многие западные провайдеры не парятся с проверкой исходящих номеров, выкидывают что угодно в сеть. Вот "кулхакеры" нашли такого провайдера и звонят. 2018-03-06 18:31 GMT+02:00 Vladimir Sharun :

Привет,

Выставить произвольный исходящий ?

--- Оригінальне повідомлення --- Від кого: "Pavlo Narozhnyy" Дата: 6 березня 2018, 18:28:05

Вообще то такое очень запросто можно сделать, без подделки сим карты и роуминга.

6 бер. 2018 р. 18:17 "Vladimir Sharun" пише:

Алоха,

Юзер сегодня интересный кейс расказал:

Он получает звонок от ТИПА нашего саппорта (!) В этом звонке его просят дать код подтверждения из СМС, юзер даёт (OMFG) Юзер понимает что произошла беда (его контакты восстановления вытерли при помощи этого самого кода) Юзер звонит в real support, ему рассказывают как откатить hostile действия самостоятельно (есть такая фишка) в два клика и один код Юзер делает скрины лога звонков

Мы перепроверяем на sip сервере исходящие звонки - по нулям на этот номер, номер саппорта не сконфигурирован на исходящие на шлюзе (!), т.е. через него и позвонить нельзя, такой опции нет, вся телефония в 10-й сети, связь между железками ipsec и строгие файрволы.

Как такое вообще бл@ть возможно ? Юзер в роуминге в центральной Европе - maybe какая-то кросс-роуминговая дыра с возможностью подсунуть исходящий номер ?

Киевстар отвергает возможность существования симки дубликата, типа работать не будет. Может в случае роуминга есть какие-то варианты ?

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- Pavlo Narozhnyy +380 95 276 31 46 https://www.techniqtrading.com/

Привет!

Мне кстати крайне странно, что её до сих пор активно не используют всякого рода мошенники. Вот, видимо, уже начали :)

В последнее время эпизодически раздаётся звонок, пока успею ответить - отбивается. Перезваниваю - "цей номер не є дійсний." Вполне возможно, что таки да, мошенники. Звонки якобы с киевстаровских номеров, да. Андрей.

Привет!

On 7 Mar 2018, at 05:24, Stesin wrote:

Да какая-то смехотворная история вообще. Почему в Интернет можно выстроить фильтры по типу "от абонента принимаем только src IP из выданного ему блока", а у телков не хватает мозгов включить режим "от абонента, включенного потоком, принимаем только номера А из выданного абоненту диапазона"?

Да, давайте включим мозги. Как в этих ваших интернетах строятся фильтры на линках между провайдерами? А если бы не было Ripe DB? А если бы центральным (и единственным) маршрутизатором была железка 20-летней давности?

Причем такие требования в Украине точно были и соблюдались, за фальсификацию номера А помнится жестко драли в т.ч. СБУ, а что - уже можно теперь стало?

Не стало. Операторы подписывают договор, в котором ответственность за номера Б перекладывается на другую сторону. Логи собираются, каналы периодически мониторится...

p.s. Естетственно если через "местного оператора" ЧП СемьПятниц хитрожопому абоненту позволено отдать номер А из киевстаровского диапазона - жди беды. это раз. После того, как вызов отбился, проследить, откуда он взялся, конечно же можно, но подозреваю что без открытия уголовного дела никто и не почешется.

Так как звонок пришёл на Киевстар, оттуда и нужно раскручивать. Нужно (хотя бы) заявление абонента, получившего звонок. Письма в УаНог, боюсь, не хватит. Андрей

2018-03-07 8:23 GMT+02:00 Valentin Nechayev :

Аналог RIPE DB есть,

Ну прям таки "аналог" чтоб открыто и публично посмотреть в онлайне за 0,5 сек - какому из телков принадлежит данный номер, в какой охватывающий его диапазон входит - так где такое есть? Разве что самоделки у операторов для внутреннего использования. Я уж не говорю что телки нигде открыто не публикуют информацию о связности своих сетей и что кто куда как маршрутизируют. Это у них в телко-ДНК, параноидальная секретность (при этом дыры в SS-7 не патчатся десятилетиями, но кто вам тут считает).

тем более что смены номерных пулов ой нечасты (для Украины - пару штук в неделю), всё можно прочитать в постановах НКРЗ.

Так - да. И самоделочку слепить, и актуализировать раз в неделю. Но - какое это имеет отношение к обсуждаемому вопросу? Суть проблемы: часть 1: некий "первый телко" не фильтрует номер А от СОБСТВЕННОГО ЖЕ АБОНЕНТА (зачем ему тут вообще "базарайп", своих-то абонентов, включенных по ISDN и по SIP, телко и так сам знает), -- либо потому, что ленивый жопорукий мудак, -- либо он в сговоре с мошенниками, часть 2: второй телко, у которого есть межоператорский интерконнект с первым телко, не фильтрует, что тот первый ему скармливает (сливает) на сеть, -- либо потому, что бизнесу пох, откуда вызов и фальшивый ли номер, ему важно КУДА этот трафик идет (потому что есть ставка интерконнекта, которую надо платить третьему, четвертому итд телко), -- либо потому, что ленивый жопорукий мудак. Впрочем, и в ч.1 и в ч.2 обе гипотезы скорее всего верны одновременно.

А вот тупизна собственно SS7 уже так просто не лечится.

Ну вот прям так все грустно, что ажно в SS7 нет фильтров для отсечки некорректных номеров вызывающего абонента? Точно есть с незапамятных времен. Другой вопрос что их настроить на обобщенной EWSD или 5ESS это нетривиальное упражнение, ну так этому станционный персонал на курсах учат и инструкции дают.

А вот тут и видна проблема - что только "периодически" и "собираются" без автоматического анализа.

Нет. Проблема в людях и только в них. В их безмозглости, лени и нежелании понимать суть собственного продукта - а именно, продукта "связь".

Чуть не так. Лет 10 назад было принято (кем то) решение, что инженер ничто и никто, главное менеджер, особенно тот который на мосту сим карточки раздает. Они (менеджеры) самое сильное звено, они набивают количество абонов, под которое потом кредиты можно брать. Вот и результат этого всего. ----- Original Message ----- From: "Andriy Berestovskyy" To: "Stesin" Cc: "Uanog List" ; "Valentin Nechayev" Sent: Wednesday, March 07, 2018 10:09 AM Subject: Re: [uanog] Смотрите какой фокус с подделкой (?) исходящего номера

...

On 7 Mar 2018, at 08:03, Stesin wrote: Нет. Проблема в людях и только в них. В их безмозглости, лени и нежелании понимать суть собственного продукта - а именно, продукта "связь".

Когда в конце концов разрешат клонирование людей, можно будет (да хоть даже из волос) клонировать достаточное количество мозговитых, не ленивых и желающих понимать суть продукта «связь» инженеров.

Нужно просто сейчас, для спасения связи будущего, постричься в баночку... Кандидаты?

Andriy

_______________________________________________uanog mailing listuanog@uanog.kiev.uahttps://mailman.uanog.kiev.ua/mailman/listinfo/uanog

Привет, Сраный роуминг всё портит. Т.е. нет аналога ripe db у конкретного оператора, где бы оперативно проверялся origin. Чтобы при приходе звонка проверялось, кто этот звонок передал и имеет ли он право на приём звонка от этого абонента с этого оператора. Аналог SPF в почте. Т.е. с точки зрения Киевстара звонок пришел из роуминга (ну и что, что с КС номера - это возможно тащемта, мало того, так и должно быть) и отправился в роуминг.  Есть ощущение, что так же кошмарили в РФ в прошлом году бомбами и почему месяцами не могут отследить звонки. PS: в США за tel num spoofing - турьма, они этот этап прошли в ранних нулевых 7 березня 2018, 09:04:10, від "Stesin" : 2018-03-07 8:23 GMT+02:00 Valentin Nechayev :

Аналог RIPE DB есть,

Ну прям таки "аналог" чтоб открыто и публично посмотреть в онлайне за 0,5 сек - какому из телков принадлежит данный номер, в какой охватывающий его диапазон входит - так где такое есть? Разве что самоделки у операторов для внутреннего использования. Я уж не говорю что телки нигде открыто не публикуют информацию о связности своих сетей и что кто куда как маршрутизируют. Это у них в телко-ДНК, параноидальная секретность (при этом дыры в SS-7 не патчатся десятилетиями, но кто вам тут считает).

тем более что смены номерных пулов ой нечасты (для Украины - пару штук в неделю), всё можно прочитать в постановах НКРЗ.

Так - да. И самоделочку слепить, и актуализировать раз в неделю. Но - какое это имеет отношение к обсуждаемому вопросу? Суть проблемы: часть 1: некий "первый телко" не фильтрует номер А от СОБСТВЕННОГО ЖЕ АБОНЕНТА (зачем ему тут вообще "базарайп", своих-то абонентов, включенных по ISDN и по SIP, телко и так сам знает), -- либо потому, что ленивый жопорукий мудак, -- либо он в сговоре с мошенниками, часть 2: второй телко, у которого есть межоператорский интерконнект с первым телко, не фильтрует, что тот первый ему скармливает (сливает) на сеть, -- либо потому, что бизнесу пох, откуда вызов и фальшивый ли номер, ему важно КУДА этот трафик идет (потому что есть ставка интерконнекта, которую надо платить третьему, четвертому итд телко), -- либо потому, что ленивый жопорукий мудак. Впрочем, и в ч.1 и в ч.2 обе гипотезы скорее всего верны одновременно.

А вот тупизна собственно SS7 уже так просто не лечится.

Ну вот прям так все грустно, что ажно в SS7 нет фильтров для отсечки некорректных номеров вызывающего абонента? Точно есть с незапамятных времен. Другой вопрос что их настроить на обобщенной EWSD или 5ESS это нетривиальное упражнение, ну так этому станционный персонал на курсах учат и инструкции дают.

А вот тут и видна проблема - что только "периодически" и "собираются" без автоматического анализа.

Нет. Проблема в людях и только в них. В их безмозглости, лени и нежелании понимать суть собственного продукта - а именно, продукта "связь". _______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

On 7 Mar 2018, at 09:45, Vladimir Sharun wrote: Сраный роуминг всё портит. Т.е. нет аналога ripe db у конкретного оператора, где бы оперативно проверялся origin. Чтобы при приходе звонка проверялось, кто этот звонок передал и имеет ли он право на приём звонка от этого абонента с этого оператора. Аналог SPF в почте.

ИМО проблема немного в другой плоскости. Ну позвонили бы совсем с другого номера, просто представились бы Главным Директором Саппорта и всё. В этой схеме номер кардинально ничего не меняет. В интернетах, чтобы убедиться в том, что Саппорт это Саппорт или Банк это Банк, уже давно используется не фильтрация по IP, а end-to-end аутентификация и шифрование (подписи, сертификаты, пароли etc). Точно также в телках, можно позвонить с любого таксофона в Банк и сделать перевод. Чтобы убедится, что Клиет это Клиент, Банк номер звонящего не использует от слова совсем. Да, проблема в людях. Мы привыкли везде подтверждать, что Мы это Мы. Поэтому схема иногда работает даже когда звонят нам ;) Этим пользовались и будут пользоваться, к сожалению. Письма в УаНог не помогут. Пусть абонент напишет заяву хотя бы оператору, может поймают кого-то... Andriy

On Mar 7, 2018, at 09:03, Stesin wrote:

Суть проблемы:

часть 1: некий "первый телко" не фильтрует номер А от СОБСТВЕННОГО ЖЕ АБОНЕНТА (зачем ему тут вообще "базарайп", своих-то абонентов, включенных по ISDN и по SIP, телко и так сам знает), -- либо потому, что ленивый жопорукий мудак, -- либо он в сговоре с мошенниками,

часть 2: второй телко, у которого есть межоператорский интерконнект с первым телко, не фильтрует, что тот первый ему скармливает (сливает) на сеть, -- либо потому, что бизнесу пох, откуда вызов и фальшивый ли номер, ему важно КУДА этот трафик идет (потому что есть ставка интерконнекта, которую надо платить третьему, четвертому итд телко), -- либо потому, что ленивый жопорукий мудак.

Впрочем, и в ч.1 и в ч.2 обе гипотезы скорее всего верны одновременно.

Ты никогда не слушал докладов о том, как уводят временно чужие сети анонсами меньших специфик? Спамятся, например, с этих адресов по полной, а потом анонсы снимают. Сами, или когда заметили. И это не в телефонии. :) -- Taras Heichenko tasic@academ.kiev.ua

On 7 Mar 2018, at 07:23, Valentin Nechayev wrote: Аналог RIPE DB есть, тем более что смены номерных пулов ой нечасты (для Украины - пару штук в неделю), всё можно прочитать в постановах НКРЗ.

Взаимопооключение двух операторов с лицензиями на междугороднюю и международную связь? Номером А в линке может быть что угодно, от Монте-Карло до Хацапетовки.

Железка 20-летней давности, если не сдохла, то выведена из эксплуатации за несоответствие паре десятков современных требований к её фичастости.

Согласен, может чуть приукрасил, точнее наоборот ;)

А вот тут и видна проблема - что только "периодически" и "собираются" без автоматического анализа.

Анализ — это понятно, но это не «вживую». Если звонок пришёл от другого оператора — чаще всего можно только связаться и попросить посмотреть... Андрей

On 7 Mar 2018, at 07:45, Stesin wrote: Где в моем тексте, процитированном выше, есть слово "провайдер"? Читаем внимательно: написано АБОНЕНТ.

Мы на 100% уверены только в том, что АБОНЕНТ Киевстара принял звонок. Откуда звонок пришёл — может ответить только Киевстар. То что он пришёл от другого АБОНЕНТА Киевстар — это гипотеза, приняв которую история действительно становится смехотворной. И в интернетах и в телках контролировать что летит через межпровайдерский или межоператорский линк очень сложно, иногда вообще технически невозможно.

...

...

Причем такие требования в Украине точно были и соблюдались, за фальсификацию номера А помнится жестко драли в т.ч. СБУ, а что - уже можно теперь стало? [...] Потому что если уж даже номеру звонящего абонента теперь нельзя верить, то чему тогда можно?

А когда можно было верить номеру звонящего на 100%? За что тогда раньше НКРЗ «жестко драло», за то что всё в порядке было и требования всегда неукоснительно соблюдались? Андрей

2018-03-07 9:31 GMT+02:00 Andriy Berestovskyy :

...

On 7 Mar 2018, at 07:45, Stesin wrote: Где в моем тексте, процитированном выше, есть слово "провайдер"? Читаем внимательно: написано АБОНЕНТ.

Мы на 100% уверены только в том, что АБОНЕНТ Киевстара принял звонок. Откуда звонок пришёл — может ответить только Киевстар. То что он пришёл от другого АБОНЕНТА Киевстар — это гипотеза, приняв которую история действительно становится смехотворной.

Повторно читаем и пытаемся понять, что я написал. Я нигде не писал, что вызов ИСХОДИЛ от абонента КС. Наоборот я везде подразумеваю, что вызов ИСХОДИТ от мошенника, являющегося абонентом какого-то совершенно постороннего оператора, назовем оператора условно ЧП СемьПятниц. И на сеть КС этот вызов пришел либо прямо по интерконнекту от ЧП СемьПятниц (что маловероятно), либо от ЧП СемьПятниц вызов прошел например через сеть какого-либо НацТелекома и уже по интерконнекту НацТелеком-КС пришел на сеть КС. КС же почему-то принял вызов с подставленным исходящим номером абонента КС, но пришедший хрен знает откуда. Какой интересный вопрос, вот как абонент КС может вызвать через сеть КС другого абонента КС, сам находясь не в сети КС? чисто технически интересно? (кроме роуминга, развешо).

И в интернетах и в телках контролировать что летит через межпровайдерский или межоператорский линк очень сложно, иногда вообще технически невозможно.

Спасибо, вот как раз именно для меня это такая новость, я сражен наповал.

...

Потому что если уж даже номеру звонящего абонента теперь нельзя верить, то чему тогда можно?

А когда можно было верить номеру звонящего на 100%? За что тогда раньше НКРЗ «жестко драло», за то что всё в порядке было и требования всегда неукоснительно соблюдались?

В этой одной строке смешаны два совершенно разных вопроса о разном у вас. Ответ на 1й вопрос: "когда?" - когда в связи соблюдался порядок и за подмену исходящего номера драли операторов. Ответ на 2й вопрос: "за что?" - за фальсификацию исходящего номера. Повторюсь: понятие "доверие" есть важным свойством продукта "связь". Случаи подмены номера исходящего абонента были в основном связаны со сливом трафика через IP-шлюзы на ТСОП. Получается, что доверие сейчас утрачено.

2018-03-07 16:31 GMT+02:00 Andriy Berestovskyy : ...

Мы помним, что в случае переадресации звонка, помимо трех вышеперечисленных, может передаваться ещё несколько номеров: с какого номера делаем переадресацию, на какой номер, изначальный номер А и так далее.

мы также знаем, что все эти фишки работают только в лабах при обучении, а в реальной жизни их никто не юзает и как правило блокируют

Наши ГИПОТЕЗЫ о том, что от ЧП СемьПятниц летит в сеть Киевстар номер А из ёмкости Киевстар, к сожалению, не более, чем наши ГИПОТЕЗЫ. С таким же успехом в качестве номера А может лететь номер из ёмкости ЧП СемьПятниц, а изначальный номер А (перед переадресацией) может быть из ёмкости Киевстар или просто похож на него...

Конечно же да, гипотезы. Я ж так и сказал - "моя ВЕРСИЯ".

Какой из этих номеров высветится на экране телефона жертвы, которая к тому же находится в роуминге — мы не знаем. Да и не важно это. Нашего опыта достаточно, чтобы спокойно всем объяснить, что с этим вопросом нужно обращаться к оператору.

100% да - "нужно обращаться к оператору". Правда, какой именно предмет из трех букв оператор на вопрошающего в ответ возложит - доказательство оставляем на усмотрение читателя.

Да, Андрей, мы помним, что случаи подмены номера А были и раньше, в течении последних лет 12 как минимум. Но даже сейчас, после такого вопиющего случая неизвестно точно чего, давайте верить, что не всё так плохо?

"Верить" это к попам и к бабушкам в церкви. Наемный профессионал терминами "верить" не оперирует.

On Mar 7, 2018, at 13:00, Stesin wrote:

Повторно читаем и пытаемся понять, что я написал. Я нигде не писал, что вызов ИСХОДИЛ от абонента КС. Наоборот я везде подразумеваю, что вызов ИСХОДИТ от мошенника, являющегося абонентом какого-то совершенно постороннего оператора, назовем оператора условно ЧП СемьПятниц.

И на сеть КС этот вызов пришел либо прямо по интерконнекту от ЧП СемьПятниц (что маловероятно), либо от ЧП СемьПятниц вызов прошел например через сеть какого-либо НацТелекома и уже по интерконнекту НацТелеком-КС пришел на сеть КС.

КС же почему-то принял вызов с подставленным исходящим номером абонента КС, но пришедший хрен знает откуда. Какой интересный вопрос, вот как абонент КС может вызвать через сеть КС другого абонента КС, сам находясь не в сети КС? чисто технически интересно? (кроме роуминга, развешо).

Так а чем отличается от роуминга. Как сейчас не знаю, но помню, что в начале нулевых можно было и в Украине, будучи абонентом КС войти в сеть через UMC. И ты находился в роуминге, в том плане, что ты работал не через своего оператора. Ну вот ты и приходишь в результате из "чужой" сети со "своим" номером. -- Taras Heichenko tasic@academ.kiev.ua

Так как звонок пришёл на Киевстар, оттуда и нужно раскручивать. Нужно (хотя бы) заявление абонента, получившего звонок. Письма в УаНог, боюсь, не хватит.

Я реально не понимаю - в КС дебилы пашут или зачем принимать звонки со своих номеров "откуда попало" ? Не, ну роуминг - оно понятно, но там же идентификация с аутентификацией. А не тупо "вставили номерок". -- Best regards, Paul Arakelyan.

Привет, Этот звонок был с киевстаровского номера на киевстаровский. При этом "реальный" номер, который подделывали, был в сети онлайн. Атака была очень профессиональной. 6 березня 2018, 18:33:42, від "Pavlo Narozhnyy" : многие западные провайдеры не парятся с проверкой исходящих номеров, выкидывают что угодно в сеть. Вот "кулхакеры" нашли такого провайдера и звонят. 2018-03-06 18:31 GMT+02:00 Vladimir Sharun :

Привет,

Выставить произвольный исходящий ?

--- Оригінальне повідомлення --- Від кого: "Pavlo Narozhnyy" Дата: 6 березня 2018, 18:28:05

Вообще то такое очень запросто можно сделать, без подделки сим карты и роуминга.

6 бер. 2018 р. 18:17 "Vladimir Sharun" пише:

Алоха,

Юзер сегодня интересный кейс расказал:

Он получает звонок от ТИПА нашего саппорта (!) В этом звонке его просят дать код подтверждения из СМС, юзер даёт (OMFG) Юзер понимает что произошла беда (его контакты восстановления вытерли при помощи этого самого кода) Юзер звонит в real support, ему рассказывают как откатить hostile действия самостоятельно (есть такая фишка) в два клика и один код Юзер делает скрины лога звонков

Мы перепроверяем на sip сервере исходящие звонки - по нулям на этот номер, номер саппорта не сконфигурирован на исходящие на шлюзе (!), т.е. через него и позвонить нельзя, такой опции нет, вся телефония в 10-й сети, связь между железками ipsec и строгие файрволы.

Как такое вообще бл@ть возможно ? Юзер в роуминге в центральной Европе - maybe какая-то кросс-роуминговая дыра с возможностью подсунуть исходящий номер ?

Киевстар отвергает возможность существования симки дубликата, типа работать не будет. Может в случае роуминга есть какие-то варианты ?

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- Pavlo Narozhnyy +380 95 276 31 46 https://www.techniqtrading.com/

Дык не только западные. Проверять исходящие не всегда есть техническая возможность... Технически звонок можно отследить по логам станции (с какой на какую транк группу), если оператор будет заинтересован помочь, конечно... Andriy

On 6 Mar 2018, at 17:33, Pavlo Narozhnyy wrote:

многие западные провайдеры не парятся с проверкой исходящих номеров, выкидывают что угодно в сеть. Вот "кулхакеры" нашли такого провайдера и звонят.

2018-03-06 18:31 GMT+02:00 Vladimir Sharun :

...

Привет,

Выставить произвольный исходящий ?

--- Оригінальне повідомлення --- Від кого: "Pavlo Narozhnyy" Дата: 6 березня 2018, 18:28:05

Вообще то такое очень запросто можно сделать, без подделки сим карты и роуминга.

6 бер. 2018 р. 18:17 "Vladimir Sharun" пише:

Алоха,

Юзер сегодня интересный кейс расказал:

Он получает звонок от ТИПА нашего саппорта (!) В этом звонке его просят дать код подтверждения из СМС, юзер даёт (OMFG) Юзер понимает что произошла беда (его контакты восстановления вытерли при помощи этого самого кода) Юзер звонит в real support, ему рассказывают как откатить hostile действия самостоятельно (есть такая фишка) в два клика и один код Юзер делает скрины лога звонков

Мы перепроверяем на sip сервере исходящие звонки - по нулям на этот номер, номер саппорта не сконфигурирован на исходящие на шлюзе (!), т.е. через него и позвонить нельзя, такой опции нет, вся телефония в 10-й сети, связь между железками ipsec и строгие файрволы.

Как такое вообще бл@ть возможно ? Юзер в роуминге в центральной Европе - maybe какая-то кросс-роуминговая дыра с возможностью подсунуть исходящий номер ?

Киевстар отвергает возможность существования симки дубликата, типа работать не будет. Может в случае роуминга есть какие-то варианты ?

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

--

Pavlo Narozhnyy +380 95 276 31 46 https://www.techniqtrading.com/ _______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog