплевать на деньги народа, она кормится из рук "хозяев". :down:
Вольный стрелок

dogmeat1982
Форумчанин
 
Сообщения:
368
Зарегистрирован:
24 апр 2008
Откуда:
г. Екатеринбург

Благодарил (а): 23 раз.
Поблагодарили: 13 раз.

Взлом VoIP

Сообщениеdogmeat1982 » Пт 26 окт, 2012 09:21 »

Тема заглохла, а жаль. Т.к. и тут и там слышны звуки разрывающихся снарядов, война еще не окончена, имхуется мне, что основной натиск voip-мошенников еще впереди!
Vlad-1976 писал(а):схема бесплатного слива трафика посредством взлома очевидна, трафик слили но ничего не заплатили. выгодоприобретатель очевиден.

Кстати, по поводу выгодоприобретателя. Конечно же он не так очевиден, как кажется г-ну Vlad-1976! Ктонибудб обратил внимание на тот факт, что трафик через взломанные IP-АТС идет не в Германию или США, а в страны 3-го мира (Сомали, Босния и Герцеговина, Зимбабве и пр.)? Причина кроется в том, что в этих странах оператор МН на 90% монополист и гадать через кого пройдет трафик нет причин, т.к. мы всегда в курсе кто терминирует трафик в стране 3-го мира и остается только заключить с ними договор на инициацию, за которую этот монополист в стране 3-го мира готов платить. В подтверждение сказанного могу доложить, что есть опыт ловли трафика злоумышленников на tcpdump на тестовой Asterisk выставленном в Интернет с "голым задом" как раз с этой цель. Знаете что там? Там белый шум. Там нет деловых переговоров или чего-то контрпропагандистского голосового спама, там вообще нет речи - там тишина и шум!!! Звонки по своей сути вырожденные и предназначены только для мотания счетчиков минуток. Вот теперь выгодоприобертатель очевиден, НО неуловим.
Erlang писал(а):У Управлений "К" по регинам были свои сайты с формой обращения.
Свяжитесь с ними для ускорения.
Им самим интересно раскрутить дело.

Не совсем. Есть опыт общения по данному вопросу. Только если сумма ущерба начинается от $100К и выше, иначе никто не будет посылать запросы в Интерпол с целью поиска ночного пожирателя пончиков и кофе, которого сама жизнь доконает быстрее, чем его найдут эти ребята и смогут с него что-то выцарапать, чтобы и пострадавшим вернуть и самим в накладе не остаться. Может теперь что-то поменялось.

Ну, какие новости по теме?
С уважением,
Давыдов Андрей

Andrei
Форумчанин
 
Сообщения:
6763
Зарегистрирован:
14 окт 2003

Благодарил (а): 31 раз.
Поблагодарили: 326 раз.

СообщениеAndrei » Пт 26 окт, 2012 09:41 »

dogmeat1982 писал(а):Звонки по своей сути вырожденные и предназначены только для мотания счетчиков минуток.

Это как раз очевидно.
И на счет того, что шансы найти кого-либо минимальны - вы тоже правы.
Подвижек нет, т.к. ИМХО это не мейнстрим для "органов". Не интересно им это, а риск получить "глухаря" вполне очевиден.
А попытки взлома и сейчас фиксируем почти каждый день.

dogmeat1982
Форумчанин
 
Сообщения:
368
Зарегистрирован:
24 апр 2008
Откуда:
г. Екатеринбург

Благодарил (а): 23 раз.
Поблагодарили: 13 раз.

Сообщениеdogmeat1982 » Пт 26 окт, 2012 10:01 »

Andrei писал(а):А попытки взлома и сейчас фиксируем почти каждый день.

С помощью каких критериев и инструментов фикисируете попытки. На какой стадии успеваете их пофиксить и пресечь прокачку?
Предлагаю раз нет подвижек в методах разбора полетов и вся нагрузка на юзерах, поделиться опытом в методах предупреждения ситуаций.
Что делаем мы? Мы раз в 1-5 мин считываем кол-во МН вызовов. Контролируем коли-во, длительность отдельно взятых и всех вместе, кол-во уникальных номеров А и Б, кол-во успешных и неудачных попыток. На основе эмпирического исследования есть данные о характере нормального МН трафика и характерах всплесков аномальной активности. Чаще всего проявляется в уникальных номерах А и Б признаки взлома, когда с одного и того-же номера идут попытки установить сразу N соединений на один или несколько МН номеров. Но это пост-мера, когда по факту абонентское оборудование уже взломано и с него идут попытки иницииации. Тем не менее данный метод позволил предупредить не менее 2-х десятков взломов на уровне 1-5 т.р. ущерба по трафику.
С уважением,
Давыдов Андрей


Andrei
Форумчанин
 
Сообщения:
6763
Зарегистрирован:
14 окт 2003

Благодарил (а): 31 раз.
Поблагодарили: 326 раз.

СообщениеAndrei » Пт 26 окт, 2012 10:27 »

dogmeat1982 писал(а): На какой стадии успеваете их пофиксить и пресечь прокачку?

Нас еще ни разу не удалось взломать. Есть только попытки.
Ломали клиента, но на него было ограничение на 4 исх.звонка одновременно. Взломали клиента в 4 ночи, обнаружили в 8 утра, увидев нехарактерный для этого клиента трафик, и сразу закрыли.

dogmeat1982 писал(а):Что делаем мы?

У нас нет тех.средств, позволяющих такое сделать

AlexandrM
Форумчанин
 
Сообщения:
59
Зарегистрирован:
10 июл 2007

Благодарил (а): 5 раз.
Поблагодарили: 1 раз.

СообщениеAlexandrM » Чт 08 ноя, 2012 08:52 »

http://kad.arbitr.ru/Card/2943fb71-bc62 ... b6cd8a4ff5
что же скажет кассационная инстанция...

dogmeat1982
Форумчанин
 
Сообщения:
368
Зарегистрирован:
24 апр 2008
Откуда:
г. Екатеринбург

Благодарил (а): 23 раз.
Поблагодарили: 13 раз.

Сообщениеdogmeat1982 » Чт 15 ноя, 2012 16:00 »

Внимание!!! Будьте бдительны коллеги!
Заметил существенные изменения в характерах прокачек по МН направлениям.
1. Прокачивают одинарными звонками по 600 сек. Т.е. одновременно по 2-3 и более не заряжают и длительность ограничивают 10ю минутами;
2. Направления спутниковых сетей - дорогие - 200 и более рублей минута;
3. Сегодня двоих приделали днем (с 15 до 17 по Москве)! Т.е. видимо поменялась немного география злоумышленников и соответственно временные рамки опасносте.
С уважением,
Давыдов Андрей

Wanderer
Форумчанин
 
Сообщения:
1653
Зарегистрирован:
18 фев 2004
Откуда:
Северо-Западный ФО

Благодарил (а): 3 раз.
Поблагодарили: 29 раз.

СообщениеWanderer » Чт 15 ноя, 2012 16:48 »

-

Связной (С)
Форумчанин
 
Сообщения:
18592
Изображения: 39
Зарегистрирован:
21 апр 2005
Откуда:
Мыс Шмидта

Благодарил (а): 659 раз.
Поблагодарили: 699 раз.

СообщениеСвязной (С) » Ср 05 дек, 2012 15:56 »

AlexandrM писал(а):что же скажет кассационная инстанция...


А67-5425/2011
Направить дело в суд первой инстанции

Ждемс...
Я всегда на боевом посту (С)


dogmeat1982
Форумчанин
 
Сообщения:
368
Зарегистрирован:
24 апр 2008
Откуда:
г. Екатеринбург

Благодарил (а): 23 раз.
Поблагодарили: 13 раз.

Черный список IP

Сообщениеdogmeat1982 » Пн 17 дек, 2012 13:05 »

К теме о бдительности и методах противодействия. Мне довелось обменяться с несколькими операторами Свердловской обл. списками ip-адресов, с которых был замечен паразитный сигнальный трафик (попытки взлома и "прокачек" VoIP-систем). Все адреса /32 - хосты, их около тысячи. Понятное дело, что 1К /32 адресов, запихнутых в настройки FireWall практически ничего не решают, но:
1. Снижают риск;
2. Есть у меня мысль превратить этот список из /32 в список сетей, выделенных организациями уровня IANA, APNIC и пр., но не хватает знаний в этой области. Поскольку адреса чаще всего принадлежат странам с которыми 146% нет и не планируется прямого VoIP-взаимодействия, то можно смело вносить их сетями в бан-листы FireWall на SBC.
В связи с этим выкладываю список с целями:
1. Поделиться информацией;
2. Быть может кто-то сможет превратить список из /32 в более, так скажем, правильный или поделиться таким готовым. :rus:
"Один за всех, все за одного!", - и так мы значительно снизим риски взлома как операторских систем, так и клиентских.
Вложения
BlackList.pdf
Список ip-адресов злоумышленников
(143.18 КБ) Скачиваний: 713
С уважением,
Давыдов Андрей

Вернуться в Судебные споры

Пред.След.

Поделиться

Кто сейчас на конференции

Сейчас этот форум просматривают: CommonCrawl и гости: 0